Выбор плагинов
Каждый, кто впервые сталкивается с настройкой безопасности сайта, задумывается какой всё-таки плагин установить и настроить для этой цели.
Выбор не маленький. Если вбить «Security» в поле поиска плагинов, результат выдачи будет достаточно длинным.
В любом случае, стоит придерживаться самых популярных, активно поддерживаемых и конечно же тех, которые заслужили большее количество оценок.
В этом обзоре я решил установить 4 плагина для защиты WordPress, и выяснить какой же все-таки из них лучше для обычного пользователя:
Первые три предлагают также премиум функционал, но я не буду включать его в обзор.
Пожалуй в про нет таких функций, без которых нельзя прожить, или которые нельзя заменить на бесплатную альтернативу.
Отмечу, что это не детальный обзор всех возможностей, скорости работы кода или требований. Это разбор базового функционала настройки безопасности и уровня работы с ним.
Ограничение попыток входа
- Wordfence Security
Опция включающая защиту аутентификации называется Enable login security. К сожалению, плагин не переведен на русский язык.

В нижней части страницы находится блок настроек: количество попыток входа, время учета попыток, время блокировки и ряд других опций.

- iThemes Security
Модуль защиты входа находится в разделе Local Brute Force Protection. Пользователям этого плагина чуть больше повезло с русской локализацией.

Чуть ниже можно включить модуль сетевой защиты Network Brute Force Protection. Для этого нужно запросить API ключ, и в бан список будут автоматически попадать адреса, которые уже пытались взламывать чужие сайты.
- Shield Security
Защита входа находится на вкладке Login Protection. Перевод на русский язык есть, и в целом хочу отметить очень приятный и логичный интерфейс.

Можно также заметить, что здесь можно использовать reCAPTCHA, настроить двух-факторную аутентификацию, переименовать страницу входа wp-login.php, и даже связать с Yubikey.
- All in One WP Security
Блок настроек для защиты от брутфорса находится на странице User Login. Перевода готового нет. Опции схожи с аналогичными модулями других плагинов.
На соседних вкладках можно посмотреть журналы событий.

Файервол
- Wordfence
Firewall это один из главных функциональных модулей плагина WordFence. Есть два режима Basic и Extended. Последний позволяет блокировать некоторые атаки даже до старта WordPress, но требует более глубокого понимания серверных настроек.
В бесплатной (community) версии правила блокировки обновляются спустя 30 дней после того как они были добавлены в про.

- iThemes Security
Файервола в этом плагине нет. А рекомендует iThemes пользоваться сервисом Sucuri Website Firewall (платно).
- Shield Security
В настройках этого плагина вы не запутаетесь, вкладка Firewall находится на видном месте. В целом, рекомендуется включить все опции.

- All in One WP Security
Страница блокировок выглядит объемной благодаря тому, что функционал разбит по вкладкам. Место занимает справка и значки уровня защиты (хотя зачем нужны последние). Опций немного, их можно включить все по необходимости.

Журнал изменений и действий
- Wordfence
Автоматическое сканирование можно включить на странице Options в пункте Enable automatic scheduled scans, и не забыть указать чуть ниже емайл (Where to email alerts).
Wordfence предоставляет большой контроль что сканировать, как и когда отправлять отчет.


- iThemes Security
Функционал монитора находится в блоке Обнаружение изменений файлов.
Сканирование происходит по частям. Можно исключить некоторые файлы, папки или типы файлов.

На вкладке Основные настройки можно также включить и настроить отправку уведомлений о блокировке хостов или пользователей.
- Shield Security
Сканирование изменений и журнал действий можно настроить в двух разделах: Hack Protection и Audit Trail.
В первом модуле настраивается сканирование целостности файлов и их исправление, а также сканер неопознанных файлов.

В модуле Audit Trail отслеживается и отправляется отчет по разнообразным событиям в WordPress (активность связанная с плагинами и темами, действия в пользовательских аккаунтах, редактирование и публикация записей и др).

- All in One WP Security
Модуль отслеживания изменений находится на странице Scanner. Там можно произвести сканирование вручную, или настроить расписание.

Блокирование хостов
- Wordfence
Wordfence предоставляет гибкий инструмент для блокировки пользователей.
Можно задать ряд условий для наступления блокировки.

Можно блокировать IP вручную. Или использовать более продвинутые способы: блокировать диапазон, юзер-агент и прочее. Функционал блокировки по странам доступен в премиум версии.

- iThemes Security
Функционал находится на вкладке Заблокированные пользователи. Можно включить бан список от сайта HackRepair.com, и запретить доступ отдельным хостам или юзер-агентам.

- Shield Security
Список составляется автоматически, его настройки и включение можно найти в модуле IP Manager. Ручного добавления нет.

- All in One WP Security
Пользовательские IP и юзер-агенты можно вручную блокировать на странице Blacklist Manager.

Итоговое сравнение плагинов
Рассматривается только общий базовый функционал. Разумеется, у каждого плагина по защите есть ряд своих особенностей. Антиспам, бэкап базы, настройка пользователей, права файлов и каталогов, отключение лишнего функционала и т.д. Но это такие второстепенные вещи, либо их можно реализовать альтернативными решениями более гибко и узконаправлено.
Моя общая оценка исходит из функционала и удобства использования следующих модулей:
- Защита входа;
Firewall;
Отслеживание изменений/аудит;
Блокировка хостов;
По результатам обзора на звание лучшего плагина для защиты WordPress безусловно вырывается вперед Wordfence. Хотя его интерфейс может показаться запутанным на первый взгляд. На официальном сайте есть хорошая документация (на английском).
Очень порадовал в обзоре Shield Security, русифицированный и четкий интерфейс, очевидно направленный на пользователей менее подготовленных или не желающих вникать во все тонкости настроек безопасности.
Из двух оставшихся плагинов я бы отдал предпочтение несомненно iThemes Security, хотя бы за более логичный и чистый интерфейс.
All in One WP Security не могу назвать плохим плагином, он выполняет свою задачу. Но лидером в этой четверке он тоже не является. Здесь как раз показатель того, что плагины с наращиваемым премиум функционалом стараются в большей степени идти с требованиями рынка, и это конечно сказывается на бесплатных версиях.
Функционал у всех перечисленных плагинов модульный, т.е. при необходимости их можно даже настроить на совместную работу. Ну или исключить лишнее, оставить только необходимое.
Если делать по уму, то к безопасности и её настройкам следует подходить индивидуально в зависимости от назначения сайта, технической реализации и условий его работы.
Нет русского языка у Shield Security !
Добрый день. Вы видите на скрине, частичный перевод есть.
Сам перевод вы также можете скачать или посмотреть состояние на https://translate.wordpress.org/projects/wp-plugins/wp-simple-firewall