W międzyczasie ponad 43 procent wszystkich stron internetowych działa na WordPressie. To sprawia, że nasz ulubiony CMS jest popularnym celem ataków i złośliwego oprogramowania. Ale nie ma co panikować! Ponieważ bezpieczeństwo WordPressa to nie czary. Oprócz praktycznych porad dotyczących bezpieczeństwa, mamy dziś w zanadrzu trzy najlepsze wtyczki zabezpieczające do WordPressa i pokazujemy, kiedy naprawdę są potrzebne.
Czy w ogóle potrzebuję wtyczki zabezpieczającej do WordPress? To pytanie jest nam regularnie zadawane w dziale wsparcia. W poniższym artykule chciałbym pokazać ci, jak bardzo wtyczka bezpieczeństwa wpływa na bezpieczeństwo twojej witryny WordPress i kiedy naprawdę warto jej używać.
W drugiej części porównujemy trzy najpopularniejsze wtyczki zabezpieczające WordPress, aby dać ci szybki przegląd. Dzięki temu będziesz mógł podjąć szybką i przemyślaną decyzję, a potem wrócić do tego, co najważniejsze: do swojego biznesu.
Dlaczego bezpieczeństwo WordPressa jest tak ważne
Istnieją trzy główne powody, dla których powinieneś aktywnie dbać o bezpieczeństwo swojej witryny WordPress, a nie chować głowę w piasek.
#1 Twoja strona może stać się bezużyteczna
Kilka lat temu byliśmy jeszcze w branży agencyjnej. Zdarzyło się, że pozwolono nam zająć się całkowitym przeprojektowaniem strony, ponieważ oryginalna strona stała się bezużyteczna z powodu problemów z bezpieczeństwem, których można było uniknąć.
Osoba, która instaluje złośliwe oprogramowanie na stronach internetowych, zazwyczaj nie jest zainteresowana ich zniszczeniem. W końcu atakujący chce wykorzystać je do wysyłania spamu, kierowania odwiedzających na strony spamowe, osadzania reklam lub generowania kryptowalut, na przykład. Oprócz ogólnego ograniczenia funkcjonalności strony, złośliwe oprogramowanie może również prowadzić do znacznych problemów z wydajnością.
"*" wyświetla wymagane pola
#2 Czarna lista i spadek w rankingach Google
Obecnie jeszcze poważniejszym problemem jest wpisanie domeny na czarną listę, zwłaszcza przez Google lub Norton. Jeśli Google wpisze twoją stronę na czarną listę, oznacza to w najgorszym wypadku, że zostanie ona usunięta z wyników wyszukiwania Google.
Możliwe jest ponowne przesłanie skanu witryny po ataku złośliwego oprogramowania. Nie gwarantuje to jednak odzyskania poprzednich pozycji w rankingu. Szczególnie w przypadku ważnych słów kluczowych lub dużego ruchu organicznego może to mieć poważne konsekwencje ekonomiczne.
#3: Utrata danych
Szczególnie w czasach RODO, gdzie temat ochrony danych osiągnął nowy wymiar, należy chronić odpowiednie dane. O ile w przypadku zwykłej strony firmowej jest to mniej istotne, o tyle w przypadku strony sklepu internetowego jest to jeszcze bardziej dramatyczne, jeśli informacje dotyczące płatności nie są wystarczająco chronione.
Typowe zagrożenia dla bezpieczeństwa WordPressa
Ataki brute force na obszar logowania
W ataku brute force automatycznie wypróbowywana jest duża liczba kombinacji haseł w celu uzyskania dostępu do strony internetowej poprzez login /wp-admin WordPressa. Kiedy to się uda, a konto na twojej stronie ma prawa administratora, strona jest prawie całkowicie w rękach kogoś innego.
Nasze doświadczenie na Raidboxes pokazuje: Używając silnego hasła i ograniczając próby logowania, można uniknąć prawie wszystkich przypadków złośliwego oprogramowania. Ale o tym więcej za chwilę.
Zautomatyzowane wykorzystywanie luk w zabezpieczeniach
Z reguły ataki na strony internetowe są zautomatyzowane. Strony internetowe WordPressa są automatycznie skanowane przez tak zwane crawlery, na przykład w poszukiwaniu pewnej wtyczki, która ma lukę w zabezpieczeniach. W atakach mogą być wykorzystywane różne luki w zabezpieczeniach, takie jak wstrzyknięcia SQL czy cross-site scripting.
Ataki ręczne
Oczywiście możliwe jest również ręczne wykorzystanie luki w zabezpieczeniach. Jednak zdarza się to raczej rzadko, ponieważ wysiłek ten opłacałby się tylko w przypadku dużych sklepów WooCommerce , w których faktycznie miałoby dojść do kradzieży danych płatniczych.
8 środków bezpieczeństwa, które zapewniamy jako hoster
Zasadniczo wyspecjalizowany hosting WordPressa może znacząco zwiększyć bezpieczeństwo twojej strony. Przez lata stale rozwijaliśmy koncepcję bezpieczeństwa Raidboxes , dzięki czemu przypadki złośliwego oprogramowania stały się absolutną rzadkością. W szczególności szczegółowa analiza przypadków złośliwego oprogramowania pomaga zidentyfikować często wykorzystywane luki w zabezpieczeniach i zapobiegać im za pomocą odpowiednich środków.
#1 Silne hasła - najważniejszy środek bezpieczeństwa
Jednym z najważniejszych środków bezpieczeństwa jest silne hasło dla wszystkich kont. Niestety, jako hoster mamy ograniczony wpływ na przydzielanie haseł. Szczególnie w przypadku relokacji możemy mieć niewielki wpływ na hasła. Wymuszanie silnego hasła podczas tworzenia strony Box (np. nowej strony internetowej WordPress) doprowadziło do znacznego zmniejszenia liczby ataków złośliwego oprogramowania.
Dla przypomnienia
Hasło powinno składać się z cyfr, znaków specjalnych i małych liter o długości co najmniej siedmiu znaków. Jeśli tak nie jest w przypadku twoich kont WordPress, zdecydowanie powinieneś najpierw wykonać krok 1 i natychmiast zmienić hasła.
#2 Ochrona przed atakami typu brute force
Strony internetowe są atakowane prawie miliard razy w miesiącu za pomocą opisanych powyżej ataków typu brute force. Dobrze, jeśli Twój hosting WordPress już się tym zajął. Nasza ochrona przed logowaniem znajdzie się przed obszarem logowania WordPressa i umieści naczarnej liścieadresy IP, które wielokrotnie próbują się zalogować, podając fałszywe dane.
W ustawieniach swojej strony Box możesz dokładnie określić, po ilu próbach logowania blokada ta powinna zadziałać i na jak długo dane IP są blokowane. W połączeniu z silnym hasłem uzyskanie dostępu do strony w ten sposób jest praktycznie niemożliwe.
#3 WP Session Eraser
Według RODO powinieneś przechowywać jak najmniej danych. Pomagamy Ci w tym! Nasze narzędzie do oszczędzania danych - Kasowanie sesji WordPressa - usuwa sesje wszystkich użytkowników z bazy danych po upływie określonego czasu. Możesz ustawić ten interwał indywidualnie dla każdego Box w ustawieniach skrzynki na Dashboard .
#4 Domyślne blokowanie XML-RPC
XML-RPC to interfejs, który jest dostępny na każdej stronie WordPressa od wersji 3.5. Ponieważ większość webmasterów i tak nie używa XML-RPC, sensowne jest wyłączenie tego interfejsu. Ponieważ: Hakerzy mogą bezpośrednio zaatakować Twoją witrynę za pomocą XML-RPC.
Z tego powodu interfejs jest teraz domyślnie zablokowany i w razie potrzeby można go włączyć za pomocą ustawień na stronie Raidboxes Dashboard .
#5 Zarządzane aktualizacje zabezpieczeń z WordPress
Oczywiście aktualizacja WordPressa jest niezbędna. Nowe wersje WordPressa pojawiają się mniej więcej co 2-3 miesiące. Zwłaszcza aktualizacje konserwacyjne usuwają ważne luki w zabezpieczeniach. Te aktualizacje powinny być natychmiast zainstalowane.
Duże aktualizacje zazwyczaj wiążą się z dużymi zmianami w kodzie, dlatego mogą wystąpić niezgodności. Aby dać wystarczająco dużo czasu na aktualizację motywów i wtyczek, zawsze wprowadzamy duże aktualizacje do naszego systemu po 14 dniach. Oczywiście w przypadku aktualizacji ręcznych natychmiast udostępniamy najnowszą wersję WordPressa. Oczywiście ważne jest, abyś zawsze robił kopię zapasową swojej strony przed aktualizacją!
#6 Selektywna ochrona przed zapisem - Środki zabezpieczające WordPressa
Jedną z głównych funkcji wtyczki iThemes Security jest zwiększanie bezpieczeństwa WordPressa poprzez ochronę plików. Jest ona również selektywnie zintegrowana z nami. Dzięki temu trudniej jest zainfekować elementy strony i uczynić je bezużytecznymi. Zawsze należy zachować rozsądną równowagę między elastycznością a bezpieczeństwem. Utrzymujemy tę równowagę dzięki możliwościom konfiguracji bezpośrednio przez interfejs użytkownika Raidboxes .
Ponadto oczywiście stosujemy najlepsze praktyki WordPressa, jeśli mają one sens. Jednym z przykładów jest zmiana nazwy prefiksu bazy danych WordPressa. W naszym przypadku nie jest ona dostępna poprzez standardowy wp_. Z kolei zmiana nazwy folderu wp-content, którą proponuje iThemes Security, prowadzi do błędów, ponieważ wtyczki i motywy nie mogą sobie z tym poradzić.
#7 Zarządzane aktualizacje wtyczek w WordPressie
Teraz nadszedł czas, aby zamknąć ostatnią ważną furtkę do ataków: nieaktualne wtyczki. Podobnie jak w przypadku samego WordPressa, luki w zabezpieczeniach mogą występować także w przypadku wtyczek i motywów. Nie każda aktualizacja zawiera funkcje bezpieczeństwa. Niemniej jednak, jeśli wszystkie wtyczki są aktualne, prawdopodobieństwo wystąpienia luk bezpieczeństwa jest znacznie mniejsze.
#8 Środki po stronie serwera
Wszystkie powyższe środki chronią samego WordPressa. Oprócz tego istnieje oczywiście niemal nieskończona lista środków bezpieczeństwa, które dotyczą samego serwera. Zaczyna się to od aktualizacji systemu Linux, a kończy na regularnych aktualizacjach PHP, który jest podstawą WordPressa. Zajmujemy się automatyczną aktualizacją nieaktualnych wersji PHP (oczywiście z odpowiednim wyprzedzeniem i czasem na testy), bez konieczności samodzielnego dbania o to.
Wady wtyczek bezpieczeństwa WordPressa
Mając to na uwadze, chciałbym teraz krótko omówić wady wtyczek bezpieczeństwa. Niektóre z nich nie są bez znaczenia, zwłaszcza z perspektywy czasu.
Wysiłek związany z ustawianiem
Każdy, kto myśli, że wystarczy zainstalować wtyczkę, jest w błędzie. Niestety, skonfigurowanie wtyczki bezpieczeństwa wymaga również pewnej wiedzy.
Na przykładzie wtyczki All-in-One Security jest tego dobrym przykładem. Jest to jedna z najpopularniejszych darmowych wtyczek, która w dużym stopniu wykorzystuje plik .htaccess. Jednak wtyczka nie rozpoznaje nawet, czy jest to serwer NGINX. Nie wspiera to koncepcji pliku .htaccess. Jednak NGINX jest używany w środowisku WordPressa ze względu na swoją elastyczność.
Ponadto, mimo że środki bezpieczeństwa są podzielone na poziomy trudności, co ma duży sens, wiele środków oferowanych przez wtyczkę jest mniej przydatnych. Aby odpowiednio ocenić konieczność stosowania różnych środków, trzeba koniecznie zapoznać się z kwestią bezpieczeństwa.
Konserwacja i postrzegane (nie)bezpieczeństwo
Na potrzeby naszego testu zainstalowaliśmy różne wtyczki bezpieczeństwa. Jedna z nich automatycznie użyła adresu e-mail drużyny zapisanego w WordPressie i zaczęła wysyłać e-maile. Ku wielkiej radości wszystkich członków zespołu...
Niestety, nie jest to wcale rzadkie zjawisko. Oczywiście, chciałoby się pozostać poinformowanym w pewnych kwestiach. Najczęściej jednak wskazuje się na rzeczy, które w ogóle nie stanowią zagrożenia dla bezpieczeństwa. W końcu, czujesz się bardziej niepewnie niż wcześniej, ponieważ jesteś informowany o każdej zmianie pliku, na przykład, i muszą sprawdzić w przypadku wątpliwości.
Problemy z wydajnością
Domyślnie każda z wtyczek oferuje skanowanie pod kątem złośliwego oprogramowania lub bezpieczeństwa. Wtyczka Wordfence lubi ustawiać to automatycznie na jedną godzinę. Oznacza to, że w razie wątpliwości co godzinę (!) skanowanie Twojej strony jest wykonywane przez automatyczny skrypt (za pośrednictwem cronjob). Każdy, kto kiedykolwiek zainstalował na swoim komputerze oprogramowanie antywirusowe, zna historie nieszczęść związane z czasami ogromnymi problemami z wydajnością.
Może to być również powód, dla którego "tylko" 2 miliony z ponad 90 milionów pobrań pozostało aktywnych.
Koszty
Do celów badawczych tego artykułu oceniliśmy tylko te wtyczki, które są dostępne również w wersji darmowej. Niestety, w przypadku wielu wtyczek bezpieczeństwa WordPressa naprawdę przydatne funkcje kosztują co najmniej 80 dolarów rocznie. Jeśli z nich nie korzystasz, często pozostajesz z poczuciem niepewności.
Kiedy wtyczka bezpieczeństwa do WordPressa jest naprawdę przydatna?
Dla tych, którzy chcą pójść o krok dalej, oto kilka przykładów przypadków, w których wtyczka bezpieczeństwa WordPressa może być przydatna. Te zalecenia odnoszą się tylko do specjalistycznego hostingu WordPress. Ponieważ inni hostingodawcy mogą nie mieć tak specyficznych i rozbudowanych środków bezpieczeństwa, wtyczka bezpieczeństwa WordPressa może być tam wskazana. Jak widzisz, trudno jest sformułować ogólne stwierdzenie na temat przydatności wtyczek bezpieczeństwa, ponieważ wymagania i okoliczności są różne.
Ręczne hakowanie na stronie WooCommerce Shop
Jest to jeden z niewielu przykładów, w których rzeczywiście aktywnie poleciliśmy wtyczkę bezpieczeństwa w celu zwiększenia bezpieczeństwa sklepu internetowego. Klient WooCommerce miał wrażenie, że jest atakowany ręcznie, co, jak opisaliśmy powyżej, zdarza się bardzo rzadko.
W tym przypadku był w stanie użyć Wordfence i jej funkcji rejestrowania, aby szybko zidentyfikować odpowiedni adres IP, a następnie go zablokować. W ten sposób można było skutecznie powstrzymać atak.
Im większa liczba wtyczek, tym większe prawdopodobieństwo wystąpienia zagrożeń bezpieczeństwa. Zwłaszcza jeśli nie używa się żadnego narzędzia do aktualizacji, istniejące luki w zabezpieczeniach pozostają niezauważone w systemie przez długi czas i stanowią powierzchnię ataku. Szczególnie w sklepach internetowych WooCommerce liczba wtyczek jest zwykle wysoka ze względu na charakter strony WooCommerce , a dane są jednocześnie bardziej wrażliwe. Dlatego należy rozważyć wprowadzenie wtyczki bezpieczeństwa.
Trzy najlepsze wtyczki bezpieczeństwa dla WordPressa
Poniżej chciałbym krótko wyjaśnić, dlaczego ograniczamy się tylko do trzech wtyczek, a nie przedstawiamy dziesięciu - czy nawet 101 najlepszych - wtyczek bezpieczeństwa WordPressa.
Jeśli chodzi o wtyczki bezpieczeństwa, ograniczyliśmy się do 3 najlepszych wtyczek WordPressa na świecie. Przyjrzeliśmy się także innym wtyczkom bezpieczeństwa, takim jak All In One WP Security & Firewall, która jest najpopularniejszą czysto darmową wtyczką (bez wersji premium) z ponad 800 000 użytkowników. Jednak użyteczność i częściowo zalecane środki nie przekonały nas. Ponadto można go używać tylko na serwerach Apache.
Chodzi o ostatnie metry
Ponieważ traktujemy wtyczki bardziej jako dodatek do już bezpiecznego hostingu WordPress, naszym celem jest pokrycie ostatnich 0,1 procenta ryzyka bezpieczeństwa. Dlatego ograniczamy się do profesjonalnych wtyczek, których dystrybucja jest bardzo duża.
Jednak ten wybór wtyczek jest również bardzo istotny dla innych, niewyspecjalizowanych hosterów. Tutaj i tak powinieneś bardziej intensywnie zajmować się tematem bezpieczeństwa WordPressa.
Szybkie wsparcie decyzyjne
Jednocześnie ważne jest dla nas, aby zapewnić szybką pomoc w podejmowaniu decyzji. Naszym zdaniem nie jest to już możliwe przy prezentacji dziesięciu wtyczek, ponieważ na koniec wszystkie dziesięć wtyczek musi być ponownie ocenione. Dzięki trzem wtyczkom o różnym przeznaczeniu decyzja jest łatwiejsza.
Ograniczenie do wtyczek typu "wszystko w jednym
Oczywiście istnieje wiele wtyczek, które przejmują poszczególne funkcje, na przykład ograniczają próby logowania (Limit Login Attempts). Ale nawet funkcje, które wtyczki oferują tylko w wersji PRO, mogą być rozwiązane za pomocą pojedynczych wtyczek. Najlepszym przykładem jest ta wtyczka do dwuskładnikowego uwierzytelniania.
Dystrybucja i dane są ważne dla firewalli
Zapory ogniowe stosują pewne zasady, aby wykryć, czy ktoś działa w złym zamiarze, czy tylko odwiedza stronę. Jeśli ktoś próbuje wejść na stronę, zostaje zablokowany. Reguły te są w szczególności oparte na wiedzy o istniejących lukach w zabezpieczeniach. Jednocześnie łatwiej jest wykryć sieci napastników, gdy w administracji są 2 miliony stron i zablokować je dla wszystkich innych stron, niż gdy jest ich 10 tysięcy. Dlatego dystrybucja odgrywa ważną rolę w przypadku wtyczek bezpieczeństwa.
Twoje osobiste ulubione są mile widziane
Nie oznacza to, że nie ma innych świetnych wtyczek zwiększających bezpieczeństwo WordPressa. Nie krępuj się wymienić swoich ulubionych w komentarzach. W ten sposób zapewniamy sobie jeszcze więcej równych szans na nowe, innowacyjne podejście.
Trzy najlepsze wtyczki bezpieczeństwa w skrócie
| Strona internetowa wtyczek | Wordfence | iThemes Security | Sucuri Security |
| Link do pobrania | Pobierz | Pobierz | Pobierz |
| Opcje | Tutaj | Tutaj | Tutaj |
| Aktywne instalacje | 3+ mln | 900.000+ | 700.000+ |
| Języki | Angielski | 16 języków | Angielski, hiszpański |
| Testowane z najnowszą wersją WordPress | Tak | Tak | do 5.3.4 |
| Liczba ocen | 3,572 | 3,830 | 338 |
| Ocena (pięć gwiazdek) | 4,8 | 4,7 | 4,4 |
| Wersja bezpłatna | Tak | Tak | Tak |
| Premium (licencja roczna) | od 99$ | od 80 USD | $199,99 |
| Usuwanie złośliwego oprogramowania od | $286.40 | nie oferowany | zawarte w licencji |
W przeglądzie widać, że każda z wtyczek ma bardzo wysoką dystrybucję i jest dobrze oceniana. Niemniej jednak Wordfence jest niekwestionowanym liderem na rynku, a także jest zrównoważony pod względem stosunku ceny do jakości. W przypadku Sucuri płacisz bezpośrednio za usuwanie złośliwego oprogramowania, ale tutaj ceny mogą wzrosnąć do 500 dolarów rocznie, zwłaszcza ze względu na szybszą obsługę i częstsze skanowanie. W przypadku Wordfence profesjonalne usuwanie złośliwego oprogramowania jest oferowane jako usługa opcjonalna. Wszystko zależy więc od Twoich potrzeb.
Ważne jest, aby wiedzieć, że jest mało prawdopodobne, aby złośliwe oprogramowanie zostało złapane dzięki silnym hasłom użytkownika WP. Dlatego naszym zdaniem nie ma sensu kupować usługi usuwania złośliwego oprogramowania bezpośrednio jako usługi.
Z kolei w Wordfence w wersji bezpłatnej masz bezpośredni dostęp do całego spektrum działania firewalla, w przeciwieństwie na przykład do iThemes Security, gdzie informacje z sieci są dostępne tylko w wersji PRO.
To ważny punkt, którego nie należy lekceważyć: Wordfence W naszym przykładzie Sucuri jest jedynym niezależnym dostawcą, który specjalizuje się wyłącznie w bezpieczeństwie WordPressa. Sucuri jest teraz częścią grupy GoDaddy, a iThemes również zostało kupione przez inną firmę hostingową. Firmy te działają także w różnych innych obszarach, takich jak tworzenie motywów. Za Wordfence jest firma ochroniarska Defiant.
Wnioski pośrednie
Nasze zalecenie dotyczące wtyczek bezpieczeństwa jest zatem dość jasne Wordfence. Darmowa wersja wtyczki oferuje już wszechstronną zaporę ogniową i skupia się na dwóch podstawowych zagadnieniach, które powinna zapewniać wtyczka bezpieczeństwa WordPressa: zapora ogniowa i skanowanie bezpieczeństwa.
Co więcej, można go szybko skonfigurować, jest przejrzysty i nie wprowadza w błąd, co zdarza się w przypadku innych wtyczek z nadmiernie technicznymi informacjami.
Aby uniknąć problemów z wydajnością, w opcjach skanowania należy użyć opcji "Skanowanie z niskimi zasobami". Ponieważ przetwarzane są adresy IP, należyzamknąć program AV za pomocą strony Wordfence .
W dalszej części artykułu jeszcze raz szczegółowo omówię poszczególne obszary działania wtyczki bezpieczeństwa WordPressa, aby wyjaśnić różnice między tymi wtyczkami.
Najważniejsze funkcje wtyczek w porównaniu
Monitorowanie i skanowanie
| Wordfence | iThemes Security | Sucuri | |
| Skany bezpieczeństwa | Tak | Tak | Tak |
| Zaplanowane skanowanie zabezpieczeń | Tylko wersja Pro | Tylko wersja Pro | Tylko wersja Pro |
| Identyfikacja złośliwego oprogramowania | Tak | Tak | Tak |
| Identyfikacja anomalii w zakresie bezpieczeństwa | Tak | Tak | Tak |
| Monitorowanie czarnej listy | Tylko Google Safe Browsing | Sprawdzenie statusu czarnej listy | Tak |
| Zmiany w plikach | Tak | Tak | Tak |
| Monitorowanie DNS | Tak | Niejasne | Tak |
| Monitorowanie SSL | Nie | Tak | Tak |
| Powiadomienia | Tak | Tak | Tak |
| Kontrola spamu | Tylko wersja Pro | Tak | Tak |
| Dzienniki bezpieczeństwa | Tak | Tak | Podstawowy |
Istotną częścią wtyczki bezpieczeństwa WordPressa jest sprawdzanie, czy strona internetowa nie została naruszona. Ponieważ nie ma jednolitego użycia terminów, a do tej samej treści często używa się różnych terminów i wyjaśnień, bardzo trudno jest dokonać rozsądnego porównania. Powyższa tabela powinna zapewnić przegląd tych zagadnień.
Każdy plugin oferuje funkcję skanowania
Chociaż skanowanie bezpieczeństwa, identyfikacja złośliwego oprogramowania, identyfikacja anomalii bezpieczeństwa lub zmian w plikach są często wymieniane oddzielnie, oznaczają to samo. Porównanie plików służy do sprawdzenia, czy na stronie znajduje się złośliwe oprogramowanie. Z naszego doświadczenia wynika, że niepozorny test Sucuri może oznaczać, że na stronie znajduje się złośliwe oprogramowanie, jeśli przeprowadzi się bardziej szczegółowe skanowanie lub przyjrzy się poszczególnym plikom.
iThemes Security po prostu wykorzystuje API Sucuri. Efektem współpracy obu firm — Sucuri i iThemes - jest nic innego jak bezpłatne sprawdzenie witryny, które można znaleźć również na stronie Sucuri.
Różnice w monitorowaniu czarnych list
Oprócz skanowania ważnym czynnikiem jest monitorowanie czarnych list, zwłaszcza w przypadku opisanych powyżej strat w rankingu. Tutaj Wordfence zgodnie z własną prezentacją, sprawdza jedynie status Bezpiecznego Przeglądania Google. Jeśli strona internetowa pojawi się w tym miejscu, jest już w zasadzie za późno. Najprawdopodobniej zostanie ona w pierwszej kolejności wyrzucona z wyników wyszukiwania. iThemes Security i Sucuri sprawdzają tutaj bezpośrednio kilka czarnych list. Wynik jest jednak identyczny. Kiedy strona pojawia się na czarnych listach, jest już za późno. Skanowanie jest przeprowadzane właśnie po to, aby temu zapobiec.
Rozszerzona kontrola czarnych list jest dostępna tylko Wordfence jest dostępna tylko w wersji Premium. W tym przypadku sprawdzany jest również punkt spamu reklamowego, który może być łatwo rozpoznany na zewnątrz i jest ważny dla Google.
Mała przydatność monitorowania DNS
Cechy monitoringu DNS i SSL uważamy za mało istotne. Nie jest nam znany ani jeden przypadek, w którym zmiany DNS lub zmiany SSL zostały dokonane w celu zbadania działalności przestępczej.
Wordfence wyniki z logami bezpieczeństwa
Podstawą wtyczki bezpieczeństwa WordPressa powinno być sensowne wyświetlanie loginów. Tak jest w przypadku wszystkich wtyczek. Wordfence Dzięki monitorowaniu ruchu na żywo, Wtyczka idzie o kilka kroków do przodu. Nie tylko rozpoznaje loginy, ale także odpowiednio kategoryzuje ruch. W ten sposób można prześledzić działania robotów i zachowania ludzi pod kątem bezpieczeństwa. Narzędzie to jest więc idealne na przykład do zapobiegania ręcznym włamaniom.
Zakończenie w tej kategorii
Jakość skanowania jest trudna do oceny i musiałaby być oceniona za pomocą testów. iThemes Security i Sucuri lepiej monitorują czarne listy. Skanowanie powinno jednak zapobiec umieszczeniu strony na czarnej liście. Jeśli chodzi o monitorowanie, funkcja ruchu na żywo w przypadku Wordfence jest dużym plusem.
Ochrona w połączeniu z zaporami sieciowymi
| Wordfence | iThemes Security | Sucuri | |
| Web Application Firewall (WAF) | Zastrzeżone | 404 Wykrywanie | Tak |
| System wykrywania włamań (IDS) | Tak | Nie | Tak |
| Ochrona przed DDoS | Nie | Nie | Tak |
| Brute Force Ochrona | Tak | Tak | Tak |
| Blokada prób włamania | Tak | Częściowo | Tak |
| Exploits Zero-day | Niejasne | Nie | Tak |
| Pojedyncza osłona boczna | Nie | Nie | Tak |
| Heurystyczny algorytm korelacji | Niejasne | Nie | |
| Load Balancing / Failover | Nie | Tak | Tak |
| blokowanie kraju | Tak | Nie | Nie |
| Zaawansowane blokowanie ręczne | Tak | Nie | Nie |
iThemes bez odpowiedniej zapory sieciowej
Jeśli chodzi o zapory sieciowe, różnice między wtyczkami stają się szczególnie wyraźne. Podejście do tego tematu jest zasadniczo różne. Ściśle mówiąc, iThemes-Security nie używa prawdziwej zapory. Wykrywanie 404 można nazwać pierwszym podejściem. Sprawdza ono, czy indeks generuje wiele błędów 404, i blokuje je.
Sucuri wraz z pełnym CDN
Podczas gdy w przypadku Wordfence wystarczy zainstalować wtyczkę, aby korzystać z zapory, Sucuri wymaga zmiany serwera nazw lub rekordu A w ustawieniach DNS. Jest to rozwiązanie całkowicie oparte na chmurze, obejmujące sieć CDN (Content Delivery Network), która może również zapobiegać atakom DDoS. W ataku DDoS często wykorzystuje się botnet, który ostrzeliwuje stronę żądaniami do momentu, aż strona przestanie być dostępna, bo serwer się podda.
Podejście Sucuri prowadzi również do tego, że w przeciwieństwie do Wordfence działa z load balancerami. Ogólnie rzecz biorąc, w przypadku Sucuri pewne określenia, takie jak "heurystyczny algorytm korelacji", są raczej sformułowaniami marketingowymi i nie jest jasne, czy jest to rzeczywista wartość dodana, ponieważ Wordfence Sucuri prawdopodobnie również działa w oparciu o metody heurystyczne. Osoby, które potrzebują tylko sieci CDN, mogą jednak skorzystać z niej bezpłatnie za pośrednictwem Cloudflare.
Wordfence z większą ilością opcji konfiguracyjnych
Z Sucuri wiele rzeczy działa automatycznie i bez interwencji użytkownika. Z drugiej strony, najwyraźniej mniej można tu skonfigurować. W przypadku Wordfence można wyraźnie zablokować poszczególne kraje, możliwe jest również ręczne blokowanie. Jest to szczególnie pomocne w przypadku ręcznych włamań.
WordPress Środki bezpieczeństwa
| Wordfence | iThemes Security | Sucuri | |
| Kopie zapasowe baz danych | Nie | Tak | Nie |
| WordPress zwiększają bezpieczeństwo | Nie | Tak | Nie |
| Ukrywanie informacji | Nie | Tak | Nie |
| Ochrona przed pisaniem | Nie | Tak | Nie |
| Zarządzanie hasłami | Nie | Tak | Nie |
| Uwierzytelnianie dwuskładnikowe | Premium | Premium | Nie |
iThemes Security koncentruje się na środkach bezpieczeństwa w ramach WordPress, jak pokazano w tabeli. W sumie omówiono tu 30 różnych punktów, z których większość jest bardzo sensowna. Dlatego wiele z tych punktów jest już uwzględnionych w naszym hostingu.
iThemes Security jest więc świetnym sposobem na zwiększenie bezpieczeństwa na poziomie WordPressa na "niezbyt bezpiecznym" ogólnym hostingu. Już darmowa wersja oferuje szeroką ochronę. W wersji premium warto zwrócić uwagę na dwuskładnikowe uwierzytelnianie.
Ponieważ Wordfence i Sucuri koncentrują się na "osłonie" strony. W tych kwestiach są raczej słabe.
Usuwanie złośliwego oprogramowania i wydajności
| Wordfence | iThemes Security | Sucuri | |
| Czyszczenie hacków i usuwanie złośliwego oprogramowania | Opcjonalnie | Nie do wyśledzenia | Opcjonalnie |
| Usuwanie ostrzeżeń z czarnej listy | Opcjonalnie | Nie do wyśledzenia | Opcjonalnie |
| Malware Removal Request Limit | Opcjonalnie | Nie do wyśledzenia | Opcjonalnie |
| Automatyczne czyszczenie | Częściowo | Nie do wyśledzenia | Częściowo |
| Security Analyst Eskalation | Opcjonalnie | Nie do wyśledzenia | Opcjonalnie |
| Pełne czyszczenie strony internetowej | Opcjonalnie | Nie do wyśledzenia | Opcjonalnie |
| Usuwanie luk w zabezpieczeniach | Opcjonalnie | Nie do wyśledzenia | Opcjonalnie |
| Kopie zapasowe | Nie | Nie do wyśledzenia | Tak |
| Raport po czyszczeniu | Opcjonalnie | Nie do wyśledzenia | Opcjonalnie |
| Pełny dziennik i raport o incydencie | Opcjonalnie | Nie do wyśledzenia | Opcjonalnie |
| Postępowanie po wystąpieniu przyczyny źródłowej | Opcjonalnie | Nie do wyśledzenia | Opcjonalnie |
Na koniec przyjrzyjmy się usuwaniu złośliwego oprogramowania. Tutaj ceny są podobne dla Sucuri i Wordfence są podobne. Obie firmy pobierają dodatkowe opłaty za szybsze przetwarzanie danych. Oferowane usługi są identyczne. W iThemes nie znalazłem usługi usuwania złośliwego oprogramowania. Usunięcie złośliwego oprogramowania może trwać 2-3 godziny, przy czym występują duże wahania. Ponieważ my również usuwamy złośliwe oprogramowanie, ceny można uznać za uczciwe.
A co z wydajnością?
Na koniec uwaga o wydajności. Nie spodziewalibyśmy się tego w porównaniu wtyczek bezpieczeństwa. Jednak ponieważ Sucuri oferuje CDN i firewall w jednym, może poprawić wydajność, zwłaszcza w przypadku użytkowników z zagranicy. Dzięki CDN strona jest zawsze dostarczana z następnego serwera, co jest korzystne zwłaszcza dla użytkowników z zagranicy. Jednak dla sklepu internetowego WooCommerce , który ma mało treści w pamięci podręcznej, jest to mniej istotne.
"*" wyświetla wymagane pola
Nasz wniosek
Jaki jest więc ogólny wniosek na temat bezpieczeństwa WordPressa? Nasz osobisty wniosek można dobrze podsumować następującym faktem: Nie używamy wtyczki bezpieczeństwa na naszej własnej stronie Raidboxes . Nigdy nie używaliśmy wtyczki bezpieczeństwa i nigdy nie mieliśmy żadnych problemów. Wszystko to pomimo faktu, że nasza strona internetowa ma dla nas absolutnie kluczowe znaczenie. Na naszej stronie WordPressa nie są jednak przechowywane obszerne dane klientów. Dla nas ryzyko utraty wydajności z powodu intensywnego skanowania było zbyt duże, a wady przewyższały korzyści.
Niemniej jednak firewall zwiększa bezpieczeństwo strony internetowej. Dlatego każdy, kto dąży do osiągnięcia maksymalnego bezpieczeństwa i jest gotów zaakceptować niedogodności związane z wydajnością i nakładem czasu, powinien używać wtyczki bezpieczeństwa.
Szczególnie w przypadku sklepów internetowych WooCommerce lub wrażliwych stron, które mogły już mieć problemy ze złośliwym oprogramowaniem, przydatna może być wtyczka zabezpieczająca WordPress. Nasze zalecenia są więc następujące:
Wordfence jako najlepsze darmowe rozwiązanie
Jeśli chcesz mieć naprawdę solidną zaporę sieciową z rozbudowanym monitoringiem, Wordfence jest doskonałym wyborem. Nie bez powodu jest to najpopularniejsza na świecie wtyczka bezpieczeństwa WordPressa. Wersja premium precyzyjnie i rozsądnie uzupełnia funkcjonalność. Podczas wdrażania wtyczki ważne jest, aby upewnić się, że skanowanie jest ustawione poprawnie, aby uniknąć problemów z wydajnością.
Bezpieczeństwo iThemes dla ogólnych hostów
Program iThemes Security wykonuje naprawdę przydatne działania zabezpieczające na stronie internetowej, zwłaszcza w odniesieniu do samego WordPressa. Dla witryn korzystających z ogólnych hostów jest to świetny sposób na zwiększenie poziomu bezpieczeństwa bez rozbudowanego skanowania i firewalla, nawet w wersji darmowej.
Sucuri dla CDN
Jeśli mimo wszystko myślisz o korzystaniu z CDN i jeśli temat ataków DDoS jest istotny, polecamy Sucuri . Jedyne, co pozostaje, to nieco mdły posmak grupy GoDaddy.
Jak dużego ( zdaniem Ciebie) bezpieczeństwa potrzebujesz?
Jak radzisz sobie z kwestią bezpieczeństwa WordPressa? Czy polegasz na zabezpieczeniach swojego hostingodawcy, czy tylko wtyczka zabezpieczająca WordPressa pozwala Ci spać spokojnie? Jak zawsze czekamy na Wasze komentarze!
