WordPress sicurezza: quanto è utile la sicurezza plugins?

Johannes Benz Ultimo aggiornamento 11.03.2021
16 Min.
WordPress Sicurezza Sicurezza plugins

Nel frattempo, oltre 38% di tutti i siti web eseguito su WordPress . Questo rende il nostro CMS preferito un popolare obiettivo di hacker e malware. Ma non c'è bisogno di farsi prendere dal panico! Perché WordPress sicurezza non è una stregoneria. Oltre ai consigli pratici sulla sicurezza, oggi abbiamo i tre migliori WordPress sicurezzaPlugins nella borsa e vi mostriamo quando ne avete davvero bisogno.

Ho ancora bisogno di una sicurezzaPlugin? Riceviamo questa domanda regolarmente nel supporto. Nel seguente articolo vorrei mostrarvi quale valore aggiunto ha una sicurezzaPlugin per la sicurezza del vostro sito WordPress e quando ha davvero senso usarne una.

Nella seconda parte, confrontiamo i tre più popolari WordPress -sicurezza-Plugins per darvi una rapida panoramica. In questo modo, puoi prendere una decisione mirata e rapida e poi dedicarti all'essenziale: il tuo business.

Perché WordPress la sicurezza è così cruciale

Fondamentalmente, ci sono tre ragioni principali per cui dovreste affrontare attivamente la sicurezza del vostro sito WordPress e non nascondere la testa sotto la sabbia.

#1 Il tuo sito web può diventare inutilizzabile

Qualche anno fa, eravamo ancora nel business delle agenzie. È successo che ci è stato permesso di affrontare una riprogettazione completa di un sito perché il sito originale era diventato inutilizzabile a causa di problemi di sicurezza che avrebbero potuto essere evitati.

Ora, qualcuno che installa malware sulle pagine di solito non è interessato a distruggerle. Dopo tutto, l'attaccante vuole inviare spam, indirizzare i visitatori a pagine di spam, incorporare annunci o generare criptovalute. Oltre alla limitazione generale della funzionalità del vostro sito, il malware può anche portare a significativi problemi di prestazioni.

#2 Blacklisting e crash nel ranking di Google

Un problema ancora più grave di questi tempi è la lista nera del dominio, soprattutto da parte di Google o Norton. Se Google mette in lista nera il vostro sito web, questo significa nel peggiore dei casi che il vostro sito sarà rimosso dai risultati di ricerca di Google.

È possibile ripresentare una scansione del sito dopo un attacco di malware. Tuttavia, questo non garantisce che riavrete le vostre precedenti classifiche. Soprattutto per le parole chiave importanti per il denaro o per il traffico organico elevato, questo può avere gravi conseguenze economiche.

#3: Perdita di dati

Soprattutto in tempi di RGPD, dove il tema della protezione dei dati ha raggiunto una nuova dimensione, è importante proteggere i dati dei vostri utenti. Mentre questo è meno importante per un normale sito aziendale, è ancora più drammatico per un sito di un negozio se le informazioni di pagamento non sono sufficientemente protette.

Minacce tipiche alla sicurezza del tuo sito WP

Brute Force Attacchi all'area di login
Nel caso di un Brute Force attacco un gran numero di combinazioni di password vengono provate automaticamente per accedere al sito tramite il login /wp-admin di WordPress . Una volta che questo è stato raggiunto e l'utente WordPress ha i diritti di amministratore, il sito web è quasi completamente sotto il controllo dell'attaccante.

La nostra esperienza su RAIDBOXES lo dimostra: Usando una password forte e limitando i tentativi di login, quasi tutti i casi di malware possono essere evitati. Ma ne riparleremo tra un momento.

Sfruttamento automatico delle vulnerabilità di sicurezza
Di regola, gli attacchi ai siti web sono automatizzati. Le pagine di WordPress sono scansionate automaticamente dai cosiddetti crawler, per esempio, per uno specifico Plugin, che ha una vulnerabilità di sicurezza. Varie falle di sicurezza possono essere sfruttate negli attacchi, per esempio nel caso di SQL-injections o Cross-Site-Scripting.

Attacchi manuali
Naturalmente, è anche possibile sfruttare manualmente una vulnerabilità di sicurezza. Tuttavia, questo è piuttosto raro, poiché lo sforzo varrebbe la pena solo per i grandi negozi WooCommerce dove, per esempio, i dati di pagamento sono effettivamente da rubare.

8 misure di sicurezza che forniamo come hoster

In linea di principio, la sicurezza del vostro sito web può essere WordPress Hosting può aumentare significativamente la sicurezza del vostro sito web. Nel corso degli anni, abbiamo continuamente ampliato il concetto di sicurezza di RAIDBOXES in modo che i casi di malware sono diventati una rarità assoluta. Soprattutto l'analisi dettagliata dei casi di malware aiuta a rilevare le falle di sicurezza più frequenti e a prevenirle con misure appropriate.

#1 Password forti - la misura di sicurezza più importante di tutte

Una delle misure di sicurezza più importanti è una password forte per tutti gli utenti di WordPress . Sfortunatamente, come hoster abbiamo un'influenza limitata sull'assegnazione della password. Soprattutto nel caso di delocalizzazioni, possiamo esercitare solo poca influenza sulle password. Imporre una password forte quando si crea un BOX (WordPress -website) ha portato a una significativa riduzione dell'infestazione di malware.

Forzare una password forte quando si crea un sito web WordPress
Imporre una password forte quando si crea un sito web WordPress ha portato a una significativa riduzione dell'infestazione di malware.
Come promemoria

Una password dovrebbe essere composta da numeri, caratteri speciali e lettere minuscole con una lunghezza minima di sette caratteri. Se questo non è il caso dei vostri utenti WordPress , dovreste sicuramente fare prima il passo 1 e cambiare le password immediatamente.

#2 Protezione contro gli attacchi di forza bruta

Quasi un miliardo di volte al mese i siti web vengono attaccati con il Brute Force Attacchi descritto sopra. Bene se il tuo hoster WordPress si è già occupato di questo. Il nostro RB Login Protector preverrà la tua area di login WP e'blacklist' gli indirizzi IP che ripetutamente cercano di accedere con credenziali di login false.

Nelle impostazioni del tuo BOX puoi definire esattamente dopo quanti tentativi di login questo blocco dovrebbe avere effetto e per quanto tempo i relativi IP sono bloccati. In combinazione con una password forte, è praticamente impossibile ottenere l'accesso al sito web in questo modo.

#3 WP Session Eraser

Secondo RGPD , si dovrebbe memorizzare meno dati possibile. Noi vi aiutiamo in questo! Il nostro strumento per una maggiore economia dei dati - WordPress Session Eraser - cancella le sessioni WordPress di tutti i tuoi utenti dal database dopo un intervallo definito. Puoi impostare questo intervallo nelle impostazioni di BOX nel nostro dashboard per ogni BOX individualmente.

4 Blocco predefinito di XML-RPC

XML-RPC è un'interfaccia che è disponibile in ogni pagina di WP da WordPress 3.5. Poiché la stragrande maggioranza dei webmaster non usa XML-RPC in ogni caso, ha senso disattivare questa interfaccia. Perché: gli hacker possono attaccare direttamente il tuo sito tramite XML-RPC.

Per questo motivo, XML-RPC è ora bloccato di default e può essere sbloccato tramite le impostazioni nel RAIDBOXES cruscotto.

Blocco XML-RPC
Per questo motivo, XML-RPC è ora bloccato di default e può essere sbloccato tramite le impostazioni nel RAIDBOXES cruscotto.

5 Aggiornamenti di sicurezza gestiti da WordPress

Naturalmente, l'aggiornamento di WordPress è molto importante. Ogni 2-3 mesi nuovo WordPress -versioni sono pubblicati. Soprattutto gli aggiornamenti di manutenzione chiudono importanti lacune di sicurezza. Questi aggiornamenti dovrebbero essere installati immediatamente.

I grandi aggiornamenti di solito comportano grandi modifiche al codice, ed è per questo che possono verificarsi delle incompatibilità. Al fine di dare ai produttori di Theme e Plugin abbastanza tempo, abbiamo sempre lanciato gli aggiornamenti principali sul nostro sistema dopo 14 giorni. Naturalmente forniamo l'ultima versione di WordPress immediatamente per l'aggiornamento manuale. Naturalmente, è importante che tu faccia sempre un backup del tuo sito prima di aggiornare!

6 Protezione selettiva in scrittura - WordPress Misure di tempra

Un punto focale della sicurezzaPlugins Sicurezza iThemes è di rendere WordPress più sicuro proteggendo i file. Anche questo è selettivamente integrato con noi. Questo rende più difficile infettare elementi del sito e renderli inutilizzabili. Ci deve sempre essere un equilibrio ragionevole tra flessibilità e sicurezza. Lo manteniamo attraverso opzioni di configurazione direttamente attraverso l'interfaccia utente RAIDBOXES .

Impedire i cambiamenti di file in WordPress
Inoltre, usiamo anche WordPress best-case practices dove hanno senso. Un esempio è rinominare il prefisso del database WordPress .

Inoltre, usiamo anche WordPress best-case practices dove hanno senso. Un esempio è rinominare il prefisso del database WordPress . Questo non è accessibile tramite il wp_ standard. Rinominare la cartella WP-Content, invece, come fatto da Sicurezza iThemes ha dimostrato di portare ad errori, poiché Plugins e Themes non sanno come gestirlo.

#7 Managed Plugin- Aggiornamenti da WordPress

Ora l'ultima grande porta di accesso agli attacchi deve essere chiusa: Non aggiornato Plugins. Come con WordPress stesso, le vulnerabilità di sicurezza possono verificarsi con Plugins e Themes . Non tutti gli aggiornamenti includono funzioni di sicurezza. Tuttavia: se tutti i Plugins sono aggiornati, la probabilità di vulnerabilità di sicurezza è significativamente più bassa.

Poiché questa funzione in particolare fa risparmiare molto tempo, è inclusa nella nostra tariffa Fully Managed per 30 euro (netti). Come lettore di questo articolo del blog, è possibile usufruire della tariffa in modo permanente per soli 20 euro al seguente link alla cassa: Fully Managed Speciale.

#8 Misure lato server

Tutte queste misure proteggono WordPress stesso. Inoltre, c'è naturalmente una lista quasi infinita di misure di sicurezza che riguardano il server stesso. Questo inizia con gli aggiornamenti di Linux e finisce con l'aggiornamento regolare di PHP come base di WordPress . Ci occupiamo dell'aggiornamento automatico delle versioni di PHP non aggiornate (ovviamente con un tempo adeguato e il tempo per i test) senza che tu debba occupartene da solo.

Svantaggi della sicurezzaPlugins

Questo mostrato vorrei trattare ora brevemente gli svantaggi della sicurezza -Plugins . Questi sono in parte non insignificanti, in particolare per quanto riguarda gli aspetti temporali.

Sforzo di messa a punto

Se pensate che la semplice installazione di un Plugins sia sufficiente, vi sbagliate. Sfortunatamente, impostare una sicurezzaPlugins richiede anche certe conoscenze.

Usando l'esempio del Plugins All-in-One-Security questo diventa molto chiaro. È uno dei più popolari Plugins gratuiti, che utilizza il file .htaccess in larga misura. Tuttavia, Plugin non riconosce nemmeno se si tratta di un server NGINX. Questo non supporta il concetto di .htaccess e viene utilizzato nell'ambiente WordPress per la sua flessibilità.

Inoltre, anche se le misure di sicurezza sono divise in livelli di difficoltà, il che ha molto senso, molte delle misure offerte da Plugin sono meno utili. Per valutare adeguatamente la necessità delle varie misure, bisogna inevitabilmente familiarizzare con la materia della sicurezza.

Manutenzione e (in)sicurezza percepita

Per il nostro test, abbiamo installato vari sistemi di sicurezzaPlugins . Uno dei Plugins ha usato automaticamente un indirizzo e-mail del team memorizzato in WordPress e ha iniziato a inviare e-mail diligentemente. Per la grande gioia di tutti i membri della squadra...

Sfortunatamente, questo non è affatto raro. Certo, si vorrebbe rimanere informati sotto certi aspetti. Tuttavia, nei casi più frequenti, si viene indirizzati verso cose che non rappresentano affatto un rischio per la sicurezza. Alla fine, ti senti più insicuro di prima, perché sei informato di ogni cambiamento di file, per esempio, e devi controllare in caso di dubbio.

Problemi di prestazioni

Per impostazione predefinita, ognuno di Plugins offre una scansione di malware o di sicurezza. Il Plugin Wordfence piace impostarlo automaticamente a un'ora. Questo significa che in caso di dubbio ogni ora (!) una scansione del tuo sito viene eseguita attraverso uno script automatico (via cronjob). Chiunque abbia mai installato un software antivirus sul suo computer conosce i racconti di sventura di problemi di prestazioni a volte enormi.

Questo può anche essere un motivo per cui "solo" 2 milioni di oltre 90 milioni di download sono rimasti attivi alla fine.

Costi

Per la ricerca di questo articolo abbiamo valutato solo Plugins , che sono anche disponibili in una versione gratuita. Tuttavia, è un peccato che con molti WordPress -Security-Plugins le caratteristiche veramente utili costino almeno 80 dollari all'anno. Se non li si usa, si rimane spesso con una sensazione di insicurezza.

Quando ha davvero senso un WordPress -Security-Plugin ?

Per coloro che vogliono andare oltre, ecco alcuni esempi di casi in cui Plugin può essere utile per WordPress sicurezza. Queste raccomandazioni si applicano solo all'hosting specializzato WordPress . Dal momento che altri provider potrebbero non avere misure di sicurezza implementate in modo così specifico ed esteso, una sicurezzaPlugin può essere raccomandata lì in generale. Come potete vedere, è difficile fare un'affermazione generale sull'utilità dei plugin di sicurezza, poiché le esigenze e le circostanze sono diverse.

Hacking manuale al negozio WooCommerce

Questo è uno dei pochi esempi in cui abbiamo effettivamente raccomandato attivamente una sicurezzaPlugin per aumentare la sicurezza del negozio online. Il cliente WooCommerce ha avuto l'impressione di essere attaccato manualmente, cosa che, come descritto sopra, è molto rara.

In questo caso, è stato in grado di usare Wordfence e la sua funzione di registrazione per identificare rapidamente l'indirizzo IP dell'aggressore e poi bloccarlo. L'attacco potrebbe così essere efficacemente fermato.

In pericolo Plugins

Più alto è il numero di Plugins, più alta è la probabilità di rischi per la sicurezza. In particolare, se non si usa uno strumento per l'aggiornamento, le lacune di sicurezza esistenti rimangono inosservate nel sistema per molto tempo e offrono una superficie di attacco. Specialmente nei negozi WooCommerce, il numero di Plugins è di solito intrinsecamente alto e i dati sono anche più sensibili. Pertanto, una sicurezzaPlugin dovrebbe essere considerata qui.

I tre miglioriPlugins per la sicurezza WordPress

Di seguito, vorrei spiegare brevemente perché ci limitiamo a solo tre Plugins e non presentiamo dieci - o anche i migliori 101 WordPress - plugin di sicurezza.

Con la sicurezza -Plugins ci limitiamo ai TOP 3 WordPress -Plugins mondiali. Abbiamo anche esaminato altri sistemi di sicurezzaPlugins, come ad esempio. All In One WP Security & Firewall che è il più popolare Plugin puramente gratuito (senza versione premium) con 800.000+ utenti. Tuttavia, non siamo stati convinti dall'usabilità e in parte dalle misure raccomandate qui. Allo stesso tempo, è applicabile solo ai server web Apache.

Si tratta degli ultimi metri

Dal momento che vediamo il Plugins più come un supplemento a un già sicuro WordPress Hosting l'obiettivo è quello di coprire l'ultimo 0,1% di rischio di sicurezza. Così, ci limitiamo ai professionisti Plugins, che hanno una distribuzione molto alta.

Tuttavia, questa selezione di Plugins è anche molto rilevante per altri hosters non specializzati. Qui dovreste comunque trattare più intensamente l'argomento della sicurezza di WordPress .

Supporto decisionale rapido

Allo stesso tempo, è importante per noi fornire un rapido aiuto alla decisione. Secondo noi, questo non è più possibile con una presentazione di dieci Plugins , poiché allora tutti e dieci Plugins devono essere valutati di nuovo alla fine. Con tre Plugins con focus diversi, la decisione è più facile qui.    

Restrizione all'all-in-onePlugins

Naturalmente, ci sono innumerevoli Plugins, che assumono grandi funzioni individuali, per esempio, limitare i tentativi di accesso (Limit Login Attempts). Ma anche le funzioni, che il Plugins offre solo nelle versioni PRO , possono essere risolte tramite il singolo Plugins . Il miglior esempio è questo Plugin per l'autenticazione a 2 fattori.

La distribuzione e i dati sono importanti per i firewall

I firewall applicano certe regole per rilevare se qualcuno sta agendo maliziosamente o sta semplicemente visitando il sito. Se qualcuno cerca di entrare nel sito, viene bloccato. In particolare, le regole sono basate sulla conoscenza delle vulnerabilità esistenti. Allo stesso tempo, le reti di aggressori possono essere meglio individuate e bloccate per tutti gli altri siti quando ci sono 2 milioni di siti nell'amministrazione che quando ci sono 10.000 siti. Pertanto, la distribuzione gioca un ruolo per la sicurezzaPlugins .

I tuoi preferiti sono i benvenuti

Questo non significa che non ci siano altri grandi Plugins per una maggiore sicurezza WordPress . Sentitevi liberi di condividere i vostri preferiti nei commenti. In questo modo, assicuriamo anche più pari opportunità per nuovi approcci innovativi.

Le tre migliori sicurezzePlugins nella panoramica

Sito web del PluginsWordfenceSicurezza iThemesSucuri
Sicurezza
Scarica il linkScaricareScaricareScaricare
CaratteristicheQuiQuiQui
Installazioni attive3+ milioni900.000+700.000+
LingueEnglish16 lingue (anche DE)inglese, spagnolo
Testato con l'ultima versione di WordPressa 5.3.4
Numero di valutazioni3,5723,830338
Valutazione (cinque stelle)4,84,74,4
Versione gratuita
Premium (licenza annuale)da $99da $80 $199,99
Rimozione del malware da$286.40non offertoincluso nella licenza

Nella panoramica, è chiaro che ognuno dei Plugins ha una prevalenza molto alta ed è ben valutato. Tuttavia Wordfence il leader indiscusso del mercato e anche equilibrato in termini di rapporto qualità-prezzo. Su Sucuri si paga direttamente per la rimozione del malware, ma qui i prezzi possono essere aumentati, soprattutto attraverso un servizio più veloce e scansioni più frequenti, per 500 dollari all'anno all'anno. Su Wordfence La rimozione professionale del malware è offerta come un servizio opzionale offerto come servizio opzionale. Quindi tutto dipende dalle vostre esigenze.

È importante sapere che è abbastanza improbabile catturare malware con password utente WP forti. A nostro parere, ha quindi poco senso acquistare la rimozione del malware direttamente come servizio.

Su Wordfence si ottiene un accesso diretto all'intero spettro del firewall nella versione gratuita, a differenza, per esempio, di Sicurezza iThemesdove le informazioni dalla rete sono accessibili solo nella versione PRO .

Un punto importante da non starnutire: Wordfence nel nostro esempio, è il unico fornitore indipendenteche si è specializzato solo nell'argomento WordPress sicurezza. Sucuri appartiene al gruppo GoDaddy e iThemes è stato anche acquistato da un'altra società di hosting. Sono anche attivi in varie altre aree, come lo sviluppo di Theme. Dietro Wordfence è esclusivamente la società di sicurezza Sfidante.

Riassunto intermedio

La nostra raccomandazione per la sicurezza -Plugin- è quindi abbastanza chiara Wordfence. Plugin offre già un firewall completo nella versione gratuita e si concentra sui due argomenti fondamentali che una sicurezzaPlugin dovrebbe fornire: un firewall e scansioni di sicurezza.

Inoltre, è impostato rapidamente, mantenuto chiaro e non confonde, come succede con altri Plugins con informazioni troppo tecniche.

Per evitare problemi di prestazioni, tra le opzioni di scansione dovrebbe essere usata "Low Resource Scanning". Poiché gli indirizzi IP sono elaborati, si dovrebbe usare Wordfence chiudere un AV.

Di seguito entrerò nel dettaglio delle singole aree centrali di una sicurezzaPlugins per rendere chiare le differenze tra Plugins .

Le caratteristiche più importanti di Plugin a confronto

Monitoraggio e scansioni

 WordfenceSicurezza iThemesSucuri
scansioni di sicurezza
Scansioni di sicurezza programmateSolo la versione Pro
Solo versione ProSolo versione Pro
Identificazione del malware
    
Identificazione delle anomalie di sicurezza
Monitoraggio della lista neraSolo Google Safe BrowsingControllo dello stato della lista nera
Modifiche al file
    
Monitoraggio DNSNon chiaro
Monitoraggio SSLNo
Notifiche
    
Controllo dello spamSolo la versione Pro
registri di sicurezzaBase

Una parte essenziale di una sicurezzaPlugins è verificare se il sito web è stato compromesso. Poiché ogni fornitore di Plugin usa fondamentalmente nomi diversi per lo stesso contenuto e lo presenta in modo diverso, è molto difficile fare un confronto ragionevole. La tabella qui sopra dovrebbe fornire una panoramica.

Ciascuno Plugin offre una funzione di scansione

Per esempio, le scansioni di sicurezza, l'identificazione di malware, l'identificazione di anomalie di sicurezza o i cambiamenti di file sono spesso elencati separatamente, ma significano la stessa cosa. Il confronto dei file è utilizzato per controllare se il malware è presente nella pagina. Nella nostra esperienza, è abbastanza possibile che un test poco appariscente su Sucuri può ancora significare che il malware è presente sul sito, se viene eseguita una scansione più dettagliata o uno sguardo nei singoli file.

Controllo malware: il sito è pulito
iThemes Security fa uso dell'API di Sucuri qui.

Sicurezza iThemes utilizza semplicemente l'API di Sucuri. Come risultato, si ottiene sia Sucuri che iThemes niente altro che il controllo gratuito del sitoche può anche essere trovato sul sito web di Sucuri.

Differenze nel monitoraggio delle liste nere

Oltre alle scansioni, il monitoraggio delle blacklist è un fattore importante, soprattutto per le perdite di ranking descritte sopra. Qui controlla Wordfence secondo la sua presentazione controlla solo il Stato di Google Safe Browsing. Se un sito web appare qui, è praticamente già troppo tardi. Il sito web sarà molto probabilmente buttato fuori dai risultati di ricerca per primo. Sicurezza iThemes e Sucuri controlla diverse liste nere direttamente qui. Il risultato è sempre lo stesso. Se il sito web appare nelle liste nere, è già troppo tardi. Proprio per evitare questo, si fanno queste scansioni.

Controllo Securi: non è nella lista nera
Un controllo esteso della lista nera è disponibile su Wordfence solo nella versione Premium.

Un controllo esteso della lista nera è disponibile solo Wordfence disponibile solo nella versione Premium. Qui si controlla anche il punto della pubblicità spam, che può essere facilmente riconosciuto all'esterno ed è importante per Google.

Bassa rilevanza del monitoraggio DNS

Consideriamo le caratteristiche del monitoraggio DNS e SSL poco rilevanti. Non siamo a conoscenza di un solo caso in cui i cambiamenti DNS o SSL siano stati fatti per indagare su attività criminali.

Wordfence punteggi con i registri di sicurezza

La base di una sicurezzaPlugins dovrebbe essere quella di visualizzare i login in modo ragionevole. Questo è il caso di tutti i Plugins . Wordfence fa qualche passo avanti con il suo monitoraggio del traffico in diretta. Non solo i login vengono riconosciuti, ma il traffico viene categorizzato di conseguenza. In questo modo, le attività dei crawler e il comportamento dei visitatori possono essere tracciati per quanto riguarda gli aspetti di sicurezza. Lo strumento è quindi ideale per prevenire gli attacchi manuali, per esempio.

Wordfence Traffico in diretta
Wordfence è qualche passo avanti qui con il suo monitoraggio del traffico in diretta.

Conclusione in questa categoria

La qualità della scansione è difficile da giudicare e dovrebbe essere valutata attraverso casi di test. iThemes Security e Sucuri hanno un migliore monitoraggio delle blacklist. Tuttavia, la scansione dovrebbe impedire che la pagina finisca comunque nella lista nera. Quando si tratta di monitoraggio, la funzione di traffico dal vivo di Wordfence è un grande vantaggio.

Protezione in combinazione con i firewall

 WordfenceSicurezza iThemesSucuri
Web Application Firewall (WAF)Riservato404 rilevamento
Sistema di rilevamento delle intrusioni (IDS)No
Protezione DDoSNoNo
Brute Force Protezione
Blocco dei tentativi di hackingParziale
Protezione dagli exploit zero-dayNon chiaroNo
Protezione laterale singolaNoNo
Algoritmo di correlazione euristicoNon chiaroNo 
Bilanciamento del carico / FailoverNo
blocco del paeseNoNo
Blocco manuale avanzatoNoNo

iThemes senza firewall adeguato

Quando si tratta di firewall, le differenze tra Plugins sono particolarmente chiare. Qui gli approcci al tema sono fondamentalmente diversi. In senso stretto iThemes-Security non usa un vero firewall. Si potrebbe chiamare l'approccio 404-detection-approach un primo approccio. Qui si guarda se un crawler genera molti errori 404 e viene bloccato.

Sucuri incluso CDN completo

Considerando che per Wordfence Solo un Plugin deve essere installato per utilizzare il firewall, con Sucuri devi cambiare il nameserver o un A-record nelle impostazioni DNS. Per questo, è una soluzione completamente basata sul cloud, che include una CDN (content delivery network), che può anche prevenire gli attacchi DDoS. In un attacco DDoS, una botnet è spesso utilizzata per sparare una pagina con richieste fino a quando la pagina non è più accessibile perché il server cede.

Gli attacchi DDoS spiegati

Che cosa è esattamente un attacco DDoS e come si può prevenire efficacemente, lo mostra Nick Schäferhoff nel suo articolo.

Il SucuriL'approccio significa anche che funziona con i bilanciatori di carico al contrario di Wordfence funziona con i bilanciatori di carico. Nel complesso, con Sucuri è più un termine di marketing, come "Heuristic Correlation Algorithm", e non è chiaro se questo sia un effettivo valore aggiunto, come Wordfence presumibilmente funziona anche con metodi euristici. Tuttavia, coloro che hanno solo bisogno di un CDN potrebbero anche implementarli gratuitamente attraverso Cloudflare .

Wordfence con più opzioni di configurazione

Su Sucuri molte cose vengono eseguite automaticamente e senza l'intervento dell'utente. Ma qui apparentemente meno può essere configurato. Così si può bloccare Wordfence bloccare esplicitamente gli IP dei singoli paesi ed è possibile anche il blocco manuale. Questo è particolarmente utile per gli hack manuali.

WordPress Misure di sicurezza

 WordfenceSicurezza iThemesSucuri
Backup del databaseNoNo
WordPress rendono più sicuroNoNo
nascondere le informazioniNoNo
Scrivere la protezioneNoNo
Gestione delle passwordNoNo
autenticazione a due fattoriPremiumPremiumNo

Sicurezza iThemes si concentra sulle misure di sicurezza all'interno di WordPress come mostrato nella tabella. Qui si lavora su un totale di 30 punti diversi, la maggior parte dei quali ha molto senso. Molti dei punti sono quindi già inclusi nel nostro hosting.

Sicurezza iThemes è quindi un ottimo modo per aggiungere più sicurezza a livello WordPress a un hosting generico "insicuro". La versione gratuita offre già una protezione estesa. Con la versione premium, l'autenticazione a 2 fattori è da sottolineare.

Sync e correzioni da n17t01 Wordfence e Sucuri concentrarsi sulla "schermatura" del lato. Sono piuttosto deboli in questi punti.

Rimozione di malware e prestazioni

 WordfenceSicurezza iThemesSucuri
Pulizia hack e rimozione malwareOpzionaleIrrintracciabileOpzionale
Rimozione degli avvisi della lista neraOpzionaleIrrintracciabileOpzionale
Limite di richiesta di rimozione del malwareOpzionaleIrrintracciabileOpzionale
Pulizia automaticaParzialeIrrintracciabileParziale
Escalation dell'analista di sicurezzaOpzionaleIrrintracciabileOpzionale
Pulizia completa del sito webOpzionaleIrrintracciabileOpzionale
Chiudere le lacune di sicurezzaOpzionaleIrrintracciabileOpzionale
BackupsNoIrrintracciabile
Rapporto post puliziaOpzionaleIrrintracciabileOpzionale
Registro completo e rapporto sugli incidentiOpzionaleIrrintracciabileOpzionale
Follow up della causa principaleOpzionaleIrrintracciabileOpzionale

Ultimo ma non meno importante, guardiamo alla rimozione del malware. Qui ci sono i prezzi di Sucuri e Wordfence sono simili. Per un'elaborazione più veloce, entrambi fanno pagare un extra. I servizi offerti qui sono identici. Su iThemes Non ho potuto scoprire un servizio di rimozione di malware. La rimozione del malware può richiedere 2-3 ore, con grandi fluttuazioni però. Dato che ci occupiamo anche della rimozione di malware, i prezzi sono equi.

E per quanto riguarda le prestazioni?

Ultimo ma non meno importante, una nota sulle prestazioni. Non ve lo aspettereste da un confronto di sicurezzaPlugin. Ma dal momento che Sucuri offre un CDN e un firewall in uno, ci può essere un miglioramento delle prestazioni soprattutto per i visitatori internazionali. Con una CDN il sito è sempre consegnato dal server successivo, il che ha dei vantaggi soprattutto per i visitatori d'oltremare. Tuttavia, per un negozio WooCommerce con poco contenuto cacheable, è meno cruciale.

La nostra conclusione

Quindi qual è la conclusione generale sul tema della sicurezza WordPress ? La nostra conclusione personale può essere riassunta dal seguente fatto: Non usiamo una sicurezzaPlugin per il nostro sito RAIDBOXES. Non abbiamo mai usato una sicurezzaPlugin e non abbiamo mai avuto problemi. Tutto questo, anche se la nostra pagina web ha un significato assolutamente centrale per noi. Tuttavia, i dati completi dei clienti non vengono memorizzati sul nostro sito web WordPress . Per noi, il rischio di una perdita di prestazioni a causa di misure di scansione estese era troppo alto e gli svantaggi superavano i benefici.

Tuttavia, un firewall aumenta la sicurezza del sito web. Pertanto, se si vuole ottenere la massima sicurezza e accettare gli svantaggi in termini di prestazioni e tempo, si dovrebbe utilizzare una sicurezzaPlugin .

Specialmente per WooCommerce-Negozi o siti in pericolo, che possono aver già avuto problemi con malware, un WordPress -Security-Plugin può essere utile. La nostra raccomandazione è quindi la seguente:

Wordfence come la migliore soluzione gratuita

Se volete un firewall davvero solido con un monitoraggio esteso, siete molto ben serviti con Wordfence è molto ben servito. Non per niente è la sicurezza più popolarePlugin nel mondo. La versione premium completa la funzionalità in modo molto preciso e sensato. Durante l'implementazione, è essenziale assicurarsi che i processi di scansione siano impostati correttamente per evitare problemi di prestazioni.

Sicurezza iThemes per host generici

Sicurezza iThemes esegue misure di sicurezza davvero utili sul sito web, specialmente WordPress . Per gli host generici è un ottimo modo per aumentare il livello di sicurezza senza scansioni estese e firewall anche nella versione gratuita.

Sucuri per le persone interessate al CDN

Per coloro che stanno pensando di usare comunque un CDN e per i quali l'argomento degli attacchi DDoS dovrebbe essere rilevante, consigliamo quanto segue Sucuri è raccomandato. L'unica cosa che rimane è il retrogusto un po' insipido della società Godaddy.

Di quanta sicurezza (percepita) avete bisogno?

Come gestite la questione della sicurezza di WordPress ? Fate affidamento sulle misure di sicurezza del vostro hoster o solo una sicurezzaPlugin vi lascia dormire tranquilli? Come sempre, aspettiamo i vostri commenti!

Articoli correlati

Commenti su questo articolo