Один из клиентов нашей студии узнал о заражении сайта не от нас и не от хостера - он увидел в браузере красный экран с надписью «Этот сайт может причинить вред вашему компьютеру». Трафик упал за сутки, телефон разрывался от звонков покупателей. Вирус жил на сайте, судя по логам, больше трёх недель. Хостинговый антивирус? Молчал.
Я Андрей Зенков, руководитель веб-студии «Мельница», занимаюсь продвижением и безопасностью сайтов с 2013 года. Ситуацию выше я видел десятки раз: стандартные инструменты хостинга закрывают угрозы на уровне сервера, но пропускают вредоносный код, встроенный прямо в файлы WordPress. Поэтому для реальной безопасности WordPress нужен отдельный инструмент - wordpress сканер вирусов плагин, который проверяет именно вашу инсталляцию изнутри.
Для базовой защиты WordPress подойдёт бесплатная связка Wordfence + NinjaScanner: первый закрывает входящий трафик брандмауэром, второй контролирует целостность файлов - вместе они перекрывают большинство реальных векторов заражения без платной подписки.
Из практики студии «Мельница»
В этой статье разберу, какие плагины реально защищают сайт: Wordfence, Sucuri Security, NinjaScanner, Anti-Malware by GOTMLS - как они работают, чем отличаются и какой поставить в зависимости от вашей ситуации. Статья не про общие советы по безопасности wordpress - только про сканирование, обнаружение угроз и первые шаги при заражении. Настройка брандмауэра и двухфакторная аутентификация - это отдельные темы.
Как вирусы попадают на сайт WordPress и чем это грозит
Владелец сайта обычно узнаёт о заражении последним - после Google, Яндекса, браузера и части посетителей. Чтобы понять, почему так происходит, нужно знать основные векторы атак.
Уязвимые плагины и темы - самый массовый канал заражения. Разработчики регулярно закрывают дыры в своих продуктах, но если вы не обновляете плагины и темы неделями, сайт становится лёгкой мишенью. Автоматизированные боты сканируют миллионы сайтов в поиске известных уязвимостей и эксплуатируют их без участия человека.
Нулевые (nulled) версии плагинов - отдельная история. Бесплатная копия платного плагина почти всегда содержит backdoor: вредоносных программ там нет в явном виде, но есть скрытый код, который открывает доступ к сайту при первом удобном случае. Мы в студии видели такие случаи неоднократно.
Атаки brute force на страницу входа wp-admin - классика. Боты перебирают пары логин/пароль по словарям. Если у вас стоит admin/admin или слабый пароль без двухфакторки - это вопрос времени, а не вероятности.
Заражённый сосед на shared-хостинге - риск, о котором мало говорят. На одном сервере могут жить сотни сайтов других клиентов. Если хостер плохо изолирует аккаунты, вредоносный код с соседнего сайта может перекочевать к вам через общие директории или уязвимости конфигурации.
Вредоносные загрузки через формы и медиабиблиотеку - ещё один вектор. Если на сайте есть загрузка файлов без должной валидации, злоумышленник может залить PHP-шелл под видом картинки.
Что происходит после заражения:
- Google и Яндекс помечают сайт как опасный - трафик из поиска обрушивается за 24-48 часов
- Браузеры Chrome и Firefox показывают красный экран предупреждения - большинство пользователей уходят немедленно
- Репутация в глазах покупателей и партнёров страдает надолго: даже после чистки часть других агрегаторов продолжает держать пометку «опасный» несколько недель
- Хостер может заблокировать аккаунт, если сайт используется для рассылки спама или DDoS
- Данные клиентов могут быть скомпрометированы - в зависимости от типа данных это может повлечь претензии от регуляторов или пострадавших клиентов
Всё это реально и происходит регулярно. Именно поэтому сканирование - не паранойя, а рабочая процедура.
Что умеет плагин-сканер: ключевые функции, на которые смотреть
Прежде чем сравнивать конкретные решения, разберёмся с тем, как вообще работают сканеры и что должно быть в инструменте, которому вы доверяете безопасный сайт.
Сигнатурный анализ - базовый механизм. Плагин сравнивает файлы сайта с базой известных сигнатур вредоносного кода: характерных строк, паттернов, хешей. Это надёжно против известных угроз, но бессильно против свежих или обфусцированных вирусов. Хорошие сканеры обновляют базы сигнатур регулярно - иногда несколько раз в сутки.
Проверка целостности файлов (File Integrity Monitoring) - то, что я считаю обязательным. Плагин сравнивает ваши файлы ядра WordPress, тем и плагинов с эталонными версиями из официального репозитория. Если файл изменён - это повод для расследования. Именно через проверку целостности файлов часто находят встроенные бэкдоры, которые сигнатурный анализ пропускает.
Поведенческий анализ и эвристика - следующий уровень. Плагин ищет не конкретные строки, а подозрительные паттерны: base64-кодирование в неожиданных местах, eval() с динамическим кодом, скрытые iframe, ссылки на внешние ресурсы в файлах, где их быть не должно.
Сканирование по расписанию - критически важная функция. Ручная проверка раз в месяц бессмысленна: сканирование по расписанию позволяет ловить угрозы в течение часов, а не недель. Хорошие плагины позволяют настроить ежедневные или еженедельные автопроверки с отправкой отчёта на почту.
Анализ базы данных - часто недооценённая функция. Вредоносный код может храниться не в файлах, а в записях таблиц WordPress: в контенте страниц, в настройках, в виджетах. Плагин, который включает в себя сканирование БД, закрывает этот вектор.
Уведомления об изменениях файлов - практичный инструмент мониторинга. Плагин фиксирует все изменения в файловой системе и сообщает о них. Это помогает не только ловить вирусы, но и отслеживать несанкционированные правки.
Карантин и malware removal - принципиально разные вещи. Карантин изолирует подозрительный файл, не удаляя его сразу. Это безопасно, потому что автоматическое удаление иногда ломает функциональность сайта - удалённый файл может оказаться легитимным. Полноценный malware removal - восстановление чистых версий файлов - чаще всего доступен в платных тарифах. В бесплатных версиях плагин покажет проблему, но чистить придётся руками или с помощью специалиста.
Локальное против удалённого сканирования: локальное работает прямо на сервере и видит всё, но нагружает хостинг. Удалённое (как у Sucuri) сканирует то, что отдаёт сайт снаружи, - быстро и без нагрузки, но не видит скрытый код, который не выводится в HTML. Идеально - комбинация обоих подходов.
Топ плагинов для сканирования вирусов: сравнительный обзор
За годы работы со студийными проектами я перебрал десятки решений. Честный ответ на вопрос «какой плагин лучший»: такого не существует. Выбор зависит от задачи: одному сайту нужен бесплатный сканер с расписанием, другому - облачный файервол с malware removal в комплекте. Ниже - компактный обзор восьми плагинов, которые реально используются на живых проектах, и сравнительная таблица по ключевым параметрам.
Wordfence Security - самый популярный плагин в своей категории. Встроенный брандмауэр, сигнатурный сканер, мониторинг трафика в реальном времени. Работает локально на сервере, что даёт детальную картину, но создаёт нагрузку при полном сканировании. Бесплатная версия функциональна, платная добавляет обновления сигнатур в режиме реального времени.
Sucuri Security - облачное решение с CDN-файерволом. Сканирование удалённое, нагрузка на хостинг минимальная. Платный тариф включает ручное удаление вредоносных программ с гарантией. Бесплатный функционал ограничен: аудит активности и базовый мониторинг без полноценной очистки.
MalCare - облачный сканер с акцентом на автоматическое one-click удаление. Не нагружает сервер, ищет вредоносов по поведению, а не только по сигнатурам. Из минусов - очистка только в платной версии, цена выше среднего.
NinjaScanner - недооценённый инструмент с открытым исходным кодом. Фоновое сканирование, проверка целостности файлов ядра, поддержка мультисайт. Хорошо подходит для технически грамотных администраторов.
Anti-Malware Security and Brute-Force Firewall (GOTMLS) - бесплатный плагин с открытым исходным кодом, база сигнатур обновляется через сообщество. Дополнительно защищает от brute force атак на форму входа.
BulletProof Security - bulletproof security в буквальном смысле: упор на защиту .htaccess, скрытие служебных файлов, мониторинг базы данных. Интерфейс сложнее других, но возможности настройки шире.
Security Ninja - проводит более 50 проверок конфигурации сайта и сканирует файлы на вредоносный код. Платная версия добавляет автоматическое исправление найденных проблем. Хорош как дополнение к основному сканеру.
Quttera - облачный сканер с детектированием обфусцированного кода и фишинговых ссылок. Бесплатное сканирование доступно, но очистка - платная услуга. Удобен для разовой проверки чужого сайта перед покупкой или аудитом.
| Плагин | Сканирует БД | Удаление вредоносов | Расписание | Цена | Открытый код |
| Wordfence | Да | Частично (free) / Да (paid) | Да | Free / от $119/год | Нет |
| Sucuri Security | Нет | Только paid (ручное) | Да | Free / от $199/год | Нет |
| MalCare | Да | Только paid | Да | Free / от $99/год | Нет |
| NinjaScanner | Нет | Нет | Да | Free / от $39.99/год | Да |
| Anti-Malware (GOTMLS) | Да | Частично (free) | Нет | Free / донейшн | Да |
| BulletProof Security | Да | Нет | Да | Free / $69.95 разово | Нет |
| Security Ninja | Нет | Только paid | Только paid | Free / от $49.99/год | Нет |
| Quttera | Нет | Только paid | Нет | Free / от $10/мес | Нет |
Если бюджет нулевой - Anti-Malware или NinjaScanner дают безопасный минимум без вложений. Если сайт коммерческий и простой недопустим - смотрите в сторону других платных решений с гарантией очистки.
Wordfence и Sucuri: подробный разбор лидеров рынка
Два плагина, которые чаще других всплывают в разговорах про безопасности wordpress, - Wordfence и Sucuri. Оба с репутацией, оба реально работают. Но устроены принципиально по-разному, и путать их - распространённая ошибка при выборе.
Wordfence: локальный сканер с брандмауэром
Разработчики Wordfence - компания Defiant Inc. - построили продукт вокруг идеи полного контроля на стороне сервера. Плагин устанавливается на WordPress и работает изнутри: перехватывает входящий трафик через PHP-файервол, сканирует файлы локально, сравнивает их с эталонными версиями из репозитория WordPress.org.
Сигнатурный сканер проверяет файлы темы, плагинов и ядра на наличие вредоносного кода, бэкдоров и подозрительных паттернов. Отдельно проверяется база данных - таблицы posts, options, users - на инжекты и скрытые ссылки. При обнаружении угрозы плагин показывает разницу между текущим файлом и оригиналом, что удобно для ручного разбора.
Слабая сторона локального подхода - нагрузка на хостинг. Полное сканирование среднего сайта занимает несколько минут и заметно потребляет CPU. На shared-хостингах это иногда вызывает жалобы от провайдера. Решение - запускать сканирование ночью по расписанию и ограничивать приоритет процесса в настройках.
Бесплатная версия включает файервол и сканер, но базы сигнатур обновляются с задержкой 30 дней относительно платной. Разработчики намеренно держат этот разрыв, чтобы мотивировать переход на Premium. Для большинства небольших сайтов бесплатная версия закрывает базовые потребности; для интернет-магазинов с транзакциями стоит рассмотреть платный тариф.
Sucuri: облачный файервол и malware removal как услуга
Sucuri (сейчас входит в GoDaddy) строится на противоположном принципе - защита снаружи. Трафик на your website проходит через облачный WAF Sucuri до того, как достигнет сервера. Вредоносные запросы, DDoS, боты - всё фильтруется на уровне сети.
Сканирование у Sucuri тоже удалённое: сервисы проверяют публично доступные страницы сайта на признаки заражения, фишинговый контент, чёрные списки Google Safe Browsing и других агрегаторов репутации. Это значит: плагин не видит файлы на сервере напрямую, только то, что отдаёт HTTP-ответ.
Главное преимущество платного тарифа Sucuri - услуга malware removal с гарантией. Команда разработчиков и аналитиков вручную чистит заражённый сайт и восстанавливает его работу. Для агентств и студий, которые обслуживают чужие проекты, это снимает головную боль: не надо самому разбираться в каждом конкретном инциденте.
Ограниченный бесплатный функционал - честная претензия к Sucuri. Без платного WAF плагин фактически сводится к мониторингу репутации и уведомлениям. Сам по себе он не заблокирует атаку и не очистит файлы. Если бюджета на Sucuri нет - лучше выбрать другой инструмент с реальными бесплатными возможностями, чем создавать иллюзию защиты.
Итоговый совет: Wordfence - для тех, кто хочет держать всё под контролем самостоятельно и имеет нормальный хостинг. Sucuri - для тех, кто готов платить за облачный периметр и делегировать очистку профессионалам. Совмещать оба на одном сайте смысла мало - достаточно одного.
NinjaScanner и Anti-Malware: плагины с открытым исходным кодом
Среди других вариантов, которые незаслуженно остаются в тени громких имён, - NinjaScanner и Anti-Malware Security. Оба написаны с открытым исходным кодом, оба бесплатны в базовой версии, и оба решают реальные задачи на реальных сайтах.
NinjaScanner: фоновое сканирование без просадки сервера
NinjaScanner разработан командой NinTechNet - тех же разработчиков, что стоят за Security Ninja. Концепция плагина строится вокруг одного принципа: сканирование не должно тормозить сайт. Проверка файлов идёт в фоновом режиме, порциями, без монолитной нагрузки на PHP и базу данных.
Ключевая функция - проверка целостности файлов ядра WordPress, а также тем и плагинов из официального репозитория. Плагин сравнивает хеш-суммы файлов с эталонными значениями и сигнализирует об изменениях - даже если вредоносный код внешне выглядит безобидно. Именно этот метод хорошо ловит ситуации, когда злоумышленник модифицирует легитимный файл, а не добавляет новый.
Для обнаружения вирусных сигнатур NinjaScanner может использовать базы ClamAV - если антивирус установлен на сервере. Это нетипичная для WordPress-плагинов интеграция, но она даёт доступ к зрелой и постоянно обновляемой базе сигнатур независимого проекта.
Сканирование по расписанию настраивается через стандартный интерфейс плагина - можно выставить ежедневную или еженедельную проверку. Поддерживается мультисайт, что важно для сетей WordPress с десятками дочерних сайтов. В моей практике NinjaScanner хорошо показал себя именно на мультисайтовых установках: когда нужно держать руку на пульсе сразу нескольких проектов без лишней нагрузки на общий сервер.
Минус: плагин не умеет удалять вредоносный код самостоятельно. Он находит и сигнализирует, дальше - ваша работа. Для технически грамотного администратора это нормально, для тех кто хочет «нажать кнопку и забыть» - нет.
Anti-Malware Security and Brute-Force Firewall: сила сообщества
Anti-Malware Security (известный также как GOTMLS) - проект с открытым исходным кодом, который живёт за счёт сообщества пользователей. Разработчик Eli Scheetz поддерживает плагин больше десяти лет, и за это время собралась база сигнатур, выявленных на реальных заражённых сайтах.
Особенность подхода: база сигнатур обновляется не централизованно, как у Wordfence, а через добровольные загрузки от зарегистрированных пользователей. Если вы нашли новый вредонос и поделились им - он попадает в базу для других. Anti malware сигнатуры таким образом отражают актуальную картину угроз, хотя скорость реакции зависит от активности сообщества.
Дополнительно плагин защищает от brute force атак на wp-login.php: ограничивает число попыток входа, может блокировать IP и скрывать форму авторизации от ботов. Это делает его полезным даже на сайтах, где нет другого инструмента защиты входа.
Проверка файлов идёт локально на сервере, что означает нагрузку при полном сканировании - примерно как у Wordfence. Зато плагин сканирует и файлы, и базу данных, и может частично исправлять найденные проблемы в бесплатной версии - редкость среди других бесплатных инструментов.
Главное преимущество открытого исходного кода в обоих случаях - аудируемость. Любой разработчик может проверить, что именно делает плагин на сервере. Это снижает риск ситуации, когда инструмент безопасности сам оказывается источником угрозы - случай редкий, но в истории WordPress такие инциденты были. Независимость от конкретного вендора означает и то, что код не исчезнет вместе с компанией: сообщество может форкнуть и продолжить поддержку.
Для небольших сайтов с ограниченным бюджетом связка NinjaScanner для мониторинга изменений файлов плюс Anti-Malware для периодической проверки по расписанию - рабочий и безопасный вариант без единого рубля затрат.
Как правильно настроить сканер и что делать при обнаружении угрозы
Установить плагин - это половина дела. Важно правильно его настроить, чтобы сканирование по расписанию работало автоматически и не пропускало новые угрозы. Дам пошаговый порядок действий, который мы используем в студии при подключении нового сайта.
Установка и первичная настройка. После активации плагина сразу запусти полное сканирование вручную - это базовый совет, который многие игнорируют. Первичная проверка покажет текущее состояние сайта до того, как плагин начнёт работать в фоне. В настройках включи проверку целостности файлов ядра WordPress - это функция, которая сигнализирует, если системные файлы были изменены.
Расписание. Настрой сканирование по расписанию - минимум раз в сутки для активных сайтов, раз в три дня для некрупных блогов. Большинство плагинов позволяют выбрать время: ставь ночные часы, чтобы не нагружать сервер в пиковое время.
Интерпретация результатов. Плагины нередко дают ложные срабатывания: например, помечают кастомный код темы или сторонние скрипты как подозрительные. Прежде чем удалять файл, разберись, что он делает. Реальная угроза - это обфусцированный код, iframe с чужим доменом, eval()-конструкции или незнакомые файлы в директории uploads, которые включают в себя исполняемые скрипты.
Если угроза подтверждена, действуй по алгоритму:
| Шаг | Действие | Инструмент |
| 1 | Сделай резервную копию заражённого сайта (для анализа) | UpdraftPlus, хостинг-бэкап |
| 2 | Переведи сайт в режим обслуживания или закрой доступ | Coming Soon плагин, .htaccess |
| 3 | Помести заражённые файлы в карантин или удали | Wordfence, MalCare, Sucuri |
| 4 | Запусти malware removal - автоматическое лечение | MalCare Auto-Clean, Sucuri Firewall |
| 5 | Проверь целостности файлов ядра и плагинов | NinjaScanner, Wordfence File Check |
| 6 | Смени все пароли: админ, FTP, БД, хостинг-панель | Вручную |
| 7 | Проверь сайт через Google Search Console на статус безопасный / заблокирован | Google Search Console |
Важное предупреждение: не устанавливай два сканера одновременно в активном режиме. Они конфликтуют между собой, создают двойную нагрузку и могут давать противоречивые результаты. Один основной сканер - достаточно. Второй плагин можно использовать только для разовой ручной проверки, после чего деактивировать.
После успешного лечения обязательно запроси повторную проверку в Google Search Console - это позволяет снять пометку о заражении, если Google успел её поставить. Без этого шага трафик будет падать, даже если сайт уже чистый.
Практический выбор: какой плагин поставить прямо сейчас
Хватит теории - дам конкретные рекомендации по сценариям. Мой совет простой: выбирай исходя из бюджета и типа сайта, а не из количества звёзд в репозитории.
Сценарий 1. Новый блог с нулевым бюджетом. Ставь NinjaScanner для мониторинга целостности файлов и Wordfence Free как основной сканер с брандмауэром. Они решают разные задачи: Wordfence фильтрует входящий трафик и ловит известные угрозы, NinjaScanner помогает чтобы узнать, не появился ли посторонний код в файлах. Чтобы не создавать конфликтов, в настройках Wordfence отключи дублирующее сканирование файлов - тогда оба инструмента работают без нагрузки и без взаимного перекрытия. Это проверенная связка для безопасности WordPress без вложений, которая стабильно работает даже на слабом хостинге.
Сценарий 2. Интернет-магазин или сайт с данными клиентов. Здесь экономить на безопасности - прямой риск для бизнеса и репутации. Рекомендую MalCare или Sucuri платный тариф. Оба предлагают автоматическое удаление вредоносных программ без ручного вмешательства, защищают your website на уровне облачного файрвола и дают уведомления в реальном времени. MalCare удобнее для тех, кто не хочет разбираться в технических деталях - лечение в один клик. Sucuri лучше, если нужен аудит и отчёт для клиента.
Сценарий 3. Агентство с несколькими сайтами. Управлять десятью сайтами через десять разных дашбордов - та ещё задача. Wordfence Premium с централизованным управлением или MalCare с многосайтовой панелью решают это. В студии мы используем MalCare для клиентских проектов: один экран, статус всех сайтов, быстрое реагирование на угрозу на любом из них.
Сценарий 4. Технически грамотный пользователь. Если ты понимаешь структуру WordPress, умеешь работать с FTP и не боишься ковыряться в файлах - Anti-Malware Security в связке с ручным аудитом кода даёт максимальный контроль. Плагин бесплатный, регулярно обновляет базы, а ручная проверка через чтение кода позволяет находить то, что автоматика пропускает.
Отдельный совет: какой бы плагин ты ни выбрал, настрой уведомления на email. Большинство заражений обнаруживается не сразу, и чем быстрее ты узнаешь о проблеме, тем меньше ущерба для позиций и трафика. Письмо от anti malware сканера в три часа ночи лучше, чем звонок клиента в понедельник утром с вопросом, почему сайт в красном экране.
Если ещё не определился - начни с Wordfence Free прямо сейчас. Установка занимает пять минут, первое сканирование запускается сразу после активации. Потом разберёшься, нужен ли апгрейд. Главное - не откладывать: незащищённый сайт остаётся незащищённым каждый день.
Эта статья носит информационный характер и основана на личном опыте автора. Интерфейсы сервисов и алгоритмы поисковых систем регулярно меняются - рекомендую проверять актуальность инструкций на официальных ресурсах. Если у вас остались вопросы - задайте их в комментариях.
Список литературы
- WordPress.org Team - Plugin Handbook: Security // WordPress Developer Resources, 2024
- Sucuri Inc. - Website Threat Research Report // Sucuri Blog (sucuri.net), 2023
- Wordfence Intelligence - WordPress Vulnerability Database // Wordfence.com, 2024
- National Institute of Standards and Technology (NIST) - Guide to Enterprise Patch Management Planning // NIST Special Publication 800-40r4, 2022
