WordPress sicurezza: quanto è utile la sicurezza plugins?

16 Min.
WordPress Sicurezza Sicurezza plugins

Nel frattempo, oltre 38% di tutti i siti web su WordPress . Questo rende il nostro CMS preferito un popolare obiettivo di hacker e malware. Ma non c'è motivo di farsi prendere dal panico! Perché WordPress la sicurezza non è stregoneria. Oltre ai pratici consigli di sicurezza, oggi abbiamo i tre migliori WordPress Plugins consigli di sicurezza nel nostro bagaglio e vi mostriamo quando ne avete davvero bisogno.

Ho bisogno di una sicurezzaPlugin? Questa domanda viene posta regolarmente nella sezione di supporto. Nel seguente articolo vorrei mostrarvi quale valore aggiunto ha unaPlugin soluzione di sicurezza per la sicurezza del vostro WordPress sito e quando ha davvero senso usarne una.

Nella seconda parte mettiamo a confronto i tre più popolari WordPress -sicurezza-Pluginsper darvi una rapida panoramica. Così potete prendere una decisione in modo rapido e mirato e poi tornare alle basi: il vostro business.

Perché WordPress - La sicurezza è così cruciale

Fondamentalmente ci sono tre aspetti principali per cui si dovrebbe occupare attivamente della sicurezza del proprio WordPress sito e non nascondere la testa nella sabbia.

#1 Il tuo sito web potrebbe diventare inutilizzabile

Qualche anno fa eravamo ancora nel settore delle agenzie. Poi è successo che ci è stato permesso di affrontare una completa riprogettazione di un sito, in quanto il sito originale era diventato inutilizzabile a causa di problemi di sicurezza che si sarebbero potuti evitare.

Ora chi installa malware sui siti non ha di solito alcun interesse a distruggerli. Dopo tutto, l'aggressore potrebbe volerla utilizzare per inviare spam, indirizzare i visitatori alle pagine spam, integrare annunci pubblicitari o generare valuta criptata. Oltre a limitare in generale la funzionalità del vostro sito, il Malware può anche portare a notevoli problemi di prestazioni.

WordPress sicurezza: quanto è utile la sicurezza plugins?

#2 Blacklisting e crash in Google Rankings

Un punto ancora più grave al momento attuale è la lista nera del dominio, soprattutto da parte di Google o di Norton. Se Google mette il vostro sito nella lista nera di Google, nel peggiore dei casi ciò significa che il vostro sito sarà rimosso dai risultati di ricerca di Google.

È possibile ripresentare una scansione della pagina dopo un'infezione da malware. Tuttavia, ciò non garantisce il recupero delle classifiche precedenti. Soprattutto in presenza di parole chiave importanti per il denaro o di un elevato traffico organico, questo può avere gravi conseguenze economiche.

#3: Perdita di dati

Soprattutto in tempi di RGPD, dove il tema della protezione dei dati ha raggiunto una nuova dimensione, è importante proteggere i dati dei vostri utenti. Mentre questo è meno importante per un normale sito aziendale, è ancora più drammatico per un sito di negozi se le informazioni di pagamento non sono sufficientemente protette.

Minacce tipiche alla sicurezza del vostro sito WP

Brute Force Attacchi nell'area login
Con un Brute Force Attacco un numero elevato di combinazioni di password viene automaticamente provato per accedere WordPress al sito tramite il login /wp-admin. Una volta che ciò ha successo e l'WordPress utente dispone di diritti di amministrazione, il sito web è quasi completamente sotto il controllo dell'aggressore.

La nostra esperienza agli RAIDBOXES spettacoli: Con una password forte e la limitazione dei tentativi di login, quasi tutti i casi di malware possono essere evitati. Ma di più su questo in un attimo.

Sfruttamento automatizzato delle vulnerabilità di sicurezza
Di norma gli attacchi ai siti Web sono automatizzati. WordPress Le pagine vengono scansionate automaticamente dai cosiddetti crawler, ad esempio per una specifica Pluginfalla di sicurezza. Negli attacchi possono essere sfruttate diverse lacune di sicurezza, ad esempio Iniezioni SQL oppure Sceneggiatura cross-site.

Attacchi manuali
Naturalmente è anche possibile sfruttare manualmente una falla nella sicurezza. Tuttavia, questo è piuttosto raro, in quanto lo sforzo sarebbe utile solo nei grandi WooCommercenegozi dove, ad esempio, i dati di pagamento vengono effettivamente rubati.

8 Misure di sicurezza che forniamo come hoster

In linea di principio, è possibile rilevare e prevenire il malware attraverso un sistema specializzato WordPress Hosting aumentare significativamente la sicurezza del vostro sito web. Nel corso degli anni abbiamo continuamente ampliato il concetto di sicurezzaRAIDBOXES , tanto che i casi di malware sono diventati una rarità assoluta. In particolare l'analisi dettagliata dei casi di Malware aiuta a identificare le lacune di sicurezza utilizzate di frequente e a prevenirle con misure appropriate.

#1 Password forti - la misura di sicurezza più importante di tutte

Una delle misure di sicurezza più importanti è una password forte per tutti WordPress gli utenti. Purtroppo, noi come hoster abbiamo solo un'influenza limitata sull'assegnazione della password. Soprattutto quando si trasloca, possiamo avere solo poca influenza sulle password. La forzatura di una password forte durante la creazione di un BOX (WordPress sito web) ha portato a una significativa riduzione delle infezioni da malware.

Forzare una password forte quando si crea una pagina WebWordPress
L'applicazione di una password forte quando si crea un sito WordPress web ha portato a una significativa riduzione dell'infezione da malware.
Come promemoria

La password deve essere composta da numeri, caratteri speciali e lettere minuscole con una lunghezza minima di sette caratteri. Se questo non è il caso per i vostri WordPress utenti, dovete assolutamente fare prima il passo 1 e cambiare immediatamente le vostre password.

#2 Protezione contro gli attacchi di forza bruta

Quasi un miliardo di volte al mese, siti web con le suddette Brute Force Attacchi attaccato. Beh, se il tuo WordPress hoster ha già provveduto. Il nostro Protettore di accesso RB appare davanti alla vostra area di login WP e gli indirizzi IP "blacklist" che tentano ripetutamente di effettuare il login con dati di login errati.

Nelle vostre BOX impostazioni potete definire esattamente dopo quanti tentativi di login questo blocco dovrebbe avere effetto e per quanto tempo i rispettivi IP sono bloccati. In combinazione con una password forte, è praticamente impossibile accedere al sito web in questo modo.

#3 Gomma per la sessione WP

In base ad essa si RGPD dovrebbe salvare il minor numero possibile di dati. Noi vi aiuteremo in questo! Il nostro strumento per una maggiore economia dei dati - la WordPress Session Eraser - cancella le WordPress sessioni di tutti i vostri utenti dal database dopo un intervallo da voi definito. Potete impostare questo intervallo nelle vostre BOXimpostazioni nella nostra banca dashboard datiBOX .

#4 Blocco standard di XML-RPC

XML-RPC è un'interfaccia che è disponibile su ogni pagina WP dalla WordPress 3.5. Dato che la maggior parte dei webmaster non usa comunque XML-RPC, ha senso disabilitare questa interfaccia. Perché: tramite XML-RPC gli hacker possono attaccare direttamente il vostro sito.

Per questo motivo, XML-RPC è ora bloccato di default e può essere sbloccato tramite le impostazioni nel RAIDBOXES cruscotto.

Bloccante XML-RPC
Per questo motivo, XML-RPC è ora bloccato di default e può essere sbloccato tramite le impostazioni nel RAIDBOXES cruscotto.

#5 Aggiornamenti di sicurezza gestiti da WordPress

Naturalmente, la cosa più importante è l'aggiornamento del WordPress . Qui, ogni 2-3 mesi nuovo WordPress -Versioni pubblicato. Soprattutto gli aggiornamenti di manutenzione colmano importanti lacune di sicurezza. Questi aggiornamenti devono essere installati immediatamente.

Gli aggiornamenti importanti di solito comportano importanti modifiche del codice, che possono portare ad incompatibilità. Per dare ai ThemePluginproduttori il tempo necessario, dopo 14 giorni di lavoro, eseguiamo sempre importanti aggiornamenti del nostro sistema. Naturalmente forniamo immediatamente l'ultima WordPress versione per gli aggiornamenti manuali. Naturalmente è importante che facciate sempre un backup del vostro sito prima di aggiornarlo!

#6 Protezione selettiva contro la scrittura - Misure di WordPress indurimento

Un punto focale della sicurezzaPlugins i Temi Sicurezza è di WordPress renderlo più sicuro proteggendo i file. Anche questo è integrato in modo selettivo nel nostro sistema. Questo rende più difficile infettare elementi del sito e renderli inutilizzabili. Qui si deve sempre trovare un ragionevole equilibrio tra flessibilità e sicurezza. Manteniamo questo equilibrio attraverso le opzioni di configurazione direttamente attraverso l'RAIDBOXES interfaccia utente.

Prevenire le modifiche dei file in WordPress
Inoltre, naturalmente, utilizziamo anche le WordPress migliori pratiche laddove hanno un senso. Un esempio è la ridenominazione del prefisso del WordPress database.

Inoltre, naturalmente, utilizziamo anche le WordPress migliori pratiche laddove hanno un senso. Un esempio è la ridenominazione del prefisso del WordPress database. Questo non è accessibile tramite lo standard wp_. Rinominare la cartella WP-Content, tuttavia, come descritto in i Temi Sicurezza offerte, l'esperienza ha dimostrato che porta ad errori, perché Plugins e Themes non essendo in grado di affrontarli.

#7 Gestito - PluginAggiornamenti da WordPress

Ora dobbiamo chiudere l'ultimo grande gateway prima degli attacchi: Non corrente Plugins. Come per se WordPress stessa, anche con Plugins e Themes verso le lacune di sicurezza possono verificarsi lacune di sicurezza. Non tutti gli aggiornamenti contengono funzioni di sicurezza. Ciononostante: se tutti Plugins sono aggiornati, la probabilità che si verifichino falle nella sicurezza è molto più bassa.

Poiché questa funzione in particolare consente di risparmiare molto tempo, è inclusa nella nostra Fully Managed tariffa per 30 Euro (netti). Come lettore di questo articolo del blog, potete approfittare della tariffa in modo permanente per soli 20 euro alla cassa al seguente link: Fully Managed Speciale.

#8 Misure lato server

Tutte le misure di cui sopra si proteggono WordPress da sole. Inoltre, c'è naturalmente una lista quasi infinita di misure di sicurezza che riguardano il server stesso. Questo inizia con gli aggiornamenti di Linux e WordPress finisce con gli aggiornamenti regolari di PHP come base di. Ci occupiamo dell'aggiornamento automatico delle versioni di PHP obsolete (naturalmente con il tempo di esecuzione e il tempo necessario per i test) senza che ve ne dobbiate occupare voi stessi.

Svantaggi della sicurezzaPlugins

Dopo averlo sottolineato, vorrei ora discutere brevemente gli svantaggi della sicurezzaPlugins . Alcuni di questi non sono insignificanti, soprattutto dal punto di vista temporale.

Sforzo di messa a punto

Chiunque pensi che la semplice installazione Plugins sia sufficiente, si sbaglia. Purtroppo, anche l'installazione di un sistema di sicurezzaPlugins richiede una certa conoscenza.

Utilizzando l'esempio del Plugins Sicurezza all-in-one questo diventa molto chiaro. È uno dei più popolari gratuitiPlugins, che utilizza in larga misura il file .htaccess. Ma questo non Plugin riconosce nemmeno se si tratta di un server NGINX. Questo non supporta il concetto di .htaccess e viene utilizzato nell'WordPress ambiente a causa della sua flessibilità.

Inoltre, sebbene le misure di sicurezza siano suddivise in livelli di difficoltà, il che ha molto senso, molte delle misure offerte sono Plugin meno utili. Per valutare adeguatamente la necessità delle varie misure, è inevitabile che ci si debba occupare della questione della sicurezza.

WordPress sicurezza: quanto è utile la sicurezza plugins?

Manutenzione e (in)sicurezza percepita

Per il nostro test abbiamo installato variPlugins sistemi di sicurezza. Uno di loro Plugins ha utilizzato automaticamente un indirizzo e-mail del team WordPress memorizzato nel sistema e ha iniziato a inviare e-mail. Con grande gioia di tutti i membri della squadra...

Questo purtroppo non è affatto insolito. Naturalmente, si vuole rimanere informati in un certo modo. Tuttavia, nella maggior parte dei casi si fa notare che non si tratta di un rischio per la sicurezza. Alla fine ci si sente più insicuri di prima, poiché si viene informati di ogni cambiamento di file, ad esempio, e si deve controllare in caso di dubbio.

Problemi di performance

Per impostazione predefinita, ognuno di essi offre Plugins una scansione di sicurezza o malware. Il sito Plugin Wordfence ama impostare questo automaticamente a un'ora. Ciò significa che in caso di dubbio, ogni ora (!) una scansione della vostra pagina viene eseguita da uno script automatico (tramite cronjob). Chiunque abbia mai installato un software antivirus sul proprio computer conosce i racconti di sventura su problemi di performance a volte enormi.

In determinate circostanze, questo è anche un motivo per cui "solo" 2 milioni di download su oltre 90 milioni di download sono rimasti attivi alla fine.

Costi

Per la ricerca di questo articolo abbiamo Plugins valutato solo quelli disponibili anche in versione gratuita. Tuttavia, è purtroppo il caso che con molte WordPress -Sicurezza-Plugins le caratteristiche veramente utili costano almeno 80 dollari all'anno. Se non li si usa, spesso si prova un senso di insicurezza.

Fiere delle prestazioni E-Book

Quando una WordPress -sicurezza-Plugin ha davvero senso?

Per tutti coloro che vogliono ancora fare il passo più lungo della gamba, ecco alcuni esempi di casi in cui si Plugin può essere utili per la WordPress sicurezza. Queste raccomandazioni valgono solo per l'hosting specializzatoWordPress . Poiché altri fornitori potrebbero non disporre di misure di sicurezza così specifiche ed estese, la sicurezza può essere generalmentePlugin raccomandata. Vedete, è difficile fare una dichiarazione generale sui vantaggi dei plugin di sicurezza, perché i requisiti e le circostanze sono diversi.

Hacking manuale presso il WooCommerce-Shop

Questo è uno dei pochi esempi in cui abbiamo effettivamentePlugin raccomandato attivamente un sistema di sicurezza per aumentare la sicurezza del negozio online. Il WooCommercecliente ha avuto l'impressione di essere attaccato manualmente, il che, come descritto sopra, è molto raro.

In questo caso, è stato in grado di lavorare con Wordfence e la sua funzione di registrazione identificano rapidamente l'indirizzo IP dell'aggressore e lo bloccano. L'attacco potrebbe così essere efficacemente evitato.

In pericolo Plugins

Maggiore è il numero di Plugins, maggiore è anche la probabilità di rischi per la sicurezza . Soprattutto se non si utilizza alcuno strumento per l'aggiornamento, le lacune di sicurezza esistenti rimangono a lungo inosservate nel sistema e offrono una superficie di attacco. In particolare nel caso dei WooCommercenegozi, il numero di vulnerabilità è Plugins solitamente inerente al sistema e i dati sono anche più sensibili. Per questo motivo la sicurezzaPlugin dovrebbe essere considerata in questa sede.

I tre migliori sistemi di sicurezzaPlugins per WordPress

Di seguito vorrei spiegare brevemente perché ci limitiamo a soli tre Plugins e non presentiamo dieci - o anche i migliori 101 - plug-in di sicurezzaWordPress .

In termini di sicurezzaPlugins , ci limitiamo alla TOP 3 WordPress - in tutto ilPlugins mondo. Abbiamo scelto anche altre misure di sicurezzaPlugins, come Sicurezza e firewall All In One WP che con oltre 800.000+ è la più popolare versione puramente gratuita Plugin (senza versione premium). Tuttavia, l'usabilità e in parte le misure raccomandate non ci hanno convinto. Allo stesso tempo è applicabile solo sui server web Apache.

Si tratta degli ultimi metri

Dal momento che preferiremmo utilizzarli Plugins come complemento ad una già sicura WordPress Hosting l'obiettivo è quello di coprire l'ultimo 0,1 per cento del rischio per la sicurezza. Ci limitiamo quindi a quelli professionaliPlugins, che hanno una distribuzione molto elevata.

Ma questa selezione è molto importante Plugins anche per altri hoster non specializzati. Qui si dovrebbe comunque trattare più intensamente il tema della WordPress sicurezza.

Supporto decisionale rapido

Allo stesso tempo, è importante per noi fornire un rapido supporto decisionale. A nostro avviso, questo non è più possibile con una presentazione di dieciPlugins , perché alla fine tutti e dieci devono essere Plugins valutati di nuovo. In tre Plugins casi la decisione è più facile in questo caso.    

Restrizione per All-In-One-Plugins

Naturalmente, ce ne sono innumerevoliPlugins, che sono ottimi per le singole funzioni, come ad esempio limitare i tentativi di login (Limit Login Attempts). Ma anche le funzioni, che sono offerte Plugins solo nelle nuove PRO versioni, possono essere Plugins risolte da singoli. Il miglior esempio è questo Plugin per l'autenticazione a 2 fattori.

FREE DEV blog viola

La distribuzione e i dati sono importanti con i firewall

I firewall applicano alcune regole per rilevare se qualcuno sta agendo in modo malevolo o solo visitando il sito. Se qualcuno cerca di entrare nel sito, viene bloccato. In particolare le regole si basano sulla conoscenza delle lacune esistenti in materia di sicurezza. Allo stesso tempo, le reti di aggressori possono essere rilevate meglio con 2 milioni di pagine nell'amministrazione e bloccate per tutte le altre pagine che con 10 000 pagine. Pertanto, la distribuzione gioca un ruolo importante per la sicurezzaPlugins .

I vostri preferiti sono i benvenuti

Questo non significa che non ci siano altri grandi Plugins per una maggiore WordPress sicurezza. Sentitevi liberi di menzionare i vostri preferiti nei commenti. In questo modo garantiamo ancora più pari opportunità per nuovi approcci innovativi.

I tre migliori sistemi di sicurezzaPlugins nella panoramica

Sito web del PluginsWordfencei Temi SicurezzaSucuri
Sicurezza
Scarica il linkScaricareScaricareScaricare
CaratteristicheQuiQuiQui
Installazioni attive3+ milioni900.000+700.000+
LingueEnglish16 lingue (anche DE)Inglese, spagnolo
Testato con l'ultima WordPress versionea 5.3.4
Numero di valutazioni3,5723,830338
Valutazione (cinque stelle)4,84,74,4
Versione gratuita
Premium (licenza annuale)a partire da 99 dollarida 80 dollari in su $199,99
Rimozione di malware da$286.40non offertoincluso nella licenza

Nella panoramica diventa chiaro che ognuno di essi ha Plugins una distribuzione molto alta ed è ben valutato. Tuttavia Wordfence leader indiscusso del mercato ed equilibrato anche in termini di rapporto prezzo-prestazioni. All'indirizzo Sucuri si paga direttamente la rimozione del malware, ma qui i prezzi possono essere ridotti, soprattutto grazie a un servizio più veloce e a scansioni più frequenti per 500 dollari all'anno aumento. All'indirizzo Wordfence la rimozione professionale del malware si chiama servizio opzionale offerto. Quindi è qui che le vostre esigenze sono più importanti.

È importante sapere che è piuttosto improbabile che si catturi il malware con password utente WP forti. A nostro avviso, non ha molto senso acquistare la rimozione del malware direttamente come servizio.

All'indirizzo Wordfence la versione gratuita consente l'accesso diretto all'intero spettro del firewall, a differenza della versione i Temi Sicurezzadove le informazioni della rete sono accessibili solo nella PRO versione

Questo è un punto importante che non dovrebbe essere trascurato: Wordfence è nel nostro esempio il unico fornitore indipendenteche è specializzato solo nel tema della WordPress sicurezza. Sucuri nel frattempo appartiene al gruppo GoDaddy e i Temi è stato acquistato anche da un'altra società di hosting. Sono attivi anche in vari altri settori, come lo Themesviluppo. Dietro Wordfence la società di sicurezza è l'unica Defiant.

Conclusione provvisoria

La nostraPluginraccomandazione di sicurezza è quindi abbastanza chiara Wordfence. La versione gratuita offre già Plugin un firewall completo e si concentra sui due aspetti fondamentali che una sicurezza dovrebbePlugin fornire: un firewall e le scansioni di sicurezza.

Inoltre, è impostato in modo rapido, chiaramente delineato e non sconvolgente, come avviene per altri Plugins che dispongono di troppe informazioni tecniche.

Per evitare problemi di prestazioni, tra le opzioni di scansione dovrebbe essere utilizzata la "Low Resource Scanning". Poiché gli indirizzi IP vengono elaborati, è necessario utilizzare Wordfence chiudi un AV.

Di seguito entrerò nel dettaglio delle singole aree centrali di un sistema di sicurezzaPlugins , al fine di chiarire le differenze tra le diverse areePlugins .

Le Plugincaratteristiche più importanti a confronto

Monitoraggio e scansioni

 Wordfencei Temi SicurezzaSucuri
scansioni di sicurezza
Scansioni di sicurezza programmateSolo per i professionisti
Versione
Solo versione ProSolo versione Pro
Identificazione del malware
    
Identificazione di anomalie di sicurezza
monitoraggio della lista neraSolo Google Safe BrowsingControllo dello stato della lista nera
Modifiche al file
    
Monitoraggio DNSNon chiaro
Monitoraggio SSLNo
Notifiche
    
Controllo dello spamSolo per i professionisti
Versione
registri di sicurezzaBasic

Una parte essenziale della sicurezzaPlugins è verificare se il sito web è stato compromesso. Poiché ogni Pluginproduttore usa fondamentalmente nomi diversi per lo stesso contenuto e lo presenta in modo diverso, è molto difficile fare un confronto ragionevole. La tabella sopra riportata dovrebbe fornirvi una panoramica.

Ciascuno Plugin offre una funzione di scansione

Ad esempio, le scansioni di sicurezza, l'identificazione di malware, l'identificazione di anomalie di sicurezza o la modifica di file sono spesso elencate separatamente, ma hanno lo stesso significato. La corrispondenza dei file viene utilizzata per verificare la presenza di malware sulla pagina. Secondo la nostra esperienza, è possibile che un test poco appariscente possa essere eseguito su Sucuri può ancora significare che il malware si trova sulla pagina durante la scansione più dettagliata o l'esame dei singoli file.  

Controllo del malware: il sito è pulito
iThemes Security utilizza le API di Sucuri per questo.

i Temi Sicurezza utilizza semplicemente l'API di Sucuri. Di conseguenza, sia Sucuri che iThemes non vi danno altro che il sitecheck gratuitoche si trova anche sul sito web di Sucuri.

Differenze nel monitoraggio della lista nera

Oltre alle scansioni, il monitoraggio delle liste nere è un fattore importante, soprattutto per le perdite di classifica sopra descritte. Qui controlli Wordfence secondo la propria rappresentazione solo il Stato di navigazione sicura su Google. Se un sito web appare qui, in pratica è già troppo tardi. Molto probabilmente il sito web sarà buttato fuori dai risultati della ricerca per primo. i Temi Sicurezza e Sucuri Controlla diverse liste nere direttamente qui. Il risultato è comunque identico. Se il sito web appare sulle liste nere, è già troppo tardi. E' proprio per evitare che ciò avvenga che queste scansioni vengono effettuate.

Controllo Securi: non nella lista nera
Un controllo esteso della lista nera è disponibile Wordfence solo nella versione Premium.

Un controllo esteso della lista nera è disponibile all'indirizzo Wordfence disponibile solo nella versione Premium. Qui si controlla anche il punto della pubblicità spam, facile da riconoscere dall'esterno e importante per Google.

Bassa rilevanza del monitoraggio DNS

Consideriamo le caratteristiche del monitoraggio DNS e SSL poco rilevanti. Non siamo a conoscenza di un singolo caso in cui siano state apportate modifiche al DNS o al SSL per indagare su attività criminali.

Wordfence punteggi con i registri di sicurezza

La base di una sicurezzaPlugins dovrebbe essere quella di presentare i login in modo ragionevole. Questo è Plugins dato con tutto. Wordfence è qualche passo avanti con il suo Live Traffic Monitoring. Non solo vengono rilevati i login, ma il traffico viene categorizzato di conseguenza. In questo modo, è possibile tracciare le attività dei crawler o il comportamento dei visitatori per quanto riguarda gli aspetti della sicurezza. L'utensile è quindi ideale per prevenire, ad esempio, gli hackeraggi manuali.

Wordfence traffico in diretta
Wordfence è qualche passo avanti con il suo Live Traffic Monitoring.

Conclusione in questa categoria

La qualità della scansione è difficile da giudicare e dovrebbe essere valutata da casi di prova. iThemes Security e Sucuri hanno un migliore monitoraggio della lista nera. Tuttavia, la scansione dovrebbe evitare che la pagina venga comunque inserita nella lista nera. Il monitoraggio è particolarmente importante per la caratteristica del traffico in diretta di Wordfence un grande vantaggio.

Protezione in combinazione con i firewall

 Wordfencei Temi SicurezzaSucuri
Web Application Firewall (WAF)Limitata404 rilevamento
Sistema di rilevamento delle intrusioni (IDS)No
Protezione DDoSNoNo
Brute Force Protezione
Blocco dei tentativi di hackingIn parte
Protezione degli exploit zero-dayNon chiaroNo
Protezione su un solo latoNoNo
algoritmo di correlazione euristicaNon chiaroNo 
Bilanciamento del carico / FailoverNo
Blocco del paeseNoNo
Blocco manuale avanzatoNoNo

i Temi senza un vero e proprio firewall

Quando si tratta di firewall, le differenze tra i due sono Plugins particolarmente evidenti. In effetti, gli approcci all'argomento sono qui fondamentalmente diversi. In senso stretto i Temi Sicurezza nessun vero e proprio firewall. In termini di approcci, l'approccio di rilevamento 404 potrebbe essere descritto come un primo approccio. Qui cerchiamo di vedere se un crawler genera e blocca molti 404 errori.

Sucuri con CDN completo

Mentre per Wordfence solo uno deve essere Plugin installato per utilizzare il firewall, deve essere installato con Sucuri il server dei nomi o un record A può essere modificato nelle impostazioni DNS. Si tratta di una soluzione completamente basata sul cloud, che comprende una CDN (Content Delivery Network), in grado di prevenire anche gli attacchi DDoS. In un attacco DDoS, una rete bot viene spesso utilizzata per lanciare una pagina con richieste fino a quando la pagina non è più accessibile perché il server cede.

Spiegati gli attacchi DDoS

Nick Schäferhoff vi mostra esattamente cos'è un attacco DDoS e come potete prevenirlo efficacemente nel suo articolo.

Il sito Sucuri-approccio porta anche al fatto che, a differenza di Wordfence lavora con i bilanciatori di carico. In totale Sucuri alcuni termini come "algoritmo di correlazione euristica" tendono a basarsi su una formulazione di marketing e non è chiaro se questo sia un effettivo valore aggiunto, in quanto Wordfence probabilmente lavora anche con metodi euristici. Se avete bisogno solo di un CDN, potete anche Cloudflare realizzarlo gratuitamente.

Wordfence con maggiori possibilità di configurazione

All'indirizzo Sucuri Molte cose funzionano automaticamente e senza che l'utente debba fare nulla. Ma apparentemente meno può essere configurato qui. Per esempio Wordfence Bloccare esplicitamente i singoli paesi IP e il blocco manuale è anche possibile. Questo è particolarmente utile per gli hacker manuali.

WordPress Misure di sicurezza

 Wordfencei Temi SicurezzaSucuri
Backup del databaseNoNo
WordPress rendere più sicuroNoNo
nascondere le informazioniNoNo
Protezione della scritturaNoNo
Gestione delle passwordNoNo
autenticazione a due fattoriPremiumPremiumNo

i Temi Sicurezza come mostrato nella tabella, si concentra sulle misure di sicurezza all'interno WordPress di . Qui vengono elaborati complessivamente 30 punti diversi, la maggior parte dei quali sono molto utili. Molti dei punti sono quindi già inclusi nel nostro hosting.

i Temi Sicurezza è quindi un ottimo modo per aggiungere più sicurezza a livello di WordPress - a un hosting generico "insicuro". La versione gratuita offre già un'ampia protezione. Nella versione premium va sottolineata l'autenticazione a 2 fattori.

Wordfence e Sucuri concentrarsi sulla "schermatura" della pagina. Sono piuttosto deboli su questi punti.

Rimozione di malware e prestazioni

 Wordfencei Temi SicurezzaSucuri
Hack Pulizia e rimozione di malwareOpzionaleNon trovabileOpzionale
Rimozione della lista neraOpzionaleNon trovabileOpzionale
Limite di richiesta di rimozione malwareOpzionaleNon trovabileOpzionale
Pulizia automaticaIn parteNon trovabileIn parte
Escalation degli analisti di sicurezzaOpzionaleNon trovabileOpzionale
Pulizia completa del sito webOpzionaleNon trovabileOpzionale
Colmare le lacune di sicurezzaOpzionaleNon trovabileOpzionale
BackupsNoNon trovabile
rapporto post puliziaOpzionaleNon trovabileOpzionale
Registro completo e rapporto sugli incidentiOpzionaleNon trovabileOpzionale
Seguito della causa principaleOpzionaleNon trovabileOpzionale

Infine, ma non per questo meno importante, diamo un'occhiata al tema della rimozione del malware. Ecco i prezzi a Sucuri e Wordfence simile. Per un'elaborazione più rapida entrambi richiedono un costo aggiuntivo. I servizi offerti sono identici. All'indirizzo i Temi Non sono stato in grado di rilevare un servizio di rimozione del malware. La rimozione di un malware può richiedere 2-3 ore, con grandi fluttuazioni. Poiché eseguiamo anche la rimozione di malware, i prezzi sono equi.

E la performance?

Infine, ma non meno importante, una nota sulle prestazioni. Non ve lo aspettereste in unPluginconfronto sulla sicurezza. Ma da quando Sucuri offre un CDN e un firewall in uno, ci può essere anche un miglioramento delle prestazioni, soprattutto con i visitatori internazionali. Con un CDN, il sito web viene sempre consegnato dal server più vicino, il che ha particolari vantaggi per i visitatori stranieri. Tuttavia, questo è meno importante per un WooCommercenegozio con poco contenuto cacheable.

WooCommerce hosting FREE DEVx viola

La nostra conclusione

Qual è la conclusione generale sul tema della WordPress sicurezza? La nostra conclusione personale può essere ben riassunta dal seguente fatto: Non usiamo la sicurezzaPluginper la nostra RAIDBOXES parte. Non abbiamo maiPlugin utilizzato un sito di sicurezza e non abbiamo mai avuto problemi. Tutto questo, anche se il nostro sito web ha per noi un significato assolutamente centrale. Tuttavia, i dati dei clienti non vengono memorizzati sul nostro WordPress sito web. Il rischio di una perdita di prestazioni a causa di una scansione estesa era troppo alto per noi e gli svantaggi erano superiori.

Tuttavia, un firewall aumenta la sicurezza del sito web. Pertanto, se si vuole ottenere la massima sicurezza e accettare gli svantaggi in termini di prestazioni e di tempo, si dovrebbe scegliere unaPlugin soluzione di sicurezza.

Soprattutto per WooCommerce-negozi o siti in pericolo, che possono aver avuto problemi con il malware, una WordPress -sicurezzaPlugin può essere utile. La nostra raccomandazione è quindi la seguente:

Wordfence come la migliore soluzione gratuita

Se siete alla ricerca di un firewall davvero solido con un monitoraggio esteso Wordfence molto ben servito. Non per niente è la sicurezzaPlugin più popolare al mondo. La versione premium completa la funzionalità in modo molto preciso e sensato. Durante l'implementazione, si dovrebbe fare attenzione ad impostare correttamente i processi di scansione per evitare problemi di performance.

i Temi Sicurezza per gli hoster generici

i Temi Sicurezza adotta misure di sicurezza davvero ragionevoli sul sito web, in particolare WordPress Per gli hoster generici è un ottimo modo per aumentare il livello di sicurezza anche nella versione gratuita senza scansioni e firewall estesi.

Sucuri per chi è interessato al CDN

A coloro che stanno comunque pensando di utilizzare un CDN e per i quali il tema degli attacchi DDoS dovrebbe essere rilevante, consigliamo di Sucuri raccomandato. Non resta che il retrogusto un po' blando del Gruppo Godaddy.

Di quanta (percepita) sicurezza avete bisogno?

Come affrontate il tema della WordPress sicurezza? Vi affidate alle misure di sicurezza del vostro hoster o lasciate dormirePlugin tranquillamente una guardia di sicurezza? Come sempre, siamo felici del tuo commento!

Articoli correlati

Commenti su questo articolo

Scrivi un commento

Il tuo indirizzo mail non sarà pubblicato. I campi obbligatori sono contrassegnati con * marcato.