8 Effective WordPress Security Plugins And Tools To Keep Your Site Safe

Wiesz, że jest to paskudny świat tam ze złośliwymi aktorami, którzy tylko swędzą, aby uzyskać ich brudne ręce na swojej stronie internetowej WordPress. Wiesz również, że prawdopodobnie powinieneś zrobić „coś”, aby utrzymać witrynę WordPress bezpieczną od wszystkich tych baddies.

Co możesz nie wiedzieć, to co to „coś” jest.

Nie martw się – zabezpieczenie witryny WordPress nie wymaga, aby być guru programowania, jak widać w programach telewizyjnych. Ale będziesz chciał niektóre wtyczki bezpieczeństwa WordPress i narzędzia, aby uzyskać pracę done.

To jest to, co mam zamiar podzielić się z wami w tym poście.

Pokryję osiem z najlepszych wtyczek bezpieczeństwa WordPress i narzędzi, wraz z każdego narzędzia plusy i minusy. Następnie, na końcu, postaram się pomóc Ci wybrać odpowiedni zestaw narzędzi w oparciu o własną unikalną sytuację.

Ale najpierw pozwól mi zacząć od szybkiego zastrzeżenia…

Bezpieczeństwo WordPressa to nie tylko wtyczki i narzędzia

Wszystkie wtyczki bezpieczeństwa i narzędzia na tej liście pomogą Ci uczynić WordPressa bardziej bezpiecznym. Ale nie eliminują one potrzeby działania z Twojej strony.

Pomyśl o nich jak o noszeniu kasku motocyklowego. Jasne – kaski motocyklowe pomogą chronić cię w wypadku, ale nie są one licencją na wyjście i lekkomyślną jazdę.

Te narzędzia są jak to. Dają ci pewną bardzo potrzebną ochronę, ale nadal musisz jeździć bezpiecznie, jeśli chcesz pozostać bezpieczny i bezpieczny.

Więc czym jest „bezpieczna jazda” w świecie WordPress? Mówię o naprawdę prostych rzeczach, takich jak:

• Promptptly updating your WordPress software, plugins, and themes
• Using a secure password for your WordPress administrator account and web hosting account
• Only using themes and plugins from renowned developers/sources
• Backing up your site on a regular basis

Those tips might seem overly simplistic, ale robienie tych czterech rzeczy sam pomoże Ci chronić przed większością problemów bezpieczeństwa WordPress.

Wtedy, aby chronić swoją witrynę przed wszystkim innym, można użyć tych wtyczek i narzędzi bezpieczeństwa WordPress.

Kilka kluczowych terminów bezpieczeństwa wyjaśnione przed kopać w

While te wtyczki i narzędzia sprawiają, że rzeczy dość proste, bezpieczeństwo WordPress nadal obejmuje wiele terminów, które mogą nie być znane.

Aby pomóc Ci zrozumieć, co te narzędzia właściwie robią, chcę wyjaśnić kilka najczęstszych terminów, które zobaczysz w pozostałej części postu.

Po pierwsze, zobaczysz słowo firewall pojawia się dużo (również określane jako WAF: web application firewall). Dla witryny WordPress, firewall w zasadzie siedzi między serwerem witryny i całego ruchu przychodzącego. Ponieważ zajmuje tę pozycję, jest w stanie sprawdzić i odfiltrować złośliwych aktorów, zanim jeszcze dotrą do serwera.

Wszystkie zapory nie są tworzone jednakowo, choć. A skuteczność wybranej zapory zależy od reguł i konfiguracji, które dostawca zapory umieszcza w miejscu.

Innym terminem jest skanowanie złośliwego oprogramowania, z którym prawdopodobnie będziesz bardziej zaznajomiony. Tak jak byś skanowania własnego komputera na wirusy i złośliwe oprogramowanie, wiele z tych narzędzi może skanować swoją witrynę WordPress serwera dla malware.

Wreszcie, będę rzucać terminem bezpieczeństwa utwardzania wokół dużo. Są to w zasadzie małe poprawki, które, gdy umieścić razem, pomóc uczynić witrynę bardziej bezpieczne.

Z tej wiedzy w ręku, niech kopać do wtyczek.

MalCare

MalCare to wtyczka bezpieczeństwa WordPress, która, jak można się domyślić z nazwy, skupia się na wykrywaniu i usuwaniu złośliwego oprogramowania.

Jedną z rzeczy, które lubię w MalCare w porównaniu do czegoś takiego jak Wordfence jest to, że MalCare wykonuje skanowanie na własnych serwerach. Skanowanie w poszukiwaniu złośliwego oprogramowania jest dość intensywnym procesem, więc jeśli wtyczka wykonuje skanowanie na serwerze na żywo, może to spowolnić witrynę podczas skanowania.

MalCare naprawia to, używając własnych serwerów do skanowania.

Jest również po prostu ogólnie zbudowany, aby złapać złośliwe oprogramowanie, którego inne wtyczki nie łapią. A jeśli coś złapie, oferuje usuwanie złośliwego oprogramowania jednym kliknięciem, aby pozbyć się obraźliwego pliku.

MalCare zawiera również zaporę sieciową, ale nie sądzę, aby była tak wysokiej jakości jak to, co dostajesz z Sucuri, więc nadal polecam używanie zapory sieciowej Sucuri zamiast tego, jeśli możesz zamachnąć się na cenę.

Poza tym, oferuje również pewne podstawowe zabezpieczenia, takie jak:

• dla strony logowania
• Limit login attempts
• Disable file editing
• Disable file execution in uploads folder

Ogólnie jednak uważam, że unikalną propozycją sprzedaży MalCare jest skanowanie malware poza serwerem. Pozwala również na zarządzanie wieloma witrynami z jednego pulpitu nawigacyjnego, co jest kolejnym miłym bonusem.

Cena: Starts at $99/year

Wordfence

Wordfence to największa nazwa w bezpieczeństwie WordPress, zwłaszcza jeśli chodzi o rozwiązania all-in-one. Jest aktywny na ponad dwóch milionach witryn, utrzymując imponującą ocenę 4,8 gwiazdek na ponad 3000 recenzji.

Dość powiedzieć, że wielu ludzi go lubi.

Dlaczego więc jest tak popularny?

Po pierwsze, jest dostępny w hojnej darmowej wersji (jak również w wersji premium).

Po drugie, oferuje podejście „wszystko w jednym” do bezpieczeństwa WordPress.

Na szerokim poziomie, zawiera zaporę sieciową do filtrowania i blokowania złośliwego ruchu, jak również wbudowany skaner złośliwego oprogramowania do sprawdzania plików pod kątem złośliwego oprogramowania, backdoorów i innych złośliwych wstrzyknięć.

Obaj wersje darmowe i Pro zawierają te dwie podstawowe funkcje, ale wersja Pro oferuje więcej podejścia w czasie rzeczywistym do obu. Na przykład, zapora sieciowa w wersji Pro otrzymuje aktualizacje reguł zapory w czasie rzeczywistym, podczas gdy wersja darmowa aktualizuje je tylko co 30 dni.

Podobnie, skanowanie złośliwego oprogramowania w wersji Pro aktualizuje swoje sygnatury w czasie rzeczywistym, podczas gdy wersja darmowa jest opóźniona o 30 dni.

Więc jeśli chcesz ochrony przed najnowocześniejszymi exploitami, lepiej skorzystaj z wersji Pro.

Poza tymi szerokimi zabezpieczeniami, wprowadza również wiele małych poprawek, które mogą dodatkowo wzmocnić twoją witrynę. Mówię o rzeczach takich jak:

• Dwuskładnikowe uwierzytelnianie w celu zabezpieczenia logowania
• Powiadomienia o aktualizacjach
• Alerty e-mail dla ważnych działań, takich jak logowanie konta administratora
• Limituj próby logowania (automatycznie blokuj użytkowników, którzy wprowadzają nieprawidłowe hasła/nazwiska zbyt wiele razy)
• Wymuszaj silne hasła

Cena: Darmowy na WordPress.org. Wersja Pro zaczyna się od $99 za rok, chociaż można uzyskać zniżki za zakup wielu lat na raz.

iThemes Security

iThemes Security to kolejne popularne rozwiązanie bezpieczeństwa typu „wszystko w jednym”, które jest dostępne zarówno w wersji darmowej, jak i premium.

iThemes Security nie zawiera zapory sieciowej, takiej jak Wordfence, ale oferuje skanowanie złośliwego oprogramowania.

Poza skanowaniem malware, jest również wyposażony w całą stertę mniejszych poprawek bezpieczeństwa, aby utwardzić witrynę WordPress.

Po pierwsze, robi wiele rzeczy, aby chronić stronę logowania, takich jak:

• Ukrywa stronę logowania.
• Blokuje hosty/użytkowników ze zbyt wieloma nieudanymi próbami logowania, aby chronić przed atakami brute force.
• Wymuszanie silnych haseł dla wszystkich kont użytkowników.
• Zmienianie nazwy konta „admin”, jeśli nadal używasz admin jako nazwy użytkownika.
• Usuwanie komunikatów o błędach logowania.
• Oferowanie uwierzytelniania dwuskładnikowego (Pro).

Potem jest wiele innych małych poprawek, z których wiele zobaczysz w przewodnikach bezpieczeństwa WordPress:

• Wyłącz edycję plików w desce rozdzielczej.
• Usuń powiadomienia o aktualizacjach dla nieautoryzowanych użytkowników.
• Zmień prefiks bazy danych WordPress.
• Zmień ścieżkę wp-content.
• Loguj działania użytkownika.

Jeśli chcesz użyć iThemes Security, programiści zalecają sparowanie go z zaporą Sucuri’s WordPress, którą pokryjemy w następnej kolejności.

Cena: Darmowy na WordPress.org. Wersja Pro zaczyna się od 80 dolarów rocznie.

Sucuri

Sucuri to popularne rozwiązanie bezpieczeństwa stron internetowych, które ma dwa różne produkty, które pomagają w bezpieczeństwie WordPress:

• Darmowa wtyczka
• Płatna usługa zapory sieciowej

Możesz sparować oba te produkty razem, lub możesz zdecydować się na użycie tylko jednego z nich (lub sparować zaporę sieciową z inną wtyczką, taką jak bezpieczeństwo iThemes).

Wtyczka Sucuri

Wtyczka bezpieczeństwa Sucuri jest dostępna za darmo na WordPress.org. Nie zawiera ona funkcji zapory ogniowej, ale robi wiele, aby Twoja witryna była bezpieczna (i może pomóc Ci zintegrować zaporę ogniową, jeśli zdecydujesz się za nią zapłacić).

Po pierwsze, zawiera audyt aktywności i monitorowanie integralności plików. Zasadniczo, te dwie funkcje pomogą Ci monitorować, co dzieje się w Twojej witrynie. Na przykład audyt aktywności może pokazać nieudane próby logowania, a monitorowanie integralności plików może powiedzieć, czy którykolwiek z twoich podstawowych plików WordPress został zmodyfikowany.

Poza tym, wtyczka zawiera podstawowe skanowanie malware. Ta funkcjonalność jest zasadniczo implementacją w desce rozdzielczej darmowego skanera SiteCheck firmy Sucuri. Jako taka, jest bardziej ograniczona niż wiele innych rozwiązań i nie będzie w stanie złapać całego złośliwego oprogramowania.

Wreszcie, wtyczka Sucuri zawiera również kilka podstawowych zabezpieczeń WordPress hardening tweaks, takich jak blokowanie plików PHP w katalogu uploads i wyłączenie edycji plików in-dashboard.

Cena: Free at WordPress.org

Sucuri Firewall

Whereas Sucuri’s plugin is about monitoring and basic hardening, Sucuri’s Firewall service proactively blocks threats before they happen and also protects you from DDoS attacks.

Poza blokowaniem złośliwych botów i znanych exploitów, Sucuri wykorzystuje również swoją dużą sieć i uczenie maszynowe, aby stale ulepszać swoje reguły zapory i chronić Twoją witrynę przed nowo odkrytymi exploitami.

Dodatkowo Sucuri pozwala tworzyć własne reguły zapory. Na przykład możesz mieć Sucuri ograniczony dostęp do pulpitu nawigacyjnego WordPressa do określonego zestawu adresów IP z białą listą.

Jako miły mały bonus, Sucuri Firewall zawiera również CDN, aby przyspieszyć twoją witrynę, chociaż tak naprawdę nie ma to nic wspólnego z bezpieczeństwem WordPressa!

Cena: 199,99 USD/rok za plan Basic, plan Pro 299,99 USD/rok.

WebARX

WebARX to stosunkowo nowa usługa, która dodaje bezpieczną zaporę sieciową do twoich stron internetowych, a także kilka innych funkcji.

Nie jest to specyficzne dla WordPress, ale zawiera wtyczkę WordPress, aby konfiguracja była łatwa.

Jedną z miłych rzeczy w WebARX jest to, że ułatwia monitorowanie wszystkich witryn z jednego pulpitu nawigacyjnego. Więc jeśli masz wiele mniejszych stron rozproszonych, jest to wygodny sposób, aby mieć oko na wszystkie z nich z jednego miejsca.

Poza zaporą ogniową, aby chronić witrynę przed atakami i złośliwymi botami, WebARX zawiera również czas pracy i monitorowanie defacementu. Jeśli Twoja witryna zejdzie lub zostanie zniszczona, możesz otrzymać powiadomienie e-mailem lub przez Slack. Ponownie, jest to pomocne, jeśli masz kilka małych witryn, że nie sprawdzić, że często.

Cena: Zaczyna się od 14,99 $ / miesiąc, zaoszczędź 15% z roczną subskrypcją.

VaultPress (część Jetpack)

VaultPress to usługa tworzenia kopii zapasowych i bezpieczeństwa od Automattic, tej samej firmy za WordPress.com. Jest to część płatnych planów Jetpack, więc otrzymasz również dostęp do wszystkich innych funkcji premium Jetpack, jeśli pójdziesz z VaultPress.

Jak MalCare, jedną z fajnych rzeczy w VaultPress jest to, że wykonuje skanowanie bezpieczeństwa na własnych serwerach, co zapewnia, że nigdy nie ma żadnego uderzenia wydajności do Twojej witryny.

Tak to działa:

Każdego dnia VaultPress automatycznie tworzy kopię zapasową Twojej witryny na swoich bezpiecznych serwerach. Następnie skanuje pliki, które właśnie utworzył kopię zapasową dla złośliwego oprogramowania i innych infiltracji.

Na najwyższym poziomie planu, VaultPress może również automatycznie naprawić wszelkie problemy bezpieczeństwa, które odkryje (najtańszy poziom obsługuje tylko „ręczne rozwiązywanie”, chociaż).

Ogółem, VaultPress jest dobrą opcją, jeśli chcesz czegoś, co łączy skanowanie bezpieczeństwa z kopiami zapasowymi. Nadal możesz chcieć oddzielnego rozwiązania firewall, choć.

Cena: Plan Security Daily to £11,40/miesiąc lub £9,55/miesiąc (rozliczany rocznie).

Cloudflare

Cloudflare jest powszechnie uważany za narzędzie zwiększające wydajność ze względu na jego funkcjonalność CDN. I nie zrozum mnie źle – to dobra opcja, aby przyspieszyć witrynę WordPress.

Ale ponieważ Cloudflare działa jako odwrotne proxy, jest to również świetne narzędzie do zabezpieczenia witryny WordPress. Zasadniczo odwrotne proxy siedzi między przeglądarkami odwiedzających a serwerem witryny i kieruje ruchem, co pozwala odfiltrować złośliwe podmioty.

Darmowy plan Cloudflare oferuje podstawowe zabezpieczenia w postaci ochrony przed DDoS i ochrony przed zagrożeniami opartej na reputacji (blokuje znane złośliwe zagrożenia przed dostępem do witryny).

Jeśli jesteś skłonny zapłacić, płatne plany Cloudflare zawierają zaporę aplikacji internetowych oraz reguły białej listy IP.

Jeśli już korzystasz z Cloudflare ze względu na funkcje zwiększające wydajność, możesz rozważyć aktualizację do płatnych planów, aby skorzystać z zapory aplikacji internetowych.

Cena: Darmowy z podstawowymi zabezpieczeniami. Płatne plany z zaporą zaczynają się od $20 miesięcznie

Login No re

Login No re jest znacznie mniejszym rozwiązaniem niż wszystkie inne wtyczki. Podczas gdy inne narzędzia skupiają się na zaporach ogniowych, skanowaniu złośliwego oprogramowania i innych dużych zmianach, Login No re naprawdę robi tylko jedną rzecz:

Dodaj ochronę Google re do swojej strony logowania.

Jest to łatwy sposób na ochronę strony logowania przed atakami typu brute force i powstrzymanie nieautoryzowanych użytkowników.

Niektóre wtyczki typu all-in-one-security już dodają tę funkcjonalność (np. iThemes Security). Ale jeśli zdecydujesz się nie używać jednego z tych rozwiązań all-in-one, nadal powinieneś rozważyć Login No re, aby zablokować swoją stronę logowania.

Cena: 100% za darmo

Które z tych wtyczek bezpieczeństwa WordPress i narzędzi są odpowiednie dla Twoich potrzeb?

Na pewno nie chcesz używać wszystkich tych wtyczek bezpieczeństwa i narzędzi na swojej stronie. Więc które z nich powinieneś wybrać? Jak zbudować swój stos bezpieczeństwa?

Cóż, przed dokonaniem wyboru, polecam sprawdzić, co twój host WordPress jest już robi. Niektóre hosty – zwłaszcza zarządzane hosty WordPress – mogą już wdrażać zapory i skanowanie złośliwego oprogramowania dla Ciebie na poziomie serwera. Więc jeśli tak jest, nie ma potrzeby duplikowania ich wysiłków.

Gdy wiesz, co twój gospodarz już robi, oto kilka wskazówek dotyczących wyboru rozwiązań.

Jeśli chcesz zapory sieciowej, Sucuri Firewall jest najlepszą opcją dla krytycznych witryn, podczas gdy MalCare oferuje bardziej przystępną wersję z pulpitem nawigacyjnym, który ułatwia zarządzanie wieloma witrynami.

Jeśli chcesz skanowania malware, MalCare i VaultPress są świetnymi opcjami, ponieważ nie uruchamiają skanowania na twoim serwerze.

Możesz również połączyć zaporę ogniową i wtyczkę skanowania malware. Na przykład, możesz użyć WebARX do zapory i MalCare do skanowania złośliwego oprogramowania. Chociaż Malcare technicznie oferuje zaporę sieciową, nie jest to mocna strona tej usługi. Dlatego lepiej jest wyłączyć zaporę Malcare opartą na wtyczce i sparować ją z czymś takim jak WebARX lub Sucuri.

Jeśli Twój host już wdrożył zapory i skanowanie złośliwego oprogramowania dla Ciebie, możesz pominąć te wtyczki, ale nadal polecam dodanie czegoś takiego jak Login No re, aby zablokować stronę logowania. Jednak Wordfence i WebARX mają tę funkcję wbudowaną, więc nie wymagają dodatkowej wtyczki.

Wreszcie masz wtyczki bezpieczeństwa typu „wszystko w jednym”, takie jak Wordfence i iThemes Security. Te wtyczki sprawiają, że bezpieczeństwo jest naprawdę proste, co jest dobre. Ale ponieważ są one zawsze włączone i działają na twoim serwerze, mogą również spowolnić twoją witrynę, co jest złe.

Z tego powodu, osobiście ich nie używam i wolę wybrać konkretne funkcje bezpieczeństwa, które chcę.

To powiedziawszy, uznaję ich korzyści z punktu widzenia prostoty.

Uwaga: Wordfence i iThemes Security nie powinny być używane razem. Jeśli zdecydujesz się pójść drogą „wszystko w jednym pluginie bezpieczeństwa” – użyj tylko jednego.

Jeśli więc czujesz się przytłoczony tymi wszystkimi opcjami i po prostu chcesz czegoś, co jest łatwe w użyciu zaraz po wyjęciu z pudełka, te dwie opcje są z pewnością solidne. Ale zwróć szczególną uwagę na czasy ładowania witryny przed i po, aby upewnić się, że nie ma zauważalnego spowolnienia.

Ujawnienie: Ten post zawiera linki partnerskie. Oznacza to, że możemy uzyskać niewielką prowizję, jeśli dokonasz zakupu.

.