När det gäller säkerhet är det avgörande att sikta högre än ”tillräckligt bra”. Därför bör du alltid satsa på ett förstklassigt säkerhetsplugin eller en tjänst för WordPress.
Det är ett faktum att betalversionerna av WordPress-plugins generellt sett erbjuder betydligt mer än de kostnadsfria alternativen. Men även bland premiumalternativen finns det några som sticker ut lite extra. De kan kosta en slant, men de ger en unik fördel för ditt företag, och alla WordPress-webbplatser som är värda något bör överväga att använda dem.
Det här inlägget kommer att utforska fyra sådana exceptionella plugins och tjänster. Men innan dess, låt oss ta ett steg tillbaka och prata lite om den ibland svårgreppbara konsten som kallas webbsäkerhet.
Varför är webbsäkerhet så viktig?
En relevant fråga, onekligen.
Det kan vara svårt att känna entusiasmen för säkerhet när verksamheten blomstrar och webbplatsen levererar resultat månad efter månad. Idag är många företag helt digitala – de filer som finns lagrade på en server är i princip hela verksamheten.
Och det är faktiskt ganska riskabelt att satsa hela sin framtid på det. Nya programbibliotek, programvara och funktioner lanseras varje vecka, men säkerhetsläget är i princip detsamma som för tio år sedan (det finns fortfarande många sätt att göra en webbapplikation obrukbar).
Detta gäller särskilt för WordPress, som säkerhetsmässigt inte är den mest robusta arkitekturen.
För dig som företagare är risken enorm – du kan förlora allt du har byggt upp under åren på några sekunder. Tänk på det – verksamheten kommer att tvärnita, kundklagomål kommer att öka lavinartat och det kommer inte att finnas så mycket att göra åt det.
Även om du har frekventa säkerhetskopior av allt och kan återställa webbplatsen, kommer skadan på ditt rykte att vara bestående.
Med andra ord, snälla, snälla, agera nu, för företagets och dess ryktes skull. Genom att använda ett eller flera av förslagen i det här inlägget kan du ta bort 99% av de svaga punkterna i ditt försvarssystem (och de återstående 1% har alla). Se över säkerheten för din WordPress-webbplats.
Agera nu!
Okej, nog med den motiverande predikan; låt oss gå vidare till rekommendationerna. 😛
SUCURI
SUCURI erbjuder en molnbaserad brandvägg, CDN, övervakning och skydd mot DDoS-attacker; allt i ett paket.
Det är en fristående, plattformsoberoende tjänst som fungerar med alla CMS- eller webbkonfigurationer, inte minst WordPress, Joomla, Drupal och Magento.
Om du tittar på deras prisplaner hittar du bra alternativ. Det som fångade min uppmärksamhet var planen för 199,99 USD per år, som inkluderar allt du kan tänkas behöva (hackerskanning, övervakning av svarta listor, skydd mot DDoS, CDN, SSL, brandvägg), samt en svarstid på tolv timmar och 30 dagars pengarna-tillbaka-garanti ! :-O
Är det dyrt?
För en webbplats som genererar flera tusen dollar i månaden (eller per år) och när som helst kan förlora allt på grund av en automatisk attack? Absolut inte!
Wordfence
Wordfence är vid det här laget ett känt namn, eftersom det är ett av de bästa freemium-plugins som finns. Även med över 2 miljoner aktiva installationer har det behållit ett nästan perfekt betyg och är det bästa alternativet för erfarna WordPress-administratörer.
Men den verkliga kraften med det här pluginet ligger i premiumversionen, där du får en mycket användbar brandvägg och en rad effektiva funktioner (IP-filtrering, landsblockering, skanning efter bakdörrar, för att nämna några).
Grädden på moset är rapporteringspanelen som finns tillgänglig direkt i WordPress-adminpanelen.
Pris? 99 USD per webbplats och år. Allvarligt, det är ju ett skämt?!
iThemes Security
iThemes är ett välkänt namn inom hanterad WordPress-hosting, men de har också ett fantastiskt säkerhetsplugin som heter iThemes Security. Det är en omfattande lösning som innehåller flera unika och användbara funktioner. Jag vill gärna ta en stund och diskutera några av dem lite närmare.
Filändringsdetektering: WordPress handlar (nästan) helt och hållet om filer och deras innehåll. När ett plugin installeras, lägger det till egna filer; när kärnan uppdateras byts flera filer ut; och så vidare. Det innebär att om någon har fått tillgång till din webbplats och placerat skadlig kod, är filändringar ett av de första tecknen att leta efter.
404-detektering: Det största hotet mot de flesta webbplatser är inte från avancerade hackare, utan från robotar som fortsätter med sina tanklösa men noggranna attacker. Till exempel kan en WordPress-bot utformad för att hacka börja med att söka efter viktiga webbadresser i en konfiguration som är sårbar.
Den kan till exempel söka efter /admin, /endast-för-medlemmar, /privat, och så vidare, i hopp om att hitta en sida som ger tillgång till webbplatsen efter att lösenordet har knäckts. Men eftersom den här roboten bara kan gissa och gå igenom alternativen ett efter ett, kommer den att generera många 404-förfrågningar (inte hittad) på servern.
Med andra ord, den ber om att bli blockerad, vilket är något iThemes Security gör bra.
Det finns verkligen alltför många funktioner för att diskutera dem alla här, så jag uppmanar dig att besöka deras webbplats och ta en titt.
Om du är en frilansande WordPress-utvecklare kan du skydda upp till 10 webbplatser för 127 USD per år. Det är 12,7 USD per år per webbplats. Helt otroligt!
Cloudflare
Du har säkert hört talas om Cloudflare tidigare; de är en av de bästa (om inte den bästa?) leverantörerna av högpresterande CDN. Om du inte har gjort egna efterforskningar inom CDN, är Cloudflare förmodligen det första namnet som dyker upp, eller som någon rekommenderar.
Men vad du kanske inte känner till är att deras pro-plan är ett säkerhetserbjudande av högsta klass, som används av företag som Discord, Crunchbase, Udacity, ZenDesk och Cisco. Okej, jag slutar innan jag tappar fattningen!
Cloudflare är inte begränsat till WordPress utan fungerar med alla plattformar. Det är en extremt seriös och högpresterande lösning för företag som hanterar stora volymer och inte har råd med minsta lilla svaghet.
Deras pro-planer är dyra, den grundläggande kostar 20 USD per månad, men de innehåller användbara funktioner som bildoptimering och mobiloptimering. Så om du befinner dig i en situation där (dator)fysikens lagar inte längre gäller och inget mindre än en haubits duger, då är Cloudflare lösningen.
Malcare
Skydda din WordPress-webbplats från skadlig programvara med hjälp av Malcare-pluginet.
Det är relativt enkelt att bli smittad av olika hot nuförtiden, med det ökande antalet hackare och skräpsidor, så det är alltid bra att vara förberedd. Som tur är tar plugins som MalCare omedelbart bort skadlig programvara från dina webbplatser, antingen manuellt eller automatiskt, beroende på dina preferenser.
En stor fördel med det här pluginet är att det är snabbt igång. Och dessutom saktar det inte ner din webbplats, eftersom genomsökningen sker på deras servrar.
Även om din webbplats redan är hackad och infekterad, kan MalCare potentiellt lösa problemet på under en minut, utan att ändra någon av dina rena filer. Och eftersom förebyggande är bättre än att bota, kan deras algoritm upptäcka även de mest avancerade hoten som kan växa och utgöra en betydande risk för dina data och tillgångar. Den blockerar dem i realtid så snart de har upptäckts.
Utöver dessa funktioner har den även extrafunktioner som kan vara mycket användbara, till exempel:
- Massuppdatering av webbplatser, inklusive teman, plugins med mera
- Härdning av webbplatsen med bästa säkerhetsmetoder
- Samarbete med teammedlemmar för bättre skyddsåtgärder
- Smart inloggning med Captcha för att förhindra obehöriga robotar
Installera detta pålitliga plugin på din WordPress-webbplats och luta dig tillbaka, förvissad om att hackare inte har en chans att manipulera din egendom.
Google Authenticator
Google Authenticator för WordPress är ett enkelt plugin som låter dig aktivera tvåfaktorsautentisering. Autentiseringsappen är tillgänglig för både iPhone och Android.
Du kan aktivera tvåfaktorsautentisering per användare utöver ett vanligt lösenord.
WP-säkerhetsgranskningslogg
WP-säkerhetsgranskningslogg hjälper dig att logga alla händelser som sker på din webbplats. Det fungerar även med WordPress multisite. Genom att använda det här pluginet kan du förbättra säkerheten, produktiviteten och arbetsflödet.
Pluginet har över 70 000 aktiva installationer och är ett måste för WordPress-administratörer och säkerhetsexperter.
Funktioner:
- Spårar nästan alla aktiviteter på din WordPress-webbplats
- Spårar användaraktiviteter som lösenordsändringar.
- Rapporteringen är exakt ner på millisekunden.
- Registrerar IP-adressen.
WPS Hide Login
WPS Hide Login är ett lätt plugin som gör det enkelt att ändra administratörens inloggningsadress. Om du inaktiverar pluginet återställs din webbplats till sitt tidigare tillstånd.
Att ändra administratörens URL är en bra idé för att dölja inloggningssidan för angripare, och därmed undvika automatiska brute-force-attacker.
BulletProof Security
BulletProof Security erbjuder skanning av skadlig programvara, brandvägg, inloggningssäkerhet, DB-säkerhetskopiering, anti-spam och mycket mer.
Det här pluginet har en installationsguide med ett klick där du kan säkra din webbplats med bara några klick.
Huvudfunktioner:
- MScan-skanning av skadlig programvara
- .htaccess-skydd
- Utloggning av inaktiva sessioner
- Inloggningsövervakning, loggning och säkerhet
- JTC anti-spam-skydd
- Inbyggd brandvägg
BulletProof-pluginet har även en PRO-version med utökad säkerhetstäckning.
Cerber Security
Cerber Security skyddar din webbplats mot hackerattacker, spam, trojaner och skadlig programvara.
Minska risken för brute-force-attacker genom att begränsa antalet inloggningsförsök via inloggningsformuläret, XML-RPC-/REST API-förfrågningar eller med hjälp av autentiseringscookies.
Huvudfunktioner:
- Tillåter eller begränsar åtkomst med hjälp av en vitlista och svartlista med IP-adresser, IP-intervall eller subnät.
- Identifierar och flyttar automatiskt spamkommentarer till papperskorgen eller nekar dem helt.
- Citadelläge för massiva brute-force-attacker.
- Skydd mot DDOS-attacker.
- Döljer wp-login.php och wp-signup.php från potentiella attacker.
- Blockerar omedelbart en IP eller ett subnät när du försöker logga in med ett användarnamn som inte finns.
Pluginet är kostnadsfritt.
Blockera dåliga frågor
Blockera dåliga frågor eller BBQ kontrollerar all inkommande trafik och blockerar tyst dåliga förfrågningar som innehåller fula saker som eval(, base64_ och alltför långa förfrågningssträngar.
Detta är en enkel men perfekt lösning för webbplatser som inte kan använda en stark .htaccess-brandvägg.
Några av nyckelfunktionerna är:
- Hjälper till att blockera SQL-injektionsattacker.
- Skannar all inkommande trafik och blockerar dåliga förfrågningar.
- Visar statistik som antalet träffar för varje mönster och stapeldiagram för all data.
- Hjälper till att blockera katalogövergångsattacker.
Anti-Malware Security och Brute-Force Firewall
Anti-Malware Security och Brute-Force Firewall kör en fullständig genomsökning för att automatiskt ta bort kända säkerhetshot och bakdörrsskript.
Den har en brandvägg som blockerar SoakSoak och annan skadlig programvara från att utnyttja Revolution Slider och andra plugins.
Huvudfunktioner:
- Inaktivera XMLRPC
- Förebyggande av brute-force- och DDoS-attacker
- Integritetskontroller av kärnfiler
Anti-Malware Security och Brute-Force Firewall är programvara med öppen källkod och är därmed gratis att använda.
Allt i ett WP-säkerhet och brandvägg
Allt i ett WP-säkerhet och brandvägg är ett omfattande, lättanvänt, stabilt och välstödd plugin som lägger till extra säkerhet och brandvägg till din webbplats genom att använda olika verktyg som upprätthåller goda säkerhetsrutiner.
Huvudfunktioner:
- Tvinga användare att välja starka lösenord
- Blockera skadliga robotar
- Inloggningsspärr baserat på IP eller åtgärd
- Skydd mot brute-force- och XSS-attacker
och mycket mer.
Slutsats
Sammanfattningsvis kan man säga att du inte kan gå fel med något av dessa plugins/tjänster. För vissa fungerar en kombination av Wordfence och Cloudflare bäst, medan andra föredrar att aktivera SUCURI och slippa oroa sig för massiva attacker som blockeras under dagen.
Mitt råd?
Samma tråkiga sak som jag alltid säger: stressa inte och ta alltid recensioner med en nypa salt. Även mina egna. 😜
Välj den kostnadsfria/billigaste versionen först, testa den noggrant under en tid i olika användningsfall och gör först därefter en förändring.
Jag önskar dig en säker och blomstrande WordPress-distribution! 👍