WordPress  Bezpieczeństwo Bezpieczeństwo Plugins

Bezpieczeństwo WordPressa: Jak bardzo przydatne są wtyczki bezpieczeństwa?

Ponad 38% wszystkich stron internetowych działa na WordPressie. To sprawia, że nasz ulubiony CMS jest popularnym celem hakerów i złośliwego oprogramowania. Ale nie ma co panikować! Ponieważ bezpieczeństwo WordPressa to nie czary. Oprócz praktycznych wskazówek dotyczących bezpieczeństwa, mamy dziś w bagażu trzy najlepsze wtyczki zabezpieczające WordPressa i pokazujemy, kiedy naprawdę są potrzebne.

Czy w ogóle potrzebuję jeszcze wtyczki bezpieczeństwa? Regularnie otrzymujemy to pytanie w supporcie. W poniższym artykule chciałbym pokazać ci, jaką wartość dodaną mają wtyczki bezpieczeństwa dla bezpieczeństwa twojej witryny WordPress i kiedy naprawdę warto ich używać.

W drugiej części porównujemy trzy najpopularniejsze wtyczki bezpieczeństwa WordPressa, aby dać ci szybki przegląd. W ten sposób możesz podjąć szybką i trafną decyzję, a następnie wrócić do tego, co najważniejsze: do swojego biznesu.

Dlaczego bezpieczeństwo strony WordPress jest tak istotne

Istnieją trzy główne powody, dla których powinieneś aktywnie dbać o bezpieczeństwo swojej witryny WordPress, a nie chować głowę w piasek.

#1 Twoja strona może stać się bezużyteczna

Kilka lat temu byliśmy jeszcze w branży agencyjnej. Zdarzyło się, że pozwolono nam zająć się całkowitym przeprojektowaniem strony, ponieważ oryginalna strona stała się bezużyteczna z powodu problemów z bezpieczeństwem, których można było uniknąć.

Ktoś, kto instaluje złośliwe oprogramowanie na stronach, zazwyczaj nie jest zainteresowany ich zniszczeniem. W końcu atakujący chce wysyłać spam, kierować odwiedzających na spamowe strony, osadzać reklamy lub generować kryptowaluty. Oprócz ogólnego ograniczenia funkcjonalności Twojej witryny, złośliwe oprogramowanie może również prowadzić do poważnych problemów z wydajnością.

#2 Czarna lista i spadek w rankingach Google

Jeszcze poważniejszym problemem w dzisiejszych czasach jest wpisanie domeny na czarną listę, szczególnie przez Google lub Norton. Jeśli Google umieści Twoją stronę na czarnej liście, oznacza to w najgorszym wypadku, że zostanie ona usunięta z wyników wyszukiwania Google.

Możliwe jest ponowne przesłanie skanu witryny po ataku złośliwego oprogramowania. Nie gwarantuje to jednak, że odzyskasz swoje poprzednie pozycje w rankingu. Szczególnie w przypadku ważnych słów kluczowych lub dużego ruchu organicznego, może to mieć poważne konsekwencje ekonomiczne.

#3: Utrata danych

Szczególnie w czasach RODO, gdzie temat ochrony danych osiągnął nowy wymiar, ważne jest, aby chronić dane swoich użytkowników. O ile w przypadku zwykłej strony firmowej ma to mniejsze znaczenie, o tyle w przypadku strony sklepowej jest to jeszcze bardziej dramatyczne, jeśli informacje dotyczące płatności nie są wystarczająco chronione.

Typowe zagrożenia dla bezpieczeństwa Twojej strony WP

Ataki typu brute force na obszar logowania
W ataku typu brute forceautomatycznie wypróbowywana jest duża liczba kombinacji haseł, aby uzyskać dostęp do strony poprzez login /wp-admin WordPressa. Po osiągnięciu tego celu i uzyskaniu przez użytkownika WordPressa praw administratora, strona jest prawie całkowicie pod kontrolą atakującego.

Nasze doświadczenie w Raidboxes pokazuje: Używając silnego hasła i ograniczając liczbę prób logowania, można uniknąć prawie wszystkich przypadków złośliwego oprogramowania. Ale o tym za chwilę.

Automatyczne wykorzystywanie luk w zabezpieczeniach
Z reguły ataki na strony internetowe są zautomatyzowane. Strony WordPressa są automatycznie skanowane przez tzw. crawlery, na przykład w poszukiwaniu pewnej wtyczki, która ma lukę w zabezpieczeniach. W atakach można wykorzystać różne luki w zabezpieczeniach, na przykład. wstrzyknięcia do bazy danych lub Cross-Site-Scripting.

Ataki ręczne
Oczywiście, możliwe jest również ręczne wykorzystanie luki w zabezpieczeniach. Jest to jednak raczej rzadkość, gdyż wysiłek ten opłacałby się tylko w przypadku dużych sklepów WooCommerce, gdzie np. dane płatnicze rzeczywiście miałyby zostać wykradzione.

8 środków bezpieczeństwa, które zapewniamy jako hoster

Zasadniczo wyspecjalizowany hosting WordPressa może znacznie zwiększyć bezpieczeństwo Twojej witryny. Przez lata stale rozwijaliśmy koncepcję bezpieczeństwa Raidboxes, dzięki czemu przypadki złośliwego oprogramowania stały się absolutną rzadkością. W szczególności szczegółowa analiza przypadków złośliwego oprogramowania pomaga zidentyfikować często wykorzystywane luki w zabezpieczeniach i zapobiegać im za pomocą odpowiednich środków.

#1 Silne hasła - najważniejszy środek bezpieczeństwa

Jednym z najważniejszych środków bezpieczeństwa jest silne hasło dla wszystkich użytkowników WordPressa. Niestety, jako hoster mamy ograniczony wpływ na przydzielanie haseł. Szczególnie w przypadku ruchów możemy mieć niewielki wpływ na hasła. Wymuszanie silnego hasła podczas tworzenia Boxa (strony internetowej WordPressa) doprowadziło do znacznego zmniejszenia liczby infekcji złośliwym oprogramowaniem.

Wymuszanie silnego hasła podczas tworzenia WordPress strony internetowej
Egzekwowanie silnego hasła podczas tworzenia strony WordPress doprowadziło do znacznego zmniejszenia infekcji złośliwym oprogramowaniem.

Dla przypomnienia

Hasło powinno składać się z cyfr, znaków specjalnych i małych liter o minimalnej długości siedmiu znaków. Jeśli tak nie jest w przypadku użytkowników Twojego WordPressa, zdecydowanie powinieneś najpierw wykonać krok 1 i natychmiast zmienić hasła.

#2 Ochrona przed atakami typu brute force

Prawie miliard razy w miesiącu strony internetowe są atakowane za pomocą ataków typu brute force opisanych powyżej. Dobrze, jeśli Twój hoster WordPressa już się tym zajął. Nasz RB Login Protector włącza się przed obszarem logowania WP i 'blacklistuje' adresy IP, które wielokrotnie próbują się zalogować, podając fałszywe dane.

W ustawieniach swojego Boxa możesz określić, po ilu próbach logowania blokada ma obowiązywać i jak długo IP będą blokowane. W połączeniu z silnym hasłem uzyskanie dostępu do strony tą drogą jest praktycznie niemożliwe.

#3 WP Session Eraser

Według RODO należy przechowywać jak najmniejszą ilość danych. Pomożemy Ci w tym! Nasze narzędzie do większej oszczędności danych — WordPress Session Eraser — usuwa sesje WordPress wszystkich Twoich użytkowników z bazy danych po upływie określonego czasu. Możesz ustawić ten interwał indywidualnie dla każdego Boxa w ustawieniach Boxa w naszym panelu.

#4 Domyślne blokowanie XML-RPC

XML-RPC jest interfejsem, który jest dostępny na każdej stronie WP od WordPress 3.5. Ponieważ zdecydowana większość webmasterów i tak nie używa XML-RPC, sensowne jest wyłączenie tego interfejsu. Ponieważ: Hakerzy mogą bezpośrednio zaatakować Twoją witrynę poprzez XML-RPC.

Z tego powodu XML-RPC jest teraz domyślnie zablokowany i można go włączyć w ustawieniach w pulpicie Raidboxes.

Blokada XML-RPC
Z tego powodu XML-RPC jest teraz domyślnie zablokowany i można go włączyć w ustawieniach w pulpicie Raidboxes.

#5 Zarządzane aktualizacje zabezpieczeń z WordPress

Oczywiście, aktualizacja strony WordPress jest bardzo ważna. Co 2-3 miesiące nowe WordPress -wersje są publikowane. Zwłaszcza aktualizacje konserwacyjne usuwają ważne luki w zabezpieczeniach. Te aktualizacje powinny być natychmiast zainstalowane.

Duże aktualizacje zazwyczaj wiążą się z dużymi zmianami w kodzie, dlatego mogą wystąpić niezgodności. Aby dać producentom Theme i Plugin wystarczająco dużo czasu, zawsze wprowadzamy główne aktualizacje do naszego systemu po 14 dniach. Oczywiście natychmiast udostępniamy najnowszą wersję WordPress do ręcznej aktualizacji. Oczywiście, ważne jest, aby zawsze wykonać kopię zapasową witryny przed aktualizacją!

#6 Selektywna ochrona przed zapisem - Środki zabezpieczające WordPressa

Jednym z celów wtyczki Security iThemes Security jest zwiększenie bezpieczeństwa WordPressa poprzez ochronę plików. Jest to również selektywnie zintegrowane z nami. Dzięki temu trudniej jest zainfekować elementy witryny i uniemożliwić ich wykorzystanie. Zawsze należy zachować rozsądną równowagę między elastycznością a bezpieczeństwem. Utrzymujemy to dzięki możliwościom konfiguracji bezpośrednio przez interfejs użytkownika Raidboxes.

Zapobieganie zmianom plików w WordPress
Ponadto stosujemy również najlepsze praktyki WordPress tam, gdzie mają one sens. Jednym z przykładów jest zmiana nazwy prefiksu bazy danych WordPress .

Ponadto stosujemy również najlepsze praktyki WordPress tam, gdzie mają one sens. Jednym z przykładów jest zmiana nazwy prefiksu bazy danych WordPress . Nie jest to dostępne za pośrednictwem standardowego wp_. Zmiana nazwy folderu WP-Content, z drugiej strony, jak to zostało zrobione przez Bezpieczeństwo iThemes okazało się prowadzić do błędów, ponieważ Plugins i Themes nie wiedzą, jak sobie z tym poradzić.

#7 Zarządzane aktualizacje wtyczek w WordPressie

Teraz nadszedł czas, aby zamknąć ostatnią ważną furtkę dla ataków: Wtyczki, które nie są aktualne. Podobnie jak w przypadku samego WordPressa, luki w zabezpieczeniach mogą występować również w przypadku wtyczek i motywów. Nie każda aktualizacja zawiera funkcje bezpieczeństwa. Niemniej jednak, jeśli wszystkie wtyczki są aktualne, prawdopodobieństwo wystąpienia luk w zabezpieczeniach jest znacznie mniejsze.

Ponieważ szczególnie ta funkcja pozwala zaoszczędzić wiele czasu, jest ona zawarta w naszej cenie Fully Managed za 30 euro (netto). Jako czytelnik tego artykułu na blogu, możesz skorzystać z tej stawki na stałe za jedyne 20 euro pod następującym linkiem przy kasie: Fully Managed Special.

#8 Środki po stronie serwera

Wszystkie powyższe środki chronią samego WordPressa. Ponadto istnieje oczywiście niemal nieskończona lista środków bezpieczeństwa, które dotyczą samego serwera. Zaczyna się to od aktualizacji systemu Linux, a kończy na regularnych aktualizacjach PHP, który jest podstawą WordPressa. Zajmujemy się automatyczną aktualizacją nieaktualnych wersji PHP (oczywiście z odpowiednim wyprzedzeniem i czasem na testy) bez konieczności samodzielnego dbania o to.

Wady wtyczek bezpieczeństwa

Mając to na uwadze, chciałbym teraz krótko omówić wady wtyczek bezpieczeństwa. Niektóre z nich nie są bez znaczenia, zwłaszcza z perspektywy czasu.

Wysiłek związany z ustawianiem

Każdy, kto myśli, że wystarczy zainstalować wtyczkę, jest w błędzie. Niestety, skonfigurowanie wtyczki bezpieczeństwa wymaga również pewnej wiedzy.

Przykład wtyczki All-in-One-Security pokazuje to bardzo wyraźnie. Jest to jedna z najpopularniejszych darmowych wtyczek, która w dużym stopniu wykorzystuje plik .htaccess. Jednak wtyczka nie rozpoznaje nawet, czy jest to serwer NGINX. Nie obsługuje on koncepcji .htaccess i jest używany w środowisku WordPressa ze względu na swoją elastyczność.

Ponadto, mimo że środki bezpieczeństwa są podzielone na poziomy trudności, co ma duży sens, wiele z nich jest mniej przydatnych. Aby odpowiednio ocenić konieczność zastosowania różnych środków, trzeba koniecznie zapoznać się z kwestią bezpieczeństwa.

Konserwacja i postrzegane (nie)bezpieczeństwo

Na potrzeby naszego testu zainstalowaliśmy różne wtyczki bezpieczeństwa. Jedna z wtyczek automatycznie użyła adresu e-mail drużyny zapisanego w WordPressie i zaczęła wysyłać wiadomości. Ku wielkiej radości wszystkich członków zespołu...

Niestety, nie jest to wcale rzadkie zjawisko. Oczywiście, chciałoby się pozostać poinformowanym w pewnych kwestiach. Najczęściej jednak wskazuje się na rzeczy, które w ogóle nie stanowią zagrożenia dla bezpieczeństwa. W końcu, czujesz się bardziej niepewnie niż wcześniej, ponieważ jesteś informowany o każdej zmianie pliku, na przykład, i muszą sprawdzić w przypadku wątpliwości.

Problemy z wydajnością

Domyślnie każda z wtyczek oferuje skanowanie pod kątem złośliwego oprogramowania lub bezpieczeństwa. Wtyczka Wordfence lubi ustawiać to automatycznie na jedną godzinę. Oznacza to, że w razie wątpliwości, co godzinę (!) skanowanie Twojej witryny odbywa się za pomocą automatycznego skryptu (poprzez cronjob). Każdy, kto kiedykolwiek zainstalował na swoim komputerze oprogramowanie antywirusowe, zna opowieści o ogromnych problemach z wydajnością.

Może to być również powód, dla którego "tylko" 2 miliony z ponad 90 milionów pobrań pozostało aktywnych.

Koszty

Na potrzeby tego artykułu oceniliśmy tylko te wtyczki, które są dostępne w wersji darmowej. Niestety, w przypadku wielu wtyczek bezpieczeństwa WordPressa naprawdę przydatne funkcje kosztują co najmniej 80 dolarów rocznie. Jeśli ich nie używasz, często czujesz się niepewnie.

Kiedy wtyczka bezpieczeństwa do WordPressa naprawdę ma sens?

Dla tych, którzy chcą zrobić coś więcej, oto kilka przykładów przypadków, w których wtyczka bezpieczeństwa WordPressa może być przydatna. Te zalecenia dotyczą tylko specjalistycznego hostingu WordPress. Ponieważ środki bezpieczeństwa mogą nie być wdrażane tak szczegółowo i szeroko u innych dostawców, zasadniczo można tam polecić wtyczkę bezpieczeństwa. Jak widzisz, trudno jest sformułować ogólne stwierdzenie na temat przydatności wtyczek bezpieczeństwa, ponieważ wymagania i okoliczności są różne.

Ręczne hakowanie sklepu WooCommerce

Jest to jeden z niewielu przykładów, w których aktywnie polecaliśmy wtyczkę bezpieczeństwa, aby zwiększyć bezpieczeństwo sklepu internetowego. Klient WooCommerce miał wrażenie, że jest atakowany ręcznie, co - jak opisano powyżej - zdarza się bardzo rzadko.

W tym przypadku, był w stanie użyć Wordfence i jego funkcji logowania, aby szybko zidentyfikować adres IP napastnika, a następnie go zablokować. W ten sposób atak mógł zostać skutecznie powstrzymany.

Zagrożone wtyczki

Im większa liczba wtyczek, tym większe prawdopodobieństwo wystąpienia zagrożeń bezpieczeństwa. Szczególnie jeśli do aktualizacji nie używa się żadnego narzędzia, istniejące luki w zabezpieczeniach pozostają niezauważone w systemie przez długi czas i stanowią powierzchnię ataku. Zwłaszcza w przypadku sklepów WooCommerce liczba wtyczek jest zwykle duża, a dane bardziej wrażliwe. Dlatego należy rozważyć zastosowanie wtyczki bezpieczeństwa.

Trzy najlepsze wtyczki bezpieczeństwa dla WordPressa

Poniżej chciałbym krótko wyjaśnić, dlaczego ograniczamy się tylko do trzech wtyczek, a nie przedstawiamy dziesięciu - czy nawet najlepszych 101 wtyczek bezpieczeństwa WordPressa.

W przypadku wtyczek bezpieczeństwa ograniczamy się do TOP 3 wtyczek do WordPressa na świecie. Przyjrzeliśmy się również innym wtyczkom bezpieczeństwa, takim jak All In One WP Security & Firewall, która jest najpopularniejszą czysto darmową wtyczką (bez wersji premium) z liczbą 800 000+. Jednak użyteczność i częściowo zalecane środki nie przekonały nas tutaj. Jednocześnie można go używać tylko na serwerach Apache.

Chodzi o ostatnie metry

Ponieważ traktujemy wtyczki bardziej jako dodatek do już bezpiecznego hostingu WordPress, naszym celem jest pokrycie ostatnich 0,1 procenta ryzyka związanego z bezpieczeństwem. Dlatego ograniczamy się do profesjonalnych wtyczek, które mają bardzo dużą dystrybucję.

Ale ten wybór wtyczek jest również bardzo przydatny dla innych, niewyspecjalizowanych hosterów. Tutaj powinieneś bardziej intensywnie zająć się tematem bezpieczeństwa WordPressa.

Szybkie wsparcie decyzyjne

Jednocześnie ważne jest dla nas, aby zapewnić szybką pomoc w podejmowaniu decyzji. Naszym zdaniem nie jest to już możliwe przy prezentacji dziesięciu wtyczek, ponieważ na koniec wszystkie dziesięć wtyczek musi być ponownie ocenione. Dzięki trzem wtyczkom o różnym przeznaczeniu decyzja jest łatwiejsza.    

Ograniczenie do wtyczek all-in-one

Oczywiście istnieje wiele wtyczek, które przejmują poszczególne funkcje, na przykład ograniczają próby logowania (Limit Login Attempts). Ale również funkcje, które wtyczki oferują tylko w wersji PRO, mogą być rozwiązane za pomocą pojedynczych wtyczek. Najlepszym przykładem jest ta wtyczka do uwierzytelniania dwuskładnikowego. 

Dystrybucja i dane są ważne dla firewalli

Zapory ogniowe stosują pewne reguły, aby wykryć, czy ktoś działa w złym zamiarze, czy tylko odwiedza witrynę. Jeśli ktoś próbuje wejść na stronę, zostaje zablokowany. Zasady te są w szczególności oparte na wiedzy o istniejących lukach w zabezpieczeniach. Jednocześnie łatwiej jest wykryć sieci napastników, gdy w administracji są 2 miliony stron i zablokować je dla wszystkich innych stron, niż gdy jest ich 10 000. Dlatego dystrybucja odgrywa ważną rolę w przypadku wtyczek bezpieczeństwa.

Twoje osobiste ulubione są mile widziane

Nie oznacza to, że nie ma innych świetnych Plugins dla większego bezpieczeństwa WordPress . Zapraszamy do dzielenia się swoimi ulubionymi w komentarzach. W ten sposób zapewniamy jeszcze bardziej równe szanse również dla nowych innowacyjnych podejść.

Trzy najlepsze wtyczki bezpieczeństwa w skrócie

Strona internetowa wtyczekWordfenceiThemes SecuritySucuri
Security
Link do pobraniaPobierzPobierzPobierz
OpcjeTutajTutajTutaj
Aktywne instalacje3+ mln900.000+700.000+
JęzykiAngielski16 językówAngielski, hiszpański
Testowane z najnowszą wersją WordPressTakTakdo 5.3.4
Liczba ocen3,5723,830338
Ocena (pięć gwiazdek)4,84,74,4
Wersja bezpłatnaTakTakTak
Premium (licencja roczna)od 99$od 80 USD $199,99
Usuwanie złośliwego oprogramowania od$286.40nie oferowanyzawarte w licencji

W przeglądzie widać, że każda z wtyczek ma bardzo dużą dystrybucję i jest dobrze oceniana. Niemniej jednak, Wordfence jest niekwestionowanym liderem na rynku, a także jest zrównoważony pod względem stosunku ceny do jakości. W przypadku Sucuri płacisz bezpośrednio za usuwanie złośliwego oprogramowania, ale w tym przypadku ceny mogą wzrosnąć do 500 dolarów rocznie , zwłaszcza ze względu na szybszą obsługę i częstsze skanowanie. Dzięki Wordfence profesjonalne usuwanie złośliwego oprogramowania jest oferowane jako usługa opcjonalna. Wszystko zależy więc od Twoich potrzeb.

Ważne jest, aby wiedzieć, że jest mało prawdopodobne, aby złośliwe oprogramowanie zostało złapane dzięki silnym hasłom użytkownika WP. Dlatego naszym zdaniem nie ma sensu kupować usługi usuwania złośliwego oprogramowania bezpośrednio jako usługi.

W przypadku Wordfencew darmowej wersji znów masz bezpośredni dostęp do całego spektrum działania firewalla, w przeciwieństwie na przykład do iThemes Securitygdzie informacje z sieci są dostępne tylko w wersji PRO.

Ważny punkt, którym również nie należy gardzić: Wordfencejest w naszym przykładzie jedynym niezależnym dostawcąktóry wyspecjalizował się wyłącznie w temacie bezpieczeństwa WordPressa. Sucuri jest teraz częścią grupy GoDaddy, a iThemeszostało kupione przez inną firmę hostingową. Ponadto działają w różnych innych dziedzinach, takich jak rozwój tematyczny. Za Wordfence stoi wyłącznie firma ochroniarska Defiant.

Wnioski pośrednie

Nasze zalecenie dotyczące wtyczek bezpieczeństwa jest więc jednoznaczne: Wordfence. Wtyczka już w wersji darmowej oferuje kompleksowy firewall i koncentruje się na dwóch podstawowych zagadnieniach, które powinna zapewniać wtyczka bezpieczeństwa: firewallu i skanowaniu bezpieczeństwa.

Ponadto, jest on skonfigurowany szybko, utrzymany w przejrzystości i nie dezorientuje, jak to się dzieje w przypadku innych Plugins ze zbyt technicznymi informacjami.

Aby uniknąć problemów z wydajnością, wśród opcji skanowania należy użyć "Low Resource Scanning". Ponieważ adresy IP są przetwarzane, powinieneś użyć Wordfence zamknąć AV.

W dalszej części omówię szczegółowo poszczególne podstawowe obszary bezpieczeństwaPlugins , aby wyjaśnić różnice pomiędzy Plugins .

Najważniejsze cechy Plugin w porównaniu

Monitorowanie i skanowanie

 WordfenceiThemes SecuritySucuri
Skany bezpieczeństwaTakTakTak
Zaplanowane skanowanie zabezpieczeńTylko wersja Pro
Tylko wersja ProTylko wersja Pro
Identyfikacja złośliwego oprogramowaniaTakTakTak
    
Identyfikacja anomalii w zakresie bezpieczeństwaTakTakTak
Monitorowanie czarnej listyTylko Google Safe BrowsingSprawdzenie statusu czarnej listyTak
Zmiany w plikachTakTakTak
    
Monitorowanie DNSTakNiejasneTak
Monitorowanie SSLNieTakTak
PowiadomieniaTakTakTak
    
Kontrola spamuTylko wersja Pro
TakTak
Dzienniki bezpieczeństwaTakTakPodstawowy

Istotną częścią bezpieczeństwaPlugins jest sprawdzenie, czy witryna nie została naruszona. Ponieważ każdy sprzedawca Plugin w zasadzie używa różnych nazw dla tych samych treści i inaczej je prezentuje, bardzo trudno jest dokonać rozsądnego porównania. Powyższa tabela powinna zapewnić przegląd sytuacji w tym zakresie.

Każda strona Plugin oferuje funkcję skanowania

Na przykład, skanowanie bezpieczeństwa, identyfikacja złośliwego oprogramowania, identyfikacja anomalii bezpieczeństwa lub zmiany w plikach są często wymieniane oddzielnie, ale oznaczają to samo. Porównanie plików jest wykorzystywane do sprawdzenia, czy na stronie nie znajduje się złośliwe oprogramowanie. Z naszego doświadczenia wynika, że jest całkiem możliwe, że niepozorny test na Sucuri może nadal oznaczać, że na stronie znajduje się złośliwe oprogramowanie, jeśli przeprowadzi się bardziej szczegółowe skanowanie lub przyjrzy się poszczególnym plikom.

Sprawdzenie pod kątem złośliwego oprogramowania: Witryna jest czysta
iThemes Security wykorzystuje tutaj API firmy Sucuri.

Bezpieczeństwo iThemes po prostu używa API Sucuri. W rezultacie otrzymujesz zarówno Sucuri jak i iThemes nic poza bezpłatne sprawdzenie stronyktóre można również znaleźć na stronie internetowej Sucuri.

Różnice w monitorowaniu czarnych list

Oprócz skanowania, ważnym czynnikiem jest monitorowanie czarnych list, szczególnie w przypadku opisanych powyżej strat rankingowych. Tutaj sprawdza Wordfence zgodnie z własną prezentacją sprawdza jedynie Status Google Safe Browsing. Jeśli jakaś strona się tu pojawi, to w zasadzie jest już za późno. Strona najprawdopodobniej zostanie wyrzucona z wyników wyszukiwania w pierwszej kolejności. Bezpieczeństwo iThemes oraz Sucuri sprawdź kilka czarnych list bezpośrednio tutaj. Wynik jest wciąż taki sam. Jeśli strona pojawia się na czarnych listach, jest już za późno. Właśnie po to, aby temu zapobiec, wykonuje się te skany.

Sprawdzenie Securi: nie ma na czarnej liście
Rozszerzone sprawdzanie czarnych list dostępne jest na stronie Wordfence tylko w wersji Premium.

Rozszerzona kontrola czarnej listy jest dostępna tylko w przypadku Wordfence dostępne tylko w wersji Premium. Tutaj sprawdzany jest również punkt spamu reklamowego, który może być łatwo rozpoznany na zewnątrz i jest ważny dla Google.

Niska przydatność monitorowania DNS

Cechy monitoringu DNS i SSL uważamy za mało istotne. Nie jest nam znany ani jeden przypadek, w którym zmiany DNS lub zmiany SSL zostały dokonane w celu zbadania działalności przestępczej.

Wordfence wyniki z logami bezpieczeństwa

Podstawą bezpieczeństwaPlugins powinno być rozsądne wyświetlanie loginów. Tak jest w przypadku wszystkich stron Plugins . Wordfence idzie o kilka kroków do przodu dzięki monitorowaniu ruchu na żywo. Rozpoznawane są nie tylko loginy, ale również ruch w sieci jest odpowiednio kategoryzowany. W ten sposób można śledzić aktywność crawlerów i zachowanie odwiedzających pod kątem bezpieczeństwa. Narzędzie to jest więc idealne do zapobiegania np. włamaniom ręcznym.

Wordfence Ruch na żywo
Wordfence jest tu o kilka kroków do przodu dzięki monitorowaniu ruchu na żywo.

Zakończenie w tej kategorii

Jakość skanowania jest trudna do ocenienia i musiałaby być oceniona poprzez testy. iThemes Security i Sucuri mają lepsze monitorowanie czarnych list. Skanowanie powinno jednak sprawić, że strona i tak nie trafi na czarną listę. Jeśli chodzi o monitorowanie, funkcja ruchu na żywo w Wordfence to duży plus.

Ochrona w połączeniu z zaporami sieciowymi

 WordfenceiThemes SecuritySucuri
Web Application Firewall (WAF)ZastrzeżoneWykrywanie 404Tak
System wykrywania włamań (IDS)TakNieTak
Ochrona przed DDoSNieNieTak
Brute Force OchronaTakTakTak
Blokada prób włamaniaTakCzęściowoTak
Exploits Zero-dayNiejasneNieTak
Pojedyncza osłona bocznaNieNieTak
Heurystyczny algorytm korelacjiNiejasneNie 
Load Balancing / FailoverNieTakTak
blokowanie krajuTakNieNie
Zaawansowane blokowanie ręczneTakNieNie

iThemes bez odpowiedniej zapory sieciowej

Jeśli chodzi o zapory sieciowe, różnice między Plugins są szczególnie wyraźne. Podejście do tematu jest tu zasadniczo różne. Ściśle rzecz biorąc iThemes-Security nie używa prawdziwego firewalla. Można nazwać podejściem 404-detekcja-approach pierwszym podejściem. Tutaj sprawdzane jest czy crawler generuje dużo błędów 404 i czy jest blokowany.

Sucuri wraz z pełnym CDN

a także mając na uwadze, co następuje Wordfence do korzystania z zapory wystarczy zainstalować tylko jedną stronę Plugin , z Sucuri musisz zmienić serwer nazw lub rekord A w ustawieniach DNS. Do tego jest to rozwiązanie całkowicie oparte na chmurze, w tym CDN (content delivery network), które może również zapobiegać atakom DDoS. W ataku DDoS botnet jest często wykorzystywany do ostrzeliwania strony żądaniami aż do momentu, gdy strona przestanie być dostępna, ponieważ serwer się poddaje.

Wyjaśnienie ataków DDoS

Czym dokładnie jest atak DDoS i jak można mu skutecznie zapobiegać, pokazuje Nick Schäferhoff w swoim artykule.

Strona SucuriPodejście to oznacza również, że działa z load balancerami w przeciwieństwie do Wordfence działa z load balancerami. Ogólnie rzecz biorąc, z Sucuri jest raczej terminem marketingowym, takim jak "Heuristic Correlation Algorithm", i nie jest jasne, czy jest to rzeczywista wartość dodana, ponieważ Wordfence przypuszczalnie działa również z metodami heurystycznymi. Jednak ci, którzy potrzebują tylko CDN, mogą również wdrożyć je bezpłatnie poprzez Cloudflare .

Wordfence z większą ilością opcji konfiguracyjnych

Na stronie Sucuri wiele rzeczy działa automatycznie i bez ingerencji użytkownika. Ale tutaj najwyraźniej mniej można skonfigurować. Więc możesz zablokować Wordfence jawnie blokować IP poszczególnych krajów, możliwe jest również blokowanie ręczne. Jest to szczególnie pomocne w przypadku ręcznych hacków.

WordPress Środki bezpieczeństwa

 WordfenceiThemes SecuritySucuri
Kopie zapasowe baz danychNieTakNie
WordPress zwiększają bezpieczeństwoNieTakNie
Ukrywanie informacjiNieTakNie
Ochrona przed pisaniemNieTakNie
Zarządzanie hasłamiNieTakNie
Uwierzytelnianie dwuskładnikowePremiumPremiumNie

Bezpieczeństwo iThemes koncentruje się na środkach bezpieczeństwa w ramach WordPress , jak pokazano w tabeli. W sumie opracowano 30 różnych punktów, z których większość ma duży sens. Wiele z tych punktów jest więc już uwzględnionych w naszym hostingu.

Bezpieczeństwo iThemes jest więc świetnym sposobem na dodanie większego bezpieczeństwa na poziomie WordPress do "niezbyt bezpiecznego" hostingu ogólnego. Darmowa wersja oferuje już szeroką ochronę. W przypadku wersji premium należy zwrócić uwagę na uwierzytelnianie 2-factor.

Synchronizacja i poprawki wprowadzone przez n17t01 Wordfence oraz Sucuri skupić się na "osłonie" strony. Czy są one raczej słabe w tych punktach.

Usuwanie złośliwego oprogramowania i wydajności

 WordfenceiThemes SecuritySucuri
Czyszczenie hacków i usuwanie złośliwego oprogramowaniaOpcjonalnieNie do wyśledzeniaOpcjonalnie
Usuwanie ostrzeżeń z czarnej listyOpcjonalnieNie do wyśledzeniaOpcjonalnie
Malware Removal Request LimitOpcjonalnieNie do wyśledzeniaOpcjonalnie
Automatyczne czyszczenieCzęściowoNie do wyśledzeniaCzęściowo
Security Analyst EskalationOpcjonalnieNie do wyśledzeniaOpcjonalnie
Pełne czyszczenie strony internetowejOpcjonalnieNie do wyśledzeniaOpcjonalnie
Usuwanie luk w zabezpieczeniachOpcjonalnieNie do wyśledzeniaOpcjonalnie
Kopie zapasoweNieNie do wyśledzeniaTak
Raport po czyszczeniuOpcjonalnieNie do wyśledzeniaOpcjonalnie
Pełny dziennik i raport o incydencieOpcjonalnieNie do wyśledzeniaOpcjonalnie
Postępowanie po wystąpieniu przyczyny źródłowejOpcjonalnieNie do wyśledzeniaOpcjonalnie

Na koniec przyjrzyjmy się usuwaniu złośliwego oprogramowania. Oto ceny na Sucuri oraz Wordfence są podobne. Za szybsze przetwarzanie danych obie firmy pobierają dodatkowe opłaty. Oferowane tu usługi są identyczne. Na stronie iThemes Nie udało mi się odkryć usługi usuwania złośliwego oprogramowania. Usuwanie złośliwego oprogramowania może trwać 2-3 godziny, z dużymi wahaniami. Ponieważ zajmujemy się również usuwaniem złośliwego oprogramowania, ceny są uczciwe.

A co z wydajnością?

Na koniec uwaga na temat wydajności. Nie spodziewalibyście się tego po porównywarce zabezpieczeńPlugin. Ale ponieważ Sucuri oferuje CDN i firewall w jednym, może być poprawa wydajności, zwłaszcza dla międzynarodowych gości. Dzięki CDN strona jest zawsze dostarczana z następnego serwera, co ma zalety szczególnie dla zagranicznych gości. Jednak dla sklepu WooCommerce z niewielką ilością cache'owanej treści jest to mniej istotne.

Nasz wniosek

Jaki jest więc ogólny wniosek na temat bezpieczeństwa WordPressa? Nasz osobisty wniosek można podsumować następującym faktem: Nie używamy wtyczki bezpieczeństwa na naszej stronie Raidboxes. Nigdy nie używaliśmy wtyczek bezpieczeństwa i nie mieliśmy żadnych problemów. Wszystko to pomimo faktu, że nasza strona internetowa ma dla nas absolutnie kluczowe znaczenie. Jednak obszerne dane klientów nie są przechowywane na naszej stronie internetowej WordPress. Dla nas ryzyko utraty wydajności z powodu intensywnego skanowania było zbyt duże, a wady przewyższały korzyści.

Niemniej jednak, firewall zwiększa bezpieczeństwo strony. Dlatego, jeśli chcesz osiągnąć maksymalne bezpieczeństwo i zaakceptować wady w zakresie wydajności i czasu, powinieneś użyć zabezpieczeniaPlugin .

Szczególnie dla WooCommerce-Sklepów lub zagrożonych witryn, które mogły już mieć problemy ze złośliwym oprogramowaniem, przydatna może być WordPress -Security-Plugin . Nasze zalecenie jest zatem następujące:

Wordfence jako najlepsze darmowe rozwiązanie

Kto chce naprawdę bardzo solidny firewall z rozbudowanym monitoringiem, jest z Wordfence jest bardzo dobrze obsługiwany. Nie bez powodu jest to najpopularniejsza strona bezpieczeństwaPlugin na świecie. Wersja Premium bardzo precyzyjnie i sensownie uzupełnia funkcjonalność. Podczas wdrażania należy upewnić się, że procesy skanowania są prawidłowo skonfigurowane, aby zapobiec problemom z wydajnością.

Bezpieczeństwo iThemes dla ogólnych hostów

Bezpieczeństwo iThemes wykonuje naprawdę przydatne zabezpieczenia na stronie, zwłaszcza WordPress . Dla ogólnych hosterów jest to świetny sposób, aby zwiększyć poziom bezpieczeństwa bez rozbudowanych skanowania i firewall nawet w wersji darmowej.

Sucuri dla osób zainteresowanych CDN

Dla osób, które mimo wszystko zastanawiają się nad skorzystaniem z CDN i dla których temat ataków DDoS powinien być istotny, polecamy Sucuri jest zalecane. Jedyne co pozostaje to nieco mdły posmak korporacji Godaddy.

Jak dużego ( zdaniem Ciebie) bezpieczeństwa potrzebujesz?

Jak podchodzisz do kwestii bezpieczeństwa WordPress ? Czy polegasz na zabezpieczeniach swojego hostingodawcy, czy tylko bezpieczeństwo -Plugin pozwala Ci spać spokojnie? Jak zawsze, czekamy na Wasze komentarze!