Безопасность wordpress: Безопасность WordPress и защита от взлома

Clearfy — это универсальный бесплатный инструмент с огромным количеством настроек, который в комбинации с другими плагинами оптимизации, может серьезно улучшить ваш сайт по многим показателям. И правда. Установил его на новый сайт и был приятно удивлён. Столько функций для оптимизации сайта я не встречал ни в одном мне известных плагинах и всё в одном месте. Даже есть возможность автоматически создать правильный/идеальный robots.txt по рекомендациям Яндекс и Google. Просто удивительно.

Оптимизация WordPress

Оптимизация ВордПресс и отключение ненужных функций. Большинству пользователям не нужны все функции, что есть в WordPress. При этом они потребляют ресурсы хостинга, создавая проблемы c SEO оптимизацией и просто мешают повседневной работе. Чтобы решить эти проблемы и другие, и был создан универсальный плагин Clearfy. Обратите внимание, друзья, это не реклама плагина! Просто хочу, чтобы все узнали о нём и не тратили своё время на поиски нужного решения.

Clearfy плагин для оптимизации сайта ВордПресс

Плагин Clearfy должен быть на каждом сайте. Он станет вашим незаменимым помощником по улучшению: безопасности; продвижения и SEO оптимизации; скорости работы сайта, блога или интернет-магазина. Плагин на русском языке, совместим с версией движка 5.0.1. Более 50 тыс. установок, постоянно обновляется, так что, смело устанавливайте этот обязательный must-have плагин.

Плагин отключает неиспользуемые функции WordPress, повышает производительность и повышает SEO рейтинг, с помощью Clearfy вы делаете WordPress очень легким и простым.

После установки и активации плагина в разделе «Настройки» — выберите пункт «Clearfy меню». Откроется страница Быстрый старт (оптимизация в один клик). Это настройки быстрой оптимизации вашего сайта. Вы можете активировать нужные вам группы настроек в один клик. В быстром режиме оптимизации плагин активирует только безопасные настройки, которые не нарушат работу вашего сайта:

Рекомендую вам ознакомится с каждой опцией плагина индивидуально. Настройки с серым и красным знаком вопроса не будут активированы, пока вы сами не примите решение об их включении.

• Серый значок — Нейтральная настройка, которая не может нанести вред вашему сайту, но вы должны быть уверены, что вам нужно ее использовать;
• Красный значок — При включении этой настройки, вы должны быть осторожны. Некоторые плагины и темы могут зависеть от этой функции. Вы должны быть уверены, что эту функцию можно отключить для сайта;
• Зелёный значок — Абсолютно безопасная настройка, рекомендуем использовать.

Наводите указатель мыши на значок и получаете справку по выбранной функции. Подробные инструкции помогут без труда разобраться с настройкой плагина. А теперь давайте, коллеги, я перечислю все функции плагина для оптимизации сайта WordPress. Их довольно много.

Очистка кода WordPress от мусора

• Отключить RSS каналы — отключает RSS, если вы используете WordPress для создания сайта и блог вам не нужен.
• Отключить Rest API— отключает Rest API и удаляет ссылки Rest API из кода, если вы не управляете WordPress извне.
• Отключить Emojis — эмодзи генерируют лишний код и замедляют сайт, даже если вы не поставили ни одного смайлика.
• Удалить jQuery Migrate — если вы используете несколько популярных плагинов, которые регулярно обновляются, то можно спокойно удалять.
• Отключить Embeds (встраивание) — если вы не вставляете видео в записи или страницы, отключайте.
• Удалить dns-prefetch — в некоторых случаях может ускорить загрузку изображений.
• Удалить RSD ссылку— если вы создаёте записи и страницы в WordPress, то функция Real Simple Discovery вам не нужна.
• Удалить ссылку wlwmanifest — функция не нужна на 99% сайтов, если вы публикуете статьи и записи через интерфейс WordPress.
• Удалить короткие ссылки — если вы используете постоянные ссылки, короткие вам не нужны.
• Удалить ссылки следующая, предыдущая запись — удаляйте, если не используете блог.
• Удалить стили .recentcomments — удаляйте, если хотите изменить стили виджета «Похожие записи».
• Html сжатие — сжимает код, ускоряет загрузку сайта.
• WordPress Sanitization — удаляет недопустимые и вредоносные символы из URL и имён файлов.

SEO оптимизация сайта

1. Установить атрибут alt автоматически — устанавливает атрибут alt для всех изображений в записи и странице, если alt отсутствует.
2. Создать правильный robots.txt для WordPress — помогает создать идеальный Robots.txt улучшить индексацию нужного и закрыть лишнее.
3. Автоматически вставлять заголовок Last Modified — помогает поисковым системам понять, какие записи и страницы отредактированы последними и считывать их в первую очередь.
4. Возвращать заголовок If-Modified-Since — улучшает индексацию за счёт сообщения поисковым системам, что страницы и записи изменились.
5. Удалить дубли заголовков в хлебных крошках Yoast SEO — вырезает заголовок страницы или записи из хлебных крошек.
6. Удалить тег image:image из XML карты сайта плагина Yoast SEO — избавляет от ошибок карты сайта в Яндекс Вебмастере.
7. Отключить ссылки JSON-LD — запрещает Google генерировать расширенные ссылки на страницы в поисковом сниппете.
8. Отключить структурированные данные Yoast SEO — отключает структурированные данные о компании, сгенерированные Yoast SEO.
9. Удалить комментарии Yoast SEO из секции head — удаляет из кода данные о том, что ваш сайт оптимизирован плагином Yoast SEO.

Дубли страниц ВордПресс

• Удалить архивы дат — полностью удаляет архивы дат и ставит переадресацию на главную.
• Удалить архивы автора — полностью удаляет архивы автора сайта и ставит переадресацию на главную. Полезно, если автор сайта один.
• Удалить архивы меток — удаляет архивы меток и переадресует на главную страницу сайта.
• Удалить страницы вложений — по умолчанию, у каждого медиафайла есть своя страница. Clearfy удаляет её и ставит переадресацию на страницу, в которую этот медиафайл вставлен.
• Удалить постраничную навигацию записей — внутри одной записи постраничная навигация не нужна. Лучше её удалить и сделать несколько записей.
• Удалить ?replytocom — избавляет от дублей в комментариях к записям.

Настройки приватности WP

• Удалить meta generator (версию WordPress) — скрывает версию вашего WordPress.
• Удалить версию у файлов стилей — усложняет работу злоумышленника, желающего взломать ваш сайт.
• Удалить версию у javascript файлов — хакеру сложнее определить версию установленных плагинов и взломать сайт.
• Удалить Querystrings (строки запроса) — помогает плагинам для ускорения кэшировать JS и CSS и увеличивать скорость загрузки сайта.
• Удалить html комментарии — взломщик не сможет определить версии тем и плагинов по комментариям в коде.

Безопасность WordPress

1. Убрать возможность узнать логин автора — усложняет процесс взлома. Хакеру сложнее узнать ваш логин.
2. Спрятать ошибки при входе на сайт — в результате взломщик не понимает, что он ввёл неправильно, логин или пароль.
3. Отключить XML-RPC — отключает пингбэки и трекбэки.
4. Убрать ссылку на X-Pingback — удаляет ссылку и возможность спамить pingback-ами.

Можно удалить виджеты WordPress целиком или выборочно (Ссылки, Архивы, Мета, Поиск и т.д.). Также можно управлять обновлениями тем, плагинов и движка. А ещё.

Комментарии вордпресс

• Отключить комментарии — позволяет полностью отключить комментарии WordPress вообще или для выбранных типов записей.
• Удалить комментарии — полностью удаляет комментарии WordPress.
• Закрыть комментарии — полностью закрывает комментарии WordPress и удаляет раздел Комментарии из левого меню WordPress.
• Удалить поле Сайт в форме комментариев — удаляет поле Сайт автора комментария.
• Заменить внешние ссылки в комментариях на JavaScript код (метод URLspan) — все внешние ссылки в комментариях надёжно закрываются от индексации поисковых систем.
• Заменить внешние ссылки авторов комментариев на код JavaScript (метод URLspan) — поисковые системы перестают индексировать ссылки на сайт автора комментариев.

И куча других возможностей.

Как видите, плагин Clearfy обладает колоссальным набором функций для оптимизации WordPress. К тому же, отключить любую ненужную функцию можно в один клик. При активации плагина все компоненты включены по умолчанию. Если какая-то функция вам не нужна, вы можете легко отключить её на этой странице — компоненты:

Если вы считаете, что вам не нужны все функции Clearfy, вы можете выбрать мини-плагин в списке ниже. Каждый из этих плагинов решает только одну конкретную задачу. Все они уже являются частью плагина Clearfy:

Менеджер скриптов и стилей для WordPress

Многие плагины загружают собственные скрипты и стили в каждой записи и на странице вашего сайта. Это плохо, потому что это замедляет ваш сайт. С менеджером скриптов и стилей, вы можете выбрать, какие сценарии и стили должны быть загружены на страницу, а какие — нет.

Если вы проверяете свой URL-адрес на таких сайтах, как GTmetrix, PageSpeed Insights, Pingdom Website Speed Test, то у вас будет хорошая оценка. Google даст хорошую оценку вашему сайта, так как он будет быстрее, а быстрая загрузка страницы в настоящее время является фактором в ранжировании поиска.

Отключить комментарии WordPress (Закрыть, Включить, Удалить комментарии) можно с плагином Disable comments.

Отключить комментарии WordPress — Disable comments

Плагин Disable comments — полезный инструмент для администраторов блога или сайта, который позволяет полностью отключать или скрывать комментарии для любых типов сообщений, страниц или вложений.

В плагине есть дополнительные настройки, например закрыть внешние ссылки комментариев от поисковых систем. По умолчанию, когда пользователи оставляют комментарии, WordPress добавляет атрибут rel = «nofollow» к URL-адресу автора комментария и ко всем ссылкам в тексте комментариев.

Однако, поисковые системы уже давно игнорируют атрибут nofollow и переходят по ссылкам. Десятки внешних ссылок из комментариев, не приносят ничего хорошего с точки зрения SEO. Плагин Отключить комментарии WordPress позволяет скрыть все внешние ссылки в комментариях WordPress, с помощью невидимых для поисковых систем html тегов, поисковая система просто не может распознать html блок, как ссылку.

Ещё один плагин это — менеджер обновлений WordPress (Отключить обновления, Отключить автоматические обновления).

Менеджер обновлений WordPress

Webcraftic менеджер обновлений — это легкий, но мощный плагин, который позволяет вам управлять всеми типами обновлений. У плагина есть много различных настроек, вы можете отключать уведомления плагинов индивидуально или полностью. Надоели постоянные уведомления об обновлениях плагинов и тем? Просто отключите их до тех пор, пока вы не будете готовы провести профилактику своего сайта и обновиться.

Cyrlitera – транслитерация ссылок и имен файлов

Данный плагин как альтернатива для WP Translitera, Rus-To-Lat, Cyr to Lat, Cyr-to-lat reloaded и других.

Транслитерация – это преобразование одних символов в другие, к примеру кириллических символов, в латинские. Обычно транслитерацию применяют для того, чтобы улучшить читаемость постоянных ссылок (ЧПУ) и избежать проблем с отображением и чтением файлов, так как всё в сети заточено под латинский алфавит. Многие плагины, сделанные англоязычными разработчиками, не учитывают к примеру кириллицу и могут работать не стабильно.

Плагин транслитерации Cyrlitera заменяет кириллические символы в записях, страницах и тегах, чтобы создать читаемые URL-адреса постоянных ссылок. Также этот плагин исправляет некорректные имена файлов и удаляет лишние символы, которые могут вызвать проблемы при доступе к этому файлу. Включает русские, белорусские, украинские, болгарские, грузинские, турецкие символы.

Вот на этом и остановимся. Надеюсь, вам было полезно узнать о таких модулях для сайта WP. Всего хорошего, друзья и до новых встреч. Пока, пока!

Безопасность | WordPress.org

Узнайте больше о безопасности основного программного обеспечения WordPress в этом бесплатном техническом документе. Вы также можете скачать его в формате PDF.

Обзор

Этот документ представляет собой анализ и объяснение разработки основного программного обеспечения WordPress и связанных с ним процессов безопасности, а также анализ внутренней безопасности, встроенной непосредственно в программное обеспечение. Лица, принимающие решения, оценивающие WordPress как систему управления контентом или структуру веб-приложений, должны использовать этот документ при анализе и принятии решений, а разработчикам — обращаться к нему, чтобы ознакомиться с компонентами безопасности и передовыми методами работы программного обеспечения.

Информация в этом документе актуальна для последней стабильной версии программного обеспечения, WordPress 4.7 на момент публикации, но должна считаться актуальной также для самых последних версий программного обеспечения, поскольку обратная совместимость является важным направлением для команда разработчиков WordPress. Конкретные меры безопасности и изменения будут отмечены, поскольку они были добавлены к основному программному обеспечению в определенных выпусках. Настоятельно рекомендуется всегда использовать последнюю стабильную версию WordPress, чтобы обеспечить максимальную безопасность.

Краткое содержание

WordPress — это динамическая система управления контентом с открытым исходным кодом, которая используется для работы миллионов веб-сайтов, веб-приложений и блогов. В настоящее время он обслуживает более 39% из 10 миллионов веб-сайтов в Интернете. Удобство использования, расширяемость и развитое сообщество разработчиков делают WordPress популярным и безопасным выбором для веб-сайтов любого размера.

С момента своего создания в 2003 году WordPress постоянно подвергался усилению, поэтому его основное программное обеспечение может устранять и смягчать распространенные угрозы безопасности, включая список 10 лучших, определенных проектом Open Web Application Security Project (OWASP) как распространенные уязвимости безопасности, которые обсуждаются в этой статье. документ.

Команда безопасности WordPress в сотрудничестве с основной группой руководства WordPress и при поддержке глобального сообщества WordPress работает над выявлением и устранением проблем безопасности в основном программном обеспечении, доступном для распространения и установки на WordPress.org, а также над рекомендациями и документами по безопасности. рекомендации для сторонних авторов плагинов и тем.

Разработчики и администраторы сайта должны уделять особое внимание правильному использованию основных API-интерфейсов и базовой конфигурации сервера, которые были источником распространенных уязвимостей, а также обеспечению того, чтобы все пользователи использовали надежные пароли для доступа к WordPress.

Обзор WordPress

WordPress — это бесплатная система управления контентом (CMS) с открытым исходным кодом. Это наиболее широко используемое программное обеспечение CMS в мире, и оно поддерживает более 39% из 10 миллионов веб-сайтов ¹ , что составляет 62% доли рынка всех сайтов, использующих CMS.

WordPress под лицензией General Public License (GPLv2 или более поздней версии), которая предоставляет четыре основных свободы и может рассматриваться как «Билль о правах» WordPress:

1. Свобода запускать программу для любых целей.
2. Свобода изучать, как работает программа, и изменять ее, чтобы она делала то, что вы хотите.
3. Свобода распространения.
4. Свобода распространять копии ваших измененных версий среди других.

Основная команда лидеров WordPress

Проект WordPress — это меритократический проект, которым руководит основная команда руководителей и возглавляет его соавтор и ведущий разработчик Мэтт Мулленвег. Команда управляет всеми аспектами проекта, включая разработку ядра WordPress.org и инициативы сообщества.

Основная команда лидеров состоит из Мэтта Малленвега, пяти ведущих разработчиков и более десятка основных разработчиков с постоянным доступом к фиксации. Эти разработчики имеют окончательную власть над техническими решениями и возглавляют обсуждения архитектуры и усилия по реализации.

WordPress имеет ряд разработчиков. Некоторые из них являются бывшими или нынешними коммиттерами, а некоторые, вероятно, станут будущими коммиттерами. Эти разработчики являются надежными и опытными участниками WordPress, которые заслужили большое уважение среди своих коллег.При необходимости в WordPress также есть гостевые коммиттеры, лица, которым предоставляется доступ к фиксации, иногда для определенного компонента, на временной или пробной основе.

Основные и участвующие разработчики в первую очередь направляют разработку WordPress. В каждой версии сотни разработчиков вносят свой код в WordPress. Эти основные участники — добровольцы, которые тем или иным образом вносят свой вклад в основную кодовую базу.

Цикл выпуска WordPress

Каждый цикл выпуска WordPress возглавляется одним или несколькими разработчиками ядра WordPress.Цикл выпуска обычно длится около 4 месяцев с момента первоначального обсуждения до запуска версии.

Цикл выпуска следует следующей схеме: ² :

• Этап 1: Планирование и обеспечение руководителей групп. Это делается в чате #core на Slack. Руководитель выпуска обсуждает функции следующего выпуска WordPress. Авторы WordPress принимают участие в этом обсуждении. Руководитель выпуска определит руководителей группы по каждой из функций.
• Этап 2: Начало разработки. Руководители групп собирают команды и работают над назначенными им функциями. Запланированы регулярные чаты, чтобы разработка продолжалась.
• Этап 3: Бета. Выпущены бета-версии, и бета-тестерам предлагается начать сообщать об ошибках. Начиная с этого этапа больше никаких коммитов для новых улучшений или запросов функций не выполняется. Сторонним авторам плагинов и тем предлагается протестировать свой код на предмет предстоящих изменений.
• Этап 4: Релиз-кандидат.С этого момента для переводимых строк происходит замораживание строк. Работа направлена ​​только на регрессии и блокираторы.
• Этап 5: Запуск. Версия WordPress запущена и доступна в администраторе WordPress для обновлений.

Нумерация версий и выпуски безопасности

Основная версия WordPress продиктована первыми двумя последовательностями. Например, 3.5 является основным выпуском, как и 3.6, 3.7 или 4.0. Не существует «WordPress 3» или «WordPress 4», и каждая основная версия обозначается своей нумерацией, например, e.g., «WordPress 3.9.»

Основные выпуски могут добавлять новые пользовательские функции и API для разработчиков. Хотя обычно в мире программного обеспечения «мажорная» версия означает, что вы можете нарушить обратную совместимость, WordPress стремится никогда не нарушать обратную совместимость. Обратная совместимость — одна из важнейших философских идей проекта, цель которой — упростить обновление как для пользователей, так и для разработчиков.

Младшая версия WordPress продиктована третьей последовательностью. Версия 3.5.1 является второстепенным выпуском, как и 3.4.2 ³ . Незначительный выпуск зарезервирован только для исправления уязвимостей безопасности и устранения критических ошибок. Поскольку новые версии WordPress выпускаются так часто — основная цель — каждые 4-5 месяцев, а второстепенные выпуски происходят по мере необходимости — нужны только основные и второстепенные выпуски.

Версия с обратной совместимостью

Проект WordPress твердо придерживается принципа обратной совместимости. Это обязательство означает, что темы, плагины и настраиваемый код продолжают работать после обновления основного программного обеспечения WordPress, что побуждает владельцев сайтов обновлять свою версию WordPress до последней безопасной версии.

WordPress и безопасность

Команда безопасности WordPress

Команда безопасности WordPress состоит из примерно 50 экспертов, включая ведущих разработчиков и исследователей в области безопасности — около половины из них — сотрудники Automattic (создатели WordPress.com, самой ранней и крупнейшей платформы хостинга WordPress в Интернете), а некоторые работают в Интернете. поле безопасности. Команда консультируется с известными и проверенными исследователями безопасности и хостинговыми компаниями ³ .

Команда безопасности WordPress часто сотрудничает с другими группами безопасности для решения проблем, связанных с общими зависимостями, таких как устранение уязвимости в синтаксическом анализаторе PHP XML, используемом XML-RPC API, который поставляется с WordPress, в WordPress 3.9.2 ⁴ . Решение этой уязвимости стало результатом совместных усилий групп безопасности WordPress и Drupal.

WordPress: риски, процессы и история безопасности

Команда безопасности WordPress верит в ответственное раскрытие информации, немедленно предупреждая команду безопасности о любых потенциальных уязвимостях.О потенциальных уязвимостях безопасности можно сообщить команде безопасности через WordPress HackerOne ⁵ . Группа безопасности общается между собой через частный канал Slack и работает над изолированным частным Trac для отслеживания, тестирования и исправления ошибок и проблем с безопасностью.

Каждый отчет о безопасности подтверждается при получении, и группа работает над проверкой уязвимости и определением ее серьезности. В случае подтверждения группа безопасности планирует выпуск патча для устранения проблемы, который может быть привязан к предстоящему выпуску программного обеспечения WordPress или может быть выпущен как немедленный выпуск безопасности, в зависимости от серьезности проблемы.

Для немедленного выпуска системы безопасности группа безопасности публикует уведомление на сайте новостей WordPress.org ⁶ с объявлением о выпуске и подробным описанием изменений. Благодарность за ответственное раскрытие уязвимости дается в рекомендации, чтобы поощрять и укреплять непрерывную ответственную отчетность в будущем.

Администраторы программного обеспечения WordPress видят уведомление на панели управления своего сайта о необходимости обновления, когда доступна новая версия, и после обновления вручную пользователи перенаправляются на экран «О WordPress», где подробно описаны изменения.Если администраторы включили автоматические фоновые обновления, они получат электронное письмо после завершения обновления.

Автоматические фоновые обновления для выпусков безопасности

Начиная с версии 3.7, WordPress представил автоматические фоновые обновления для всех второстепенных выпусков ⁷ , таких как 3.7.1 и 3.7.2. Команда безопасности WordPress может выявлять, исправлять и внедрять автоматические улучшения безопасности для WordPress, при этом владельцу сайта не нужно делать что-либо с их стороны, и обновление безопасности будет установлено автоматически.

Когда обновление безопасности выдвигается для текущего стабильного выпуска WordPress, основная группа также будет выдвигать обновления безопасности для всех выпусков, которые поддерживают фоновые обновления (начиная с WordPress 3.7), поэтому эти старые, но все еще последние версии WordPress будут получать улучшения безопасности.

Владельцы отдельных сайтов могут удалить автоматические фоновые обновления, просто изменив свой файл конфигурации, но основная группа настоятельно рекомендует сохранить эту функциональность, а также запустить последнюю стабильную версию WordPress.

2013 OWASP Top 10

Open Web Application Security Project (OWASP) — это онлайн-сообщество, посвященное безопасности веб-приложений. В рейтинге OWASP Top 10 ⁸ основное внимание уделяется выявлению наиболее серьезных рисков безопасности приложений для широкого круга организаций. 10 основных элементов выбираются и устанавливаются приоритеты в сочетании с согласованными оценками возможности использования, обнаруживаемости и оценок воздействия.

В следующих разделах обсуждаются API, ресурсы и политики, которые WordPress использует для защиты основного программного обеспечения, а также сторонних плагинов и тем от этих потенциальных рисков.

A1 — Впрыск

В WordPress есть набор функций и API-интерфейсов, которые помогают разработчикам следить за тем, чтобы неавторизованный код не мог быть внедрен, а также помогают им проверять и очищать данные. Доступны передовые практики и документация ⁹ о том, как использовать эти API-интерфейсы для защиты, проверки или дезинфекции входных и выходных данных в HTML, URL-адресах, заголовках HTTP, а также при взаимодействии с базой данных и файловой системой. Администраторы также могут дополнительно ограничить типы файлов, которые могут быть загружены с помощью фильтров.

A2 — Нарушение аутентификации и управления сеансом

WordPress управляет учетными записями пользователей и аутентификацией, а такие детали, как идентификатор пользователя, имя и пароль, управляются на стороне сервера, а также файлы cookie аутентификации. Пароли в базе данных защищены стандартными методами соления и растягивания. Существующие сеансы уничтожаются при выходе из системы для версий WordPress после 4.0.

A3 — межсайтовый скриптинг (XSS)

WordPress предоставляет ряд функций, которые могут помочь обеспечить безопасность данных, предоставленных пользователем ¹⁰ .Доверенные пользователи, то есть администраторы и редакторы в одной установке WordPress, и сетевые администраторы только в WordPress Multisite, могут публиковать неотфильтрованные HTML или JavaScript по мере необходимости, например, внутри сообщения или страницы. Недоверенные пользователи и отправленный пользователями контент фильтруются по умолчанию для удаления опасных объектов с использованием библиотеки KSES с помощью функции wp_kses .

Например, основная команда WordPress заметила перед выпуском WordPress 2.3 видно, что функция the_search_query () неправильно использовалась большинством авторов темы, которые не избегали вывода функции для использования в HTML. В очень редком случае, когда обратная совместимость немного нарушалась, в WordPress 2.3 вывод функции был изменен на экранирование.

A4 — Ссылка на небезопасный прямой объект

WordPress часто предоставляет прямую ссылку на объект, такую ​​как уникальные числовые идентификаторы учетных записей пользователей или контент, доступный в URL-адресе или полях формы.Хотя эти идентификаторы раскрывают прямую системную информацию, обширная система разрешений и контроля доступа WordPress предотвращает несанкционированные запросы.

A5 — Неверная конфигурация безопасности

Большинство операций по настройке безопасности WordPress ограничено одним авторизованным администратором. Настройки по умолчанию для WordPress постоянно оцениваются на уровне основной группы, и основная группа WordPress предоставляет документацию и передовые методы для повышения безопасности конфигурации сервера для запуска сайта WordPress ¹¹ .

A6 — Раскрытие конфиденциальных данных

Пароли учетных записей пользователей WordPress обрабатываются и хешируются на основе Portable PHP Password Hashing Framework ¹² . Система разрешений WordPress используется для управления доступом к личной информации, такой как PII зарегистрированных пользователей, адреса электронной почты комментаторов, контент, опубликованный в частном порядке, и т. Д. В WordPress 3.7 в базовое программное обеспечение был включен измеритель надежности пароля, предоставляющий дополнительную информацию для настроек пользователей. их пароли и намеки на увеличение силы.WordPress также имеет дополнительный параметр конфигурации для требования HTTPS.

A7 — Отсутствие контроля доступа на уровне функций

WordPress проверяет правильность авторизации и разрешений для любых запросов доступа на уровне функций до выполнения действия. Доступ или визуализация административных URL-адресов, меню и страниц без надлежащей аутентификации тесно интегрирована с системой аутентификации для предотвращения доступа неавторизованных пользователей.

A8 — Подделка межсайтовых запросов (CSRF)

WordPress использует криптографические токены, называемые nonces ¹³ , для проверки намерения действий авторизованных пользователей для защиты от потенциальных угроз CSRF.WordPress предоставляет API для генерации этих токенов для создания и проверки уникальных и временных токенов, и токен ограничен конкретным пользователем, определенным действием, определенным объектом и определенным периодом времени, который может быть добавлен в формы и URL-адреса по мере необходимости. Кроме того, все одноразовые номера становятся недействительными при выходе из системы.

A9 — Использование компонентов с известными уязвимостями

Основная команда WordPress внимательно следит за несколькими включенными библиотеками и фреймворками, с которыми WordPress интегрируется для обеспечения основных функций.В прошлом основная группа внесла вклад в несколько сторонних компонентов, чтобы сделать их более безопасными, например, в обновление для устранения межсайтовой уязвимости в TinyMCE в WordPress 3.5.2 ¹⁴ .

При необходимости основная группа может принять решение о разветвлении или замене критически важных внешних компонентов, например, когда библиотека SWFUpload была официально заменена библиотекой Plupload в 3.5.2, а безопасная вилка SWFUpload была предоставлена ​​группой безопасности < ¹⁵ для тех плагинов, которые продолжали использовать SWFUpload в краткосрочной перспективе.

A10 — Непроверенные перенаправления и пересылки

Внутренняя система контроля доступа и аутентификации WordPress защитит от попыток направить пользователей по нежелательным адресатам или автоматических перенаправлений. Эта функция также доступна разработчикам подключаемых модулей через API wp_safe_redirect () ¹⁶ .

Другие риски и проблемы безопасности

Атаки обработки XXE (XML eXternal Entity)

При обработке XML WordPress отключает загрузку пользовательских XML-сущностей, чтобы предотвратить атаки как External Entity, так и Entity Expansion.Помимо основных функций PHP, WordPress не предоставляет дополнительных безопасных API обработки XML для авторов плагинов.

SSRF (подделка запросов на стороне сервера) Атаки

HTTP-запросов, выдаваемых WordPress, фильтруются для предотвращения доступа к замкнутым и частным IP-адресам. Кроме того, доступ разрешен только к определенным стандартным портам HTTP.

WordPress и безопасность тем

Тема по умолчанию

WordPress требует, чтобы тема была включена для отображения содержимого на веб-интерфейсе.Тема по умолчанию, которая поставляется с ядром WordPress (в настоящее время «Twenty Twenty-One»), была тщательно проверена и протестирована по соображениям безопасности как командой разработчиков тем, так и основной командой разработчиков.

Тема по умолчанию может служить отправной точкой для разработки настраиваемой темы, и разработчики сайтов могут создать дочернюю тему, которая включает некоторые настройки, но возвращается к теме по умолчанию для большей функциональности и безопасности. Тема по умолчанию может быть легко удалена администратором, если в ней нет необходимости.

WordPress.org Репозитории тем и плагинов

На сайте WordPress.org представлено около 50 000+ плагинов и 5 000+ тем. Эти темы и плагины отправляются на включение и вручную проверяются волонтерами перед тем, как сделать их доступными в репозитории.

Включение плагинов и тем в репозиторий не является гарантией отсутствия в них уязвимостей. Авторы плагинов должны проконсультироваться с инструкциями перед отправкой для включения в репозиторий ¹⁷ , а обширная документация по разработке тем WordPress ¹⁸ предоставляется на WordPress.сайт org.

Каждый плагин и тема могут постоянно разрабатываться владельцем плагина или темы, а любые последующие исправления или разработка функций могут быть загружены в репозиторий и предоставлены пользователям с установленным плагином или темой с описанием этого изменения. Администраторы сайта получают уведомления о подключаемых модулях, которые необходимо обновить, через их административную панель.

Когда группа безопасности WordPress обнаруживает уязвимость в плагине, они связываются с автором плагина и вместе работают над исправлением и выпуском безопасной версии плагина.Если от автора плагина нет ответа или если уязвимость серьезная, плагин / тема извлекается из общедоступного каталога и в некоторых случаях исправляется и обновляется непосредственно группой безопасности.

Группа проверки темы

Группа проверки темы — это группа добровольцев, возглавляемая ключевыми и авторитетными членами сообщества WordPress, которые проверяют и одобряют темы, представленные для включения в официальный каталог тем WordPress. Группа проверки темы поддерживает официальные рекомендации по обзору темы ¹⁹ , данные модульного тестирования темы ²⁰ и плагины проверки темы ²¹ , а также пытается привлечь и обучить сообщество разработчиков тем WordPress относительно передовых методов разработки.Включение в группу модерируется основными коммиттерами команды разработчиков WordPress.

Роль хостинг-провайдера в безопасности WordPress

WordPress можно установить на множество платформ. Хотя основное программное обеспечение WordPress предоставляет множество положений для работы с безопасным веб-приложением, которые были рассмотрены в этом документе, конфигурация операционной системы и базового веб-сервера, на котором размещено программное обеспечение, одинаково важны для обеспечения безопасности приложений WordPress.

Примечание о безопасности WordPress.com и WordPress

WordPress.com — крупнейшая установка WordPress в мире, она принадлежит и управляется Automattic, Inc., основанной Мэттом Мулленвегом, соавтором проекта WordPress. WordPress.com работает на основном программном обеспечении WordPress и имеет свои собственные процессы безопасности, риски и решения ²² . Этот документ относится к безопасности автономного загружаемого программного обеспечения WordPress с открытым исходным кодом, доступного на WordPress.org и устанавливается на любой сервер в мире.

Приложение

Основные API WordPress

Интерфейс программирования основных приложений (API) WordPress состоит из нескольких отдельных API-интерфейсов ²³ , каждый из которых охватывает функции, задействованные в заданном наборе функций и использующие их. Вместе они образуют интерфейс проекта, который позволяет плагинам и темам безопасно и надежно взаимодействовать, изменять и расширять основные функции WordPress.

Хотя каждый API WordPress предоставляет передовые методы и стандартизированные способы взаимодействия с основным программным обеспечением WordPress и расширения его возможностей, следующие API WordPress являются наиболее подходящими для обеспечения и усиления безопасности WordPress:

API базы данных

API базы данных ²⁴ , добавленный в WordPress 0.71, обеспечивает правильный метод доступа к данным в виде именованных значений, которые хранятся на уровне базы данных.

API файловой системы

API файловой системы ²⁵ , добавленный в WordPress 2.6 ²⁶ , изначально был создан для функции автоматического обновления WordPress. API файловой системы абстрагирует функциональные возможности, необходимые для чтения и записи локальных файлов в файловую систему, которые должны выполняться безопасно на различных типах хостов.

Он делает это с помощью класса WP_Filesystem_Base и нескольких подклассов, которые реализуют различные способы подключения к локальной файловой системе, в зависимости от поддержки отдельного хоста. Любая тема или плагин, которым необходимо записывать файлы локально, должны делать это с использованием семейства классов WP_Filesystem.

HTTP API

HTTP API ²⁷ , добавленный в WordPress 2.7 ²⁸ и расширенный в WordPress 2.8, стандартизирует HTTP-запросы для WordPress. API обрабатывает файлы cookie, кодирование и декодирование gzip, декодирование фрагментов (если HTTP 1.1) и различные другие реализации протокола HTTP. API стандартизирует запросы, проверяет каждый метод перед отправкой и, в зависимости от конфигурации вашего сервера, использует соответствующий метод для выполнения запроса.

Разрешения и текущий пользовательский API

Разрешения и текущий пользовательский API ²⁹ — это набор функций, которые помогут проверить разрешения и полномочия текущего пользователя для выполнения любой запрашиваемой задачи или операции и могут дополнительно защитить от неавторизованного доступа пользователей или выполнения функций, выходящих за рамки их разрешенных возможностей.

Содержание официального документа Лицензия

Текст в этом документе (за исключением логотипа или товарного знака WordPress) находится под лицензией CC0 1.0 Universal (CC0 1.0) Public Domain Dedication. Вы можете копировать, изменять, распространять и выполнять работу даже в коммерческих целях, не спрашивая разрешения.

Особое спасибо Drupal за информационный документ по безопасности , который послужил источником вдохновения.

Дополнительная литература

Автор Сара Россо

Взносы от Барри Абрахамсон, Майкл Адамс, Джон Кейв, Хелен Хоу-Санди, Дион Халс, Мо Джангда, Пол Майорана

Версия 1.0 марта 2015

Сноски

All In One WP Security & Firewall — плагин для WordPress

КОМПЛЕКСНЫЙ, ПРОСТОЙ В ИСПОЛЬЗОВАНИИ, СТАБИЛЬНЫЙ И ХОРОШО ПОДДЕРЖИВАЕМЫЙ ПЛАГИН WORDPRESS SECURITY

WordPress сам по себе является очень безопасной платформой. Тем не менее, это помогает добавить дополнительную безопасность и брандмауэр на ваш сайт с помощью подключаемого модуля безопасности, который применяет множество передовых методов безопасности.

Плагин All In One WordPress Security поднимет безопасность вашего сайта на совершенно новый уровень.

Этот плагин разработан и написан экспертами, прост в использовании и понимании.

Он снижает риск безопасности, проверяя уязвимости, а также внедряя и применяя последние рекомендуемые методы и методы безопасности WordPress.

All In One WP Security также использует беспрецедентную систему оценки баллов безопасности, чтобы измерить, насколько хорошо вы защищаете свой сайт на основе активированных функций безопасности.

Наши правила безопасности и брандмауэра делятся на «базовые», «промежуточные» и «расширенные».Таким образом, вы можете применять правила брандмауэра постепенно, не нарушая функциональность вашего сайта.

Плагин All In One WordPress Security не замедляет работу вашего сайта и на 100% бесплатный.

Посетите страницу плагина безопасности WordPress для получения более подробной информации.

Ниже приведен список функций безопасности и брандмауэра, предлагаемых в этом плагине:

Безопасность учетных записей пользователей

• Определите, существует ли учетная запись пользователя с именем пользователя по умолчанию «admin», и легко измените имя пользователя на значение по вашему выбору.
• Плагин также определит, есть ли у вас учетные записи пользователей WordPress с идентичными логином и отображаемыми именами. Наличие учетной записи, в которой отображаемое имя совпадает с именем входа, является плохой практикой безопасности, потому что
  вы упрощаете задачу хакерам на 50%, потому что они уже знают имя входа.
• Инструмент надежности пароля, позволяющий создавать очень надежные пароли.
• Остановить перечисление пользователей. Таким образом, пользователи / боты не могут найти информацию о пользователе по постоянной ссылке автора.

Безопасность входа пользователя

• Защита от «атаки методом грубой силы» с помощью функции блокировки входа в систему.Пользователи с определенным IP-адресом или диапазоном будут заблокированы для доступа к системе на заранее определенный период времени, основанный на настройках конфигурации, и вы также можете получать уведомление
  по электронной почте, когда кто-то блокируется из-за слишком большого количества попыток входа в систему.

• Как администратор, вы можете просматривать список всех заблокированных пользователей, которые отображаются в легко читаемой и управляемой таблице, которая также позволяет разблокировать отдельные или групповые IP-адреса одним нажатием кнопки.

• Принудительный выход всех пользователей по истечении настраиваемого периода времени

• Мониторинг / просмотр неудачных попыток входа, которые показывают IP-адрес пользователя, идентификатор пользователя / имя пользователя и дату / время неудачной попытки входа в систему

• Мониторинг / просмотр активности учетных записей всех учетных записей пользователей в вашей системе, отслеживая имя пользователя, IP-адрес, дату / время входа в систему и дату / время выхода.

• Возможность автоматической блокировки диапазонов IP-адресов, которые пытаются войти в систему с недопустимым именем пользователя.
• Возможность увидеть список всех пользователей, которые в данный момент вошли на ваш сайт.
• Позволяет указать один или несколько IP-адресов в специальном белом списке. IP-адреса из белого списка будут иметь доступ к вашей странице входа в WP.
• Добавьте Google reCaptcha или простую математическую капчу в форму входа в WordPress.
• Добавьте Google reCaptcha или простую математическую капчу в форму забытого пароля вашей системы входа в WP.

Безопасность регистрации пользователей

• Включение ручного утверждения учетных записей пользователей WordPress.Если ваш сайт позволяет людям создавать свои собственные учетные записи через регистрационную форму WordPress, вы можете минимизировать количество спама или поддельных регистраций, одобряя каждую регистрацию вручную.
• Возможность добавить Google reCaptcha или простую математическую капчу на страницу регистрации пользователя WordPress, чтобы защитить вас от регистрации пользователей спама.
• Возможность добавить Honeypot в форму регистрации пользователя WordPress, чтобы уменьшить количество попыток регистрации со стороны robots.

Безопасность базы данных

• Простая установка префикса WP по умолчанию на значение по вашему выбору одним нажатием кнопки.
• Запланируйте автоматическое резервное копирование и уведомления по электронной почте или сделайте мгновенное резервное копирование БД, когда захотите, одним щелчком мыши.

Безопасность файловой системы

• Определите файлы или папки с небезопасными настройками разрешений и установите разрешения на рекомендуемые безопасные значения одним нажатием кнопки.
• Защитите свой PHP-код, отключив редактирование файлов в области администрирования WordPress.
• Легко просматривайте и контролируйте все журналы хост-системы с единой страницы меню и будьте в курсе любых проблем или проблем, возникающих на вашем сервере, чтобы вы могли быстро их решать.
• Запретить людям доступ к файлам readme.html, license.txt и wp-config-sample.php на вашем сайте WordPress.

htaccess и wp-config.php Резервное копирование и восстановление файлов

• Простое резервное копирование исходных файлов .htaccess и wp-config.php на случай, если вам понадобится их использовать для восстановления нарушенной функциональности.
• Измените содержимое активных в данный момент файлов .htaccess или wp-config.php из панели управления администратора с помощью всего нескольких щелчков мышью

Черный список Функциональность

• Запретить пользователей, указав IP-адреса или используя подстановочный знак для указания диапазонов IP-адресов.
• Забанить пользователей, указав пользовательских агентов.

Функции межсетевого экрана

Этот плагин позволяет вам легко добавить к вашему сайту дополнительную защиту брандмауэра через файл htaccess. Файл htaccess обрабатывается вашим веб-сервером раньше любого другого кода на вашем сайте.
Таким образом, эти правила брандмауэра остановят вредоносный скрипт (ы) до того, как он получит шанс достичь кода WordPress на вашем сайте.

• Средство контроля доступа.
• Мгновенно активируйте ряд настроек брандмауэра от базовых, промежуточных и дополнительных.
• Включите знаменитые правила брандмауэра «Черный список 6G», любезно предоставленные Perishable Press.
• Запретить публикацию комментариев через прокси.
• Заблокировать доступ к файлу журнала отладки.
• Отключить трассировку и отслеживание.
• Запретить неверные или вредоносные строки запроса.
• Защитите себя от межсайтовых сценариев (XSS), активировав комплексный расширенный фильтр строк символов.
  или вредоносные боты, у которых в браузере нет специального файла cookie. Вы (администратор сайта) будете знать, как установить этот специальный файл cookie, и сможете войти на свой сайт.
• Функция защиты WordPress PingBack от уязвимостей. Эта функция брандмауэра позволяет пользователю запретить доступ к файлу xmlrpc.php для защиты от определенных уязвимостей в функции pingback. Это также полезно, чтобы запретить ботам постоянно обращаться к файлу xmlrpc.php и тратить ресурсы вашего сервера.
• Возможность блокировать сканирование вашего сайта поддельными роботами Googlebots.
• Возможность запретить хотлинкинг изображений. Используйте это, чтобы запретить другим пользователям делать горячие ссылки на ваши изображения.
• Возможность регистрировать все 404 события на вашем сайте. Вы также можете выбрать автоматическую блокировку IP-адресов, которые попадают слишком много 404.
• Возможность добавлять собственные правила для блокировки доступа к различным ресурсам вашего сайта.

Защита от атак методом перебора

• Мгновенно блокируйте атаки методом грубой силы при входе с помощью нашей специальной функции предотвращения входа в систему методом грубой силы на основе файлов cookie. Эта функция брандмауэра блокирует все попытки входа в систему от людей и ботов.
• Возможность добавить простую математическую капчу в форму входа в WordPress для борьбы с атаками методом грубой силы.
• Возможность скрыть страницу входа администратора. Переименуйте URL-адрес страницы входа в WordPress, чтобы боты и хакеры не могли получить доступ к вашему реальному URL-адресу входа в WordPress. Эта функция позволяет вам изменить страницу входа по умолчанию (wp-login.php) на то, что вы настроите.
• Возможность использовать приманку для входа в систему, которая помогает снизить количество попыток входа в систему с помощью грубой силы.

Сканер безопасности

• Сканер обнаружения изменений файлов может предупредить вас, если какие-либо файлы были изменены в вашей системе WordPress.Затем вы можете исследовать и увидеть, было ли это изменение законным или был внедрен неправильный код.

Комментарий Защита от спама

• Отслеживайте самые активные IP-адреса, которые постоянно создают наибольшее количество спама, и мгновенно блокируйте их одним нажатием кнопки.
• Запретить отправку комментариев, если они исходят не из вашего домена (это должно уменьшить количество сообщений, размещаемых ботами-спамом на вашем сайте).
• Добавьте капчу в форму комментариев WordPress, чтобы защитить себя от спама в комментариях.
• Автоматически и навсегда блокировать IP-адреса, по которым превышено определенное количество комментариев, помеченных как СПАМ.

Защита от копирования текста во внешнем интерфейсе

• Возможность отключить опцию правого щелчка, выделения текста и копирования для вашего интерфейса.

Регулярные обновления и добавления новых функций безопасности

• WordPress Безопасность — это то, что со временем развивается. Мы будем регулярно обновлять плагин All In One WP Security новыми функциями безопасности (и исправлениями, если они требуются), чтобы вы могли быть уверены, что ваш сайт будет соответствовать передовым технологиям защиты.

Работает с самыми популярными плагинами WordPress

• Он должен без проблем работать с большинством популярных плагинов WordPress.

Дополнительные функции

• Возможность удалить метаинформацию генератора WordPress из HTML-источника вашего сайта.
• Возможность удалить информацию о версии WordPress из файлов JS и CSS вашего сайта.
• Возможность запретить людям доступ к файлам readme.html, license.txt и wp-config-sample.php файлы
• Возможность временно заблокировать внешний интерфейс вашего сайта от обычных посетителей, пока вы выполняете различные внутренние задачи (расследование атак на систему безопасности, выполнение обновлений сайта, выполнение работ по обслуживанию и т. Д.)
• Возможность экспорта / импорта настроек безопасности.
• Запретить другим сайтам отображать ваш контент через фрейм или iframe.

Поддержка плагинов

• Если у вас есть вопросы или проблемы с плагином All In One Security, опубликуйте их на форуме поддержки, и мы поможем вам.

Разработчики

• Если вы разработчик и вам нужны дополнительные хуки или фильтры для этого плагина, сообщите нам об этом.
Репозиторий
• Github — https://github.com/Arsenal21/all-in-one-wordpress-security

Переводы

• Плагин All In One WP Security можно перевести на любой язык.

На данный момент доступны переводы:

• Английский
• Немецкий
• Испанский
• французский
• Венгерский
• Итальянский
• шведский
• Русский
• китайский
• Португальский (Бразилия)
• Персидский

Посетите страницу плагина безопасности WordPress для получения более подробной информации.

Политика конфиденциальности

Этот плагин может собирать IP-адреса из соображений безопасности, таких как уменьшение угроз грубой силы при входе в систему и злонамеренных действий.
Собранная информация хранится на вашем сервере. Никакая информация не передается третьим лицам или удаленным серверам.

Использование

После активации плагина зайдите в меню настроек и следуйте инструкциям.

Чтобы сделать ваш сайт на WordPress более безопасным:

1. Загрузите «все-в-одном-WP-Security.zip ’на странице Plugins-> Add New в панели администрирования WordPress.
2. Активируйте плагин через меню «Плагины» в WordPress.
3. Перейдите в меню «Настройки» под «WP Security» и начните активировать функции безопасности плагина.

Найдите F.A.Q на следующей странице (см. Раздел часто задаваемых вопросов):
https://www.tipsandtricks-hq.com/wordpress-security-and-firewall-plugin

«All In One WP Security & Firewall» — это программное обеспечение с открытым исходным кодом.Следующие люди внесли свой вклад в этот плагин.

4,4,5

• Фиксированная дата и время по умолчанию для предотвращения ошибок БД.
• Добавлены файлы перевода на корейский язык. Спасибо Джонхену Чо.
• Переработан код функции «Создать новый префикс таблицы БД», чтобы сделать ее более надежной. Спасибо @baddiedev.
• Добавлена ​​возможность перевода некоторых строк.

4.4.4

• Исправлены ошибки и улучшена функциональность, связанная с функцией «авторизованных пользователей».
• Google recaptha проверяет отзывы о продуктах WooCommerce
• Заменено использование устаревшего обработчика «wpmu_new_blog» на «wp_insert_site».
• Исправлена ​​потенциальная проблема XSS в меню настроек плагина для IE11 или более старых браузеров.

4.4.3

• Улучшенная функция обнаружения изменений файлов для обработки резервных копий БД, которые в некоторых случаях незаметно завершаются из-за очень больших сериализованных данных, хранящихся в одной строке.
• Добавлен новый обработчик действия (aiowps_rename_login_load) непосредственно перед загрузкой переименованной страницы входа.
• Добавлена ​​проверка, чтобы убедиться, что настройки captcha woocommerce отображаются только в том случае, если плагин woocommerce установлен / активен.
• Исправлены ошибки рекапчи.
• Добавлен настраиваемый элемент для максимального размера загружаемого файла в основные правила брандмауэра.

4.4.2

• Исправлена ​​уязвимость, связанная с открытым редиректом и открытием скрытой страницы входа для конкретного случая. (Спасибо Erwan (wpscanteam) за то, что сообщили нам)

4.4.1

• Исправлена ​​ошибка, из-за которой директивы Apache не добавлялись повторно в файл.htaccess после повторной активации плагина.
• Исправлена ​​ошибка, связанная с неустановкой даты выхода из учетной записи.

4.4.0

• Добавлена ​​надежность функции блокировки входа в систему за счет замены функции strtotime на DateTime / DateInterval.
  Это должно предотвратить ограничение 32-битных систем максимальной датой 19 января 2038 года.
• Исправлены ошибки, связанные с функциями капчи.
• Исправлена ​​и улучшена функция «Пользователи, вошедшие в систему» ​​для мультисайтов.
• Всегда устанавливайте допустимые даты, чтобы избежать ошибок, когда в mysql включен строгий режим. Спасибо Давиде.

4.3.9.4

• Удалена функция whois, поскольку она добавляет относительно небольшую ценность, а используемая сторонняя библиотека не поддерживается на регулярной основе.
• Исправлена ​​ошибка «заголовки уже отправлены» при выполнении массового действия с использованием таблицы списка aiowps.

4.3.9.3

• Исправлена ​​еще одна ошибка капчи, связанная с формой комментария.

4.3.9.2

• Исправлены различные ошибки капчи: страница потерянного пароля woocommerce, страница пользовательской формы входа и т. Д.

4.3.9.1

• Исправлена ​​ошибка функции переименования страницы входа, появившаяся после изменения ядра WP в версии 5.2.

4.3.9

• Исправлена ​​ошибка капчи.
• Исправлена ​​проблема PHP_EOL, из-за которой некоторые адреса IPv6 и v4, сохраненные в настройках, ошибочно считались недействительными.
• Увеличено разрешение файла для wp-config.php до «640»
• Исправлена ​​ошибка изменения префикса БД для случаев, когда в БД были таблицы типа «просмотр».
• Исправлены некоторые проблемы со строкой перевода.
• Незначительное исправление стиля для кнопок навигации разбивки на страницы таблицы списка WP.

4.3.8.3

• Повторная попытка — Исправлена ​​ошибка аутентификации авторизации по капче.

4.3.8.2

• Исправлена ​​ошибка аутентификации авторизации по капче.

4.3.8.1

• Незначительное исправление ошибки — добавлена ​​отсутствующая проверка для постановки сценария рекапчи в очередь, только если эта функция включена.

4.3.8

• Добавлена ​​возможность скрывать секретную ссылку на страницу переименования входа в систему при отправке писем людям с просьбой об экспорте личных данных.
• Исправлена ​​ошибка, из-за которой Google reCaptcha не отображалась на странице комментариев.
• Исправлен обработчик активации и создание таблиц БД для более надежной обработки мультисайтовых активаций.
• Улучшен код reCaptcha для предотвращения случайного появления ошибки «Неперехваченная ошибка: элемент-заполнитель reCAPTCHA должен быть элементом или идентификатором».
• Добавлена ​​дополнительная проверка значения PHP_OS для предотвращения интерпретации Apple «DARWIN» как сервера Windows.
• Исправлены некоторые незначительные проблемы с переводом на странице входа с переименованием.
• Повышен приоритет хука аутентификации для проверки капчи.
• Обновлен файл на голландском языке.

4.3.7.2

• Дополнительные меры по предотвращению фатальных ошибок «get_home_path».

4.3.7.1

• Исправлена ​​фатальная ошибка, связанная с функцией «get_home_path».

4.3.7

• Добавлена ​​функция Google reCaptcha для форм входа.
• Улучшенный код, который проверяет, является ли сайт основным для многосайтовых установок.
• Удалена строка текстового домена из функций перевода в файле wp-security-rename-login-feature.php.
• Изменено расположение пути .htaccess для использования get_home_path ().
• Исправлена ​​незначительная ошибка с капчей в woocommerce

4.3.6

• Добавлена ​​новая вкладка «WP REST API» в меню «Разное» и создана отдельная функция, которая отключает несанкционированный доступ к REST для не вошедших в систему пользователей независимо от функции перечисления пользователей.
• Улучшено отображение области виджетов на странице панели инструментов.
• Небольшое исправление строки перевода в функции переименования страницы входа.

4.3.5

• Fix — Ошибка: вызов неопределенной функции the_privacy_policy_link () в старых версиях WordPress.
• Добавлена ​​проверка для отключения функции обнаружения изменений файлов и предотвращения фатальных ошибок, когда FilesystemIterator недоступен из-за старых версий PHP.
• Улучшенный метод get_login_fail_count в классе AIOWPSecurity_User_Login, который исправит случаи, когда блокировка входа в систему
  не работала на некоторых серверах из-за разницы во времени между PHP current_time («mysql») и mysql now ().

4.3.4

• Измененная страница переименования входа в систему для обработки запросов GDPR Export / Erase Personal Data.
• Исправлена ​​ошибка с капчей на странице регистрации woocommerce.
• Улучшено перечисление пользователей, так что аутентифицированные запросы к REST API разрешены, а другие заблокированы.
• Улучшена логика в настройках переименованной страницы входа, что позволяет избежать ненужного вызова функции AIOWPSecurity_Utility_Htaccess :: write_to_htaccess ().

4.3.3,1

• Исправлена ​​опечатка с недавно добавленным хуком действия — aiowps_before_wp_die_renamed_login

4.3.3

• Исправлена ​​ошибка — aiowps теперь разрешает доступ к admin-post.php из внешнего интерфейса, когда активна функция переименования входа в систему.
• Изменена функция блокировки входа в систему, поэтому блокируется точный IP-адрес, а не диапазон IP-адресов.
• Добавлен новый фильтр (aiowps_ip_blocked_output_page), который позволяет пользователю фильтровать весь вывод, когда чей-то IP заблокирован.
• Добавлен новый обработчик действия (aiopws_before_wp_die_renamed_login) для переименованной функции входа в систему, которая срабатывает непосредственно перед событием wp_die, которое приводит к поведению «Недоступно».
• Удален неиспользуемый код.
• Изменено get_user_ip_address для получения первого IP-адреса в случаях, когда предоставлено несколько адресов, разделенных запятыми, например X-Forwarded-For.

4.3.2

• Добавлена ​​новая страница настроек IP-адреса, на которой пользователь может настроить, из какого $ _SERVER global будет извлекаться IP-адрес.(Новая настройка находится в WP Security >> Настройки >> Расширенные настройки)
• Исправлена ​​ошибка в правилах .htaccess, возникающая при одновременном включении правил брандмауэра 6G и черного списка IP.
• Исправлена ​​ошибка, из-за которой ответ captcha игнорировался на странице входа в woocommerce.
• Добавлена ​​поддержка запросов на разблокировку, сделанных со страницы входа в учетную запись woocomerce, когда активна функция переименования входа.
• Добавлен полезный код отладки для устранения неполадок в поддельной функции googlebot.
• Некоторая общая очистка и улучшение кода.
• Добавлен код для предотвращения утечки данных прямого доступа.
• Добавлены настройки капчи для формы новой темы BBPress.
• Исправлена ​​небольшая ошибка на странице панели инструментов при проверке применения правил htaccess.
• В функцию «Права доступа к файлам» добавлена ​​проверка установки сервера Windows — эта функция не применима для серверов Windows.
• Добавлена ​​проверка для отображения капчи комментариев только когда пользователь не авторизован.

4.3,1

• Улучшены директивы белого списка для Apache 2.4 и более ранних версий.
• Добавлены 3 фильтра для электронного письма с подтверждением регистрации учетной записи вручную: aiowps_register_approval_email_subject, aiowps_register_approval_email_msg, aiowps_register_approval_email_from_name
• Добавлен параметр конфигурации, позволяющий применять настраиваемые правила брандмауэра в начале всех правил, применяемых aiowps.
• Изменена вставка записей в таблицу БД aiowps_failed_logins, чтобы хранить полный IP-адрес вместо диапазона IP-адресов.

4.3.0

• Обновлен wp-security-rename-login-feature.php, чтобы включить последние изменения ядра WordPress.
• Добавлена ​​капча для форм входа и регистрации woocommerce.
• Исправлены предупреждения о «смешанных окончаниях строк» ​​для библиотеки whois.
• Задача cron по очистке БД перемещена с ежедневной на ежечасную.
• Обновлена ​​функция повторного применения htaccess, поэтому она не создает уже отправленный заголовок с ошибкой.

4.2.9

• Изменен параметр в функции current_user_can для использования полномочий администратора вместо имени роли «администратор».
• Добавлено несколько новых хуков для AIOWPSecurity_WP_Loaded_Tasks, называемых aiowps_wp_loaded_tasks_start и aiowps_wp_loaded_tasks_end.
• Улучшена функция get_locked_ips () и добавлен оператор $ wpdb-> prepare.
• Добавлены дополнительные отсутствующие параметры домена перевода для переводимых строк на странице переименования входа в систему.
• Удалена локальная копия файлов на персидском и итальянском языках. Эти переводы доступны на translate.wordpress.org.
• Путь к домену и текстовый домен добавлены в заголовок плагина.
• Изменены функции get_user_ip_address, так что $ _SERVER [‘REMOTE_ADDR’] является основным методом, используемым для получения IP-адреса.
• Добавлен блок перечисления через REST API (wp> = 4.7)

4.2.8

• Улучшенная функция «Регистрация пользователей» для обхода статуса ожидающего утверждения для новых пользователей, созданных на стороне администратора.
• Исправлена ​​ошибка в библиотеке whois.
• Добавлен параметр домена перевода для переводимых строк на странице входа в систему переименования.
• Обновлен файл на китайском языке.

4.2.7

• Библиотека PHPWhois обновлена ​​до последней версии и включает исправление безопасности.

4.2.6

• Добавлена ​​новая функция белого списка блокировки входа в систему, которая позволяет защищать IP-адрес или диапазоны от блокировки функцией блокировки.
• Исправлена ​​ошибка — date_i18n заменено на current_time, чтобы предотвратить случаи, когда некоторые локализации производят посторонние символы при выводе штампа даты.
• Добавлена ​​новая функция для добавления Honeypot в форму регистрации пользователя WordPress (это может помочь уменьшить количество попыток регистрации со стороны роботов).
• Добавлены кнопки «Экспорт в CSV» для 404 журналов событий, журналов активности учетной записи и записей о неудачных попытках входа в систему.
• Незначительное обновление правил 6G.
• Мелкие исправления и изменения орфографии и формулировки.

4.2.5

• Исправлена ​​ошибка — добавлен код, обслуживающий определения представления mysql при изменении префикса DB.
• Исправлена ​​опечатка в меню безопасности входа пользователя.
• Исправлено хранение метки времени в таблице блокировки, чтобы она соответствовала времени локального сервера WordPress и была согласована с меткой времени, хранящейся в таблице неудачных входов в систему.
• Запретить прямой доступ к wp-security-core.php
• Обновлен файл POT.

4.2.4

• Исправить ошибку в block_ip_if_locked (), не выходит с wp_user. Это необходимо для других плагинов, которые создают $ user (также известные плагины ldap auth).
• Исправить сообщение об ошибке входа в систему для пользователей, ожидающих утверждения учетной записи.
• Совместимость с WordPress 4.7.

4.2.3

• Исправлена ​​ошибка, когда математическая капча отображалась на странице регистрации Woocommerce.
• Исправлена ​​ошибка страницы входа в систему для случаев, когда адрес электронной почты и капча используются для отправки формы входа (спасибо @chesio за исправление).
• Каталог журналов теперь содержит файл .htaccess с соответствующими директивами deny.
• Небольшое улучшение UX: добавлен атрибут для метки капчи.
• Добавлена ​​проверка сервера IIS в функцию get_server_type.

4.2.2

• Улучшения класса средства ведения журнала отладки.
• Добавлено сообщение в области настроек отладки, чтобы указать, что файлы журнала сбрасываются при каждом обновлении плагина.
• Всегда возвращать массив из scan_dir_sort_date (), чтобы предотвратить уведомления PHP.
• Улучшения для автоматического резервного копирования БД заполняют пространство — старый файл резервной копии будет удален первым.
• Спасибо RIPS Analyzer за отправку отчета об уязвимости.

4.2,1

• Улучшить вывод .htaccess, чтобы включить проверки и директивы RewriteEngine On.
• Возврат к интервалу резервного копирования БД по умолчанию в случае недопустимого значения.
• Функция aiowps_delete_backup_files () будет создавать сообщение журнала отладки при каждом вызове (для помощи в устранении неполадок при необходимости).

4.2.0

• Исправление совместимости плагина WPML для функции переименованной страницы входа администратора.
• Исправлено несколько потенциальных уязвимостей XSS.

4.1.9

• Небольшое улучшение новой функции «немедленная блокировка определенных имен пользователей».

4.1.8

• Новая функция, позволяющая мгновенно блокировать определенные имена пользователей.
• Активировать защиту от копирования (щелчок правой кнопкой мыши) только для пользователей без прав администратора.
• Исправлена ​​ошибка, из-за которой ссылка выхода на панели администратора не обновлялась после отправки $ _POST, чтобы отразить новую настройку входа в систему переименования.
• Исправлена ​​небольшая ошибка в функции return_regularized_url.
• Улучшение / исправление ошибки: когда в настоящий момент пользователь пытается получить доступ к переименованной странице входа, перенаправьте его на панель управления.
• Удалены файлы испанского языка, чтобы их можно было автоматически извлечь с WordPress.org.
• Удалите ненужное предложение WHERE в некоторых списках серверных программ.
• Улучшение: не планировать задание cron, если оно уже запланировано.

4.1.7

• Добавлена ​​очистка данных файла журнала в текстовой области.
• Отключено автозаполнение для поля Captcha.

4.1.6

• Добавлен код очистки для переходных процессов в строке капчи.
• Незначительное изменение метки имени пользователя на переименованной странице входа, чтобы оно соответствовало стандартной странице входа в WordPress.
• Исправлена ​​потенциальная уязвимость при просмотре файлов журнала AIOWPS в меню панели инструментов. Спасибо Мануэлю ЛЛОП за указание на это.

4.1.5

• Исправлена ​​ошибка, при которой имя пользователя — это адрес электронной почты, а капча игнорировалась.
• Уменьшить объем памяти, занимаемой резервным копированием базы данных.
• Улучшения: Сделано жестко запрограммированные строки локализуемыми.
• Частичная совместимость с Apache 2.3.
• Улучшено: скрыть номер версии WP, заменив его хешем. Таким образом, номер версии WordPress не отображается, но кеширование браузера не затрудняется отсутствием номеров версий.

4.1.4

• Улучшена и доработана функция ввода пароля для входа в систему, чтобы избежать некоторых проблем, которые возникли при последней модификации.
• Удалена ссылка на ini_get (‘safe_mode’), чтобы избежать фатальных ошибок для новых версий PHP, где этот параметр был полностью удален.

4.1.3

• Добавлен новый флажок для XMLRPC, чтобы отключить только методы pingback, но оставить доступными другие функции XMLRPC. Это будет полезно для людей, которые используют Jetpack, WordPress iOS или другие приложения.
• Обновлен файл на французском языке.
• Исправление: decbin не добавляет начальный ноль. Сравнение пустых строк возвращает плохие результаты.
• Fix: исправление ошибки в системе авторизации. Спасибо Сипке Меллеме за указание на это.

4.1.2

• Исправлена ​​ошибка, вызванная последними изменениями кода сканера изменений файла.
• Исправлена ​​ошибка в функции блокировки спам-комментариев.
• Исправлен случай фатальной ошибки при включении темы Divi и блокировки внешнего интерфейса.

4.1.1

• Исправлен конфликт с фатальной ошибкой между функцией Rename Login и Yoast SEO и некоторыми темами при попытке прямого доступа к странице wp-admin.
• Добавлено сообщение «Ожидает утверждения», когда включена функция подтверждения регистрации вручную и пользователь регистрируется.
• Исправление (незначительное): нет необходимости использовать strcmp для сравнения целочисленных значений.
• Обновленный и упрощенный файл wp-security-stop-users-enumeration.php для выявления ошибки (спасибо @davidegiunchidiennea)
• Незначительная очистка кода (спасибо @chesio за следующие изменения).
• Очистка базы кода сканера файлов.
• Fix: правильно сообщать неверные адреса электронной почты в конфигурации сканера файлов.
• Очистка кода в методе AIOWPSecurity_Scan :: do_file_change_scan ().
• Tweak: Быстрее сравнивать данные сканирования файлов.

4.1.0

• Исправлена ​​ошибка на странице меню «Обслуживание» при попытке прикрепить медиафайл к текстовому полю сообщения.
• Добавлен новый фильтр (названный «aiowps_ip_blocked_error_msg»), который позволяет изменять сообщение об ошибке, отображаемое на странице входа в систему, когда IP-адрес был заблокирован функцией блокировки входа в систему.
• Обновлен перевод на французский язык. Спасибо Клоду Рибо за предоставленные файлы перевода.
• Спасибо @chesio за внесение следующих двух изменений.
• Заменен устаревший вызов функции get_currentuserinfo ().
• Незначительные исправления кода в файле класса резервного копирования.
• Исправление: отображение правильного сообщения (ошибки) при сбое write_to_htaccess ().
• Улучшено: имя файла резервной копии базы данных более читабельно.
  До: 24x7eg8l6i-database-backup-1463042767.zip
  После: database-backup-20160512-104607-24x7eg8l6i.zip

4.0.9

• Код сканера смены файлов стал более надежным для случаев, когда действует ограничение open_basedir.(Спасибо Мануэлю Жанне за указание на это).
• Добавлен код, который удаляет информацию о версии WordPress во время загрузки скриптов CSS и JS, если у вас установлен флажок «Удалить метаинформацию WP Generator». (Спасибо aldemarcalazans за указание на это).
• Исправлены некоторые потенциальные уязвимости SQL-инъекций. (Спасибо Хулио Потье за ​​указание на это).
• Изменена категория функций диспетчера черных списков с «Средний» на «Продвинутый».
• Tweak: Удалить «@» из списка символов, заблокированных расширенным фильтром символьных строк.(Потому что он часто используется в изображениях, готовых к сетчатке).
• Исправление: использование домашнего URL-адреса вместо URL-адреса сайта в теме электронного письма с уведомлением о блокировке. Спасибо @chesio за исправление.

4.0.8

• Добавлена ​​возможность определять IP-адреса при регистрации пользователя и возможность блокировать выбранные IP-адреса.
• Добавлена ​​функция ввода кода для формы входа в систему для подсайтов в многосайтовой установке. (см. меню Brute Force)
• Исправлена ​​многосайтовая ошибка, связанная с ручным изменением префикса БД, выбираемого пользователем.
• Добавлена ​​дополнительная защита XSS на страницах меню администратора для параметра запроса «вкладка».
• Добавил примечание к функциям, которые могут заблокировать вас, если они некорректно работают на вашем сайте.
• Обновлен бразильско-португальский языковой файл.
• Исправлена ​​ошибка, из-за которой пользовательские правила брандмауэра искажались магическими кавычками. Спасибо @chesio за исправление.

4.0.7

• Добавлен новый хук действия «aiopws_before_set_404», который срабатывает непосредственно перед тем, как AIOWPS установит 404.(удобно для случаев, когда используется страница переименования входа, которая влияет на некоторые темы при прямом доступе к «wp-admin»)
• Исправлены некоторые потенциальные уязвимости SQL-инъекций.
• Спасибо @chesio за внесение следующих изменений и применение исправлений.
• Исправления при установке подкаталога.
• Улучшено поведение вкладки WP File Access.
• Исправить неверное размещение элементов HTML.
• Не блокировать HTTP-запросы, содержащие «tag =» в строке запроса.
• Возможность включения межсетевого экрана 6G.

4.0.6

• Убран просмотр содержимого файлов wp-config.php и .htaccess для защиты конфиденциальной информации.
• Исправлено больше потенциальных XSS-уязвимостей на некоторых других страницах настроек. (Еще раз большое спасибо Эрин Герм за указание на это)

4,0,5

• Исправлены некоторые потенциальные XSS-уязвимости в черном списке, на страницах настроек файловой системы и обнаружения изменений файлов. (Большое спасибо Эрин Герм за указание на это)

4.0,4

• Добавлена ​​новая функция: автоматическая блокировка IP-адресов спамеров. Эта функция автоматически и навсегда блокирует IP-адреса, которые связаны со спамом в комментариях. (см. Предотвращение СПАМА -> Вкладка «Мониторинг IP-адресации спама»)
• Добавлено исправление совместимости для плагина qTranslate-X в функцию переименования страницы входа.
• Добавлена ​​возможность отправлять более чем на один адрес электронной почты для уведомления функции обнаружения изменения файла.
• Исправлена ​​ошибка в библиотеке whois при поиске в реестре ARIN.
• Исправлена ​​обработка отображения более длинных строк IPV6 в сводной таблице панели инструментов.
• Добавлен хук для формы входа в WooCommerce для отображения кнопки разблокировки.
• Добавлен перевод на голландский язык. Спасибо Йеруну ван дер Линде за предоставленные файлы перевода.
• Исправление опечатки в функции «остановить перечисление пользователей».

4.0.3

• Добавлен urlencode для запроса строк в URL-адресах, чтобы предотвратить непредвиденное поведение. Спасибо @chesio за обнаружение проблемы.
• Добавлена ​​новая функция, чтобы остановить перечисление пользователей. Спасибо Davide Giunchi @davidegiunchidiennea за это.
• Добавлен более надежный код для функции check_user_exists. Спасибо Кристиану Кэри.
• Добавлена ​​очистка cron глобальной мета-таблицы.
• Добавлен заголовок в каждое из меню интерфейса администратора.

4.0.2

• Добавлена ​​возможность включить / выключить отладку из меню настроек.
• Исправлена ​​ошибка, связанная с использованием диапазонов IP-адресов в настройках белого списка.
• Добавлена ​​поддержка IPv6 для функции белого списка.
• Добавлена ​​функция проверки прав доступа к файлам для случаев, когда wp-config.php может находиться за пределами root.
• Добавлены события очистки базы данных wp cron для различных таблиц, размер которых со временем может увеличиваться.
• Изменено правило брандмауэра для предотвращения комментариев прокси, чтобы отразить предложение, сделанное Томасом О. на форуме (https://wordpress.org/support/topic/high-server-cpu-with-proxy-login)
• Исправлена ​​проблема стиля CSS на страницах администратора для WordPrss 4.4

4.0.1

• Переименованы языковые файлы в соответствии с новым заголовком текстового домена, чтобы исправить ошибку языкового перевода.
• Исправлена ​​ошибка, связанная с функцией переименования входа в систему и событиями принудительного выхода или истечения срока выхода из системы.
• Применено исправление для журнала, создаваемого при вставке БД таблицы событий.
• Исправлен вызов функции для статической версии сообщения об ошибке отображения.

4.0.0

• Обновлен текстовый домен для соответствия ожидаемому значению для перевода.система перевода wordpress.org.
• Исправлена ​​ошибка, связанная с тем, что роли user_roles с несколькими сайтами не обновлялись для дочерних сайтов.
• Исправлена ​​небольшая ошибка в функции переименования входа в систему.
• Обновлен файл итальянского языка.

3.9.9

• Исправлена ​​проблема с функцией переименования страницы входа в WordPress 4.3
• Добавлена ​​очистка esc_attr () для некоторых из соответствующих параметров
• Добавлены необходимые изменения, чтобы разрешить активацию через wp-cli

3.9,8

• Добавлена ​​защита от возможного XSS в функции запроса разблокировки.

3.9.7

• Добавлена ​​новая функция, позволяющая настраивать правила .htaccess. (См. Вкладку «Пользовательские правила» в меню брандмауэра). Теперь вы можете использовать это для добавления настраиваемых правил для блокировки доступа к различным ресурсам на вашем сайте.
• Добавлена ​​новая функция для блокировки доступа к файлу wp-content / debug.log (WordPress создает этот файл, если вы включили опцию debug loggin в файле конфигурации).
• В номере версии плагина удалена буква «v».
• Завершено тестирование WordPress 4.3.

3.9.6

• Добавлена ​​функция переименования страницы входа в систему из меню «Грубая сила» для мультисайтовых подсайтов.
• Удален недопустимый атрибут «длина» из элемента ввода в коде капчи.
• Исправлена ​​функция сброса пароля, при которой URL-адрес, отправляемый в электронном письме в случаях, когда включена функция переименования входа в систему, не декодировался должным образом.
• Исправлена ​​проверка логического значения false при возврате из результата запроса wpdb.
• Добавлена ​​кнопка мультимедиа для редактора WP на странице настроек обслуживания.

3,9,5

• Исправлена ​​небольшая ошибка — IP-адреса, заблокированные из-за «404», не отображались в таблице отображения.
• Обновлен файл перевода на русский язык.
• Значение автоматического создания префикса таблиц базы данных будет использовать только символы a-z.
• Добавлена ​​очистка esc_url к экземплярам функции add_query_arg / remove_query_arg для предотвращения возможного XSS.

3.9.4

• Параметры sort и orderby теперь используют белый список для очистки.

3.9.3

• Исправлен порядок сортировки, который не работал на странице регистрации ошибок 404 и активности учетной записи.

3.9.2

• Добавлена ​​функция проверки регистрационной капчи для предотвращения ошибок при использовании другого плагина капчи.
• Улучшено несколько операторов SQL.

3.9.1

• Добавлена ​​новая функция «Принудительный выход», которая немедленно заставит определенного пользователя выйти из сеанса.(См. Вкладку «Пользователи, вошедшие в систему» ​​в меню «Вход в систему»)
• Добавлена ​​дополнительная защита для файлов журнала aiowps путем создания файла .htaccess и правил. Файлы журналов AIOWPS теперь можно просматривать только через меню панели инструментов в новой вкладке под названием «Журналы AIOWPS». (ПРИМЕЧАНИЕ: эта безопасность в настоящее время применяется только для apache или подобных серверов)
• Добавлены обратные кавычки к оператору SQL для изменения префикса БД для предотвращения ошибок.
• Добавлена ​​защита от возможных атак SQL-инъекций.

3.9,0

• Добавлена ​​некоторая устойчивость к коду сканирования файлов.
• Добавлена ​​дополнительная безопасность для всех соответствующих экземпляров таблиц списков для предотвращения маловероятных вредоносных команд удаления.
• Исправлена ​​часть пользовательского агента в коде настроек черного списка, позволяющая очищать пользовательские агенты при сохранении.

3.8.9

• Исправлена ​​ошибка в новой функции, которая позволяет постоянно блокировать IP-адреса, которые создают 404 события.
• Исправлена ​​небольшая ошибка для всех случаев, когда wpdb «prepare» использовался с параметрами order / orderby.
• Исправлена ​​возможная уязвимость открытого перенаправления. Спасибо Сукури за указание на это.

3.8.8

• Добавлена ​​дополнительная надежность и безопасность для команд wp list table db с помощью команды wpdb «prepare».
• Исправлена ​​небольшая ошибка с необъявленной переменной на странице функции переименования входа в систему.

3.8.7

• Добавлено улучшение для функции блокировки входа в систему — заблокированные IP-адреса больше не смогут регистрироваться.
• Добавлена ​​ссылка «просмотр» для каждой учетной записи в списке таблицы ожидающих утверждения регистрации.
• Исправлена ​​ошибка регистрации / блокировки 404.
• Добавлена ​​возможность навсегда заблокировать IP-адреса из списка событий 404 как для групповых, так и для единичных случаев.
• Добавлена ​​возможность массовой временной блокировки IP-адресов в списке 404.
• Исправлена ​​небольшая ошибка с функцией validate_ip_list.

3.8.6

• Исправлена ​​ошибка события cron очистки БД.
• Добавлен перевод на шведский язык. Перевод предоставил Тор-Бьёрн Фьелльнер.
• Обновлен файл перевода на русский язык.Обновление предоставлено Тор-Бьорном Фьеллнером.
• Таблица событий будет автоматически очищена, так что в ней останутся только последние 5000 записей. Вы можете переопределить его, используя фильтр (если хотите).

3,8,5

• Добавлена ​​функция предотвращения слишком большого размера таблицы aiowps_events.
• Добавлена ​​сводка сканирования изменений файла в электронное письмо с предупреждением.
• Исправлена ​​функция разблокировки, теперь она работает правильно, когда активна функция «Переименовать страницу входа».
• Добавлена ​​проверка в файл списка зарегистрированных пользователей, чтобы предотвратить ошибку, когда get_transient возвращает false.

3.8.4

• Обновлен языковой файл POT.
• Изменена функция, которая извлекает IP-адрес для обработки случаев, когда трафик исходит от cloudflare
• База данных MySQL больше не будет принудительно выполняться во время создания таблицы. Он также сначала считывает значение набора символов из системы.
• Применены исправления для предотвращения удаленного использования уязвимостей.

3.8.3

• Измененные правила «Pingback Protection» .htaccess для предотвращения атак на вход xmlrpc и совместимости с большим количеством серверов.
• Внесены улучшения, обеспечивающие совместное использование функций переименования входа в систему и белого списка.
• Добавлена ​​проверка, заставляющая пользователя вводить буквенно-цифровую строку для переименованного имени логина.
• Улучшены функции turn_off_all_firewall_rules () и turn_off_all_security_features (), чтобы они также обрабатывали обновление файла htaccess.
• Добавлен альтернативный способ импорта настроек через текстовое поле (спасибо Дэйву Макхейлу). Это для людей, у которых могут возникнуть проблемы с использованием загрузчика файла настроек конфигурации.
• Добавлено исправление для корректного обновления таблиц опций при изменении префикса БД в многосайтовой системе.
• Значительно улучшена функция переименованной страницы входа в систему, устранены различные потенциальные уязвимости.
• Добавлена ​​проверка оператора if, чтобы исправить ошибку с функцией переименования страницы входа в систему — особый случай, когда у пользователя не была структура постоянных ссылок, не работала правильно в некоторых редких сценариях.
• Обновлен файл итальянского языка.
• Исправлена ​​ошибка, связанная с неправильным форматом заголовка wp_mail, когда строка «От» была пустой из-за того, что «заголовок сайта» не был установлен.
• Исправлена ​​ошибка в функции проверки списка IP-адресов для функции черного списка.
• Удалена строгая фильтрация IP-адресов, чтобы разрешить внутренние диапазоны IP-адресов.
• В плагине добавлено разделение параметров orderby и order query.
• Добавлена ​​возможность поиска по IP-адресу, URL-адресу или рефереру для таблицы списка событий 404.

3.8.2

• Исправлена ​​ошибка CSS с функцией приманки.
• Исправлен вызов статической функции обработчика действий входа в систему.

3.8.1

• Незначительное исправление ошибки для функции приманки — загрузка таблицы стилей css не происходила при отображении главной страницы входа.

3.8.0

• Улучшены задачи деактивации и повторной активации — AIOWPS теперь корректно очищает правила .htaccess, когда плагин деактивирован.
• Изменен код, чтобы все страницы входа, включая пользовательские, правильно загружали файл таблицы стилей CSS, необходимый для функции приманки.
• Обновлен перевод на португальский язык.
• Исправлена ​​функция защиты от копирования, поэтому она не мешает работе iframe и шорткодов.
• Теперь плагин будет работать нормально, даже если ваш файл wp-config.php находится вне корневой папки wordpress.

3.7.9.2

• Функция защиты от копирования Улучшение кода JS

3.7.9.1

• Добавлена ​​функциональность капчи для пользовательской формы входа, которая создается функцией WP: wp_login_form ()
• Исправлена ​​небольшая ошибка в коде JavaScript функции защиты от копирования.
• Улучшен алгоритм сканирования изменений файлов для предотвращения фатальных ошибок выполнения getMTime.
• Добавил ссылку на репозиторий github в файл readme.txt для разработчиков.

3,7,9

• Исправлена ​​небольшая ошибка, связанная с тестом файлов cookie в функции грубой силы на основе файлов cookie.

3,7,8

• Добавлена ​​новая функция под названием Login Honeypot, которая поможет уменьшить попытки роботов войти в систему с помощью грубой силы. (Это можно найти в меню грубой силы)
• Добавлена ​​новая функция, позволяющая запретить другим сайтам отображать ваш контент через фрейм или iframe. (Его можно найти в меню «Разное»)
• Добавлена ​​функция капчи для формы регистрации BuddyPress.
• Добавлен новый фильтр для сообщения о блокировке сайта, поэтому его можно настроить.
• Добавлен новый фильтр для шаблонов, включающих функцию блокировки сайта.
• Временно отключена функция «Сканирование БД».

3,7,7

• Улучшен код изменения префикса БД, чтобы сделать его более надежным.
• Исправлена ​​небольшая ошибка функции переименования страницы входа.
• Добавлена ​​проверка при обработке страницы входа с переименованием, чтобы увидеть, включен ли режим обслуживания (блокировки). Плагин теперь будет отображать сообщение о блокировке вместо страницы 404, если блокировка сайта включена.
• Сделал функцию предотвращения грубой силы на основе файлов cookie более безопасной, добавив 10-значный случайный суффикс к имени тестового файла cookie.

3,7,6

• Добавлена ​​возможность вставки капчи в регистрационную форму WordPress Multi Site.
• Добавлено условие для константы разрешения на управление. Это позволит пользователям определять индивидуальные возможности для админки этого плагина через файл wp-config. Это было представлено Сэмюэлем Агилерой.
• Исправлена ​​ошибка со скрытой страницей входа в систему.
• Исправлена ​​небольшая ошибка настроек с функцией «блокировать фальшивого бота Google».

3,7,5

• Добавлена ​​новая функция сканирования БД. Перейдите в меню «Сканер», чтобы использовать эту новую функцию.
• Добавлена ​​новая функция импорта / экспорта настроек.
• Измененная функция учетных записей пользователей для предупреждения администратора, если используется одно или оба имени пользователя «admin» или «Admin».
• Добавлен перевод на персидский язык. Перевод предоставил Амир Мусави Пур (me @ ameer.ir).
• Небольшое изменение в функции get_mysql_tables для предотвращения фатальной ошибки, когда запрос mysqli завершается неудачно.
• Добавлен перевод на итальянский язык. Перевод предоставил Марко Гульельметти.

3,7,4

• Добавлена ​​новая функция для добавления защиты от копирования для вашего интерфейса. Вы можете найти эту функцию в меню «Разное».
• Исправлена ​​ошибка капчи комментариев для мультисайтов. Теперь эту функцию можно активировать / деактивировать для подсайтов мультисайтовой установки.
• Добавлен перевод на венгерский язык. Перевод предоставил Даниэль Кочиш.
• Перемещен код обработки функции пользовательской страницы входа в обработчик wp-loaded, чтобы другие плагины, которые изменяют страницу входа, могли выполнять свою задачу до того, как сработает наша. Это изменение было предложено Марком Хадналлом.
• Добавлен перевод на немецкий язык. Перевод был представлен Мануэлем Фричем.
• Обновлен файл перевода на бразильский язык.

3.7,3

• Добавлен перевод на бразильский язык. Перевод предоставил Серхио Сикейра.
• Добавлены два новых хука действий для активации и деактивации плагина.
• Улучшена функция get_user_ip_address (), так что она обрабатывает случаи, когда несколько адресов возвращаются из-за прокси.
• Исправлено неправильное выравнивание страницы входа в систему, которое было нарушено WP3.9 при использовании функции переименования входа в систему.
• Совместимость с WordPress 3.9

3.7,2

• Добавлен раздел информации о PHP в интерфейс информации о системе, чтобы показать некоторые важные сведения о сервере PHP.
• Добавлен фильтр, позволяющий пользователю иметь собственный перевод в месте (который будет загружен вместо перевода по умолчанию из плагина). Это изменение было представлено Сэмюэлем Агилерой.
• Заменен метод myslqi fetch_all на fetch_assoc, чтобы охватить случаи, когда на некоторых серверах нет правильных драйверов mysql.
• Добавлен новый фильтр, позволяющий управлять правилами htaccess из вашего пользовательского кода.Имя фильтра — «aiowps_htaccess_rules_before_writing».
• Добавлена ​​кнопка «Удалить все журналы событий 404» для очистки всех журналов 404 из БД
• Добавлен код для автоматической отправки электронной почты регистранту, когда учетная запись была вручную «одобрена» из меню регистрации пользователя.

3.7.1

• Исправлена ​​небольшая ошибка: ссылка на панели управления указывала на неправильную вкладку для вкладки «Пользователи, вошедшие в систему».
• Исправить ошибку с капчей на странице входа.Капча не отображается, если одновременно была включена функция переименования страницы входа.

3,7

• Добавлена ​​новая функция — обнаружение 404. Это позволяет вам регистрировать 404 события и блокировать выбранные IP-адреса. Эту функцию можно найти в меню брандмауэра.
• Добавлено новое информационное окно панели инструментов для отображения количества заблокированных IP-адресов в таблице блокировки.
• Исправлена ​​ошибка, из-за которой пользователь не мог получить доступ к странице входа, когда были активны как режим обслуживания, так и функции переименования страницы входа.
• Изменены директивы хотлинкинга .htaccess, чтобы охватить как http, так и https.
• Исправлен код для предотвращения ошибок mysql из-за того, что некоторые переменные не имеют значения по умолчанию в таблицах неудачных попыток входа и блокировки
• Заменена устаревшая функция PHP mysql_query на mysqli.
• Добавлен языковой файл для испанского языка. Испанский перевод был сделан Самуэлем Монтойей.
• Добавлен код для скрытия меню «Префикс БД» для неосновных сайтов в многосайтовой установке.

3.6

• Добавлена ​​новая функция для предотвращения горячей ссылки на изображения. (См. Вкладку «Предотвращение горячих ссылок» в меню брандмауэра)
• Добавлена ​​проверка в функции «Переименовать страницу входа в систему», чтобы люди не могли установить для слага значение «wp-admin».
• Исправлена ​​небольшая ошибка с функцией блокировки входа в систему.

3.5.1

• Исправлена ​​ошибка, при которой директивы грубой силы на основе файлов cookie не удалялись из файла .htaccess при активации функции «Переименовать страницу входа».

3,5

• Добавлена ​​новая функция, которая блокирует сканирование вашего сайта поддельными роботами Google. Проверьте меню брандмауэра на наличие этой новой функции.
• Добавлен код, запрещающий пользователям одновременно активировать функции переименования страницы входа и грубой силы на основе файлов cookie.
• Добавлены некоторые полезные информационные окна на панели управления: 1) для информирования пользователя о том, активны ли функции грубой силы на основе файлов cookie или переименования страницы входа, 2) последние 5 входов на ваш сайт.
• Исправлена ​​мелкая ошибка с.Функция резервного копирования htaccess.
• Обновлено значение адреса электронной почты отправителя, используемое для отправки резервных копий и уведомлений об изменении файлов. Спасибо @TheAssurer за подсказку.
• Обновлено предупреждающее сообщение для функции отключения просмотра индекса.

3,4

• Объединенные функции «грубой силы» путем перемещения всех таких функций в меню «грубой силы».
• Улучшена функция сканирования с обнаружением изменений файла: добавлена ​​кнопка, позволяющая администратору просматривать результаты изменения файла из последнего сканирования, и исправлена ​​небольшая ошибка, из-за которой флаг обнаруженного изменения не сбрасывался для соответствующих случаев.
• Исправлена ​​небольшая ошибка с функцией «переименовать страницу входа» (скрыть логин администратора).
• Сделано резервное копирование файлов wp-config.php и .htaccess более безопасным. Спасибо @TheAssurer за подсказку.
• Сделал код входа более надежным, учитывая случаи, когда действие «wp_login» не передавало 2 параметра.

3,3

• Добавлена ​​новая функция предотвращения перебора — «Переименовать страницу входа». Эту функцию можно найти в новом пункте меню под названием «Грубая сила».
• Изменена новая функция запроса разблокировки, теперь заблокированный пользователь должен будет вводить адрес электронной почты только при отправке запроса на разблокировку.
• Заменена устаревшая функция PHP «mysql_list_tables» альтернативным кодом.
• Добавлено предупреждающее сообщение о приложении WordPress для iOS, когда активна функция защиты pingback в настройках брандмауэра.
• Добавлена ​​вкладка и информация о сканировании вредоносных программ.
• Небольшие исправления в форме HTML и CSS.

3.2

• Добавлена ​​новая функция, которая позволяет пользователям генерировать ссылку на автоматический запрос разблокировки по электронной почте, когда они заблокированы из-за функции блокировки входа в систему.
• Добавлена ​​проверка, чтобы убедиться, что пользователь не может ввести 0 минут в функции принудительного выхода.
• Исправлены переводы, теперь можно переводить различные ранее пропущенные строки.
• Добавлен новый фильтр перед блокировкой IP-адреса пользователя — aiowps_before_lockdown.
• Создан новый файл перевода (POT).

3,1

• Добавлена ​​новая функция, которая позволит вам добавить капчу в форму утерянного пароля (полезно, если вы разрешаете регистрацию пользователя на своем сайте).
• Добавлена ​​возможность указать файл системного журнала на вкладке «Журналы хост-системы» меню «Безопасность файловой системы».
• Исправлена ​​ошибка ссылки на вкладку. Одна ссылка велась не на ту вкладку меню.
• Обновлен POT-файл плагина.

3,0

• Добавлена ​​новая функция, которая позволяет добавлять капчу на страницу регистрации пользователя WordPress.
• Добавлены еще несколько полезных комментариев и ссылка на видеоурок на страницах настроек функций грубой силы и белого списка.

2,9

• Добавлена ​​новая функция, которая автоматически устанавливает статус вновь зарегистрированных учетных записей пользователей WordPress на «ожидающие» и позволяет администратору утверждать их вручную.
• Повышена надежность итерационного кода обнаружения изменений файлов.
• Совместимость с WordPress 3.7

2.8.1

• Улучшена реализация кода входа в систему
• Изменено разрешение управления на manage_options

2.8

• Добавлена ​​возможность вставки простой математической капчи в форму комментариев WordPress (для уменьшения спама в комментариях). Проверьте меню предотвращения спама для этой новой функции.
• Исправлена ​​небольшая ошибка с массовой разблокировкой / удалением в меню входа пользователя
• Исправлена ​​небольшая ошибка с математической логикой ввода капчи.

2,7

• Добавлена ​​простая математическая функция капчи для страницы входа в WP. Это еще один простой, но эффективный способ борьбы с атаками входа в систему методом грубой силы. Вы можете включить эту новую функцию из меню безопасности входа пользователя.

2,6

• Добавлена ​​новая функция «Белый список» для входа. Эта функция позволяет вам указать один или несколько IP-адресов в специальном белом списке, который будет иметь доступ к вашей странице входа в WP.
  Все остальные IP-адреса, которые пытаются получить доступ к вашей странице входа в WP, но не находятся в белом списке, будут автоматически заблокированы.
• IP-адрес также будет включен в электронное письмо, которое будет отправлено администратору для уведомления о блокировке IP-адреса.
• Исправление загрузки языкового файла для китайского языка.
• Изменен код, который создает файл .htaccess в каталоге резервных копий, чтобы гарантировать его запуск, даже если каталог уже существует.
• Сделано резервное копирование БД более безопасным.
• Добавлены более полезные журналы отладки для сценариев сбоя при манипулировании файлом .htaccess.

2,5

• Добавлена ​​новая функция, которая выводит список пользователей, вошедших в систему в настоящее время, которые были активны в течение последних 15 минут.
• Добавлена ​​новая функция в меню настроек, которая отключит все правила брандмауэра и удалит все применимые директивы в.htaccess файл.
• Улучшен способ обработки файла wp-config.php, если он содержит завершающий тег PHP «?>» (Старые сайты, которые использовали PHP4 ранее).

2,4

• Добавлена ​​новая функция / флажок, который мгновенно блокирует диапазоны IP-адресов, которые пытаются войти с недопустимым именем пользователя.
• Исправлена ​​ошибка на странице «Мониторинг IP-адресов для спама», из-за которой не удавалось заблокировать один или несколько IP-адресов.
• Удалено слово «config» из списка проверки неверных строк запроса (чтобы добавить совместимость с еще несколькими плагинами).
• Добавлено уведомление в меню панели инструментов, чтобы показать вам, есть ли какие-либо недавние изменения файлов, обнаруженные плагином.
• Исправлена ​​ошибка с функцией редактирования файлов php. Код теперь также обрабатывает файлы wp-config.php в старом стиле, которые имеют конечный тег php «?>»
• Исправлена ​​ошибка с функциональностью кнопки «Отключить все функции безопасности». Если щелкнуть, то теперь при необходимости будут внесены соответствующие изменения в файлы .htacces и wp-config.php.
• Изменено хранилище файлов резервных копий из каталога плагина в каталог загрузок. Также добавлен файл .htaccess для безопасности.
• Исправлен способ записи строк пользовательского агента в.htacess из функции черного списка. Теперь код будет правильно определять и представлять пробелы и экранированные символы.
• Исправлена ​​ошибка, связанная с отправкой резервной копии на правильный адрес электронной почты.

2,3

• Добавлено новое меню под названием «Сканер» с новой функцией «Обнаружение изменений файлов». Эта функция предупредит вас, если какие-либо файлы были изменены, добавлены или удалены из вашей системы.
• Исправлены правила «Запретить неверные строки запроса», чтобы не нарушать возможность перетаскивания компонентов на странице «Внешний вид-> Меню» WordPress.
• Исправлено предупреждение о времени активации (на сайтах с включенной опцией WP_DEBUG)
• Повторно реализовал файл wp-config.функция резервного копирования содержимого файла php. Теперь он напрямую загружает содержимое файла на ваш компьютер.
• Усовершенствования для нескольких сайтов: подавлен доступ к параметрам конфигурации для функций, которые не могут быть настроены с дочерних сайтов в многосайтовых установках.
• Исправлена ​​ошибка с функцией блокировки входа в систему.

2,2

• Добавлена ​​новая функция, которая блокирует отправку комментариев некоторым спам-ботам.
• Комментарий Интерфейс мониторинга IP-спама перемещен в новое меню «Предотвращение спама».
• Исправлена ​​ошибка с функцией блокировки входа в систему как для нескольких, так и для одного сайта.
• Улучшена функция брандмауэра для нескольких сайтов: меню «Брандмауэр» теперь доступно только для основного сайта, а не для дополнительных сайтов.
• Добавлен случайный префикс к именам файлов резервных копий.
• Исправлена ​​ошибка для многосайтовой установки WP, когда таблицы БД не создавались при создании нового блога в сети.

2.1.1

• Исправлена ​​проблема с тегами версии.

2.1

• Исправлена ​​проблема с ошибкой времени установки на некоторых сайтах для WordPress 3.6
• Исправлены некоторые ошибки, связанные с WP Debug для WordPress 3.6
• Заменены устаревшие вызовы функции $ wpdb-> escape () на вызовы esc_sql ()

2,0

• Исправлена ​​ошибка общей функции резервного копирования БД.
• Фиксированное резервное копирование БД на нескольких сайтах — теперь плагин будет создавать резервные копии только таблиц, относящихся к рассматриваемому подсайту.
• Добавлен пустой указатель.html в различных папках внутри плагина.
• Отключил функцию резервного копирования файла wp-config.php, пока мы не найдем более безопасный метод резервного копирования.

1,9

• Добавлена ​​новая функция защиты от уязвимостей WordPress PingBack. Это позволяет пользователю запретить доступ к файлу xmlrpc.php для защиты от определенных уязвимостей в функции pingback.
• Добавлен элемент конфигурации в функцию предотвращения входа в систему методом грубой силы, чтобы функция ajax работала должным образом, когда эта функция включена.
• Добавлен файл POT для языковых переводов.
• Сделал функцию префикса БД более надежной, добавив проверку, гарантирующую, что плагин может писать в файл wp-config.php. Это предотвратит потерю пользователем доступа к своему сайту в случаях, когда система изменила префикс, но не запись в файле wp-config.php.
• Усилена проверка данных для функции входа в систему методом грубой силы на основе файлов cookie, чтобы гарантировать, что пользователь должен ввести секретное слово, состоящее из буквенно-цифровых символов.
• Добавлены ссылки для редактирования в список учетных записей пользователей в меню «Учетные записи пользователей».

1,8

• Перемещена функция блокировки внешнего сайта в новое меню под названием «Обслуживание».
• Добавлена ​​функция блокировки внешнего интерфейса, позволяющая пользователям указывать собственное сообщение, которое будет отображаться на интерфейсе для посетителей, которые пытаются получить доступ к сайту, когда он находится в состоянии блокировки.
• Исправлена ​​ошибка в функции блокировки внешнего интерфейса путем добавления некоторых проверок, которые гарантируют, что администратор не будет заблокирован, если функция все еще активна и их сеанс входа в систему истек или они выходят из системы.
• Добавлен виджет в меню панели инструментов для отображения статуса функции «режима обслуживания».

1,7

• Добавлена ​​новая функция — инструмент надежности пароля, который рассчитывает, насколько легко взломать выбранный вами пароль с помощью настольного ПК и соответствующего ПО. Этот инструмент должен помочь вам создавать надежные пароли.
• Добавлена ​​внешняя функция блокировки посетителей. Эта функция позволяет вам временно заблокировать интерфейс вашего сайта, пока вы проводите расследование безопасности, обновления сайта, настройки и т. Д.

1,6

• Добавлен новый параметр в функцию предотвращения атак грубой силы на основе файлов cookie, чтобы пользователи могли использовать эту функцию вместе с функцией защиты паролем сообщений / страниц WordPress.
• Исправлена ​​ошибка в правилах брандмауэра 5G, чтобы распечатываемые правила содержали правильное количество символов «\».
• Исправлена ​​небольшая ошибка в функции «восстановление из резервной копии файла htaccess».
• Улучшена функция «Сохранить текущий файл wp-config.php», чтобы она продолжала работать со всеми правилами брандмауэра, активными на сайте.
• Добавлены дополнительные проверки для учета некоторых сценариев ошибок, возникающих на некоторых серверах при выполнении рекурсивного поиска файлов.

1,5

• Добавлена ​​новая функция — Предотвращение атак грубой силы на основе файлов cookie. Проверьте эту новую функцию в меню «Брандмауэр».
  Эта функция остановит хакеров, когда они попытаются получить доступ к вашему wp-admin или страницам входа. Эта функция защитит ваш бэкэнд WordPress, обеспечив выполнение требования о том, что всем, кто пытается получить доступ к этим страницам, потребуется специальный файл cookie.

• Исправлена ​​ошибка, связанная с установкой конфигурации по умолчанию для первой активации плагина.

1,4

• Изменены правила брандмауэра «Запретить неверные строки запроса», чтобы не затрагивать операции удаления и обновления плагинов из меню плагинов WordPress.
• Исправлена ​​небольшая ошибка, связанная с запланированным резервным копированием базы данных.
• Добавлены некоторые дополнительные настройки по умолчанию, которые будут применяться к страницам конфигурации плагина при первой активации.
Плагин
• теперь будет отображать рекомендательное сообщение, если пользователь устанавливает периодичность резервного копирования по расписанию менее 24 часов.

1,3

• Добавлена ​​новая функция для удаления метаинформации WordPress Generator из HTML-источника вашего сайта.
• Изменен «Расширенный фильтр строки символов», чтобы исправить проблему, которая затрагивала плагины, такие как «Admin Management Xtended», а также страницы с такими ключевыми словами, как «пароль» в URL-адресе.
• Обновлено одно правило в функции «Расширенный фильтр строки символов», чтобы сделать его совместимым с функцией минимизации плагина W3 Total Cache.
• Добавлен параметр «Удалить все записи о неудачных попытках входа» во вкладку «Записи о неудачных попытках входа». Это удалит все записи в таблице неудачных входов в систему и сделает ее менее утомительной для пользователей, которые подвергаются частым атакам грубой силы на своем сайте.

1,2

• Правила, отключающие просмотр индекса, перемещены из «основных правил брандмауэра» в раздел «дополнительных правил». Это предотвратит поломку сайта для
  тех, кто хочет включить базовый брандмауэр, но не имеет включенной опции «AllowOverride» в своем httpd.conf

1,1

• Добавлена ​​следующая новая функция:
• Запретить людям доступ к файлам readme.html, license.txt и wp-config-sample.php.

1,0

• Первая фиксация в репозитории WP.

10 лучших плагинов безопасности WordPress для защиты сайтов WP 2020

По данным Forbes, 75 миллионов веб-сайтов работали на WordPress до декабря 2016 года. Это ясно указывает на популярность самой удобной CMS — WordPress.По мере роста популярности он подвержен атакам из неэтичных источников. Безопасность вашего сайта может быть под угрозой. Некоторые из наиболее распространенных угроз безопасности — это атаки методом перебора , устаревшие плагины и версия WordPress, загрузки из непроверенных источников и незащищенный хостинг .

Есть несколько простых шагов, которые вы можете предпринять, чтобы защитить свой сайт WordPress. К ним относятся обновление вашей темы и плагинов, использование надежного имени пользователя и пароля, использование безопасного хостинга WordPress, установка известного плагина безопасности WordPress и планирование регулярного резервного копирования.

Хотя WordPress построен на безопасной платформе, вам следует принять меры для повышения безопасности вашего сайта. И плагины безопасности WordPress пригодятся для защиты вашего сайта WordPress.

Здесь мы перечислили лучшие плагины безопасности WordPress 2020 года.

1) Wordfence (БЕСПЛАТНО + Премиум)

Имея более 2 миллионов активных установок, Wordfence Security является одним из самых востребованных решений безопасности для веб-сайтов WordPress.Высококачественные функции обеспечивают защиту от неопознанных угроз, исходящих из неизвестных источников. Механизм Threat Defense Feed управляет функциональностью этого замечательного плагина. Функция сканирования Wordfence способна идентифицировать и устранять более 44 000 известных типов вредоносных программ.

Основные характеристики

• Wordfence Firewall предотвращает все попытки взлома вашего веб-сайта
• Wordfence Scan тщательно изучает все действия и сообщает владельцу об угрозах
• Функция Live Traffic передает информацию об источниках трафика в реальном времени

Плюсы

• Он предлагает многосайтовую безопасность для более чем одного веб-сайта
• совместим с большинством тем и плагинов
• Вы можете получить доступ к WordPress Security Learning Center , ценный обучающий ресурс на официальном сайте Wordfence

Минусы

• Некоторые функции, такие как блокировка страны, сканирование по расписанию и двухфакторная аутентификация, доступны в версии Premium
.

Скачать Wordfence Free View Wordfence Premium

2) Все в одном WP Security & Firewall (БЕСПЛАТНО)

Этот удобный плагин был разработан компанией Tips and Tricks HQ.Плагин All In One WP Security & Firewall с множеством мер безопасности доступен для бесплатной загрузки. Поднимите безопасность своего веб-сайта на более высокий уровень с помощью этого плагина безопасности для веб-сайтов WordPress.

Разработчики утверждают, что этот плагин безопасности не снизит скорость вашего сайта. Кроме того, пользователи могут запланировать автоматическую базу данных, чтобы минимизировать риск, связанный с потерей данных.

Основные характеристики

• Уровни безопасности делятся на базовый, средний и расширенный
• Функция блокировки входа в систему защищает веб-сайт от атак грубой силы
• Измеритель прочности снижает уровень безопасности

Плюсы

• Регулярное обновление для предотвращения каких-либо лазеек в функциональности плагина
• Обеспечивает комплексное решение безопасности, включая настройку межсетевого экрана , безопасность базы данных, безопасность пользователей и т. Д.

Минусы

• Промежуточный и продвинутый уровни могут быть несовместимы с темой и другими плагинами.Прежде чем приступить к этим функциям, ознакомьтесь с базовой функцией безопасности.

Скачать все в одном WP Security & Firewall бесплатно

3) iThemes Security (БЕСПЛАТНО + Премиум)

iThemes Security — эффективный плагин безопасности, разработанный известными разработчиками тем, iThemes. Этот плагин, ранее известный как Better WP Security, предлагает более 30 способов защиты вашего сайта. Для более глубокого изучения вы можете получить доступ к видеоурокам iThemes Security.

Основные характеристики

• Сканирование вредоносных программ через равные промежутки времени
• Двухфакторная аутентификация для предотвращения входа из неэтичных источников
• iThemes Sync для управления темами и плагинами с единой панели
• iThemes Сеть защиты от атак грубой силы снова принимает строгие меры для атак методом грубой силы

Плюсы

• Доступно для бесплатно скачать и установить
• Он предлагает учебников для подробного понимания
• iThemes Security также доступен на испанском языке.

Минусы

• Вам необходимо приобрести Премиум версию для разблокировки всех функций

Скачать iThemes Security Free View iThemes Security Premium

4) Sucuri Security (БЕСПЛАТНО + Премиум)

Sucuri Security — это пакет безопасности веб-сайтов, охватывающий все основные аспекты, такие как аудит, сканирование на вредоносные программы и усиление безопасности.Профессиональный подход команды Sucuri Security предоставляет непревзойденные услуги в нише плагинов безопасности WordPress.

Основные характеристики

• Security Activity Audit Logging функция для анализа изменений на веб-сайте
• Мониторинг целостности файлов облегчает сравнение текущего состояния безопасности с идеальным состоянием безопасности
• Remote Malware Scanning определяет все ключевые проблемы, связанные с безопасностью веб-сайтов
• Если ваш веб-сайт внесен в черный список движков, таких как Google Safe Browsing, Bitdefender, Norton и т. Д .; Sucuri Security поможет вам удалить его из своего черного списка безопасности

Плюсы

• Исключительная поддержка и выдающиеся функции безопасности
• Функция усиления безопасности обеспечивает общую безопасность

Минусы

• Интерфейс Sucuri может создавать сложности для пользователей

Скачать Sucuri Security Free View Sucuri Security Premium

5) Пуленепробиваемая защита (БЕСПЛАТНО + Премиум)

Bulletproof Security для веб-сайтов WordPress утверждает, что обеспечивает защиту от более чем 100 000 атак.Этот плагин безопасности загружен множеством функций, чтобы обеспечить безопасную среду для эффективной работы веб-сайта. AITpro, разработчики плагина Bulletproof Security, также предоставляют видеоуроки. Таким образом, пользователи WordPress могут понять функции плагина, просмотрев эти видео.

Основные характеристики

• Упрощенная установка с помощью мастера установки в один клик
• Выход из сеанса ожидания функция
• Регулярное резервное копирование базы данных для предотвращения потери данных
• Монитор файлов в реальном времени функция

Плюсы

• Впечатляющие отзывы пользователей
• Доступны регулярные обновления
• Со всеми основными функциями

Минусы

• Новичку может быть сложно настроить плагин из-за запутанного интерфейса

Скачать Bulletproof Security Free View Bulletproof Security Premium

6) Google Authenticator от miniOrange

Механизм двухфакторной аутентификации эффективен в борьбе с хакерскими атаками. Google Authenticator — двухфакторная аутентификация (2FA) — это плагин, который защищает ваш сайт WordPress двумя уровнями безопасности.

Основные характеристики

• Обеспечивает двухфакторную аутентификацию для всех смартфонов, а также стационарных телефонов
• Возможность настройки для нескольких пользователей
• miniOrange предлагает более 15 методов аутентификации

Плюсы

• Опция идентификации устройства позволяет пользователю запомнить устройство для использования в будущем.
• Сканирование QR-кода, push-уведомления и программный токен поддерживаются этим плагином безопасности

Минусы

• Для доступа ко всем функциям необходимо приобрести премиум-версию
• Имеет ограниченную функциональность.

Скачать miniOrange Google Authenticator Free View Premium Version

7) Антивирусный сканер безопасности (БЕСПЛАТНО + Премиум)

Автоматизируйте процесс сканирования на своем веб-сайте WordPress с помощью плагина безопасности Security Antivirus Scanner. Вы можете запланировать использование этого удобного плагина для удаления вредоносных программ и спама. Он будет доставлять ежедневные отчеты на зарегистрированный адрес электронной почты.

Основные характеристики

• Сканирование безопасности базы данных защищает базу данных от вредоносных программ
• Подробные результаты сканирования можно использовать для анализа угроз безопасности

Плюсы

• Начать процесс сканирования одним щелчком мыши
• Функции уровня Premium доступны в бесплатной версии

Минусы

• По сравнению с другими плагинами, функциональность ограничена.

Скачать Security AntiVirus Scanner Бесплатная версия Premium

8) Hide My WP (Премиум)

Если мы говорим о надстройках безопасности премиум-класса, предпочтительным выбором будет Hide My WP . У него впечатляющий рейтинг 4.5+. Он постоянно работает над выявлением новых и старых уязвимостей каждый день. Итак, уклоняйтесь от хакеров, установив Hide My WP для своего сайта WordPress.

Основные характеристики

• Система обнаружения и предотвращения вторжений предотвращает все угрозы
• Вы можете скрыть или переименовать постоянные ссылки, имена тем и имена плагинов, URL-адрес входа и т. Д.
• Отлично работает для мультисайтов

Плюсы

• Вы имеете право на пожизненную поддержку без дополнительной платы
• Функция автоматического обновления постоянно поддерживает актуальность плагина

Минусы

• Если ваши веб-сайты размещены на разных веб-серверах, Hide My WP не может работать с несколькими сайтами в этом случае

Посмотреть Hide My WP Plugin

9) VaultPress (БЕСПЛАТНО + Премиум)

Данные вашего веб-сайта всегда уязвимы для злоумышленников и хакеров.Это может привести к потере данных. Плагин VaultPress для WordPress обеспечивает постоянное резервное копирование ваших данных. Кроме того, сканирование данных предотвращает проникновение вредоносных программ.

Основные характеристики

• Powered by Jetpack , плагин, который предоставляет важные функции WordPress, такие как социальный обмен, статистика пользователей и т. Д.
• Резервное копирование всех данных в реальном времени
• Это упрощает миграцию сайта. Вы можете начать процесс одним щелчком мыши

Плюсы

• Разработано проверенными разработчиками, Automattic
• Регулярные обновления обеспечивают актуальность алгоритма

Минусы

• Подписка на VaultPress действительна для одного веб-сайта
• Ограниченные функции доступны в бесплатной версии

Скачать VaultPress Free View VaultPress Premium

10) Swift Security Bundle (Премиум)

WordPress всегда в хит-листе хакеров.Но Swift Security остается на шаг впереди, скрывая детали WordPress. Таким образом, хакеры не могут распознать сайт WordPress. Устраните все типы проблем с безопасностью с помощью Swift Security Bundle.

Основные характеристики

• Скрыть функцию WordPress скрывает уязвимые аспекты, такие как URL-адрес входа, структура файлов и т. Д.
• IP-фильтр входа в систему ограничивает вход злонамеренных пользователей даже в случае кражи пароля

Плюсы

• Установка в один клик защищает ваш сайт WordPress
• Новичок может легко настроить плагин, не углубляясь в технические детали.

Минусы

• У него нет какой-либо уникальной функции, которая делает его лучшей покупкой в ​​нише безопасности WordPress.

Посмотреть подключаемый модуль пакета безопасности Swift

Заключение

Это составленный список лучших плагинов безопасности WordPress 2020 года.Плагины были в соответствии с функциями, отзывами пользователей и количеством загрузок. Защитите свой сайт от известных и неизвестных атак с помощью любого из вышеупомянутых плагинов. Эти плагины совместимы практически со всеми темами и плагинами WordPress. Более того, доступны регулярные обновления, так что безопасность WordPress не подвергается риску.

Вы также можете просмотреть другие коллекции плагинов в блоге ThemeGrill:

Автор Биография:

Анил Пармар — соучредитель Glorywebs, агентства цифрового маркетинга с полным спектром услуг, цель которого — помочь клиентам с такими услугами, как веб-дизайн, веб-разработка, цифровой маркетинг и графический дизайн.Он овладел искусством цифрового маркетинга, имея многолетний опыт работы в этой области.

(Это гостевое сообщение. См. Правила размещения гостевых сообщений.)

Security — Поддержка — WordPress.com

Безопасность вашего сайта и ваших личных данных всегда является приоритетом. На этой странице описывается, что мы делаем, чтобы защитить ваш сайт и ваши личные данные, а также дополнительные действия, которые мы рекомендуем вам предпринять, чтобы сделать то же самое.

Содержание

Как мы защищаем ваш сайт и ваши данные
Шифрование, по умолчанию
Межсетевые экраны
Мониторинг подозрительной активности
Тестирование безопасности
Резервное копирование и восстановление данных
Наша группа безопасности

Как вы можете защитить свой сайт и свои данные
Сохраните свои Секреты Секреты
Выберите надежный пароль
Выйдите из своей учетной записи
Управление доступом к сайту
Двухэтапная аутентификация

Выбор надежного пароля
Традиционные пароли больше не безопасны
Выберите современный метод
Лучший метод: Менеджер паролей
Хороший метод : Парольные фразы
Дополнительные советы для обоих методов паролей

Как мы защищаем ваш сайт и ваши данные

Шифрование, по умолчанию

Надежное шифрование критически важно для обеспечения вашей конфиденциальности и безопасности.Мы шифруем (обслуживаем через SSL) все сайты WordPress.com, включая пользовательские домены, размещенные на WordPress.com. Мы считаем надежное шифрование настолько важным, что не предлагаем возможность его отключения, которое может поставить под угрозу безопасность вашего сайта WordPress.com. Мы также 301 перенаправляем все небезопасные HTTP-запросы на безопасную версию HTTPS. Узнайте больше о HTTPS и SSL для вашего сайта.

Мы автоматически устанавливаем SSL-сертификат для вашего сайта. Очень редко конкретная конфигурация сайта препятствует правильной работе SSL-сертификата.Если возникла проблема с вашим сертификатом SSL, свяжитесь с нами.

↑ Содержание ↑

Межсетевые экраны

Мы используем брандмауэры и процессы, которые предупреждают нас о попытках несанкционированного доступа к учетным записям WordPress.com.

↑ Содержание ↑

Мониторинг подозрительной активности

Мы постоянно отслеживаем веб-трафик и отслеживаем подозрительную активность. У нас также есть меры безопасности для защиты от атак распределенного отказа в обслуживании (DDoS).

↑ Содержание ↑

Тестирование безопасности

Мы регулярно проверяем безопасность наших сервисов и ищем потенциальные уязвимости. Мы также реализуем программу вознаграждения за ошибки через HackerOne, чтобы вознаграждать людей, которые находят ошибки, и помогать нам повышать безопасность наших услуг.

Имейте в виду, что если вы хотите попробовать наши меры безопасности на своем собственном сайте, размещенном на WordPress.com, мы не допускаем внесения в белый список. Вы можете протестировать все, что захотите, но поскольку наша система не может гарантировать, что вы не являетесь вредоносным по своей природе, ваш IP-адрес может быть временно заблокирован.

↑ Содержание ↑

Резервное копирование и восстановление данных

Наши системы регулярно выполняют резервное копирование данных вашего сайта WordPress.com, поэтому в случае события, которое приводит к потере данных (например, сбой источника питания или стихийное бедствие), мы можем восстановить их.

↑ Содержание ↑

Наша служба безопасности

У нас есть специальная группа безопасности, которая заботится о защите ваших данных. Они работают напрямую с нашими группами по разработке продуктов, чтобы устранить потенциальные риски безопасности и сохранить нашу твердую приверженность обеспечению безопасности ваших данных.

Ни один способ передачи данных через Интернет и ни один метод электронного хранения не является абсолютно безопасным. Мы не можем гарантировать абсолютную безопасность вашего сайта или аккаунта — никто не может. Но обеспечение надежной защиты вашего сайта и личных данных очень, очень, очень важно для нас.

Как защитить свой сайт и данные

Есть также несколько способов защитить свои данные (читайте дальше!).

↑ Содержание ↑

Храните свои секреты в секрете

Самым слабым звеном в безопасности всего, что вы делаете в сети, является ваш пароль.Это ключ к вашему блогу, электронной почте, аккаунтам в социальных сетях или любой другой онлайн-службе, которую вы используете. Если ваш пароль легко угадать, ваша личность в сети уязвима.

Достаточно одного человека, чтобы угадать ваш пароль, и он сможет удалить каждое сообщение, которое вы когда-либо делали. Они могут испортить ваш сайт. Они могут прочитать вашу электронную почту или украсть ваш адрес и выдать себя за вас. Они могут испортить то, на что вы потратили время.

↑ Содержание ↑

Выберите надежный пароль

Каждый используемый пароль должен быть легко запоминающимся и трудным для угадывания.Из-за случайного набора цифр и символов пароль трудно угадать, но его также трудно запомнить. С другой стороны, вы, вероятно, никогда не забудете дату своего рождения или имя своего первого питомца, но это делает пароли очень плохими, поскольку их все легче угадать или узнать.

На WordPress.com вы можете использовать очень длинный пароль с любой комбинацией букв, цифр и специальных символов, поэтому безопасность вашего пароля — и, соответственно, вашего блога — зависит от вас.Мы собрали несколько советов по созданию надежных паролей.

↑ Содержание ↑

Выйти из своей учетной записи

Вы можете защитить свою учетную запись, выйдя из системы после завершения работы. Это особенно важно, когда вы работаете на общем или общедоступном компьютере. Если вы не выйдете из системы, кто-то может получить доступ к вашей учетной записи, просто просмотрев историю браузера и вернувшись на панель управления WordPress.com.

Вы можете защитить свою учетную запись, выйдя из системы после завершения работы.

Чтобы выйти из учетной записи WordPress.com, нажмите на свой Gravatar в правом верхнем углу. Затем в Gravatar нажмите Log Out .

↑ Содержание ↑

Доступ к сайту управления

WordPress.com предоставляет многофункциональную многопользовательскую платформу. Хотя у каждого сайта только один владелец, у вас может быть столько пользователей, сколько вы хотите — это идеально подходит для групповых блогов с несколькими авторами, для сайтов в стиле журналов с редакционным рабочим процессом или для любого другого большого сайта, на котором вы хотите поделиться некоторыми административной нагрузки.

Однако разделение нагрузки также означает разделение ответственности. Вот почему на WordPress.com вы можете установить разные роли , для каждого пользователя, которого вы добавляете на свой сайт. Роли определяют уровень доступа пользователя.

• Участник: самая ограниченная роль, может писать только черновики сообщений, но не может их публиковать.
• Автор: может публиковать сообщения и загружать изображения, но не может касаться сообщений других пользователей.
• Редакторы: может не только редактировать или публиковать любые сообщения пользователей, но и модерировать комментарии и управлять категориями и тегами.
• Администраторы : имеют полный контроль над сайтом — они могут даже удалить его.

При добавлении пользователей постарайтесь найти роль, которая лучше всего описывает то, что вы хотите, чтобы они делали на вашем сайте. Если вы настраиваете аккаунт для пользователя, который планирует разместить только несколько сообщений, сделайте его участником. Зарезервируйте роли автора и редактора для доверенных пользователей, которые имеют долгосрочные обязательства перед вашим сайтом.

Наконец, будьте особенно скупы с ролью администратора.Когда вы делаете другого пользователя администратором на своем сайте, вы буквально создаете отдельный набор ключей для своего сайта и передаете их кому-то другому. Они не только смогут взять ваш сайт на прогулку, просто наличие дополнительного набора ключей значительно увеличивает риск взлома вашего сайта.

На самом деле, мы предлагаем вам полностью избегать роли администратора. Почти во всех случаях роль редактора была бы лучшим выбором.

Подробнее об этом читайте на страницах поддержки для добавления пользователей и ролей пользователей.

↑ Содержание ↑

Двухэтапная аутентификация

Благодаря двухэтапной аутентификации вы можете использовать любое мобильное устройство с iOS, Android, Blackberry или SMS в качестве уникального ключа для своего блога. После того, как вы зарегистрируетесь в службе, вам нужно будет вводить специально сгенерированный одноразовый код всякий раз, когда вы пытаетесь войти в свой блог. Это означает, что даже если кто-то узнает ваш пароль, он не сможет войти в систему, не завладев вашим мобильным устройством.

Подробнее об этой услуге можно узнать на странице поддержки двухэтапной аутентификации.

Выбор надежного пароля

Самым слабым местом в системе безопасности ваших учетных записей в Интернете обычно является ваш пароль. В WordPress.com мы делаем все возможное, чтобы ваш контент был безопасным, защищенным и не был доступен никому, кроме вас.

Но если кто-то еще может угадать или восстановить ваш пароль, он обойдет почти все меры безопасности, которые у нас есть, потому что WordPress.com будет видеть этого человека как вас. Затем они могут внести любые изменения в ваш WordPress.com в блоге или учетной записи, включая удаление вашего контента.

Чтобы избежать этого сценария, это руководство поможет вам создать надежные пароли, которые сложно угадать или взломать. Прочтите следующие советы и дважды проверьте свой пароль. Если вы считаете, что ваш пароль недостаточно надежен, мы настоятельно рекомендуем вам изменить его.

↑ Содержание ↑

Традиционные пароли больше не безопасны

Техники взлома паролей быстро и значительно развились за последние несколько десятилетий, но то, как мы создаем пароли, отстает.В результате самый распространенный совет о создании надежного пароля, который вы услышите сегодня, очень устарел и непрактичен.

Пароль, созданный с помощью этого совета, например, jal43 # Koo% a , , очень легко взломать на компьютере, а человеку очень сложно запомнить и набрать.

Самые последние и наиболее эффективные типы парольных атак могут пытаться до 350 миллиардов попыток угадывать в секунду , и это число, несомненно, значительно увеличится в течение следующих нескольких лет.

Создание надежного пароля сегодня требует современных методов, и мы покажем вам два из них в следующем разделе.

↑ Содержание ↑

Выберите современный метод

Существует множество различных подходов к созданию надежного пароля, но лучше всего подходят менеджеры паролей и парольные фразы. Выберите тот, который вам подходит, а затем прочтите соответствующий раздел в этой статье, чтобы узнать, как начать работу.

↑ Содержание ↑

Лучший способ: Менеджер паролей

Менеджер паролей — это программное приложение на вашем компьютере или мобильном устройстве, которое генерирует очень надежные пароли и сохраняет их в защищенной базе данных.Вы используете одну кодовую фразу для доступа к базе данных, а затем менеджер автоматически вводит ваше имя пользователя и пароль в форму входа на веб-сайт для вас. Если вам нужно запомнить только один пароль, вы можете сделать его произвольным и сложным для подбора.

Вам никогда не придется беспокоиться о выборе надежного пароля, его запоминании или повторном вводе. Это самый простой и безопасный метод, доступный на сегодняшний день, и мы настоятельно рекомендуем вам его использовать.

Как использовать менеджер паролей

Существует множество различных приложений-менеджеров на выбор, поэтому вам нужно выбрать, какое из них вы хотите использовать, а затем установить его на свой компьютер.Это общие шаги, но вы можете проверить документацию для вашего конкретного приложения для получения более подробной информации.

1. Выберите менеджер паролей. Вот некоторые популярные:
   • 1Password (с закрытым исходным кодом, коммерческий)
   • LastPass (с закрытым исходным кодом, бесплатно / коммерческий)
   • Dashlane (с закрытым исходным кодом, бесплатно / коммерческий)
   • KeePass (с открытым исходным кодом, бесплатно)
   • RoboForm (закрытый, коммерческий).
   • Вы можете найти еще больше вариантов, используя свою любимую поисковую систему.
2. Установите на свой компьютер.
3. Установите любые расширения или плагины для используемых вами веб-браузеров.
4. Создайте надежный мастер-пароль, чтобы открыть базу данных паролей. См. Раздел Как создать парольную фразу этого документа, чтобы узнать, как это сделать.
5. (необязательно) Запишите главный пароль и храните его в надежном месте, например, в сейфе или запертом сейфе. Важно иметь резервную копию на случай, если вы когда-нибудь забудете мастер-пароль.
6. (необязательно) Поделитесь своей базой паролей на нескольких устройствах с помощью встроенных инструментов приложения или через такую ​​службу, как SpiderOak. Если вы используете внешнюю службу, убедитесь, что у вас есть надежный пароль, и включите двухфакторную аутентификацию для учетной записи (если возможно).

Теперь, когда у вас настроен менеджер паролей, вы можете начать с его помощью создавать надежные пароли. Найдите встроенный у вашего менеджера инструмент для генерации паролей и настройте его так, чтобы он создавал 30–50 случайных символов, состоящих из букв верхнего и нижнего регистра, цифр и символов.

Вы хотите получить что-то вроде этого: N9}> K! A8 $ 6a23jk% sdf23) 4Q [uRa ~ ds {234] sa + f423 @ .

Это может показаться устрашающим, но имейте в виду, что вам никогда не придется его запоминать или вводить; ваш менеджер паролей сделает это за вас автоматически.

↑ Содержание ↑

Хороший метод: парольные фразы

Парольная фраза похожа на пароль, за исключением того, что она основана на случайном наборе слов, а не на одном.Например, копия указывает на яркую ловушку .

Поскольку длина пароля является одним из основных факторов его надежности, парольные фразы намного безопаснее традиционных паролей. В то же время их намного легче запомнить и набрать.

Они не так надежны, как пароли, генерируемые менеджерами паролей, но они все же хороший вариант, если вы не хотите использовать менеджер паролей. Они также являются лучшим способом сгенерировать мастер-пароль для менеджера паролей или учетной записи вашей операционной системы, поскольку они не могут быть автоматически заполнены менеджером паролей.

Как создать кодовую фразу

Создание ключевой фразы следует правилам, аналогичным созданию традиционного пароля, но это не обязательно должно быть таким сложным, потому что длина фразы обеспечит достаточную безопасность, чтобы перевесить простоту.

1. Выберите 4 случайных слова. Вы можете использовать генератор парольных фраз xkcd, если хотите, но лучше придумать свой собственный.
2. Добавьте пробелы между словами, если хотите.

На этом этапе у вас должно получиться что-то вроде: копия указывает на яркую ловушку

Вы можете остановиться на этом, если хотите, или можете добавить немного силы, выполнив следующие действия:

1. Сделайте несколько букв заглавными.
2. Добавьте несколько цифр и символов.

После применения этих правил он будет выглядеть примерно так: Копия указывает 48 Ловушка (#) яркий

Чего следует избегать:

• Не размещайте слова в предсказуемой схеме и не составляйте правильное предложение; так было бы гораздо легче угадать.
• Не используйте тексты песен , цитаты или что-либо еще, опубликованное . У злоумышленников есть огромные базы данных опубликованных работ, из которых можно построить возможные пароли.
• Не использовать личную информацию . Даже в сочетании с буквами и цифрами кто-то, кто знает вас или может исследовать вас в Интернете, может легко угадать пароль с этой информацией.

↑ Содержание ↑

Дополнительные советы для обоих методов паролей

Помимо учетной записи на WordPress.com, при составлении паролей следует помнить и о других вещах, которые помогут защитить вашу информацию.

• Не используйте один и тот же пароль дважды. Многие популярные веб-сайты не могут должным образом защитить ваш пароль в своих системах, и хакеры регулярно взламывают их и получают доступ к сотням миллионов учетных записей. Если вы повторно используете пароли с сайта на сайт, то кто-то, взломавший один сайт, сможет войти в вашу учетную запись на других сайтах. По крайней мере, убедитесь, что у вас есть уникальные пароли для всех сайтов, на которых хранятся финансовые или другие конфиденциальные данные, или те, которые могут быть использованы для нанесения ущерба вашей репутации.
• Убедитесь, что ваш пароль электронной почты также надежен. Во многих онлайн-сервисах, таких как WordPress.com, ваш адрес электронной почты служит вашим идентификатором. Если злоумышленник получит доступ к вашей электронной почте, он может легко сбросить ваши пароли и войти в вашу учетную запись.
• Не сообщайте свои пароли. Даже если вы доверяете этому человеку, злоумышленник может перехватить или подслушать передачу или взломать компьютер этого человека. Если вы подозреваете, что кто-то знает ваш пароль, вам следует немедленно его изменить.
• Не отправляйте никому свой пароль по электронной почте. Электронная почта редко зашифровывается, что позволяет злоумышленникам легко ее прочитать. Персонал WordPress.com никогда не спросит ваш пароль. Если вам необходимо поделиться паролем, используйте безопасный метод передачи, например pwpush.com, и установите срок действия ссылки после первого просмотра.
• Не сохраняйте пароли в веб-браузере. Они часто не могут безопасно хранить пароли, поэтому используйте вместо этого менеджер паролей. См. Раздел о менеджерах паролей выше для получения дополнительной информации.
• Не сохраняйте пароли и не используйте функцию «Запомнить меня» на общедоступном компьютере . Если вы это сделаете, то следующий человек, который будет использовать компьютер, сможет получить доступ к вашей учетной записи. Также не забудьте выйти из системы или закрыть браузер, когда закончите.
• Не записывайте свой пароль. Если это где-то записано и кто-то может его найти, это небезопасно. Вместо этого храните пароли в диспетчере паролей, чтобы они были зашифрованы. См. Раздел о менеджерах паролей выше для получения дополнительной информации. Исключением из этого правила является безопасное хранение невосстановимых паролей (например, главного пароля для диспетчера паролей или вашей учетной записи в операционной системе). Один из хороших способов обезопасить их — хранить их в сейфе или запереть в сейфе.
• Не меняйте пароли, если не подозреваете, что они были взломаны. Если у вас есть тип надежного пароля, рекомендованный в этой статье, частая его замена не приведет к снижению риска его взлома.Поскольку их изменение может быть обременительным, у людей часто возникает соблазн применить плохие методы, чтобы упростить процесс, что увеличивает их уязвимость для атак. Однако, если вы подозреваете, что кто-то получил доступ к вашей учетной записи, всегда полезно сменить пароль.

13 лучших плагинов безопасности WordPress для защиты вашего сайта

WordPress — это Святой Грааль сбивающего с толку основ WordPress.

По опыту мы знаем, что вы уже знаете, ПОЧЕМУ вам следует установить любой из лучших плагинов безопасности WP.

Это не настоящая проблема.

Проблема:

• Слишком много вариантов;
• Большинство функций, упомянутых в обзорах, носят слишком технический характер;
• Нет никаких реальных доказательств того, что один из плагинов безопасности WordPress является очевидным выбором;
• Ценообразование кажется произвольным, и вы не знаете, что вам дают за эти деньги;
• Большинство обзоров продуктов абсолютно бесполезны, и вы не представляете , что лучше для вас ;

Не круто.

Ежемесячно мы помогаем защищать 250 000+ веб-сайтов WordPress от вредоносных атак.

Именно поэтому мы написали эту статью. В этой статье вы получите:

• Самый мощный плагин безопасности, который предлагает реальную защиту
• Самые удобные плагины безопасности WordPress
• Лучший бесплатный плагин безопасности WordPress
• Несколько почетных упоминаний, которые не очень рекомендуются
• Некоторые очень популярные плагины, которые не являются стоит

Чтобы составить список рекомендаций, мы протестировали плагины.Для простоты и прозрачности вот параметры, которые мы использовали для ранжирования плагинов, которые мы учли:

• Полный список функций
• Стоимость
• Простота использования
• Тип очистки
• Долгосрочная жизнеспособность
• Объем решения

Мы надеемся, что это поможет.

Примечание. После списка рекомендаций мы добавили сегмент, в котором эти факторы рассматриваются более подробно. Если вы хотите знать, что в идеале следует искать при выборе между плагинами безопасности WordPress, вы можете узнать больше о параметрах ранжирования.

А пока предлагаем вам просто погрузиться, и мы увидим вас на другой стороне.

TL; DR: Если вы ищете плагин безопасности WordPress, который охватывает все основы, мы рекомендуем вам использовать платный плагин со всеми необходимыми функциями для обнаружения вредоносных программ, удаления вредоносных программ, усиления защиты WordPress, защиты входа в систему, и журналы трафика.

Самые мощные плагины безопасности WordPress: Full Security Suite

№1.MalCare — Полный пакет безопасности WordPress

MalCare, без сомнения, один из самых полных плагинов безопасности WP, который можно купить за деньги.

Принцип работы MalCare полностью революционен.

В отличие от своих конкурентов, которые предоставляют сканирование на уровне сервера (глубокое) или HTML (поверхностное), MalCare делает все это. С MalCare вы получаете глубину сканирования на уровне сервера без какой-либо нагрузки на сервер или риска для вашего веб-сайта.

MalCare скопирует весь ваш сайт на свои серверы.Таким образом, он может запускать сложные алгоритмы обнаружения вредоносных программ, которые выходят далеко за рамки всех других сканеров на рынке.

Поскольку другие сканеры вредоносных программ зависят от вашего сервера для выполнения своих алгоритмов, все они в конечном итоге выполняют одно из двух:

• Они либо плохо справляются с поиском первопричины инфекции;
• Или они выявляют сотни ложных срабатываний каждую неделю.

С MalCare вы получаете сканер, который не выдает ложных срабатываний и всегда добирается до корня заражения вредоносным ПО, даже если это совершенно неизвестное вредоносное ПО.

Затем он подает вам сигнал тревоги, и в считанные секунды вы можете навсегда удалить любые вредоносные программы со своего веб-сайта одним нажатием кнопки на панели инструментов MalCare. 99,9% всех вредоносных программ можно удалить автоматически с помощью MalCare.

Все это без ущерба для вашего сайта. Когда-либо.

Кроме того, MalCare также включает в себя усиление защиты WordPress, которое можно легко включить несколькими щелчками мыши прямо из панели управления MalCare.

Вы также получаете специальный брандмауэр WordPress, который автоматически защищает вас от известных вредоносных IP-адресов и даже не загружает страницу входа в WordPress в случае подозрительной активности.

Тот факт, что вы можете получать подробные отчеты о посещаемости и состоянии веб-сайта, конечно же, не повредит.

Функции, которые делают MalCare достойным этого списка:

• Полный сканер вредоносных программ WordPress
• Мгновенное удаление вредоносных сценариев
• Мощный брандмауэр веб-приложений и защита входа в систему
• Простые меры по усилению защиты веб-сайтов
• Единая панель для управления несколькими веб-сайтами
• Совместная работа и управление командой
• Решение для белой маркировки
• Пользовательское и отчеты по расписанию
• Мониторинг работоспособности и производительности
• Интегрированные средства резервного копирования и восстановления
• Единая комплексная панель управления MalCare

Самое лучшее? MalCare работает по алгоритму машинного обучения.

Это означает, что он становится умнее, поскольку защищает все больше и больше сайтов от вредоносных программ. В настоящее время MalCare защищает 250 000+ веб-сайтов WordPress от хакеров каждый день. Как вы понимаете, он уже очень умный и становится сильнее с каждым новым добавлением в сеть.

Вы можете установить MalCare бесплатно и сканировать свой сайт на наличие вредоносных программ. Премиум-версия включает в себя мгновенное удаление вредоносных программ и целый ряд других функций.

Цена: Freemium, с платными планами от 89 долларов в год.

Простота использования: MalCare предлагает одну из самых умных и простых в использовании информационных панелей. Вся установка построена в соответствии с собственной философией WordPress простоты и простоты использования для всех. Что наиболее важно, панель инструментов постоянно обновляется, чтобы соответствовать новым функциям и новым стандартам UX. Пользовательский интерфейс и пользовательский интерфейс от начала до конца просты, понятны и минимальны.

Тип очистки: Автомат

Долгосрочная жизнеспособность: Жизнеспособность.Набор функций, которые предлагает MalCare, в сочетании с алгоритмом обучения, делает его одним из самых мощных плагинов безопасности WordPress, которые когда-либо создавались. Мгновенная очистка с нулевыми скрытыми затратами делает MalCare еще более надежной. Добавьте к этому звездное обслуживание клиентов, и вы получите пакет по заниженной цене всего в 89 долларов в год.

Объем решения: MalCare предлагает комплексную безопасность WordPress с точки зрения защиты входа в систему, защиты от перебора, сканирования вредоносных программ, автоматического и мгновенного удаления вредоносных программ и усиления защиты WordPress.

Честно говоря, с точки зрения объема решения он не может быть лучше, чем MalCare. Единственное, чего не хватает — это двухфакторная аутентификация WordPress (2FA), которую разработчики добавят очень скоро.

Окончательный вердикт: НАСТОЯТЕЛЬНО РЕКОМЕНДУЕТСЯ.

№2. Реактивный ранец

Jetpack — это не только один из лучших плагинов безопасности WP. Это комбинированный пакет практически всех важных функций WordPress. Он поставляется с управляемой службой резервного копирования WordPress, функциями безопасности и многим другим.

Основная причина, по которой многие люди слышали о Jetpack, заключается в том, что он был построен Automattic — той же компанией, что и WordPress. Теперь каждая установка WordPress сопровождается установкой Jetpack!

Немного агрессивно с точки зрения продакт плейсмента, но мы понимаем. Бизнес есть бизнес.

Модуль Protect в Jetpack является бесплатным и может блокировать значительный объем подозрительной активности. Бесплатная версия Jetpack также включает защиту от атак методом перебора и внесение в белый список.

Но, как и следовало ожидать, платные версии Jetpack намного мощнее с точки зрения безопасности. За 99 долларов в год вы можете получить сканирование на наличие вредоносных программ, резервное копирование веб-сайтов по расписанию и восстановление сайтов из резервных копий. Если вы хотите сделать ставку, план за 299 долларов в год предусматривает сканирование на наличие вредоносных программ по запросу и резервное копирование в реальном времени.

Характеристики, которые делают Jetpack достойным этого списка:

• Бесплатная версия Jetpack, честно говоря, достаточно хороша для защиты веб-сайтов малого бизнеса, которые еще не были взломаны
• Премиум-планы предлагают огромные преимущества, такие как резервное копирование, защита от спама, сканирование и удаление безопасности на случай, если вам понадобится дополнительная помощь
• Все обновления плагинов проходят через Jetpack, поэтому нет уязвимостей плагинов, которые может использовать хакер
• Вы также можете отслеживать время простоя своего сайта

В качестве бонуса Jetpack также имеет функции для электронного маркетинга, социальных сетей, настройки и оптимизации сайта.Для нового владельца сайта это сочетание мечты. Единственным недостатком является то, что они не являются специализированным решением, и вам придется ждать ручного удаления вредоносных программ в случае заражения.

Цена: Freemium, с платными тарифными планами от 99 долларов в год.

Простота использования: Jetpack довольно прост. Он создан для начинающих и предполагает нулевое знание программирования или даже WordPress. UX также очень хорошо спланирован.

Тип очистки: Руководство

Долгосрочная жизнеспособность: Жизнеспособность.Хотя мы думаем, что Automattic продвигает свои собственные плагины, это немного несправедливое преимущество, мы также не можем винить Jetpack за его услуги.

Мы опубликуем результаты реальной диагностики и тестов для каждого из этих плагинов в ближайшее время.

Объем решения: Пенни за копейки, Jetpack — это стоящая инвестиция, если вы не возражаете ждать, пока ваш сайт очистят вручную. Помимо этого одного предостережения, вы получите сканирование вредоносных программ, очистку, защиту от перебора, защиту входа в систему и усиление защиты WordPress.

Окончательный вердикт: НАСТОЯТЕЛЬНО РЕКОМЕНДУЕТСЯ БЕСПЛАТНАЯ ВЕРСИЯ . ОБЯЗАТЕЛЬНО РЕКОМЕНДУЕТСЯ ПРЕМИУМ-ВЕРСИЯ.

№ 3. Wordfence безопасности

Wordfence Security — один из самых популярных плагинов безопасности WordPress, и не зря. Freemium-версия предлагает довольно мощные инструменты защиты, такие как надежные функции безопасности входа в систему и инструменты восстановления после инцидентов безопасности.

Wordfence имеет один из самых впечатляющих бесплатных плагинов безопасности WordPress.

Благодаря таким функциям, как защита от перебора и брандмауэры WordPress, он может довольно хорошо обеспечивать защиту от атак. Платная версия выглядит намного более впечатляющей, чем ее бесплатная версия, потому что она поставляется с очень глубоким серверным сканером вредоносных программ.

Вот что Wordfence не упоминает сразу:

• Они взимают плату за уборку; даже для повторных взломов
• Поскольку Wordfence предлагает ручную очистку, у них есть повышенные цены на очистку
• Как бесплатная, так и премиум-версии постоянно отмечают ложные срабатывания

Давайте контекстуализируем:

Это означает, что Wordfence будет наводнять вашу панель управления WordPress сигналами тревоги.Затем вам нужно будет попытаться понять, являются ли эти сигналы серьезными угрозами и нарушениями безопасности. Затем вам придется несколько дней ждать, пока их инженеры по безопасности очистят ваш сайт.

Да, и если они пользуются большим спросом, вам придется выложить кучу денег, чтобы обеспечить безопасность вашего сайта.

Тем не менее, Wordfence по-прежнему остается одним из самых популярных плагинов безопасности WordPress и неплохо защищает ваш сайт.

Функции, которые делают WordFence Security достойным этого списка:

• Если у вас небольшой статический веб-сайт с очень небольшим объемом трафика и без онлайн-продаж, то бесплатная версия вам подойдет.
• Вы можете сэкономить много денег на лицензионных сборах, если купите лицензии для нескольких сайтов.
• Wordfence имеет полный набор брандмауэров, которого просто нет у других плагинов безопасности WP, и включает такие функции, как блокировка страны, ручная блокировка, защита от перебора, защита от угроз в реальном времени и брандмауэр веб-приложений.
• Сканер вредоносных программ обнаруживает вредоносные программы, угрозы в реальном времени и спам. Он сканирует все ваши файлы на наличие вредоносных программ, а не только файлы WordPress, потому что у него есть серверный сканер.
• Анализ трафика Wordfence позволяет разделить активность сканирования Google, входы и выходы из системы, посетителей-людей и ботов для лучшего понимания трафика вашего сайта.
• Вы можете войти в систему со своего мобильного телефона в качестве формы двухфакторной аутентификации WordPress.
• Хотя большинство людей используют плагин Akismet Spam Protection, который поставляется почти с каждой установкой WordPress, Wordfence также имеет свой собственный фильтр спама в комментариях. Это означает, что вам не придется использовать несколько плагинов для защиты от спама.

Одной из самых уникальных особенностей Wordfence является то, что он может отслеживать плагины WordPress, которые вы используете на своем веб-сайте. Если ваши плагины больше не обновляются, были удалены из репозитория или если они известны взломам, Wordfence поднимает тревогу.

Цена: Freemium с планами Premium от 99 долларов в год + базовая цена за уборку 179 долларов за уборку

Простота использования: Интерфейс может быть очень сложным для начинающего пользователя.Он вмещает все функции, и становится сложно отслеживать все с самого начала. Однако, как только вы освоитесь, единственная проблема, которая может у вас возникнуть, — это запросить очистку. Для компании, которая зарабатывает большую часть своих денег на платном удалении вредоносных программ, наверняка сложно найти эту опцию на панели инструментов!

Тип очистки: Руководство

Долгосрочная жизнеспособность: Жизнеспособно, но дорого.Поддержка, которую вы получаете от Wordfence, оставляет желать лучшего, но обновления всегда актуальны. Кроме того, Wordfence постоянно вкладывает время в исследования и часто обнаруживает серьезные уязвимости в популярных плагинах. Таким образом, пользователи Wordfence получают проактивное решение, а не реактивное.

Объем решения: Что касается обнаружения, удаления и защиты вредоносных программ, Wordfence предлагает широкий спектр инструментов, которыми многие другие конкуренты просто не обладают.Конечно, работать с плагином немного сложно, но это из-за огромного количества функций, которые вы получаете от Wordfence.

Важно: Wordfence может значительно замедлить работу вашего сайта. Wordfence создает собственные таблицы в вашей базе данных, в которых хранится вся история сканирования. Он также записывает все предпринятые действия. Со временем эта база данных вырастет до значительного размера и достигнет точки, когда это приведет к раздутию сайта.

Каждый раз, когда Wordfence запускает новое сканирование, он также загружает старую базу данных.Добавьте это к чрезмерно усердному сканеру, который продолжает отмечать ложные срабатывания, и у вас на руках настоящая проблема с пропускной способностью.

Wordfence также действует на уровне сервера. Хотя это означает, что вы получаете более мощные функции, это также означает, что Wordfence будет использовать ресурсы вашего сервера для работы.

В заключение, Wordfence — это решение, которое со временем будет загружать ресурсы вашего сервера и замедлять работу вашего сайта.

Окончательный вердикт: УСЛОВНО РЕКОМЕНДУЕТСЯ БЕСПЛАТНАЯ ВЕРСИЯ , ПРОФЕССИОНАЛЬНАЯ ВЕРСИЯ СЛИШКОМ ДОРОГА

Самые удобные плагины безопасности WP для карманных компьютеров

№4.Безопасность ниндзя

Security Ninja входит в число плагинов безопасности OG WordPress. Он существует уже более 7 лет и обладает одними из самых полных функций за всю историю. Security Ninja начинался как один из первых плагинов на CodeCanyon.

Теперь у него есть модель freemium и более 50 проверок безопасности, встроенных в сканер вредоносных программ, включая проверки целостности файлов, разрешения MySQL и настройки PHP.

Плагин также выполняет проверку методом перебора, чтобы выявить слабые пароли, такие как «пароль» и «1234» — такие пароли никому не помогают.

Самое приятное то, что он имеет как автоматические, так и ручные исправления для пользователей. Если вам нужно решение в один клик, вы можете это получить. Или, если вы понимаете код, вы можете получить патч и вручную исправить сайт самостоятельно.

Особенности, которые делают Security Ninja достойным этого списка:

• Бесплатная версия поставляется с более чем 50 тестами безопасности, которые могут тщательно оценить ваш статус безопасности.
• Вы можете мгновенно исправить проблемы безопасности одним щелчком мыши.
• Поставляется со специальной проверкой целостности файлов. Хотя у этого метода есть свои проблемы, он по-прежнему является довольно распространенным способом искоренить простое вредоносное ПО.
• Плагин автоматически блокирует длинный список известных вредоносных IP-адресов.
• Регистрирует все действия пользователей и входа на ваш сайт WordPress.
• Поставляется с возможностью обычного сканирования.

Цена: Freemium с платными тарифными планами от 39,99 долларов США в год

Простота использования: В отличие от всех других плагинов в этом списке Security Ninja фактически заставляет пользователя работать над исправлением.Это не обязательно затрудняет использование. Это только добавляет уровень осведомленности и знаний о безопасности для пользователя. По большей части им легко пользоваться.

Тип очистки: Автоматически, но с ограничениями

Долгосрочная жизнеспособность: Может быть жизнеспособным. Если на вашем веб-сайте WordPress нет активных вредоносных программ, вы можете обойтись Security Ninja, поскольку она обеспечивает отличную защиту. Однако очистка ограничивается только проблемами в основных файлах WordPress и использует довольно примитивный метод, чтобы попытаться исправить это.

Объем решения: Security Ninja имеет отличный сканер вредоносных программ и предлагает хорошую защиту от атак методом грубой силы и других взломов входа в систему. Однако сканер использует очень примитивные методы, которые эффективны только против слабых старых вредоносных программ. Очистка автоматизирована, но ограничивается основными файлами WordPress. Security Ninja действительно входит в число плагинов безопасности OG WordPress, но он слишком стар, чтобы не отставать от современных вредоносных программ.

Окончательный вердикт: НЕ ПОЛНОСТЬЮ РЕКОМЕНДУЕТСЯ

№ 5.SecuPress

SecuPress — новинка на этой сцене, но она очень зеленая. Плагин принадлежит той же компании, что и WP Rocket и Imagify, и оправдывает свою репутацию.

SecuPress имеет отличный пользовательский интерфейс и простой в использовании интерфейс. Бесплатная версия плагина предлагает вход в систему с защитой от перебора, занесение в черный список IP-адресов и брандмауэр. Вы также можете изменить ключи безопасности WordPress из самого плагина.

Премиум-версия включает в себя такие функции, как предупреждения и уведомления системы безопасности, двухфакторную аутентификацию, блокировку GeoIP, сканирование на наличие вредоносных программ PHP и отчеты в формате PDF.

Функции, которые делают SecuPress достойным этого списка:

• Пользовательский интерфейс в SecuPress уступает только MalCare и Jetpack по простоте использования.
• Премиум-версия предоставляет вам один из немногих плагинов безопасности WordPress, идеально подходящий для защиты.
• Вы можете изменить URL-адрес своей страницы входа в WordPress, чтобы боты не могли ее перебрать.
• Включает приличный сканер вредоносных программ.

Цена: Freemium, с платными тарифными планами от 59 долларов в год за лицензию для одного сайта.

Простота использования: SecuPress очень прост в настройке и использовании. То, как он построен, делает его гораздо более дешевой заменой Jetpack. Конечно, в целом у Jetpack гораздо больше возможностей, но если вы хотите найти специализированные плагины безопасности WordPress, это более безопасный вариант.

Тип очистки: Руководство

Долгосрочная жизнеспособность: Жизнеспособно для сайтов малого бизнеса, доход которых напрямую не зависит от их веб-сайтов.Не подходит для сайтов WooCommerce. Плагин предназначен для защиты, а не для восстановления после взлома. Таким образом, SecuPress в основном работает над тем, чтобы предлагать решения для усиления защиты WordPress одним щелчком мыши, и это далеко не тот уровень безопасности, который вам нужен для сайта, который активно создает новый бизнес.

Объем решения: SecuPress определенно является одним из самых дешевых плагинов безопасности WordPress на рынке. Но он по-прежнему предлагает достойные возможности для усиления защиты WordPress и включает в себя сканер вредоносных программ и защиту входа в систему.Единственное, чего он не может сделать, это обеспечить автоматическое удаление вредоносных программ.

Окончательный вердикт: РЕКОМЕНДУЕТСЯ ДЛЯ МАЛОГО БИЗНЕСА (НЕ ВУКОМЕРСКИХ САЙТОВ)

Лучшие бесплатные плагины безопасности WordPress

№ 6. Все в одном WP Безопасность и брандмауэр

Как следует из названия, All-In-One WP Security and Firewall — один из самых полных плагинов безопасности WordPress. Это очень наглядный плагин с графиками и диаграммами, который помогает пользователю точно понять, на что он смотрит.

Одной из самых впечатляющих функций этого плагина является то, что он позволяет вам выполнять действия в зависимости от вашей подверженности безопасности WordPress. У вас есть три уровня взаимодействия:

• Базовый
• Средний
• Продвинутый

Это делает его хорошим вариантом для любого, от веб-мастера до обычного разработчика WordPress.

Единственный недостаток: Функции созданы для защиты от атак, а не для сканирования и удаления вредоносных программ.

Функции, которые делают универсальную систему безопасности WordPress и брандмауэр достойными этого списка:

• Это один из немногих плагинов безопасности WordPress с инструментом черного списка пользователей.
• Вы можете создавать резервные копии и восстанавливать файлы .htaccess и .wp-config.
• Предлагает полное визуальное представление вашего статуса безопасности.
• Плагин на 100% бесплатный. — без дополнительных продаж, без затрат, без BS
• Файрвол реально приличный для бесплатного

Цена: Бесплатно

Простота использования: Установить и использовать плагин очень просто.Диаграммы позволяют легко понять проблемы безопасности и исправить их с помощью пары щелчков мыши.

Тип очистки: Н / Д

Долгосрочная жизнеспособность: нежизнеспособна. Большинство пользователей WordPress в какой-то момент столкнутся с атакой вредоносного ПО. Бесплатный плагин защиты не является надежным вариантом. Мы настоятельно рекомендуем вам вместо этого установить комплексные плагины безопасности WordPress. Вам понадобится сканер вредоносных программ и система удаления вредоносных программ, а также брандмауэр, защита от спама и защита входа на ваш веб-сайт.

Объем решения: С точки зрения чистой защиты, All-In-One WP Security and Firewall предлагает плагин с отличными функциями. Единственная проблема заключается в том, что в нем отсутствуют некоторые важные функции, такие как очистка сайта, регулярное сканирование вредоносных программ и поддержка при удалении вредоносных программ со взломанного сайта WordPress.

Окончательный вердикт: НАСТОЯТЕЛЬНО РЕКОМЕНДУЕТСЯ, ЕСЛИ ВЫ НЕ ХОТИТЕ ИНВЕСТИРОВАТЬ В ПЛАГИНЫ БЕЗОПАСНОСТИ PREMIUM WORDPRESS

почетных упоминаний

№ 7.Пуленепробиваемая безопасность

BulletProof Security не входит в число самых удобных плагинов безопасности WordPress. Честно говоря, он больше предназначен для продвинутых разработчиков, которые хотят повозиться с функциями и настройками.

ПРИМЕЧАНИЕ: Если вы испортите настройки, они могут напрямую повлиять на доход, который приносит ваш сайт.

Плагин поставляется с защитой от эксплойтов и онлайн-декодером Base64. Он также имеет функцию автоматического исправления мастера установки, которая немного упрощает работу.

Теперь, если это звучит для вас слишком технически, это, вероятно, хороший показатель того, что этот плагин не для вас. Не нужно паниковать, есть другие варианты, которые лучше подходят для ваших нужд.

При этом BulletProof Security, возможно, один из самых полных плагинов безопасности WordPress всех времен. Мы предлагаем вам попробовать бесплатную версию плагина, чтобы ознакомиться с интерфейсом, прежде чем покупать премиум-версию. В бесплатной версии:

• Сканер вредоносных программ MScan.
• Безопасность входа и мониторинг.
• Резервное копирование и восстановление баз данных.
• Средства защиты от спама и взлома.
• Журнал безопасности.
• Скрытые папки плагинов.
• Режим обслуживания.
• Мастер полной настройки.

Что касается «продвинутости», BulletProof Security неплохо с этим справляется. Обратной стороной является … он слишком продвинутый.

Функции, которые делают пуленепробиваемую безопасность достойной этого списка:

• Он поставляется с решениями для шифрования BPS Pro ARQ Intrusion Detection and Prevention System (ARQ IDPS).
• Плагин использует запланированные crons для выполнения регулярных запланированных действий, таких как сканирование на наличие вредоносных программ.
• Вы получаете сканирование cURL и блокировку папок для дополнительной безопасности.
• Резервные копии базы данных включены — даже в бесплатную версию.
• Вы можете скрыть отдельные папки плагинов, чтобы предотвратить атаки XSS.
• У вас есть специальный режим обслуживания, которого нет в других плагинах.

Цена: Freemium, с премиальным планом с единовременной оплатой 69 долларов.95

Простота использования: Нет хорошего способа сказать это: BulletProof Security непросто использовать. Вам нужно быть очень осторожным с параметрами, поскольку они могут иметь прямое влияние на взлом взломанного сайта.

Тип очистки: Н / Д

Долгосрочная жизнеспособность: Технология достаточно жизнеспособна. Проблема в том, чтобы безопасно использовать его в течение длительного времени.

Объем решения: BulletProof — один из плагинов WordPress, который имеет более 30 плагинов по поразительно низкой цене.Если это звучит слишком хорошо, чтобы быть правдой, то, вероятно, это так. В решении отсутствует четкий способ удаления вредоносных программ, и даже при наличии сканера вредоносных программ результаты часто могут быть очень запутанными.

Окончательный вердикт: РЕКОМЕНДУЕТСЯ ТОЛЬКО ДЛЯ РАЗРАБОТЧИКОВ

№ 8. Защитник

Defender — отличный плагин для очень простых сайтов, которые в настоящее время не взламываются. Бесплатная и профессиональная версии позволят вам укрепить ваш сайт WordPress.Defender — один из тех плагинов безопасности WordPress, которые упрощают безопасность.

Defender работает с проверкой целостности и заменой файлов. Это построено по принципу Security Ninja, и мы не рекомендуем это делать. Большинство вредоносных программ слишком хорошо написаны, чтобы их можно было поймать с помощью такой слабой проверки.

Push подходит к делу, мы бы сказали, что Security Ninja даже имеет преимущество перед Defender, потому что его параметры проверки немного более строгие.

Pro версия Defender поставляется с функциями резервного копирования и восстановления, а также с 10 ГБ места для хранения ваших резервных копий.Но это не единственное преимущество. Вы также получаете неограниченное количество чисток от специалистов по безопасности.

Особенности, по которым Защитник достоин этого списка:

• Двухэтапная аутентификация Google.
• Сканирование и восстановление основных файлов WordPress.
• Маскировка экрана входа в систему.
• Менеджер черного списка IP и ведение журнала.
• Неограниченное сканирование файлов.
• Timed Lockout для защиты входа в систему от атак грубой силы.
• Блокировка IP-адреса геолокации
• Брандмауэр безопасности WordPress

Цена: Freemium.Платные планы предназначены для пакетов WPMU DEV от 150 долларов в год

Простота использования: Очень, очень просто использовать. Почти все плагины WPMU DEV до смешного просты в установке и настройке. Защитник не исключение. Панель управления проста и упрощена до такой степени, что ее может использовать каждый.

Тип очистки: Руководство

Долгосрочная жизнеспособность: Может быть жизнеспособным. Если на вашем веб-сайте WordPress нет активных вредоносных программ, вы можете обойтись Security Ninja, поскольку она обеспечивает отличную защиту.Однако очистка ограничивается только проблемами в основных файлах WordPress и использует довольно примитивный метод, чтобы попытаться исправить это. Это не самый мощный из плагинов безопасности WordPress.

Объем решения:

Окончательный вердикт: НЕ РЕКОМЕНДУЕТСЯ

№ 9. Google Authenticator — двухфакторная аутентификация

Самая очевидная причина, по которой люди выбирают такое решение, как iThemes Security Pro, заключается в том, что никто не хочет устанавливать несколько плагинов.Установка плагинов безопасности WordPress с единичным фокусом, конечно, не является обычным явлением.

Обычно мы не рекомендуем плагины безопасности WordPress с одной функцией. Но в случае с Google Authenticator мы можем сделать исключение.

Двухфакторная аутентификация не является функцией, которая легко доступна в плагинах безопасности WordPress. Большинство плагинов используют обходной путь для этого. Но если вам действительно нужна 2FA, тогда Google Authenticator — это то, что вам нужно.

Google Authenticator значительно усложняет доступ к вашей панели управления WordPress.Даже если хакер сможет получить ваши учетные данные для доступа, им все равно потребуется подтвердить вход с помощью вашего мобильного устройства.

Функции, которые делают Google Authenticator достойным этого списка:

• Этот плагин практически устраняет все уязвимости страницы входа.
• Для большего удобства вы можете выбирать между различными методами 2FA.
• Защита входа в систему может распространяться на всех пользователей или на отдельных пользователей в соответствии с вашими потребностями
• Вы можете создавать собственные страницы входа с помощью короткого кода

Кстати, это 100% бесплатно.Никакой рекламы, дополнительных продаж или промо-акций.

Вероятно, поэтому он фокусируется только на одном аспекте безопасности, а не на предоставлении набора.

Цена: Бесплатно

Простота использования: Google Authenticator имеет только одну функцию — WordPress 2FA. Такой упрощенный подход позволяет создать столь же упрощенную и удобную в использовании панель инструментов. Фактически, единственный другой плагин из этого списка, который проще использовать, — это WP fail2ban.

Важно: Если вы ищете специализированные плагины безопасности для WordPress, ориентированные на конкретные задачи, то вам, вероятно, также стоит обратить внимание на WP fail2ban.Два плагина очень хорошо дополняют друг друга.

Тип очистки: Н / Д

Долгосрочная жизнеспособность: Не жизнеспособна. Google Authenticator предоставляет только один метод защиты. Для любого сайта, который приносит кучу денег, этот плагин просто предназначен для улучшения существующих плагинов безопасности WordPress.

Объем решения: Защита входа с помощью двухфакторной аутентификации WordPress. Вот и все.

Окончательный вердикт: НЕ РЕКОМЕНДУЕТСЯ В КАЧЕСТВЕ АВТОНОМНОЙ МЕРЫ БЕЗОПАСНОСТИ

№ 10. WP fail2ban

WP fail2ban — один из самых популярных специализированных плагинов безопасности WordPress. Этот плагин предлагает только одну функцию, в отличие от большинства других вариантов в этом списке, и делает это хорошо. WP fail2ban — это плагин для защиты от перебора.

Вот и все.

WP fail2ban документирует все попытки входа в систему в системный журнал WordPress с помощью LOG_AUTH.Большинство плагинов безопасности предлагают либо мягкий, либо жесткий запрет на попытки входа в систему. WP fail2ban дает вам и то, и другое! Вы можете выбрать мягкую или жесткую блокировку IP-адреса.

Боковое примечание: Мягкий бан удаляет пользователя на ограниченный период времени, а жесткий бан — это постоянный запрет доступа к серверу.

WP fail2ban, возможно, также является одним из самых простых в настройке плагинов безопасности WordPress. Все, что вам нужно сделать, это установить и активировать плагин.

Функции, которые делают WP fail2ban достойным этого списка:

• Выбор между жесткими или мягкими блокировками
• Интеграция с Cloudflare
• Готовая интеграция с прокси-серверами
• Журналы комментариев для предотвращения спама и потенциально вредоносных комментариев
• Журналы сообщений о спаме и перечисления пользователей
• Короткий код для упреждающей защиты входа в систему

Самый удивительный бит: Шорткоды на WP fail2ban невероятны.Вы можете настроить его так, чтобы он мог блокировать пользователей еще до того, как они попадут в раздел входа в систему.

Цена: Бесплатно

Простота использования: Это один из самых простых в использовании плагинов безопасности WordPress. Период. Просто установите и активируйте. Конец истории.

Тип очистки: Н / Д

Долгосрочная жизнеспособность: Если вы ищете полномасштабный пакет безопасности WordPress, то этот плагин вам не подходит.Но если вы ищете именно защиту входа в систему, то WP fail2ban определенно станет для вас жизнеспособным вариантом.

Объем решения: Охватывает только защиту входа в систему. Нет сканера вредоносных программ, удаления вредоносных программ или защиты WordPress.

Окончательный вердикт: НАСТОЯТЕЛЬНО РЕКОМЕНДУЕТСЯ ДЛЯ ЗАЩИТЫ ВХОДА. НЕ РЕКОМЕНДУЕТСЯ, ЕСЛИ ВАМ НУЖНА КОМПЛЕКСНАЯ ЗАЩИТА.

Популярные плагины безопасности WordPress, которые не слишком хороши

№ 11.Sucuri SiteCheck и Premium

Sucuri имеет как бесплатную, так и премиальную версии: Sucuri SiteCheck, бесплатная версия, представляет собой веб-сканер. Удаление вредоносных программ не входит в эту версию.

Откровенно говоря, Sucuri SiteCheck в большинстве случаев абсолютно бесполезен, потому что он может находить только вредоносные программы, которые проявляются в HTML-коде веб-сайта. Что еще более важно, он не может определить происхождение вредоносного ПО, потому что у него нет доступа к серверу.

Премиум-версия поставляется с серверным сканером, который включает:

• Контроль целостности файлов;
• Мониторинг черного списка;
• Уведомления безопасности;
• И усиление безопасности.

Премиум-планы открывают каналы обслуживания клиентов и более частые проверки. Забавно то, что Sucuri не взимает плату за удаление вредоносных программ, а взимает плату за сканирование вашего сайта. С пакетом вы получаете фиксированную частоту сканирования вредоносных программ.

Теперь давайте посмотрим на это в перспективе.

Sucuri Premium полагается на удаление вредоносных программ вручную, что может занять дни, если не недели. В течение этого времени хакер может продолжать сеять хаос на вашем сайте.И в течение этого времени вы продолжаете терять свой трафик, доход и ценность бренда.

Фактически, вы можете попасть в черный список Google и потерять 95% вашего органического трафика в одночасье!

Особенности, которые делают Sucuri Premium достойным этого списка:

• Он предлагает несколько вариантов сертификатов SSL. За них нужно платить, но они доступны в составе пакетов.
• Служба поддержки клиентов доступна в форме мгновенного чата и электронной почты.
• Вы получаете уведомления, когда что-то не так с вашим сайтом.
• Расширенная защита от DDoS-атак доступна в некоторых планах.

Даже если вы не хотите платить деньги, вы все равно получите ценные инструменты для мониторинга черного списка, сканирования вредоносных программ, мониторинга целостности файлов и усиления безопасности.

Цена: Freemium с планами Premium от 199 долларов в год

Простота использования: Использовать бесплатный плагин очень просто.Подсказки просты, и вы можете легко найти большинство функций.

Тип очистки: Руководство

Долгосрочная жизнеспособность: Жизнеспособность. Бесплатная версия — это веб-сканер без возможности очистки. Так что обновления поддерживаются автоматически. Платная версия включает неограниченное количество чисток и все обновления на всю жизнь.

Объем решения: Бесплатная версия представляет собой HTML-сканер поверхностного уровня, который не может распознать наиболее сложные вредоносные программы, которые не проявляются в частях веб-сайта, «видимых в браузере».Платная версия — это комплексное решение. Он охватывает сканирование, брандмауэры веб-приложений, усиление защиты WordPress, защиту от ботов и запросы ручной очистки.

Важно: Наши инженеры протестировали Sucuri SiteCheck (бесплатно) и дополнительный плагин на наличие распространенных вредоносных программ. Мы были очень шокированы, увидев, что большинство из них даже не было зарегистрировано как вредоносное ПО серверным сканером в премиум-версии.

Окончательный вердикт: НЕ РЕКОМЕНДУЕТСЯ

№ 12.iThemes Security

iThemes Security — один из самых ненадежных плагинов безопасности WordPress, с которыми мы сталкивались. Вместо того, чтобы уделять основное внимание обнаружению и очистке вредоносных программ, он просто фокусируется на усилении защиты WordPress.

Фактически, iThemes использует Sucuri SiteCheck в качестве сканера вредоносных программ и даже не обеспечивает собственное удаление вредоносных программ.

Безопасность iThemes уделяет большое внимание распознаванию:

• Уязвимости плагина;
• Устаревшее ПО;
• И слабые пароли.

Функции, делающие безопасность iThemes достойной этого списка:

• Плагин безопасности предлагает обнаружение изменения файла, что важно, поскольку большинство веб-мастеров не замечают, когда файл испорчен с
• Добавляет уровень защиты к вашему логину с помощью интеграции Google reCAPTCHA вместе с WordPress 2FA
• Обновляет ваш Соли и ключи WordPress, чтобы добавить дополнительный уровень сложности к вашим ключам аутентификации
• Вы можете установить «Away Mode», когда вы не делаете постоянных обновлений на своем сайте и хотите полностью заблокировать панель управления WordPress от всех пользователей
• Обнаружение 404
• Защита от перебора
• Надежное применение пароля

В целом, мы бы рекомендовали безопасность iThemes в том и только в том случае, если вы хотите усилить защиту входа на свой веб-сайт и повысить уровень безопасности.С точки зрения обнаружения и удаления вредоносных программ он ужасно не работает. И это для iThemes Pro. Бесплатную версию iThemes security не стоит даже рассматривать в этом списке.

Цена: Freemium с тарифами Premium от 80 долларов в год

Простота использования: Это один из тех плагинов безопасности WordPress, который имеет более 30 функций безопасности. Хотя это может показаться впечатляющим, это также может сбивать с толку, так как вам придется вручную выполнять действия для каждой функции.

Тип очистки: Не применимо

Долгосрочная жизнеспособность: Не жизнеспособно. Гораздо лучше выбрать Sucuri Premium, поскольку iThemes просто переделывает основные элементы Sucuri.

Объем решения: Ограничено усилением безопасности WordPress и защитой входа в систему.

Окончательный вердикт: НЕ РЕКОМЕНДУЕТСЯ

№ 13. VaultPress

VaultPress построен по тем же принципам, что и Sucuri SiteCheck и iThemes Security.Только это намного дешевле, чем Sucuri Premium или iThemes Security Pro. И это очень беспокоит, если вы пользователь VaultPress.

Что еще более неприятно, суть этого плагина заключается в том, чтобы обеспечивать резервное копирование и восстановление. Безопасность — это скорее надстройка.

Основная функция инструмента безопасности — отслеживать подозрительную активность на вашем веб-сайте. Вы можете просмотреть свою историю и проверить, какие угрозы были устранены или проигнорированы. Вы также можете просматривать статистику на единой удобной панели инструментов.

На самом деле, если вы когда-либо использовали антивирус для ПК, вы будете чувствовать себя как дома с VaultPress.

Функции, которые делают VaultPress достойным этого списка:

• Цена лучше, чем у большинства других премиальных плагинов безопасности WordPress.
• Панель управления понятна и понятна всем пользователям.
• Вы можете запланировать резервное копирование в реальном времени или вручную с помощью встроенного календаря.
• Плагин отмечает наиболее частое время посещения вашего сайта и угрозы, которые могли возникнуть в часы пик.
• Поддержка клиентов по функциям резервного копирования и восстановления неплохая.

Цена: Freemium, с премиум-планами от 39 долларов

Простота использования: VaultPress имеет простую и понятную панель инструментов со всеми основными функциями управления WordPress, которые легко доступны. Что касается безопасности, это действительно не самое оптимальное решение.

Тип очистки: Н / Д

Долгосрочная жизнеспособность: Не жизнеспособна.VaultPress не входит в число рекомендуемых нами плагинов безопасности WordPress. Возможно, вам повезет в качестве плагина резервного копирования и восстановления.

Объем решения: VaultPress предлагает функции мониторинга сайта и защиты входа в систему. Но реальный сканер вредоносных программ слаб, и возможности для удаления вредоносных программ отсутствуют. Однако с точки зрения защиты ваших финансовых интересов варианты резервного копирования и восстановления могут быть отличными.

Окончательный вердикт: НЕ РЕКОМЕНДУЕТСЯ

для плагинов безопасности WordPress

Если вы дошли до того, чтобы прочитать о параметрах ранжирования для плагинов безопасности WordPress, перечисленных выше, то:

• Вы либо хотите понять, почему некоторые функции важны;
• Или вы запутались, если тот, который вам нравится, действительно вам подходит.

В любом случае, этот раздел прояснит это для вас.

Факторы, которые следует учитывать при выборе подключаемых модулей безопасности WordPress

При выборе подключаемых модулей безопасности WordPress в целом необходимо учитывать девять вещей.

Поехали:

1. Обнаружение вредоносного ПО как в файлах, так и в базе данных

Хороший плагин безопасности просканирует каждый файл и базу данных, чтобы убедиться, что в них нет скрытых вредоносных программ.

Когда плагины безопасности были впервые разработаны, они были предназначены для поиска вредоносных программ в определенных файлах и базах данных.Но в наши дни у хакеров гораздо больше навыков. Они находят способы разместить вредоносное ПО где угодно на вашем сайте.

Некоторые плагины безопасности для WordPress по-прежнему используют устаревшие методы сканирования. Таким образом, они теряют вредоносное ПО, скрытое в необычных местах (например, вредоносное ПО WP-VCD).

2. Сканирование без использования ресурсов сайта

Вашему сайту нужны ресурсы для повседневной деятельности. Проверка безопасности потребует значительных ресурсов. Ваши ресурсы разделяются, и это может серьезно повлиять на ваш сайт.

Сканирование каждой директории WordPress может действительно потреблять ресурсы сервера.

В процессе сканирования ваш веб-сайт будет работать очень медленно. Решение состоит в том, чтобы выбрать плагины, которые не выполняют сканирование с использованием ресурсов вашего веб-сервера. Найдите плагин, который использует собственный сервер.

3. Мгновенное удаление вредоносных программ

Если хакер воспользуется вашими уязвимостями WordPress, вы рискуете потерять трафик и заплатить клиентам. Кроме того, ваш сайт может быть занесен в черный список Google или заблокирован вашим хостинг-провайдером.

Многие плагины безопасности WP требуют, чтобы вы обратились в их службу поддержки, чтобы исправить взлом. Очистка зараженного веб-сайта может занять от нескольких часов до нескольких дней.

Вам нужен плагин, который мгновенно очистит ваш сайт.

4. Неограниченное количество уборок

Веб-сайт может быть взломан более одного раза. Большинство обычных плагинов безопасности WordPress предлагают дорогую одноразовую услугу очистки.

Уязвимости тем и плагинов в WordPress очень распространены.Фактически, безопасность WordPress, которую вы выбираете, должна выдерживать жесткую борьбу с вредоносным кодом.

Итак, лучше выбрать тот, который дает вам неограниченное удаление вредоносных программ.

5. Брандмауэр для блокировки вредоносного трафика

Если у вас есть веб-сайт, вы знаете, что чем больше у вас будет трафика, тем лучше. Ваш веб-сайт начнет ранжироваться по релевантным ключевым словам, продажи увеличатся, а ваш доход резко возрастет.

Хотя трафик хороший, не все виды трафика хороши.Некоторый трафик имеет злонамеренные намерения и хочет взломать ваш сайт. К счастью, вы можете отслеживать такой трафик с помощью плагина межсетевого экрана.

Каждый, кто посещает ваш сайт, использует такое устройство, как ноутбук или смартфон. Каждое устройство связано с уникальным кодом, который называется IP-адресом. Брандмауэр веб-приложений может отслеживать эти IP-адреса.

Правило брандмауэра может идентифицировать IP-адрес, который ранее выполнял вредоносные действия. Затем он помечает это как плохой трафик и предотвращает доступ к вашему сайту.

Но что произойдет, если вы не будете использовать брандмауэры?

Простой — вы можете попасть в черный список поисковых систем, таких как Google.

Существует множество решений безопасности WordPress со встроенными брандмауэрами. Но чтобы защитить себя от уязвимостей в системе безопасности, вам также понадобится инструмент для мониторинга черного списка. Мы рекомендуем найти плагин, который позаботится об этом за вас.

6. Защита страницы входа в систему

Страница входа в WordPress часто является более целевой, чем любая другая страница веб-сайта.Страница входа дает прямой доступ к учетной записи пользователя WordPress. Итак, защита входа в систему является важным компонентом плагинов безопасности WordPress.

Хакеры программируют ботов, чтобы угадать имя пользователя и пароль для взлома веб-сайта, используя более одной попытки входа в систему. Это называется атакой грубой силы.

Противодействовать этому типу атак можно путем ограничения количества неудачных попыток входа в систему. Выберите защиту от перебора, которая позволяет ограничить количество неудачных попыток входа в систему.

7. Меры по укреплению безопасности веб-сайтов

Помимо использования брандмауэра и защиты страницы входа, вы можете предпринять дополнительные шаги для защиты своего веб-сайта от хакерских атак.

Фактически, WordPress рекомендует определенные меры по усилению безопасности сайта, такие как предотвращение выполнения PHP, отключение редактора тем и т. Д.

Но реализовать меры по усилению безопасности для людей без каких-либо технических знаний сложно. Идеальный плагин безопасности должен позволить вам реализовать эти меры одним нажатием кнопки.

8. Единая панель управления для управления несколькими сайтами

Управление несколькими веб-сайтами может быть действительно утомительным. Централизованная панель управления позволит вам выполнять несколько задач из одного места.

Выберите плагин, который позволит вам выполнять несколько задач, а также управлять несколькими веб-сайтами с единой панели управления.

9. Отличная служба поддержки клиентов

Независимо от того, насколько хорош плагин безопасности, иногда вам понадобится помощь.Убедитесь, что выбранный вами плагин имеет гибкую команду поддержки клиентов.

В случае возникновения проблем вам не нужно ждать часами или днями, чтобы получить ответ от службы поддержки по серьезной проблеме безопасности.

обеспечивают сканирование, очистку и защиту:

• Сканирование проверяет ваш сайт на наличие вредоносных программ.
• Очистка удаляет вредоносный код.
• Меры защиты от взлома.

Вот и все.

Теперь давайте подробно рассмотрим параметры ранжирования.

Полный список функций

Для обеспечения комплексной безопасности вы хотите, чтобы ваши плагины безопасности WordPress имели определенные функции.

Давайте поговорим о том, что это за функции и почему они могут вам понадобиться.

Мы начнем с самого важного и перейдем ко всем остальным, не так ли?

Плагин безопасности должен предлагать вам минимум 3 основных услуги — сканирование, очистку и защиту.

• Сканирование — это процесс проверки вашего веб-сайта на наличие вредоносных программ. Если сканер обнаружит на вашем сайте вредоносное ПО, вам понадобится очиститель.
  
• Очиститель помогает удалить вредоносные коды, обнаруженные на вашем сайте. Это может быть ручное или автоматическое удаление вредоносных программ. Удаление вручную обычно занимает много времени и очень рискованно. После очистки вашего сайта вам понадобится комплексная защита от будущих взломов.
  
• А защита предполагает принятие мер, которые предотвратят взлом.Это включает в себя защиту входа в систему, защиту от перебора DDoS и усиление защиты WordPress.

Тем не менее, подход к сканированию, очистке и защите отличается от одного плагина WordPress к другому.

Как правило, вам нужно:

• Сканер, который предлагает сканирование на уровне сервера и выходит за рамки обычных проверок ключевых слов, проверок подписей и проверок целостности файлов. Вы также хотите, чтобы он проверял как файлы, так и таблицы базы данных на наличие вредоносных программ.
  
• Автоматическое удаление вредоносных программ для мгновенной очистки от вредоносных программ. Это упрощает очистку веб-сайта самостоятельно, не дожидаясь неделями, пока специалист по безопасности очистит ваш сайт, пока хакер разрушает ваш бизнес.
  
• Столько разных вариантов усиления и защиты WordPress, сколько вы можете найти. Обычно вы получаете двухфакторную аутентификацию, защиту от ботов, брандмауэр и усиление защиты. Журналы трафика и входа в систему являются бонусом.

Не хочу показаться продажным, но MalCare ставит галочки во всех полях этого списка! Серьезно, мы постоянно развиваемся и добавляем новые функции, чтобы обеспечить лучшую и более разумную безопасность вашего сайта.

Теперь, когда мы понимаем, какие функции вам следует искать, давайте перейдем к ценообразованию.

Стоимость

Ценообразование — одно из главных возражений практически любого бизнеса.

«Как мне узнать, какой из этих плагинов безопасности WordPress подойдет?»

«Я не слишком много трачу на безопасность?»

«Мой сайт даже не взломали. Зачем мне тратить деньги на платный плагин? »

«Мне вообще нужно столько функций?»

Это все возражения, основанные на ценах.

Вот краткий ответ на все эти вопросы:

• Инвестируйте в плагин, который предоставит вам хорошее сочетание защитных услуг и покрывает все основания.
  
• В идеале вы должны тратить менее 100 долларов в год на лицензию для одного сайта. Дешевые и бесплатные плагины редко работают хорошо.
  
• В идеале вам нужно что-то с нулевыми скрытыми затратами.
  
• И даже если ваш сайт еще не взломали, вам следует установить хороший плагин безопасности.

Все очень просто.

Думайте о ценности, а не о цене. Вы наверняка потеряете намного больше 100 долларов, если ваш сайт все-таки взломают.

Простота использования

Это может показаться не таким уж большим делом, но если вы покупаете плагины безопасности WordPress и не знаете, как их использовать, это БОЛЬШАЯ проблема.

Вам нужен плагин:

• Легко настроить
• Оптимизировано, чтобы вы могли быстро найти все важные функции
• Создан, чтобы требовать как можно меньшего участия с вашей стороны

Если вы тратите слишком много времени на настройку плагина или если у вас есть Чтобы в конечном итоге проконсультироваться с экспертом, как это сделать, плагин вас подвел.

Ужасно.

Следующим фактором является то, какую очистку вы получаете. Опять же, это важно.

Итак, приступим.

Тип очистки

Способ, которым плагины удаляют вредоносные программы с вашего веб-сайта…

… очень важный фактор.

Почему?

Просто — существует слишком много популярных плагинов безопасности WordPress, которые вообще не предлагают удаления вредоносных программ . В основном они предлагают брандмауэр, защиту входа в систему и функции повышения безопасности WordPress.

Некоторые из тех, которые предлагают очистку, скорее всего, предложат ручную очистку. Это не плохо по своей сути. Единственная проблема заключается в том, что ручная очистка требует МНОГО времени и усилий со стороны очень дорогих экспертов по безопасности WordPress, если это не очень небольшая проблема. Так что стоимость уборки тоже обычно очень высока.

Wordfence есть повышенные цены для решения этой проблемы с пропускной способностью.

Sucuri отодвигает запрос, ограничивая количество сканирований.

Вы уловили…

В идеале вам нужен автоматический очиститель, который мгновенно удаляет вредоносные программы с вашего сайта.

Но характеристики — не единственный важный фактор. Эти функции должны быть жизнеспособными для длительного использования. Мы поймем, что это значит, дальше.

Долгосрочная жизнеспособность

Недостаточно просто выбрать один из мощных плагинов безопасности WordPress, представленных в каком-нибудь списке «Топ-10». Будет ли это решение служить вам долгое время или нет — большой вопрос.Это особенно актуально для платных плагинов безопасности WordPress.

Большинство функций, предлагаемых плагинами безопасности WordPress, можно разделить на:

• Предварительные взломы или защитные меры;
• Меры после взлома или очистки;
• Меры после очистки или превентивные меры.

Важно учитывать, может ли ваше решение помочь вам на всех трех этапах. Любые аналитические функции, такие как журналы, диаграммы, графики и отчеты, являются лишь дополнительными функциями.

Но если у вас есть решение, которое предлагает защиту на всех трех этапах, оно имеет долгосрочную жизнеспособность.

ПРИМЕЧАНИЕ: Как часто обновляется плагин и какие упреждающие меры он принимает для поиска новых вредоносных программ и уязвимостей, является хорошим показателем долгосрочной жизнеспособности плагинов безопасности WordPress.

Теперь давайте поговорим о том, когда вам следует использовать тот или иной плагин. Как мы уже видели, существует множество специализированных плагинов, которые решают определенные проблемы.Итак, когда вам следует использовать это решение?

Объем решения

В идеале вам нужен плагин, удовлетворяющий всем вашим требованиям безопасности. Но тогда, если вы хотите купить бесплатный плагин, потому что прямо сейчас вы просто не можете себе позволить приобрести платный, — объем решения очень важен.

Мы рекомендуем использовать специализированные плагины безопасности WordPress, если вы ищете бесплатные плагины. Один бесплатный плагин, который, кажется, все делает хорошо, никогда не будет хорошей инвестицией.С помощью специализированных плагинов безопасности WordPress вы можете выбрать те функции, которые вам нужны, а затем собрать набор плагинов, которые вам нужны.

Однако с платным плагином, каким бы дешевым оно ни было, вам нужно учитывать, имеет ли решение сбалансированный набор функций.

Что дальше?

Если вы нашли подходящий плагин, мы будем очень рады за вас. Если вы все еще не можете решить, каким плагинам безопасности WordPress доверять, у вас есть два варианта:

Вариант № 1: Поверьте нам, когда мы говорим, что MalCare — один из самых мощных плагинов безопасности WordPress, созданный с учетом всех параметров ранжирования.А затем установите MalCare.

Вариант № 2: Вы можете задать нам в Твиттере конкретные вопросы, которые могут у вас возникнуть, на @malcaresecurity. Наши инженеры ответят вам, которые действительно помогут, вместо того, чтобы забрасывать вас предложениями о продажах, как везде.

Еще одна мера, которую мы всегда советуем…

… УЗНАТЬ БОЛЬШЕ О WORDPRESS SECURITY.

Серьезно, немного знаний имеет большое значение.

Мы рекомендуем вам начать с чтения нашей статьи о том, как бороться со взломанным сайтом WordPress.

До следующего раза!

14 плагинов безопасности WordPress для 99,99% безопасного веб-сайта (2020)

У нас для вас хорошие и плохие новости.

Во-первых, плохие новости : поскольку WordPress является одной из самых популярных используемых систем управления контентом, многие люди пытаются использовать сайты WordPress. В конце концов, многие люди не относятся к безопасности слишком серьезно. Если вы можете понять, как использовать один сайт, вы, вероятно, сможете использовать те же методы и для других сайтов.

Но не волнуйтесь (сильно), потому что у нас есть хороших новостей : есть множество плагинов, которые вы можете использовать для защиты своего сайта. На самом деле их так много, что выбрать вариант, который лучше всего подходит для вас, может оказаться непосильной задачей.

Мы хотим максимально упростить для вас обеспечение безопасности вашего сайта WordPress. Итак, если вы ошеломлены количеством доступных плагинов, читайте на . В этой статье мы рассмотрим лучших плагинов безопасности WordPress по состоянию на 2020 год.

В этой статье 🖐️

Наша команда в WP Buffs помогает владельцам веб-сайтов, партнерам агентств и партнерам-фрилансерам в круглосуточном режиме устанавливать плагины безопасности WordPress для сайтов WordPress. Если вам нужно, чтобы мы управляли 1 веб-сайтом или поддерживали 1000 клиентских сайтов, мы готовы помочь.

Почему вам нужно использовать плагины безопасности WordPress 🤷

Мы упоминали ранее, что большинство людей не слишком серьезно относятся к безопасности веб-сайтов. Если это вы, то вот почему это очень плохо: в любой момент около 18.5 миллионов веб-сайтов в Интернете подвержены вредоносному ПО , при этом в среднем за веб-сайт атаковался более 40 раз в день .

Вывод веб-сайта в Интернет требует довольно значительных вложений ресурсов, и мы считаем разумным защитить эти вложения в меру своих возможностей. В конце концов, вы страхуете свой автомобиль, дом или бизнес и можете рассмотреть возможность использования системы безопасности, которая включает камеры и сигнализацию.

Мы не думаем, что к вашему сайту следует относиться иначе. В конце концов, если ваш веб-сайт подвергнется атаке, вы можете столкнуться с некоторыми из проблем:

• Невозможность посетить ваш веб-сайт (если его отключат хакеры), что очень расстраивает пользователей и может нанести ущерб вашему бренду (на самом деле, простои настолько проблематичны, что мы написали 10 высокоэффективных инструментов мониторинга веб-сайтов и сервисы для WordPress (бесплатные и платные), которые помогут вам найти инструменты, чтобы вы знали, что это происходит немедленно)
• Потеря доступа к вашему веб-сайту , если злоумышленник решит изменить учетные данные, используемые для входа в систему, чтобы вы больше не контролировали вас
• Потеря ваших данных , если злоумышленник решит удалить что-нибудь
• Кража частной информации , имеющей отношение к вам или вашим пользователям — это особенно проблематично, если у вас есть сайт электронной коммерции и у вас есть доступ к такой информации, как адреса и данные кредитной карты
• Использование вашего веб-сайта для распространения вредоносного кода среди посетителей вашего сайта; хотя многие браузеры должны обнаруживать и блокировать такие сайты, поведение вашего сайта нанесет ущерб репутации вашего сайта

Что делать, если учесть риски взлома сайта WordPress? Начни с обучения! В WPblog есть отличная статья о 30 проверенных советах по защите вашего сайта WordPress в 2020 году.

WordPress имеет встроенные базовые функции безопасности, но вы обязательно захотите их улучшить.

Вы можете вручную защитить свой сайт WordPress, но это довольно длительный и трудоемкий процесс. Вот почему мы рекомендуем использовать плагины безопасности WordPress . Это не только несколько облегчит вашу рабочую нагрузку, но и вы получите дополнительные очень полезные функции, такие как:

• Сканирование файлов
• Мониторинг объекта
• Обнаружение вредоносного ПО
• Мониторинг черного списка
• Межсетевые экраны
• Защита от грубой силы, DDoS и других атак
• Уведомления при возникновении проблем с безопасностью

Проведите сканирование безопасности WordPress 💥

Вы думаете, что ваш сайт WordPress уже взломан? Или вы не знаете, что происходит с вашим сайтом прямо сейчас?

Один из способов, так сказать, получить информацию о местности — это выполнить сканирование безопасности WordPress .Есть несколько причин, по которым это лучше сделать, прежде чем делать что-либо еще.

Во-первых, вы узнаете, какие проблемы с безопасностью есть у вашего сайта. Существуют явные проблемы, например, если ваш сайт отключен, но проверка безопасности должна пролить свет на то, есть ли у вас какие-либо скрытые.

Во-вторых, вы будете знать, что вам нужно делать.Скорее всего, у вас есть некоторые меры безопасности, и , запустив полное сканирование, предоставит вам информацию по адресу:

• Что вы сделали
• Что делать

Ninja Scanner — хороший вариант для сканера безопасности. С 2013 года в Бангкоке, Таиландская сеть Ninja Technologies Network (NinTechNet) предлагает набор подключаемых модулей, связанных с безопасностью и резервным копированием, для сайтов WordPress.

Особый интерес для вас представляет NinjaScanner, мощный антивирусный сканер для WordPress.Он легкий (и, следовательно, быстрый), и он поставляется с дополнительными функциями, включая проверку и сравнение целостности файлов, песочницы для файлов, помещенных в карантин, несколько типов сканирования и многое другое. В бесплатной версии есть что понравиться, но при обновлении до премиум-класса версия предоставляет вам дополнительные функции, а также полную поддержку со стороны команды NinTechNet.

Другой вариант — это CleanTalk Security and Malware Scan.

CleanTalk — это небольшая частная компания, расположенная в Карсон-Сити, штат Невада, Алексом Безбородовым, Денисом Шагимуратовым и Алексеем Знаевым.Компания существует с 2014 года, предлагая инструменты безопасности, использующие модель «программное обеспечение как услуга».

CleanTalk Security and Malware Scan — это облачная служба, которая защищает ваш сайт WordPress от различных типов угроз. Этот плагин предлагает вам сканирование на вирусы и вредоносные программы, а также журнал аудита для функций, связанных с безопасностью. Он также поставляется с другими основными инструментами безопасности, такими как межсетевые экраны, защита от перебора и блокировка по IP.

CleanTalk Security and Malware scan можно использовать бесплатно, но компания предлагает инструменты премиум-класса, которые вы можете использовать для расширения своего пакета безопасности WordPress.
Наконец, вы можете запустить сканирование безопасности WordPress с помощью Security Ninja.

Security Ninja поставляется с модулем тестера безопасности (доступен даже в бесплатной версии), который выполняет более пятидесяти (50) тестов на вашем веб-сайте. Этот тест занимает всего несколько минут, и вы получите информацию о том, что не так, , а также о том, как вы можете решить проблему , которую он определяет.

Однако вышеуказанные сканеры не единственные ваши возможности. Из упомянутых ниже плагинов безопасности WordPress большинство предлагает какой-либо тип сканирования безопасности WordPress .Мы настоятельно рекомендуем вам использовать эту функцию.

Лучшие плагины безопасности WordPress (Премиум и бесплатно) 😎

Спешите? Вот список плагинов, которые мы рекомендуем. Однако, если вы хотите увидеть , чтобы узнать больше о том, почему мы выбрали эти как лучшие из лучших, читайте дальше.

1. Безопасность iThemes
2. BlogVault
3. MalCare
4. Реактивный ранец
5. Протокол аудита безопасности WP
6. Пуленепробиваемая безопасность
7. Скрыть мой WP
8. Сукури
9. Wordfence
10. VaultPress
11. SecuPress
12. Защитник
13. Щит безопасности
14. Все в одном WordPress Безопасность

Обратите внимание, что вам нужен только один плагин безопасности .Если вы используете несколько плагинов одновременно, вы можете увидеть ошибки плагинов, вызывающие конфликты друг с другом. Однако вы можете выбрать добавление автономных инструментов для расширения вашего плагина безопасности (например, BlogVault для резервного копирования и восстановления веб-сайтов).

1. Безопасность iThemes

iThemes Security предоставляет вам более 30 различных способов защиты и безопасности вашего сайта WordPress . Вы получите функции, необходимые для предотвращения несанкционированного доступа к вашему сайту WordPress (такие как двухфакторная аутентификация, соли и ключи безопасности, создание надежных паролей и Google reCaptcha).

Из внешнего интерфейса вы получите сканирование вредоносных программ (которое можно запланировать заранее), защиту от атак методом грубой силы и блокировку ботов и других проблемных сторон. Вы также получите инструменты мониторинга, чтобы знать, были ли на вашем сайте внесены изменения, требующие вашего внимания.

Наконец, iThemes Security вносит базовые изменения в ваш сайт, такие как имя и идентификатор учетной записи администратора , префиксы таблиц базы данных и URL-адреса для вашей панели управления WordPress (которые в противном случае были бы идентичны по формату большинству других сайтов WordPress. ).Он также позволяет использовать режим отсутствия, чтобы вход в систему не был разрешен в течение указанного периода времени , и удаляет сообщения об ошибках входа , которые позволяют злоумышленникам собирать информацию, которую затем можно использовать для угадывания ваших учетных данных.

Пользователи, которым требуется обслуживание клиентов, обновления подключаемого модуля iThemes Security и многосайтовая поддержка , должны выбрать премиум-версию. Лучше всех? Если вы подписались на план обслуживания подписки WP Buffs, вы можете получить iThemes Security Pro бесплатно .Довольно круто, правда?

iThemes — это компания из Оклахома-Сити, штат Оклахома, которая известна своими темами WordPress и услугами по обучению. Хотя компания небольшая (в ней работает чуть менее 20 человек), компания предлагает надежный набор продуктов , включая плагины безопасности и резервного копирования, которые, как мы думаем, вам будут интересны.

2. BlogVault

Безопасность важна, но одна из лучших вещей, которые вы можете сделать для вашего душевного спокойствия, — это создать у надежные и функциональные резервные копии вашего веб-сайта .Мы надеемся, что вам никогда не придется их использовать, но если ваши инструменты безопасности выйдут из строя по какой-либо причине, вы будете рады, что сможете выполнить откат вместо того, чтобы удалять все и начинать с нуля. Вот что нам нужно для BlogVault.

BlogVault позиционирует себя как самый надежный плагин для резервного копирования WordPress , обеспечивающий 100% восстановление веб-сайтов. Хотя BlogVault не является комплексным решением, вы можете рассмотреть возможность использования этого подключаемого модуля для расширения вашего пакета безопасности , гарантируя, что у вас будет надежная резервная копия на случай, если ваш сайт будет настолько скомпрометирован, что единственный вариант — выполнить откат.

BlogVault может быстро создавать резервные копии, а также проверять резервные копии перед восстановлением, чтобы убедиться, что все будет работать хорошо (даже если ваш веб-сайт на 100% отключен). Резервные копии также можно использовать для переноса вашего веб-сайта, а включенная в него промежуточная среда предоставляет вам пространство, необходимое для тестирования и проверки ваших миграций.

Вы можете попробовать BlogVault бесплатно, но компания предлагает множество планов подписки, из которых вы можете выбирать.Цены зависят от выбранных вами функций, а также от количества сайтов, которые необходимо защитить.

BlogVault управляется небольшой компанией из Бангалора под названием Inactiv.com Media Solutions , предназначенной для упрощения создания и использования резервных копий веб-сайтов. Несмотря на небольшой размер, BlogVault , тем не менее, работает с более чем 10 000 клиентов по всему миру. Крошечный, но очень мощный!

Покупатели также очень довольны тем, что предлагает компания.

3. MalCare

MalCare — это простой плагин безопасности WordPress (установка занимает всего 60 секунд), но не думайте, что он недостаточно мощный. MalCare предлагает брандмауэр 24/7 для защиты от угроз и способен обнаруживать скрытые вредоносные программы и удалять их менее чем за 60 секунд с помощью функции Auto-Clean .

MalCare также поставляется с такими функциями, как защита WordPress (которые позволяют вносить изменения, связанные с безопасностью, с панели инструментов) и защита входа в систему на основе Captcha, , а также брандмауэр для защиты от хакеров и ботов.Кроме того, MalCare обещает, что он будет работать без негативного воздействия на производительность вашего сайта.

MalCare гарантирует 100% удаление вредоносного ПО с вашего сайта WordPress, и все это без каких-либо проблем, которые могут нарушить работу вашего сайта. Если это не так, вы получите в 3 раза больше денег.

Стоимость MalCare зависит от выбранного вами тарифного плана, количества веб-сайтов, которые необходимо защитить, а также от того, выбираете ли вы оплату ежемесячно или ежегодно.

Если вы замечаете какое-либо сходство между сайтами MalCare и BlogVault, значит, вы ничего не представляете. Небольшая частная компания , стоящая за BlogVault, также разработала MalCare .

Пользователи MalCare быстро говорят о высоком качестве обслуживания, которое предлагает этот плагин.

4. Реактивный ранец

Jetpack, выпускаемый Automattic, материнской компанией WordPress, является популярным плагином, который включает статистику / аналитику, поисковую оптимизацию (SEO), резервное копирование и функции безопасности .

В частности, функции безопасности Jetpack включают защиту от атак методом грубой силы и фильтрацию спам-сообщений . Вы также получите мониторинг времени простоя, чтобы вы знали, когда ваш сайт становится недоступным, а защищенный вход (включая опциональную двухфакторную аутентификацию) затрудняет несанкционированный доступ к вашему сайту.

Когда дело доходит до вредоносного поведения, вы получаете сканирование на наличие вредоносных программ и вредоносного кода , а также автоматические исправления для любых выявленных проблем .Чтобы убедиться, что любые внесенные изменения авторизованы, Jetpack ведет подробные журналы изменений, чтобы вы точно знали, что произошло, когда и кто санкционировал изменение.

Наконец, Jetpack Premium поставляется с расширенными функциями резервного копирования , которые могут оказаться полезными, если вам понадобится откат в будущем.
Если вы не обновились, вполне вероятно, что вы не максимально используете потенциал Jetpack (тем более, что изрядное количество функций доступно только тем, кто заплатил). Поддержка JetPack осуществляется сотрудниками Automattic.

5. Протокол аудита безопасности WP

WP White Security — европейская компания, которая выпускает плагинов безопасности и администрирования для WordPress . WP White Security, основанный Робертом Абелой, имеет небольшой размер, но плагин WP Security Audit Log — один из наиболее широко используемых вариантов.

Журнал аудита безопасности WP — это , а не универсальное решение , как многие другие варианты в списке.Вместо этого, это подробная платформа регистрации активности , которая позволяет вам отслеживать все, что происходит на вашем сайте WordPress. Другие инструменты могут поставляться со встроенным журналом активности , но если вам нужна дополнительная информация, рекомендуется использовать другой плагин в качестве дополнения.

Для всех происходящих изменений WP Security Audio Log отслеживает дату и время изменения, пользователя, реализовавшего изменение, а также роль пользователя и IP-адрес, с которого произошло изменение.

6. Пуленепробиваемая безопасность

BulletProof Security предлагает защиту от всего, от вредоносных программ до спама. Плагин предлагает мастер установки в один клик , чтобы упростить установку, и вы можете выбрать автоматическое исправление проблем при обнаружении.
BulletProof Security добавляет брандмауэр на ваш сайт WordPress, скрывает общие переменные, такие как имя вашей учетной записи администратора , префиксы таблиц базы данных и URL-адреса входа , а также выполняет резервное копирование ключевых файлов, таких как .htaccess и wp-config .

BulletProof Security также поставляется с надежными инструментами мониторинга , так что подозрительная активность сразу отмечается. Он также поставляется с подробным журналом ошибок, чтобы упростить решение любых всплывающих проблем с веб-сайтом.

Другие бонусные функции, предлагаемые для использования, включают скины для ваших тем, доступ к 16 мини-плагинам для расширения функциональности BulletProof Security и защиты от спама . BulletProof — не самый простой в использовании плагин безопасности, но те, кто разбирается в технологиях, найдут более продвинутые функции этого инструмента ценными.

AITpro Website Security — калифорнийская компания, стоящая за BulletProof Security. Хотя Эд Александер является владельцем AITpro, BulletProof Security имеет открытый исходный код, что означает, что в него вносят вклад люди со всего мира.

7. Скрыть мой WP

Hide My WP — очень популярный плагин безопасности для WordPress с момента его создания в 2013 году. Когда злоумышленник узнает, что веб-сайт основан на WordPress, атака становится очень целевой, перечисляя плагины, темы и конфигурацию этой конкретной установки.

Основной вариант использования этого продукта: он полностью скрывает тот факт, что вы используете WordPress в качестве своей CMS. Это помогает защитить веб-сайты от хакеров и детекторов, таких как Wappalyzer и Builtwith.

Он также включает в себя современный детектор вторжений (IDS) для блокирования атак безопасности, таких как внедрение SQL, XSS и т. Д., В реальном времени. IDS основана на постоянно растущих сигнатурах, которые блокируют любые атаки (обнаруженные или неоткрытые), которые могут нанести вред веб-сайту.

Лучшие особенности Hide My WP:

• Скрывает WordPress от детекторов и хакеров. Скрывает имя темы, плагина, изменяет постоянные ссылки, скрывает wp-admin, URL-адрес входа и многое другое.
• Блокирует прямой доступ к файлам PHP, очищает имена классов WP, отключает список каталогов.
• Защищает веб-сайты от необнаруженных уязвимостей и атак в реальном времени.
• Получать уведомление о любом потенциально плохом поведении с полной информацией о злоумышленнике, включая имя пользователя, IP-адрес, дату и т. Д.
• Включает сеть доверия, которая автоматически блокирует трафик с неверных IP-адресов источника.
• Заменяет полные URL-адреса или любую строку в коде любым желаемым текстом.
• Простота использования, выбор из готовых настроек для развертывания в один клик.
• Совместимость с многосайтовыми, apache, nginx, IIS, темами премиум-класса и другими плагинами безопасности.

Купить Hide My WP за $ 29

8. Сукури

Sucuri — это многофункциональный плагин безопасности, который защищает ваши веб-сайты, устраняет проблемы и помогает предотвратить будущие атаки.

Sucuri Web Application Firewall (WAF) и система предотвращения вторжений (IPS) защищают ваш веб-сайт от:

• Вредоносное ПО
• Вредоносный код
• Распределенные атаки типа «отказ в обслуживании» (DDoS)
• Грубая сила атаки

Sucuri постоянно обновляет свой продукт в связи с быстро меняющимся ландшафтом угроз, и компания использует машинное обучение, чтобы защитить вас от будущих угроз.Вы также получите защищенных страниц , которые доступны только для авторизованных пользователей, профилирование приложений и обнаружение сигнатур для предотвращения вредоносного трафика, блокировку плохих блоков и блокировку в зависимости от географического местоположения.

С помощью инструментов мониторинга Sucuri вы можете получать мгновенные оповещения всякий раз, когда что-то происходит, и компания предлагает услуги реагирования на инциденты. Если вы заметили снижение производительности на своем сайте WordPress, вы можете воспользоваться CDN Sucuri.

Большинство пользователей будут довольны бесплатной версией Sucuri, хотя платные опции включают дополнительные функции, такие как обслуживание клиентов , частое сканирование и сертификаты SSL . Сукури — не самый дешевый вариант, поэтому он может не подойти тем, у кого небольшой бюджет.

Для проверок безопасности веб-сайтов на ходу и сканирования на наличие вредоносных программ Sucuri предлагает SiteCheck. Это не всеобъемлющий инструмент, но это быстрый и простой способ запустить сканирование без необходимости запускать и использовать более надежные плагины.

Команду Sucuri возглавляет впечатляющая пара: соучредители выступают в качестве вице-президента по разработке и руководителя по продуктам безопасности в GoDaddy. Чтобы завершить команду, в компании работает 125 человек, которые работают в 25 разных странах.

9. Wordfence

Wordfence — это комплексный плагин безопасности для WordPress , который предлагает брандмауэр, сканирование на наличие вредоносных программ, блокировку вредоносных программ, аудит трафика в реальном времени и безопасность входа в систему. Команда Wordfence на 100% сосредоточена на безопасности WordPress.

В отличие от многих других брандмауэров, брандмауэр Wordfence работает на вашем сервере, что обеспечивает повышенную защиту от взломов и утечек данных . Встроенный сканер вредоносных программ идентифицирует вредоносный код, защищает от атак методом перебора, обеспечивает использование надежных паролей и многое другое.

Premium будут получать частые обновления для своих плагинов, чтобы быть уверенными в том, что они всегда будут на шаг впереди (бесплатные пользователи получат те же обновления через 30 дней). Вы можете использовать Wordfence для управления несколькими сайтами WordPress , и вся необходимая информация отображается в одном окне.

Цена на Wordfence начинается с 99 долларов, но компания предлагает надежные скидки для нескольких сайтов. Тем, у кого есть несколько веб-сайтов, для которых им нужна безопасность, следует проверить Wordfence.

Defiant — это небольшая группа разработчиков программного обеспечения, которая была загружена более 90 миллионов раз для защиты более 2 миллионов активных сайтов WordPress. Wordfence — это флагманский продукт Defiant, Inc., хотя компания также освещает новые исследования в области безопасности WordPress.

10. VaultPress

VaultPress, созданная материнской компанией WordPress, Automattic, предлагает вам резервное копирование в реальном времени и услуги безопасности .

VaultPress работает на платформе Jetpack (которую мы рассмотрели выше), а с VaultPress вы получите:

• Автоматическое ежедневное резервное копирование , без ограничений на пространство для хранения, которое использует ваш сайт
• Восстановление вашего сайта в 1 клик
• Защита от атак методом перебора
• Мониторинг работоспособности
• Фильтрация спама
• Статистика и журнал активности
• Приоритетная поддержка от инженеров счастья Automattic

В зависимости от уровня плана, который вы приобретаете, вы также можете получить сканирование на наличие вредоносных программ и заражений, , а также автоматическое устранение угроз.

Jetpack и VaultPress во многом пересекаются, так что вам не обязательно и то, и другое. Для тех, кто ищет удобства, Jetpack отлично подходит, поскольку он включает в себя множество функций безопасности (и многое другое!). Некоторые, однако, предпочли бы простоту или создать собственный пакет безопасности, а не использовать всеобъемлющий инструмент — для этого VaultPress будет хорошим вариантом.

VaultPress — еще один плагин в этом списке, разработанный Automattic, частной материнской компанией WordPress.(Интересный факт: Automattic — это полностью распределенная компания, в которой работает более 900 человек из 70 разных стран).

11. SecuPress

SecuPress — это плагин, который предлагает вам брандмауэр для вашего сайта, сканирование вредоносных программ, возможность блокировать ботов и пользователей с подозрительными IP-адресами, а также защиту от входа в систему методом грубой силы.

Одна интересная функция, которую предлагает SecuPress, которой нет у многих других, — это проверка на уязвимые плагины и темы. — одна из точек входа на сайты WordPress для хакеров — это темы и плагины, которые в некотором роде ошибочны.

Если SecuPress обнаружит какие-либо проблемы с вашим сайтом WordPress, SecuPress предоставит вам эту информацию в формате PDF.
SecuPress предлагает бесплатную версию, которую разработчики считают хорошей для тех, кто проявляет инициативу. Тем не менее, тем, кто хочет автоматизировать и сканирование, и исправление , подойдет платная версия Pro. Есть также определенные функции (например, защита от перебора), которые поставляются только с версией Pro.

SecuPress — это плагин, впервые выпущенный французским разработчиком Хулио Потье в 2013 году после полутора лет разработки.Портье работал в области безопасности веб-сайтов в 2002 году и имеет многолетний опыт работы с WordPress.

12. Защитник

Defender предлагает своим пользователям несколько уровней безопасности с простым в использовании интерфейсом . Defender может похвастаться тем, что вы можете добавить «все необходимые настройки защиты и защиты за считанные минуты».

Defender умеет все. Он выполняет сканирований безопасности WordPress, изменяет общие переменные WordPress (например, переименование учетной записи администратора, изменение префиксов таблицы базы данных, отключение редактора файлов и скрытие отчетов об ошибках), предлагает защиту входа и двухфакторную аутентификацию, а также IP-адрес. блокировка.Если Defender обнаружит какие-либо проблемы с вашим сайтом, он отправит вам соответствующие уведомления .

Defender можно использовать бесплатно, но те, кому нужно дополнительное сканирование, аудит и мониторинг, могут перейти на Defender Pro.