Nel frattempo, oltre il 43% di tutti i siti web è basato su WordPress. Questo rende il nostro CMS preferito un bersaglio popolare per attacchi e malware. Ma non c'è bisogno di farsi prendere dal panico! Perché la sicurezza di WordPress non è una stregoneria. Oltre a consigli pratici sulla sicurezza, oggi abbiamo nel nostro bagaglio i tre migliori plugin per la sicurezza di WordPress e ti mostriamo quando ne hai davvero bisogno.
Ho ancora bisogno di un plugin di sicurezza per WordPress? Questa domanda ci viene posta regolarmente in assistenza. Nel seguente articolo vorrei illustrarti il valore aggiunto di un plugin di sicurezza per la sicurezza del tuo sito WordPress e quando ha davvero senso utilizzarne uno.
Nella seconda parte, mettiamo a confronto i tre più popolari plugin di sicurezza per WordPress per darti una rapida panoramica. In questo modo, potrai prendere una decisione rapida e mirata e tornare all'essenziale: il tuo business.
Perché la sicurezza di WordPress è fondamentale
In sostanza, ci sono tre aspetti principali per cui dovresti occuparti attivamente della sicurezza del tuo sito WordPress e non nascondere la testa sotto la sabbia.
#1 Il tuo sito web può diventare inutilizzabile
Qualche anno fa eravamo ancora nel settore delle agenzie. Ci è capitato di poter affrontare una riprogettazione completa di un sito perché il sito originale era diventato inutilizzabile a causa di problemi di sicurezza che potevano essere evitati.
Ora, chi installa un malware sui siti di solito non è interessato a distruggerli. Dopo tutto, l'aggressore vuole usarlo per inviare spam, indirizzare i visitatori verso siti web di spam, inserire annunci pubblicitari o generare criptovalute, ad esempio. Oltre alla limitazione generale delle funzionalità del tuo sito web, il malware può anche causare notevoli problemi di prestazioni.
"*" indica i campi obbligatori
#2 Blacklisting e crollo delle classifiche di Google
Un aspetto ancora più grave al giorno d'oggi è l'inserimento nella lista nera del dominio, soprattutto da parte di Google o Norton. Se Google inserisce il tuo sito nella lista nera, nel peggiore dei casi significa che il tuo sito verrà rimosso dai risultati di ricerca di Google.
È possibile inviare nuovamente una scansione del sito dopo un attacco di malware. Tuttavia, questo non garantisce il recupero delle posizioni precedenti. Soprattutto nel caso di parole chiave importanti e ad alto traffico organico, questo può avere gravi conseguenze economiche.
#3: Perdita di dati
Soprattutto in tempi di DSGVO, dove il tema della protezione dei dati ha raggiunto una nuova dimensione, i dati corrispondenti devono essere protetti. Se questo aspetto è meno importante per un normale sito web aziendale, è ancora più drammatico per un sito web di un negozio se le informazioni di pagamento non sono sufficientemente protette.
Le minacce tipiche alla sicurezza di WordPress
Attacchi di forza bruta all'area di login
In un attacco di forza bruta, vengono provate automaticamente un gran numero di combinazioni di password al fine di ottenere l'accesso al sito web tramite il login /wp-admin di WordPress. Una volta che l'attacco è riuscito e l'account del tuo sito web ha i diritti di amministratore, il sito è quasi completamente nelle mani di qualcun altro.
La nostra esperienza su Raidboxes lo dimostra: Utilizzando una password forte e limitando i tentativi di accesso, è possibile evitare quasi tutti i casi di malware. Ma ne riparleremo tra poco.
Sfruttamento automatico delle vulnerabilità di sicurezza
Di norma, gli attacchi ai siti web sono automatizzati. I siti web WordPress vengono scansionati automaticamente dai cosiddetti crawler, ad esempio alla ricerca di un determinato plugin che presenta una vulnerabilità di sicurezza. Negli attacchi possono essere sfruttate diverse vulnerabilità di sicurezza, come le iniezioni di SQL o il cross-site scripting.
Attacchi manuali
Naturalmente è possibile sfruttare una vulnerabilità di sicurezza anche manualmente. Tuttavia, si tratta di un'eventualità piuttosto rara, in quanto lo sforzo varrebbe la pena solo per i grandi negozi WooCommerce in cui i dati di pagamento devono essere effettivamente rubati.
8 misure di sicurezza che forniamo come host
In linea di principio, un hosting WordPress specializzato può aumentare in modo significativo la sicurezza del tuo sito web. Nel corso degli anni, abbiamo costantemente ampliato il concetto di sicurezza di Raidboxes in modo che i casi di malware siano diventati una rarità assoluta. In particolare, l'analisi dettagliata dei casi di malware aiuta a identificare le vulnerabilità di sicurezza più frequenti e a prevenirle con misure adeguate.
#1 Password forti: la misura di sicurezza più importante di tutte
Una delle misure di sicurezza più importanti è una password forte per tutti gli account. Purtroppo, in qualità di hoster, abbiamo un'influenza limitata sull'assegnazione delle password. Soprattutto nel caso di trasferimenti, possiamo esercitare solo una piccola influenza sulle password. L'imposizione di una password forte al momento della creazione di un sito Box (ad esempio un nuovo sito WordPress) ha portato a una riduzione significativa degli attacchi malware.
Come promemoria
Una password dovrebbe essere composta da numeri, caratteri speciali e lettere minuscole con una lunghezza minima di sette caratteri. Se questo non è il caso dei tuoi account WordPress, devi assolutamente fare il primo passo e cambiare immediatamente le password.
#2 Protezione contro gli attacchi di forza bruta
I siti web vengono attaccati quasi un miliardo di volte al mese con gli attacchi brute force descritti sopra. È bene che il tuo hoster WordPress se ne sia già occupato. Il nostro sistema di protezione degli accessi si posiziona davanti all'area di login di WordPress e inseriscenella lista neragli indirizzi IP che tentano ripetutamente di accedere con dati di login falsi.
Nelle impostazioni del tuo Box puoi definire esattamente dopo quanti tentativi di accesso questo blocco deve entrare in vigore e per quanto tempo gli IP in questione vengono bloccati. In combinazione con una password forte, è praticamente impossibile accedere al sito web in questo modo.
#3 WP Session Eraser
Secondo il GDPR, dovresti memorizzare il minor numero di dati possibile. Noi ti aiutiamo in questo! Il nostro strumento per ridurre i dati - WordPress Session Eraser - cancella le sessioni di WordPress di tutti i tuoi utenti dal database dopo un intervallo predefinito. Puoi impostare questo intervallo individualmente per ogni sito Box nelle impostazioni del tuo sito Dashboard .
4 Blocco predefinito di XML-RPC
XML-RPC è un'interfaccia disponibile su tutti i siti web WordPress a partire dalla versione 3.5 di WordPress. Dato che la stragrande maggioranza dei webmaster non utilizza XML-RPC, ha senso disattivare questa interfaccia. Perché: gli hacker possono attaccare direttamente il tuo sito tramite XML-RPC.
Per questo motivo, l'interfaccia è ora bloccata per impostazione predefinita e può essere attivata, se necessario, tramite le impostazioni di Raidboxes Dashboard .
5 Aggiornamenti di sicurezza gestiti da WordPress
Naturalmente, l'aggiornamento di WordPress è fondamentale. Ogni 2-3 mesi circa vengono rilasciate nuove versioni di WordPress. Gli aggiornamenti di manutenzione, in particolare, colmano importanti lacune di sicurezza. Questi aggiornamenti devono essere installati immediatamente.
Gli aggiornamenti principali di solito comportano modifiche sostanziali al codice e per questo motivo possono verificarsi delle incompatibilità. Per lasciare il tempo necessario per gli aggiornamenti di temi e plugin, sul nostro sistema effettuiamo sempre il roll-out degli aggiornamenti principali dopo 14 giorni. Naturalmente, rendiamo immediatamente disponibile l'ultima versione di WordPress per gli aggiornamenti manuali. Naturalmente, è importante che tu faccia sempre un backup del tuo sito prima di aggiornare!
6 Protezione selettiva in scrittura - WordPress Misure di tempra
Uno degli obiettivi del plugin iThemes Security è quello di rendere WordPress più sicuro proteggendo i file. Anche questo è integrato in modo selettivo con noi. In questo modo è più difficile infettare elementi del sito e renderli inutilizzabili. Bisogna sempre trovare un equilibrio ragionevole tra flessibilità e sicurezza. Manteniamo questo equilibrio attraverso le opzioni di configurazione direttamente dall'interfaccia utente di Raidboxes .
Inoltre, ovviamente utilizziamo anche le migliori pratiche di WordPress quando hanno senso. Un esempio è quello di rinominare il prefisso del database di WordPress. Nel nostro caso, questo non è accessibile tramite lo standard wp_. Rinominare la cartella wp-content, invece, come proposto da iThemes Security, porta a degli errori, poiché i plugin e i temi non riescono a gestirla.
#7 Aggiornamenti dei plugin gestiti da WordPress
Ora è il momento di chiudere l'ultima grande porta di accesso agli attacchi: i plugin non aggiornati. Come per WordPress stesso, le vulnerabilità di sicurezza possono verificarsi anche con i plugin e i temi. Non tutti gli aggiornamenti includono funzioni di sicurezza. Tuttavia, se tutti i plugin sono aggiornati, la probabilità che si verifichino vulnerabilità di sicurezza è notevolmente inferiore.
#8 Misure lato server
Tutte queste misure proteggono WordPress stesso. A parte questo, c'è ovviamente un elenco quasi infinito di misure di sicurezza che riguardano il server stesso. Si parte dagli aggiornamenti di Linux per arrivare all'aggiornamento regolare di PHP, la base di WordPress. Ci occupiamo noi dell'aggiornamento automatico delle versioni di PHP non aggiornate (ovviamente con i dovuti tempi di attesa e di test), senza che tu debba occupartene in prima persona.
Svantaggi dei plugin di sicurezza per WordPress
Tenendo presente questo, vorrei ora discutere brevemente degli svantaggi dei plugin di sicurezza. Alcuni di questi non sono trascurabili, soprattutto dal punto di vista del tempo.
Sforzo di configurazione
Chi pensa che sia sufficiente installare un plugin si sbaglia. Purtroppo, l'installazione di un plugin di sicurezza richiede anche alcune conoscenze.
Utilizzando l'esempio del plugin All-in-One Security è un buon esempio di questo. Si tratta di uno dei più popolari plugin gratuiti che utilizza in larga misura il file .htaccess. Tuttavia, il plugin non riconosce nemmeno se si tratta di un server NGINX. Non supporta il concetto di file .htaccess. Tuttavia, NGINX viene utilizzato nell'ambiente WordPress per la sua flessibilità.
Inoltre, sebbene le misure di sicurezza siano suddivise in livelli di difficoltà, il che ha molto senso, molte delle misure offerte dal plugin sono meno utili. Per valutare adeguatamente la necessità delle varie misure, bisogna inevitabilmente familiarizzare con la materia della sicurezza.
Manutenzione e (in)sicurezza percepita
Per il nostro test, abbiamo installato diversi plugin di sicurezza. Uno dei plugin ha utilizzato automaticamente un indirizzo e-mail del team memorizzato in WordPress e ha iniziato a inviare e-mail. Con grande gioia di tutti i membri del team...
Sfortunatamente, questo non è affatto raro. Certo, si vorrebbe rimanere informati sotto certi aspetti. Tuttavia, nei casi più frequenti, si viene indirizzati verso cose che non rappresentano affatto un rischio per la sicurezza. Alla fine, ti senti più insicuro di prima, perché sei informato di ogni cambiamento di file, per esempio, e devi controllare in caso di dubbio.
Problemi di prestazioni
Per impostazione predefinita, ogni plugin offre una scansione del malware o della sicurezza. Il plugin Wordfence preferisce impostarla automaticamente a un'ora. Ciò significa che, in caso di dubbio, ogni ora (!) viene eseguita una scansione della tua pagina attraverso uno script automatico (via cronjob). Chiunque abbia mai installato un software antivirus sul proprio computer conosce le storie di guai legati a problemi di prestazioni a volte enormi.
Questo potrebbe anche essere il motivo per cui "solo" 2 milioni di download su oltre 90 milioni sono rimasti attivi alla fine.
Costi
Per la ricerca di questo articolo, abbiamo valutato solo i plugin che sono disponibili anche in versione gratuita. Tuttavia, purtroppo molti plugin per la sicurezza di WordPress costano almeno 80 dollari all'anno. Se non li usi, spesso ti ritrovi con una sensazione di insicurezza.
Quando è davvero utile un plugin di sicurezza per WordPress?
Per coloro che vogliono fare il passo più lungo della gamba, ecco alcuni esempi di casi in cui un plugin di sicurezza per WordPress può essere utile. Questi consigli si riferiscono solo agli hosting WordPress specializzati. Poiché altri hoster potrebbero non avere misure di sicurezza così specifiche ed estese, un plugin di sicurezza per WordPress potrebbe essere consigliabile. Come puoi vedere, non è possibile fare una dichiarazione generale sull'utilità dei plugin di sicurezza, poiché i requisiti e le circostanze sono diversi.
Hacking manuale su WooCommerce Shop
Questo è uno dei pochi esempi in cui abbiamo consigliato attivamente un plugin di sicurezza per aumentare la sicurezza del negozio online. Il cliente di WooCommerce ha avuto l'impressione di subire un attacco manuale, cosa che, come descritto sopra, è molto rara.
In questo caso, ha potuto utilizzare Wordfence e la sua funzione di registrazione per identificare rapidamente l'indirizzo IP corrispondente e bloccarlo. In questo modo è stato possibile bloccare efficacemente l'attacco.
Più alto è il numero di plugin, più alta è la probabilità di rischi per la sicurezza. Soprattutto se non viene utilizzato alcuno strumento per l'aggiornamento, le lacune di sicurezza esistenti rimangono inosservate nel sistema per molto tempo e offrono una superficie di attacco. Soprattutto nei negozi WooCommerce , il numero di plugin è solitamente elevato a causa della natura di WooCommerce e i dati sono più sensibili. Per questo motivo, è necessario prendere in considerazione un plugin di sicurezza.
I tre migliori plugin di sicurezza per WordPress
Di seguito, vorrei spiegare brevemente perché ci limitiamo a soli tre plugin e non presentiamo dieci - o addirittura i migliori 101 plugin per la sicurezza di WordPress.
Quando si parla di plugin di sicurezza, ci limitiamo ai 3 migliori plugin per WordPress a livello mondiale. Abbiamo esaminato anche altri plugin di sicurezza, come All In One WP Security & Firewall, che è il più popolare plugin puramente gratuito (senza versione premium) con oltre 800.000 utenti. Tuttavia, l'usabilità e in parte le misure consigliate non ci hanno convinto. Inoltre, può essere utilizzato solo su server web Apache.
Si tratta degli ultimi metri
Poiché consideriamo i plugin più che altro un'integrazione a un hosting WordPress già sicuro, l'obiettivo è quello di coprire l'ultimo 0,1% di rischio di sicurezza. Per questo motivo, ci limitiamo ai plugin professionali, che hanno una distribuzione molto elevata.
Ma questa selezione di plugin è molto importante anche per altri hoster non specializzati. In questo caso dovresti comunque occuparti più intensamente dell'argomento sicurezza di WordPress.
Supporto decisionale rapido
Allo stesso tempo, è importante per noi fornire un rapido aiuto alla decisione. Secondo noi, questo non è più possibile con una presentazione di dieci plugin , poiché allora tutti e dieci plugin devono essere valutati di nuovo alla fine. Con tre plugin con focus diversi, la decisione è più facile qui.
Restrizione ai plugin All-In-One
Naturalmente, esistono innumerevoli plugin che si occupano di singole funzioni, ad esempio la limitazione dei tentativi di accesso (Limit Login Attempts). Ma anche le funzioni che i plugin offrono solo nelle versioni PRO possono essere risolte tramite singoli plugin. L'esempio migliore è questo plugin per l'autenticazione a due fattori.
Distribuzione e dati sono importanti per i firewall
I firewall applicano determinate regole per capire se qualcuno sta agendo in modo malevolo o se sta semplicemente visitando il sito. Se qualcuno tenta di entrare nel sito, viene bloccato. Le regole, in particolare, si basano sulla conoscenza delle vulnerabilità di sicurezza esistenti. Allo stesso tempo, è più facile individuare le reti di aggressori quando ci sono 2 milioni di pagine nell'amministrazione e bloccarle per tutte le altre pagine piuttosto che quando ci sono 10.000 pagine. Pertanto, la distribuzione svolge un ruolo importante per i plugin di sicurezza.
I tuoi preferiti sono i benvenuti
Questo non significa che non ci siano altri ottimi plugin per una maggiore sicurezza di WordPress. Sentiti libero di indicare i tuoi preferiti nei commenti. In questo modo garantiremo ancora più opportunità per nuovi approcci innovativi.
I tre migliori plugin per la sicurezza in sintesi
| Sito web del plugin | Wordfence | Sicurezza iThemes | Sucuri Security |
| Scarica il link | Scarica | Scarica | Scarica |
| Caratteristiche | Qui | Qui | Qui |
| Installazioni attive | 3+ milioni | 900.000+ | 700.000+ |
| Lingue | English | 16 lingue (anche DE) | Inglese, spagnolo |
| Testato con l'ultima versione di WordPress | Sì | Sì | a 5.3.4 |
| Numero di valutazioni | 3,572 | 3,830 | 338 |
| Valutazione (cinque stelle) | 4,8 | 4,7 | 4,4 |
| Versione gratuita | Sì | Sì | Sì |
| Premium (licenza annuale) | a partire da $99 | da $80 | $199,99 |
| Rimozione del malware da | $286.40 | non offerto | incluso nella licenza |
Dalla panoramica emerge chiaramente che ognuno dei plugin ha una distribuzione molto elevata ed è ben valutato. Tuttavia Wordfence è il leader indiscusso del mercato ed è anche ben bilanciato in termini di rapporto qualità-prezzo. Con Sucuri, paghi direttamente per la rimozione del malware, ma qui i prezzi possono salire fino a 500 dollari all'anno , soprattutto a causa di un servizio più veloce e di scansioni più frequenti. Con Wordfence la rimozione professionale del malware è offerta come servizio opzionale. Quindi tutto dipende dalle tue esigenze.
È importante sapere che è piuttosto improbabile catturare un malware con le password forti degli utenti WP. A nostro avviso, quindi, non ha molto senso acquistare la rimozione del malware direttamente come servizio.
A Wordfence nella versione gratuita hai accesso diretto all'intero spettro del firewall, a differenza di iThemes Security, per esempio, dove le informazioni della rete sono accessibili solo nella versione PRO.
Un punto importante che non deve essere sottovalutato: Wordfence Nel nostro esempio, Sucuri è l'unico provider indipendente specializzato solo nella sicurezza di WordPress. Sucuri fa ora parte del gruppo GoDaddy e anche iThemes è stato acquistato da un'altra società di hosting. Sono inoltre attivi in diverse altre aree, come lo sviluppo di temi. Dietro Wordfence è l'azienda di sicurezza Defiant.
Riassunto intermedio
La nostra raccomandazione sui plugin di sicurezza è quindi molto chiara Wordfence. La versione gratuita del plugin offre già un firewall completo e si concentra sui due aspetti fondamentali che un plugin di sicurezza per WordPress dovrebbe fornire: un firewall e le scansioni di sicurezza.
Inoltre, è veloce da configurare, è strutturato in modo chiaro e non confonde, come accade con altri plugin dalle informazioni troppo tecniche.
Per evitare problemi di prestazioni, nelle opzioni di scansione è necessario utilizzare "Scansione a basse risorse". Poiché gli indirizzi IP vengono elaborati, è necessariochiudere un AV con Wordfence .
Di seguito, approfondirò ancora una volta le singole aree principali di un plugin di sicurezza per WordPress, in modo da rendere chiare le differenze tra i vari plugin.
Le caratteristiche più importanti del plugin a confronto
Monitoraggio e scansioni
| Wordfence | Sicurezza iThemes | Sucuri | |
| scansioni di sicurezza | Sì | Sì | Sì |
| Scansioni di sicurezza programmate | Solo la versione Pro | Solo versione Pro | Solo versione Pro |
| Identificazione del malware | Sì | Sì | Sì |
| Identificazione delle anomalie di sicurezza | Sì | Sì | Sì |
| Monitoraggio della lista nera | Solo Google Safe Browsing | Controllo dello stato della blacklist | Sì |
| Modifiche al file | Sì | Sì | Sì |
| Monitoraggio DNS | Sì | Non è chiaro | Sì |
| Monitoraggio SSL | No | Sì | Sì |
| Notifiche | Sì | Sì | Sì |
| Controllo dello spam | Solo la versione Pro | Sì | Sì |
| registri di sicurezza | Sì | Sì | Di base |
Una parte essenziale di un plugin di sicurezza per WordPress consiste nel verificare se il sito web è stato compromesso. Poiché non esiste un uso uniforme dei termini e spesso vengono utilizzati termini e spiegazioni diverse per lo stesso contenuto, è molto difficile fare un confronto ragionevole. La tabella qui sopra dovrebbe fornire una panoramica.
Ogni plugin offre una funzione di scansione
Sebbene le scansioni di sicurezza, l'identificazione di malware, l'identificazione di anomalie di sicurezza o di modifiche ai file siano spesso elencate separatamente, hanno lo stesso significato. Il confronto dei file serve a verificare la presenza di malware nella pagina. Secondo la nostra esperienza, può accadere che un test poco appariscente di Sucuri possa comunque indicare la presenza di malware sul sito se si effettuano scansioni più dettagliate o si esaminano i singoli file.
iThemes Security utilizza semplicemente l'API di Sucuri. Il risultato sia di Sucuri che di iThemes non è altro che il controllo gratuito del sito, che si può trovare anche sul sito web di Sucuri.
Differenze nel monitoraggio delle blacklist
Oltre alle scansioni, il monitoraggio delle blacklist è un fattore importante, soprattutto per le perdite di ranking descritte in precedenza. Qui Wordfence secondo la sua stessa presentazione, controlla solo lo stato di Google Safe Browsing. Se un sito web compare qui, in linea di massima è già troppo tardi. Molto probabilmente il sito verrà eliminato per primo dai risultati di ricerca. iThemes Security e Sucuri controllano diverse blacklist direttamente qui. Il risultato è comunque identico. Quando il sito web compare nelle blacklist, è già troppo tardi. Queste scansioni vengono effettuate proprio per evitare che ciò accada.
Il controllo esteso della lista nera è disponibile solo Wordfence è disponibile solo nella versione Premium. In questo caso, viene controllato anche il punto della pubblicità spam, che può essere facilmente riconosciuto all'esterno ed è importante per Google.
Scarsa rilevanza del monitoraggio DNS
Consideriamo le caratteristiche del monitoraggio DNS e SSL poco rilevanti. Non siamo a conoscenza di un solo caso in cui i cambiamenti DNS o SSL siano stati fatti per indagare su attività criminali.
Wordfence punteggi con i registri di sicurezza
La base di un plugin di sicurezza per WordPress dovrebbe essere quella di visualizzare i login in modo sensato. Questo vale per tutti i plugin. Wordfence Il plugin di WordPress è un passo avanti grazie al suo monitoraggio del traffico in tempo reale. Non solo vengono riconosciuti i login, ma il traffico viene categorizzato di conseguenza. In questo modo è possibile tracciare le attività dei crawler o il comportamento umano in relazione agli aspetti di sicurezza. Questo strumento è quindi ideale per prevenire gli attacchi manuali, ad esempio.
Conclusioni in questa categoria
La qualità della scansione è difficile da giudicare e dovrebbe essere valutata attraverso dei casi di test. iThemes Security e Sucuri hanno un migliore monitoraggio della blacklist. Tuttavia, la scansione dovrebbe evitare che la pagina finisca comunque nella blacklist. Per quanto riguarda il monitoraggio, la funzione di traffico in tempo reale di Wordfence è un grande vantaggio.
Protezione in combinazione con i firewall
| Wordfence | Sicurezza iThemes | Sucuri | |
| Firewall per applicazioni web (WAF) | Limitato | 404 Rilevamento | Sì |
| Sistema di rilevamento delle intrusioni (IDS) | Sì | No | Sì |
| Protezione DDoS | No | No | Sì |
| Brute Force Protezione | Sì | Sì | Sì |
| Blocco dei tentativi di hacking | Sì | Parziale | Sì |
| Protezione dagli exploit zero-day | Non è chiaro | No | Sì |
| Protezione laterale singola | No | No | Sì |
| Algoritmo di correlazione euristica | Non è chiaro | No | |
| Bilanciamento del carico / Failover | No | Sì | Sì |
| blocco del paese | Sì | No | No |
| Blocco manuale avanzato | Sì | No | No |
iThemes senza firewall adeguato
Quando si parla di firewall, le differenze tra i plugin diventano particolarmente evidenti. Gli approcci all'argomento sono fondamentalmente diversi. A rigore, iThemes-Security non utilizza un vero e proprio firewall. Il rilevamento di 404 può essere definito un primo approccio. Questo approccio esamina se un crawler genera molti errori 404 e li blocca.
Sucuri con CDN completo
Mentre per Wordfence è sufficiente installare un plugin per utilizzare il firewall, Sucuri richiede la modifica del server dei nomi o di un record A nelle impostazioni DNS. Si tratta invece di una soluzione completamente basata sul cloud, che include una CDN (Content Delivery Network), in grado di prevenire anche gli attacchi DDoS. In un attacco DDoS, una botnet viene spesso utilizzata per bombardare un sito di richieste fino a quando il sito non è più accessibile perché il server cede.
L'approccio di Sucuri comporta anche il fatto che, a differenza di Wordfence funziona con i bilanciatori di carico. Nel complesso, con Sucuri, alcuni termini come "algoritmo di correlazione euristica" sono più probabilmente una formulazione di marketing e non è chiaro se questo sia un effettivo valore aggiunto, dato che Wordfence presumibilmente funziona anche con metodi euristici. Tuttavia, chi ha bisogno solo di una CDN può realizzarla gratuitamente anche attraverso Cloudflare.
Wordfence con più opzioni di configurazione
Con Sucuri, molte cose vengono eseguite automaticamente e senza l'intervento dell'utente. D'altra parte, in questo caso si può configurare molto meno. Ad esempio, con Wordfence puoi bloccare esplicitamente gli IP di singoli paesi e puoi anche bloccarli manualmente. Questo è particolarmente utile per gli hack manuali.
WordPress Misure di sicurezza
| Wordfence | Sicurezza iThemes | Sucuri | |
| Backup del database | No | Sì | No |
| WordPress rendono più sicuro | No | Sì | No |
| nascondere le informazioni | No | Sì | No |
| Protezione da scrittura | No | Sì | No |
| Gestione delle password | No | Sì | No |
| Autenticazione a due fattori | Premium | Premium | No |
iThemes Security si concentra sulle misure di sicurezza di WordPress, come mostrato nella tabella. In totale vengono analizzati 30 punti diversi, la maggior parte dei quali ha molto senso. Molti di questi punti sono già inclusi nel nostro hosting.
iThemes Security è quindi un ottimo modo per aggiungere maggiore sicurezza a livello di WordPress a un hosting generico "insicuro". La versione gratuita offre già un'ampia protezione. Nella versione premium, vale la pena sottolineare l'autenticazione a due fattori.
Da quando Wordfence e Sucuri si concentrano sulla "schermatura" del lato. Sono piuttosto deboli in questi punti.
Rimozione di malware e prestazioni
| Wordfence | Sicurezza iThemes | Sucuri | |
| Pulizia degli hack e rimozione del malware | Avrai punti bonus se... | Non rintracciabile | Avrai punti bonus se... |
| Rimozione degli avvisi della lista nera | Avrai punti bonus se... | Non rintracciabile | Avrai punti bonus se... |
| Limite di richiesta di rimozione del malware | Avrai punti bonus se... | Non rintracciabile | Avrai punti bonus se... |
| Pulizia automatica | Parziale | Non rintracciabile | Parziale |
| Escalation dell'analista di sicurezza | Avrai punti bonus se... | Non rintracciabile | Avrai punti bonus se... |
| Pulizia completa del sito web | Avrai punti bonus se... | Non rintracciabile | Avrai punti bonus se... |
| Colmare le lacune della sicurezza | Avrai punti bonus se... | Non rintracciabile | Avrai punti bonus se... |
| Backup | No | Non rintracciabile | Sì |
| Rapporto post-pulizia | Avrai punti bonus se... | Non rintracciabile | Avrai punti bonus se... |
| Registro completo e rapporto sugli incidenti | Avrai punti bonus se... | Non rintracciabile | Avrai punti bonus se... |
| Follow up della causa principale | Avrai punti bonus se... | Non rintracciabile | Avrai punti bonus se... |
Infine, ma non meno importante, diamo un'occhiata alla rimozione del malware. In questo caso i prezzi sono simili per Sucuri e Wordfence sono simili. Entrambi fanno pagare un extra per un'elaborazione più veloce. I servizi offerti sono identici. Non sono riuscito a trovare un servizio di rimozione malware su iThemes. La rimozione di un malware può richiedere 2-3 ore, ma con ampie fluttuazioni. Poiché anche noi effettuiamo la rimozione del malware, i prezzi sono considerati equi.
E per quanto riguarda le prestazioni?
Infine, ma non meno importante, una nota sulle prestazioni. Non ci si aspetterebbe questo aspetto in un confronto tra plugin di sicurezza. Tuttavia, poiché Sucuri offre un CDN e un firewall in un unico prodotto, può anche migliorare le prestazioni, soprattutto per i visitatori internazionali. Con un CDN, il sito web viene sempre consegnato dal server successivo, il che comporta dei vantaggi soprattutto per i visitatori stranieri. Per un negozio WooCommerce con pochi contenuti memorizzabili nella cache, invece, è meno decisivo.
"*" indica i campi obbligatori
La nostra conclusione
Qual è quindi la conclusione generale sul tema della sicurezza di WordPress? La nostra conclusione personale può essere ben riassunta da questo fatto: Non utilizziamo alcun plugin di sicurezza per il nostro sito Raidboxes . Non abbiamo mai utilizzato un plugin di sicurezza e non abbiamo mai avuto problemi. Tutto questo nonostante il nostro sito web sia di importanza assolutamente centrale per noi. Tuttavia, i dati dei clienti non sono memorizzati sul nostro sito WordPress. Il rischio di una perdita di prestazioni dovuta a misure di scansione estese era troppo alto per noi e gli svantaggi superavano i benefici.
Tuttavia, un firewall aumenta la sicurezza del sito web. Pertanto, chi vuole ottenere la massima sicurezza ed è disposto ad accettare gli svantaggi in termini di prestazioni e di tempo, dovrebbe utilizzare un plugin di sicurezza.
Soprattutto per i negozi WooCommerce o per i siti web vulnerabili che potrebbero aver già avuto problemi con il malware, un plugin di sicurezza per WordPress può essere utile. Il nostro consiglio è quindi il seguente:
Wordfence come la migliore soluzione gratuita
Se vuoi un firewall davvero solido con un monitoraggio completo, Wordfence è una scelta eccellente. Non per niente è il plugin di sicurezza per WordPress più popolare al mondo. La versione premium completa le funzionalità in modo preciso e sensato. Quando si implementa il plugin, è importante assicurarsi che le scansioni siano impostate correttamente per evitare problemi di prestazioni.
Sicurezza iThemes per gli host generici
iThemes Security esegue misure di sicurezza davvero utili sul sito web, soprattutto per quanto riguarda WordPress stesso. Per i siti web con hoster generici, è un ottimo modo per aumentare il livello di sicurezza senza scansioni approfondite e firewall, anche nella versione gratuita.
Sucuri per CDN
Se stai pensando di utilizzare comunque un CDN e se l'argomento degli attacchi DDoS è rilevante, allora Sucuri è consigliato. L'unica cosa che rimane è il retrogusto un po' insipido del gruppo GoDaddy.
Di quanta sicurezza (percepita) hai bisogno?
Come gestisci il problema della sicurezza di WordPress? Ti affidi alle misure di sicurezza del tuo hoster o solo un plugin di sicurezza per WordPress ti fa dormire sonni tranquilli? Come sempre, aspettiamo i tuoi commenti!
