Segurança do WordPress: Quão úteis são realmente os plugins de segurança?

Johannes Benz Última atualização 11.03.2021
16 min.
WordPress Sicherheit Security Plugins

Entretanto, mais de 38% de todos os sites correm em WordPress. Isto faz do nosso CMS favorito um alvo popular de hackers e malware. Mas é preciso entrar em pânico, porque a segurança do WordPress não é algo muito complicado. Além de dicas práticas de segurança, hoje vou mostrar-te os três melhores plugins de segurança do WordPress e quando realmente precisas deles.

Preciso mesmo de um plugin de segurança? Esta é uma pergunta que nos é feita regularmente no suporte. No artigo seguinte gostaria de te mostrar a mais-valia de um plugin de segurança para a segurança do teu site WordPress e quando é realmente útil usar um.

Na segunda parte, vamos comparamos os três mais populares de plugins de segurança WordPress para te dar uma rápida visão geral. Desta forma, podes tomar uma decisão rápida e direcionada e depois dedicar-te ao essencial: o teu negócio.

Porque é que a segurança do WordPress é tão decisiva

Basicamente, há três razões principais pelas quais deves lidar ativamente com a segurança do teu site WordPress e não enterrar cabeça na areia.

#1 O teu site pode ficar inutilizável

Há alguns anos, ainda estávamos no negócio de agência. Acontece que fomos autorizados a fazer uma reformulação completa de um site, porque o site original tinha ficado inutilizável devido a problemas de segurança que poderiam ter sido evitados.

Agora, alguém que instala malware em páginas, normalmente não está interessado em destruí-las. Afinal, o atacante quer enviar spam, direcionar visitantes para páginas de spam, incorporar anúncios ou gerar moeda criptográfica. Para além da restrição geral da funcionalidade do teu site, o malware também pode levar a problemas significativos de desempenho.

#2 Ficar na lista negra e cair nas classificações do Google

Uma questão ainda mais séria nos dias de hoje é a colocação do domínio na lista negra, especialmente pelo Google ou Norton. Se o Google colocar o teu site na lista negra, isto significa, na pior das hipóteses, que o teu site será removido dos resultados de pesquisa do Google.

É possível reenviar uma verificação da página após uma infeção por malware. No entanto, isto não garante que terás as tuas classificações anteriores de volta. Especialmente para palavras-chavede dinheiro importantes ou tráfego orgânico elevado, isto pode ter graves consequências económicas.

#3 Perda de dados

Especialmente em tempos do RGPD, onde o tema da proteção de dados atingiu uma nova dimensão, é importante proteger os dados dos teus e tuas utilizadoras. Embora isto seja menos importante num site normal de uma empresa, é mais dramático num um site de loja se as informações de pagamento não forem suficientemente protegidas.

Ameaças típicas à segurança do teu site WP

Ataques de força bruta na área de login
No caso de um ataque de força bruta um grande número de combinações de passwords são automaticamente tentadas para obter acesso ao site através do login /wp-admin do WordPress. Uma vez conseguido e o/a utilizador/a WordPress tenha direitos de administração, o site fica quase completamente sob o controlo do atacante.

A nossa experiência com a RAIDBOXES mostra que ao usares uma password forte e tentativas de login limitadas, quase todos os casos de malware podem ser evitados. Vou falar um pouco mais sobre isto a seguir.

Exploração automatizada de lacunas de segurança
Injeções SQL ou Cross-Site-Scripting.

Ataques manuais
É claro que também é possível explorar manualmente uma vulnerabilidade de segurança. No entanto, isto é bastante raro, pois o esforço só valeria a pena para grandes lojas WooCommerce onde, por exemplo, os dados de pagamento poderiam ser realmente roubados.

8 medidas de segurança que fornecemos enquanto host

Basicamente, o alojamento especializado do WordPress pode aumentar significativamente a segurança do teu site. Ao longo dos anos, temos continuamente expandido o conceito de segurança da RAIDBOXES, de modo que os casos de malware se têm tornado uma raridade. Especialmente a análise detalhada de casos de malware ajuda a detetar falhas de segurança frequentemente utilizadas e a preveni-las com medidas apropriadas.

#1 Passwords fortes - a medida de segurança mais importante de todas

Uma das medidas de segurança mais importantes é uma password forte para todos os/as utilizadores/as do WordPress. Infelizmente, como host, temos apenas uma influência limitada na atribuição da password, especialmente no caso de migrações. A aplicação de uma password forte ao criar uma BOX (site do WordPress) levou a uma redução significativa de casos de malware.

Forçar uma senha forte ao criar uma WordPress página da Web
A aplicação de uma password forte ao criar um site WordPress levou a uma redução significativa de casos de malware.
Lembrete

Uma password deve ser composta de números, carateres especiais e letras minúsculas com um comprimento mínimo de sete carateres. Se este não for o caso dos teus e tuas utilizadoras do WordPress, deves definitivamente levar a cabo o passo 1 e mudar as tuas passwords imediatamente.

#2 Proteção contra ataques de força bruta

Quase um bilhão de vezes por mês os sites são alvos de ataques de força bruta como os descritos acima. Ótimo se o teu host de WordPress já tratou disso. O nosso RB Login Protector muda para a tua área de login WP e coloca em lista negra' endereços de IP que repetidamente tentam fazer login com credenciais de login falsas.

Nas configurações da tua BOX podes definir exatamente após quantas tentativas de login esse bloqueio deve ter efeito e por quanto tempo os IPs em questão são bloqueados. Em combinação com uma password forte, é praticamente impossível ter-se acesso ao site desta forma.

#3 Apagador de Sessão WP

De acordo com RGPD, deves armazenar o mínimo possível de dados. Nós ajudamos-te com isso! A nossa ferramenta para maior economia de dados - o Apagador de Sessão WordPress - apaga as sessões WordPress de todos os teus e tuas utilizadoras da base de dados após um intervalo definido. Podes definir este intervalo individualmente para cada BOX nas configurações da tua BOX no nosso painel de controle.

#4 Bloqueio do XML-RPC por defeito

XML-RPC é uma interface que está disponível em todas os sites do WP desde WordPress 3.5. Uma vez que a grande maioria dos webmasters não usa XML-RPC de qualquer forma, faz sentido desativar esta interface. Isto porque os hackers podem atacar diretamente o teu site via XML-RPC.

Por este motivo, o XML-RPC está agora bloqueado por defeito e pode ser ativado através das definições no painel de controle da RAIDBOXES.

Bloqueador XML-RPC
Por este motivo, o XML-RPC está agora bloqueado por defeito e pode ser ativado através das definições no painel de controle da RAIDBOXES.

#5 Atualizações de segurança geridas a partir do WordPress

Naturalmente, a atualização do WordPress é muito importante. A cada 2-3 meses são lançadas novas versões de WordPress. Especialmente as atualizações de manutenção colmatam importantes lacunas de segurança. Estas atualizações devem ser instaladas imediatamente.

As grandes atualizações geralmente envolvem grandes mudanças de código, e é por isso que podem ocorrer incompatibilidades. A fim de dar aos fabricantes de temas e plugins tempo suficiente, nós lançamos sempre grandes atualizações no nosso sistema após 14 dias. Naturalmente, fornecemos imediatamente a última versão do WordPress para atualização manual. Claro, é importante que faças sempre uma cópia de segurança do teu site antes de o atualizares!

#6 Proteção seletiva contra gravação - medidas de proteção do WordPress

Um foco do plugin de segurança iThemes Security é tornar o WordPress mais seguro, protegendo os ficheiros. Isto também está selectivamente integrado connosco. Isto torna mais difícil infetar elementos da página e torná-los inutilizáveis. Aqui, tem de ser sempre criado um equilíbrio razoável entre flexibilidade e segurança. Nós mantemos isso através de opções de configuração diretamente através da interface de utilizador da RAIDBOXES .

Prevenir mudanças de arquivo em WordPress
Além disso, também usamos WordPress Best-Case-Practices onde elas fazem sentido. Um exemplo é renomear o prefixo da base de dados do WordPress.

Além disso, também usamos WordPress Best-Case-Practices onde elas fazem sentido. Um exemplo é renomear o prefixo da base de dados do WordPress. Isto não está acessível através do wp padrão. Por outro lado, a renomeação da pasta WP-Content, como oferece o iThemes Security tem demonstrado conduzir a erros, uma vez que plugins e temas não conseguem como lidar com isto.

#7 Atualizações de plugins geridas do WordPress

Agora é necessário fechar a última grande porta de entrada contra ataques: plugins não atualizados. Tal como no próprio WordPress, as lacunas de segurança podem ocorrer com plugins e temas. Nem todos os updates incluem funcionalidades de segurança. No entanto, se todos os plugins estiverem atualizados, a probabilidade de vulnerabilidades de segurança é significativamente menor.

Como esta funcionalidade em particular poupa muito tempo, está incluída na nossa tarifa Fully Managed por 30 euros (líquidos). Como leitor/a deste artigo no blogue, podes tirar proveito da tarifa permanentemente por apenas 20 euros no seguinte link no checkout: Especial Fully Managed.

#8 Medidas do lado do servidor

Todas as medidas referidas acima protegem o próprio WordPress. Além disso, é claro que existe uma lista quase infinita de medidas de segurança que envolvem o próprio servidor. Isto começa com as atualizações do Linux e termina com a atualização regular do PHP como base do WordPress. Nós tratamos da atualização automática das versões desatualizadas do PHP (naturalmente com tempo de execução e tempo para testes apropriados) sem que tu mesmo tenhas de tratar disso.

Desvantagens dos plugins de segurança

Dito isso, gostaria agora de abordar brevemente as desvantagens dos plugins de segurança. Estes não são, em parte, insignificantes, em particular no que diz respeito aos aspetos temporais.

Esforço de instalação

Se achas que simplesmente instalar um plugin é suficiente, estás enganado. Infelizmente, a criação de um plugin de segurança também requer certos conhecimentos.

Usando o exemplo do plugin All-in-One-Security, isto torna-se muito claro. É um dos plugins gratuitos mais populares, que faz uso extensivo do ficheiro .htaccess. No entanto, o plugin não é compatível com o conceito de .htaccess e é utilizado no ambiente WordPress devido à sua flexibilidade.

Além disso, embora as medidas de segurança estejam divididas em níveis de dificuldade, o que faz muito sentido, muitas das medidas oferecidas pelo plugin fazem mesnos sentido. A fim de avaliar adequadamente a necessidade das várias medidas, é inevitável que te familiarizes com a questão da segurança.

Manutenção e perceção de (in)segurança

Para o nosso teste, instalámos vários plugins de segurança. Um dos plugins usou automaticamente um endereço de e-mail da equipa armazenado no WordPress e começou a enviar vários e-mails. Para grande alegria de todos os membros da equipa...

Infelizmente, isto não é de todo invulgar. É claro que uma pessoa quer estar informado/a sobre certos aspetos. No entanto, frequentemente, somos notificados de coisas que não representam qualquer risco de segurança. No final, sentes-te mais inseguro do que antes, porque és informad, por exemplo, sobre cada mudança de ficheiro e, em caso de dúvida, tens de verificar.

Problemas de desempenho

Por defeito, cada um dos plugins oferece uma verificação de malware ou segurança. O plugin Wordfence define isto automaticamente em uma hora. Isto significa que em caso de dúvida a cada hora (!) um scan do teu site passa por um script automático (via cronjob). Qualquer pessoa que já tenha instalado software antivírus no seu computador conhece o sofrimento dos problemas de desempenho por vezes maciços.

Esta também pode ser uma razão pela qual "apenas" 2 milhões de mais de 90 milhões de downloads permaneceram ativos no final.

Custos

Para a pesquisa deste artigo avaliámos apenas plugins, que também estão disponíveis numa versão gratuita. No entanto, infelizmente muitos plugins de segurança do WordPress com recursos realmente úteis custam pelo menos 80 dólares por ano. Se não os usas, ficas muitas vezes com um sentimento de insegurança.

Quando é que um plugin de segurança WordPress faz realmente sentido?

Para quem queira ir mais além, aqui estão alguns exemplos de casos em que um plugin pode ser útil para a segurança do WordPress. Estas recomendações só se aplicam ao alojamento WordPress especializado. Uma vez que com outros fornecedores as medidas de segurança podem não ser implementadas de forma tão específica e extensiva, um plugin de segurança pode ser geralmente recomendado nesse caso. Como podes ver, dificilmente é possível fazer uma declaração geral sobre a utilidade dos plugins de segurança, já que os requisitos e as circunstâncias são diferentes.

Hacking manual na loja WooCommerce

Este é um dos poucos exemplos em que realmente recomendamos um plugin de segurança para aumentar a segurança da loja online. O/A cliente WooCommerce teve a impressão de que estava a ser atacado manualmente, o que, como descrito acima, é muito raro.

Neste caso, ele foi capaz de usar Wordfence e sua funcionalidade de login para identificar rapidamente o endereço IP do atacante e depois bloqueá-lo. O ataque pôde, assim, ser eficazmente travado.

Plugins ameaçados

Quanto maior for o número de plugins, maior será a probabilidade de riscos de segurança. Em particular, se não for usada nenhuma ferramenta para atualização, as lacunas de segurança existentes passam despercebidas no sistema por um longo período de tempo e oferecem uma superfície de ataque. Especialmente nas lojas WooCommerce, o número de plugins é normalmente elevado e os dados também são mais sensíveis. Como tal, deve ser aqui considerado um plugin de segurança.

Os três melhores plugins de segurança para WordPress

A seguir, gostaria de explicar brevemente porque nos limitamos a apresentar apenas três plugins e não dez - ou mesmo os melhores 101 plugins de segurança do WordPress.

Em relação aos plugins de segurança limitamo-nos ao TOP 3 dos plugins do WordPress de todo o mundo. Também olhámos para outros plugins de segurança, como por exemplo, All In One WP Security & Firewall que é o mais popular, completamente gratuito (sem a versão premium) e com mais de 800.000 utilizadores/as. No entanto, não ficámos convencidos da usabilidade e, em parte, das medidas recomendadas. Ao mesmo tempo, é aplicável apenas a servidores web Apache.

Trata-se dos últimos metros

Como vemos os plugins mais como um complemento a um já seguro alojamento do WordPress, o objetivo é cobrir os últimos 0,1 por cento de risco de segurança. Assim, limitamo-nos a plugins profissionais, que têm uma distribuição muito alta.

No entanto, esta seleção de lugins é também altamente relevante para outros hosts não-especializados. Aqui deves ter mais atenção à questão da segurança do WordPress.

Apoio a uma decisão rápida

Ao mesmo tempo, é importante para nós fornecer uma ajuda rápida para a tomada de decisões. Na nossa opinião, isto já não é possível com uma apresentação de dez plugins, uma vez que então todos os dez plugins têm de ser novamente avaliados novamente. Com três plugins com foco diferente, a decisão torna-se mais fácil.    

Restrição a plugins tudo-em-um

É claro que existem inúmeros plugins que assumem grandes funcionalidades individuais, como por exemplo limitar as tentativas de login (Limit Login Attempts). Mas também funcionalidades que os plugins só oferecem nas versões PRO podem ser resolvidas através de plugins individuais. O melhor exemplo é este plugin para autenticação de dois factores.

A distribuição e os dados são importantes nos firewalls

Os firewalls aplicam certas regras para detetar se alguém está a agir maliciosamente ou apenas a visitar o site. Se alguém tentar entrar no site, é bloqueado. Em particular, as regras são baseadas no conhecimento das vulnerabilidades existentes. Ao mesmo tempo, as redes de atacantes podem ser melhor detectadas com 2 milhões de páginas na administração e bloqueadas para todas as outras páginas do que com 10.000 páginas. Por conseguinte, a distribuição desempenha um papel importante para os plugins de segurança.

Os teus favoritos são bem-vindos

Isto não significa que não existam outros grandes plugins para mais segurança do WordPress. Está à vontade para partilhares nos comentários os teus favoritos. Desta forma, garantimos ainda mais igualdade de oportunidades também para novas abordagens inovadoras.

Os três melhores plugins de segurança em resumo

Site do pluginWordfenceiThemes SecuritySucuri
Security
Link para downloadDownloadDownloadDownload
FuncionalidadesAquiAquiAqui
Instalações ativas+3 milhões900.000+700.000+
LínguasInglês16 línguasInglês, Espanhol
Testado com a última versão do WordPressSimSimaté 5.3.4
Número de avaliações3,5723,830338
Avaliação (cinco estrelas)4,84,74,4
Versão gratuitaSimSimSim
Premium (licença anual)a partir de $99a partir de $80 $199,99
Remoção de malware a partir de$286.40Não oferecidaIncluída na licença

Na visão geral, é claro que cada um dos plugins tem uma distribuição muito alta e está bem classificado. No obstante, Wordfence é o líder indiscutível do mercado e também equilibrado em termos de relação preço-desempenho. Com o Sucuri pagas diretamente pela remoção do malware. Aqui, contudo, os preços podem subir para os 500 dólares por ano , especialmente com um serviço mais rápido e scans mais frequentes. Com o Wordfence a remoção profissional de malware é oferecida como serviço opcional. Portanto, tudo depende das tuas necessidades.

É importante saber que é bastante improvável apanhar malware com passwords de utilizador WP fortes. Na nossa opinião, faz pouco sentido, portanto, comprar diretamente a remoção de malware como serviço.

Com o Wordfence obténs acesso direto a todo o espetro do firewall na versão gratuita, ao contrário, por exemplo, do iThemes Security em que a informação da rede só está acessível na versão PRO.

Um ponto importante para não desdenhar de nenhum dos dois: Wordfence no nosso exemplo, é o único fornecedor independenteque se especializou apenas no tema da segurança do WordPress. Sucuri pertence ao grupo GoDaddy e iThemes foi também comprado por outra empresa de alojamento. Eles também estão ativos em várias outras áreas, tais como desenvolvimento de temas. Atrás do Wordfence está exclusivamente a empresa de segurança Defiant.

Conclusão provisória

A nossa recomendação de plugin de segurança é, portanto, bastante clara: Wordfence. O plugin já oferece um firewall abrangente na versão gratuita e concentra-se nos dois tópicos principais que um plugin de segurança deve fornecer: um firewall e scan de segurança.

Além disso, é rápido de configurar, é claro e não causa incertezas, como é o caso de outros plugins com informações muito técnicas.

Para evitar problemas de desempenho, deve ser usado "Low Resource Scanning" entre as opções de scan. Uma vez que os endereços IP são processados, deves fechar um AV com o Wordfence.

A seguir falar mais detalhadamente sobre as áreas centrais individuais de um plugin de segurança, a fim de deixar claras as diferenças entre os plugins.

As características mais importantes dos plugins em comparação

Monitorização e scans

 WordfenceiThemes SecuritySucuri
Scans de segurançaSimSimSim
Scans de segurança programadosApenas versão
Pro
Apenas versão ProApenas versão Pro
Identificação de malwaresSimSimSim
    
Identificação de anomalias de segurançaSimSimSim
Monitorização da lista negraApenas Google Safe BrowsingVerificação do status da lista negraSim
Alterações de ficheirosSimSimSim
    
Monitorização DNSSimPouco claroSim
Monitorização SSLNãoSimSim
NotificaçõesSimSimSim
    
Verificação de spamApenas versão
Pro
SimSim
Logs de segurançaSimSimBásico

Uma parte essencial de um plugin de segurança é verificar se o site foi comprometido. Como cada fabricante de plugin basicamente usa nomes diferentes para o mesmo conteúdo e o apresenta de forma diferente, é muito difícil fazer uma comparação razoável. A tabela acima deve dar uma ideia.

Cada plugin oferece uma funcionalidade de scan

Por exemplo, scans de segurança, identificação de malware, identificação de anomalias de segurança ou alterações de ficheiros são frequentemente listadas separadamente, mas significam a mesma coisa. A comparação de ficheiros é usada para verificar se o malware está presente na página. Pela nossa experiência, pode acontecer que um teste impercetível com Sucuri ainda signifique que o malware pode ser encontrado na página se for realizado um scan mais detalhado ou uma dada uma olhadela nos ficheiros individuais.

Verificação de malwares: Site está limpo
O iThemes Security faz aqui uso do API da Sucuri.

O iThemes Security utiliza simplesmente o API do Sucuri. Como resultado, recebes tanto com Sucuri como com iThemes nada mais que a verificação gratuita do site, que também pode ser encontrada no site do Sucuri.

Diferenças na monitorização da lista negra

Além dos scans, a monitorização da lista negra é um fator importante, especialmente para a perda de classificação descrita acima. Aqui o Wordfence verifica de acordo com a sua própria apresentação apenas o Google Safe Browsing Status. Se aparecer aqui um site, basicamente já é tarde demais. É muito provável que o site seja primeiramente expulso dos resultados de busca. O iThemes Security e o Sucuri verificam várias listas negras diretamente aqui. O resultado é, no entanto, o mesmo. Se o site aparecer nas listas negras, já é tarde demais. Exatamente para evitar isto, são feitos estes scans.

Verificação Securi: não está na lista negra
Uma verificação ampliada da lista negra está disponível com o Wordfence apenas na versão premium.

Uma verificação ampliada da lista negra está disponível no Wordfence apenas na versão premium. Aqui também é verificada a questão da publicidade de spam, que pode ser facilmente reconhecida externamente e é importante para o Google.

Baixa relevância da monitorização DNS

Consideramos que as características da monitorização DNS e SSL são pouco relevantes. Não temos conhecimento de um único caso em que tenham sido feitas alterações no DNS ou no SSL para investigar atividades criminosas.

O Wordfence pontua com os Security Logs

A base de um plugin de segurança deve ser exibir os logins de forma sensata. Este é o caso de todos os plugins. O Wordfence vai alguns passos à frente com a sua monitorização de tráfego ao vivo. Não só os logins são reconhecidos, como o tráfego é categorizado de acordo. Desta forma, as atividades dos crawlers e o comportamento dos/as visitantes podem ser seguidos no que diz respeito aos aspetos de segurança. A ferramenta é, portanto, ideal para evitar os hacks manuais, por exemplo.

Wordfence Tráfego ao vivo
O Wordfence está alguns passos à frente aqui com a sua monitorização de tráfego ao vivo.

Conclusão nesta categoria

A qualidade do scan é difícil de julgar e teria que ser avaliada através de casos de teste. iThemes Security e Sucuri têm melhor monitorização da lista negra. No entanto, o scan deve evitar que a página acabe na lista negra. Quando se trata de monitorização, a funcionalidade de tráfego ao vivo do Wordfence é uma grande vantagem.

Proteção em combinação com firewalls

 WordfenceiThemes SecuritySucuri
Web Application Firewall (WAF)Limitado404-detectionSim
Intrusion Detection System (IDS)SimNãoSim
Proteção DDoSNãoNãoSim
Proteção contra força brutaSimSimSim
Bloqueio de tentativas de hackingSimParcialSim
Proteção Zero-day ExploitsPouco claroNãoSim
Proteção lateral únicaNãoNãoSim
Heuristic Correlation AlgorythmusPouco claroNão 
Load Balancing / FailoverNãoSimSim
Bloqueio de paísesSimNãoNão
Bloqueio manual avançadoSimNãoNão

iTemes sem firewall adequado

Quando se trata de firewalls, as diferenças entre os plugins são particularmente claras. As abordagens ao tema são fundamentalmente diferentes. A rigor iThemes-Security não usa um firewall verdadeiro. Em algumas abordagens, a abordagem de deteção 404 pode ser descrita como uma primeira abordagem. Isso verifica se um crawler gera e bloqueia muitos erros 404.

Sucuri incluindo CDN completo

Considerando que para Wordfence só tem de ser instalado um plugin para usar o firewall, com Sucuri é preciso mudar o Nameserver ou um A-Record nas configurações do DNS. É uma solução totalmente baseada na cloud, incluindo um CDN (content delivery network), que também pode prevenir ataques DDoS. Num ataque DDoS, é frequentemente usada uma botnetz para disparar uma página com pedidos até o sítio deixar de estar acessível porque o servidor cede.

Ataques DDoS explicados

Nick Schäferhoff mostra-te no seu artigo o que é exatamente um ataque DDoS e como podes efetivamente preveni-lo.

A abordagem Sucuritambém faz com que funcione com balanceadores ao contrário do Wordfence. Em geral, com o Sucuri certos termos como o "Heuristic Correlation Algorithmus" (Algoritmo de Correlação Heurística) são mais suscetíveis de ser uma formulação de marketing e não é claro se se trata de um verdadeiro valor acrescentado, uma vez que o Wordfence presumivelmente também trabalha com métodos heurísticos. No entanto, quem só precida de um CDN também poderia implementá-lo gratuitamente através do Cloudflare.

Wordfence com mais opções de configuração

Com o Sucuri muitas coisas correm automaticamente e sem a intervenção do utilizador. Aparentemente, há menos configuração aqui. Com o Wordfence é possível bloquear explicitamente os IPs de países individuais e também é possivel o bloqueio manual. Isto é especialmente útil para os hacks manuais.

Medidas de segurança do WordPress

 WordfenceiThemes SecuritySucuri
Backups de bases de dadosNãoSimNão
Tornar o WordPress mais seguroNãoSimNão
Ocultar informaçõesNãoSimNão
Proteção contra escritaNãoSimNão
Gestão de passwordsNãoSimNão
Autenticação de dois fatoresPremiumPremiumNão

iThemes Security concentra-se nas medidas de segurança dentro do WordPress , como mostra a tabela. Um total de 30 pontos diferentes são aqui trabalhados, a maioria dos quais faz muito sentido. Muitos dos pontos já estão, por isso, incluídos no nosso alojamento.

iThemes Security é, portanto, uma ótima maneira de adicionar mais segurança ao nível do WordPress a um alojamento genérico "inseguro". A versão gratuita já oferece proteção abrangente. Com a versão premium, a autenticação de 2 fatores deve ser enfatizada.

Uma vez que o Wordfence e o Sucuri colocam o focus na "proteção" da página, eles são bastante fracos nestes pontos.

Remoção de malware e desempenho

 WordfenceiThemes SecuritySucuri
Hack Cleanup & Malware RemovalOpcionalImpossível de rastrearOpcional
Remoção de Blacklist WarningOpcionalImpossível de rastrearOpcional
Malware Removal Request LimitOpcionalImpossível de rastrearOpcional
Limpeza automáticaParcialImpossível de rastrearParcial
Intensificação de Security AnalystOpcionalImpossível de rastrearOpcional
Limpeza completa do siteOpcionalImpossível de rastrearOpcional
Fechamento das lacunas de segurançaOpcionalImpossível de rastrearOpcional
BackupsNãoImpossível de rastrearSim
Relatório pós-limpezaOpcionalImpossível de rastrearOpcional
Full Log and Incident ReportOpcionalImpossível de rastrearOpcional
Root Cause Follow UpOpcionalImpossível de rastrearOpcional

Por último, mas não menos importante, vamos olhar para a remoção de malware. Aqui os preços do Sucuri e do Wordfence são semelhantes. Para um processamento mais rápido, ambos cobram um extra e os serviços oferecidos são idênticos. Com o iThemes não consegui descobrir um serviço de remoção de malware. A remoção de malwares pode levar de 2 a 3 horas, com grandes flutuações. Como também fazemos a remoção de malware, posso dizer que os preços são justos.

E quanto ao desempenho?

Por último, mas não menos importante, uma nota sobre o desempenho. Não se esperaria isto de uma comparação de plugins de segurança. Mas como o Sucuri oferece um CDN e um firewall em um, pode haver uma melhoria de desempenho especialmente para os/as visitantes internacionais. Com um CDN o site é sempre entregue a partir do servidor seguinte, o que tem vantagens especialmente para visitantes estrangeiros. No entanto, para uma loja WooCommerce com pouco conteúdo armazenável, é menos crucial.

A nossa conclusão

Então, qual é a conclusão geral sobre o tema da segurança WordPress? A nossa conclusão pessoal pode ser resumida no seguinte: Nós não usamos um plugin de segurança para o nosso próprio site RAIDBOXES. Nós nunca sequer usámos um plugin de segurança e nunca tivemos qualquer problema. Tudo isto, embora a nossa página web tenha um significado absolutamente central para nós. No entanto, os dados abrangentes dos/as clientes não são armazenados no nosso site WordPress. Para nós, o risco de perda de desempenho devido a medidas de scan extensivas era muito alto e as desvantagens compensavam os benefícios.

No entanto, um firewall aumenta a segurança do site. Como tal, se quiseres alcançar a máxima segurança e aceitar as desvantagens em termos de desempenho e tempo, deves usar um plugin de segurança.

Especialmente para WooCommerce-Lojas ou sites ameaçados, que podem já ter tido problemas com malware, um plugin de segurança WordPress pode ser útil. A nossa recomendação é, portanto, a seguinte:

Wordfence como a melhor solução gratuita

Quem quiser um firewall realmente sólido com monitorização extensiva, está muito bem servido/a com Wordfence. Não é à toa que este é o plugin mais popular no mundo. A versão premium complementa a funcionalidade de forma muito precisa e sensata. Durante a implementação, é essencial assegurar que os processos de scan configurados corretamente, a fim de evitar problemas de desempenho.

iThemes Security para hosts genéricos

iThemes Security executa medidas de segurança realmente úteis no site, especialmente no que diz respeito ao WordPress. Para hosts genéricos é uma ótima maneira de aumentar o nível de segurança sem scans longos e firewalls, mesmo na versão gratuita.

Sucuri para interessados/as em CDN

Para quem de qualquer modo está a pensar em usar um CDN e para quem o tópico de ataques DDoS é relevante, nós recomendamos o Sucuri . Tudo o que resta é o gosto um pouco insípido do grupo Godaddy.

De quanta segurança (percebida) precisas?

Como lidas com a questão da segurança do WordPress? Confias nas medidas de segurança do teu host ou só o plugin de segurança é que te deixa dormir descansado? Como sempre, aguardamos os teus comentários!

Artigos relacionados

Comentários sobre este artigo