10 плагинов для безопасности WordPress блога

Совсем недавно встретил полезный пост, со списком 10 плагинов для повышения безопасности WordPress блогов.

Я решил его перевести и дополнить своими комментариями, т.к. не всегда работают корректно и не каждый из этих плагинов легко установить и настроить. (На всякий случай, почитайте как установить WordPress плагин.)

1. WordPress Database Backup.
URL: http://www.ilfilosofo.com/blog/wp-db-backup/.

С этим плагином все легко и просто, его необходимо устанавливать сразу же после того, как вы установили свой WordPress блог. Плагин может делать резервные копии базы данных WordPress, и отправлять на E-Mail администратору. Резервное копирование может производиться автоматически, нужно просто один раз, настроить этот плагин. Никаких проблем с работой этого плагина я не встречал, поэтому рекомендую пользоваться этим плагином. Для более продвинутых пользователей рекомендую ознакомиться с автоматизацией бэкапов через cPanel вашего хостера.

2. Semisecure Login (http://jamesmallen.net)
URL: http://jamesmallen.net/2007/09/16/semisecure-login/.

Плагин увеличивает безопасность логина в WordPress, используя MD-5 шифрование на стороне клиента. Для работы плагина необходима поддержка скриптов Java. Если поддержка Java отключена, то пароль шифроваться не будет, и авторизация будет проходить обычным способом.
(На мой взгляд, чем устанавливать кучу таких плагинов, проще 1 раз в месяц менять пароль на доступ к интерфейсу администрирования вашего блога. Этот плагин я себе не устанавливал.)

3. AskApache Password Protect (http://www.askapache.com)
URL: http://www.askapache.com/wordpress/htaccess-password-protect.html.

Плагин для ограничения доступа к административному интерфейсу блога, с помощью пароля, настроенного через файл конфигурации .htaccess. Очень полезный плагин, который спрашивает дополнительный пароль, при попытке попасть в админку блога.
(Все мои попытки установить этот знатный плагин, закончились тем, что он попросил меня ждать пока выйдет новая версия плагина, которая будет работать там, где я хочу. Вы можете попытаться установить этот плагин, если вдруг у вас получится, отпишитесь здесь. А я пока жду новую версию.)

4. Force SSL (http://almosteffortless.com/)
URL: http://almosteffortless.com/wordpress/force-ssl/.

Плагин для работы с WordPress блогом, через зашифрованное SSL соединение. Все данные при работе с блогом будут зашифрованы и не могу быть перехвачены злоумышленником.
(очень немногие хостинговые компании, изначально дают возможность своим клиентам работать по SSL соединению, поэтому я думаю что для многих блоггеров, использование данного плагина будет невозможным. Мне повезло с моим хостером, даже в самом минимальном тарифе для хостинга блогов, Эскхостинг поддерживает возможность работы по SSL протоколу.)

5. WP Security Scan (http://wordpress.org/extend/plugins)
URL: http://wordpress.org/extend/plugins/wp-security-scan/.

Один из лучших плагинов по безопасности WordPress блогов. Проверяет множество параметров безопасности, начиная от версии WP и заканчивая разрешением доступа к файлам и безопасности базы данных.
(Этот плагин я часто использую на своих блогах, для того что бы сделать предварительную проверку безопасности, плагин устанавливается и работает очень просто, так что думаю что никаких проблем с его работой у вас возникнуть не должно).

6. Secure Files (http://wordpress.org/extend/plugins)
URL: http://wordpress.org/extend/plugins/secure-files/#post-271.

Плагин который позвляет вам скачивать и закачивать файлы вне папки вашего блога, для повышения сохранности файлов. Также возможно настроить возможность скачивать файлы, только зарегистрированным пользователям.
(Подобные плагины, пригодятся для тех, кто торгует инфопродуктами, например один мой хороший знакомый, продает различные файлики для системы 1С

7. WP-SpamFree
URL:
http://www.hybrid6.com/webgeek/plugins/wp-spamfree.

Есть множество плагинов по борьбе со спамом, один из самых известных и используемых, это конечно же Akismet, но автор заявляет что WP-SpamFree плагин намного эффективнее при борьбе со спамом.
(Сам я этот плагин не использовал, поэтому ничего конкретного сказать не могу, вместо Akismet-а пользуюсь Spam Karma 2 и его же устанавливаю на блоги своих клиентов. Плагин имеет множество настроек и вариантов по фильтрации спама.)

8. BackUpWordPress (http://wordpress.designpraxis.at)
URL: http://wordpress.designpraxis.at/plugins/backupwordpress/.

В отличии от первого плагина, этот плагин делает полную резервную копию вашего блога, базы данных, плагины, файлы самого WP и файлы которые вы загружали в ваш блог. Есть множество настроек, касающихся автоматизации бэкапа, уведомления о сделанных бэкапах и восстановление из резервной копии. Еще много интересных и полезных функций.
(Почему-то этот плагин не захотел корректно отрабатывать бэкап БД WordPress, были проблемы с кодировкой. Я не стал долго разбираться откуда и почему появились эти проблемы, а просто настроил автоматический полный бэкап через cPanel хостера.)

9. Anonymous WordPress Plugin Updates (http://f00f.de/)
URL: http://f00f.de/blog/2007/10/02/plugin-anonymous-wordpress-plugin-updates.html.

Позволяет анонимно проверять обновления WordPress. При проверке обновлений не отправляет, список установленных плагинов, версию блога и ссылку блога, на сервер WordPress. Подходит для людей которые беспокоятся о своей приватности.
(Честно говоря не вижу особого смысла в установке этого плагина. Т.к. не вижу ничего плохого в том, что мой WordPress блог, будет отправлять вышеуказанную информацию на сервер.)

10. Replace WP-Version (http://wordpress.org/extend/plugins/)
URL: http://wordpress.org/extend/plugins/replace-wp-version/#post-2859.

Если вы не обновляете ваш WordPress блог, при выходе каждой новой версии, злоумышленник может посмотреть версию WordPress на вашем блоге, что упростит поиск уязвимостей для совершения атаки на блог. Данный плагин подменяет или полностью удаляет строчку которая отображает версию WordPress.
(Я уже писал о необходимости маскировки версии WordPress, для повышения безопасности. Если вы не хотите ковыряться в файлах WordPress, что бы отключить отображение версии WP, просто установите этот плагин.)


Блоговодство:

Комментарии: 15Напишите свой комментарий!

  1. Денис Судилковский Написал(а):

    Не думаю, что целенаправленную попытку взлома блога смогут спасти эти плагины. Лучше всего пасс из «многа_букв» (а еще включить туда служебные символы), и можно спать спокойно (:

  2. Dmitriy Donchenko Написал(а):

    Ну это как и с квартирой, от целенаправленного взлома ничего не спасет, но лучше все же замки качественные и сигнализация и решетки на окнах ;) просто сложный пароль, уже не панацея.

  3. Denis Streha Написал(а):

    закрываем папку wp-admin и файл wp-login.php по айпи адресу через хтаксес и будет вам счастье. все левые айпи адреса при попытки залогиница попадут на 403, даже ворованный пароль не пригодица. если кому надо то писал на своем блоге (пост — «защити себя»), не сочтите за спам.

  4. Умка Написал(а):

    А я лучше поставлю не которые из них на всякий пожарный.

    Все такие хоть какаято защита появиться, чтобы хакеры по потели :)

  5. oldvovk Написал(а):

    Еще бы один плагин добавить — belavir

    Контроль целостности файлов сайта-блога через контроль суммы md5 — если где то проходит изменение — в админке сразу будут указаны зацепленные файлы + лишние. Удобно.

  6. Nadina Написал(а):

    Дима, а можно по поводу настроек Spam Karma 2 отдельный небольшой постик?

  7. rost Написал(а):

    Неплохой списочек. Интересно, если всё это дело поставить на один блог, то выйдет супер непробиваемая платформа.

  8. GTAlex Написал(а):

    поддержу Дениса (коммент номер 5) на счёт htaccess-а

    по безопасности и по бэкапам я тоже постил у себя на блоге — скрипт бэкапа — кому интересно велкам :)

  9. GTAlex Написал(а):

    7-ая и 8-я линки ссылаются на 9ю — поправь

  10. Dmitriy Donchenko Написал(а):

    Вот забавно получается, выходит никто из тех кто писал комменты до этого, даже не пытался устанавливать/просматривать плагины? ;) ссылки подправил, спасибо.

  11. KF-WEB Написал(а):

    Replace WP-Version

    Притормаживает загрузку, обращаясь к БД с 1 запросом и при этом задерживает запрос и выдачу в среднем секунд на 5. Плагин приятный, но пальцами в коде понадежней будет (ИМХО)

  12. Ko4evnik Написал(а):

    А у меня проблемы с WordPress Database Backup.

    Как восстановить базу?

    снел wp, решил с нуля делать.

    Сделал msql базу, установил wp.

    в phpmyadmin импортирую базу данных.

    И все, сайт перестает грузиться:(

  13. Sims Написал(а):

    У меня кстати после того как поставил плагин с капчей на сайте за три месяца(!) ни одного спам коммента не появилось. Это жесть :)

  14. High definition Написал(а):

    > никто из тех кто писал комменты до этого, даже не пытался устанавливать/просматривать плагины?

    А что Вы хотели?

    Из 10 описанных плагинов в Ваших комментариях Вы практически отсоветовали ставить 5.

    Видно, что статья переводная :)

  15. Pavel Написал(а):

    Дмитрий, не совсем понятно, эти 10 плагинов нужно устанавливать одновременно или какой-то один из них? Я конечно могу ошибаться, но всегда думал, чем меньше плагинов установлено на блоге, тем лучше для безопасности и функционирования блога.

    Может быть, вместо установки этих плагинов, лучше скрыть использование wordpress? Вкупе с вашими советами по безопасности и сложным паролем, кажется, должно помочь. Кстати, не могли бы вы и про это написать пост?

3 Ссылки на эту запись

  1. Все о Wordpress » Blog Archive » 10 плагинов для безопасности WordPress блога Написал(а):

    [...] Донченко сделал отличный перевод: 10 плагинов для безопасности WordPress блога 1. WordPress Database [...]

  2. Статус будущего. Блогеры, сварщики и ботаны | Антикорпоратив.Ру Написал(а):

    [...] 10 плагинов для безопасности WordPress блога — всем в закладки. [...]

  3. Все что нужно WordPress блоггеру. Подборка ресурсов | Блог Человека на пределе | О WEB-Сервисах, Софте, Дизайне и WEB-Технологиях. Написал(а):

    [...] машин. WordPress: AJAX-плагины – Добавим интерактивности. 10 плагинов для безопасности WordPress блога – Обезопасим наш блог. Плагины Админ панели – Добавим [...]

Оставьте комментарий Ваш шанс быть услышанным!