Plugin di sicurezza per WordPress

Sicurezza di WordPress: quanto sono utili i plugin di sicurezza?

Nel frattempo, oltre il 43% di tutti i siti web è basato su WordPress. Questo rende il nostro CMS preferito un bersaglio popolare per attacchi e malware. Ma non c'è bisogno di farsi prendere dal panico! Perché la sicurezza di WordPress non è una stregoneria. Oltre a consigli pratici sulla sicurezza, oggi abbiamo nel nostro bagaglio i tre migliori plugin per la sicurezza di WordPress e ti mostriamo quando ne hai davvero bisogno.

Ho ancora bisogno di un plugin di sicurezza per WordPress? Questa domanda ci viene posta regolarmente in assistenza. Nel seguente articolo vorrei illustrarti il valore aggiunto di un plugin di sicurezza per la sicurezza del tuo sito WordPress e quando ha davvero senso utilizzarne uno.

Nella seconda parte, mettiamo a confronto i tre più popolari plugin di sicurezza per WordPress per darti una rapida panoramica. In questo modo, potrai prendere una decisione rapida e mirata e tornare all'essenziale: il tuo business.

Perché la sicurezza di WordPress è fondamentale

In sostanza, ci sono tre aspetti principali per cui dovresti occuparti attivamente della sicurezza del tuo sito WordPress e non nascondere la testa sotto la sabbia.

#1 Il tuo sito web può diventare inutilizzabile

Qualche anno fa eravamo ancora nel settore delle agenzie. Ci è capitato di poter affrontare una riprogettazione completa di un sito perché il sito originale era diventato inutilizzabile a causa di problemi di sicurezza che potevano essere evitati.

Ora, chi installa un malware sui siti di solito non è interessato a distruggerli. Dopo tutto, l'aggressore vuole usarlo per inviare spam, indirizzare i visitatori verso siti web di spam, inserire annunci pubblicitari o generare criptovalute, ad esempio. Oltre alla limitazione generale delle funzionalità del tuo sito web, il malware può anche causare notevoli problemi di prestazioni.

"*" indica i campi obbligatori

Desidero iscrivermi alla newsletter per essere informato sui nuovi articoli del blog, sugli ebook, sulle funzionalità e sulle novità di WordPress. Posso ritirare il mio consenso in qualsiasi momento. Si prega di prendere nota della nostra Politica sulla Privacy.
Questo campo è per la convalida e non deve essere modificato.

#2 Blacklisting e crollo delle classifiche di Google

Un aspetto ancora più grave al giorno d'oggi è l'inserimento nella lista nera del dominio, soprattutto da parte di Google o Norton. Se Google inserisce il tuo sito nella lista nera, nel peggiore dei casi significa che il tuo sito verrà rimosso dai risultati di ricerca di Google.

È possibile inviare nuovamente una scansione del sito dopo un attacco di malware. Tuttavia, questo non garantisce il recupero delle posizioni precedenti. Soprattutto nel caso di parole chiave importanti e ad alto traffico organico, questo può avere gravi conseguenze economiche.

#3: Perdita di dati

Soprattutto in tempi di DSGVO, dove il tema della protezione dei dati ha raggiunto una nuova dimensione, i dati corrispondenti devono essere protetti. Se questo aspetto è meno importante per un normale sito web aziendale, è ancora più drammatico per un sito web di un negozio se le informazioni di pagamento non sono sufficientemente protette.

Le minacce tipiche alla sicurezza di WordPress

Attacchi di forza bruta all'area di login
In un attacco di forza bruta, vengono provate automaticamente un gran numero di combinazioni di password al fine di ottenere l'accesso al sito web tramite il login /wp-admin di WordPress. Una volta che l'attacco è riuscito e l'account del tuo sito web ha i diritti di amministratore, il sito è quasi completamente nelle mani di qualcun altro.

La nostra esperienza su Raidboxes lo dimostra: Utilizzando una password forte e limitando i tentativi di accesso, è possibile evitare quasi tutti i casi di malware. Ma ne riparleremo tra poco.

Sfruttamento automatico delle vulnerabilità di sicurezza
Di norma, gli attacchi ai siti web sono automatizzati. I siti web WordPress vengono scansionati automaticamente dai cosiddetti crawler, ad esempio alla ricerca di un determinato plugin che presenta una vulnerabilità di sicurezza. Negli attacchi possono essere sfruttate diverse vulnerabilità di sicurezza, come le iniezioni di SQL o il cross-site scripting.

Attacchi manuali
Naturalmente è possibile sfruttare una vulnerabilità di sicurezza anche manualmente. Tuttavia, si tratta di un'eventualità piuttosto rara, in quanto lo sforzo varrebbe la pena solo per i grandi negozi WooCommerce in cui i dati di pagamento devono essere effettivamente rubati.

8 misure di sicurezza che forniamo come host

In linea di principio, un hosting WordPress specializzato può aumentare in modo significativo la sicurezza del tuo sito web. Nel corso degli anni, abbiamo costantemente ampliato il concetto di sicurezza di Raidboxes in modo che i casi di malware siano diventati una rarità assoluta. In particolare, l'analisi dettagliata dei casi di malware aiuta a identificare le vulnerabilità di sicurezza più frequenti e a prevenirle con misure adeguate.

#1 Password forti: la misura di sicurezza più importante di tutte

Una delle misure di sicurezza più importanti è una password forte per tutti gli account. Purtroppo, in qualità di hoster, abbiamo un'influenza limitata sull'assegnazione delle password. Soprattutto nel caso di trasferimenti, possiamo esercitare solo una piccola influenza sulle password. L'imposizione di una password forte al momento della creazione di un sito Box (ad esempio un nuovo sito WordPress) ha portato a una riduzione significativa degli attacchi malware.

Creazione della password di sicurezza di WordPress Box
L'imposizione di una password forte al momento della creazione di un sito web WordPress ha portato a una riduzione significativa delle infestazioni di malware.

Come promemoria

Una password dovrebbe essere composta da numeri, caratteri speciali e lettere minuscole con una lunghezza minima di sette caratteri. Se questo non è il caso dei tuoi account WordPress, devi assolutamente fare il primo passo e cambiare immediatamente le password.

#2 Protezione contro gli attacchi di forza bruta

I siti web vengono attaccati quasi un miliardo di volte al mese con gli attacchi brute force descritti sopra. È bene che il tuo hoster WordPress se ne sia già occupato. Il nostro sistema di protezione degli accessi si posiziona davanti all'area di login di WordPress e inseriscenella lista neragli indirizzi IP che tentano ripetutamente di accedere con dati di login falsi.

Nelle impostazioni del tuo Box puoi definire esattamente dopo quanti tentativi di accesso questo blocco deve entrare in vigore e per quanto tempo gli IP in questione vengono bloccati. In combinazione con una password forte, è praticamente impossibile accedere al sito web in questo modo.

#3 WP Session Eraser

Secondo il GDPR, dovresti memorizzare il minor numero di dati possibile. Noi ti aiutiamo in questo! Il nostro strumento per ridurre i dati - WordPress Session Eraser - cancella le sessioni di WordPress di tutti i tuoi utenti dal database dopo un intervallo predefinito. Puoi impostare questo intervallo individualmente per ogni sito Box nelle impostazioni del tuo sito Dashboard .

4 Blocco predefinito di XML-RPC

XML-RPC è un'interfaccia disponibile su tutti i siti web WordPress a partire dalla versione 3.5 di WordPress. Dato che la stragrande maggioranza dei webmaster non utilizza XML-RPC, ha senso disattivare questa interfaccia. Perché: gli hacker possono attaccare direttamente il tuo sito tramite XML-RPC.

Per questo motivo, l'interfaccia è ora bloccata per impostazione predefinita e può essere attivata, se necessario, tramite le impostazioni di Raidboxes Dashboard .

Sicurezza WordPress Blocco XML-RPC
Per questo motivo XML-RPC è ora bloccato per impostazione predefinita e può essere attivato tramite le impostazioni di Raidboxes Dashboard .

5 Aggiornamenti di sicurezza gestiti da WordPress

Naturalmente, l'aggiornamento di WordPress è fondamentale. Ogni 2-3 mesi circa vengono rilasciate nuove versioni di WordPress. Gli aggiornamenti di manutenzione, in particolare, colmano importanti lacune di sicurezza. Questi aggiornamenti devono essere installati immediatamente.

Gli aggiornamenti principali di solito comportano modifiche sostanziali al codice e per questo motivo possono verificarsi delle incompatibilità. Per lasciare il tempo necessario per gli aggiornamenti di temi e plugin, sul nostro sistema effettuiamo sempre il roll-out degli aggiornamenti principali dopo 14 giorni. Naturalmente, rendiamo immediatamente disponibile l'ultima versione di WordPress per gli aggiornamenti manuali. Naturalmente, è importante che tu faccia sempre un backup del tuo sito prima di aggiornare!

6 Protezione selettiva in scrittura - WordPress Misure di tempra

Uno degli obiettivi del plugin iThemes Security è quello di rendere WordPress più sicuro proteggendo i file. Anche questo è integrato in modo selettivo con noi. In questo modo è più difficile infettare elementi del sito e renderli inutilizzabili. Bisogna sempre trovare un equilibrio ragionevole tra flessibilità e sicurezza. Manteniamo questo equilibrio attraverso le opzioni di configurazione direttamente dall'interfaccia utente di Raidboxes .

Sicurezza WordPress Disallow File Edit
Inoltre, ovviamente utilizziamo anche le migliori pratiche di WordPress quando hanno senso. Un esempio è quello di rinominare il prefisso del database di WordPress.

Inoltre, ovviamente utilizziamo anche le migliori pratiche di WordPress quando hanno senso. Un esempio è quello di rinominare il prefisso del database di WordPress. Nel nostro caso, questo non è accessibile tramite lo standard wp_. Rinominare la cartella wp-content, invece, come proposto da iThemes Security, porta a degli errori, poiché i plugin e i temi non riescono a gestirla.

#7 Aggiornamenti dei plugin gestiti da WordPress

Ora è il momento di chiudere l'ultima grande porta di accesso agli attacchi: i plugin non aggiornati. Come per WordPress stesso, le vulnerabilità di sicurezza possono verificarsi anche con i plugin e i temi. Non tutti gli aggiornamenti includono funzioni di sicurezza. Tuttavia, se tutti i plugin sono aggiornati, la probabilità che si verifichino vulnerabilità di sicurezza è notevolmente inferiore.

#8 Misure lato server

Tutte queste misure proteggono WordPress stesso. A parte questo, c'è ovviamente un elenco quasi infinito di misure di sicurezza che riguardano il server stesso. Si parte dagli aggiornamenti di Linux per arrivare all'aggiornamento regolare di PHP, la base di WordPress. Ci occupiamo noi dell'aggiornamento automatico delle versioni di PHP non aggiornate (ovviamente con i dovuti tempi di attesa e di test), senza che tu debba occupartene in prima persona.

Svantaggi dei plugin di sicurezza per WordPress

Tenendo presente questo, vorrei ora discutere brevemente degli svantaggi dei plugin di sicurezza. Alcuni di questi non sono trascurabili, soprattutto dal punto di vista del tempo.

Sforzo di configurazione

Chi pensa che sia sufficiente installare un plugin si sbaglia. Purtroppo, l'installazione di un plugin di sicurezza richiede anche alcune conoscenze.

Utilizzando l'esempio del plugin All-in-One Security è un buon esempio di questo. Si tratta di uno dei più popolari plugin gratuiti che utilizza in larga misura il file .htaccess. Tuttavia, il plugin non riconosce nemmeno se si tratta di un server NGINX. Non supporta il concetto di file .htaccess. Tuttavia, NGINX viene utilizzato nell'ambiente WordPress per la sua flessibilità.

Inoltre, sebbene le misure di sicurezza siano suddivise in livelli di difficoltà, il che ha molto senso, molte delle misure offerte dal plugin sono meno utili. Per valutare adeguatamente la necessità delle varie misure, bisogna inevitabilmente familiarizzare con la materia della sicurezza.

Manutenzione e (in)sicurezza percepita

Per il nostro test, abbiamo installato diversi plugin di sicurezza. Uno dei plugin ha utilizzato automaticamente un indirizzo e-mail del team memorizzato in WordPress e ha iniziato a inviare e-mail. Con grande gioia di tutti i membri del team...

Sfortunatamente, questo non è affatto raro. Certo, si vorrebbe rimanere informati sotto certi aspetti. Tuttavia, nei casi più frequenti, si viene indirizzati verso cose che non rappresentano affatto un rischio per la sicurezza. Alla fine, ti senti più insicuro di prima, perché sei informato di ogni cambiamento di file, per esempio, e devi controllare in caso di dubbio.

Problemi di prestazioni

Per impostazione predefinita, ogni plugin offre una scansione del malware o della sicurezza. Il plugin Wordfence preferisce impostarla automaticamente a un'ora. Ciò significa che, in caso di dubbio, ogni ora (!) viene eseguita una scansione della tua pagina attraverso uno script automatico (via cronjob). Chiunque abbia mai installato un software antivirus sul proprio computer conosce le storie di guai legati a problemi di prestazioni a volte enormi.

Questo potrebbe anche essere il motivo per cui "solo" 2 milioni di download su oltre 90 milioni sono rimasti attivi alla fine.

Costi

Per la ricerca di questo articolo, abbiamo valutato solo i plugin che sono disponibili anche in versione gratuita. Tuttavia, purtroppo molti plugin per la sicurezza di WordPress costano almeno 80 dollari all'anno. Se non li usi, spesso ti ritrovi con una sensazione di insicurezza.

Quando è davvero utile un plugin di sicurezza per WordPress?

Per coloro che vogliono fare il passo più lungo della gamba, ecco alcuni esempi di casi in cui un plugin di sicurezza per WordPress può essere utile. Questi consigli si riferiscono solo agli hosting WordPress specializzati. Poiché altri hoster potrebbero non avere misure di sicurezza così specifiche ed estese, un plugin di sicurezza per WordPress potrebbe essere consigliabile. Come puoi vedere, non è possibile fare una dichiarazione generale sull'utilità dei plugin di sicurezza, poiché i requisiti e le circostanze sono diversi.

Hacking manuale su WooCommerce Shop

Questo è uno dei pochi esempi in cui abbiamo consigliato attivamente un plugin di sicurezza per aumentare la sicurezza del negozio online. Il cliente di WooCommerce ha avuto l'impressione di subire un attacco manuale, cosa che, come descritto sopra, è molto rara.

In questo caso, ha potuto utilizzare Wordfence e la sua funzione di registrazione per identificare rapidamente l'indirizzo IP corrispondente e bloccarlo. In questo modo è stato possibile bloccare efficacemente l'attacco.

In pericolo plugin

Più alto è il numero di plugin, più alta è la probabilità di rischi per la sicurezza. Soprattutto se non viene utilizzato alcuno strumento per l'aggiornamento, le lacune di sicurezza esistenti rimangono inosservate nel sistema per molto tempo e offrono una superficie di attacco. Soprattutto nei negozi WooCommerce , il numero di plugin è solitamente elevato a causa della natura di WooCommerce e i dati sono più sensibili. Per questo motivo, è necessario prendere in considerazione un plugin di sicurezza.

I tre migliori plugin di sicurezza per WordPress

Di seguito, vorrei spiegare brevemente perché ci limitiamo a soli tre plugin e non presentiamo dieci - o addirittura i migliori 101 plugin per la sicurezza di WordPress.

Quando si parla di plugin di sicurezza, ci limitiamo ai 3 migliori plugin per WordPress a livello mondiale. Abbiamo esaminato anche altri plugin di sicurezza, come All In One WP Security & Firewall, che è il più popolare plugin puramente gratuito (senza versione premium) con oltre 800.000 utenti. Tuttavia, l'usabilità e in parte le misure consigliate non ci hanno convinto. Inoltre, può essere utilizzato solo su server web Apache.

Si tratta degli ultimi metri

Poiché consideriamo i plugin più che altro un'integrazione a un hosting WordPress già sicuro, l'obiettivo è quello di coprire l'ultimo 0,1% di rischio di sicurezza. Per questo motivo, ci limitiamo ai plugin professionali, che hanno una distribuzione molto elevata.

Ma questa selezione di plugin è molto importante anche per altri hoster non specializzati. In questo caso dovresti comunque occuparti più intensamente dell'argomento sicurezza di WordPress.

Supporto decisionale rapido

Allo stesso tempo, è importante per noi fornire un rapido aiuto alla decisione. Secondo noi, questo non è più possibile con una presentazione di dieci plugin , poiché allora tutti e dieci plugin devono essere valutati di nuovo alla fine. Con tre plugin con focus diversi, la decisione è più facile qui.    

Restrizione ai plugin All-In-One

Naturalmente, esistono innumerevoli plugin che si occupano di singole funzioni, ad esempio la limitazione dei tentativi di accesso (Limit Login Attempts). Ma anche le funzioni che i plugin offrono solo nelle versioni PRO possono essere risolte tramite singoli plugin. L'esempio migliore è questo plugin per l'autenticazione a due fattori.

Distribuzione e dati sono importanti per i firewall

I firewall applicano determinate regole per capire se qualcuno sta agendo in modo malevolo o se sta semplicemente visitando il sito. Se qualcuno tenta di entrare nel sito, viene bloccato. Le regole, in particolare, si basano sulla conoscenza delle vulnerabilità di sicurezza esistenti. Allo stesso tempo, è più facile individuare le reti di aggressori quando ci sono 2 milioni di pagine nell'amministrazione e bloccarle per tutte le altre pagine piuttosto che quando ci sono 10.000 pagine. Pertanto, la distribuzione svolge un ruolo importante per i plugin di sicurezza.

I tuoi preferiti sono i benvenuti

Questo non significa che non ci siano altri ottimi plugin per una maggiore sicurezza di WordPress. Sentiti libero di indicare i tuoi preferiti nei commenti. In questo modo garantiremo ancora più opportunità per nuovi approcci innovativi.

I tre migliori plugin per la sicurezza in sintesi

Sito web del pluginWordfenceSicurezza iThemesSucuri
Security
Scarica il linkScaricaScaricaScarica
CaratteristicheQuiQuiQui
Installazioni attive3+ milioni900.000+700.000+
LingueEnglish16 lingue (anche DE)Inglese, spagnolo
Testato con l'ultima versione di WordPressa 5.3.4
Numero di valutazioni3,5723,830338
Valutazione (cinque stelle)4,84,74,4
Versione gratuita
Premium (licenza annuale)a partire da $99da $80 $199,99
Rimozione del malware da$286.40non offertoincluso nella licenza

Dalla panoramica emerge chiaramente che ognuno dei plugin ha una distribuzione molto elevata ed è ben valutato. Tuttavia Wordfence è il leader indiscusso del mercato ed è anche ben bilanciato in termini di rapporto qualità-prezzo. Con Sucuri, paghi direttamente per la rimozione del malware, ma qui i prezzi possono salire fino a 500 dollari all'anno , soprattutto a causa di un servizio più veloce e di scansioni più frequenti. Con Wordfence la rimozione professionale del malware è offerta come servizio opzionale. Quindi tutto dipende dalle tue esigenze.

È importante sapere che è piuttosto improbabile catturare un malware con le password forti degli utenti WP. A nostro avviso, quindi, non ha molto senso acquistare la rimozione del malware direttamente come servizio.

A Wordfence nella versione gratuita hai accesso diretto all'intero spettro del firewall, a differenza di iThemes Security, per esempio, dove le informazioni della rete sono accessibili solo nella versione PRO.

Un punto importante che non deve essere sottovalutato: Wordfence Nel nostro esempio, Sucuri è l'unico provider indipendente specializzato solo nella sicurezza di WordPress. Sucuri fa ora parte del gruppo GoDaddy e anche iThemes è stato acquistato da un'altra società di hosting. Sono inoltre attivi in diverse altre aree, come lo sviluppo di temi. Dietro Wordfence è l'azienda di sicurezza Defiant.

Riassunto intermedio

La nostra raccomandazione sui plugin di sicurezza è quindi molto chiara Wordfence. La versione gratuita del plugin offre già un firewall completo e si concentra sui due aspetti fondamentali che un plugin di sicurezza per WordPress dovrebbe fornire: un firewall e le scansioni di sicurezza.

Inoltre, è veloce da configurare, è strutturato in modo chiaro e non confonde, come accade con altri plugin dalle informazioni troppo tecniche.

Per evitare problemi di prestazioni, nelle opzioni di scansione è necessario utilizzare "Scansione a basse risorse". Poiché gli indirizzi IP vengono elaborati, è necessariochiudere un AV con Wordfence .

Di seguito, approfondirò ancora una volta le singole aree principali di un plugin di sicurezza per WordPress, in modo da rendere chiare le differenze tra i vari plugin.

Le caratteristiche più importanti del plugin a confronto

Monitoraggio e scansioni

 WordfenceSicurezza iThemesSucuri
scansioni di sicurezza
Scansioni di sicurezza programmateSolo la versione Pro
Solo versione ProSolo versione Pro
Identificazione del malware
    
Identificazione delle anomalie di sicurezza
Monitoraggio della lista neraSolo Google Safe BrowsingControllo dello stato della blacklist
Modifiche al file
    
Monitoraggio DNSNon è chiaro
Monitoraggio SSLNo
Notifiche
    
Controllo dello spamSolo la versione Pro
registri di sicurezzaDi base

Una parte essenziale di un plugin di sicurezza per WordPress consiste nel verificare se il sito web è stato compromesso. Poiché non esiste un uso uniforme dei termini e spesso vengono utilizzati termini e spiegazioni diverse per lo stesso contenuto, è molto difficile fare un confronto ragionevole. La tabella qui sopra dovrebbe fornire una panoramica.

Ogni plugin offre una funzione di scansione

Sebbene le scansioni di sicurezza, l'identificazione di malware, l'identificazione di anomalie di sicurezza o di modifiche ai file siano spesso elencate separatamente, hanno lo stesso significato. Il confronto dei file serve a verificare la presenza di malware nella pagina. Secondo la nostra esperienza, può accadere che un test poco appariscente di Sucuri possa comunque indicare la presenza di malware sul sito se si effettuano scansioni più dettagliate o si esaminano i singoli file.  

Controllo malware: il sito è pulito
iThemes Security utilizza l'API di Sucuri.

iThemes Security utilizza semplicemente l'API di Sucuri. Il risultato sia di Sucuri che di iThemes non è altro che il controllo gratuito del sito, che si può trovare anche sul sito web di Sucuri.

Differenze nel monitoraggio delle blacklist

Oltre alle scansioni, il monitoraggio delle blacklist è un fattore importante, soprattutto per le perdite di ranking descritte in precedenza. Qui Wordfence secondo la sua stessa presentazione, controlla solo lo stato di Google Safe Browsing. Se un sito web compare qui, in linea di massima è già troppo tardi. Molto probabilmente il sito verrà eliminato per primo dai risultati di ricerca. iThemes Security e Sucuri controllano diverse blacklist direttamente qui. Il risultato è comunque identico. Quando il sito web compare nelle blacklist, è già troppo tardi. Queste scansioni vengono effettuate proprio per evitare che ciò accada.

Controllo Securi: non è nella lista nera
Il controllo esteso della blacklist è disponibile solo su Wordfence nella versione Premium.

Il controllo esteso della lista nera è disponibile solo Wordfence è disponibile solo nella versione Premium. In questo caso, viene controllato anche il punto della pubblicità spam, che può essere facilmente riconosciuto all'esterno ed è importante per Google.

Scarsa rilevanza del monitoraggio DNS

Consideriamo le caratteristiche del monitoraggio DNS e SSL poco rilevanti. Non siamo a conoscenza di un solo caso in cui i cambiamenti DNS o SSL siano stati fatti per indagare su attività criminali.

Wordfence punteggi con i registri di sicurezza

La base di un plugin di sicurezza per WordPress dovrebbe essere quella di visualizzare i login in modo sensato. Questo vale per tutti i plugin. Wordfence Il plugin di WordPress è un passo avanti grazie al suo monitoraggio del traffico in tempo reale. Non solo vengono riconosciuti i login, ma il traffico viene categorizzato di conseguenza. In questo modo è possibile tracciare le attività dei crawler o il comportamento umano in relazione agli aspetti di sicurezza. Questo strumento è quindi ideale per prevenire gli attacchi manuali, ad esempio.

Wordfence Traffico in diretta
Wordfence è qualche passo avanti qui con il tuo monitoraggio del traffico in diretta.

Conclusioni in questa categoria

La qualità della scansione è difficile da giudicare e dovrebbe essere valutata attraverso dei casi di test. iThemes Security e Sucuri hanno un migliore monitoraggio della blacklist. Tuttavia, la scansione dovrebbe evitare che la pagina finisca comunque nella blacklist. Per quanto riguarda il monitoraggio, la funzione di traffico in tempo reale di Wordfence è un grande vantaggio.

Protezione in combinazione con i firewall

 WordfenceSicurezza iThemesSucuri
Firewall per applicazioni web (WAF)Limitato404 Rilevamento
Sistema di rilevamento delle intrusioni (IDS)No
Protezione DDoSNoNo
Brute Force Protezione
Blocco dei tentativi di hackingParziale
Protezione dagli exploit zero-dayNon è chiaroNo
Protezione laterale singolaNoNo
Algoritmo di correlazione euristicaNon è chiaroNo 
Bilanciamento del carico / FailoverNo
blocco del paeseNoNo
Blocco manuale avanzatoNoNo

iThemes senza firewall adeguato

Quando si parla di firewall, le differenze tra i plugin diventano particolarmente evidenti. Gli approcci all'argomento sono fondamentalmente diversi. A rigore, iThemes-Security non utilizza un vero e proprio firewall. Il rilevamento di 404 può essere definito un primo approccio. Questo approccio esamina se un crawler genera molti errori 404 e li blocca.

Sucuri con CDN completo

Mentre per Wordfence è sufficiente installare un plugin per utilizzare il firewall, Sucuri richiede la modifica del server dei nomi o di un record A nelle impostazioni DNS. Si tratta invece di una soluzione completamente basata sul cloud, che include una CDN (Content Delivery Network), in grado di prevenire anche gli attacchi DDoS. In un attacco DDoS, una botnet viene spesso utilizzata per bombardare un sito di richieste fino a quando il sito non è più accessibile perché il server cede.

L'approccio di Sucuri comporta anche il fatto che, a differenza di Wordfence funziona con i bilanciatori di carico. Nel complesso, con Sucuri, alcuni termini come "algoritmo di correlazione euristica" sono più probabilmente una formulazione di marketing e non è chiaro se questo sia un effettivo valore aggiunto, dato che Wordfence presumibilmente funziona anche con metodi euristici. Tuttavia, chi ha bisogno solo di una CDN può realizzarla gratuitamente anche attraverso Cloudflare.

Wordfence con più opzioni di configurazione

Con Sucuri, molte cose vengono eseguite automaticamente e senza l'intervento dell'utente. D'altra parte, in questo caso si può configurare molto meno. Ad esempio, con Wordfence puoi bloccare esplicitamente gli IP di singoli paesi e puoi anche bloccarli manualmente. Questo è particolarmente utile per gli hack manuali.

WordPress Misure di sicurezza

 WordfenceSicurezza iThemesSucuri
Backup del databaseNoNo
WordPress rendono più sicuroNoNo
nascondere le informazioniNoNo
Protezione da scritturaNoNo
Gestione delle passwordNoNo
Autenticazione a due fattoriPremiumPremiumNo

iThemes Security si concentra sulle misure di sicurezza di WordPress, come mostrato nella tabella. In totale vengono analizzati 30 punti diversi, la maggior parte dei quali ha molto senso. Molti di questi punti sono già inclusi nel nostro hosting.

iThemes Security è quindi un ottimo modo per aggiungere maggiore sicurezza a livello di WordPress a un hosting generico "insicuro". La versione gratuita offre già un'ampia protezione. Nella versione premium, vale la pena sottolineare l'autenticazione a due fattori.

Da quando Wordfence e Sucuri si concentrano sulla "schermatura" del lato. Sono piuttosto deboli in questi punti.

Rimozione di malware e prestazioni

 WordfenceSicurezza iThemesSucuri
Pulizia degli hack e rimozione del malwareAvrai punti bonus se...
Non rintracciabileAvrai punti bonus se...
Rimozione degli avvisi della lista neraAvrai punti bonus se...
Non rintracciabileAvrai punti bonus se...
Limite di richiesta di rimozione del malwareAvrai punti bonus se...
Non rintracciabileAvrai punti bonus se...
Pulizia automaticaParzialeNon rintracciabileParziale
Escalation dell'analista di sicurezzaAvrai punti bonus se...
Non rintracciabileAvrai punti bonus se...
Pulizia completa del sito webAvrai punti bonus se...
Non rintracciabileAvrai punti bonus se...
Colmare le lacune della sicurezzaAvrai punti bonus se...
Non rintracciabileAvrai punti bonus se...
BackupNoNon rintracciabile
Rapporto post-puliziaAvrai punti bonus se...
Non rintracciabileAvrai punti bonus se...
Registro completo e rapporto sugli incidentiAvrai punti bonus se...
Non rintracciabileAvrai punti bonus se...
Follow up della causa principaleAvrai punti bonus se...
Non rintracciabileAvrai punti bonus se...

Infine, ma non meno importante, diamo un'occhiata alla rimozione del malware. In questo caso i prezzi sono simili per Sucuri e Wordfence sono simili. Entrambi fanno pagare un extra per un'elaborazione più veloce. I servizi offerti sono identici. Non sono riuscito a trovare un servizio di rimozione malware su iThemes. La rimozione di un malware può richiedere 2-3 ore, ma con ampie fluttuazioni. Poiché anche noi effettuiamo la rimozione del malware, i prezzi sono considerati equi.

E per quanto riguarda le prestazioni?

Infine, ma non meno importante, una nota sulle prestazioni. Non ci si aspetterebbe questo aspetto in un confronto tra plugin di sicurezza. Tuttavia, poiché Sucuri offre un CDN e un firewall in un unico prodotto, può anche migliorare le prestazioni, soprattutto per i visitatori internazionali. Con un CDN, il sito web viene sempre consegnato dal server successivo, il che comporta dei vantaggi soprattutto per i visitatori stranieri. Per un negozio WooCommerce con pochi contenuti memorizzabili nella cache, invece, è meno decisivo.

"*" indica i campi obbligatori

Desidero iscrivermi alla newsletter per essere informato sui nuovi articoli del blog, sugli ebook, sulle funzionalità e sulle novità di WordPress. Posso ritirare il mio consenso in qualsiasi momento. Si prega di prendere nota della nostra Politica sulla Privacy.
Questo campo è per la convalida e non deve essere modificato.

La nostra conclusione

Qual è quindi la conclusione generale sul tema della sicurezza di WordPress? La nostra conclusione personale può essere ben riassunta da questo fatto: Non utilizziamo alcun plugin di sicurezza per il nostro sito Raidboxes . Non abbiamo mai utilizzato un plugin di sicurezza e non abbiamo mai avuto problemi. Tutto questo nonostante il nostro sito web sia di importanza assolutamente centrale per noi. Tuttavia, i dati dei clienti non sono memorizzati sul nostro sito WordPress. Il rischio di una perdita di prestazioni dovuta a misure di scansione estese era troppo alto per noi e gli svantaggi superavano i benefici.

Tuttavia, un firewall aumenta la sicurezza del sito web. Pertanto, chi vuole ottenere la massima sicurezza ed è disposto ad accettare gli svantaggi in termini di prestazioni e di tempo, dovrebbe utilizzare un plugin di sicurezza.

Soprattutto per i negozi WooCommerce o per i siti web vulnerabili che potrebbero aver già avuto problemi con il malware, un plugin di sicurezza per WordPress può essere utile. Il nostro consiglio è quindi il seguente:

Wordfence come la migliore soluzione gratuita

Se vuoi un firewall davvero solido con un monitoraggio completo, Wordfence è una scelta eccellente. Non per niente è il plugin di sicurezza per WordPress più popolare al mondo. La versione premium completa le funzionalità in modo preciso e sensato. Quando si implementa il plugin, è importante assicurarsi che le scansioni siano impostate correttamente per evitare problemi di prestazioni.

Sicurezza iThemes per gli host generici

iThemes Security esegue misure di sicurezza davvero utili sul sito web, soprattutto per quanto riguarda WordPress stesso. Per i siti web con hoster generici, è un ottimo modo per aumentare il livello di sicurezza senza scansioni approfondite e firewall, anche nella versione gratuita.

Sucuri per CDN

Se stai pensando di utilizzare comunque un CDN e se l'argomento degli attacchi DDoS è rilevante, allora Sucuri è consigliato. L'unica cosa che rimane è il retrogusto un po' insipido del gruppo GoDaddy.

Di quanta sicurezza (percepita) hai bisogno?

Come gestisci il problema della sicurezza di WordPress? Ti affidi alle misure di sicurezza del tuo hoster o solo un plugin di sicurezza per WordPress ti fa dormire sonni tranquilli? Come sempre, aspettiamo i tuoi commenti!

Ti è piaciuto l'articolo?

Con la tua valutazione ci aiuti a migliorare ancora di più i nostri contenuti. Grazie!
I commenti sono disabilitati.