WordPress плагины безопасности - полезная подборка

Wordpress плагины безопасности - полезная подборка

В этой записи коллекционируется подборка wordpress плагинов связанных с безопасностью. WordPress плагины безопасности помогут защитить ваш сайт от не санкционированного доступа,  перебора паролей, спама, уведомят об известных уязвимостях и вирусах, ведут журналы действий и событий, расскажут кто-что делал, разграничат доступ и возможности для различных пользователей. Подборка будет обновляться по мере нахождения новых плагинов.

Плагины для включения https

  • WordPress HTTPS (SSL) - можно активировать принудительный вход в админку через https, настраивать https только для определенных страничек\записей, либо для определенных адресов по регулярным выражениям, удалять со страницы весь не https-контент, изменять исходящие ссылки с http на https версии сайтов и пр. Этот плагин заработал не на всех шаблонах.
  • Easy HTTPS Redirection - можно настроить переадресацию для всех страниц или только для определенных. По сути плагин добавляет в файл .htaccess код для редиректа. Но, как я писал выше, этот метод у меня вызывает ошибки "ERR_TOO_MANY_REDIRECTS" - "На этой странице обнаружена циклическая переадресация". При этом после деактивации плагина пришлось вручную удалять его код из файла .htaccess.
  • WordPress Force HTTPS - простой плагин, ничего лишнего. Переадресация реализована через php-код. Именно на нем я остановился.

Плагины для ведения логов

  • WP Security Audit Log - ведет логи событий в wordpress: попытки входа, публикация и редактирование записей, установка и удаление плагинов, одобрение комментариев, смену пароля, настроек и тд. и тп, с детализацией.
  • Audit Trail - ведет логи авторизации, изменении файлов, тем, комментариев, записей и страниц. Правда сообщает о самом факте события, без детализации что именно было изменено.
  • Simple History - действия пользователей, активация и отключение плагинов, неправильно введенные пароли, виджеты, активность движка bbPress. генерирует RSS ленту лога на которую можно подписаться. Сообщает только о факте события, без детализации.
  • ARYO Activity Log
  • Simple Login Log - логирование входов на сайт: время, имена, ip-адресы, браузеры, доступен в меню админки "Пользователи" - "Журнал логинов". Лог можно экспортировать в csv-файл.
  • WP Viewer Log - в WordPress можно включать лог ошибок, переключать его в debug mode. Лог пишется в файл. С помощью этого плагина файл можно просматривать прямо из админки.
  • WP Changes Tracker - достаточно подробный лог изменений в wordpress, фиксируются даже какие опции тех или иных плагинов были изменены в базе данных.

Плагины связанные со входом (авторизацией) и регистрацией

  • Login-Logout - При помощи этого плагина можно отображать настраиваемый виджет входа-выхода, регистрации в WordPress. Можно указать на какую страничку переадресовывать после входа
  • Sidebar Widget Login - отображение в виджете панели для входа-выхода. Есть опция "Запомнить меня", ссылки на панель инструментов, страницу профиля, регистрации и восстановление пароля.
  • Tabbed Login Widget - плагин аналогичный предыдущим. Только регистрация, вход, восстановление пароля разнесено по вкладкам.
  • Social Login - этот плагин позволит входить или регистрироваться при помощи аккаунтов социальных сетей. Поддерживаются более 25 наиболее популярных соц. сетей, Вконтакте также присутствует.
  • Login LockDown - после нескольких неудачных попыток на некоторое время блокируется возможность входа с IP-адреса.
  • Limit Login Attempts -после нескольких неудачных попыток на некоторое время блокируется возможность входа с IP-адреса, по отзывам плагин меньше грузит базу данных чем Login LockDown, при этом мне понравился тем, что можно включить оповещение по почте о блокировках ip-адресов, в лог записывает ip-адрес и логин из под которого неудачно пытались зайти.
  • Rename wp-login.php - плагин переименовывает стандартный файл отвечающий за авторизацию - защита от ботов.
  • Login Security Solution - отслеживает IP адреса, имена пользователей и пароли, неудавшиеся попытки входа на сайт. Можно установить требования к сложности пароля.
  • Login Widget With Shortcode - виджет авторизации можно вывести с помощью шорткода в любое место на сайте.
  • Rublon - плагин реализующий двухфакторную авторизацию. У них на сайте есть плагины не только для WordPress.
  • WP Email Login - можно входить в WordPress указав email вместо логина, возможность входить указывая логин также остается.
  • Custom Login Customizer - позволяет настроить практически каждый аспект формы входа: логотип, фон, размеры, расположение цвета формы и ее элементов

Плагины для управления ролями и возможностями

  • WPFront User Role Editor - очень тонкая настройка ролей: можно указать множество разрешений которые можно или наоборот нельзя делать той или иной роли
  • Role scoper – Контроль над каждым аспектом ваших ролей и возможностей. Смешивайте их и объединяйте, чтобы получить любую комбинацию из них и установить подходящие права доступа. Судя по описанию активная разработка плагина прекращена
  • Press Permit Core - наследник плагина Role scoper, который вобрал все самое лучшее и получил новые возможности
  • Members - позволяет создавать роли и привязывать к ним возможности, управляя всем этим через удобный пользовательский интерфейс.
  • Capability Manager Enhanced — выполняет практически все, что должен делать плагин такого типа: можете добавлять/редактировать/настраивать роли и возможности на вашем сайте.

Плагины с комплексными решениями по защите

  • iThemes Security - один из лучших бесплатных плагинов по безопасности. Проверяет установку WordPress , ищет слабые места и предлагает их исправление. Есть бан пользовательских агентов, предотвращение атак "грубой силы", мониторинг файлов на наличие несанкционированных изменений и т.д.
  • Wordfence Security - плагин с достаточно большим функционалом, начиная от блокировки подбора паролей, сканирования сайта на заражения и заканчивая кешированием (защитой от DDoS)
  • Sucuri Security - Auditing, Malware Scanner and Security Hardening - еще одно хорошее комплексное решение по безопасности. Логирование: логины вошедших пользователей, логины пользователей, которые не смогли авторизоваться, автоматически заблокированные IP адреса, изменения в контенте, опубликованные записи, прикрепленные файлы, и т.д. Мониторинг кода: сложные инъекции JavaScript, межсайтовый скриптинг (XSS), спрятанные iFrame, PHP-мейлеры, редиректы, бэкдоры (например, C99, R57, Webshells), IP-клоакинг, атаки Drive-by-Download.
  • All In One WP Security & Firewall - некоторые возможности плагина: смена логина, генератор надежного пароля, блокировка и оповещение о переборе паролей и неудачных попытках входа, блокировка по ip, маске сети, useragent, мониторинг активности авторизованных пользователей, добавление капчи к форме авторизации, регистрации, комментариям, белый список для доступа к админке, смена префикса базы данных, автоматическое резервное копирование, обнаружение папок с небезопасными настройками доступа, просмотр и логирование системных событий, закрытие доступа к файлам readme.html, license.txt and wp-config-sample.php, firewall на основе htaccess, отключение track и trace, защита от xss атак и уязвимостей в pingback (xmlrpc.php), защита от хотлинкинга, логирование 404-ошибок и блокировка адресов которые создают слишком много таких ошибок, изменение адреса страницы авторизации, наблюдение и оповещение о измененных файлах, защита от спама в комментариях, защита от копирования контента через правый клик, удаление мета-информации о wordpress, возможность экспорта и импорта настроек безопасности, предотвращение отображения содержимого вашего сайта через фреймы.

Остальные Wоrdpress плагины связанные с безопасностью:

  • WP-Ban - Плагин чрезвычайно гибок. Он позволяет банить посетителей по конкретному IP, целому диапазону IP-адресов, реферальным ссылкам. Если посетитель забанен, то ему показывается сообщение. Это сообщение настраиваемое, в нем можно использовать разметку HTML. По забаненым посетителям ведется статистика.
  • Theme Authenticity Checker (TAC) - проверяет файлы каждой WordPress темы из папки themes на наличие нежелательного, закодированного кода. Если такой код есть, то TAC показывает путь к файлу, и указывает номер строки где этот код находиться.
  • WORDPRESS FILE MONITOR — Наблюдение за измененными файлами. Если на вашем сайте какие-либо файлы были изменены - вы сразу об этом узнаете. Так же может пригодится если вы что-либо когда-либо случайно изменили.
  • Exploit Scanner - комплексная проверка всего-всего на наличие какого-либо вредоносного кода, достаточно серъезный плагин.
  • Acunetix WP Security - плагин от известной компании по безопасности. Сканирует блог и предлагает решения для найденных уязвимостей, проверяет разрешения файловой системы, скрывает версию wordpress, удаляет мета-теги из кода ядра и т.д.
  • WordPress AntiVirus - плагин для автоматической ежедневной проверки вашего блога с оповещением на почту.
  • Plugin Vulnerabilities - плагин следит и оповещает есть ли в установленных плагинах обнаруженные уязвимости.
  • Antispam Bee - Antispam Bee подменяет текстовое поле для комментария на своё, т.е. реальные читатели блога пишут в новое поле, а спам-роботы - в скрытое со стандартным именем “comment”. Легкий, не надо вносить никаких изменений в шаблон, активировал и забыл;  не передает информацию сторонним серверам (как делает тот же Akismet);  предоставляет выбор: удалять весь спам сразу или помечать как спам и отправлять в соответствующую папку; проверять или нет на наличие спама трекбеки и пингбеки; очищает папку со спамом через определенное количество дней. В один момент начал закидывать все комментарии в спам, пришлось перейти на другой плагин.
  • Invisible Captcha - Еще один антиспам-плагин. Работает по схожему принципу с предыдущим (Antispam Bee). Без капчи, с минимальными настройками. Установил после того как предыдущий плагин Antispam Bee все комментарии начал помечать как спам.
  • No CAPTCHA reCAPTCHA - вариант простой капчи от Google, предлагается лишь установить галочку "Я не робот", пока Вы будете ставить галочку сервис от Google проанализирует кучу разных параметров (браузер, расширение экрана и т.д.) и с 99% вероятностью верно определит кто установил галочку (человек или робот), но если у него возникнут сомнения, то будет предложено ввести текст из изображения (обычный формат капчи)
  • Better WordPress reCAPTCHA (with no CAPTCHA reCAPTCHA) - еще один плагин (при этом более популярный) в котором капча реализована при помощи установки галочки "Я не робот" от Google.
  • Change DB Prefix - меняет префикс базы данных, это может спасти от SQL-инъекций

Другие подборки плагинов для WordPress:

Понравилось? =) Поделись с друзьями:

Обсудить