WordPress – одна з найбільш популярних систем управління контентом, що використовується в самих різних цілях: від ведення блогів до електронної комерції. Існує широкий вибір плагінів і тем для WordPress. Трапляється, що якісь з цих розширень потрапляють в руки вебмайстрів після того, як якийсь зловмисник потрудився над ними.
Заради своєї вигоди він міг залишити в них рекламні посилання або код, за допомогою якого він буде керувати вашим сайтом. Багато користувачів WordPress не мають великого досвіду в веб-програмуванні і не знають, як діяти в такій ситуації.
Для них я зробив огляд дев’яти найбільш ефективних інструментів для виявлення шкідливих змін в коді працюючого сайту або встановлюваних додатків.
1. Theme Authenticity Checker (TAC)
Theme Authenticity Checker (інспектор автентичності тим, TAC) – WordPress-плагін, який сканує кожну встановлену тему на наявність підозрілих елементів начебто невидимих посилань або коду, зашифрованого за допомогою Base64.
Виявивши такі елементи, TAC повідомляє про них адміністратора WordPress, дозволяючи йому самостійно проаналізувати і при необхідності виправити вихідні файли тем:
2. Exploit Scanner
Exploit Scanner сканує весь вихідний код вашого сайту і вміст бази даних WordPress на наявність сумнівних включень. Так само, як і TAC, цей плагін не запобігає атаки і не бореться з їх наслідками в автоматичному режимі.
Він тільки показує виявлені симптоми зараження адміністратору сайту. Якщо ви хочете видалити шкідливий код, доведеться це зробити вручну:
3. Sucuri Security
Sucuri – добре відоме рішення в області безпеки WordPress. Плагін Sucuri Security здійснює моніторинг файлів, що завантажуються на WordPress-сайт, веде власний список відомих загроз, а також дозволяє віддалено просканувати сайт за допомогою безкоштовного сканера Sucuri SiteCheck Scanner. За абонентську плату можна додатково зміцнити захист сайту, встановивши потужний мережевий екран Sucuri Website Firewall:
4. Anti-Malware
Anti-Malware – плагін для WordPress, який здатний знаходити і видаляти троянські скрипти, бекдори та інший шкідливий код.
Параметри сканування і видалення можуть налаштовуватися. Цей плагін можна використовувати після безкоштовної реєстрації на gotmls.
Плагін регулярно звертається до сайту виробника, передаючи йому статистику виявлення шкідників і отримуючи оновлення. Тому якщо ви не хочете встановлювати на свій сайт плагіни, які відстежують його роботу, то вам варто уникати використання Anti-Malware:
5. WP Antivirus Protection Site
WP Antivirus Site Protection – це плагін, скануючий всі файли на сайті файли, в тому числі WordPress-теми.
Плагін має власну базу сигнатур, автоматично оновлювану через Мережу. Він вміє видаляти загрози в автоматичному режимі, сповіщати адміністратора сайту по електронній пошті і багато іншого.
Плагін встановлюється і функціонує безкоштовно, але має кілька платних додатків, на які варто звернути увагу:
6. AntiVirus для WordPress
AntiVirus для WordPress – простий у використанні плагін, який здатний здійснювати регулярне сканування вашого сайту і надсилати сповіщення про проблеми безпеки електронної пошти. Плагін має настроюється «білий список» та інші функції:
7. Quterra Web Malware Scanner
Сканер від Quterra перевіряє сайт на наявність вразливостей, впроваджень стороннього коду, вірусів, бекдорів і т. д. Сканер володіє такими цікавими можливостями, як евристичне сканування, виявлення зовнішніх посилань.
Базові функції сканера безкоштовні, в той час як деякий додатковий сервіс обійдеться вам в $60 за рік:
8. Wordfence
Якщо ви шукаєте комплексне рішення проблем безпеки вашого сайту, зверніть увагу на Wordfence.
Цей плагін забезпечує постійний захист WordPress від відомих типів атак, двофакторну аутентифікацію, підтримку «чорного списку» IP-адрес комп’ютерів і мереж, які використовуються крадіями і спамерами, сканування сайту на наявність відомих бекдорів.
Цей плагін безкоштовний у своїй базовій версії, але має і преміум-функціонал, за який виробник запитує скромну абонентську плату:
9. Wemahu
Wemahu здійснює моніторинг змін в коді вашого сайту і пошук шкідливого коду.
База даних, на основі якої ведеться виявлення шкідників, поповнюється методом краудсорсингу: користувачі самі поповнюють її, відправляючи результати сканування заражених інсталяцій WordPress на сайт автора плагіна. Плагін також підтримує відправку звітів по електронній пошті і інші корисні функції:
Переклад статті «9 WordPress Plugins To Detect Malicious Code In Your Site» був підготовлений дружною командою проекту Сайтостроение від А до Я.