معرفی بهترین پلاگین فایروال وردپرس
پلاگین فایروال وردپرس وبسایت شما را در برابر هک شدن ، بروت فورس (brute force) و حملات DDoS محافظت می کنند. به عبارت دیگر این پلاگین ترافیک ورودی سایت شما را بررسی کرده و به صورت سپر امنیتی برای سایت در برابر حملات احتمالی عمل می کند. در این مقاله، بهترین پلاگین فایروال وردپرس را بررسی خواهیم کرد و به معرفی بهترین گزینه آن خواهیم پرداخت.
پلاگین فایروال وردپرس چیست؟
پلاگین فایروال وردپرس (که به عنوان نرم افزار فایروال وب یا WAF نیز شناخته می شود) ، به عنوان سپر بین وب سایت و تمام ترافیک ورودی عمل می کند. این نرم افزار های فایروال وب ، بر ترافیک وب سایت نظارت کرده و بسیاری از تهدیدات امنیتی مشترک را قبل از رسیدن به سایت وردپرس ، متوقف می کنند. علاوه بر بهبود قابل توجه امنیت وردپرس ، اغلب این نرم افزار های فایروال وب سبب بهبود سرعت و عملکرد وب سایت نیز خواهند شد.
به طور کلی دو نوع رایج از پلاگین های فایروال وردپرس وجود دارد:
- DNS Level Website Firewall
این نوع پلاگین فایروال وردپرس ترافیک وبسایت را از طریق سرویس پراکسی ابری خود جهت دهی می کند و باعث می شود فقط ترافیک واقعی به سرور وبسایت ارسال شود. عملکرد این نوع فایروال در سطح DNS می باشد.
- Application Level Firewall
این نوع پلاگین فایروال وردپرس به محض رسیدن به سرور شما و قبل از بارگذاری بیشتر اسکریپت وردپرس یک بار ترافیک را مورد بررسی قرار می دهد. این روش به اندازه فایروال سطح DNS در کاهش بار سرور موثر نیست.
توصیه می شود تا حد امکان از یک فایروال سطح DNS استفاده کنید چرا که در تشخیص ترافیک واقعی وب سایت نسبت به درخواست های نامعتبر عملکرد بسیار خوبی دارد.
فایروال های سطح DNS، این کار را از طریق اقداماتی مانند: پیگیری هزاران وب سایت، مقایسه روند ترافیک سایت در بازه های مختلف، جستجوی botnet ها ، شناسایی و بلاک کردن IPهای نامعتبر و مسدود کردن ترافیک به صفحاتی که معمولا کاربران هرگز درخواستی برای آن ها ندارند، انجام می دهد.
به عبارت دیگر، فایروال سطح DNS (DNS level website firewalls) به طور قابل توجهی باعث کاهش بار سرور میزبانی وردپرس می شود و همچنین در مورد عدم down شدن سایت ، ایمن سازی لازم را انجام می دهد.
با بررسی و درنظر داشتن 2 مورد مذکور ، حال به بررسی و معرفی چند مورد از معتبرترین و بهترین پلاگین فایروال وردپرس می پردازیم:
1- پلاگین Cloudflare
Cloudflare بهترین پلاگین فایروال وردپرس برای سرویس CDN رایگان است که شامل حفاظت DDoS اولیه نیز می باشد. با این حال، سرویس رایگان این پلاگین شامل نرم افزار فایروال وب نیست. برای WAF لازم استسرویس Pro این پلاگین را خریداری نمایید.
Cloudflare همچنین یک فایروال سطح DNS است. این کار، عملکرد وب سایت را بهبود بخشیده و زمان خرابی را در صورتی ترافیک زیادی نداشته باشید کاهش می دهد.
سرویس Pro فقط شامل حفاظت از DDoS در برابر حملات لایه 3 است. برای محافظت در برابر حملات پیشرفته DDoS مانند لایه 5 و 7، باید به دنبال راه چاره دیگری باشید.
در واقع مزیت پلاگین Cloudflare برخورداری از سرویس های CDN، حافظه پنهان(caching) و شبکه عظیمی از سرورهای متعدد می باشد. از معایب آن نیز می توان به عدم اسکن کردن امنیتی در سطح نرم افزار ، عدم حفاظت از بدافزارها، حذف نکردن لیست سیاه و پیشنهاد ندادن اطلاعیه ها و هشدارهای امنیتی است همچنین این پلاگین ، تغییرات فایل ها و سایر تهدیدات امنیتی معمول وردپرس نظارت نمی کنند.
2- پلاگین Sucuri
Sucuri یکی از شرکت های پیشرو در امنیت وب سایت های وردپرس است. فایروال سطح DNS (DNS level firewall) ارائه شده توسط این پلاگین، از نفوذ بروت فورس پیشگیری کرده، لیست سیاه و بدافزار ها را حذف می کند. تمام ترافیک وبسایت شما از طریق سرورهای Cloudproxy به ازای هر درخواست اسکن می شود، ترافیک قانونی مجاز خواهد بود از آن عبور کند و تمام درخواست های مخرب مسدود می شوند.
Sucuri همچنین عملکرد وب سایت را با کاهش بار سرور از طریق بهینه سازی ذخیره سازی، و CDN بهبود می بخشد، و نیز وب سایت شما را در مقابل حملات SQL، XSS، RCE، RFU و سایر حملات ناشناخته محافظت می کند.
راه اندازی WAF با استفاده از این پلاگین بسیار آسان است. کافی است یک رکورد DNS A را به دامنه خود اضافه کرده و به جای وب سایت خود به Sucuri cloudproxy اشاره کنید.
3- پلاگین Wordfence Security
Wordfence Security یک پلاگین فایروال وردپرس به صورت نرم افزار فایروال داخلی وب سایت است که سایت وردپرس را به لحاظ بد افزار ها، تغییرات فایل ها، تزریق SQL و … نظارت می کند. همچنین وب سایت را در مقابل حملات DDoS و حملات بروت فورس(brute force attacks) محافظت می کند.
این فایروال روی سرور شما فعال می شود و ترافیک بد(مخرب) پس از رسیدن به سرور و قبل از بارگذاری روی وب سایت مسدود می شود. این روش کارآمدترین راه برای مقابله با حملات نیست. تعداد زیادی از درخواست های بد(مخرب) سبب افزایش بار روی سرور شما می شود چرا که این نرم افزار فایروال سطح کاربر است و با شبکه تحویل محتوا (CDN) عرضه نمی شود.
قابلیت ویژه این پلاگین ، امکان زمان بندی برای اسکن سایت در زمان های مختلف می باشد ، همچنین این امکان را به شما می دهد که به صورت دستی بر ترافیک نظارت کرده و از قسمت وردپرس admin area مستقیما IPهای مشکوک را دیده و مسدود نمایید.
4- پلاگین SiteLock
سایت SiteLock یکی دیگر از بهترین شرکت های ارائه کننده امنیت وب سایت شناخته می شود که عرضه کننده نرم افزار فایروال وب سایت، حفاظت از DDoS،خدمات اسکن سایت و تشخیص بدافزارها و پلاگین فایروال وردپرس می باشد.
SiteLock’s WAF یک فایروال سطح DNS همراه با سرویس CDN است که مشتمل بر همه برنامه ها برای بهبود عملکرد وب سایت شما می باشد و اسکن روزانه بد افزار ها، بررسی تغییر فایل ها، هشدارهای امنیتی و حذف بدافزار را ارائه می دهند.
این سایت همچنین با بسیاری از شرکت های میزبانی همکاری داشته و پلن اولیه خود را به عنوان یک افزونه ارائه داده است. اگر وبلاگ وردپرس را با Bluehost آغاز کنید، SiteLock به عنوان یک افزونه نمایش داده می شود که می توانید به بسته ی میزبانی خود اضافه کنید. با این حال، محتوای افزونه مشخص نیست و چگونگی عملکرد آن با آنچه که در برنامه های ارائه شده در سایت رسمی SiteLock وجود دارد متفاوت است.
5- پلاگین BulletProof Security
BulletProof security یکی دیگر از پلاگین های محبوب وردپرس است. این پلاگین با فعالسازی نرم افزار فایروال سطح داخلی(a built-in application level firewall)، ایجاد امنیت برای ورود کاربران(login security) ، پشتیبان گیری از پایگاه داده(database backup)، فعال کردن حالت تعمیر و نگهداری و چندین ترفند امنیتی به محافظت از وب سایت می پردازد.
BulletProof security رابط کاربری مناسبی را دارا نیست و بسیاری از کاربران مبتدی برای کار با این پلاگین دچار مشکل می شوند. این پلاگین به صورت یک setup wizard فعال می شود که به صورت اتوماتیک فایل های htaccess. در وردپرس را آپدیت (به روز رسانی) کرده و امکان حفاظت از فایروال را فراهم می کند. همچنین این پلاگین اسکنری برای بررسی کد های مخرب در وبسایت ندارد.