Under tiden körs mer än 43 procent av alla webbplatser på WordPress. Detta gör vårt favorit-CMS till ett populärt mål för attacker och skadlig kod. Men det finns ingen anledning till panik! För WordPress-säkerhet är inte häxkonst. Förutom praktiska säkerhetstips har vi idag de tre bästa WordPress-säkerhetsplugins i bagaget och visar dig när du verkligen behöver dem.
Behöver jag fortfarande ett WordPress-säkerhetsplugin överhuvudtaget? Vi får regelbundet den här frågan i supporten. I följande artikel vill jag visa dig vilket mervärde ett säkerhetsplugin har för säkerheten på din WordPress-webbplats och när det verkligen är klokt att använda ett.
I den andra delen jämför vi de tre mest populära säkerhetstillägg för WordPress för att ge dig en snabb överblick. På så sätt kan du fatta ett snabbt och målinriktat beslut och sedan gå tillbaka till det väsentliga: din verksamhet.
Varför WordPress-säkerhet är så viktigt
Det finns tre huvudaspekter som gör att du aktivt bör ta hand om säkerheten på din WordPress-webbplats och inte sticka huvudet i sanden.
#1 din webbplats kan bli oanvändbar
För några år sedan arbetade vi fortfarande i byråbranschen. Det var ganska naturligt att vi fick starta en fullständig omdesign av en sida, eftersom den ursprungliga sidan har blivit oanvändbar på grund av säkerhetsproblem som kunde ha undvikits.
Den som installerar skadlig kod på webbplatser är vanligtvis inte intresserad av att förstöra dem. Angriparen vill trots allt använda den för att skicka skräppost, styra besökare till skräppostwebbplatser, bädda in annonser eller generera kryptovaluta, till exempel. Förutom den allmänna begränsningen av webbplatsens funktionalitet kan skadlig kod också leda till betydande prestandaproblem.
"*" visar obligatoriska fält
#2 svartlistning och krasch i Googles ranking
En ännu allvarligare sak är att domänen svartlistas, särskilt av Google eller Norton. Om Google svartlistar din webbplats innebär det i värsta fall att din webbplats tas bort från Googles sökresultat.
Det är möjligt att skicka in en ny skanning av webbplatsen efter en attack med skadlig kod. Detta garanterar dock inte att du får tillbaka dina tidigare placeringar. Särskilt när det gäller viktiga nyckelord för pengar eller hög organisk trafik kan detta få allvarliga ekonomiska konsekvenser.
#3: Förlust av data
Särskilt i tider av PUL, där frågan om dataskydd har nått en ny dimension, måste motsvarande uppgifter skyddas. Även om detta är mindre viktigt för en vanlig företagswebbplats är det ännu mer dramatiskt för en butikswebbplats om betalningsinformationen inte är tillräckligt skyddad.
Typiska hot mot WordPress-säkerheten
Brute force-attacker mot inloggningsområdet
Vid en brute force-attack prövas automatiskt ett stort antal lösenordskombinationer för att få tillgång till webbplatsen via inloggningen /wp-admin i WordPress. När detta har lyckats och kontot på din webbplats har administratörsrättigheter är webbplatsen nästan helt i någon annans händer.
Vår erfarenhet från Raidboxes visar: Genom att använda ett starkt lösenord och begränsa inloggningsförsöken kan nästan alla fall av skadlig kod undvikas. Men mer om detta om en stund.
Automatiserat utnyttjande av säkerhetsbrister
Attacker mot webbplatser är i regel automatiserade. WordPress-webbplatser skannas automatiskt av så kallade crawlers, t.ex. för att hitta ett visst insticksprogram som har en säkerhetsbrist. Olika säkerhetsbrister kan utnyttjas i attackerna, t.ex. SQL-injektioner eller cross-site scripting.
Manuella attacker
Det är naturligtvis också möjligt att utnyttja en säkerhetsbrist manuellt. Detta är dock ganska sällsynt, eftersom det bara är värt besväret för stora WooCommerce -butiker där betalningsuppgifter faktiskt ska stjälas.
8 säkerhetsåtgärder vi gör som värd
I princip kan specialiserat WordPress-hosting avsevärt öka säkerheten på din webbplats. Under årens lopp har vi kontinuerligt utökat säkerhetskonceptet Raidboxes så att fall av skadlig kod har blivit en absolut sällsynthet. Särskilt den detaljerade analysen av fall av skadlig kod hjälper oss att identifiera ofta förekommande säkerhetsbrister och förebygga dem med lämpliga åtgärder.
#1 starka lösenord - den viktigaste säkerhetsåtgärden någonsin
En av de viktigaste säkerhetsåtgärderna är ett starkt lösenord för alla konton. Tyvärr har vi som hoster endast ett begränsat inflytande över tilldelningen av lösenord. Särskilt vid omlokaliseringar kan vi bara utöva ett litet inflytande över lösenorden. Att tvinga fram ett starkt lösenord när man skapar en Box (dvs. en ny WordPress-webbplats) har lett till en betydande minskning av angrepp med skadlig kod.
Som en påminnelse
Lösenordet ska bestå av siffror, specialtecken och små bokstäver och vara minst sju tecken långt. Om detta inte är fallet med dina WordPress-konton bör du definitivt först ta steg 1 och ändra dina lösenord omedelbart.
#2 Skydd mot brute force-attacker
Webbplatser attackeras nästan en miljard gånger i månaden med de brute force-attacker som beskrivs ovan. Det är bra om din WordPress-hoster redan har tagit hand om detta. Vårt inloggningsskydd kommer att gå in framför ditt WordPress-inloggningsområde och"svartlista" IP-adresser som upprepade gånger försöker logga in med falska inloggningsuppgifter.
I inställningarna för din Box kan du ange exakt efter hur många inloggningsförsök blockeringen ska träda i kraft och hur länge IP:erna i fråga ska blockeras. I kombination med ett starkt lösenord är det praktiskt taget omöjligt att få tillgång till webbplatsen på detta sätt.
#3 WP-sessionssuddgummi
Enligt PUL bör du lagra så lite data som möjligt. Vi hjälper dig med detta! Vårt verktyg för mer dataekonomi - WordPress Session Eraser - raderar WordPress-sessionerna för alla dina användare från databasen efter ett fördefinierat intervall. Du kan ställa in detta intervall individuellt för varje Box i dina boxinställningar på Dashboard .
#4 Standardblockering av XML RPC
XML-RPC är ett gränssnitt som har funnits tillgängligt på alla WordPress-webbplatser sedan WordPress 3.5. Eftersom de allra flesta webmasters ändå inte använder XML-RPC är det vettigt att avaktivera det här gränssnittet. Eftersom: Hackare kan attackera din webbplats direkt via XML-RPC.
Därför är gränssnittet nu blockerat som standard och kan vid behov aktiveras via inställningarna i Raidboxes Dashboard .
#5 hanterade säkerhetsuppdateringar från WordPress
Självklart är det viktigt att uppdatera WordPress. Nya WordPress-versioner släpps ungefär var 2-3:e månad. Särskilt underhållsuppdateringar täpper till viktiga säkerhetsluckor. Dessa uppdateringar bör installeras omedelbart.
Större uppdateringar innebär vanligtvis större kodändringar, vilket är anledningen till att inkompatibilitet kan uppstå. För att ge tillräckligt med tid för uppdateringar av teman och insticksprogram rullar vi alltid ut större uppdateringar i vårt system efter 14 dagar. Naturligtvis gör vi den senaste WordPress-versionen tillgänglig omedelbart för manuella uppdateringar. Det är naturligtvis viktigt att du alltid gör en säkerhetskopia av din webbplats innan du uppdaterar!
#6 selektivt skrivskydd - WordPress Härdningsåtgärder
Ett av fokusområdena för iThemes Security-plugin är att göra WordPress säkrare genom att skydda filer. Detta är också selektivt integrerat med oss. Detta gör det svårare att infektera delar av webbplatsen och göra dem obrukbara. Man måste alltid hitta en förnuftig balans mellan flexibilitet och säkerhet. Vi upprätthåller denna balans genom konfigurationsalternativ direkt via användargränssnittet Raidboxes .
Dessutom använder vi naturligtvis också WordPress bästa praxis när det är meningsfullt. Ett exempel är att byta namn på prefixet för WordPress-databasen. I vårt fall är detta inte tillgängligt via standard wp_. Att däremot byta namn på mappen wp-content, som erbjuds av iThemes Security, leder till fel eftersom plugins och teman inte klarar av det.
#7 Hanterade uppdateringar av insticksprogram från WordPress
Nu är det dags att stänga den sista stora inkörsporten för attacker: plugins som inte är uppdaterade. Precis som i WordPress kan säkerhetsbrister uppstå i plugins och teman. Det är inte alla uppdateringar som innehåller säkerhetsfunktioner. Men om alla plugins är uppdaterade är sannolikheten för säkerhetsbrister ändå betydligt lägre.
#8 åtgärder på serversidan
Alla ovanstående åtgärder skyddar WordPress självt. Utöver detta finns det naturligtvis en nästan oändlig lista över säkerhetsåtgärder som påverkar själva servern. Detta börjar med Linuxuppdateringar och slutar med regelbundna uppdateringar av PHP som är grunden för WordPress. Vi tar hand om den automatiska uppdateringen av föråldrade PHP-versioner (naturligtvis med lämplig ledtid och tid för testning), utan att du behöver ta hand om det själv.
Nackdelar med WordPress säkerhetstillägg
Med detta i åtanke vill jag nu kortfattat diskutera nackdelarna med säkerhetsplugins. Vissa av dessa är inte obetydliga, särskilt ur ett tidsperspektiv.
Inställningsinsats
Den som tror att det räcker med att installera en plug-in har fel. Tyvärr krävs det också vissa kunskaper för att installera en säkerhetsplugin.
Med hjälp av exemplet med insticksmodulen Allt-i-ett-säkerhet är ett bra exempel på detta. Det är ett av de mest populära kostnadsfria insticksprogrammen, som använder .htaccess-filen i mycket stor utsträckning. Pluginet känner dock inte ens igen om det är en NGINX-server. Detta stöder inte konceptet med .htaccess-filen. NGINX används dock i WordPress-miljön på grund av dess flexibilitet.
Även om säkerhetsåtgärderna är indelade i svårighetsgrader, vilket är mycket logiskt, är många av de åtgärder som erbjuds av insticksprogrammet mindre användbara. För att kunna bedöma de olika åtgärdernas nödvändighet på ett lämpligt sätt måste man oundvikligen sätta sig in i säkerhetsfrågan.
Underhåll och filt (o)säkerhet
För vårt test installerade vi olika säkerhetsplugins. Ett av inslagen använde automatiskt en e-postadress för teamet som finns lagrad i WordPress och började skicka e-post. Till stor glädje för alla teammedlemmar...
Tyvärr är detta inte alls ovanligt. Vi vill naturligtvis hålla oss informerade i vissa avseenden. Men i de flesta fall informeras du om saker som inte utgör någon säkerhetsrisk alls. I slutändan känner du dig mer osäker än tidigare, eftersom .B om varje filändring och måste kontrollera i händelse av tvivel.
Problem med prestanda
Som standard erbjuder alla plugins en sökning efter skadlig kod eller säkerhet. Insticksprogrammet Wordfence gillar att ställa in detta automatiskt på en timme. Det innebär att det i tveksamma fall varje timme (!) körs en genomsökning av din sida genom ett automatiskt skript (via cronjob). Alla som någonsin har installerat antivirusprogram på sin dator känner till berättelserna om ibland massiva prestandaproblem.
Detta kan också vara en anledning till att "bara" 2 miljoner av över 90 miljoner nedladdningar förblev aktiva i slutändan.
Kostnad
I den här artikeln har vi endast utvärderat plugins som också finns i en gratisversion. Trots detta är det tyvärr så att med många WordPress-säkerhetsplugins kostar de riktigt användbara funktionerna minst 80 dollar per år. Om du inte använder dem lämnas du ofta med en känsla av osäkerhet.
När är ett WordPress-säkerhetsplugin verkligen användbart?
För dem som vill gå vidare är här några exempel på fall där ett WordPress-säkerhetstillägg kan vara användbart. Dessa rekommendationer gäller endast specialiserade WordPress-hosting. Eftersom andra hosters kanske inte har så specifika och omfattande säkerhetsåtgärder kan ett WordPress-säkerhetstillägg vara tillrådligt där. Som du ser är det knappast möjligt att göra ett generellt uttalande om användbarheten av säkerhetstillägg, eftersom kraven och omständigheterna är olika.
Manuell hackning på WooCommerce Shop
Det här är ett av de få exempel där vi faktiskt aktivt rekommenderade ett säkerhetsplugin för att öka säkerheten i nätbutiken. Kunden på WooCommerce fick intrycket att han attackerades manuellt, vilket som beskrivits ovan är mycket ovanligt.
I det här fallet kunde han använda Wordfence och dess loggningsfunktion för att snabbt identifiera motsvarande IP-adress och sedan blockera den. På så sätt kunde attacken stoppas på ett effektivt sätt.
Ju fler insticksprogram, desto större är sannolikheten för säkerhetsrisker. Särskilt om inget verktyg används för uppdatering förblir befintliga säkerhetsluckor länge obemärkta i systemet och erbjuder en angreppsyta. Särskilt i WooCommerce -butiker är antalet insticksprogram vanligtvis högt på grund av WooCommerce :s karaktär och uppgifterna är samtidigt känsligare. Därför bör en säkerhetsinsticksmodul övervägas här.
De tre bästa säkerhetsplugins för WordPress
I det följande vill jag kortfattat förklara varför vi begränsar oss till endast tre plugins och inte presenterar tio - eller till och med de bästa 101 WordPress-säkerhetsplugins.
När det gäller säkerhetsplugins begränsar vi oss till de tre bästa WordPress-plugins i världen. Vi har även tittat på andra säkerhetstillägg, till exempel All In One WP Security & Firewall, som är det mest populära rent kostnadsfria tillägget (utan premiumversion) med över 800 000 användare. Användbarheten och delvis de rekommenderade åtgärderna övertygade oss dock inte. Samtidigt kan det bara användas på Apache-webbservrar.
Det handlar om de sista meterna.
Eftersom vi ser insticksprogrammen mer som ett komplement till ett redan säkert WordPress-hotell är målet att täcka de sista 0,1 procenten av säkerhetsrisken. Därför begränsar vi oss till de professionella plugins som har en mycket stor spridning.
Men det här urvalet av plugins är också mycket relevant för andra, icke specialiserade hosters. Här bör du ändå ägna dig mer intensivt åt ämnet WordPress-säkerhet.
Snabb beslutshjälp
Samtidigt är det viktigt att vi ger ett snabbt beslutsstöd. Vi anser att detta är fallet med en presentation av tio Plugins inte längre möjligt, eftersom alla tio i slutändan Plugins måste utvärderas. Med tre Plugins med olika fokus är beslutet lättare här.
Begränsning av allt-i-ett-plugins
Naturligtvis finns det otaliga tilläggsmoduler som tar över enskilda funktioner, till exempel begränsning av inloggningsförsök (Limit Login Attempts). Men även funktioner som plugins endast erbjuder i PRO-versionerna kan lösas via enskilda plugins. Det bästa exemplet är det här insticksprogrammet för 2-faktorsautentisering.
Distribution och data är viktiga för brandväggar
Brandväggar tillämpar vissa regler för att upptäcka om någon är illvillig eller bara besöker webbplatsen. Om någon försöker ta sig in på webbplatsen blockeras den. Reglerna bygger framför allt på kunskap om befintliga säkerhetsbrister. Samtidigt är det lättare att upptäcka nätverk av angripare när det finns 2 miljoner sidor i administrationen och blockera dem för alla andra sidor än när det finns 10 000 sidor. Därför spelar distributionen en roll för säkerhetsplugins.
Dina personliga favoriter är välkomna
Det betyder inte att det inte finns andra bra plugins för ökad säkerhet i WordPress. Nämn gärna dina personliga favoriter i kommentarerna. På så sätt säkerställer vi ännu mer lika möjligheter för nya innovativa tillvägagångssätt.
De tre bästa säkerhetsplugins i en översikt
| Webbplatsen för Plugins | Wordfence | iThemes Säkerhet | Suuri (sucuri) Säkerhet |
| Ladda ner länk | Hämta | Hämta | Hämta |
| Funktioner | här | här | här |
| Aktiva installationer | 3+ miljoner | 900.000+ | 700.000+ |
| Språk | Engelska | 16 språk (även DE) | Engelska, spanska |
| Testad med den senaste WordPress Version | Ja | Ja | upp till 5.3.4 |
| Antal kreditbetyg | 3,572 | 3,830 | 338 |
| Betyg (fem stjärnor) | 4,8 | 4,7 | 4,4 |
| Gratis version | Ja | Ja | Ja |
| Premie (årslicens) | från $99 | från $80 | $199,99 |
| Borttagning av skadlig kod från | $286.40 | erbjuds inte | ingår i licensen |
I översikten blir det tydligt att alla plugins har en mycket hög spridning och är väl rankade. Trots detta är Wordfence är den obestridda marknadsledaren och även välbalanserad när det gäller förhållandet mellan pris och prestanda. Med Sucuri betalar du direkt för borttagning av skadlig kod, men här kan priserna stiga till 500 dollar per år , särskilt på grund av en snabbare tjänst och mer frekventa skanningar. På Wordfence professionell borttagning av skadlig kod erbjuds som en tillvalstjänst. Så allt beror på dina behov.
Viktigt att veta är att det är ganska osannolikt att fånga skadlig programvara med starka WP-användarlösenord. Enligt vår mening är det därför lite meningsfullt att köpa borttagning av skadlig programvara direkt som en tjänst.
På Wordfence får du direkt tillgång till hela brandväggsspektrumet i gratisversionen, till skillnad från t.ex. iThemes Security, där information från nätverket endast är tillgänglig i PRO-versionen.
Det är en viktig punkt som inte heller bör underskattas: Wordfence I vårt exempel är Sucuri den enda oberoende leverantören som specialiserar sig enbart på WordPress-säkerhet. Sucuri är nu en del av GoDaddy-koncernen och iThemes köptes också av ett annat webbhotell. De är också aktiva inom olika andra områden, till exempel temautveckling. Bakom Wordfence ligger säkerhetsföretaget Defiant.
Interimsavslutning
Vår rekommendation för säkerhetsinsticksmoduler är därför ganska tydlig Wordfence. Den kostnadsfria versionen av insticksprogrammet erbjuder redan en omfattande brandvägg och fokuserar på de två kärnområden som ett WordPress-säkerhetsplugin bör erbjuda: en brandvägg och säkerhetsskanning.
Dessutom är den snabb att installera, tydligt utformad och förvirrar inte, vilket är fallet med andra plug-ins med alltför teknisk information.
För att undvika prestandaproblem bör du använda "Low Resource Scanning" (skanning med låga resurser) i skanningsalternativen. Eftersom IP-adresser behandlas bör dustänga en AV med Wordfence .
I det följande kommer jag återigen att gå in i detalj på de enskilda kärnområdena i ett WordPress-säkerhetsplugin för att tydliggöra skillnaderna mellan plugins.
De viktigaste plug-in-funktionerna i jämförelse
Övervakning och skanningar
| Wordfence | iThemes Säkerhet | Suuri (sucuri) | |
| Säkerhetsskanningar | Ja | Ja | Ja |
| Schemalagda säkerhetsskanningar | Endast proffs Version | Endast Pro-version | Endast Pro-version |
| Identifiering av skadlig kod | Ja | Ja | Ja |
| Identifiering av säkerhetsavvikelser | Ja | Ja | Ja |
| Övervakning av svart lista | Endast Googles säkra surfning | Statuskontroll för svart lista | Ja |
| Filändringar | Ja | Ja | Ja |
| DNS-övervakning | Ja | Oklart | Ja |
| SSL-övervakning | Nej | Ja | Ja |
| Meddelanden | Ja | Ja | Ja |
| Verifiering av skräppost | Endast proffs Version | Ja | Ja |
| Säkerhetsloggar | Ja | Ja | Grundläggande |
En viktig del av ett WordPress-säkerhetsplugin är att kontrollera om webbplatsen har äventyrats. Eftersom det inte finns någon enhetlig användning av termer och olika termer och förklaringar ofta används för samma innehåll är det mycket svårt att göra en rimlig jämförelse. Tabellen ovan bör ge en översikt här.
Varje plugin har en skanningsfunktion
Även om säkerhetsskanning, identifiering av skadlig kod, identifiering av säkerhetsanomalier eller filändringar ofta anges separat, betyder de samma sak. Jämförelsen av filer används för att kontrollera om det finns skadlig kod på sidan. Enligt vår erfarenhet kan det hända att ett oansenligt test hos Sucuri ändå kan innebära att skadlig kod finns på sidan om mer detaljerade skanningar utförs eller de enskilda filerna granskas.
iThemes Security använder helt enkelt Sucuris API. Resultatet av både Sucuri och iThemes är inget annat än den kostnadsfria webbplatsgranskningen, som också finns på Sucuris webbplats.
Skillnader i övervakningen av svarta listor
Förutom skanningar är övervakning av svarta listor en viktig faktor, särskilt när det gäller de rankingförluster som beskrivs ovan. Här Wordfence enligt sin egen presentation endast kontrollerar Googles status för Safe Browsing. Om en webbplats dyker upp här är det i princip redan för sent. Webbplatsen kommer med största sannolikhet att kastas ut ur sökresultaten först. iThemes Security och Sucuri kontrollerar flera svartlistor direkt här. Resultatet är ändå identiskt. När webbplatsen dyker upp på de svarta listorna är det redan för sent. Dessa genomsökningar görs just för att förhindra detta.
En utökad kontroll av svarta listan är endast tillgänglig Wordfence är endast tillgänglig i Premium-versionen. Här kontrolleras även spamreklam, som lätt kan kännas igen externt och som är viktig för Google.
Låg relevans av DNS-övervakning
Vi anser att funktionerna i DNS- och SSL-övervakning är av liten relevans. Vi känner ännu inte till ett enda fall där DNA-förändringar eller SSL-förändringar har tillförts för att utreda brottslig verksamhet.
Wordfence poäng i säkerhetsloggarna
Grunden för ett WordPress-säkerhetsplugin bör vara att visa inloggningar på ett förnuftigt sätt. Detta gäller för alla plugins. Wordfence går några steg före här med sin övervakning av live-trafik. Det är inte bara inloggningar som känns igen, utan trafiken kategoriseras i enlighet med detta. På detta sätt kan crawleraktiviteter eller mänskligt beteende spåras med avseende på säkerhetsaspekter. Verktyget är därför idealiskt för att förhindra t.ex. manuella hackningar.
Slutsats i denna kategori
Skanningskvaliteten är svår att bedöma och måste utvärderas med hjälp av testfall. iThemes Security och Sucuri har bättre övervakning av svarta listor. Skanningen bör dock förhindra att sidan ändå hamnar på den svarta listan. När det gäller övervakning är funktionen för direkt trafik i Wordfence är ett stort plus.
Skydd i kombination med brandväggar
| Wordfence | iThemes Säkerhet | Suuri (sucuri) | |
| Brandvägg för webbprogram (WAF) | Begränsad | 404 Detektion | Ja |
| Intrångsdetekteringssystem (ID) | Ja | Nej | Ja |
| DDoS-skydd | Nej | Nej | Ja |
| Brute Force Skydd | Ja | Ja | Ja |
| Block av hackningsförsök | Ja | Delvis | Ja |
| Nolldagars exploits skydd | Oklart | Nej | Ja |
| Skydd på en sida | Nej | Nej | Ja |
| Heuristisk korrelation Algorythmus | Oklart | Nej | |
| Belastningsutjämning /Redundans | Nej | Ja | Ja |
| Länder som blockerar | Ja | Nej | Nej |
| Avancerad manuell blockering | Ja | Nej | Nej |
iThemes utan rätt brandvägg
När det gäller brandväggar blir skillnaderna mellan insticksprogrammen särskilt tydliga. De har olika tillvägagångssätt för att hantera detta ämne. I strikt mening använder iThemes-Security ingen riktig brandvägg. Man skulle kunna kalla 404-detektering för ett första tillvägagångssätt. Den tittar på om en crawler genererar många 404-fel och blockerar dem.
Sucuri inklusive fullfjädrad CDN
För Wordfence behöver du bara installera ett insticksprogram för att använda brandväggen, medan Sucuri kräver att du ändrar namnservern eller en A-post i DNS-inställningarna. Istället är det en helt molnbaserad lösning, inklusive ett CDN (Content Delivery Network), som också kan förhindra DDoS-attacker. I en DDoS-attack används ofta ett botnät för att beskjuta en webbplats med förfrågningar tills webbplatsen inte längre är tillgänglig eftersom servern ger upp.
Sucuris tillvägagångssätt leder också till att, i motsats till Wordfence den fungerar med lastbalanserare. Sammantaget är vissa termer som "heuristisk korrelationsalgoritm" hos Sucuri snarare en marknadsföringsformulering och det är oklart om detta är ett verkligt mervärde, eftersom Wordfence förmodligen också arbetar med heuristiska metoder. De som bara behöver ett CDN kan dock också förverkliga detta gratis genom Cloudflare.
Wordfence med fler konfigurationsalternativ
Med Sucuri fungerar många saker automatiskt och utan att användaren behöver ingripa. Å andra sidan kan tydligen mindre konfigureras här. Till exempel, med Wordfence kan du uttryckligen blockera enskilda länders IP-adresser och du kan också blockera dem manuellt. Detta är särskilt användbart vid manuella hackningar.
WordPress Säkerhet
| Wordfence | iThemes Säkerhet | Suuri (sucuri) | |
| Säkerhetskopiering av databas | Nej | Ja | Nej |
| WordPress Gör det säkrare | Nej | Ja | Nej |
| Dölj information | Nej | Ja | Nej |
| Läsa | Nej | Ja | Nej |
| Hantering av lösenord | Nej | Ja | Nej |
| Tvåfaktorsautentisering | Premium | Premium | Nej |
iThemes Security fokuserar på säkerhetsåtgärderna i WordPress, vilket visas i tabellen. Totalt 30 olika punkter behandlas här, varav de flesta är mycket vettiga. Många av punkterna ingår därför redan i vårt webbhotell.
iThemes Security är därför ett utmärkt sätt att lägga till mer säkerhet på WordPress-nivå till ett "osäkert" generiskt webbhotell. Gratisversionen erbjuder redan ett omfattande skydd. I premiumversionen är 2-faktorautentiseringen värd att lyfta fram.
Sedan Wordfence och Sucuri fokuserar på att "skydda" sidan. Är de ganska svaga på dessa punkter.
Borttagning av skadlig kod och prestanda
| Wordfence | iThemes Säkerhet | Suuri (sucuri) | |
| Hacka rensning & borttagning av skadlig kod | Valfri | Kan inte spåras | Valfri |
| Borttagning av varning för svart lista | Valfri | Kan inte spåras | Valfri |
| Gräns för begäran om borttagning av skadlig kod | Valfri | Kan inte spåras | Valfri |
| Automatisk rensning | Delvis | Kan inte spåras | Delvis |
| Eskalering av säkerhetsanalytiker | Valfri | Kan inte spåras | Valfri |
| Fullständig webbplatsrensning | Valfri | Kan inte spåras | Valfri |
| Stänga sårbarheterna | Valfri | Kan inte spåras | Valfri |
| Säkerhetskopior | Nej | Kan inte spåras | Ja |
| Rapport efter rensning | Valfri | Kan inte spåras | Valfri |
| Fullständig logg- och incidentrapport | Valfri | Kan inte spåras | Valfri |
| Uppföljning av grundorsak | Valfri | Kan inte spåras | Valfri |
Sist men inte minst ska vi titta på borttagning av skadlig kod. Här är priserna liknande för Sucuri och Wordfence är likartade. Båda tar extra betalt för snabbare behandling. De tjänster som erbjuds här är identiska. Jag kunde inte upptäcka någon tjänst för borttagning av skadlig kod hos iThemes. En borttagning av skadlig kod kan ta 2-3 timmar, dock med stora svängningar. Eftersom vi också utför borttagning av skadlig kod anses priserna vara rättvisa.
Och hur är det med föreställningen?
Sist men inte minst, en anmärkning om prestanda. Man skulle inte förvänta sig detta i en jämförelse av säkerhetsinsticksprogram. Men eftersom Sucuri erbjuder en CDN och en brandvägg i ett kan det också förbättra prestandan, särskilt för internationella besökare. Med ett CDN levereras webbplatsen alltid från nästa server, vilket har fördelar särskilt för utländska besökare. För en WooCommerce -butik med lite cachemässigt innehåll är det dock mindre avgörande.
"*" visar obligatoriska fält
Vår slutsats
Så vad är den övergripande slutsatsen när det gäller WordPress-säkerhet? Vår personliga slutsats kan sammanfattas med följande faktum: Vi använder inga säkerhetsplugins för vår egen webbplats Raidboxes . Vi har aldrig använt ett säkerhetsplugin och har aldrig haft några problem. Allt detta trots att vår webbplats är av absolut central betydelse för oss. Omfattande kunduppgifter lagras dock inte på vår WordPress-webbplats. Risken för prestandaförlust på grund av omfattande skanningsåtgärder var för stor för oss och nackdelarna vägde upp fördelarna.
En brandvägg ökar dock webbplatsens säkerhet. Därför bör alla som vill uppnå maximal säkerhet och som är villiga att acceptera nackdelarna i fråga om prestanda och tidsåtgång använda en säkerhetstilläggsmodul.
Särskilt för WooCommerce -butiker eller sårbara webbplatser som redan har haft problem med skadlig kod kan ett WordPress-säkerhetsplugin vara användbart. Vår rekommendation är därför följande:
Wordfence som den bästa gratislösningen
Om du vill ha en riktigt solid brandvägg med omfattande övervakning är Wordfence ett utmärkt val. Det är inte för inte som det är det mest populära säkerhetstillägget för WordPress i världen. Premiumversionen kompletterar funktionaliteten exakt och förnuftigt. När du implementerar insticksprogrammet är det viktigt att se till att skanningarna är korrekt inställda för att undvika prestandaproblem.
iThemes Säkerhet för generiska värdar
iThemes Security utför riktigt användbara säkerhetsåtgärder på webbplatsen, särskilt när det gäller WordPress. För webbplatser med generiska hosters är det ett bra sätt att öka säkerhetsnivån utan omfattande skanningar och brandvägg, även i gratisversionen.
Sucuri för CDN
Om du ändå funderar på att använda ett CDN och om ämnet DDoS-attacker är relevant rekommenderas Sucuri . Det enda som återstår är den något intetsägande eftersmaken av GoDaddy-koncernen.
Hur mycket (känsla) säkerhet behöver du?
Hur hanterar du frågan om WordPress-säkerhet? Förlitar du dig på säkerhetsåtgärderna hos din hoster eller är det bara ett WordPress-säkerhetsplugin som låter dig sova lugnt? Som alltid ser vi fram emot dina kommentarer!
