WordPress – одна з найбільш популярних систем управління контентом, що використовується в самих різних цілях: від ведення блогів до електронної комерції. Існує широкий вибір плагінів і тем для WordPress. Трапляється, що якісь з цих розширень потрапляють в руки вебмайстрів після того, як якийсь зловмисник потрудився над ними.

Заради своєї вигоди він міг залишити в них рекламні посилання або код, за допомогою якого він буде керувати вашим сайтом. Багато користувачів WordPress не мають великого досвіду в веб-програмуванні і не знають, як діяти в такій ситуації.

Для них я зробив огляд дев’яти найбільш ефективних інструментів для виявлення шкідливих змін в коді працюючого сайту або встановлюваних додатків.

1. Theme Authenticity Checker (TAC)

Theme Authenticity Checker (інспектор автентичності тим, TAC) – WordPress-плагін, який сканує кожну встановлену тему на наявність підозрілих елементів начебто невидимих посилань або коду, зашифрованого за допомогою Base64.

Виявивши такі елементи, TAC повідомляє про них адміністратора WordPress, дозволяючи йому самостійно проаналізувати і при необхідності виправити вихідні файли тем:

2. Exploit Scanner

Exploit Scanner сканує весь вихідний код вашого сайту і вміст бази даних WordPress на наявність сумнівних включень. Так само, як і TAC, цей плагін не запобігає атаки і не бореться з їх наслідками в автоматичному режимі.

Він тільки показує виявлені симптоми зараження адміністратору сайту. Якщо ви хочете видалити шкідливий код, доведеться це зробити вручну:

9 плагінів для виявлення шкідливого коду на WordPress-сайті

3. Sucuri Security

Sucuri – добре відоме рішення в області безпеки WordPress. Плагін Sucuri Security здійснює моніторинг файлів, що завантажуються на WordPress-сайт, веде власний список відомих загроз, а також дозволяє віддалено просканувати сайт за допомогою безкоштовного сканера Sucuri SiteCheck Scanner. За абонентську плату можна додатково зміцнити захист сайту, встановивши потужний мережевий екран Sucuri Website Firewall:

9 плагінів для виявлення шкідливого коду на WordPress-сайті

4. Anti-Malware

Anti-Malware – плагін для WordPress, який здатний знаходити і видаляти троянські скрипти, бекдори та інший шкідливий код.

Параметри сканування і видалення можуть налаштовуватися. Цей плагін можна використовувати після безкоштовної реєстрації на gotmls.

Плагін регулярно звертається до сайту виробника, передаючи йому статистику виявлення шкідників і отримуючи оновлення. Тому якщо ви не хочете встановлювати на свій сайт плагіни, які відстежують його роботу, то вам варто уникати використання Anti-Malware:

9 плагінів для виявлення шкідливого коду на WordPress-сайті

5. WP Antivirus Protection Site

WP Antivirus Site Protection – це плагін, скануючий всі файли на сайті файли, в тому числі WordPress-теми.

Плагін має власну базу сигнатур, автоматично оновлювану через Мережу. Він вміє видаляти загрози в автоматичному режимі, сповіщати адміністратора сайту по електронній пошті і багато іншого.

Плагін встановлюється і функціонує безкоштовно, але має кілька платних додатків, на які варто звернути увагу:

9 плагінів для виявлення шкідливого коду на WordPress-сайті

6. AntiVirus для WordPress

AntiVirus для WordPress – простий у використанні плагін, який здатний здійснювати регулярне сканування вашого сайту і надсилати сповіщення про проблеми безпеки електронної пошти. Плагін має настроюється «білий список» та інші функції:

9 плагінів для виявлення шкідливого коду на WordPress-сайті

7. Quterra Web Malware Scanner

Сканер від Quterra перевіряє сайт на наявність вразливостей, впроваджень стороннього коду, вірусів, бекдорів і т. д. Сканер володіє такими цікавими можливостями, як евристичне сканування, виявлення зовнішніх посилань.

Базові функції сканера безкоштовні, в той час як деякий додатковий сервіс обійдеться вам в $60 за рік:

9 плагінів для виявлення шкідливого коду на WordPress-сайті

8. Wordfence

Якщо ви шукаєте комплексне рішення проблем безпеки вашого сайту, зверніть увагу на Wordfence.

Цей плагін забезпечує постійний захист WordPress від відомих типів атак, двофакторну аутентифікацію, підтримку «чорного списку» IP-адрес комп’ютерів і мереж, які використовуються крадіями і спамерами, сканування сайту на наявність відомих бекдорів.

Цей плагін безкоштовний у своїй базовій версії, але має і преміум-функціонал, за який виробник запитує скромну абонентську плату:

9 плагінів для виявлення шкідливого коду на WordPress-сайті

9. Wemahu

Wemahu здійснює моніторинг змін в коді вашого сайту і пошук шкідливого коду.

База даних, на основі якої ведеться виявлення шкідників, поповнюється методом краудсорсингу: користувачі самі поповнюють її, відправляючи результати сканування заражених інсталяцій WordPress на сайт автора плагіна. Плагін також підтримує відправку звітів по електронній пошті і інші корисні функції:

9 плагінів для виявлення шкідливого коду на WordPress-сайті

Переклад статті «9 WordPress Plugins To Detect Malicious Code In Your Site» був підготовлений дружною командою проекту Сайтостроение від А до Я.