Задать вопрос
georgypoplavsky
@georgypoplavsky

Насколько эффективны плагины безопасности для Wordpress?

Для каждого сайта, сначала устанавливаю плагин безопасности и включаю все рекомендованные настройки.

Это действительно необходимо? Неужели сам Wordpress (всегда обновляемый) будет настолько уязвим?

И второй вопрос сразу: В одном из проектов по причинам несовместимости шаблона с новыми версиями Wordpress, приходится использовать 3.8.13. Это последняя версия из ветки 3.8.x, в этом случае насколько актуально использование подобных плагинов?
  • Вопрос задан
  • 252 просмотра
Подписаться 2 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 3
@kstyle
не повредит - скрытие версии wordpress, защита от брутфорса админки (бан по ip, секретный ключ, количество попыток), скрытие админки, отслеживание изменений в файлах, проверка всех файлов (включая тему) на скрытый php-код. и это минимум, которого нет в базовом wp.
Ответ написан
Комментировать
@vylegzhanin
Эти плагины, по-моему, бесполезны.
Большинство из них просто меняет путь входа в админку на кастомный, защищая от брут-форса.

А большинство WP сайтов взламываются по схеме:
1) получения данных от БД;
2) поиск phpMyAdmin / соединение с БД через любой mysql-менеджер;
3) добавление нового админа sql-запросом;
4) попытка авторизоваться через /wp-login.php;
5) если 404 или 403, то отключение всех плагинов безопасности в поле active_plugins в таблице wp_options;
6) удачная попытка авторизации через /wp-login.php;

Эффективнее этих плагинов будет запрет всех ip (точных или диапазонов) в htaccess ко всему ненужному обычному юзеру (/wp-admin, /wp-login.php и т.д.).
Ответ написан
Punkie
@Punkie
Посмотрите в сторону: https://wordpress.org/plugins/all-in-one-wp-securi... - умеет лочить важные файлы (.htaccess, wp-config и пр.) Плюс всякие "фаервольные" штуки типа защиты от брутфорса и ботов. При этом, по личным наблюдениям, он гораздо менее прожорлив в отличии от всяких Wordfence и т.д.

Ставить - обязательно. Ибо внутренняя защита вордпресса - дело одно. Но вы же не можете на 10)% расчитывать на сознательность админов сервера клиента. У меня тут в 50% случаев приходилось перенастраивать chmod на директории ибо везде всё свободно было. Да и ПО очень часто дырявое и старое стоит у людей. А винить то потом будут кого во взломе сайта? Конечно же вас!

Ну и конечно же нужен регулярный автоматический бекап. Я сейчас настраиваю на хостинге обычно регулярный бекап файлов (если есть такая функция) средствами самого хостинга плюс ставлю плагин UpdraftPlus - он умеет каждые несколько часов бекапить базу данных и файлы в Дропбокс или Гугл-драйв клиента.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы