Plugin-urile de securitate reprezinta o parte cruciala a site-ului dvs. web in ceea ce priveste protectia acestuia sau a clientiilor dvs. Pentru a va ajuta sa alegeti cel mai bun plugin de securitate WordPress pentru nevoile dvs., va prezentam in continuare 8 optiuni care va pot ajuta in consolidarea securitatii sau a setarii de firewall-uri si scanari anti-malware, fiind considerate cele mai bune plugin-uri de securitate WordPress.

Peste 35% din toate site-urile de pe internet, functioneaza cu WordPress, ceea ce face ca aceasta platforma sa fie o tinta perfecta pentru toti agentii malitiosi din intreaga lume.

Daca doriti sa securizati site-ul dvs. web sau site-urile clientiilor dvs., un plugin de securitate dedicat poate face o multime de optimizari de securitate pentru dvs.

Pentru a va ajuta sa alegeti cel mai bun plugin de securitate WordPress pentru nevoile dvs., vom prezenta opt optiuni care cu siguranta va pot ajuta la consolidarea securitatii, setarea de firewall-uri si scanarea de malware pentru site-ul sau site-urile dvs.

Ce fac aceste pluginuri de securitate WordPress?

Securitatea WordPress este un subiect de larg interes, astfel ca atunci cand spunem “plugin de securitate WordPress”, acesta poate cuprinde o serie de diferite functii.

Asadar inainte de a prezenta aceste plugin-uri, vom prezenta care sunt aceste functii, astfel incat sa stiti ce face fiecare dintre aceste plugin-uri.

Consolidarea securitatii unui site

Aceasta functie se refera sau cuprinde, toate configurarile sau instrumentele (plugin-urile) care fac ca site-ul dvs. WordPress sa fie mai sigur impotriva diferitelor atacuri cibernetice.

De exemplu, plugin-urile de securitate va pot ajuta de obicei sa securizati pagina de conectare in zona de administrare (admin) cu functii precum:

  • Limitarea incercarilor de conectare
  • Autentificare prin doi factori (two-factor authentication)
  • Modificarea adresei URL de conectare in adminul WordPress
  • Aplicarea de parole complexe
  • Setarea de dati de expirare pentru parole
  • Adaugarea de verificare cu cod CAPTCHA

Toate optiunile prezentate mai sus sunt tactici de consolidare a securitatii in site.

Exista si alte strategii populare de consolidare a securitatii si care presupun monitorizarea principalelor fisiere WordPress pentru a detecta daca s-au modificat in vre-un fel sau dezactivarea procedurii de apelare WordPress XML-RPC, oprirea enumerarii utilizatorilor si altele.

Firewall-urile

O alta tactica larg folosita este setarea si folosirea unui firewall. In esenta, un firewall de site web este descris ca o entitate care se afla intre site-ul dvs. WordPress si utilizatorii sau vizitatorii acestuia. Vizitatorii obisnuiti nu au nicio problema in utilizarea site-ului dvs., insa un firewall poate detecta activitati rau intentionate sau posibil malitioase (prin verificari ale adresalor IP, actiuni, etc.) si astfel pot bloca acel vizitator chiar inainte de a putea cauza probleme.

In WordPress, acesta se numeste firewall pe baza de aplicatie web sau WAF (web application firewall).

Este important sa retineti ca nu toate firewall-urile sunt la fel. Adica daca doua plugin-uri ofera cate un “firewall” nu inseamna automat ca sunt si egale ca si eficienta, deoarece un firewall este la fel de bun ca regulile pe care le urmeaza.

Unele plugin-uri de securitate WordPress precum Wordfence, isi actualizeaza constant regulile firewall-ului in timp real si asta pentru a se adapta amenintarilor de securitate emergente. Altele sunt practic un set static de reguli care nu se schimba niciodata. Ambele pot fi utile insa unul va fi mai eficient in a va proteja impotriva noilor tipuri de vulnerabilitati.

Scanarea malware

O alta functionalitate populara a plugin-urilor de securitate WordPress este scanarea malware. Probabil ca sunteti familiarizati deja cu acesasta denumire de la rularea scanarilor antivirus de pe propriul computer.

Practic instrumentul (plugin-ul) va scana site-ul dvs. pentru a gasi codul rau intentionat si va returna un raport despre orice se gaseste.

Din nou, eficacitatea scanarii malware depinde de regulile si de abordarea acestora. Adica doar pentru ca doua plugin-uri fac “o scanare malware”, nu sunt automat egale in privinta eficientei.

In primul rand, la fel ca si in cazul firewall-urilor sunt diferente intre regulile de detectare. Un scaner malware se bazeaza pe “semnaturi malware” pentru a identifica fisierul sau codul malware. Astfel daca scanerul dvs. malware nu are o semnatura pentru un anumit tip de amenintare emergenta, este posibil ca aceasta sa nu o poata detecta.

In al doilea rand este abordarea. Unele plugin-uri sau unelte cum ar fi cel de la Sucuri SiteCheck, scaneaza doar partea frontala a site-ului dvs. Acest lucru poate gaseste malware-ul detectabil pe partea de front-end a site-ului dvs. web si nu va detecta malware-ul care este “ascuns” pe server.

Pentru a detecta malware care nu se manifesta pe partea frontala a site-ului dvs., va trebui sa utilizati un scaner care sa verifice toate fisierele de pe serverul dvs.

In incheierea acestei introduceri va vom ajuta sa alegeti cel mai bun plugin de securitate WordPress, pentru nevoile dvs.

In continuare regasiti cele opt pluginuri pe care le vom analiza:

  1. Sucuri
  2. Securitatea iThemes
  3. Securitate All Fire One și Firewall
  4. BulletProof Security
  5. jetpack
  6. SecuPress
  7. Cerber Security
  8. Wordfence
  1. Sucuri

Sucuri este un instrument popular de securitate a site-urilor web si care este alcatuit din alte doua tool-uri:

Un plugin gratuit la WordPress.org
Un serviciu de firewall pltit (comercial) si pentru monitorizare si curatare de fisiere hack

Pluginul gratuit de la WordPress.org va ajuta in principal in consolidarea securitatii de baza.

Aici sunt oferite diverse reguli si sfaturi pe care le puteti aplica, cum ar fi dezactivarea pluginului din dashboard (admin) si editarea temelor si/sau blocarea executarii codului PHP in anumite directoare sensibile.

Alte caracteristici de securitate includ capacitatea de:

  • Monitorizarea integritati fisierelor de baza
  • Urmrirea incercarilor de autentificare esuate
  • Primirea de alerte de securitate pentru diverse actiuni
  • Listarea diverselor scripturi si iframe-uri din site-ul dvs.

Pe langa acestea, pluginul vine si cu serviciul Sucuri SiteCheck, pentru scanarea malware. Cu toate acestea, este important sa intelegeti ca acest serviciu doar scaneaza partea frontala (front-end) a site-ului dvs. pentru malware si nu va scana fisierele de pe serverul dvs., precum alte scanari malware. De asemenea nu aveti nevoie neaparat de acest plugin pentru a utiliza acest serviciu deoarece il puteti rula direct de pe site-ul Sucuri.

Pentru mai multa securitate, pluginul va poate ajuta sa va conectati la serviciul de firewall platit Sucuri. Acest firewall este un WAF (web application firewall) in cloud cu reguli actualizate regulat de la echipa de suport Sucuri. Firewall-ul permite de asemenea si urmatoarele:

Whitelist sau blacklist pentru anumite adrese IP
Blocari integrale pentru anumite tari
Protejarea zonelor sensibile din site (cum ar fi panoul de admin sau panoul de autentificare in WordPress) cu cod CAPTCHA sau autentificare cu doi factori ori setarea de parole suplimentare.

Serviciul platit al celor de la Sucuri va poate protejeaza site-ul dvs. impotriva atacurilor DDoS (distribuite).

Pret: Pluginul Sucuri este 100% gratuit. Firewall-ul Sucuri costa 19.98 dolari pe luna, iar intreaga platforma Sucuri (care include detectarea si curatarea de malware) costa 299.99 dolari pe an.

  1. iThemes Security

iThemes Security este un plugin de securitate freemium dezvoltat de iThemes, de unde si numele plugin-ului. Daca nu sunteti familiar cu numele de iThemes, acesta este un dezvoltator foarte popular din spatele mai multor plugin-uri, inclusiv BackupBuddy. iThemes a fost achizitionata de Liquid Web in anul 2018.

iThemes Security este axat pe consolidarea securitatii WordPress. Va permite sa va conectati la serviciul Sucuri SiteCheck pentru detectarea malware-ului front-end, dar puteti rula aceasta functie si de pe site-ul web Sucuri, astfel ca nu este o scanare malware incorporata.

Nu recomanda un anumit firewall, dar include functii care va permit sa blocati niste boti si/sau adrese IP. Include de asemenea si o caracteristica de “protectie impotriva atacurilor de tipul brute force” care poate bloca automat adresele IP care folosesc acest mijloc pentru a obtine acces in site-urile WordPress.

In ceea ce priveste consolidarea securitatii, iThemes Security va poate ajuta sa asigurati procesul de autentificare cu functii precum:

  • Limitarea incercarilor de conectare
  • Modificarea adresei URL de conectare la WordPress
  • Google reCAPTCHA (platit)
  • Autentificare cu doi factori (platit)
  • Impunerea de parole sigure
  • Expirarea parolelor (platit)

De asemenea ofera un mod “plecat” prin care puteti bloca accesul site-ul dvs. in perioadele in care nu doriti sa il accesati.

Alte caracteristici de de securitate includ:

  • Detectarea modificarilor in fisiere
  • Schimbarea prefixului bazei de date
  • Dezactivarea editarii fisierelor din dashboard
  • Loguri pentru actiuniile utilizatoriilor (platit)
  • Schimba calea pentru wp-content

Daca este nevoie sa gestionati mai multe site-uri WordPress, acesta are o integrare cu iThemes Sync.

Pret: Versiunea gratuita la WordPress.org insa exista si o versiune platita care are un pret incepand de la 80 dolari.

  1. All In One WP Security & Firewall

All In One WP Security & Firewall este un plugin de securitate WordPress foarte popular si care e 100% gratuit. De asemenea va poate ajuta sa implementati o multime de caracteristici de consolidare a securitatii cum ar fi:

  • Schimbarea prefixului bazei de date WordPress
  • Monitorizarea permisiilor pe fisiere
  • Dezactivarea editarii fisierelor din dashboard
  • Monitorizarea integritatii fisierelor
  • Ascunderea versiunii de WordPress folosite

De asemenea include functii pentru a securiza procesul de autentificare cum ar fi:

  • Limitarea incercarilor de conectare
  • Fortarea deconectarii utilizatorilor dupa o anumita perioada de timp
  • Adaugarea de verificare reCAPTCHA pentru protejarea conectarii
  • Whitelist pentru adrese IP
  • Interzicerea listarii utilizatorilor

Ofera si un “contor de securitate” pentru a va ajuta sa imbunatatiti securitatea site-ului dvs.

All In One WP Security & Firewall include si un firewall, dar nu este la fel de robust ca cele oferite de Wordfence sau Sucuri. Este mai mult un set static de reguli si care nu se adapteaza amenintarilor emergente, precum firewall-urile celorlalte pluginuri.

Pret: 100% gratuit pe WordPress.org.

  1. BulletProof Security

BulletProof Security este o alta optiune care ofera o abordare completa asupra securitatii WordPress:

  • Consolidarea securitatii
  • Firewall
  • Scanare malware

Versiunea gratuita ofera urmatoarele caracteristici:

  • Securitate pentru logare
  • Schimbarea prefixului tabelelor bazei de date
  • Loguri de securitate
  • Backup al bazei sau bazelor de date

De asemenea include si scanarea importiva malware in versiunea gratuita, in timp ce versiunea platita include protectie in timp real cu sistemul BulletProof Security’s AutoRestore|Quarantine Intrusion Detection and Prevention System (ARQ IDPS).

Versiunea platita adauga si alte functii, cum ar fi:

  • Monitorizarea bazelor de date si verificarea diferentiala
  • Protectie la incarcarea fisierelor (upload)
  • Plugin de Firewall

Interfata de utilizator pare destul de “veche” si nu este la fel de placuta ca a altor instrumente, dar sistemul BulletProof Security este foarte apreciat cand vine vorba de eficienta lui.

Pret: Versiunea gratuita se gaseste la WordPress.org. Versiunea platita (comerciala) incepe de la pretul de 69.95 de dolari.

  1. Jetpack

Jetpack este un plugin popular de tipul all-in-one si dezvoltat de cei de la Automattic, aceiasi oameni din spatele WordPress.com si WooCommerce.

Spre deosebire de toate celelalte pluginuri din aceasta lista, Jetpack nu se concentreaza doar pe securitatea WordPress si include o multime de functii de securitate in planurile sale gratuite sau in cele platite.

Versiunea gratuita va ajuta sa securizati autentificarea in WordPress cu protectie brute force si optiunea de a utiliza conectarea securizata prin WordPress.com, adica va puteti autentifica pe propriul site WordPress folosind datele de autentificare de la WordPress.com.

Cu planurile platite, aveti acces si la copii de rezerva (backup-uri) si scanari malware (aceste functii numindue anterior VaultPress. Acum VaultPress a fost incorporat in Jetpack).

Functiile de backup si scanare sunt legate intre ele, ceea ce face ca acestea sa fie unice. Ca majoritatea instrumentelor de scanare malware si acesta scaneaza fisierele de pe serverul dvs. unde este site-ul WordPress. Acesta este un lucru bun in ceea ce priveste depistarea de malware, insa consuma din resursele serverului unde este gazduit site-ul dvs.

Jetpack efectueaza mai intai backup pentru site-ul dvs. intr-o locatie externa. Ulterior scaneaza copia de rezerva a site-ului dvs. pentru a depista malware-ul, ceea ce inseamna ca nu va afecta performanta live a site-ului dvs. web.

Ca parte a scanarilor sale, Jetpack cauta:

  • Modificarile in fisierele principale WordPress
  • Shell-uri web
  • Vulnerabilitati TimThumb

Daca Jetpack identifica ceva malitios, va poate ajuta sa remediati problema.

Pret: Unele functii despre care am discutat sunt disponibile si in versiunea gratuita. Totusi scanarea malware este disponibila doar de la planul Premium in sus, care incepe de la 9 dolari pe luna. Astfel aveti acces si la multe alte functii oferite de Jetpack.

  1. SecuPress

SecuPress este un alt foarte cunoscut plugin de securitate WordPress, care vine cu o versiune gratuita, cat si cu o versiune comerciala (platita).

SecuPress a fost dezvoltat si lansat initial de WP Media, aceeasi companie din spatele popularului plugin WP Rocket. Cu toate acestea WP Media a cedat ulterior drepturile intelectuale ale plugin-ului, actualului proprietar (unul dintre co-fondatorii WP Media).

Din versiunea gratuita se pot:

  • Bloca adrese IP si boti web malitiosi
  • Protejarea logariilor impotriva atacurilor de tip brute force
  • Ascunde pagina de conectare (admin)
  • Ascunde versiunea de WordPress si WooCommerce
  • Gestiona XML-RPC si API REST
  • Loguri pentru actiunile utilizatorilor

De asemenea in versiunea gratuita este inclus si un firewall pe cand versiunea premium adauga functii suplimentare cum ar fi:

  • Autentificare cu doi factori pentru securizarea autentificarii
  • Caracteristici Antispam
  • Backup pentru baza de date si/sau fisiere
  • Verificari in theme sau plugin-uri impotriva vulnerabilitatiilor de securitate cunoscute
  • Scanare malware PHP
  • Blocarea pe baza de tara (geolocalizare)
  • Planificarea sarcinilor

O caracteristica deosebita a SecuPress este interfata. Are cea mai placuta interfata a oricarui tool din aceasta lista, ceea ce va impresiona placut clientii dvs. daca vor avea ocazia sa o foloseasca.

Pret: Exista o versiune gratuita la WordPress.org iar versiunea platita incepe de la 65 de dolari.

  1. Cerber Security

Cerber Security este un alt plugin de securitate WordPress de tipul all-in-one foarte popular, cu caracterisitici precum:

  • Consolidarea securitatii
  • Firewall
  • Scanare malware

Sunt foarte multe reguli de consolidare a securitatii iar cele care merita amintite sunt:

  • Modificarea paginii de autentificare in adminul WordPress
  • Dezactivarea rularii scripurilor PHP in folderele de upload
  • Oprirea enumerarii utilizatorilor
  • Limitarea incercarilor de conectare
  • Monitorizarea integritatii fisierelor
  • Autentificare cu doi factori

De asemenea puteti configura reguli, cum ar fi blocarea automata a oricarei adrese IP care incearca sa se conecteze cu un nume de utilizator inexistent. Puteti crea de asemenea, politici de securitate personalizate, cum ar fi implemantarea de autentificare cu doi factori pentru utilizatorii de admin si delogarea acestora dupa o anumita perioada.

Ca si caracteristica a firewall-ului, este inclus un inspector de trafic in timp real care afiseaza tot ce se intampla pe site-ul dvs., inclusiv monitorizarea sesiunilor deja conectate cat si a vizitatorilor. De asemenea dispuneti si de reguli de blocare geografica.

In cele din urma pluginul dispune si de scanari malware, inclusiv posibilitatea de a programa scanari ce pot fi rulate automat.

Daca gestionati mai multe site-uri, include si o caracteristica Cerber.Hub care permite sa gestionati mai multe site-uri din aceeasi interfata sau dashboard. Acesa interfata are gazduire proprie, spre deosebire de interfata de la Wordfence. Se va desemna un site WordPress ca fiind “Master” si restul ca “Slave”, pentru a fi administrate din acest cont principal .

Pret: Exista o versiunea gratuita la WordPress.org iar versiunea platita are un cost incepand cu 99 de dolari.

  1. Wordfence

Activ in peste trei milioane de instalari pe site-uri web, Wordfence este un plugin popular de securitate WordPress. Echipa Wordfence este destul de prezenta si activa in spatiul WordPress si monitorizeaza constant amenintariile noi, pe care le detaliaza si pe blogul lor. Wordfence isi propune sa fie o solutie cuprinzatoare si ofera instrumente pentru toate categoriile despre care am discutat mai sus.

In primul rand Wordfence include foarte multe instrumente care sa va ajute la consolidarea securitatii in WordPress, cum ar fi:

  • Dezactivarea executarii de cod web in directorul upload
  • Ascunderea versiunii de WordPress
  • Oprirea enumerarii utilizatorului

De asemenea primiti acces si intr-o pagina dedicata de autentificare (Login Security) din care puteti controla masurile de securitate pentru logare, precum:

  • Utilizarea logarii cu doi factori (pentru toti utilizatorii sau doar pentru anumiti utilizatori)
  • Dezactivarea protocolului XML-RPC
  • Adaugarea de verificare reCAPTCHA pe pagina de conectare
  • Limitarea incercarilor de logare esuate (optiunea face parte din firewall)
  • Impunerea de parole puternice

Wordfence include propriul sau WAF (web application firewall). Echipa Wordfence adauga continuu noi reguli in timp real, pentru a se adapta amenintarilor emergente. Puteti configura si modul in care functioneaza firewall-ul pentru whitelistarea anumitor adrese IP sau a anumitor servicii.

De asemenea puteti bloca imediat adresele IP care incearca sa acceseze anumite adrese URL sensibile iar cu versiunea premium se pot bloca tari intregi cu geotargeting.

In sfarsit se pot obtine rapoarte detaliate pentru scanari malware. Aceste scanari pot verifica toate fisierele de pe serverul dvs., precum sa si identifice eventualele probleme de securitate, cum ar fi:

  • Link-urile malitioase din comentarii
  • Utilizatori nou creati
  • Theme sau plugin-uri neactualizate
  • Parole slabe

Practic este un fel de “scanare generala a slabiciunilor de securitate WordPress” dar care include si scanarea impotriva malware. De asemenea puteti configura reguli pentru a configura cat de des si/sau cat de ample sunt aceste scanari, ceea ce poate ajuta la tinerea sub control consumul de resurse pe server.

Daca gestionati mai multe site-uri WordPress (cum ar fi site-urile unui client), Wordfence include si un instrument Wordfence Central care va permite sa gestionati securitatea pentru toate site-urile dvs. dintr-o singura locatie. De asemenea puteti crea sabloane de setari in Wordfence pe care le puteti aplica rapid site-urilor noi astfel incat sa primiti alerte daca se intampla ceva pe oricare dintre site-urile dvs.

Plugin-ul de baza Wordfence ca si majoritatea functiilor sunt gratuite. Cu toate acestea, exista si o diferenta notabila atunci cand vine vorba de regulile pe care Wordfence le utilizeaza pentru firewall-ul si scanarile malware. La versiunea premium, primiti actualizari in timp real la aceste reguli, adica de indata ce Wordfence detecteaza o amenintare (ceea ce este proactiv), Wordfence adauga imediat setul de reguli pe site-ul dvs.

Cu toate acestea pentru versiunea gratuita, actualizarile regulilor sunt efectuate o data la 30 de zile.

Pret: Wordfence este disponibil gratuit pe WordPress.org iar versiunea comerciala incepe de la 99 de dolari pentru utilizarea pe un singur site dar cu reduceri de pret pentru achizitii la un numar mai mare de site-uri.

Un plugin de securitate WordPress rezolva toate problemele de securitate ale unui site web?

Nu! Nici pe departe. Desi toate aceste plugin-uri de securitate ajuta enorm la protejarea site-ului dvs. totusi securitatea WordPress nu se rezuma doar la instalarea unui plugin si la folosirea zilnica a acestuia.

Aceasta nu inseamna ca plugin-urile de securitate nu sunt utile, doar ca daca nu se iau si alte masuri, chiar si un plugin de securitate bun nu va poate proteja complet.

Unul dintre aceste aspecte (poate cele mai important) pe care le puteti face este sa actualizati constant software-urile folosite (ex: WordPress), toate plugin-urile (inclusiv cele dezactivate) si themele dvs. in special pentru versiunile de securitate minore (de exemplu: WordPress 5.4.X).

Conform raportului Site Hacked din 2019 al celor de la Sucuri, aproximativ jumatate din toate site-urile WordPress foloseau o versiune mai veche a platformei cand site-ul lor a fost infectat. Mai mult decat atat 44% dintre aceste site-uri aveau si unul sau mai multe plugin-uri invechite.

Pe scurt urmatoarele actiuni sunt la fel de importante, ca si utilizarea unui plugin de securitate WordPress:

  • Actualizarea prompta a site-ului dvs. si a extensiilor acestuia pentru versiunile de securitate.
  • Acordarea atentiei sporite la plugin-urile sau extensiile pe care le instalati (astfel nu folositi niciodată plugin-uri anulate sau din surse neoficiale).
  • Folosirea de parole complexe, in special pentru conturile de administrare.

Acestea sunt recomandarile noastre cu privire la cele mai bune plugin-uri de securitate WordPresssi speram ca acest articol va poate ajuta in a securiza site-ul dvs. Daca aveti intrebari suplimentare sau alte sugestii va rog sa ne contactati.

Va invitam sa consultati pagina noastra de blog – AICI pentru alte articole si tutoriale cu privire la CMS-ul WordPress.

Pentru tutoriale cu privire la hosting si domenii – SkaleWeb Hosting va pune la dispozitie o gama variata de tutoriale pentru cPanel, email, domenii, etc.