Wordfence vs Sucuri: comparação de plug-ins de segurança do WordPress

Para muitos usuários do WordPress, adicionar recursos de proteção de segurança a seus sites se resume a uma escolha entre Wordfence e Sucuri. Embora existam muitas outras opções, esses dois são tão populares que vale a pena saber como eles se comparam em uma comparação direta. Neste artigo, daremos uma olhada nas ofertas gratuitas e premium dos plug-ins de segurança do WordPress e faremos recomendações sobre quais tipos de usuários obterão o máximo de cada opção.

Vamos mergulhar!

Wordfence vs Sucuri

É muito interessante que esses dois plug-ins de segurança sejam comparados o tempo todo, porque eles oferecem serviços bastante diferentes, pelo menos para usuários gratuitos. E o número de usuários gratuitos para ambos é muito grande. Os serviços básicos, no entanto, atingem o mesmo objetivo final: proteger seu site de ameaças como malware oculto, ataques de força bruta e vários outros tipos de invasões e comprometimentos.

Como a Sucuri e o Wordfence lidam com isso de várias maneiras, isso significa que cada plug-in é ideal para um conjunto diferente de usuários. Nenhum plugin WordPress ou plataforma de segurança preenche todas as necessidades, mas ambos preenchem outras específicas. Queremos percorrer as diferentes formas que os plug-ins protegem seu site, Wordfence por meio de medidas preventivas de segurança e Sucuri com monitoramento de site e verificação / remoção de malware , para que você possa tomar a decisão mais informada possível para manter seu site seguro.

No entanto, queremos observar que, apesar das diferenças entre os plug-ins, qualquer uma das opções fornecerá ao seu site um pacote de segurança abrangente.

Wordfence

Como plataforma, o Wordfence é projetado como um escudo frontal que protege seu site de ataques recebidos. Vamos dar uma olhada em como isso acontece.

1. Configuração Simples

A segurança da Internet é um campo altamente técnico e complicado. A maioria de nós não é especialista nisso de longe. O Wordfence é bom para nós porque quando é instalado e ativado, ele simplesmente funciona.

Sim, existem absolutamente configurações para ajustar e opções para configurar. Mas mesmo que você nunca pressione outro botão, o Wordfence bloqueará as ameaças de entrada ao seu site e o manterá informado do que está acontecendo por meio de alertas de e-mail e painéis.

É certo que o painel está um pouco ocupado com guias, caixas e links em todos os lugares. Mas em termos de colocar o plugin em funcionamento, é preciso muito pouco esforço e nenhum histórico de segurança real.

2. Firewall de aplicativo da Web (WAF)

O coração da versão gratuita do Wordfence é o WAF (versus Sucuri, onde o WAF é um recurso premium). Desde a instalação, o Wordfence coloca uma barreira em torno do seu site e bloqueia o tráfego suspeito e as tentativas de entrada. No firewall, os usuários podem bloquear países, intervalos de IP ou endereços de IP individuais.

Além disso, os recursos de whitelist e blacklist permitem que você só permita o tráfego de determinados lugares, o que é uma forma proativa de manter atividades suspeitas afastadas.

A limitação de taxa é um recurso incrível que o Wordfence oferece por meio do WAF, também, em que você pode decidir como tratar diferentes bots e rastreadores em seu site. você determina se os humanos podem acessar um certo número de páginas ou se alguém ocupa uma quantidade excessiva de recursos do servidor.

O recurso de limitação de taxa não apenas ajuda com a proteção de conteúdo e estabilidade / desempenho do servidor, mas também pode limitar os danos que o malware pode causar ao seu site se você for infectado de alguma forma.

3. Autenticação de dois fatores (2FA)

O recurso mais legal que a versão gratuita do Wordfence oferece é configurar a autenticação de dois fatores para usuários em seu site. Na seção Segurança de login do item de menu Wordfence, você pode configurar 2FA para seus usuários facilmente usando um código QR. Eles podem escolher usar o Google Authenticator, FreeOTP ou vários outros aplicativos e tokens 2FA.

Em termos de segurança passiva, a autenticação de dois fatores para usuários é uma das melhores maneiras de fazer isso. Incluí-lo como um recurso gratuito no Wordfence está indo além, em nossa opinião.

4. Varredura do local

O que seria um plugin de segurança do WordPress sem uma verificação de site? Você pode executar uma verificação manualmente. Ou você pode configurá-los para serem executados automaticamente em horários definidos.

As varreduras do Wordfence são profundas porque o software existe no seu servidor (em vez do Sucuri, que é um scanner remoto). Os resultados são facilmente decifráveis ​​com respostas codificadas por cores. Muitos problemas que você verá vêm de plug-ins ou temas desatualizados. Mas se o Wordfence encontrar malware ou arquivos suspeitos, você pode excluí-los da janela de varredura imediatamente. (Embora sempre faça backup do seu site antes de excluir qualquer coisa.)

Wordfence Premium vs Grátis

A versão gratuita do Wordfence oferece muito para os usuários. Ser um usuário gratuito tem suas desvantagens. Você não obtém atualizações de firewall em tempo real, listas negras de IP ou assinaturas de malware. Quando problemas de segurança são descobertos pela equipe do Wordfence, eles são imediatamente corrigidos para usuários premium. Os usuários gratuitos, no entanto, obtêm essas correções 30 dias depois.

Além disso, com um plano premium, você está pagando pelo suporte premium. Se algo acontecer ao seu site, você terá acesso à equipe do Wordfence diretamente com um pequeno atraso.

Se você administra um site que lida com dados sensíveis ou confidenciais, a versão premium vale o dinheiro, de longe. Para um único site, isso custa US $ 99 por ano .

Sucuri

Sucuri, ao contrário do Wordfence, é baseado em uma plataforma externa que monitora seu site em busca de ameaças de longe. Em vez de usar os recursos do seu servidor para colocar um escudo, a Sucuri é mais como um super-herói, esperando para salvar o dia quando você estiver em apuros.

1. Conexão API

Como a Sucuri não se baseia em seus servidores, você precisa de uma maneira de se conectar com segurança ao serviço. A Sucuri é inteiramente baseada fora do site, o que significa que você precisa gerar uma chave de API de dentro do painel do WordPress para permitir que o serviço tenha acesso ao seu site.

Em muitos aspectos, este é um recurso superior às varreduras no local do Wordfence. Se o seu site ficar offline, o Wordfence também ficará, porque ele é armazenado e executado no hardware local. A Sucuri, no entanto, é externa, portanto, as ameaças que colocaram seu site off-line em primeiro lugar ainda podem ser tratadas pela plataforma.

2. Endurecimento de sites

A proteção de sites é um recurso importante que a Sucuri oferece no Wordfence. A versão gratuita da Sucuri não oferece WAF, o que significa que o tráfego de determinados IPs, países, faixas de IP e ameaças em tempo real ainda podem chegar ao seu site. O fortalecimento de sites, no entanto, é um conjunto de regras detalhadas que podem evitar que pessoas com acesso não autorizado realizem ações específicas.

Como a criação de arquivos PHP nos diretórios principais do WP, a edição de plug-ins e temas de dentro do painel e até mesmo ofuscando a versão em execução do WordPress para impedir que hackers procurem por versões desatualizadas.

Estas são medidas proativas, ao invés de reacionárias. Com a Sucuri, você se prepara para o pior, bloqueando antecipadamente os caminhos de acesso mais comuns.

3. Verificação de malware

A varredura de malware da Sucuri é uma mistura. A varredura em si é completa e certamente encontrará uma série de problemas e ameaças em seu site (se houver alguma). No entanto, é uma verificação remota e até mesmo a conexão de API do seu site não pode obter acesso total ao seu servidor. O scanner vem com um aviso informando isso.

Em nossa experiência, no entanto, os resultados da verificação da Sucuri foram precisos e encontraram algumas ameaças reais que não sabíamos que estavam lá. No entanto, para obter uma varredura completa, você precisa pagar para que a equipe da Sucuri faça isso, o que parece uma atualização desnecessária de um elemento aparentemente fundamental de um plugin de segurança WP.

No entanto, sentimos que a varredura remota conectada à API tem um escopo mais limitado, porque pode varrer e reparar seu site após um ataque colocá-lo off-line. Isso por si só pode economizar tempo e receita valiosos.

4. Segurança de login.

A Sucuri permite que você rastreie os usuários que fazem login no seu site. No painel do plug-in, você pode verificar se há qualquer usuário que tenha efetuado login, qualquer usuário que esteja atualmente conectado e qualquer usuário que não tenha conseguido efetuar login em seu site. Esse recurso pode ser a diferença em um site seguro com vários usuários satisfeitos ou em um site comprometido onde alguém tem acesso que não deveria.

Ver logins com falha pode indicar um ataque de força bruta, enquanto ver usuários atualmente logados permite que você saiba quais contas já foram comprometidas. Por exemplo, a Sucuri está mostrando que Bob Smith está conectado ao seu site, mas Bob se aposentou da empresa há três anos ... provavelmente algo está errado e esse acesso não é autorizado.

Todas as medidas preventivas, proteção de sites e proteção por senha no mundo são inúteis, uma vez que alguém tem acesso legítimo ao seu site com permissões ativas.

Sucuri grátis vs Premium

Não temos escrúpulos em dizer que a Sucuri é um serviço fantástico que protege o seu site e merece ser destacado como um padrão de referência em segurança WP. A versão gratuita do Sucuri funciona bem como um scanner e ferramenta onde você pode ser proativo contra ameaças.

Se, no entanto, você quiser uma abordagem mais direta ao usar a Sucuri, será necessário fazer um upgrade. A versão gratuita não vem com WAF, que consideramos necessário para a segurança nos dias de hoje. Você deve atualizar para habilitá-lo.

Os planos para o WAF Sucuri começam em US $ 9,99 por mês . Esta é a parte em que as coisas ficam complicadas, no entanto. O plano de US $ 9,99 não inclui limpeza de malware / hack (nem o plano de US $ 19,98 por mês). Se você assinar o plano de plataforma deles por US $ 199,99 por ano , terá isso além de outros recursos, como integração de CDN e muito mais.

No entanto, o verdadeiro problema é que nenhum dos planos básicos da Sucuri (US $ 9,99 / mês para WAF ou US $ 199,99 / ano para plataforma) inclui suporte para Certificado SSL existente. Como o Google praticamente exigiu que os sites usassem certificados SSL como um fator de classificação de página, não ter suporte a certificados SSL nos planos básicos torna os planos básicos inúteis para quase todos os clientes .

Listar um preço mais baixo, mas remover um recurso tão fundamental como o suporte ao certificado SSL cria uma falsa ideia de que o serviço completo está disponível por esse preço, quando na verdade não está. Os planos Pro são realmente os planos básicos, e o nível Básico existe (aparentemente) como uma jogada de marketing para poder anunciar “planos tão baixos quanto $ 9,99 / mês” quando esse plano é insustentável para a maioria dos usuários.

Na realidade, os planos da Sucuri começam em US $ 19,98 por mês para acesso WAF e US $ 299,99 por ano para a plataforma completa . Esses não são preços absurdos e eles oferecem ótimos recursos para esses preços. No entanto, não somos fãs da forma como as camadas de preços são tratadas.

Wordfence vs Sucuri

Ao olhar para as versões gratuitas de ambos, o que realmente importa é o que seu site precisa. Para usuários do tipo "configure e esqueça", o Wordfence é o primeiro lugar. Varreduras automatizadas, alertas de e-mail, configurações padrão de WAF decentes e autenticação de dois fatores tornam o Wordfence nossa escolha para usuários gratuitos . O plugin simplesmente oferece muito de graça para ser destronado.

No entanto, ao olhar para as versões premium, os usuários da Sucuri obtêm mais valor agregado por seu dinheiro . Onde as atualizações premium do Wordfence são boas para manter a proteção do seu site atualizada contra ameaças emergentes, a Sucuri adiciona um pouco aos recursos que destacamos acima. Integração de CDN, WAF continuamente atualizado, proteção contra DDoS e remoção de malware / limpeza de site. E mais. Com isso em mente, a Sucuri sai por cima.

No entanto, queremos qualificar isso dizendo que o Wordfence premium é 1/3 do preço do Sucuri premium. A diferença em $ 99,99 por ano e $ 299,99 não é insignificante. Com isso em mente, nossa sugestão é usar o Wordfence para proteger seu site gratuitamente (ou barato), e se você precisar de mais recursos de segurança, dê uma olhada nos planos da Sucuri para ver se sua plataforma oferece o suficiente para o preço aumentado.

Quais têm sido suas experiências ao lidar com Wordfence vs Sucuri?