Wordfence vs Sucuri: confronto tra plugin di sicurezza WordPress

Per molti utenti di WordPress, l'aggiunta di funzionalità di rafforzamento della sicurezza al proprio sito Web si riduce a una scelta tra Wordfence e Sucuri. Sebbene ci siano molte altre opzioni, queste due sono così popolari che vale la pena sapere come si accumulano in un confronto testa a testa. In questo articolo daremo un'occhiata alle offerte gratuite e premium dei plug-in di sicurezza di WordPress e daremo consigli su quali tipi di utenti otterranno il massimo da ciascuna opzione.

Immergiamoci!

Wordfence vs Sucuri

Il fatto che questi due plugin di sicurezza vengano continuamente confrontati è piuttosto interessante perché offrono servizi abbastanza diversi, almeno per gli utenti gratuiti. E il numero di utenti gratuiti per entrambi è piuttosto elevato. I servizi di base, tuttavia, raggiungono lo stesso obiettivo finale: proteggere il tuo sito da minacce come malware nascosto, attacchi di forza bruta e vari altri tipi di intrusioni e compromessi.

Poiché Sucuri e Wordfence gestiscono questo attraverso vari mezzi, ciò significa che ogni plug-in è ideale per un diverso insieme di utenti. Nessun plug-in WordPress o piattaforma di sicurezza soddisfa ogni esigenza, ma entrambi soddisfano quelle specifiche. Vogliamo esaminare i diversi modi in cui i plug-in proteggono il tuo sito, Wordfence tramite misure di sicurezza preventive e Sucuri con monitoraggio del sito e scansione/rimozione di malware , in modo che tu possa prendere la decisione più informata possibile per mantenere il tuo sito sicuro.

Tuttavia, vogliamo sottolineare che, nonostante le differenze tra i plug-in, entrambe le opzioni forniranno al tuo sito una suite di sicurezza completa.

Wordfence

Come piattaforma, Wordfence è progettato come uno scudo frontale che protegge il tuo sito dagli attacchi in arrivo. Diamo un'occhiata a come fa questo.

1. Configurazione semplice

La sicurezza in Internet è un campo altamente tecnico e complicato. La maggior parte di noi non è molto esperta in questo. Wordfence è un bene per noi perché quando è installato e attivato, funziona.

Sì, ci sono assolutamente impostazioni da modificare e opzioni da configurare. Ma anche se non premi mai un altro pulsante, Wordfence bloccherà le minacce in arrivo sul tuo sito e ti terrà informato su ciò che sta accadendo tramite avvisi e-mail e avvisi basati su dashboard.

Certo, la dashboard è un po 'occupata da schede, caselle e collegamenti ovunque. Ma in termini di installazione e funzionamento del plug-in, ci vuole pochissimo sforzo e nessun reale background di sicurezza.

2. Firewall per applicazioni Web (WAF)

Il cuore della versione gratuita di Wordfence è WAF (contro Sucuri, dove WAF è una funzionalità premium). Dall'installazione, Wordfence crea una barriera attorno al tuo sito e blocca il traffico sospetto e i tentativi di ingresso. All'interno del firewall, gli utenti possono bloccare paesi, intervalli IP o singoli indirizzi IP.

Inoltre, le funzionalità di whitelist e blacklist ti consentono di consentire il traffico solo da determinati luoghi, il che è un modo proattivo per tenere fuori attività sospette.

La limitazione della velocità è un'incredibile funzionalità che Wordfence offre anche attraverso il WAF, in quanto puoi decidere come trattare diversi bot e crawler sul tuo sito. si determina se gli umani possono accedere a un certo numero di pagine o se qualcuno occupa una quantità eccessiva di risorse del server.

Non solo la funzione di limitazione della velocità aiuta con la protezione dei contenuti e la stabilità/prestazioni del server, ma può anche limitare il danno che il malware può arrecare al tuo sito se in qualche modo vieni infettato.

3. Autenticazione a due fattori (2FA)

La caratteristica più interessante offerta dalla versione gratuita di Wordfence è quella di impostare l'autenticazione a due fattori per gli utenti sul tuo sito. Nella sezione Sicurezza di accesso della voce di menu di Wordfence, puoi impostare facilmente 2FA per i tuoi utenti utilizzando un codice QR. Possono scegliere di utilizzare Google Authenticator, FreeOTP o una serie di altre app e token 2FA.

In termini di sicurezza passiva, l'autenticazione a due fattori per gli utenti è uno dei modi migliori per farlo. Includerlo come funzionalità gratuita in Wordfence sta andando oltre, a nostro avviso.

4. Scansione del sito

Cosa sarebbe un plugin di sicurezza per WordPress senza una scansione del sito? Puoi eseguire manualmente una scansione. Oppure puoi impostarli per l'esecuzione automatica a orari prestabiliti.

Le scansioni di Wordfence sono profonde perché il software esiste sul tuo server (rispetto a Sucuri che è uno scanner remoto). I risultati sono facilmente decifrabili con risposte codificate a colori. Molti problemi che vedrai provengono da plugin o temi obsoleti. Ma se Wordfence trova malware o file sospetti, puoi eliminarli immediatamente dalla finestra di scansione. (Sebbene si prega di eseguire sempre il backup del sito prima di eliminare qualsiasi cosa.)

Premium vs Wordfence gratuito

La versione gratuita di Wordfence offre molto agli utenti. Essere un utente gratuito ha i suoi lati negativi. Non ottieni aggiornamenti del firewall in tempo reale, blacklist IP o firme di malware. Quando i problemi di sicurezza vengono scoperti dal team di Wordfence, vengono immediatamente corretti per gli utenti premium. Gli utenti gratuiti, tuttavia, ottengono queste correzioni 30 giorni dopo.

Inoltre, con un piano premium, paghi per il supporto premium. Se succede qualcosa al tuo sito, hai accesso diretto al team di Wordfence con un ritardo molto breve.

Se gestisci un sito che si occupa di dati sensibili o riservati, la versione premium vale di gran lunga i soldi. Per un singolo sito, questo arriva a $ 99 all'anno .

Sucuri

Sucuri, a differenza di Wordfence, si basa su una piattaforma esterna che monitora il tuo sito alla ricerca di minacce da lontano. Invece di usare le risorse del tuo server per creare uno scudo, Sucuri è più simile a un supereroe, in attesa di piombare in campo per salvare il giorno in cui sei nei guai.

1. Connessione API

Poiché Sucuri non si basa sui tuoi server, hai bisogno di un modo per connetterti in modo sicuro al servizio. Sucuri è interamente basato fuori sede, il che significa che è necessario generare una chiave API dalla dashboard di WordPress per consentire al servizio di accedere al tuo sito.

In molti modi, questa è una caratteristica superiore alle scansioni in loco di Wordfence. Se il tuo sito non è in linea, lo stesso vale per Wordfence perché è archiviato ed eseguito sull'hardware locale. Sucuri, tuttavia, è esterno, quindi le minacce che hanno portato il tuo sito offline in primo luogo possono ancora essere gestite dalla piattaforma.

2. Indurimento del sito web

Il rafforzamento del sito Web è una caratteristica importante che Sucuri offre su Wordfence. La versione gratuita di Sucuri non offre un WAF, il che significa che il traffico da determinati IP, paesi, intervalli IP e minacce in tempo reale può ancora raggiungere il tuo sito. L'hardening del sito web, tuttavia, è un insieme di regole dettagliate che possono impedire a chi ha un accesso non autorizzato di intraprendere azioni specifiche.

Come la creazione di file PHP nelle directory principali di WP, la modifica di plugin e temi dalla dashboard, persino l'offuscamento della versione di WordPress in esecuzione per scoraggiare gli hacker alla ricerca di versioni obsolete.

Queste sono misure proattive, piuttosto che reazionarie. Con Sucuri ti prepari al peggio bloccando in anticipo i percorsi di accesso più comuni.

3. Scansione malware

La scansione del malware di Sucuri è un miscuglio. La scansione stessa è approfondita e troverà assolutamente una serie di problemi e minacce sul tuo sito (se se ne trovano). Tuttavia, è una scansione remota e anche la loro connessione API al tuo sito non può ottenere l'accesso completo al tuo server. Il loro scanner viene fornito con un disclaimer che afferma questo.

Nella nostra esperienza, tuttavia, i risultati della scansione di Sucuri sono stati accurati e hanno trovato alcune minacce reali che non sapevamo esistessero. Tuttavia, per ottenere una scansione completa, è necessario pagare affinché il team Sucuri lo faccia, il che sembra un addebito inutile su un elemento apparentemente fondamentale di un plug-in di sicurezza WP.

Riteniamo, tuttavia, che la scansione remota connessa all'API sia di portata più limitata perché può scansionare e riparare il tuo sito dopo che un attacco lo ha messo offline. Questo di per sé può far risparmiare tempo prezioso e entrate.

4. Sicurezza dell'accesso.

Sucuri ti consente di tenere traccia degli utenti che accedono al tuo sito. All'interno della dashboard del plug-in, puoi verificare la presenza di qualsiasi utente che ha effettuato l'accesso, qualsiasi utente attualmente connesso e qualsiasi utente che non è riuscito ad accedere al tuo sito. Questa funzione può fare la differenza in un sito sicuro con un numero di utenti soddisfatti o in un sito compromesso in cui qualcuno ha accesso a cui non dovrebbe.

Vedere accessi non riusciti può indicare un attacco di forza bruta, mentre vedere gli utenti attualmente connessi può farti sapere quali account sono già stati compromessi. Ad esempio, Sucuri mostra che Bob Smith ha effettuato l'accesso al tuo sito, ma Bob si è ritirato dalla tua azienda tre anni fa... probabilmente c'è qualcosa che non va e che l'accesso non è autorizzato.

Tutte le misure preventive, il rafforzamento del sito Web e la protezione tramite password nel mondo sono inutili una volta che qualcuno ha accesso legittimo al tuo sito con autorizzazioni attive.

Sucuri gratuito vs Premium

Non abbiamo scrupoli nel dire che Sucuri è un servizio fantastico che protegge il tuo sito Web e lo merita come standard di riferimento per la sicurezza di WP. La versione gratuita di Sucuri funziona bene come scanner e strumento in cui puoi essere proattivo contro le minacce.

Se, tuttavia, desideri un approccio più pratico quando utilizzi Sucuri, dovrai eseguire l'aggiornamento. La versione gratuita non viene fornita con un WAF, che riteniamo sia necessario per la sicurezza in questi giorni. È necessario eseguire l'aggiornamento per abilitarlo.

I piani per WAF Sucuri partono da $ 9,99 al mese . Questa è la parte in cui le cose si fanno appiccicose, però. Il piano da $ 9,99 non include la pulizia di malware/hack (né il piano da $ 19,98 al mese). Se ti iscrivi al loro piano di piattaforma a $ 199,99 all'anno , lo ottieni oltre ad altre funzionalità come l'integrazione CDN e altro ancora.

Tuttavia, il vero punto critico è che nessuno dei piani di base Sucuri ($ 9,99 al mese per WAF o $ 199,99 all'anno per la piattaforma) include il supporto del certificato SSL esistente. Poiché Google ha quasi tutti i siti richiesti per utilizzare i certificati SSL utilizzandolo come fattore di page rank, non avere il supporto del certificato SSL sui piani di base rende i piani di base inutili per quasi tutti i clienti .

Pubblicare un prezzo più basso ma rimuovere una funzionalità così fondamentale come il supporto del certificato SSL crea una falsa idea che il servizio completo sia disponibile a quel prezzo, quando in realtà non lo è. I piani Pro sono in realtà i piani di base e il livello Basic esiste (apparentemente) come uno stratagemma di marketing per poter pubblicizzare "piani a partire da $ 9,99 al mese" quando quel piano è insostenibile per la maggior parte degli utenti.

In realtà, i piani di Sucuri partono da $ 19,98 al mese per l'accesso WAF e $ 299,99 all'anno per la piattaforma completa . Questi non sono prezzi assurdi e offrono grandi funzionalità per quei prezzi. Tuttavia, non siamo fan del modo in cui vengono gestiti i livelli di prezzo.

Wordfence vs Sucuri

Quando guardi le versioni gratuite di entrambi, si tratta davvero di ciò di cui il tuo sito ha bisogno. Per gli utenti impostati e dimenticati, Wordfence è al primo posto. Scansioni automatizzate, avvisi e-mail, impostazioni WAF predefinite abbastanza decenti e autenticazione a due fattori rendono Wordfence la nostra scelta per gli utenti gratuiti . Il plugin offre semplicemente troppo gratuitamente per essere detronizzato.

Tuttavia, guardando le versioni premium, gli utenti di Sucuri ottengono più valore aggiunto per i loro soldi . Laddove gli aggiornamenti premium di Wordfence sono utili per mantenere aggiornata la protezione del tuo sito dalle minacce emergenti, Sucuri aggiunge un bel po' alle funzionalità che evidenziamo sopra. Integrazione CDN, WAF continuamente aggiornato, protezione DDoS e rimozione malware/pulizia del sito. E altro ancora. Con questo in mente, Sucuri è il migliore.

Tuttavia, vogliamo qualificarlo dicendo che Wordfence premium è 1/3 del prezzo di Sucuri premium. La differenza tra $ 99,99 all'anno e $ 299,99 non è insignificante. Con questo in mente, il nostro suggerimento è di utilizzare Wordfence per proteggere il tuo sito gratuitamente (o a buon mercato) e se hai bisogno di maggiori funzionalità di sicurezza, dai un'occhiata ai piani di Sucuri per vedere se la loro piattaforma offre abbastanza per l'aumento del prezzo.

Quali sono state le tue esperienze nell'affrontare Wordfence vs Sucuri?