WordPress -Security: Jak bardzo przydatne są Security-Plugins naprawdę?

Johannes Benz Ostatnia aktualizacja 11.03.2021
.
. 16 Min.
WordPress  Bezpieczeństwo Bezpieczeństwo Plugins

W międzyczasie, ponad 38 procent wszystkich stron internetowych uruchomić na WordPress . To sprawia, że nasz ulubiony CMS jest popularnym celem hakerów i złośliwego oprogramowania. Ale nie ma powodu do paniki! Ponieważ WordPress security to nie czary. Oprócz praktycznych wskazówek dotyczących bezpieczeństwa, dziś mamy trzy najlepsze WordPress bezpieczeństwaPlugins w torbie i pokazać, kiedy naprawdę go potrzebujesz.

Czy ja w ogóle potrzebuję zabezpieczenia plugin? To pytanie jest regularnie zadawane w ramach wsparcia. W poniższym artykule chciałbym pokazać Państwu wartość dodaną rozwiązania zabezpieczającego. Plugin dla bezpieczeństwa twojej WordPress strony i kiedy jest naprawdę użyteczna.

W drugiej części porównujemy trzy najpopularniejsze WordPress -security-Plugins, aby dać Ci szybki przegląd. W ten sposób można podjąć celową i szybką decyzję, a następnie poświęcić się temu, co najważniejsze: swojemu biznesowi.

Dlaczego bezpieczeństwo strony WordPress jest tak istotne

Zasadniczo istnieją trzy główne powody, dla których powinieneś aktywnie zająć się bezpieczeństwem swojej strony WordPress , a nie chować głowę w piasek.

#1 Twoja strona może stać się bezużyteczna

Jeszcze kilka lat temu działaliśmy w branży agencyjnej. Zdarzyło się, że pozwolono nam zająć się całkowitym przeprojektowaniem strony, ponieważ oryginalna strona stała się bezużyteczna z powodu problemów z bezpieczeństwem, których można było uniknąć.

Ktoś, kto instaluje złośliwe oprogramowanie na stronach, zazwyczaj nie jest zainteresowany ich zniszczeniem. W końcu atakujący chce wysyłać spam, kierować odwiedzających na spamowe strony, osadzać reklamy lub generować kryptowaluty. Oprócz ogólnego ograniczenia funkcjonalności Twojej witryny, złośliwe oprogramowanie może również prowadzić do poważnych problemów z wydajnością.

#2 Czarna lista i spadek w rankingach Google

Jeszcze poważniejszym problemem w dzisiejszych czasach jest wpisanie domeny na czarną listę, szczególnie przez Google lub Norton. Jeśli Google umieści Twoją stronę na czarnej liście, oznacza to w najgorszym wypadku, że zostanie ona usunięta z wyników wyszukiwania Google.

Możliwe jest ponowne przesłanie skanu witryny po ataku złośliwego oprogramowania. Nie gwarantuje to jednak, że odzyskasz swoje poprzednie pozycje w rankingu. Szczególnie w przypadku ważnych słów kluczowych lub dużego ruchu organicznego, może to mieć poważne konsekwencje ekonomiczne.

#3: Utrata danych

Szczególnie w czasach RODO, gdzie temat ochrony danych osiągnął nowy wymiar, ważne jest, aby chronić dane swoich użytkowników. O ile w przypadku zwykłej strony firmowej ma to mniejsze znaczenie, o tyle w przypadku strony sklepowej jest to jeszcze bardziej dramatyczne, jeśli informacje dotyczące płatności nie są wystarczająco chronione.

Typowe zagrożenia dla bezpieczeństwa Twojej strony WP

Brute Force Ataki na obszar logowania
W przypadku Brute Force atak duża liczba kombinacji haseł jest automatycznie próbowana w celu uzyskania dostępu do strony poprzez login /wp-admin WordPress . Po osiągnięciu tego celu i uzyskaniu przez użytkownika WordPress praw administratora, strona jest prawie całkowicie pod kontrolą atakującego.

Nasze doświadczenie na RAIDBOXES pokazuje: Używając silnego hasła i ograniczając próby logowania, można uniknąć prawie wszystkich przypadków złośliwego oprogramowania. Ale o tym za chwilę.

Zautomatyzowane wykorzystywanie luk w zabezpieczeniach
Z reguły ataki na strony internetowe są zautomatyzowane. Strony WordPress są automatycznie skanowane przez tak zwane crawlery, na przykład w poszukiwaniu konkretnej strony Plugin, która posiada lukę w zabezpieczeniach. W atakach mogą być wykorzystywane różne luki w zabezpieczeniach, jak np. w przypadku SQL-injections lub Cross-Site-Scripting.

Ataki ręczne
Oczywiście, możliwe jest również ręczne wykorzystanie luki w zabezpieczeniach. Jest to jednak raczej rzadkość, gdyż wysiłek ten opłacałby się tylko w przypadku dużych sklepów WooCommerce, gdzie np. dane płatnicze rzeczywiście miałyby zostać wykradzione.

8 środki bezpieczeństwa, które zapewniamy jako hoster

W zasadzie, bezpieczeństwo Twojej strony internetowej może być WordPress Hosting może znacząco zwiększyć bezpieczeństwo Twojej witryny. Z biegiem lat stale rozwijaliśmy koncepcję bezpieczeństwa RAIDBOXES , dzięki czemu przypadki złośliwego oprogramowania stały się absolutną rzadkością. Szczególnie szczegółowa analiza przypadków złośliwego oprogramowania pomaga wykryć często wykorzystywane luki w zabezpieczeniach i zapobiegać im za pomocą odpowiednich środków.

#1 Silne hasła - najważniejszy środek bezpieczeństwa

Jednym z najważniejszych środków bezpieczeństwa jest silne hasło dla wszystkich użytkowników WordPress . Niestety, jako hoster mamy ograniczony wpływ na przydzielanie haseł. Szczególnie w przypadku relokacji możemy mieć niewielki wpływ na hasła. Wymuszanie silnego hasła przy tworzeniu strony BOX (WordPress -website) doprowadziło do znacznego zmniejszenia infekcji złośliwym oprogramowaniem.

Wymuszanie silnego hasła podczas tworzenia WordPress strony internetowej
Egzekwowanie silnego hasła podczas tworzenia strony WordPress doprowadziło do znacznego zmniejszenia infekcji złośliwym oprogramowaniem.
Dla przypomnienia

Hasło powinno składać się z cyfr, znaków specjalnych i małych liter o długości co najmniej siedmiu znaków. Jeśli tak nie jest w przypadku użytkowników WordPress , zdecydowanie powinieneś najpierw wykonać krok 1 i natychmiast zmienić hasła.

#2 Ochrona przed atakami typu brute force

Prawie miliard razy w miesiącu strony internetowe są atakowane za pomocą opisanych powyżej zagrożeń. Brute Force Ataki opisanych powyżej. Dobrze, jeśli twój WordPress hoster już się tym zajął. Nasz RB Login Protector uprzedzi Twój obszar logowania WP i"czarną listę" adresów IP, które wielokrotnie próbują się zalogować z fałszywymi danymi uwierzytelniającymi.

W ustawieniach Twojej strony BOX możesz dokładnie określić, po ilu próbach logowania blokada ma zadziałać i jak długo odpowiednie IP mają być blokowane. W połączeniu z silnym hasłem, uzyskanie dostępu do strony w ten sposób jest praktycznie niemożliwe.

#3 WP Session Eraser

Według RODO należy przechowywać jak najmniejszą ilość danych. Pomożemy Ci w tym! Nasze narzędzie do większej oszczędności danych - WordPress Session Eraser - usuwa sesje WordPress wszystkich Twoich użytkowników z bazy danych po upływie określonego czasu. Możesz ustawić ten interwał indywidualnie dla każdego BOX w ustawieniach BOX w naszym dashboardzie.

#4 Domyślne blokowanie XML-RPC

XML-RPC jest interfejsem, który jest dostępny na każdej stronie WP od WordPress 3.5. Ponieważ zdecydowana większość webmasterów i tak nie używa XML-RPC, sensowne jest wyłączenie tego interfejsu. Ponieważ: Hakerzy mogą bezpośrednio zaatakować Twoją witrynę poprzez XML-RPC.

Z tego powodu, XML-RPC jest teraz domyślnie zablokowany i może być włączony poprzez ustawienia w pulpicie nawigacyjnym RAIDBOXES .

Blokada XML-RPC
Z tego powodu, XML-RPC jest teraz domyślnie zablokowany i może być włączony poprzez ustawienia w pulpicie nawigacyjnym RAIDBOXES .

#5 Zarządzane aktualizacje zabezpieczeń z WordPress

Oczywiście, aktualizacja strony WordPress jest bardzo ważna. Co 2-3 miesiące nowe WordPress -wersje są publikowane. Zwłaszcza aktualizacje konserwacyjne usuwają ważne luki w zabezpieczeniach. Te aktualizacje powinny być natychmiast zainstalowane.

Duże aktualizacje zazwyczaj wiążą się z dużymi zmianami w kodzie, dlatego mogą wystąpić niezgodności. Aby dać producentom Theme i Plugin wystarczająco dużo czasu, zawsze wprowadzamy główne aktualizacje do naszego systemu po 14 dniach. Oczywiście natychmiast udostępniamy najnowszą wersję WordPress do ręcznej aktualizacji. Oczywiście, ważne jest, aby zawsze wykonać kopię zapasową witryny przed aktualizacją!

#6 Selektywna ochrona przed zapisem - WordPress Środki utwardzające

Koncentracja na bezpieczeństwiePlugins Bezpieczeństwo iThemes jest uczynienie WordPress bardziej bezpiecznym poprzez ochronę plików. Jest to również selektywnie zintegrowane z nami. Dzięki temu trudniej jest zainfekować elementy strony i uczynić je bezużytecznymi. Zawsze musi istnieć rozsądna równowaga między elastycznością a bezpieczeństwem. Utrzymujemy to poprzez opcje konfiguracyjne bezpośrednio przez interfejs użytkownika RAIDBOXES .

Zapobieganie zmianom plików w WordPress
Ponadto stosujemy również najlepsze praktyki WordPress tam, gdzie mają one sens. Jednym z przykładów jest zmiana nazwy prefiksu bazy danych WordPress .

Ponadto stosujemy również najlepsze praktyki WordPress tam, gdzie mają one sens. Jednym z przykładów jest zmiana nazwy prefiksu bazy danych WordPress . Nie jest to dostępne za pośrednictwem standardowego wp_. Zmiana nazwy folderu WP-Content, z drugiej strony, jak to zostało zrobione przez Bezpieczeństwo iThemes okazało się prowadzić do błędów, ponieważ Plugins i Themes nie wiedzą, jak sobie z tym poradzić.

#7 Zarządzane Plugin-Uaktualnienia z WordPress

Teraz ostatnia główna brama przed atakami musi zostać zamknięta: Nieaktualne Plugins. Podobnie jak w przypadku WordPress , luki w zabezpieczeniach mogą wystąpić w przypadku Plugins i Themes . Nie każda aktualizacja zawiera funkcje zabezpieczeń. Niemniej jednak: Jeśli wszystkie strony Plugins są aktualne, prawdopodobieństwo wystąpienia luk w zabezpieczeniach jest znacznie niższe.

Ponieważ szczególnie ta funkcja pozwala zaoszczędzić wiele czasu, jest ona zawarta w naszej cenie Fully Managed za 30 euro (netto). Jako czytelnik tego artykułu na blogu, możesz skorzystać z tej stawki na stałe za jedyne 20 euro pod następującym linkiem przy kasie: Fully Managed Special.

#8 Środki po stronie serwera

Wszystkie powyższe środki chronią sam serwis WordPress . Ponadto, istnieje oczywiście prawie nieskończona lista środków bezpieczeństwa, które dotyczą samego serwera. Zaczyna się to od aktualizacji Linuksa, a kończy na regularnych aktualizacjach PHP jako podstawy strony WordPress . Dbamy o automatyczną aktualizację przestarzałych wersji PHP (oczywiście z odpowiednim wyprzedzeniem i czasem na testy) bez konieczności samodzielnego dbania o to.

Wady bezpieczeństwaPlugins

W związku z tym chciałbym teraz krótko omówić wady Security-Plugins . Są one częściowo nie bez znaczenia, w szczególności z punktu widzenia czasu.

Wysiłek związany z ustawianiem

Jeśli myślisz, że wystarczy zainstalować Plugins , to jesteś w błędzie. Niestety założenie zabezpieczeniaPlugins wymaga również pewnej wiedzy.

Na przykładzie Plugins All-in-One-Security staje się to bardzo jasne. Jest to jeden z najpopularniejszych darmowych serwisów Plugins, który w bardzo dużym stopniu wykorzystuje plik .htaccess. Jednak Plugin nie rozpoznaje nawet, czy jest to serwer NGINX. Nie wspiera to koncepcji .htaccess i jest używane w środowisku WordPress ze względu na swoją elastyczność.

Ponadto, mimo że zabezpieczenia są podzielone na poziomy trudności, co ma duży sens, wiele z zabezpieczeń oferowanych przez Plugin jest mniej użytecznych. Aby właściwie ocenić konieczność zastosowania różnych środków, trzeba koniecznie zapoznać się z kwestią bezpieczeństwa.

Utrzymanie i postrzegane (nie)bezpieczeństwo

Do naszego testu zainstalowaliśmy różne zabezpieczeniaPlugins . Jeden z użytkowników Plugins automatycznie skorzystał z adresu e-mail zespołu zapisanego w WordPress i zaczął pilnie wysyłać e-maile. Ku wielkiej uciesze wszystkich członków zespołu...

Niestety, nie jest to wcale rzadkie zjawisko. Oczywiście, chciałoby się pozostać poinformowanym w pewnych kwestiach. Najczęściej jednak wskazuje się na rzeczy, które w ogóle nie stanowią zagrożenia dla bezpieczeństwa. W końcu, czujesz się bardziej niepewnie niż wcześniej, ponieważ jesteś informowany o każdej zmianie pliku, na przykład, i muszą sprawdzić w przypadku wątpliwości.

Problemy z wydajnością

Domyślnie każda z witryn Plugins oferuje skanowanie w poszukiwaniu złośliwego oprogramowania lub zabezpieczeń. Strona Plugin Wordfence lubi ustawiać to automatycznie na jedną godzinę. Oznacza to, że w razie wątpliwości co godzinę (!) uruchamiany jest skan Twojej strony przez automatyczny skrypt (poprzez cronjob). Każdy, kto kiedykolwiek zainstalował na swoim komputerze oprogramowanie antywirusowe, zna opowieści o nieszczęściach związanych z niekiedy ogromnymi problemami z wydajnością.

Może to być również powód, dla którego "tylko" 2 miliony z ponad 90 milionów pobrań pozostały aktywne do końca.

Koszty

Do badań w tym artykule ocenialiśmy tylko Plugins , które są dostępne również w wersji darmowej. Niemniej jednak, szkoda, że w wielu WordPress -Security-Plugins naprawdę przydatne funkcje kosztują co najmniej 80 dolarów rocznie. Jeśli ich nie używasz, często czujesz się niepewnie.

Kiedy WordPress -Security-Plugin naprawdę ma sens?

Dla tych, którzy chcą pójść o krok dalej, oto kilka przykładów przypadków, w których Plugin może być przydatny dla WordPress bezpieczeństwa. Te zalecenia dotyczą tylko wyspecjalizowanego hostingu WordPress . Ponieważ inni dostawcy mogą nie mieć środków bezpieczeństwa wdrożonych tak szczegółowo i szeroko, bezpieczeństwoPlugin może być tam ogólnie zalecane. Jak widać, trudno jest sformułować ogólne stwierdzenie na temat przydatności wtyczek bezpieczeństwa, ponieważ wymagania i okoliczności są różne.

Ręczne włamywanie się do sklepu WooCommerce

Jest to jeden z nielicznych przykładów, w których faktycznie aktywnie zalecaliśmy stosowanie zabezpieczeńPlugin w celu zwiększenia bezpieczeństwa sklepu internetowego. Klient WooCommerce miał wrażenie, że jest atakowany ręcznie, co, jak opisano powyżej, zdarza się bardzo rzadko.

W tym przypadku, był w stanie użyć Wordfence i jego funkcji logowania, aby szybko zidentyfikować adres IP napastnika, a następnie go zablokować. W ten sposób atak mógł zostać skutecznie powstrzymany.

Zagrożone Plugins

Im większa liczba stron Plugins, tym większe prawdopodobieństwo wystąpienia zagrożeń bezpieczeństwa. W szczególności, jeżeli do aktualizacji nie jest używane żadne narzędzie, istniejące luki w zabezpieczeniach pozostają niezauważone w systemie przez długi czas i stanowią powierzchnię ataku. Zwłaszcza w przypadku sklepów WooCommerce, liczba stron Plugins jest zazwyczaj duża, a dane są bardziej wrażliwe. Dlatego należy rozważyć tutaj zabezpieczeniePlugin .

Trzy najlepsze zabezpieczeniaPlugins dla WordPress

W dalszej części chciałbym krótko wyjaśnić, dlaczego ograniczamy się tylko do trzech Plugins , a nie przedstawiamy dziesięciu - lub nawet najlepszych 101 WordPress - wtyczek bezpieczeństwa.

W przypadku Security-Plugins ograniczamy się do TOP 3 WordPress -Plugins na całym świecie. Przyjrzeliśmy się również innym zabezpieczeniomPlugins, takim jak. All In One WP Security & Firewall który jest najpopularniejszym czysto darmowym serwisem Plugin (bez wersji premium) z 800.000+ użytkowników. Nie byliśmy jednak przekonani co do użyteczności i częściowo zalecanych tutaj działań. Jednocześnie ma zastosowanie tylko do serwerów Apache.

Chodzi o ostatnie metry

Ponieważ traktujemy Plugins bardziej jako dodatek do już zabezpieczonej WordPress Hosting Celem jest pokrycie ostatniego 0,1 procenta ryzyka związanego z bezpieczeństwem. Ograniczamy się więc do profesjonalnej strony Plugins, która ma bardzo dużą dystrybucję.

Jednakże, ten wybór Plugins jest również bardzo istotny dla innych, niewyspecjalizowanych hosterów. Tutaj i tak powinieneś zająć się bardziej intensywnie tematem bezpieczeństwa WordPress .

Szybkie wsparcie decyzyjne

Jednocześnie ważne jest dla nas, aby zapewnić szybką pomoc w podejmowaniu decyzji. Naszym zdaniem nie jest to już możliwe przy prezentacji dziesięciu Plugins , ponieważ wtedy wszystkie dziesięć Plugins musi być na koniec ponownie ocenione. Z trzema Plugins o różnej ostrości, decyzja jest tutaj łatwiejsza.    

Ograniczenie do "wszystko w jednymPlugins

Oczywiście, istnieje niezliczona ilość Plugins, które przejmują świetne funkcje indywidualne, na przykład ograniczają próby logowania (Limit Login Attempts). Ale również funkcje, które Plugins oferuje tylko w wersjach PRO , mogą być rozwiązane przez indywidualne Plugins . Najlepszym przykładem jest ten Plugin dla uwierzytelniania dwuskładnikowego.

Dystrybucja i dane są ważne dla zapór sieciowych

Zapory sieciowe stosują pewne reguły w celu wykrycia, czy ktoś działa złośliwie, czy tylko odwiedza witrynę. Jeśli ktoś próbuje wejść na stronę, zostaje zablokowany. W szczególności, reguły te opierają się na wiedzy o istniejących podatnościach. Jednocześnie sieci napastników mogą być lepiej wykrywane i blokowane dla wszystkich innych witryn, gdy w administracji jest 2 miliony witryn, niż gdy jest ich 10 000. Dlatego dystrybucja odgrywa rolę w bezpieczeństwiePlugins .

Twoje osobiste ulubione są mile widziane

Nie oznacza to, że nie ma innych świetnych Plugins dla większego bezpieczeństwa WordPress . Zapraszamy do dzielenia się swoimi ulubionymi w komentarzach. W ten sposób zapewniamy jeszcze bardziej równe szanse również dla nowych innowacyjnych podejść.

Trzy najlepsze zabezpieczeniaPlugins w przeglądzie

Strona internetowa PluginsWordfenceBezpieczeństwo iThemesSucuri
Security
Link do pobraniaPobierzPobierzPobierz
FunkcjeTutajTutajTutaj
Aktywne instalacje3+ mln900.000+700.000+
JęzykiEnglish16 języków (również DE)Angielski, hiszpański
Testowane z najnowszą wersją WordPressTakTakdo 5.3.4
Liczba ocen3,5723,830338
Ocena (pięć gwiazdek)4,84,74,4
Wersja bezpłatnaTakTakTak
Premium (licencja roczna)od 99$od 80 USD $199,99
Usuwanie złośliwego oprogramowania z$286.40nie oferowanyzawarte w licencji

W przeglądzie widać wyraźnie, że każda z witryn Plugins ma bardzo wysoką częstość występowania i jest dobrze oceniana. Niemniej jednak Wordfence niekwestionowany lider rynku, a także zrównoważony pod względem stosunku ceny do jakości. Na stronie Sucuri płacisz bezpośrednio za usunięcie złośliwego oprogramowania, ale tutaj ceny mogą być zwiększone, zwłaszcza poprzez szybszą obsługę i częstsze skanowanie, do 500 dolarów rocznie rocznie. Na stronie Wordfence profesjonalne usuwanie złośliwego oprogramowania jest oferowane jako usługa opcjonalna oferowane jako usługa opcjonalna. Wszystko zależy więc od Twoich potrzeb.

Ważne jest, aby wiedzieć, że jest mało prawdopodobne, aby złapać złośliwe oprogramowanie z silnymi hasłami użytkownika WP. Dlatego naszym zdaniem nie ma sensu kupować usuwania złośliwego oprogramowania bezpośrednio jako usługi.

Na stronie Wordfence w darmowej wersji otrzymujesz bezpośredni dostęp do całego spektrum firewalli, w przeciwieństwie do np. Bezpieczeństwo iThemesgdzie informacje z sieci są dostępne tylko w wersji PRO .

Jest to ważny punkt, z którego nie należy rezygnować: Wordfence w naszym przykładzie, to jedyny niezależny dostawcaktóra specjalizuje się wyłącznie w temacie WordPress security. Sucuri należy do grupy GoDaddy i iThemes został również kupiony przez inną firmę hostingową. Działają również w różnych innych obszarach, takich jak rozwój Theme. Za stroną Wordfence jest wyłącznie firmą ochroniarską Odważna.

Podsumowanie okresowe

Nasze zalecenie dotyczące bezpieczeństwa -Plugin- jest zatem całkiem jasne Wordfence. Serwis Plugin oferuje już w wersji bezpłatnej kompleksową zaporę sieciową i koncentruje się na dwóch podstawowych zagadnieniach, które powinien zapewniać serwis bezpieczeństwaPlugin : zaporze sieciowej i skanowaniu bezpieczeństwa.

Ponadto, jest on skonfigurowany szybko, utrzymany w przejrzystości i nie dezorientuje, jak to się dzieje w przypadku innych Plugins ze zbyt technicznymi informacjami.

Aby uniknąć problemów z wydajnością, wśród opcji skanowania należy użyć "Low Resource Scanning". Ponieważ adresy IP są przetwarzane, powinieneś użyć Wordfence zamknąć AV.

W dalszej części omówię szczegółowo poszczególne podstawowe obszary bezpieczeństwaPlugins , aby wyjaśnić różnice pomiędzy Plugins .

Najważniejsze cechy Plugin w porównaniu

Monitorowanie i skanowanie

 WordfenceBezpieczeństwo iThemesSucuri
skany bezpieczeństwaTakTakTak
Zaplanowane skanowanie zabezpieczeńTylko wersja Pro
Tylko wersja ProTylko wersja Pro
Identyfikacja złośliwego oprogramowaniaTakTakTak
    
Identyfikacja anomalii w zakresie bezpieczeństwaTakTakTak
Monitorowanie czarnej listyTylko Google Safe BrowsingSprawdzenie statusu czarnej listyTak
Zmiany w plikachTakTakTak
    
Monitorowanie DNSTakNiejasneTak
Monitorowanie SSLNieTakTak
PowiadomieniaTakTakTak
    
Kontrola spamuTylko wersja Pro
TakTak
dzienniki bezpieczeństwaTakTakPodstawowy

Istotną częścią bezpieczeństwaPlugins jest sprawdzenie, czy witryna nie została naruszona. Ponieważ każdy sprzedawca Plugin w zasadzie używa różnych nazw dla tych samych treści i inaczej je prezentuje, bardzo trudno jest dokonać rozsądnego porównania. Powyższa tabela powinna zapewnić przegląd sytuacji w tym zakresie.

Każda strona Plugin oferuje funkcję skanowania

Na przykład, skanowanie bezpieczeństwa, identyfikacja złośliwego oprogramowania, identyfikacja anomalii bezpieczeństwa lub zmiany w plikach są często wymieniane oddzielnie, ale oznaczają to samo. Porównanie plików jest wykorzystywane do sprawdzenia, czy na stronie nie znajduje się złośliwe oprogramowanie. Z naszego doświadczenia wynika, że jest całkiem możliwe, że niepozorny test na Sucuri może nadal oznaczać, że na stronie znajduje się złośliwe oprogramowanie, jeśli przeprowadzi się bardziej szczegółowe skanowanie lub przyjrzy się poszczególnym plikom.

Kontrola złośliwego oprogramowania: Strona jest czysta
Firma iThemes Security korzysta tutaj z API firmy Sucuri.

Bezpieczeństwo iThemes po prostu używa API Sucuri. W rezultacie otrzymujesz zarówno Sucuri jak i iThemes nic poza bezpłatne sprawdzenie stronyktóre można również znaleźć na stronie internetowej Sucuri.

Różnice w monitorowaniu czarnych list

Oprócz skanowania, ważnym czynnikiem jest monitorowanie czarnych list, szczególnie w przypadku opisanych powyżej strat rankingowych. Tutaj sprawdza Wordfence zgodnie z własną prezentacją sprawdza jedynie Status Google Safe Browsing. Jeśli jakaś strona się tu pojawi, to w zasadzie jest już za późno. Strona najprawdopodobniej zostanie wyrzucona z wyników wyszukiwania w pierwszej kolejności. Bezpieczeństwo iThemes oraz Sucuri sprawdź kilka czarnych list bezpośrednio tutaj. Wynik jest wciąż taki sam. Jeśli strona pojawia się na czarnych listach, jest już za późno. Właśnie po to, aby temu zapobiec, wykonuje się te skany.

Sprawdzenie Securi: nie znajduje się na czarnej liście
Rozszerzone sprawdzanie czarnych list dostępne jest na stronie Wordfence tylko w wersji Premium.

Rozszerzona kontrola czarnej listy jest dostępna tylko w przypadku Wordfence dostępne tylko w wersji Premium. Tutaj sprawdzany jest również punkt spamu reklamowego, który może być łatwo rozpoznany na zewnątrz i jest ważny dla Google.

Niska przydatność monitorowania DNS

Cechy monitoringu DNS i SSL uważamy za mało istotne. Nie jest nam znany ani jeden przypadek, w którym zmiany DNS lub zmiany SSL zostały dokonane w celu zbadania działalności przestępczej.

Wordfence wyniki z logami bezpieczeństwa

Podstawą bezpieczeństwaPlugins powinno być rozsądne wyświetlanie loginów. Tak jest w przypadku wszystkich stron Plugins . Wordfence idzie o kilka kroków do przodu dzięki monitorowaniu ruchu na żywo. Rozpoznawane są nie tylko loginy, ale również ruch w sieci jest odpowiednio kategoryzowany. W ten sposób można śledzić aktywność crawlerów i zachowanie odwiedzających pod kątem bezpieczeństwa. Narzędzie to jest więc idealne do zapobiegania np. włamaniom ręcznym.

Wordfence Ruch na żywo
Wordfence jest tu o kilka kroków do przodu dzięki monitorowaniu ruchu na żywo.

Zakończenie w tej kategorii

Jakość skanowania jest trudna do ocenienia i musiałaby być oceniona poprzez testy. iThemes Security i Sucuri mają lepsze monitorowanie czarnych list. Skanowanie powinno jednak sprawić, że strona i tak nie trafi na czarną listę. Jeśli chodzi o monitorowanie, funkcja ruchu na żywo w Wordfence to duży plus.

Ochrona w połączeniu z zaporami sieciowymi

 WordfenceBezpieczeństwo iThemesSucuri
Web Application Firewall (WAF)Zastrzeżone404 wykrywanieTak
System wykrywania włamań (IDS)TakNieTak
Ochrona przed DDoSNieNieTak
Brute Force OchronaTakTakTak
Blokada prób włamaniaTakCzęściowoTak
Ochrona przed exploitami zero-dayNiejasneNieTak
Pojedyncza osłona bocznaNieNieTak
Heurystyczny algorytm korelacjiNiejasneNie 
Równoważenie obciążenia / FailoverNieTakTak
blokowanie krajuTakNieNie
Zaawansowane blokowanie ręczneTakNieNie

iThemes bez odpowiedniej zapory sieciowej

Jeśli chodzi o zapory sieciowe, różnice między Plugins są szczególnie wyraźne. Podejście do tematu jest tu zasadniczo różne. Ściśle rzecz biorąc iThemes-Security nie używa prawdziwego firewalla. Można nazwać podejściem 404-detekcja-approach pierwszym podejściem. Tutaj sprawdzane jest czy crawler generuje dużo błędów 404 i czy jest blokowany.

Sucuri wraz z pełnym CDN

a także mając na uwadze, co następuje Wordfence do korzystania z zapory wystarczy zainstalować tylko jedną stronę Plugin , z Sucuri musisz zmienić serwer nazw lub rekord A w ustawieniach DNS. Do tego jest to rozwiązanie całkowicie oparte na chmurze, w tym CDN (content delivery network), które może również zapobiegać atakom DDoS. W ataku DDoS botnet jest często wykorzystywany do ostrzeliwania strony żądaniami aż do momentu, gdy strona przestanie być dostępna, ponieważ serwer się poddaje.

Wyjaśnienie ataków DDoS

Czym dokładnie jest atak DDoS i jak można mu skutecznie zapobiegać, pokazuje Nick Schäferhoff w swoim artykule.

Strona SucuriPodejście to oznacza również, że działa z load balancerami w przeciwieństwie do Wordfence działa z load balancerami. Ogólnie rzecz biorąc, z Sucuri jest raczej terminem marketingowym, takim jak "Heuristic Correlation Algorithm", i nie jest jasne, czy jest to rzeczywista wartość dodana, ponieważ Wordfence przypuszczalnie działa również z metodami heurystycznymi. Jednak ci, którzy potrzebują tylko CDN, mogą również wdrożyć je bezpłatnie poprzez Cloudflare .

Wordfence z większą ilością opcji konfiguracyjnych

Na stronie Sucuri wiele rzeczy działa automatycznie i bez ingerencji użytkownika. Ale tutaj najwyraźniej mniej można skonfigurować. Więc możesz zablokować Wordfence jawnie blokować IP poszczególnych krajów, możliwe jest również blokowanie ręczne. Jest to szczególnie pomocne w przypadku ręcznych hacków.

WordPress Środki bezpieczeństwa

 WordfenceBezpieczeństwo iThemesSucuri
Kopie zapasowe baz danychNieTakNie
WordPress zwiększają bezpieczeństwoNieTakNie
ukryć informacjeNieTakNie
Ochrona przed pisaniemNieTakNie
Zarządzanie hasłamiNieTakNie
uwierzytelnianie dwuskładnikowePremiumPremiumNie

Bezpieczeństwo iThemes koncentruje się na środkach bezpieczeństwa w ramach WordPress , jak pokazano w tabeli. W sumie opracowano 30 różnych punktów, z których większość ma duży sens. Wiele z tych punktów jest więc już uwzględnionych w naszym hostingu.

Bezpieczeństwo iThemes jest więc świetnym sposobem na dodanie większego bezpieczeństwa na poziomie WordPress do "niezbyt bezpiecznego" hostingu ogólnego. Darmowa wersja oferuje już szeroką ochronę. W przypadku wersji premium należy zwrócić uwagę na uwierzytelnianie 2-factor.

Synchronizacja i poprawki wprowadzone przez n17t01 Wordfence oraz Sucuri skupić się na "osłonie" strony. Czy są one raczej słabe w tych punktach.

Usuwanie złośliwego oprogramowania i wydajności

 WordfenceBezpieczeństwo iThemesSucuri
Czyszczenie hacków i usuwanie złośliwego oprogramowaniaOpcjonalnieNie do wyśledzeniaOpcjonalnie
Usuwanie ostrzeżeń z czarnej listyOpcjonalnieNie do wyśledzeniaOpcjonalnie
Limit żądań usunięcia złośliwego oprogramowaniaOpcjonalnieNie do wyśledzeniaOpcjonalnie
Automatyczne czyszczenieCzęściowoNie do wyśledzeniaCzęściowo
Eskalacja analityka bezpieczeństwaOpcjonalnieNie do wyśledzeniaOpcjonalnie
Pełne czyszczenie strony internetowejOpcjonalnieNie do wyśledzeniaOpcjonalnie
Usuwanie luk w zabezpieczeniachOpcjonalnieNie do wyśledzeniaOpcjonalnie
Kopie zapasoweNieNie do wyśledzeniaTak
Raport po czyszczeniuOpcjonalnieNie do wyśledzeniaOpcjonalnie
Pełny dziennik i raport o incydencieOpcjonalnieNie do wyśledzeniaOpcjonalnie
Postępowanie po wystąpieniu przyczyny źródłowejOpcjonalnieNie do wyśledzeniaOpcjonalnie

Na koniec przyjrzyjmy się usuwaniu złośliwego oprogramowania. Oto ceny na Sucuri oraz Wordfence są podobne. Za szybsze przetwarzanie danych obie firmy pobierają dodatkowe opłaty. Oferowane tu usługi są identyczne. Na stronie iThemes Nie udało mi się odkryć usługi usuwania złośliwego oprogramowania. Usuwanie złośliwego oprogramowania może trwać 2-3 godziny, z dużymi wahaniami. Ponieważ zajmujemy się również usuwaniem złośliwego oprogramowania, ceny są uczciwe.

A co z wydajnością?

Na koniec uwaga na temat wydajności. Nie spodziewalibyście się tego po porównywarce zabezpieczeńPlugin. Ale ponieważ Sucuri oferuje CDN i firewall w jednym, może być poprawa wydajności, zwłaszcza dla międzynarodowych gości. Dzięki CDN strona jest zawsze dostarczana z następnego serwera, co ma zalety szczególnie dla zagranicznych gości. Jednak dla sklepu WooCommerce z niewielką ilością cache'owanej treści jest to mniej istotne.

Nasz wniosek

Jaki jest więc ogólny wniosek na temat bezpieczeństwa WordPress ? Nasz osobisty wniosek można podsumować następującym faktem: Nie stosujemy zabezpieczeniaPlugin dla naszej własnej strony RAIDBOXES. Nigdy nie korzystaliśmy z zabezpieczeńPlugin i nigdy nie mieliśmy żadnych problemów. Wszystko to, mimo że nasza strona internetowa ma dla nas absolutnie centralne znaczenie. Obszerne dane klientów nie są jednak przechowywane na naszej stronie internetowej WordPress . Dla nas ryzyko utraty wydajności z powodu szeroko zakrojonych działań skanujących było zbyt wysokie, a wady przewyższały korzyści.

Niemniej jednak, firewall zwiększa bezpieczeństwo strony. Dlatego, jeśli chcesz osiągnąć maksymalne bezpieczeństwo i zaakceptować wady w zakresie wydajności i czasu, powinieneś użyć zabezpieczeniaPlugin .

Szczególnie dla WooCommerce-Sklepów lub zagrożonych witryn, które mogły już mieć problemy ze złośliwym oprogramowaniem, przydatna może być WordPress -Security-Plugin . Nasze zalecenie jest zatem następujące:

Wordfence jako najlepsze darmowe rozwiązanie

Kto chce naprawdę bardzo solidny firewall z rozbudowanym monitoringiem, jest z Wordfence jest bardzo dobrze obsługiwany. Nie bez powodu jest to najpopularniejsza strona bezpieczeństwaPlugin na świecie. Wersja Premium bardzo precyzyjnie i sensownie uzupełnia funkcjonalność. Podczas wdrażania należy upewnić się, że procesy skanowania są prawidłowo skonfigurowane, aby zapobiec problemom z wydajnością.

iThemes Security for Generic Hosters

Bezpieczeństwo iThemes wykonuje naprawdę przydatne zabezpieczenia na stronie, zwłaszcza WordPress . Dla ogólnych hosterów jest to świetny sposób, aby zwiększyć poziom bezpieczeństwa bez rozbudowanych skanowania i firewall nawet w wersji darmowej.

Sucuri dla osób zainteresowanych CDN

Dla osób, które mimo wszystko zastanawiają się nad skorzystaniem z CDN i dla których temat ataków DDoS powinien być istotny, polecamy Sucuri jest zalecane. Jedyne co pozostaje to nieco mdły posmak korporacji Godaddy.

Jak dużego (postrzeganego) bezpieczeństwa potrzebujesz?

Jak podchodzisz do kwestii bezpieczeństwa WordPress ? Czy polegasz na zabezpieczeniach swojego hostingodawcy, czy tylko bezpieczeństwo -Plugin pozwala Ci spać spokojnie? Jak zawsze, czekamy na Wasze komentarze!

Powiązane artykuły

Komentarze do tego artykułu