Víte, že je to hnusný svět se škodlivými aktéry, kteří se jen nemohou dočkat, až se dostanou do špinavých rukou na vašich webových stránkách WordPress. Také víte, že byste pravděpodobně měli dělat „něco“ pro to, aby byl váš web WordPress před všemi těmi padouchy v bezpečí.

Co možná nevíte, je, co to „něco“ je.

Nemějte obavy – zabezpečení vašeho webu WordPress nevyžaduje, abyste byli programátorským guru, jak to vidíte v televizních pořadech. Budete ale chtít nějaké bezpečnostní pluginy a nástroje pro WordPress, abyste tuto práci zvládli.

O to se s vámi podělím v tomto příspěvku.

Budu se zabývat osmi nejlepšími bezpečnostními pluginy a nástroji pro WordPress spolu s výhodami a nevýhodami každého nástroje. Na konci se vám pak pokusím pomoci vybrat správnou sadu nástrojů na základě vaší vlastní jedinečné situace.

Nejprve mi ale dovolte začít krátkým upozorněním…

Zabezpečení WordPressu není jen o pluginech a nástrojích

Všechny bezpečnostní pluginy a nástroje uvedené v tomto seznamu vám pomohou WordPress zabezpečit. Neodstraňují však nutnost akce z vaší strany.

Představte si je tak trochu jako nošení motocyklové helmy. Jistě – motocyklové přilby vás pomohou ochránit při nehodě, ale nejsou povolením k tomu, abyste vyjeli ven a jezdili bezohledně.

Tyto nástroje jsou takové. Poskytují vám tolik potřebnou ochranu, ale pokud chcete zůstat v bezpečí, musíte stále jezdit bezpečně.

Co je to tedy „bezpečná jízda“ ve světě WordPress? Mám na mysli opravdu jednoduché věci, jako např:

  • Včasná aktualizace softwaru, zásuvných modulů a témat pro WordPress
  • Používání bezpečného hesla pro účet správce WordPressu a webhostingový účet
  • Používání témat a zásuvných modulů pouze od renomovaných vývojářů/zdrojů
  • Pravidelné zálohování webu

Tyto tipy se mohou zdát příliš zjednodušené, ale už jen provedení těchto čtyř věcí vám pomůže ochránit se před většinou problémů se zabezpečením WordPressu.

K ochraně webu před vším ostatním pak můžete použít tyto bezpečnostní pluginy a nástroje WordPressu.

Než se do toho pustíme, vysvětlíme si několik klíčových bezpečnostních pojmů

Ačkoli jsou díky těmto pluginům a nástrojům věci poměrně jednoduché, zabezpečení WordPressu stále zahrnuje mnoho pojmů, které možná neznáte.

Abych vám pomohl pochopit, co tyto nástroje vlastně dělají, chci vysvětlit několik nejčastějších pojmů, se kterými se budete setkávat po zbytek příspěvku.

Nejprve se často setkáte se slovem firewall (označovaný také jako WAF: web application firewall). V případě webu WordPress se firewall v podstatě nachází mezi serverem webu a veškerým příchozím provozem. Protože zaujímá tuto pozici, je schopen kontrolovat a filtrovat škodlivé subjekty ještě předtím, než se dostanou na váš server.

Všechny firewally však nejsou stejné. A účinnost vámi zvolené brány firewall závisí na pravidlech a konfiguracích, které poskytovatel brány firewall zavede.

Dalším pojmem je skenování malwaru, které vám bude pravděpodobně známější. Stejně jako byste skenovali svůj vlastní počítač na přítomnost virů a malwaru, může mnoho těchto nástrojů skenovat server webu WordPress na přítomnost malwaru.

Nakonec budu hodně nadhazovat termín posílení zabezpečení. Jedná se v podstatě o drobná vylepšení, která dohromady pomáhají zvýšit bezpečnost vašeho webu.

S těmito znalostmi v ruce se pojďme pustit do zásuvných modulů.

MalCare

MalCare je bezpečnostní plugin pro WordPress, který se, jak už asi tušíte z názvu, zaměřuje na detekci a odstraňování malwaru.

Jednou z věcí, která se mi na MalCare líbí ve srovnání s něčím, jako je Wordfence, je, že MalCare provádí skenování na vlastních serverech. Vyhledávání malwaru je poměrně náročný proces, takže pokud zásuvný modul provádí skenování na vašem živém serveru, může to zpomalit váš web, zatímco skenování běží.

MalCare to řeší tím, že ke skenování používá vlastní servery.

Je také obecně postaven tak, aby zachytil malware, který jiné zásuvné moduly nezachytí. A pokud něco zachytí, nabízí odstranění malwaru jedním kliknutím, abyste se zbavili inkriminovaného souboru.

MalCare také obsahuje firewall, ale nemyslím si, že je tak kvalitní jako ten, který získáte u Sucuri, takže bych stále doporučoval používat místo něj firewall od Sucuri, pokud si můžete dovolit tu cenu.

Kromě toho nabízí také některá základní zpřísnění zabezpečení, jako například:

  • pro přihlašovací stránku
  • Omezit pokusy o přihlášení
  • Zakázat úpravy souborů
  • Zakázat spouštění souborů ve složce uploads

Všeobecně si však myslím, že jedinečnou výhodou MalCare je skenování malwaru mimo server. Umožňuje také spravovat více webů z jednoho ovládacího panelu, což je další příjemný bonus.

Cena:

Wordfence

Wordfence je největší jméno v oblasti zabezpečení WordPressu, zejména pokud jde o řešení typu „vše v jednom“. Je aktivní na více než dvou milionech webů a zároveň si udržuje impozantní hodnocení 4,8 hvězdičky na více než 3 000 recenzích.

Dá se říct, že se líbí mnoha lidem.

Proč je tedy tak populární?

Za prvé, je k dispozici ve velkorysé bezplatné verzi (a také ve verzi Premium).

Za druhé, nabízí přístup k zabezpečení WordPressu „vše v jednom“.

Na široké úrovni obsahuje bránu firewall pro webové aplikace, která filtruje a blokuje škodlivý provoz, a také vestavěný skener malwaru, který kontroluje soubory na přítomnost malwaru, zadních vrátek a dalších škodlivých injekcí.

Tyto dvě základní funkce obsahuje jak bezplatná verze, tak verze Pro, ale verze Pro nabízí spíše přístup v reálném čase. Například brána firewall verze Pro získává aktualizace pravidel brány firewall v reálném čase, zatímco bezplatná verze se aktualizuje pouze každých 30 dní.

Podobně i kontrola malwaru verze Pro aktualizuje své signatury v reálném čase, zatímco bezplatná verze se zpožďuje o 30 dní.

Chcete-li tedy ochranu proti nejmodernějším exploitům, je pro vás lepší verze Pro.

Kromě těchto širokých ochran provádí také spoustu drobných vylepšení, která mohou váš web dále zabezpečit. Mám na mysli například:

  • Dvoufaktorové ověřování pro zabezpečení přihlášení
  • Upozornění na aktualizace
  • Emailová upozornění na důležité akce, jako je přihlášení k účtu správce
  • Omezení pokusů o přihlášení (automaticky zablokuje uživatele, kteří příliš často zadávají nesprávná hesla/uživatelská jména)
  • Vynucení silných hesel

Cena: Zdarma na WordPress.org. Pro verze začíná na 99 dolarech ročně, i když při zakoupení více let najednou získáte slevy.

iThemes Security

iThemes Security je další oblíbené řešení zabezpečení typu „vše v jednom“, které je k dispozici v bezplatné i prémiové verzi.

iThemes Security neobsahuje firewall jako Wordfence, ale nabízí skenování malwaru.

Kromě skenování malwaru obsahuje také celou hromadu menších bezpečnostních vylepšení pro zpevnění webu WordPress.

Především provádí řadu věcí pro ochranu přihlašovací stránky, například:

  • Skrývá přihlašovací stránku.
  • Blokuje hostitele/uživatele s příliš mnoha neúspěšnými pokusy o přihlášení, aby chránil před útoky hrubou silou.
  • Vynucení silných hesel pro všechny uživatelské účty.
  • Přejmenování účtu „admin“, pokud stále používáte jako uživatelské jméno admin.
  • Odstranění chybových hlášení při přihlašování.
  • Poskytnutí dvoufaktorového ověřování (Pro).

Dále je zde spousta dalších drobných úprav, z nichž mnohé najdete v bezpečnostních příručkách WordPressu:

  • Zakázání editace souborů v hlavním panelu.
  • Odstranění upozornění na aktualizace pro neoprávněné uživatele.
  • Změna předpony databáze WordPress.
  • Změna cesty k wp-content.
  • Zaznamenávání akcí uživatele.

Pokud chcete používat iThemes Security, vývojáři doporučují spárovat jej s firewallem WordPress od společnosti Sucuri, kterému se budeme věnovat příště.

Cena: Zdarma na WordPress.org. Verze Pro začíná na 80 dolarech ročně.

Sucuri

Sucuri je populární řešení zabezpečení webových stránek, které má dva různé produkty, které pomáhají se zabezpečením WordPressu:

  • Bezplatný doplněk
  • Placená služba firewall

Můžete oba tyto doplňky spárovat dohromady, nebo se můžete rozhodnout používat pouze jeden z nich (případně spárovat firewall s jiným doplňkem, například iThemes security).

Zásuvný modul Sucuri

Zásuvný modul zabezpečení Sucuri je k dispozici zdarma na webu WordPress.org. Neobsahuje funkce brány firewall, ale pro zabezpečení webu toho dělá hodně (a může vám pomoci integrovat bránu firewall, pokud se rozhodnete za ni zaplatit).

Především obsahuje audit aktivity a sledování integrity souborů. Tyto dvě funkce vám v podstatě pomáhají sledovat, co se na vašem webu děje. Audit aktivity vám například může ukázat neúspěšné pokusy o přihlášení a monitorování integrity souborů vám může říct, zda byl některý z vašich základních souborů WordPressu změněn.

Kromě toho plugin obsahuje základní skenování malwaru. Tato funkce je v podstatě implementací bezplatného skeneru SiteCheck od společnosti Sucuri v ovládacím panelu. Jako takový je omezenější než mnoho jiných řešení a nebude schopen zachytit veškerý malware.

Nakonec plugin Sucuri obsahuje také některá základní vylepšení zabezpečení WordPressu, jako je blokování souborů PHP v adresáři uploads a zakázání úprav souborů v panelu nástrojů.

Cena: Zatímco plugin Sucuri se zabývá monitorováním a základním zpevněním, služba Firewall od společnosti Sucuri proaktivně blokuje hrozby ještě předtím, než k nim dojde, a také vás chrání před útoky DDoS.

Společnost Sucuri kromě blokování škodlivých botů a známých exploitů využívá také svou rozsáhlou síť a strojové učení k neustálému zlepšování pravidel brány firewall a ochraně vašich stránek před nově objevenými exploity.

Společnost Sucuri vám navíc umožňuje vytvářet vlastní pravidla brány firewall. Můžete například nechat společnost Sucuri omezit přístup k ovládacímu panelu WordPressu na určitou sadu IP adres z bílé listiny.

Jako malý příjemný bonus obsahuje brána Sucuri Firewall také síť CDN, která urychluje váš web, i když to nemá se zabezpečením WordPressu nic společného!

Cena: 199,99 USD/rok za základní plán, plán Pro 299,99 USD/rok.

WebARX

WebARX je poměrně nová služba, která na vaše webové stránky přidává zabezpečený firewall a několik dalších funkcí.

Není specifická pro WordPress, ale obsahuje doplněk pro WordPress, který usnadňuje nastavení.

Jednou z příjemných věcí na službě WebARX je, že umožňuje snadno sledovat všechny vaše webové stránky z jediného ovládacího panelu. Pokud tedy máte spoustu menších webů roztroušených po webu, je to pohodlný způsob, jak je všechny sledovat z jednoho místa.

Kromě firewallu, který chrání vaše stránky před útoky a škodlivými roboty, obsahuje WebARX také monitorování doby provozu a znehodnocení. Pokud váš web vypadne nebo je znehodnocen, můžete dostat upozornění e-mailem nebo přes Slack. To je opět užitečné, pokud máte několik malých webů, které nekontrolujete tak často.

Cena:

VaultPress (součást Jetpack)

VaultPress je zálohovací a bezpečnostní služba od společnosti Automattic, která stojí za WordPress.com. Je součástí placených plánů Jetpack, takže pokud využijete VaultPress, získáte také přístup ke všem ostatním prémiovým funkcím Jetpack.

Stejně jako u MalCare je jednou ze zajímavých vlastností VaultPressu to, že bezpečnostní skenování provádí na vlastních serverech, což zajišťuje, že nikdy nedojde k narušení výkonu vašeho webu.

Podívejte se, jak to funguje:

Každý den VaultPress automaticky zálohuje váš web na své zabezpečené servery. Poté skenuje soubory, které právě zálohoval, na přítomnost malwaru nebo jiných infiltrací.

V nejvyšším tarifu může VaultPress také automaticky opravit všechny bezpečnostní problémy, které objeví (nejlevnější tarif však podporuje pouze „ruční řešení“).

Celkově je VaultPress dobrou volbou, pokud chcete něco, co kombinuje bezpečnostní skenování se zálohováním. Stále však můžete chtít samostatné řešení brány firewall.

Cena:

Cloudflare

Cloudflare je běžně považován za nástroj pro zvýšení výkonu díky své funkci CDN. A nechápejte mě špatně – je to dobrá volba pro zrychlení webu WordPress.

Ale protože Cloudflare funguje jako reverzní proxy server, je to také skvělý nástroj pro zabezpečení webu WordPress. V podstatě se reverzní proxy server nachází mezi prohlížeči vašich návštěvníků a serverem vašich webových stránek a usměrňuje provoz, což mu umožňuje filtrovat škodlivé subjekty.

Bezplatný plán služby Cloudflare nabízí základní zabezpečení v podobě ochrany proti DDoS a ochrany proti hrozbám založené na pověsti (blokuje přístup známých škodlivých hrozeb na vaše stránky).

Pokud jste ochotni zaplatit, placené plány Cloudflare zahrnují bránu firewall pro webové aplikace a také pravidla pro vytváření bílých seznamů IP adres.

Pokud už Cloudflare používáte kvůli funkcím zvyšujícím výkon, možná byste měli zvážit přechod na placené plány, abyste mohli využívat bránu firewall pro webové aplikace.

Cena: Zdarma se základním zabezpečením. Placené plány s bránou firewall začínají na 20 dolarech měsíčně

Login No re

Login No re je mnohem menší řešení než všechny ostatní pluginy. Zatímco všechny ostatní nástroje se zaměřují na firewally, skenování malwaru a další velká vylepšení, Login No re dělá ve skutečnosti jen jednu věc:

Přidejte na přihlašovací stránku ochranu Google re.

Jedná se o snadný způsob, jak ochránit přihlašovací stránku před útoky hrubou silou a zabránit neoprávněným uživatelům.

Některé pluginy typu vše v jednom již tuto funkci přidávají (např. iThemes Security). Pokud se však rozhodnete nepoužívat žádné z těchto řešení typu „vše v jednom“, měli byste i tak zvážit možnost uzamčení přihlašovací stránky pomocí modulu Login No re.

Cena: 100% zdarma

Který z těchto bezpečnostních pluginů a nástrojů pro WordPress je vhodný pro vaše potřeby?

Jistě nechcete na svých stránkách používat všechny tyto bezpečnostní pluginy a nástroje. Které z nich byste si tedy měli vybrat? Jak si sestavíte svůj bezpečnostní zásobník?

No, než se rozhodnete, doporučuji zkontrolovat, co váš hostitel WordPressu již dělá. Někteří hostitelé – zejména spravovaní hostitelé WordPressu – pro vás již mohou implementovat firewall a skenování malwaru na úrovni serveru. Pokud tomu tak je, není třeba jejich úsilí duplikovat.

Pokud víte, co váš hostitel již dělá, zde je několik tipů pro výběr řešení.

Pokud chcete firewall pro webové stránky, Sucuri Firewall je nejlepší volbou pro kritické weby, zatímco MalCare nabízí cenově dostupnější verzi s ovládacím panelem, který usnadňuje správu více webů.

Pokud chcete skenovat malware, MalCare a VaultPress jsou skvělou volbou, protože neprovádějí skenování na serveru.

Můžete také kombinovat firewall a doplněk pro skenování malwaru. Můžete například použít WebARX pro firewall a MalCare pro skenování malwaru. Služba Malcare sice technicky nabízí bránu firewall, ale není to její silná stránka. Proto je lepší vypnout firewall založený na zásuvném modulu Malcare a spárovat jej s něčím, jako je WebARX nebo Sucuri.

Pokud váš hostitel již implementoval firewall a skenování malwaru za vás, můžete tyto zásuvné moduly vynechat, ale přesto bych doporučil přidat něco jako Login No re pro uzamčení přihlašovací stránky. Nicméně Wordfence a WebARX mají tuto funkci zabudovanou, takže nevyžadují další zásuvný modul.

Nakonec máte k dispozici bezpečnostní zásuvné moduly typu vše v jednom, jako je Wordfence a iThemes Security. Tyto zásuvné moduly zabezpečení opravdu zjednodušují, což je dobře. Protože jsou ale na serveru neustále zapnuté a spuštěné, mohou také zpomalovat váš web, což je špatně.

Z tohoto důvodu je osobně nepoužívám a raději si vybírám konkrétní bezpečnostní funkce, které chci.

Přesto uznávám jejich přínos z hlediska jednoduchosti.

Poznámka: Wordfence a iThemes Security by se neměly používat společně. Pokud se rozhodnete jít cestou „bezpečnostního pluginu vše v jednom“ – používejte jen jeden.

Takže pokud se cítíte zahlceni všemi těmito možnostmi a chcete jen něco, co se snadno používá hned po vybalení z krabice, tyto dva jsou určitě solidní možnosti. Věnujte ale velkou pozornost době načítání webu před a po, abyste se ujistili, že nedochází k žádnému znatelnému zpomalení.

Zveřejnění: Tento příspěvek obsahuje partnerské odkazy. To znamená, že v případě nákupu můžeme získat malou provizi.

831Sdílení

.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.