Bezpieczeństwo strony www – porównanie pluginów do WordPressa
Czy chcesz, aby Twoja strona www oparta o system CMS WordPress była bezpieczna? WordPress jest jednym z najpopularniejszych CMSów dlatego ilość ataków na strony oparte o WordPressa jest bardzo duża i wciąż rośnie. Niestety, wielu właścicieli witryn wpada w pułapkę polegającą na myśleniu, że hakerzy atakują tylko duże firmy lub popularne blogi, więc nie dba o odpowiednie zabezpieczenie swojej strony internetowej.
Jednym z lepszych sposobów na poprawę bezpieczeństwa strony www opartej na WordPressie jest zainstalowanie jednej z wielu dostępnych wtyczek zabezpieczających witrynę. W tym wpisie postaram się porównać kilka najpopularniejszych wtyczek zabezpieczających do WordPressa.
Dlaczego warto korzystać z wtyczek zabezpieczających WordPress?
Zapewnienie bezpieczeństwa strony www może być trudne, zwłaszcza jeśli nie masz do czynienia na co dzień z WordPressem i kwestie techniczne są Ci obce. Dzięki odpowiedniej wtyczce zabezpieczającej nie musisz wdawać się w szczegóły techniczne związane z zabezpieczeniem witryny.
Sucuri
Sucuri to kompletne rozwiązanie zabezpieczające stronę internetową i jedna z najlepszych wtyczek WordPress . Chroni Twoją witrynę przed złośliwym oprogramowaniem, atakami typu brute force i innymi potencjalnymi lukami w zabezpieczeniach. Oferuje różne funkcje bezpieczeństwa, w tym firewall, monitorowanie strony www, sprawdzanie integralności plików, monitorowanie czarnej listy itp. Ponadto, jeśli coś z Twoją stroną internetową będzie nie tak wtyczka wysyła automatyczne powiadomienia z ostrzeżeniem.
Po aktywacji Sucuri cały ruch w witrynie przechodzi przez serwery CloudProxy, a każde żądanie jest skanowane w celu odfiltrowania złośliwych zapytań. Zastosowanie takiego rozwiązania może zmniejszyć obciążenie serwera i poprawić wydajność Twojej strony www.
All In One WP Security & Firewall
All In One WP Security & Firewall to darmowa wtyczka zabezpieczająca WordPressa, która przenosi bezpieczeństwo Twojej strony www na zupełnie nowy poziom. Najlepszą rzeczą w tej wtyczce jest to, że wszystkie jej funkcje są podzielone na 3 poziomy zabezpieczeń: podstawowy, średnio zaawansowany lub zaawansowany. Taki podział ułatwia każdemu użytkownikowi włączenie wybranej grupy funkcji bez ryzyka uszkadzania witryny.
W panelu administracyjnym WordPressa możemy znaleźć miernik siły zabezpieczeń. Narzędzie to wyświetla informacje o tym, jak bezpieczna jest Twoja witryna w oparciu o system punktacji punktów bezpieczeństwa.
Kolejną ważną funkcją oferowaną przez All In One WP Security & Firewall jest ochrona przed spamem w komentarzach. Otrzymywanie wielu komentarzy na blogu lub innych stronach internetowych może być niezwykle korzystne dla SEO, ale nie wtedy, gdy te komentarze są spamem. Zamiast ręcznie sprawdzać wszystkie komentarze i samodzielnie usuwać spam, ta wtyczka może wykonać to zadanie za Ciebie. Automatycznie wykrywa adresy IP znane z wysyłania spamu i blokuje możliwość komentowania z tych adresów.
Ważne jest również to, że wtyczka ta to całkowicie bezpłatne rozwiązanie dla wszystkich użytkowników WordPress.
iThemes Security
Wcześniej znana jako Better WP Security, wtyczka iThemes Security to kolejny popularny wybór użytkowników WordPressa. W przeciwieństwie do innych wtyczek omawianych wyżej iThemes Security nie oferuje tak wielu bezpłatnych funkcjonalności. W darmowej wersji wtyczki mamy do dyspozycji podstawowe zabezpieczenia, ale większość przydatnych funkcji jest niestety płatnych. Płatne funkcjonalności dostępne w iThemes Security Pro to np.:
- Uwierzytelnianie dwuskładnikowe
- Zaplanowane skanowanie strony www w poszukiwaniu złośliwego oprogramowania
- Google reCAPTCHA
- Logi działań użytkownika
- Sprawdzanie integralności plików
Abonament wtyczki iThemes Security Pro zaczyna się od 52$ rocznie.
Wordfence Security – Firewall & Malware Scan
Wordfence to jedna z najbardziej wszechstronnych wtyczek zabezpieczających WordPress. Bezpłatna wersja wtyczki jest dostępna w oficjalnym repozytorium pluginów WordPressa. Darmowa wersja Wordfence Security zawiera funkcjonalności takie jak: zapora sieciowa, skaner złośliwego oprogramowania i ochrona przed atakami brute force. Przy ponad 2 milionach aktywnych instalacji jest to najpopularniejsza wtyczka zabezpieczająca do WordPressa.
Wnioski
Jaka jest najlepsza wtyczka zabezpieczająca do WordPressa? Trudno jest wskazać jedno najlepsze rozwiązanie, wszystko zależy od typu strony www i tego, czego potrzebujesz. Niektóre z tych wtyczek mają bardziej zaawansowane funkcje niż inne. Niektóre wtyczki są łatwiejsze w obsłudze dla początkujących, podczas gdy inne są lepsze dla zaawansowanych programistów.
Fajny wpis, trochę mi zabrakło jakiejś tabeli porównawczej, np. liczby pobrań (https://pluginarchive.com/wordpress?utf8=%E2%9C%93&q%5Bname_cont%5D=security&commit=Search) czy liczby błędów lub konfliktów związanych z kompatybilnością z wordpreseem lub wtyczkami (https://plugintests.com/search-plugins?query=security) Faktycznie, nie ma jednej idealnej wtyczki, oprócz wymienionych zabrakło np. SecuPress, która pojawia się w wielu artykułach (np. tym https://kinsta.com/blog/wordpress-security/ czy w innych bazach: https://plugintests.com/plugins/wporg/secupress/latest a też oferuje sprawdzenie strony pod kątem wielu parametrów jak AIOWS. Też nie jest idealna, bo np. wyświetla rekomendację o wdrożeniu 2FA, mimo, że taki mechanizm został wdrożony (najwyraźniej inny niż zalecali twórcy wtyczki). Myślę, że każdy Maniak WP, WP Ninja, czy WP Samuraj (http://wpsamurai.pl/11000-prob-wlamania-na-strone-bezpieczenstwo-wordpressa/) ma swoje sposoby. Poza wtyczkami poprawiającymi bezpieczeństwo na pewno warto także samodzielnie przeprowadzić audyt bezpieczeństwa zewnętrznymi narzędziami (np. https://securityresearch.pl/narzedzia-do-skanowania-aplikacji-www/) lub poprosić dodatkowo o pomoc kogoś kto ma większe doświadczenie w tym temacie.