Выбор плагинов

Каждый, кто впервые сталкивается с настройкой безопасности сайта, задумывается какой всё-таки плагин установить и настроить для этой цели.

Выбор не маленький. Если вбить «Security» в поле поиска плагинов, результат выдачи будет достаточно длинным.

В любом случае, стоит придерживаться самых популярных, активно поддерживаемых и конечно же тех, которые заслужили большее количество оценок.

В этом обзоре я решил установить 4 плагина для защиты WordPress, и выяснить какой же все-таки из них лучше для обычного пользователя:

Первые три предлагают также премиум функционал, но я не буду включать его в обзор.
Пожалуй в про нет таких функций, без которых нельзя прожить, или которые нельзя заменить на бесплатную альтернативу.

Отмечу, что это не детальный обзор всех возможностей, скорости работы кода или требований. Это разбор базового функционала настройки безопасности и уровня работы с ним.

к содержанию ↑

Ограничение попыток входа

  • Wordfence Security

Опция включающая защиту аутентификации называется Enable login security. К сожалению, плагин не переведен на русский язык.

Wordfence ‹ Enable Login Security — WordPress

В нижней части страницы находится блок настроек: количество попыток входа, время учета попыток, время блокировки и ряд других опций.

Wordfence ‹ Login Security Options — WordPress

  • iThemes Security

Модуль защиты входа находится в разделе Local Brute Force Protection. Пользователям этого плагина чуть больше повезло с русской локализацией.

iThemes Security Settings ‹ Local Brute Force Protection — WordPress

Чуть ниже можно включить модуль сетевой защиты Network Brute Force Protection. Для этого нужно запросить API ключ, и в бан список будут автоматически попадать адреса, которые уже пытались взламывать чужие сайты.

  • Shield Security

Защита входа находится на вкладке Login Protection. Перевод на русский язык есть, и в целом хочу отметить очень приятный и логичный интерфейс.

Shield Security ‹ Login Protection — WordPress

Можно также заметить, что здесь можно использовать reCAPTCHA, настроить двух-факторную аутентификацию, переименовать страницу входа wp-login.php, и даже связать с Yubikey.

  • All in One WP Security

Блок настроек для защиты от брутфорса находится на странице User Login. Перевода готового нет. Опции схожи с аналогичными модулями других плагинов.

На соседних вкладках можно посмотреть журналы событий.

All in One WP Security ‹ User Login — WordPress

к содержанию ↑

Файервол

  • Wordfence

Firewall это один из главных функциональных модулей плагина WordFence. Есть два режима Basic и Extended. Последний позволяет блокировать некоторые атаки даже до старта WordPress, но требует более глубокого понимания серверных настроек.

В бесплатной (community) версии правила блокировки обновляются спустя 30 дней после того как они были добавлены в про.

Wordfence ‹ Firewall — WordPress

  • iThemes Security

Файервола в этом плагине нет. А рекомендует iThemes пользоваться сервисом Sucuri Website Firewall (платно).

  • Shield Security

В настройках этого плагина вы не запутаетесь, вкладка Firewall находится на видном месте. В целом, рекомендуется включить все опции.

Shield Security ‹ Firewall — WordPress

  • All in One WP Security

Страница блокировок выглядит объемной благодаря тому, что функционал разбит по вкладкам. Место занимает справка и значки уровня защиты (хотя зачем нужны последние). Опций немного, их можно включить все по необходимости.

All in One WP Security ‹ Firewall — WordPress

к содержанию ↑

Журнал изменений и действий

  • Wordfence

Автоматическое сканирование можно включить на странице Options в пункте Enable automatic scheduled scans, и не забыть указать чуть ниже емайл (Where to email alerts).

Wordfence предоставляет большой контроль что сканировать, как и когда отправлять отчет.

Wordfence ‹ Options Alerts — WordPress

Wordfence ‹ Options Scans — WordPress

  • iThemes Security

Функционал монитора находится в блоке Обнаружение изменений файлов.
Сканирование происходит по частям. Можно исключить некоторые файлы, папки или типы файлов.

iThemes Security Settings ‹ Monitoring File Changes — WordPress

На вкладке Основные настройки можно также включить и настроить отправку уведомлений о блокировке хостов или пользователей.

  • Shield Security

Сканирование изменений и журнал действий можно настроить в двух разделах: Hack Protection и Audit Trail.

В первом модуле настраивается сканирование целостности файлов и их исправление, а также сканер неопознанных файлов.

Shield Security ‹ Hack Protection — WordPress

В модуле Audit Trail отслеживается и отправляется отчет по разнообразным событиям в WordPress (активность связанная с плагинами и темами, действия в пользовательских аккаунтах, редактирование и публикация записей и др).

Shield Security ‹ Audit Trail — WordPress

  • All in One WP Security

Модуль отслеживания изменений находится на странице Scanner. Там можно произвести сканирование вручную, или настроить расписание.

All in One WP Security ‹ Scanner — WordPress

к содержанию ↑

Блокирование хостов

  • Wordfence

Wordfence предоставляет гибкий инструмент для блокировки пользователей.

Можно задать ряд условий для наступления блокировки.

Wordfence ‹ Options Rate Limiting Rules — WordPress

Можно блокировать IP вручную. Или использовать более продвинутые способы: блокировать диапазон, юзер-агент и прочее. Функционал блокировки по странам доступен в премиум версии.

Wordfence Blocked IPs ‹ Blocking — WordPress

  • iThemes Security

Функционал находится на вкладке Заблокированные пользователи. Можно включить бан список от сайта HackRepair.com, и запретить доступ отдельным хостам или юзер-агентам.

iThemes Security Settings ‹ Blocking — WordPress

  • Shield Security

Список составляется автоматически, его настройки и включение можно найти в модуле IP Manager. Ручного добавления нет.

Shield Security ‹ IP Manager — WordPress

  • All in One WP Security

Пользовательские IP и юзер-агенты можно вручную блокировать на странице Blacklist Manager.

All in One WP Security ‹ Blacklist Manager — WordPress

к содержанию ↑

Итоговое сравнение плагинов

Рассматривается только общий базовый функционал. Разумеется, у каждого плагина по защите есть ряд своих особенностей. Антиспам, бэкап базы, настройка пользователей, права файлов и каталогов, отключение лишнего функционала и т.д. Но это такие второстепенные вещи, либо их можно реализовать альтернативными решениями более гибко и узконаправлено.

Моя общая оценка исходит из функционала и удобства использования следующих модулей:

  • Защита входа;

  • Firewall;

  • Отслеживание изменений/аудит;

  • Блокировка хостов;

По результатам обзора на звание лучшего плагина для защиты WordPress безусловно вырывается вперед Wordfence. Хотя его интерфейс может показаться запутанным на первый взгляд. На официальном сайте есть хорошая документация (на английском).

Очень порадовал в обзоре Shield Security, русифицированный и четкий интерфейс, очевидно направленный на пользователей менее подготовленных или не желающих вникать во все тонкости настроек безопасности.

Из двух оставшихся плагинов я бы отдал предпочтение несомненно iThemes Security, хотя бы за более логичный и чистый интерфейс.

All in One WP Security не могу назвать плохим плагином, он выполняет свою задачу. Но лидером в этой четверке он тоже не является. Здесь как раз показатель того, что плагины с наращиваемым премиум функционалом стараются в большей степени идти с требованиями рынка, и это конечно сказывается на бесплатных версиях.

Функционал у всех перечисленных плагинов модульный, т.е. при необходимости их можно даже настроить на совместную работу. Ну или исключить лишнее, оставить только необходимое.

Если делать по уму, то к безопасности и её настройкам следует подходить индивидуально в зависимости от назначения сайта, технической реализации и условий его работы.

2
Оставить комментарий

avatar
2 Цепочка комментария
0 Ответы по цепочке
0 Последователи
 
Популярнейший комментарий
Цепочка актуального комментария
2 Авторы комментариев
ИванFi Авторы недавних комментариев
  Подписаться  
новее старее большинство голосов
Уведомление о
Fi
Гость
Fi

Нет русского языка у Shield Security !