Du vet att det är en otäck värld där ute med illasinnade aktörer som bara längtar efter att få sina smutsiga händer på din WordPress-webbplats. Du vet också att du förmodligen borde göra ”något” för att hålla din WordPress-webbplats säker från alla dessa skurkar.

Vad du kanske inte vet är vad detta ”något” är.

Oroa dig inte – för att säkra din WordPress-webbplats krävs det inte att du är en programmeringsguru som du ser på TV-program. Men du kommer att vilja ha några WordPress-säkerhetstillägg och verktyg för att få jobbet gjort.

Det är vad jag kommer att dela med mig av i det här inlägget.

Jag kommer att täcka åtta av de bästa WordPress-säkerhetstilläggen och verktygen, tillsammans med varje verktygs för- och nackdelar. I slutet ska jag sedan försöka hjälpa dig att välja rätt uppsättning verktyg utifrån din egen unika situation.

Men låt mig först börja med en snabb varning…

WordPress-säkerhet handlar inte bara om plugins och verktyg

Alla säkerhetsplugins och verktyg på den här listan kommer att hjälpa dig att göra WordPress säkrare. Men de eliminerar inte behovet av åtgärder från din sida.

Tänk på dem ungefär som att bära en motorcykelhjälm. Visst – motorcykelhjälmar hjälper till att skydda dig vid en olycka, men de är inte en licens för att gå ut och köra vårdslöst.

Dessa verktyg är såna. De ger dig ett välbehövligt skydd, men du måste fortfarande köra säkert om du vill vara trygg och säker.

Så vad är ”köra säkert” i WordPress-världen? Jag pratar om riktigt enkla saker som:

  • Prompt uppdatera din WordPress-programvara, dina plugins och teman
  • Använda ett säkert lösenord för ditt WordPress-administratörskonto och ditt webbhotellskonto
  • Endast använda teman och plugins från välrenommerade utvecklare/källor
  • Backupera din webbplats regelbundet

Dessa tips kan tyckas överdrivet simplistiska, men bara genom att göra dessa fyra saker kan du skydda dig från de flesta WordPress-säkerhetsproblem.

För att skydda din webbplats från allt annat kan du sedan använda dessa WordPress-säkerhetsplugins och verktyg.

Ett par viktiga säkerhetstermer förklaras innan vi går in i det

Men även om dessa plugins och verktyg gör saker och ting ganska enkla, innehåller WordPress-säkerhet fortfarande många termer som du kanske inte är bekant med.

För att hjälpa dig att förstå vad dessa verktyg faktiskt gör vill jag förklara några av de vanligaste termerna som du kommer att se i resten av inlägget.

För det första kommer du att se ordet brandvägg dyka upp ofta (även kallat WAF: web application firewall). För din WordPress-webbplats sitter en brandvägg i princip mellan webbplatsens server och all inkommande trafik. Eftersom den intar denna position kan den inspektera och filtrera bort skadliga aktörer innan de ens når din server.

Alla brandväggar är dock inte skapade lika. Och effektiviteten hos din valda brandvägg beror på de regler och konfigurationer som brandväggsleverantören inför.

En annan term är skanning av skadlig kod, som du förmodligen är mer bekant med. Precis som du skulle skanna din egen dator efter virus och skadlig kod kan många av dessa verktyg skanna din WordPress-webbplats server efter skadlig kod.

Slutligt kommer jag att slänga runt begreppet säkerhetshärdning ofta. Detta är i princip små justeringar som, när de sätts ihop, hjälper till att göra din webbplats säkrare.

Med den kunskapen i handen, låt oss gräva i insticksprogrammen.

MalCare

MalCare är ett WordPress-säkerhetsplugin som, som du antagligen kan gissa av namnet, fokuserar på upptäckt och avlägsnande av skadlig kod.

En av de saker som jag gillar med MalCare i jämförelse med något som Wordfence är att MalCare skannar på sina egna servrar. Att skanna efter skadlig kod är en ganska intensiv process, så om ett plugin gör skanningarna på din liveserver kan det sakta ner din webbplats medan skanningen körs.

MalCare åtgärdar det genom att använda sina egna servrar för att göra skanningen.

Det är också bara generellt sett byggt för att fånga skadlig kod som andra plugins inte gör. Och om den fångar något erbjuder den ett klick för att ta bort skadlig kod för att bli av med den felande filen.

MalCare innehåller också en brandvägg, men jag tycker inte att den är lika högkvalitativ som den du får med Sucuri, så jag skulle ändå rekommendera att du använder Sucuris brandvägg i stället om du kan svänga priset.

Bortom det erbjuder den också en del grundläggande säkerhetshärdning som:

  • för din inloggningssida
  • Limitera inloggningsförsök
  • Bortkoppla filredigering
  • Bortkoppla filkörning i mapp för uppladdning

I allmänhet tycker jag dock att det unika säljargumentet för MalCare är skanning av skadlig kod utanför servern. Det låter dig också hantera flera webbplatser från en enda instrumentpanel, vilket är en annan trevlig bonus.

Pris: Pris: Från 99 dollar/år

Wordfence

Wordfence är det största namnet inom WordPress-säkerhet, särskilt när det gäller allt-i-ett-lösningar. Det är aktivt på över två miljoner webbplatser samtidigt som det har ett imponerande betyg på 4,8 stjärnor i över 3 000 recensioner.

Det räcker med att säga att det är många som gillar det.

Så varför är det så populärt?

För det första finns det i en generös gratisversion (samt en premiumversion).

För det andra erbjuder det en allt-i-ett-ansats för WordPress-säkerhet.

På en bred nivå innehåller den en brandvägg för webbapplikationer för att filtrera och blockera skadlig trafik, samt en inbyggd skanner för skadlig kod för att kontrollera dina filer för skadlig kod, bakdörrar och andra skadliga injektioner.

Både gratis- och Pro-versionen innehåller dessa två kärnfunktioner, men Pro-versionen erbjuder mer av en realtidsmetod för båda. Till exempel får Pro-versionens brandvägg uppdateringar av brandväggsregler i realtid, medan gratisversionen endast uppdateras var 30:e dag.

På samma sätt uppdaterar Pro-versionens skanning av skadlig kod sina signaturer i realtid, medan gratisversionen är fördröjd med 30 dagar.

Så om du vill ha skydd mot de mest banbrytande exploateringarna är det bättre med Pro-versionen.

Bortom dessa breda skydd gör den också en hel del små justeringar som ytterligare kan härda din webbplats. Jag talar om saker som:

  • Tvåfaktorsautentisering för att säkra din inloggning
  • Uppdateringsmeddelanden
  • E-postvarningar för viktiga åtgärder, t.ex. om ett administratörskonto loggar in
  • Begränsar inloggningsförsök (blockerar automatiskt användare som skriver in felaktiga lösenord/användarnamn för många gånger)
  • Förstärk starka lösenord

Pris: Pris: Gratis på WordPress.org. Pro-versionen börjar på 99 dollar per år, men du får rabatt om du köper flera år åt gången.

iThemes Security

iThemes Security är en annan populär allt-i-ett-säkerhetslösning som finns i både en gratis- och en premiumversion.

iThemes Security innehåller inte en brandvägg som Wordfence, men erbjuder skanning av skadlig kod.

Bortom skanning av skadlig kod har den också en hel hög med mindre säkerhetsanpassningar för att härda din WordPress-webbplats.

För det första gör den ett antal saker för att skydda din inloggningssida, till exempel:

  • Hölja inloggningssidan.
  • Blockerar värdar/användare med för många misslyckade inloggningsförsök för att skydda mot brute force-attacker.
  • Förstärk starka lösenord för alla användarkonton.
  • Byt namn på ”admin”-kontot om du fortfarande använder admin som användarnamn.
  • Förhindra felmeddelanden vid inloggning.
  • Att erbjuda tvåfaktorsautentisering (Pro).

Därefter finns det många andra små justeringar, många av dem ser du i säkerhetsguider för WordPress:

  • Disable in-dashboard file editing.
  • Bort med uppdateringsmeddelanden för obehöriga användare.
  • Ändra prefixet för WordPress-databasen.
  • Ändra sökvägen för wp-content.
  • Logga användarnas åtgärder.

Om du vill använda iThemes Security rekommenderar utvecklarna att du kombinerar det med Sucuris brandvägg för WordPress, som vi kommer att ta upp härnäst.

Pris: Gratis på WordPress.org. Pro-versionen börjar på 80 dollar per år.

Sucuri

Sucuri är en populär säkerhetslösning för webbplatser som har två olika produkter som hjälper till med WordPress-säkerheten:

  • En gratis plugin
  • En betald brandväggstjänst

Du kan kombinera båda dessa tillsammans, eller så kan du välja att bara använda en av dem (eller kombinera brandväggen med en annan plugin, som iThemes security).

Sucuri-plugin

Sucuris säkerhetsplugin finns gratis på WordPress.org. Det innehåller inte brandväggsfunktionalitet, men det gör mycket för att hålla din webbplats säker (och det kan hjälpa dig att integrera brandväggen, om du väljer att betala för den).

För det första innehåller det aktivitetsgranskning och övervakning av filintegritet. I princip hjälper dessa två funktioner dig att övervaka vad som händer på din webbplats. Till exempel kan aktivitetsgranskningen visa dig misslyckade inloggningsförsök och filintegritetsövervakningen kan tala om för dig om någon av dina centrala WordPress-filer har ändrats.

Ovanpå det innehåller insticksprogrammet grundläggande skanning av skadlig kod. Denna funktionalitet är i huvudsak en in-dashboard-implementering av Sucuris kostnadsfria SiteCheck-skanner. Som sådan är den mer begränsad än många andra lösningar och kommer inte att kunna fånga all skadlig kod.

Slutligt innehåller Sucuris insticksmodul också några grundläggande WordPress-säkerhetshärdningar, som att blockera PHP-filer i katalogen för uppladdningar och inaktivera filredigering i skrivbordet.

Pris: Sucuri Firewall: Gratis på WordPress.org

Sucuri Firewall

Sucuris insticksmodul handlar om övervakning och grundläggande härdning, medan Sucuris brandväggstjänst proaktivt blockerar hot innan de inträffar och även skyddar dig från DDoS-attacker.

Bortom att blockera skadliga robotar och kända exploateringar använder Sucuri också sitt stora nätverk och maskininlärning för att ständigt förbättra brandväggsreglerna och skydda din webbplats från nyupptäckta exploateringar.

Det går dessutom att skapa egna brandväggsregler med Sucuri. Du kan till exempel låta Sucuri begränsa åtkomsten till din WordPress-instrumentpanel till en specifik uppsättning vitlistade IP-adresser.

Som en trevlig liten bonus innehåller Sucuri Firewall också en CDN för att snabba upp din webbplats, även om det egentligen inte har något att göra med WordPress-säkerheten!

Pris: $199,99/år för Basic, Pro-planen $299,99/år.

WebARX

WebARX är en relativt ny tjänst som lägger till en säker brandvägg till dina webbplatser, samt några andra funktioner.

Den är inte specifik för WordPress, men den innehåller ett WordPress-plugin som gör installationen enkel.

En av de trevliga sakerna med WebARX är att den gör det enkelt att övervaka alla dina webbplatser från en enda instrumentpanel. Så om du har många mindre webbplatser utspridda är detta ett bekvämt sätt att hålla ett öga på dem alla från ett och samma ställe.

Bortsett från brandväggen för att skydda din webbplats från attacker och skadliga robotar innehåller WebARX även övervakning av upptid och defacement. Om din webbplats går ner eller blir defaced kan du få ett meddelande via e-post eller Slack. Återigen är detta användbart om du har en massa små webbplatser som du inte kontrollerar så ofta.

Pris:

VaultPress (del av Jetpack)

VaultPress är en backup- och säkerhetstjänst från Automattic, samma företag som står bakom WordPress.com. Den ingår i de betalda Jetpack-planerna, så du får också tillgång till alla andra Jetpack-premiumfunktioner om du väljer VaultPress.

Likt MalCare är en av de fina sakerna med VaultPress att den gör sin säkerhetsavsökning på sina egna servrar, vilket säkerställer att din webbplats aldrig drabbas av någon prestandaskada.

Så här fungerar det:

VaultPress gör automatiskt en säkerhetskopia av din webbplats till sina säkra servrar varje dag. Sedan skannar den filerna som den just säkerhetskopierat för skadlig kod eller andra infiltrationer.

På den högsta nivån kan VaultPress också automatiskt åtgärda alla säkerhetsproblem som den upptäcker (den billigaste nivån stöder dock bara ”manuell lösning”).

Samt sett är VaultPress ett bra alternativ om du vill ha något som kombinerar säkerhetsskanning med säkerhetskopiering. Du kanske ändå vill ha en separat brandväggslösning.

Pris: Säkerhetsplanen Security Daily kostar 11,40 pund/månad eller 9,55 pund/månad (faktureras årligen).

Cloudflare

Cloudflare brukar betraktas som ett verktyg för att öka prestandan på grund av dess CDN-funktionalitet. Och missförstå mig inte – det är ett bra alternativ för att snabba upp din WordPress-webbplats.

Men eftersom Cloudflare fungerar som en omvänd proxy är det också ett bra verktyg för att säkra din WordPress-webbplats. I princip sitter en omvänd proxy mellan dina besökares webbläsare och din webbplats server och dirigerar trafiken, vilket gör att den kan filtrera bort skadliga aktörer.

Cloudflares kostnadsfria plan erbjuder grundläggande säkerhet i form av DDoS-skydd och ryktesbaserat hotskydd (blockerar kända skadliga hot från att komma åt din webbplats).

Om du är villig att betala, genom att Cloudflares betalda planer inkluderar en brandvägg för webbapplikationer samt regler för IP-whitelisting.

Om du redan använder Cloudflare för dess prestandaförstärkande funktioner kan du överväga att uppgradera till de betalda planerna för att dra nytta av brandväggen för webbapplikationer.

Pris: Gratis med grundläggande säkerhet. Betalda planer med brandväggen börjar på 20 dollar per månad

Login No re

Login No re är en mycket mindre lösning än alla andra plugins. Medan de andra verktygen alla fokuserar på brandväggar, skanning av skadlig kod och andra stora justeringar gör Login No re egentligen bara en sak:

Lägg till Google re-skydd till din inloggningssida.

Detta är ett enkelt sätt att skydda din inloggningssida från brute force-attacker och hålla obehöriga användare borta.

En del allt-i-ett-skyddsplugins lägger redan till den här funktionen (t.ex. iThemes Security). Men om du väljer att inte använda en av dessa allt-i-ett-lösningar bör du ändå överväga Login No re för att låsa din inloggningssida.

Pris: 100 % gratis

Vilka av dessa WordPress-säkerhetsplugins och -verktyg är rätt för dina behov?

Du vill säkert inte använda alla dessa säkerhetsplugins och verktyg på din webbplats. Så vilka ska du välja? Hur bygger du upp din säkerhetsstack?

Innan du gör ditt val rekommenderar jag att du kontrollerar vad ditt WordPress-värd redan gör. Vissa värdar – särskilt hanterade WordPress-värdar – kan redan implementera brandväggar och skanning av skadlig kod för dig på servernivå. Så om så är fallet finns det ingen anledning att duplicera deras insatser.

När du vet vad din värd redan gör, kommer här några tips för att välja dina lösningar.

Om du vill ha en brandvägg för webbplatser är Sucuri Firewall det bästa alternativet för verksamhetskritiska webbplatser, medan MalCare erbjuder en mer prisvärd version med en instrumentpanel som gör det enkelt att hantera flera webbplatser.

Om du vill ha skanning av skadlig kod är MalCare och VaultPress bra alternativ eftersom de inte kör skanningar på din server.

Du kan också kombinera en brandvägg och ett plugin för skanning av skadlig kod. Du kan till exempel använda WebARX för brandväggar och MalCare för skanning av skadlig kod. Även om Malcare tekniskt sett erbjuder en brandvägg är det inte tjänstens starka sida. Därför är det bättre om du inaktiverar Malcares plugin-baserade brandvägg och kombinerar den med något som WebARX eller Sucuri.

Om din värd redan har implementerat brandväggar och skanning av skadlig kod åt dig kan du hoppa över dessa plugins, men jag skulle ändå rekommendera att du lägger till något som Login No re för att låsa din inloggningssida. Wordfence och WebARX har dock den här funktionen inbyggd så de kräver ingen extra insticksmodul.

Slutligt har du allt-i-ett-säkerhetsplugins som Wordfence och iThemes Security. Dessa plugins gör säkerheten riktigt enkel, vilket är bra. Men eftersom de alltid är på och körs på din server kan de också sakta ner din webbplats, vilket är dåligt.

På grund av detta använder jag personligen inte dem och föredrar att välja de specifika säkerhetsfunktioner som jag vill ha.

Det sagt, erkänner jag deras fördelar från en enkelhetssynpunkt.

Notera: Wordfence och iThemes Security bör inte användas tillsammans. Om du väljer att gå ner på ”allt-i-ett-säkerhetsplugin”-vägen – använd bara en.

Så om du känner dig överväldigad av alla dessa alternativ och bara vill ha något som är enkelt att använda direkt ur lådan, är dessa två verkligen solida alternativ. Men var uppmärksam på din webbplats laddningstider före och efter för att se till att det inte finns någon märkbar fördröjning.

Oppenbargörande: Det här inlägget innehåller affiliatelänkar. Detta innebär att vi kan få en liten provision om du gör ett köp.

831Aktier

.

Lämna ett svar

Din e-postadress kommer inte publiceras.