Tudja, hogy ez egy csúnya világ odakint, ahol a rosszindulatú szereplők csak arra vágynak, hogy piszkos kezüket a WordPress webhelyére tegyék. Azt is tudod, hogy valószínűleg tenned kellene “valamit”, hogy a WordPress webhelyed biztonságban legyen ezektől a rosszfiúktól.
Azt viszont talán nem tudod, hogy mi ez a “valami”.
Ne aggódj – a WordPress webhelyed védelméhez nem kell programozási gurunak lenned, mint ahogy a tévéműsorokban látod. De szükséged lesz néhány WordPress biztonsági bővítményre és eszközre a munka elvégzéséhez.
Ezt fogom megosztani veled ebben a bejegyzésben.
A nyolc legjobb WordPress biztonsági bővítményt és eszközt fogok ismertetni, az egyes eszközök előnyeivel és hátrányaival együtt. Aztán a végén megpróbálok segíteni neked kiválasztani a megfelelő eszközkészletet a saját egyedi helyzeted alapján.
De először is hadd kezdjem egy gyors figyelmeztetéssel…
- A WordPress biztonsága nem csak a pluginokról és eszközökről szól
- Magyarázzunk el néhány kulcsfontosságú biztonsági kifejezést, mielőtt beleásnánk magunkat
- MalCare
- Wordfence
- iThemes Security
- Sucuri
- Sucuri plugin
- WebARX
- VaultPress (a Jetpack része)
- Cloudflare
- Login No re
- Melyik WordPress biztonsági bővítmény és eszköz felel meg az Ön igényeinek?
A WordPress biztonsága nem csak a pluginokról és eszközökről szól
A listán szereplő összes biztonsági plugin és eszköz segít biztonságosabbá tenni a WordPress-t. De nem szüntetik meg az Ön részéről történő cselekvés szükségességét.
Gondoljon rájuk úgy, mint a motoros sisak viselésére. Persze – a motorkerékpáros sisak segít megvédeni téged egy balesetben, de nem ad engedélyt arra, hogy kimenj és vakmerően vezess.
Ezek az eszközök is ilyenek. Adnak némi nagyon szükséges védelmet, de attól még biztonságosan kell vezetned, ha biztonságban akarsz maradni.
Szóval, mit jelent a “biztonságos vezetés” a WordPress világában? Olyan igazán egyszerű dolgokról beszélek, mint például:
- A WordPress-szoftver, a bővítmények és a témák időben történő frissítése
- Biztonságos jelszó használata a WordPress rendszergazdai fiókjához és a webtárhely-fiókjához
- Kizárólag megbízható fejlesztőktől/forrásokból származó témák és bővítmények használata
- A webhely rendszeres biztonsági mentése
Ezek a tippek talán túlságosan leegyszerűsítőnek tűnhetnek, de már e négy dolog elvégzése önmagában is segít megvédeni a legtöbb WordPress biztonsági problémától.
Ezután, hogy megvédd webhelyedet minden mástól, használhatod ezeket a WordPress biztonsági bővítményeket és eszközöket.
Magyarázzunk el néhány kulcsfontosságú biztonsági kifejezést, mielőtt beleásnánk magunkat
Míg ezek a bővítmények és eszközök meglehetősen egyszerűvé teszik a dolgokat, a WordPress biztonsága még mindig sok olyan kifejezést tartalmaz, amelyekkel nem biztos, hogy tisztában vagy.
Azért, hogy megértsd, mit is csinálnak valójában ezek az eszközök, szeretnék elmagyarázni néhányat a leggyakoribb kifejezések közül, amelyekkel a bejegyzés hátralévő részében találkozni fogsz.
Először is, sokszor fogsz találkozni a tűzfal szóval (más néven WAF: webalkalmazás tűzfal). A WordPress webhelyed esetében a tűzfal alapvetően a webhelyed szervere és az összes bejövő forgalom között helyezkedik el. Mivel ezt a pozíciót foglalja el, képes megvizsgálni és kiszűrni a rosszindulatú szereplőket, még mielőtt azok elérnék a szerveredet.
A tűzfalak azonban nem mind egyformák. Az Ön által választott tűzfal hatékonysága pedig attól függ, hogy a tűzfalszolgáltató milyen szabályokat és konfigurációkat állít fel.
A másik kifejezés a malware scanning, amelyet valószínűleg már jobban ismer. Ahogyan a saját számítógépedet is átvizsgálnád vírusok és rosszindulatú programok után, sok ilyen eszköz képes átvizsgálni a WordPress webhelyed szerverét rosszindulatú programok után.
Végezetül, sokat dobálózom a biztonsági keményítés kifejezéssel. Ezek alapvetően olyan apró finomítások, amelyek összesítve segítenek biztonságosabbá tenni az oldaladat.
Ezzel a tudással a kezedben, ássuk bele magunkat a bővítményekbe.
MalCare
A MalCare egy WordPress biztonsági bővítmény, amely, ahogy a nevéből valószínűleg kitalálhatod, a rosszindulatú programok felismerésére és eltávolítására összpontosít.
Az egyik dolog, ami tetszik a MalCare-ben az olyanokkal szemben, mint a Wordfence, hogy a MalCare a saját szerverein végzi a vizsgálatot. A rosszindulatú programok keresése elég intenzív folyamat, így ha egy bővítmény az élő szerveren végzi a keresést, az lelassíthatja a webhelyet, amíg a keresés fut.
A MalCare ezt úgy oldja meg, hogy a saját szervereit használja a kereséshez.
Az is csak általában úgy van felépítve, hogy elkapja a rosszindulatú programokat, amelyeket más bővítmények nem. És ha mégis elkap valamit, akkor egy kattintással eltávolítja a rosszindulatú programokat, hogy megszabaduljon a támadó fájltól.
A MalCare tartalmaz egy tűzfalat is, de nem hiszem, hogy ez olyan jó minőségű, mint amit a Sucurival kap, ezért továbbra is a Sucuri tűzfalát ajánlom helyette, ha meg tudja fizetni az árát.
Ezeken kívül néhány alapvető biztonsági keményítést is kínál, mint például:
- a bejelentkezési oldaladhoz
- A bejelentkezési kísérletek korlátozása
- Fájlszerkesztés letiltása
- Fájlok végrehajtásának letiltása a feltöltési mappában
Általában azonban úgy gondolom, hogy a MalCare egyedi értékesítési ajánlata a szerveren kívüli malware-ellenőrzés. Emellett lehetővé teszi több webhely kezelését egyetlen műszerfalról, ami egy másik szép bónusz.
Ár: $99/évtől kezdődik
Wordfence
A Wordfence a WordPress biztonságának legnagyobb neve, különösen, ha az all-in-one megoldásokról van szó. Több mint kétmillió webhelyen aktív, miközben több mint 3000 értékelés alapján lenyűgöző, 4,8 csillagos értékelést kapott.
Elég, ha azt mondjuk, hogy sokan szeretik.
Miért olyan népszerű?
Először is, nagyvonalú ingyenes verzióban (valamint prémium verzióban).
Másodszor, egy minden egyben megközelítést kínál a WordPress biztonságához.
Tágabb szinten tartalmaz egy webalkalmazás tűzfalat a rosszindulatú forgalom szűrésére és blokkolására, valamint egy beépített malware-olvasót, amely ellenőrzi a fájlokat rosszindulatú programok, hátsó ajtók és egyéb rosszindulatú injektálások szempontjából.
Az ingyenes és a Pro verzió is tartalmazza ezt a két alapvető funkciót, de a Pro verzió inkább valós idejű megközelítést kínál mindkettőhöz. Például a Pro verzió tűzfala valós idejű tűzfalszabály-frissítéseket kap, míg az ingyenes verzió csak 30 naponként frissül.
Hasonlóképpen, a Pro verzió rosszindulatú programok ellenőrzése is valós időben frissíti az aláírásokat, míg az ingyenes verzió 30 napos késéssel.
Ha tehát a legmodernebb exploitok elleni védelemre vágyik, akkor jobban jár a Pro verzióval.
A széleskörű védelem mellett sok olyan apró finomítást is elvégez, amelyekkel tovább keményítheti webhelyét. Olyan dolgokról beszélek, mint:
- Kétfaktoros hitelesítés a bejelentkezés biztonsága érdekében
- Frissítési értesítések
- Emailes figyelmeztetések fontos műveletekről, például egy adminisztrátori fiók bejelentkezéséről
- Bejelentkezési kísérletek korlátozása (automatikusan blokkolja a túl sokszor helytelen jelszavakat/felhasználóneveket beíró felhasználókat)
- Erős jelszavak kikényszerítése
Ár: Ingyenes a WordPress.org oldalon. A Pro verzió 99 dollárnál kezdődik évente, bár több év egyszerre történő megvásárlásával kedvezményt kaphatsz.
iThemes Security
Az iThemes Security egy másik népszerű minden egyben biztonsági megoldás, amely ingyenes és prémium verzióban is elérhető.
Az iThemes Security nem tartalmaz tűzfalat, mint a Wordfence, de kínál rosszindulatú programok átvizsgálását.
A rosszindulatú szoftverek vizsgálatán túlmenően egy egész halom kisebb biztonsági finomítással is rendelkezik, hogy megkeményítse WordPress webhelyét.
Először is, számos dolgot tesz a bejelentkezési oldal védelme érdekében, mint például:
- A bejelentkezési oldal elrejtése.
- A túl sok sikertelen bejelentkezési kísérletet végrehajtó hosztok/felhasználók blokkolása a nyers erővel végrehajtott támadások elleni védelem érdekében.
- Erős jelszavak kikényszerítése minden felhasználói fiókhoz.
- A “admin” fiók átnevezése, ha továbbra is az admin-t használja felhasználónévként.
- A bejelentkezési hibaüzenetek eltávolítása.
- Kétfaktoros hitelesítés biztosítása (Pro).
Ezeken kívül még rengeteg apró finomítás van, amelyek közül sokat a WordPress biztonsági útmutatókban is megtalálsz:
- Fájlszerkesztés kikapcsolása a szerkesztőfelületen belül.
- Távolítsa el a jogosulatlan felhasználók frissítési értesítéseit.
- Változtassa meg a WordPress adatbázis előtagját.
- Változtassa meg a wp-content elérési útját.
- Naplózza a felhasználói műveleteket.
Ha az iThemes Security-t szeretné használni, a fejlesztők a Sucuri WordPress tűzfalával való párosítást javasolják, amivel a következőkben foglalkozunk.
Ár: Ingyenes a WordPress.org oldalon. A Pro verzió évi 80 dollárnál kezdődik.
Sucuri
A Sucuri egy népszerű webhelybiztonsági megoldás, amely két különböző termékkel segíti a WordPress biztonságát:
- Egy ingyenes plugin
- Egy fizetős tűzfal szolgáltatás
Párosíthatod a kettőt együtt, vagy dönthetsz úgy is, hogy csak az egyiket használod (vagy a tűzfalat egy másik pluginnal párosítod, mint például az iThemes security).
Sucuri plugin
Sucuri biztonsági pluginja ingyenesen elérhető a WordPress.org oldalon. Nem tartalmazza a tűzfal funkciót, de sokat tesz a webhely biztonságáért (és segíthet a tűzfal integrálásában, ha úgy döntesz, hogy fizetsz érte).
Először is, tartalmazza a tevékenységellenőrzést és a fájlok integritásának felügyeletét. Alapvetően ez a két funkció segít nyomon követni, hogy mi történik a webhelyeden. A tevékenység-ellenőrzés például megmutatja a sikertelen bejelentkezési kísérleteket, a fájlintegritás-figyelés pedig megmondja, hogy módosult-e valamelyik alapvető WordPress-fájlja.
Ezeken túlmenően a bővítmény tartalmaz alapvető rosszindulatú programok ellenőrzését is. Ez a funkcionalitás lényegében a Sucuri ingyenes SiteCheck szkennerének in-dashboard implementációja. Mint ilyen, korlátozottabb, mint sok más megoldás, és nem lesz képes minden rosszindulatú programot elkapni.
Végezetül, a Sucuri bővítmény tartalmaz néhány alapvető WordPress biztonsági szigorítást is, mint például a PHP-fájlok blokkolása a feltöltési könyvtárban és a fájlszerkesztés letiltása a képernyőablakban.
Áfás:
Míg a Sucuri bővítménye a felügyeletről és az alapvető keményítésről szól, addig a Sucuri tűzfal szolgáltatása proaktívan blokkolja a fenyegetéseket, mielőtt azok bekövetkeznének, és megvéd a DDoS-támadásoktól is.
A rosszindulatú botok és az ismert exploitok blokkolásán túl a Sucuri a nagy hálózatát és a gépi tanulást is felhasználja a tűzfalszabályok folyamatos javítására és webhelyének védelmére az újonnan felfedezett exploitoktól.
A Sucuri emellett lehetővé teszi, hogy saját tűzfalszabályokat hozzon létre. Például a Sucuri korlátozhatja a WordPress műszerfalához való hozzáférést a fehér listán szereplő IP-címek egy meghatározott csoportjára.
Kellemes kis bónuszként a Sucuri tűzfal egy CDN-t is tartalmaz, hogy felgyorsítsa webhelyét, bár ennek igazából semmi köze a WordPress biztonságához!
Ár: 199,99 $/év Basic, Pro csomag 299,99 $/év.
WebARX
A WebARX egy viszonylag új szolgáltatás, amely biztonságos tűzfalat ad a webhelyeidhez, valamint néhány más funkciót.
Nem specifikusan a WordPressre, de tartalmaz egy WordPress plugint, amely megkönnyíti a beállítást.
A WebARX egyik szép tulajdonsága, hogy egyetlen műszerfalról könnyen felügyelheti az összes webhelyét. Így ha sok kisebb webhelye van szétszórva, ez egy kényelmes módja annak, hogy egy helyről tartsa szemmel az összeset.
A webhelyét a támadásoktól és a rosszindulatú botoktól védő tűzfalon túl a WebARX tartalmaz üzemidő- és rongálásfigyelést is. Ha webhelye leáll vagy megrongálják, értesítést kaphat e-mailben vagy Slacken keresztül. Ez is hasznos, ha egy csomó kis webhelye van, amelyeket nem ellenőriz olyan gyakran.
Ár:
VaultPress (a Jetpack része)
A VaultPress egy biztonsági mentési és biztonsági szolgáltatás az Automattic-tól, amely a WordPress.com mögött álló cég. Ez a fizetős Jetpack csomagok része, így a VaultPress használatával a többi prémium Jetpack funkcióhoz is hozzáférhetsz.
A MalCare-hez hasonlóan a VaultPress egyik érdekessége, hogy a biztonsági ellenőrzést a saját szerverein végzi, ami biztosítja, hogy a webhelyed teljesítménye soha nem csökken.
Íme, hogyan működik:
A VaultPress minden nap automatikusan biztonsági mentést készít a webhelyedről a biztonságos szervereire. Ezután átvizsgálja az éppen lementett fájlokat rosszindulatú vagy egyéb behatoló programok után.
A legmagasabb szintű csomagban a VaultPress automatikusan kijavítja az általa felfedezett biztonsági problémákat is (a legolcsóbb szint azonban csak a “kézi megoldást” támogatja).
A VaultPress összességében jó választás, ha olyasmit szeretne, ami a biztonsági ellenőrzést a biztonsági mentésekkel kombinálja. Még mindig szükséged lehet egy külön tűzfalmegoldásra.
Ár:
Az ár: A Security Daily csomag ára 11,40 £/hó vagy 9,55 £/hó (évente számlázva).
Cloudflare
A Cloudflare-t általában teljesítménynövelő eszközként tartják számon a CDN funkciói miatt. És ne értsen félre – ez egy jó lehetőség a WordPress webhelyének felgyorsítására.
De mivel a Cloudflare fordított proxyként működik, nagyszerű eszköz a WordPress webhelyének védelmére is. Lényegében egy fordított proxy a látogatók böngészője és a webhelye szervere között helyezkedik el, és irányítja a forgalmat, ami lehetővé teszi a rosszindulatú szereplők kiszűrését.
A Cloudflare ingyenes csomagja alapvető biztonságot nyújt DDoS-védelem és hírnév alapú fenyegetésvédelem formájában (blokkolja az ismert rosszindulatú fenyegetések hozzáférését a webhelyéhez).
Ha hajlandó fizetni, a Cloudflare fizetős csomagjai tartalmaznak egy webes alkalmazás tűzfalat, valamint IP fehérlistázási szabályokat.
Ha már használja a Cloudflare-t a teljesítménynövelő funkciói miatt, érdemes megfontolni a fizetős csomagokra való frissítést, hogy kihasználhassa a webes alkalmazás tűzfal előnyeit.
Ár: Ingyenes alapszintű biztonsággal. A fizetős csomagok a tűzfallal havi 20 dollárnál kezdődnek
Login No re
A Login No re sokkal kisebb megoldás, mint az összes többi bővítmény. Míg a többi eszköz mind tűzfalakra, malware-ellenőrzésre és egyéb nagy csípésekre összpontosít, a Login No re valójában csak egy dolgot csinál:
Add hozzá a Google re védelmet a bejelentkezési oldaladhoz.
Ez egy egyszerű módja annak, hogy megvédd a bejelentkezési oldaladat a nyers erővel végrehajtott támadásoktól, és távol tartsd az illetéktelen felhasználókat.
Egyes all-in-one-biztonsági pluginek már hozzáadják ezt a funkciót (pl. iThemes Security). De ha úgy dönt, hogy nem valamelyik ilyen all-in-one megoldást használja, akkor is érdemes megfontolnia a Login No re-t, hogy lezárja a bejelentkezési oldalát.
Ár: 100% ingyenes
Melyik WordPress biztonsági bővítmény és eszköz felel meg az Ön igényeinek?
Kétségtelenül nem szeretné az összes ilyen biztonsági bővítményt és eszközt használni a webhelyén. Tehát melyiket érdemes választania? Hogyan építi fel a biztonsági stackjét?
Nos, mielőtt választana, javaslom, hogy ellenőrizze, mit csinál már a WordPress tárhelye. Egyes tárhelyek – különösen a menedzselt WordPress tárhelyek – már szerverszinten is implementálhatnak tűzfalakat és rosszindulatú programok átvizsgálását a számodra. Tehát ha ez a helyzet, nincs szükség arra, hogy megkettőzze az erőfeszítéseiket.
Ha már tudja, hogy a tárhelyszolgáltatója mit csinál már, íme néhány tipp a megoldások kiválasztásához.
Ha webhely tűzfalat szeretne, a Sucuri Firewall a legjobb választás a kritikus webhelyek számára, míg a MalCare egy megfizethetőbb verziót kínál, amelynek műszerfala megkönnyíti több webhely kezelését.
Ha malware-ellenőrzést szeretne, a MalCare és a VaultPress remek választás, mivel nem futtatnak vizsgálatokat a szerveren.
A tűzfal és a malware-ellenőrző plugin kombinálható is. Például használhatja a WebARX-ot a tűzfalhoz és a MalCare-t a malware-ellenőrzéshez. Bár a Malcare technikailag kínál tűzfalat, ez nem a szolgáltatás erőssége. Ezért jobban jársz, ha kikapcsolod a Malcare plugin alapú tűzfalát, és valami olyannal párosítod, mint a WebARX vagy a Sucuri.
Ha a tárhelyed már implementált neked tűzfalat és malware-ellenőrzést, akkor kihagyhatod ezeket a pluginokat, de még mindig javaslom, hogy adj hozzá valami olyasmit, mint a Login No re, hogy lezárd a bejelentkezési oldaladat. A Wordfence és a WebARX azonban rendelkezik ezzel a beépített funkcióval, így nem igényel külön bővítményt.
Végül ott vannak a minden egyben biztonsági bővítmények, mint a Wordfence és az iThemes Security. Ezek a pluginok nagyon egyszerűvé teszik a biztonságot, ami jó. De mivel mindig be vannak kapcsolva és futnak a szerveren, lelassíthatják a webhelyet, ami nem jó.
Ezért én személy szerint nem használom őket, és inkább kiválasztom a kívánt biztonsági funkciókat.
Ezzel együtt elismerem az előnyeiket az egyszerűség szempontjából.
Megjegyzés: A Wordfence és az iThemes Security nem használható együtt. Ha az “all-in-one biztonsági plugin” útvonalat választja – csak az egyiket használja.
Szóval, ha úgy érzi, hogy túlterheltek ezek a lehetőségek, és csak valami olyat szeretne, ami könnyen használható a dobozból, ez a kettő biztosan szilárd választás. De előtte és utána is figyelje alaposan a webhely betöltési idejét, hogy megbizonyosodjon arról, hogy nincs észrevehető lassulás.
Felvilágosítás: Ez a bejegyzés affiliate linkeket tartalmaz. Ez azt jelenti, hogy egy kis jutalékot kaphatunk, ha vásárolsz.