Лучшие плагины для обнаружения вредоносного кода на вашем сайте

Примечание: Этот текст может содержать некоторые партнерские ссылки, а это значит, что я зарабатываю небольшую комиссию без каких-либо дополнительных затрат с вашей стороны, если вы воспользуетесь этими ссылками. Спасибо за понимание и поддержку.

WordPress — очень популярная платформа для сайтов. В результате она привлекает повышенное внимание со стороны хакеров и вредоносных программ.

Разработчики WordPress постоянно совершенствуют систему в вопросах безопасности, и поэтому совет регулярно обновлять версию WordPress — всегда актуален.

Но — безопасность любой онлайн-системы — это как перетягивание каната. Система совершенствуется, и совершенствуются программы взлома сайтов. Хакеры становятся более умными и образованными. Совсем недавно в доткоме сайты WordPress опять стали объектами нападений, которые перенаправляли трафик на вредоносные URL.

Когда ваш сайт становится добычей хакера или вредоносной программы, в файлах вашей системы появляется так называемый вредоносный код, который легко «читается» поисковыми системами, и в итоге Google и Яндекс могут вас резко опустить в результатах поисковой выдачи. Делается это для защиты посетителей сайта, чтобы они не могли подвергнуться атаке со стороны вашего зараженного сайта.

Как вредоносные программы попадают на ваш сайт

Пользователи WordPress избалованы выбором, когда дело доходит до темы WordPress. В Сети очень много предложений, где можно скачать как бесплатные, так и платные премиальные темы для сайта WordPress.

Единственное, о чем должен переживать будущий владелец той или иной скачанной темы — это о наличии в теме вредоносного кода. Особенно нужно быть осторожным при скачивании «платных» тем с разных варезных ресурсов, типа такого. Специально ставлю ссылкой, чтобы зашли и посмотрели. Практически все платные темы, которые раздает владелец, имеют вредоносный код, который он сам и вставляет. В чем вредоносность кода? Всего лишь закодированы ссылки на его ресурс. Если вы считаете, что это мизерная плата за раздачу «платных» тем с его сайта — можете качать. Только не забывайте — все платные темы имеют поддержку авторов и всегда регулярно обновляются. Вы, скачав платную тему на варезе, лишены поддержки и обновлений.

Самое безобидное — это «зашитая» в код ссылка на сайт или сайты. Ваш сайт просто будет генерировать эти ссылки, тем самым поднимая трастовость тому, кто эту ссылку в файлы «зашил».

Самая опасная ситуация — это когда вы устанавливаете безопасные плагины, взятые с официального сайта WordPress или с сайта автора-разработчика плагина.

В силу уровня знаний программного кода автор может допустить ошибку и его код файлов плагина может быть взломан хакером или специальной программой-шпионом. Взлом плагина может привести к получению доступа к файлам системы WordPress, и вот здесь у хакера — широкое поле деятельности. Довольно часто сам взлом — это только начало всех ваших проблем.

Почему мошенники внедряют вредоносные программы

С какой целью они это делают? Почему хакеры заражают сайты? Чаще всего причин несколько:

  • Добавить обратные ссылки и редиректы на продвигаемые ими сайты (тематика адюльт к примеру, на которую вы нигде официально ссылки не разместите)
  • Мониторинг за вашими посетителями (сбор информации о посетителях для собственных целей)
  • Добавление собственных рекламных баннеров и объявлений (чаще всего в подвале сайта, в конце комментариев и т.д.)
  • Получение доступа к вашей личной информации (логины, пароли, адреса электронной почты и т.д.)
  • Полностью положить ваш сайт для собственного удовольствия
Советую прочитать еще:  Плагин WP Optimize - удаляем спам комментарии одним кликом

Чем дольше вредоносная программа остается нераспознанной, тем лучше для взломщиков. Они могут продолжать и продолжать сбор информации о ваших посетителях, для рассылки спама с вашего почтового аккаунта, заражения компьютеров ваших посетителей через браузер и т.д.

Плагины для обнаружения вредоносных программ

Плагины и сканы являются отличным инструментом, чтобы проверить ваш сайт на наличие вредоносного кода. На сегодня существует довольно приличный список таких плагинов WordPress, как платных, так и бесплатных.

Часть таких плагинов имеет функцию сканирования сайта как одну из нескольких глобальных функций плагина, а есть плагины, у которых функция сканирования сайта является единственной основной функцией.

Есть плагины, у которых кроме функции сканирования есть еще несколько важных функций, направленных на повышение безопасности сайта, а именно:

  • Резервное копирование
  • Ограничение прав доступа к файлам и папкам сайта
  • Мониторинг и предупреждение брут-форс атак на ваш сайт (перебор логина и пароля администратора)
  • Мониторинг и ограничение Ddos атак
  • Мониторинг активности вашего сайта (создание, изменение, удаление, добавление записей, плагинов, кода файлов и т.д.)

Сканирование сайта можно осуществить с помощью оналайн-инструментов, например, здесь. Зашли, ввели в окне адрес своего сайта и запустили сканирование.

Sucuri-Site-Check

В результате проверки сайта вы получите вот такой отчет:

sucuri-scan-result

Единственный недостаток онлайн-сканера: у него нет доступа к серверу и он не может просканировать системные файлы, а значит, он не видит вредоносный код в системных файлах, плагинах и темах на вашем сайте.

Sucuri Security

У этой системы — sucuri — есть бесплатный плагин WordPress — Sucuri Security, который имеет большой список функциональных задач по безопасности сайта на WordPress:

  • Аудит файлов
  • Мониторинг целостности файлов
  • Сканирование вредоносных программ
  • Мониторинг черного списка (backdoor)
  • Защита системных папок
  • Уведомления на электронный адрес администратора

Sucuri-plugin

Если открыть аккаунт на сайте sucuri.net, вы сможете воспользоваться приличным списком платных возможностей, которые предлагаются каждому участнику, например:

  • Брандмауэр
  • Непрерывное сканирование
  • Защита от брут-форс атак в реальном режиме
  • Защита от Ddos атак в реальном режиме
  • SSL — сертификат безопасности
  • Поддержка и консультации клиентов

Плагин Sucuri Security имеет по статистике более 200 тысяч активных установок, что подчеркивает его популярность и надежность.

Советую прочитать еще:  Как правильно повысить безопасность сайта WordPress

Если хотите прочитать мой более подробный обзор этого плагина, вам сюда.

iThemes Security (бывший Better WP Security)

ithemes-security

Этот плагин еще популярнее предыдущего и имеет более 700 тысяч активных инсталляций. Ранее он назывался Better WP Security, и когда-то я с его помощью «положил» один из своих сайтов)))

Всего лишь потому, что неправильно разобрался в его навороченных настройках.

У этого плагина есть бесплатная и платная версии. Бесплатный вариант плагина предлагает 30+ уровней защиты и безопасности (30, Карл!!!), включая криптостойкий пароль, сканирование системы, защиту от брут-форс, резервное копирование, мониторинг изменения файлов и многое другое.

Платная версия плагина iThemes Security даст вам еще такие функции, как:

  • Двухфакторная аутентификация
  • Запланированные проверки
  • Сроки действия пароля
  • Сравнение файлов ядра WordPress и много другого...

Платная версия плагина стоит $80 в год, что может быть дороговато для большинства обычных пользователей, но — что важнее: спокойствие за свой сайт или 80 долларов США за один год спокойствия?

Anti-Malware Security and Brute Force Firewall

Anti-Malware-GOTMLS

Этот плагин является отличным сканером всей вашей системы папок и файлов WordPress. Он сканирует все файлы сайта и выводит список потенциально опасных файлов, а также файлов, которые возможно содержат потенциально опасный код.

Сложность в работе с этим плагином заключается в том, что вам необходимо иметь хотя бы средний уровень знаний кода файлов PHP и JS, чтобы уметь отличить вредоносный код от кода, который не несет в себе опасности.

Плагин является бесплатным, но, если вы оплатите на сайте небольшую сумму в качестве пожертвования и зарегистрируетесь там же на сайте, вы сможете пользоваться расширенными возможностями плагина, а именно: сканирование всей директории сайта, включая системные папки и файлы, а не только папка wp-content.

Обзор плагина в официальной библиотеке WordPress

Antivirus

AntiVirus

Простой по своим задачам бесплатный плагин, который умеет сканировать только файлы вашей активной темы и в случае обнаружения подозрительного кода, сообщит вам по электронной почте. Также плагин может сообщить о присутствии сайта в черных списках поисковых систем.

Плагин может обнаружить подозрительный код, а ваша задача — правильно идентифицировать этот код, чтобы понимать: вредоносный код или нет.

Я писал об этом плагине, можно прочитать здесь.

Обзор плагина в официальной библиотеке WordPress — https://wordpress.org/plugins/antivirus

Wordfence

WordFence

Wordfence — не только сканер вредоносных программ, но и обеспечивающий практически полную защиту вашего сайта. Он бесплатный, регулярно обновляется автором. Есть платный вариант, в котором автор предлагает дополнительные преимущества, такие как блокирование IP по странам, сканирование по расписанию.

Советую прочитать еще:  Fantastic Content Protector Free | Плагин WordPress защитит ваш контент от воровства

Набор инструментов у плагина — огромный, но в целом он мало отличается от других плагинов по набору возможностей, о которых я рассказывал в обзоре предыдущих плагинов. В данном случае — кому что больше нравится и чей интерфейс удобней.

Можно посмотреть небольшую презентацию плагина от самого автора:

Exploit Scanner

Exploit-Scanner

Этот плагин умеет отлично сканировать файлы и папки вашего сайта в поисках вредоносного кода. Но — только сканировать. А вам останется важная функция — суметь определить, что нашел плагин и разобраться: вредоносный это код или нет. Такая ситуация в среде программистов называется — «ложные срабатывания».

У него есть небольшой минус — он прилично забирает на себя используемую память процессора на сервере, и в этом случае вы можете попробовать увеличить лимит выделяемой памяти с помощью дополнительной опции в файле htaccess.

Quttera Web Malware Scanner

Quttera-Web-Malware-Scaner

Вредоносные программы, вирусы, трояны, бэкдоры, инъекции, страницы фишинга — плагин найдет все, что скрывается на вашем сайте. После проведенного автоматического сканирования вы получите подробный отчет о найденных проблемах, но — анализировать и удалять вам придется самостоятельно, или обратиться в поддержку этого плагина.

TAC

Об этом плагине я когда-то писал обзор. Основная и единственная задача плагина — найти в темах, которые у вас лежат на сайте, вредоносный код или внешние ссылки.

Theme-Authenticity-Checker

В Рунете этот плагин пользуется высокой популярностью, особенно у новичков, кто все никак не определится с выбором симпатичной темы для своего сайта на WordPress.

Хоть и не обновляется плагин более 2-х лет, но все еще прекрасно работает и имеет более 100 тысяч активных установок.

И в качестве заключения

Практически все плагины, которые выполняют функцию сканирования, имеют так называемое «ложное срабатывание». Причина в том, что есть код PHP, который может использоваться как в вредоносном варианте, так и в стандартных функциях языка PHP. Поэтому, полученный список файлов, на которые обратит внимание функция сканирования, вам нужно будет внимательно проверить, убедиться, что файлы, попавшие в список, чистые. Или все-таки это вирус.

Один из способов предупредить попадание вредоносного кода на свой сайт, это скачивать плагины и темы из проверенных источников: официального каталога плагинов на WordPress, сайтах авторов-разработчиков, официальных интернет-магазинов типа Themeforest, Codecanyon, Templatemonster.

И не забывайте старую и мудрую пословицу:

Спасение утопающих — дело рук самих утопающих

Хорошего вам блоггинга и чистого кода файлов на вашем сайте)

Если материал вам понравился, нажмите или расскажите о нем друзьям!

Важно! Эта запись может содержать ссылки на плагины, которые к моменту вашего чтения и скачивания могут работать не корректно. Будьте внимательны.

Добавить комментарий

Ваш email нигде не будет показан. Обязательные поля помечены *