Mezitím více než 43 procent všech webových stránek běží na systému WordPress. Díky tomu je náš oblíbený CMS oblíbeným cílem útoků a malwaru. Není však třeba propadat panice! Protože zabezpečení WordPressu není žádné čarodějnictví. Kromě praktických bezpečnostních rad pro vás dnes máme v kufru tři nejlepší bezpečnostní pluginy pro WordPress a ukážeme vám, kdy je opravdu potřebujete.
Potřebuji vůbec ještě bezpečnostní plugin pro WordPress? Na tuto otázku se nás na podpoře ptají pravidelně. V následujícím článku bych vám rád ukázal, jakou přidanou hodnotu má bezpečnostní plugin pro zabezpečení vašeho webu WordPress a kdy má opravdu smysl ho používat.
Ve druhé části porovnáme tři nejoblíbenější bezpečnostní pluginy pro WordPress, abyste měli rychlý přehled. Můžete se tak rychle a cíleně rozhodnout a pak se vrátit k tomu podstatnému: k vašemu podnikání.
Proč je zabezpečení WordPressu tak důležité
V zásadě existují tři hlavní aspekty, proč byste se měli aktivně zabývat bezpečností svých webových stránek WordPress a nestrkat hlavu do písku.
#1 se váš web může stát nepoužitelným
Před pár lety jsme stále pracovali v agenturní oblasti. Bylo zcela přirozené, že nám bylo dovoleno zahájit kompletní přepracování stránky, protože původní stránka se stala nepoužitelnou kvůli bezpečnostním problémům, kterým bylo možné se vyhnout.
Někdo, kdo instaluje malware na weby, obvykle nemá zájem je zničit. Útočník je přece chce využít k rozesílání spamu, přesměrování návštěvníků na nevyžádané webové stránky, vkládání reklam nebo například ke generování kryptoměn. Kromě obecného omezení funkčnosti webu může malware vést také ke značným problémům s výkonem.
"*" povinný údaj
#2 na černou listinu a krach v žebříčku Google
Ještě závažnějším bodem je v dnešní době zařazení domény na černou listinu, zejména společností Google nebo Norton. Pokud Google zařadí vaši webovou stránku na černou listinu, znamená to v nejhorším případě, že bude vaše webová stránka odstraněna z výsledků vyhledávání Google.
Po útoku malwaru je možné znovu odeslat skenování webu. To však nezaručuje, že získáte zpět své předchozí hodnocení. Zejména u důležitých klíčových slov, na která se vydělávají peníze, nebo u vysoké organické návštěvnosti to může mít vážné ekonomické důsledky.
#3: Ztráta dat
Zejména v době GDPR, kdy téma ochrany údajů dosáhlo nového rozměru, je třeba chránit odpovídající údaje. Zatímco u běžných firemních webových stránek je to méně důležité, u webových stránek obchodu je to ještě dramatičtější, pokud nejsou dostatečně chráněny platební údaje.
Typické hrozby pro zabezpečení WordPressu
Útoky hrubou silou na přihlašovací oblast
Při útoku hrubou silou se automaticky vyzkouší velké množství kombinací hesel, aby se získal přístup k webové stránce prostřednictvím přihlašovacího okna /wp-admin systému WordPress. Jakmile se to podaří a účet na webu má práva správce, je web téměř zcela v rukou někoho jiného.
Naše zkušenost na Raidboxes ukazuje: Používáním silného hesla a omezením počtu pokusů o přihlášení lze předejít téměř všem případům škodlivého softwaru. Ale o tom až za chvíli.
Automatizované zneužívání bezpečnostních chyb
Útoky na webové stránky jsou zpravidla automatizované. Webové stránky WordPressu jsou automaticky skenovány tzv. crawlery, například kvůli určitému pluginu, který obsahuje bezpečnostní zranitelnost. Při útocích mohou být zneužívány různé bezpečnostní chyby, například SQL injections nebo cross-site scripting.
Ruční útoky
Zranitelnost zabezpečení je samozřejmě možné zneužít i ručně. To je však spíše výjimečné, protože vynaložené úsilí by se vyplatilo pouze velkým obchodům WooCommerce , kde by skutečně mělo dojít k odcizení platebních údajů.
8 bezpečnostních opatření, která děláme jako hostitel
Specializovaný hosting WordPressu může v zásadě výrazně zvýšit zabezpečení vašich webových stránek. V průběhu let jsme neustále rozšiřovali koncept zabezpečení Raidboxes , takže případy malwaru se staly naprostou raritou. Podrobná analýza případů malwaru pomáhá zejména identifikovat často používané bezpečnostní chyby a vhodnými opatřeními jim předcházet.
#1 Silná hesla - nejdůležitější bezpečnostní opatření vůbec
Jedním z nejdůležitějších bezpečnostních opatření je silné heslo pro všechny účty. Bohužel jako hostitel máme na přidělování hesel jen omezený vliv. Zejména v případě přemístění můžeme mít na hesla jen malý vliv. Vynucování silného hesla při vytváření webu Box (tj. nového webu WordPress) vedlo k výraznému snížení počtu útoků malwaru.
Jako připomínku
Heslo by se mělo skládat z číslic, speciálních znaků a malých písmen a mělo by mít minimálně sedm znaků. Pokud tomu tak u vašich účtů WordPress není, měli byste rozhodně nejprve učinit krok 1 a hesla okamžitě změnit.
#2 Ochrana proti útokům hrubou silou
Webové stránky jsou výše popsanými útoky hrubou silou napadány téměř miliardkrát měsíčně. Je dobré, pokud se o to váš hosting WordPressu již postaral. Naše ochrana přihlášení se dostane před vaši přihlašovací oblast WordPressu a"zařadí na černou listinu"IP adresy, které se opakovaně pokoušejí přihlásit pomocí falešných přihlašovacích údajů.
V nastavení webu Box můžete přesně definovat, po kolika pokusech o přihlášení se má toto blokování projevit a jak dlouho budou dané IP adresy blokovány. V kombinaci se silným heslem je prakticky nemožné získat tímto způsobem přístup na webové stránky.
#3 guma relace WP
Podle webu GDPR byste měli ukládat co nejméně dat. S tím vám pomůžeme! Náš nástroj pro větší úsporu dat - WordPress Session Eraser - odstraní relace WordPress všech vašich uživatelů z databáze po předem definovaném intervalu. Tento interval můžete nastavit individuálně pro každý Box v nastavení schránky na adrese Dashboard .
#4 Výchozí blokování vzdáleného volání procedur XML
XML-RPC je rozhraní, které je k dispozici na všech webových stránkách WordPress od verze WordPress 3.5. Vzhledem k tomu, že naprostá většina správců webů stejně XML-RPC nepoužívá, má smysl toto rozhraní deaktivovat. Protože: Hackeři mohou váš web napadnout přímo prostřednictvím rozhraní XML-RPC.
Z tohoto důvodu je nyní rozhraní ve výchozím nastavení blokováno a v případě potřeby jej lze povolit prostřednictvím nastavení na adrese Raidboxes Dashboard .
#5 aktualizace spravovaného zabezpečení z WordPress
Samozřejmě, že aktualizace WordPressu je nezbytná. Nové verze WordPressu jsou vydávány přibližně každé 2-3 měsíce. Zejména údržbové aktualizace odstraňují důležité bezpečnostní mezery. Tyto aktualizace by měly být nainstalovány okamžitě.
Velké aktualizace obvykle zahrnují velké změny kódu, a proto může dojít k nekompatibilitě. Abychom měli dostatek času na aktualizace témat a zásuvných modulů, zavádíme hlavní aktualizace do našeho systému vždy po 14 dnech. U ručních aktualizací samozřejmě nejnovější verzi WordPressu zpřístupňujeme okamžitě. Samozřejmě je důležité, abyste si před aktualizací vždy vytvořili zálohu webu!
#6 selektivní ochrana proti zápisu - WordPress Zpevnění Opatření
Jedním ze zaměření pluginu iThemes Security je zvýšit bezpečnost WordPressu ochranou souborů. Ten je u nás také selektivně integrován. Díky tomu je obtížnější infikovat prvky webu a učinit je nepoužitelnými. Vždy je třeba najít rozumnou rovnováhu mezi flexibilitou a bezpečností. Tuto rovnováhu udržujeme prostřednictvím možností konfigurace přímo přes uživatelské rozhraní Raidboxes .
Kromě toho samozřejmě používáme také osvědčené postupy WordPressu tam, kde to dává smysl. Jedním z příkladů je přejmenování prefixu databáze WordPress. Ta v našem případě není přístupná přes standardní wp_. Přejmenování složky wp-content, které nabízí iThemes Security, naopak vede k chybám, protože si s ním pluginy a témata neporadí.
#7 Spravované aktualizace zásuvných modulů od společnosti WordPress
Nyní je čas uzavřít poslední hlavní bránu k útokům: neaktualizované zásuvné moduly. Stejně jako u samotného WordPressu se mohou bezpečnostní chyby vyskytnout i u zásuvných modulů a témat. Ne každá aktualizace obsahuje bezpečnostní funkce. Nicméně pokud jsou všechny zásuvné moduly aktuální, pravděpodobnost výskytu bezpečnostních chyb je výrazně nižší.
#8 opatření na straně serveru
Všechna výše uvedená opatření chrání samotný WordPress. Kromě toho samozřejmě existuje téměř nekonečný seznam bezpečnostních opatření, která se týkají samotného serveru. Začíná to aktualizacemi systému Linux a končí pravidelnou aktualizací jazyka PHP jako základu systému WordPress. Postaráme se o automatickou aktualizaci zastaralých verzí PHP (samozřejmě s patřičným předstihem a časem na testování), aniž byste se o to museli starat sami.
Nevýhody bezpečnostních pluginů WordPress
S ohledem na to bych nyní rád stručně probral nevýhody bezpečnostních zásuvných modulů. Některé z nich nejsou zanedbatelné, zejména z časového hlediska.
Instalační úsilí
Každý, kdo si myslí, že pouhá instalace zásuvného modulu stačí, se mýlí. Nastavení bezpečnostního modulu plug-in bohužel vyžaduje také určité znalosti.
Na příkladu zásuvného modulu Zabezpečení vše v jednom je toho dobrým příkladem. Jedná se o jeden z nejoblíbenějších bezplatných pluginů, který ve velké míře využívá soubor .htaccess. Zásuvný modul však ani nerozpozná, zda se jedná o server NGINX. Nepodporuje totiž koncept souboru .htaccess. NGINX se však v prostředí WordPress používá kvůli své flexibilitě.
Ačkoli jsou bezpečnostní opatření rozdělena do úrovní obtížnosti, což dává smysl, mnoho opatření nabízených zásuvným modulem je méně užitečných. Aby bylo možné adekvátně posoudit potřebnost jednotlivých opatření, je třeba se s bezpečnostní problematikou nevyhnutelně seznámit.
Údržba a plstěná (ne)bezpečnost
Pro náš test jsme nainstalovali různé bezpečnostní moduly plug-in. Jeden z pluginů automaticky použil týmovou e-mailovou adresu uloženou ve WordPressu a začal odesílat e-maily. K velké radosti všech členů týmu...
Bohužel to není vůbec neobvyklé. Samozřejmě chceme být v některých ohledech informováni. Ve většině případů jste však upozorněni na věci, které vůbec nepředstavují bezpečnostní riziko. Nakonec se cítíte nejistější než dříve, protože .B o každé změně souboru a musíte zkontrolovat v případě pochybností.
Problémy s výkonem
Ve výchozím nastavení nabízí každý ze zásuvných modulů kontrolu malwaru nebo zabezpečení. Zásuvný modul Wordfence rád automaticky nastavuje na jednu hodinu. To znamená, že v případě pochybností se každou hodinu (!) spustí skenování stránky prostřednictvím automatického skriptu (prostřednictvím cronjobu). Každý, kdo někdy instaloval do svého počítače antivirový software, zná strastiplné příběhy o někdy obrovských problémech s výkonem.
To může být také důvodem, proč z více než 90 milionů stažení nakonec zůstaly aktivní "pouze" 2 miliony.
Náklady
Pro účely tohoto článku jsme hodnotili pouze pluginy, které jsou k dispozici i v bezplatné verzi. Nicméně u mnoha bezpečnostních pluginů pro WordPress bohužel platí, že skutečně užitečné funkce stojí minimálně 80 dolarů ročně. Pokud je nepoužíváte, často vám zůstane pocit nejistoty.
Kdy je bezpečnostní plugin pro WordPress opravdu užitečný?
Pro ty, kteří chtějí udělat něco navíc, uvádíme několik příkladů, kdy může být bezpečnostní plugin pro WordPress užitečný. Tato doporučení se týkají pouze specializovaného hostingu WordPress. Vzhledem k tomu, že ostatní hostitelé nemusí mít tak specifická a rozsáhlá bezpečnostní opatření, může být bezpečnostní plugin WordPressu vhodný i tam. Jak vidíte, jen stěží lze učinit obecné prohlášení o užitečnosti bezpečnostních pluginů, protože požadavky a okolnosti jsou různé.
Ruční hackování na adrese WooCommerce Shop
Jedná se o jeden z mála příkladů, kdy jsme skutečně aktivně doporučili bezpečnostní doplněk pro zvýšení bezpečnosti webu e-shopy . Zákazník WooCommerce měl dojem, že byl napaden ručně, což je, jak je popsáno výše, velmi vzácné.
V tomto případě mohl použít Wordfence a jeho funkci protokolování rychle identifikovat příslušnou IP adresu a následně ji zablokovat. Útok tak mohl být účinně zastaven.
Čím vyšší je počet zásuvných modulů, tím vyšší je pravděpodobnost bezpečnostních rizik. Zejména pokud se k aktualizaci nepoužívá žádný nástroj, zůstávají existující bezpečnostní mezery v systému dlouho nepovšimnuty a nabízejí prostor pro útoky. Zejména v obchodech WooCommerce je počet zásuvných modulů vzhledem k povaze WooCommerce obvykle vysoký a data jsou zároveň citlivější. Proto by se zde mělo uvažovat o bezpečnostním zásuvném modulu.
Tři nejlepší bezpečnostní pluginy pro WordPress
V následujícím textu bych rád stručně vysvětlil, proč se omezujeme pouze na tři pluginy a nepředstavujeme deset - nebo dokonce 101 nejlepších bezpečnostních pluginů pro WordPress.
Pokud jde o bezpečnostní pluginy, omezujeme se na 3 nejlepší pluginy pro WordPress na světě. Podívali jsme se také na další bezpečnostní pluginy, například All In One WP Security & Firewall, který je nejoblíbenějším čistě bezplatným pluginem (bez prémiové verze) s více než 800 000 uživateli. Použitelnost a částečně i doporučená opatření nás však nepřesvědčily. Zároveň jej lze použít pouze na webových serverech Apache.
Je to o posledních metrech.
Vzhledem k tomu, že pluginy vnímáme spíše jako doplněk k již zabezpečenému hostingu WordPressu, je naším cílem pokrýt poslední 0,1 procenta bezpečnostních rizik. Omezujeme se tedy na profesionální pluginy, které mají velmi vysokou distribuci.
Tento výběr zásuvných modulů je však velmi důležitý i pro ostatní nespecializované hostitele. Zde byste se měli tématu zabezpečení WordPressu věnovat intenzivněji tak jako tak.
Nápověda k rychlému rozhodnutí
Zároveň je důležité, abychom poskytovali rychlou pomoc při rozhodování. Podle našeho názoru je tomu tak v případě prezentace deseti Plugins již není možné, protože nakonec všech deset Plugins musí být vyhodnoceny. Se třemi Plugins s jiným zaměřením je zde rozhodnutí jednodušší.
Omezení na zásuvné moduly All-In-One
Samozřejmě existuje nespočet pluginů, které přebírají jednotlivé funkce, například omezení pokusů o přihlášení (Limit Login Attempts). Ale i funkce, které pluginy nabízejí pouze ve verzích PRO, lze řešit prostřednictvím jednotlivých pluginů. Nejlepším příkladem je tento plugin pro dvoufaktorové ověřování.
Distribuce a data jsou pro brány firewall důležité
Firewally používají určitá pravidla, aby zjistily, zda někdo jedná se zlým úmyslem, nebo jen navštěvuje stránky. Pokud se někdo pokusí na web vstoupit, je zablokován. Pravidla vycházejí zejména ze znalosti existujících bezpečnostních zranitelností. Zároveň je snazší odhalit sítě útočníků, když jsou ve správě 2 miliony stránek, a zablokovat je pro všechny ostatní stránky, než když je stránek 10 000. Proto u bezpečnostních zásuvných modulů hraje roli distribuce.
Vaše osobní oblíbené jsou vítány
To neznamená, že neexistují další skvělé pluginy pro větší bezpečnost WordPressu. Neváhejte v komentářích uvést své osobní oblíbené. Zajistíme tak ještě více rovných příležitostí pro nové inovativní přístupy.
Přehled tří nejlepších bezpečnostních pluginů
| Internetové stránky Plugins | Wordfence | iThemes Security | Sucuri Zabezpečení |
| Odkaz ke stažení | Download | Download | Download |
| Funkce | Tady | Tady | Tady |
| Aktivní instalace | 3+ miliony | 900.000+ | 700.000+ |
| Jazyky | Angličtina | 16 jazyků (také DE) | Angličtina, španělština |
| Testováno s nejnovějšími WordPress Verze | Ano | Ano | až 5,3,4 |
| Počet hodnocení | 3,572 | 3,830 | 338 |
| Hodnocení (pět hvězdiček) | 4,8 | 4,7 | 4,4 |
| Bezplatná verze | Ano | Ano | Ano |
| Premium (roční licence) | od 99 USD | od 80 USD | $199,99 |
| Odstranění malwaru z | $286.40 | nenabíděné | zahrnuto v licenci |
Z přehledu je zřejmé, že každý z pluginů má velmi vysokou distribuci a je dobře hodnocen. Nicméně Wordfence je nespornou jedničkou na trhu a je také dobře vyvážený z hlediska poměru ceny a výkonu. U Sucuri platíte přímo za odstranění malwaru, ale zde se ceny mohou vyšplhat až na 500 dolarů ročně , zejména kvůli rychlejší službě a častějšímu skenování. Na adrese Wordfence Sucuri je profesionální odstranění malwaru nabízeno jako volitelná služba. Vše tedy záleží na vašich potřebách.
Důležité je vědět, že je velmi nepravděpodobné, že by zachytil malware se silnými uživatelskými hesly WP. Podle našeho názoru proto nedává příliš smysl kupovat odstranění malwaru přímo jako službu.
Na adrese Wordfence bezplatné verzi získáte přímý přístup k celému spektru firewallů, na rozdíl například od iThemes Security, kde jsou informace ze sítě přístupné pouze ve verzi PRO.
Důležitý bod, který by se také neměl podceňovat: Wordfence V našem případě je Sucuri jediným nezávislým poskytovatelem, který se specializuje pouze na zabezpečení WordPressu. Sucuri je nyní součástí skupiny GoDaddy a společnost iThemes byla rovněž odkoupena jinou hostingovou společností. Jsou aktivní i v různých dalších oblastech, například ve vývoji témat. Za Wordfence je bezpečnostní společnost Defiant.
Prozatímní závěr
Naše doporučení pro bezpečnostní zásuvné moduly je proto zcela jasné Wordfence. Bezplatná verze pluginu již nabízí komplexní firewall a zaměřuje se na dvě základní témata, která by měl bezpečnostní plugin pro WordPress poskytovat: firewall a bezpečnostní skenování.
Kromě toho se rychle nastavuje, je přehledný a nemate, jako je tomu u jiných zásuvných modulů s příliš technickými informacemi.
Abyste se vyhnuli problémům s výkonem, měli byste v možnostech skenování použít možnost "Skenování s malým množstvím prostředků". Protože se zpracovávají IP adresy, měli bysteAV zavřít pomocí Wordfence .
V následujícím textu se budu opět podrobně věnovat jednotlivým základním oblastem bezpečnostního pluginu WordPressu, aby byly jasné rozdíly mezi pluginy.
Nejdůležitější funkce zásuvného modulu ve srovnání
Monitorování a skenování
| Wordfence | iThemes Security | Sucuri | |
| Bezpečnostní kontroly | Ano | Ano | Ano |
| Naplánované kontroly zabezpečení | Pouze pro Verze | Pouze verze Pro | Pouze verze Pro |
| Identifikace malwaru | Ano | Ano | Ano |
| Identifikace bezpečnostních anomálií | Ano | Ano | Ano |
| Monitorování černé listiny | Pouze bezpečné procházení Google | Kontrola stavu černé listiny | Ano |
| Změny souborů | Ano | Ano | Ano |
| Monitorování DNS | Ano | Nejasné | Ano |
| Monitorování SSL | Ne | Ano | Ano |
| Oznámení | Ano | Ano | Ano |
| Ověření nevyžádané pošty | Pouze pro Verze | Ano | Ano |
| Protokoly zabezpečení | Ano | Ano | Základní |
Důležitou součástí bezpečnostního pluginu WordPress je kontrola, zda webové stránky nebyly napadeny. Vzhledem k tomu, že neexistuje jednotné používání pojmů a pro stejný obsah se často používají různé termíny a vysvětlení, je velmi obtížné provést rozumné srovnání. Přehled by zde měla poskytnout výše uvedená tabulka.
Každý zásuvný modul nabízí funkci skenování
Ačkoli se bezpečnostní kontroly, identifikace malwaru, identifikace bezpečnostních anomálií nebo změn souborů často uvádějí odděleně, znamenají totéž. Porovnání souborů slouží ke kontrole, zda se na webu nachází malware. Podle našich zkušeností se může stát, že nenápadný test u Sucuri může přesto znamenat, že se na webu malware najde, pokud se provede podrobnější skenování nebo se prohlédnou jednotlivé soubory.
Služba iThemes Security jednoduše využívá rozhraní API společnosti Sucuri. Výsledkem práce společností Sucuri i iThemes není nic jiného než bezplatná kontrola webu, kterou lze rovněž nalézt na webových stránkách společnosti Sucuri.
Rozdíly v monitorování černé listiny
Kromě skenování je důležitým faktorem také sledování blacklistu, zejména v případě výše popsaných ztrát v žebříčku. Zde Wordfence podle své vlastní prezentace kontroluje pouze stav bezpečného procházení Google. Pokud se zde webová stránka objeví, je již v zásadě pozdě. Webová stránka bude s největší pravděpodobností vyřazena z výsledků vyhledávání jako první. iThemes Security a Sucuri zde kontrolují přímo několik blacklistů. Výsledek je nicméně totožný. Když se webová stránka objeví na černých listinách, je již pozdě. Tyto kontroly se provádějí právě proto, aby se tomu zabránilo.
Rozšířená kontrola černé listiny je k dispozici pouze Wordfence je k dispozici pouze ve verzi Premium. Zde se kontroluje také bod nevyžádané reklamy, který lze snadno rozpoznat zvenčí a který je pro Google důležitý.
Nízká relevance monitorování DNS
Funkce monitorování DNS a SSL považujeme za málo relevantní. Zatím nevíme o jediném případu, kdy byly provedeny změny DNA nebo SSL za účelem vyšetřování trestné činnosti.
Wordfence skóre v protokolech zabezpečení
Základem bezpečnostního pluginu WordPress by mělo být rozumné zobrazení přihlašovacích údajů. To platí pro všechny zásuvné moduly. Wordfence Jde zde o několik kroků dopředu díky živému sledování provozu. Nejenže jsou rozpoznávány přihlašovací údaje, ale provoz je podle nich kategorizován. Tímto způsobem lze sledovat činnost crawlerů nebo lidské chování s ohledem na bezpečnostní aspekty. Nástroj je proto ideální například pro prevenci ručních hackerských útoků.
Závěr v této kategorii
Kvalitu skenování je obtížné posoudit a bylo by nutné ji vyhodnotit pomocí testovacích případů. iThemes Security a Sucuri mají lepší monitorování černé listiny. Nicméně skenování by mělo v každém případě zabránit tomu, aby se stránka dostala na černou listinu. Co se týče monitorování, funkce živého provozu v systému Wordfence je velkým plusem.
Ochrana v kombinaci s firewally
| Wordfence | iThemes Security | Sucuri | |
| Brána firewall webových aplikací (WAF) | Omezeno | 404 Detekce | Ano |
| Systém detekce vniknutí (IDS) | Ano | Ne | Ano |
| Ochrana DDoS | Ne | Ne | Ano |
| Brute Force Ochranu | Ano | Ano | Ano |
| Blok pokusů o hackování | Ano | Částečně | Ano |
| Zero-day Exploits Protection | Nejasné | Ne | Ano |
| Jednostranná ochrana | Ne | Ne | Ano |
| Heuristická korelace Algorythmus | Nejasné | Ne | |
| Vyrovnávání zatížení / převzetí služeb při selhání | Ne | Ano | Ano |
| Blokující země | Ano | Ne | Ne |
| Pokročilé ruční blokování | Ano | Ne | Ne |
iThemes bez správné brány firewall
Rozdíly mezi jednotlivými moduly plug-in jsou obzvláště patrné, pokud jde o brány firewall. Přístupy k tématu se zásadně liší. Přísně vzato, iThemes-Security nepoužívá skutečný firewall. Detekci 404 byste mohli nazvat prvním přístupem. Ten se dívá na to, zda procházení generuje mnoho chyb 404, a blokuje je.
Sucuri včetně plnohodnotného CDN
vzhledem k tomu, že pro Wordfence stačí nainstalovat zásuvný modul, abyste mohli používat firewall, Sucuri vyžaduje změnu jmenného serveru nebo záznamu A v nastavení DNS. Místo toho se jedná o kompletně cloudové řešení, včetně sítě CDN (Content Delivery Network), která může také zabránit útokům DDoS. Při útoku DDoS se často používá botnet, který ostřeluje web požadavky, dokud web není nedostupný, protože server podlehne.
Přístup společnosti Sucuri také vede k tomu, že na rozdíl od Wordfence pracuje s vyrovnávači zátěže. Celkově lze říci, že u společnosti Sucuri jsou některé termíny, jako například "heuristický korelační algoritmus", spíše marketingovou formulací a není jasné, zda se jedná o skutečnou přidanou hodnotu, protože Wordfence pravděpodobně také pracuje s heuristickými metodami. Nicméně ti, kteří potřebují pouze CDN, by to mohli realizovat také zdarma prostřednictvím Cloudflare.
Wordfence s více možnostmi konfigurace
Se službou Sucuri probíhá mnoho věcí automaticky a bez zásahu uživatele. Na druhou stranu zde toho lze nakonfigurovat zřejmě méně. Například u Wordfence Sucuri můžete explicitně blokovat IP adresy jednotlivých zemí a můžete je blokovat i ručně. To je užitečné zejména při ručním hackování.
WordPress Zabezpečení
| Wordfence | iThemes Security | Sucuri | |
| Zálohování databáze | Ne | Ano | Ne |
| WordPress Aby byl bezpečnější | Ne | Ano | Ne |
| Skrytí informací | Ne | Ano | Ne |
| Číst | Ne | Ano | Ne |
| Správa hesel | Ne | Ano | Ne |
| Dvoufaktorové ověřování | Premium | Premium | Ne |
iThemes Security se zaměřuje na bezpečnostní opatření ve WordPressu, jak je uvedeno v tabulce. Je zde zpracováno celkem 30 různých bodů, z nichž většina dává velký smysl. Mnoho bodů je proto již zahrnuto v našem hostingu.
Zabezpečení iThemes je proto skvělý způsob, jak přidat více zabezpečení na úrovni WordPressu do "nezabezpečeného" obecného hostingu. Již bezplatná verze nabízí rozsáhlou ochranu. V prémiové verzi stojí za vyzdvihnutí dvoufaktorové ověřování.
Vzhledem k tomu, že Wordfence a Sucuri se zaměřují na "stínění" strany. Jsou v těchto bodech poměrně slabé.
Odstranění malwaru a výkonu
| Wordfence | iThemes Security | Sucuri | |
| Vyčištění hacku a odstranění malwaru | Výhodou, ne podmínkou | Nevysledovatelné | Výhodou, ne podmínkou |
| Odstranění upozornění na černé listině | Výhodou, ne podmínkou | Nevysledovatelné | Výhodou, ne podmínkou |
| Limit požadavku na odstranění malwaru | Výhodou, ne podmínkou | Nevysledovatelné | Výhodou, ne podmínkou |
| Automatické vyčištění | Částečně | Nevysledovatelné | Částečně |
| Eskalace bezpečnostního analytika | Výhodou, ne podmínkou | Nevysledovatelné | Výhodou, ne podmínkou |
| Úplné vyčištění webu | Výhodou, ne podmínkou | Nevysledovatelné | Výhodou, ne podmínkou |
| Odstranění chyb zabezpečení | Výhodou, ne podmínkou | Nevysledovatelné | Výhodou, ne podmínkou |
| Zálohy | Ne | Nevysledovatelné | Ano |
| Sestava po vyčištění | Výhodou, ne podmínkou | Nevysledovatelné | Výhodou, ne podmínkou |
| Úplný protokol a zpráva o incidentu | Výhodou, ne podmínkou | Nevysledovatelné | Výhodou, ne podmínkou |
| Kořenová příčina následná | Výhodou, ne podmínkou | Nevysledovatelné | Výhodou, ne podmínkou |
V neposlední řadě se podívejme na odstranění malwaru. Zde jsou ceny podobné pro Sucuri a Wordfence jsou podobné. Oba si účtují příplatek za rychlejší zpracování. Nabízené služby jsou zde totožné. U společnosti iThemes se mi nepodařilo objevit službu odstraňování malwaru. Odstranění malwaru může trvat 2-3 hodiny, ovšem s velkými výkyvy. Vzhledem k tomu, že provádíme také odstranění malwaru, lze ceny klasifikovat jako slušné.
A co představení?
A nakonec poznámka k výkonnosti. To by člověk při porovnávání bezpečnostních zásuvných modulů nečekal. Protože však Sucuri nabízí CDN a firewall v jednom, může také zlepšit výkon, zejména pro zahraniční návštěvníky. Díky CDN jsou webové stránky doručovány vždy z nejbližšího serveru, což má výhody zejména pro zahraniční návštěvníky. Pro obchod WooCommerce s malým množstvím obsahu, který lze ukládat do mezipaměti, je to však méně rozhodující.
"*" povinný údaj
Naše shrnutí
Jaký je tedy celkový závěr na téma zabezpečení WordPressu? Náš osobní závěr lze dobře shrnout následujícím faktem: Pro naše vlastní webové stránky Raidboxes nepoužíváme žádný bezpečnostní plugin. Nikdy jsme bezpečnostní plugin nepoužívali a nikdy jsme neměli žádné problémy. To vše i přesto, že naše webové stránky jsou pro nás naprosto stěžejní. Rozsáhlé údaje o zákaznících se však na našich webových stránkách ve WordPressu neukládají. Riziko ztráty výkonu v důsledku rozsáhlých kontrolních opatření pro nás bylo příliš vysoké a nevýhody převážily nad výhodami.
Nicméně firewall zvyšuje bezpečnost webových stránek. Proto by měl každý, kdo usiluje o maximální zabezpečení a je ochoten akceptovat nevýhody z hlediska výkonu a časových výdajů, používat bezpečnostní modul plug-in.
Zejména pro obchody WooCommerce nebo zranitelné webové stránky, které již mohly mít problémy s malwarem, může být bezpečnostní plugin pro WordPress užitečný. Naše doporučení je proto následující:
Wordfence jako nejlepší bezplatné řešení
Pokud chcete opravdu spolehlivý firewall s rozsáhlým monitorováním, je Wordfence vynikající volbou. Ne nadarmo se jedná o nejoblíbenější bezpečnostní plugin pro WordPress na světě. Prémiová verze precizně a citlivě doplňuje jeho funkce. Při implementaci pluginu je důležité zajistit správné nastavení skenování, abyste předešli problémům s výkonem.
Zabezpečení iThemes pro obecné hostitele
iThemes Security provádí na webových stránkách opravdu užitečná bezpečnostní opatření, zejména pokud jde o samotný WordPress. Pro webové stránky s obecnými hostiteli je to skvělý způsob, jak zvýšit úroveň zabezpečení bez rozsáhlého skenování a firewallu, a to i ve verzi zdarma.
Sucuri pro CDN
Pokud přesto uvažujete o použití sítě CDN a pokud je pro vás téma útoků DDoS relevantní, doporučujeme použít službu Sucuri . Jediné, co zůstává, je poněkud nevýrazná pachuť skupiny GoDaddy.
Kolik (pocitové) bezpečnosti potřebujete?
Jak řešíte otázku zabezpečení WordPressu? Spoléháte se na bezpečnostní opatření svého hostera, nebo vás nechá klidně spát pouze bezpečnostní plugin WordPressu? Jako vždy se těšíme na vaše komentáře!
