Scegliere il miglior plug-in di sicurezza per WordPress: i primi 12 plug-in a confronto

La sicurezza è assolutamente fondamentale se possiedi un blog, un sito per piccole imprese o un negozio di e-commerce. Dopotutto, se il tuo sito viene violato, rischi di danneggiare la tua reputazione, perdere file e database, danneggiare le tue classifiche SEO e consegnare i dati personali di clienti e visitatori agli hacker.

Come per molte cose nella vita, la prevenzione è molto meglio del trattamento. E, per fortuna, WordPress rende facile proteggere il tuo sito e prevenire un hack.

Daremo uno sguardo approfondito a 12 dei migliori plug-in di sicurezza di WordPress, li confronteremo in una varietà di aree e ti aiuteremo a scegliere il miglior plug-in per il tuo particolare sito. Inoltre, risponderemo ad alcune comuni domande sulla sicurezza di WordPress.

Ho bisogno di un plugin di sicurezza per WordPress?

Non hai necessariamente bisogno di un plug-in di sicurezza di WordPress per eseguire un sito sicuro. Molte best practice, come aggiornamenti regolari e password sicure, possono essere implementate senza. Tuttavia, i migliori plug-in di sicurezza di WordPress portano le cose al livello successivo, aggiungendo un ulteriore livello di sicurezza e semplificando l'aggiunta di una protezione avanzata senza l'aiuto di uno sviluppatore.

E la sicurezza è un'area su cui non vuoi lesinare. Indipendentemente dal tipo di sito che gestisci, un hack potrebbe influire seriamente sul modo in cui visitatori, clienti e clienti percepiscono il tuo marchio. Può anche danneggiare il posizionamento nei motori di ricerca (a Google non piacciono i siti non sicuri), ridurre il numero di vendite e contatti ricevuti e mettere a rischio informazioni come i dati delle carte di credito.

Quindi, sebbene un plug-in di sicurezza per WordPress non sia necessariamente richiesto, è una buona idea utilizzarne uno per qualsiasi sito.

Confronto dei migliori plugin di sicurezza per WordPress

Confrontiamo i primi dodici plugin di sicurezza di WordPress per aiutarti a scegliere l'opzione migliore per il tuo sito:

Puoi utilizzare l'elenco sopra per scorrere rapidamente fino a plug-in specifici e rivedere le loro funzionalità più importanti, le opzioni di prezzo e, soprattutto, come possono aiutare a proteggere il tuo sito web.

1. Sicurezza Jetpack

A differenza di molti altri plugin, Jetpack Security si occupa di molteplici attività: le funzionalità gratuite ea pagamento includono qualsiasi cosa, dalla prevenzione degli attacchi di forza bruta al monitoraggio dei tempi di inattività, backup, scansione malware, protezione antispam e altro ancora. Queste funzionalità si combinano per creare un plug-in di sicurezza olistico per WordPress che è facile da usare per i principianti ma abbastanza completo per il sito più grande. E, come bonus, poiché le scansioni vengono eseguite sui server Jetpack, non rallenteranno il tuo sito web.

Jetpack è anche creato e supportato dalle persone dietro WordPress.com, in particolare per WordPress. Il team di Jetpack conosce WordPress dentro e fuori e comprende i problemi esatti che i proprietari di siti WordPress devono affrontare ogni giorno, motivo per cui è esattamente il miglior plug-in di sicurezza disponibile.

Caratteristiche principali di Jetpack Security:

• Backup automatici giornalieri e in tempo reale
• Scansioni malware giornaliere e in tempo reale
• Prevenzione automatica dello spam
• Un registro dettagliato delle attività che mostra tutto ciò che accade sul tuo sito
• Monitoraggio dei tempi di fermo
• Protezione dagli attacchi di forza bruta
• Autenticazione a due fattori
• Un'app mobile con avvisi e accesso a backup, risultati della scansione e registro attività

Diamo un'occhiata ad alcune di queste funzionalità in modo un po' più dettagliato.

Protezione dagli attacchi di forza bruta

Un attacco di forza bruta si verifica quando gli hacker utilizzano i bot per indovinare le combinazioni di nome utente e password finché non trovano quella giusta. Poiché utilizzano grandi reti di computer, possono provare migliaia di password al secondo.

La funzione di protezione dagli attacchi di forza bruta di Jetpack blocca i tentativi di accesso indesiderati da IP dannosi prima che raggiungano il tuo sito.

Monitoraggio dei tempi di fermo

Il monitoraggio dei tempi di inattività di Jetpack visita il tuo sito Web da località di tutto il mondo e ti invia un avviso istantaneo in caso di guasto. Perché è utile? Non puoi risolvere un problema che non conosci! Se il tuo sito web non funziona per un lungo periodo di tempo, potresti perdere traffico, vendite e persino il posizionamento sui motori di ricerca. Con il monitoraggio dei tempi di inattività, sarai subito a conoscenza dei problemi in modo da poterli risolvere il più rapidamente possibile.

Autenticazione a due fattori

L'autenticazione a due fattori aggiunge un ulteriore livello di sicurezza alla tua pagina di accesso richiedendo più di un semplice nome utente e password. Quando accedi al tuo sito, Jetpack invierà un codice al tuo telefono che dovrai inserire. Ciò significa che, affinché un hacker possa entrare, dovrebbe conoscere il tuo nome utente e password e avere fisicamente il tuo dispositivo mobile, una combinazione improbabile.

Backup automatici

Se il tuo sito si interrompe per qualsiasi motivo, un backup completo sarà inestimabile. Immagina di perdere tutto il tuo duro lavoro, i soldi che hai investito e i dati dei tuoi clienti o visitatori. I backup di WordPress offrono tranquillità.

Ma non tutte le soluzioni di backup sono uguali. I backup di Jetpack sono:

• Automatizzato , quindi non è necessario creare manualmente i backup.
• Sicuro , così i tuoi backup sono protetti e sempre disponibili.
• Facile da configurare , particolarmente utile se non si ha familiarità con la codifica o la gestione del server.
• Veloce da ripristinare , in modo da poter ripristinare il funzionamento del tuo sito il più rapidamente possibile.
• Disponibile in due formati : giornaliero e in tempo reale.

I backup giornalieri vengono eseguiti automaticamente una volta al giorno e sono un'ottima soluzione per ristoranti, blog e altri siti Web che non vengono aggiornati più di una volta ogni 24 ore.

I backup in tempo reale vengono eseguiti automaticamente mentre lavori, così hai una registrazione aggiornata al minuto del tuo sito web: ogni modifica viene salvata mentre la apporti. Sono perfetti per negozi online, siti di abbonamento, forum e qualsiasi sito Web aggiornato regolarmente.

Indipendentemente dall'opzione scelta, puoi fidarti del backup del tuo sito e che può essere ripristinato in pochi clic se ne hai bisogno.

Scansione malware automatizzata

Se un hacker accede al tuo sito Web, può creare una "backdoor", un tipo di malware che consente loro di accedere al tuo sito ogni volta che vogliono rubare dati o inserire malware o virus a tua insaputa. Il malware compromette la tua reputazione e mette a rischio le tue informazioni e i dati dei tuoi clienti.

È qui che entra in gioco Jetpack Scan. Esegue scansioni malware giornaliere automatiche del codice del tuo sito, controllando qualsiasi cosa sospetta. Nel momento in cui rileva una minaccia, riceverai una notifica e-mail con informazioni dettagliate sui file infetti.

E migliora: Jetpack risolve automaticamente la maggior parte delle minacce conosciute. Quindi non solo saprai subito dei problemi, ma probabilmente non dovrai muovere un dito per risolverli.

Filtraggio automatico dello spam

Lo spam si presenta spesso sotto forma di commenti irrilevanti che includono collegamenti a siti Web poco affidabili. Con il software giusto, gli spammer possono lasciare milioni di commenti, che diventano rapidamente ingestibili.

Jetpack Anti-spam filtra automaticamente commenti, pingback e invii di moduli di contatto per spam noto, facendoti risparmiare ore di tempo. Se sei preoccupato che i commenti reali vengano contrassegnati come spam, puoi esaminarli e ripristinare tutto ciò che desideri, o semplicemente impostare Jetpack per eliminare i commenti peggiori in modo da non doverli mai vedere.

L'app mobile Jetpack

Gli hacker non si fermano solo perché sei lontano dal tuo computer. Con l'app mobile Jetpack, puoi controllare l'attività del sito, ripristinare un backup e visualizzare i risultati della scansione del malware, indipendentemente da dove ti trovi.

Inoltre, riceverai avvisi istantanei se il tuo sito Web non funziona o se viene rilevato malware, per la massima tranquillità. Trova qualcosa che non va? Puoi risolvere la maggior parte delle minacce conosciute con un clic, direttamente dall'app.

Facilità d'uso:

Jetpack è progettato in modo tale che qualsiasi proprietario di siti Web possa utilizzarlo, indipendentemente dal livello di abilità tecnica. Tutte le funzionalità possono essere attivate in pochi clic, senza che siano necessarie conoscenze di programmazione o sviluppatori.

Supporto e documentazione:

Jetpack è gestito e supportato da esperti di WordPress che si preoccupano veramente di te, del tuo sito e della tua attività — appropriatamente, sono chiamati Happiness Engineers. Un piano gratuito include supporto e-mail di alta qualità e i piani a pagamento offrono un'attenzione più rapida e prioritaria in modo da ottenere l'aiuto di cui hai bisogno proprio quando ne hai bisogno.

C'è anche un'ampia documentazione che ti guida attraverso l'installazione e la risoluzione dei problemi.

Prezzi e opzioni di piano:

• Jetpack Free include il monitoraggio dei tempi di inattività, la protezione dagli attacchi di forza bruta e un registro delle attività con gli ultimi 20 eventi gratuitamente.
• Jetpack Security Daily include tutte le funzionalità, insieme a backup giornalieri, scansioni di sicurezza giornaliere e un registro delle attività di 30 giorni a partire da $ 11,97 al mese.
• Jetpack Security Real-time include tutte le funzionalità, insieme a backup in tempo reale, scansioni di sicurezza in tempo reale e un registro delle attività di un anno a partire da $ 33,57 al mese.
• Puoi anche acquistare alcune funzionalità singolarmente, come Jetpack Backup, Jetpack Scan e Jetpack Anti-spam a partire da $ 4,77 al mese.

Ottimo per:

Blog, negozi di eCommerce e siti Web di qualsiasi dimensione. Jetpack Security è il plug-in di sicurezza WordPress più completo e migliore per praticamente qualsiasi scenario.

2. Recinzione di parole

Wordfence è un firewall per applicazioni Web che offre anche alcune funzionalità aggiuntive come la scansione del malware. Poiché il firewall è un firewall per gli endpoint, si integra profondamente con WordPress, non può essere aggirato e non può divulgare dati. Questo lo rende molto più sicuro delle alternative cloud.

Dopo aver configurato Wordfence, riceverai notifiche e-mail se rileva qualcosa di relativo come un plug-in obsoleto, un pezzo di codice dannoso o un virus.

Tuttavia, Wordfence ha la reputazione di rallentare il tuo sito, poiché aggiunge molte tabelle di database pesanti e mette a dura prova il tuo server durante le scansioni di malware.

Caratteristiche principali di Wordfence:

• Un firewall per applicazioni web
• Uno scanner di sicurezza
• Protezione con password trapelata
• Autenticazione a due fattori
• Blocco manuale e blocco paese
• Riparazione automatizzata dei file

Diamo un'occhiata più da vicino ad alcune di queste caratteristiche.

Firewall per applicazioni web

Il firewall è sicuramente la caratteristica più potente di Wordfence. Sfrutta i dati raccolti dagli oltre quattro milioni di siti Web che protegge per capire come attaccano gli hacker, che aspetto hanno gli attacchi e da dove provengono. Aggiornano regolarmente le regole del firewall e l'elenco di indirizzi IP dannosi che bloccano per una protezione costante.

Scanner di sicurezza

Lo scanner di sicurezza controlla il tuo sito alla ricerca di malware, URL non validi, spam, reindirizzamenti dannosi e iniezioni di codice. Segnala anche eventuali modifiche apportate ai file principali di WordPress, vulnerabilità di sicurezza note e plug-in obsoleti.

Blocco manuale e blocco paese

I piani premium forniscono l'accesso a queste funzionalità, che essenzialmente aggiungono solo ulteriore potenza al firewall. Con il blocco manuale, puoi scegliere di bloccare intere reti dannose o qualsiasi attività umana o robotica che desideri. Con il blocco del paese, puoi bloccare tutto il traffico da un paese specifico, il che può essere particolarmente utile durante un attacco. Tieni presente che il blocco del Paese a lungo termine non è raccomandato per scopi SEO.

Riparazione automatizzata dei file

Se Wordfence rileva che un file principale di WordPress è stato modificato in modo sgradevole, puoi riportare il file al suo stato originale con un solo clic. È importante notare, tuttavia, che questo è diverso dalla rimozione di malware o dalla riparazione di un sito compromesso, che ti costerà $ 490 aggiuntivi da Wordfence.

Facilità d'uso:

Mentre Wordfence può essere utilizzato da chi non ha conoscenze tecniche, il pannello delle impostazioni può essere opprimente e complicato. Tutte le funzionalità sono elencate contemporaneamente e può essere difficile capire di cosa ha bisogno il tuo sito. Per impostazione predefinita, Wordfence invia anche molti avvisi e-mail, molti dei quali non richiedono alcuna risposta dal proprietario del sito e può essere difficile per i principianti capire cosa devono fare con ciascuno di essi.

Supporto e documentazione:

Wordfence fornisce supporto gratuito tramite i forum di WordPress e supporto premium tramite un sistema di ticketing online. Hanno anche un database di documentazione che fornisce dettagli sulla configurazione e sulla risoluzione dei problemi del plug-in.

Prezzi e opzioni di piano:

• Wordfence Free include il firewall delle applicazioni Web di base, lo scanner di malware e la protezione dagli attacchi di forza bruta gratuitamente.
• Wordfence Premium aggiunge funzionalità come aggiornamenti del firewall in tempo reale, controlli dell'elenco di blocco IP e blocco del paese per $ 99 all'anno.

Ottimo per:

Piccoli siti Web che cercano specificamente un firewall e non hanno bisogno di proteggere dati importanti come le informazioni sulla carta di credito. Sebbene Wordfence includa funzionalità aggiuntive, non è il plug-in di sicurezza di WordPress più completo in questo elenco. Il firewall delle applicazioni Web è ciò che lo distingue.

3. Sicurezza di iThemes

iThemes Security è un plug-in freemium che si concentra maggiormente sul rafforzamento del tuo sito, aggiungendo livelli di protezione, che sull'identificazione e sulla risoluzione degli hack. Lo fanno attraverso misure di sicurezza come l'impostazione di autorizzazioni file corrette, l'applicazione di password complesse e la modifica degli URL di accesso.

Caratteristiche principali di iThemes Security:

• Protezione dalla forza bruta
• Cambio file e rilevamento 404
• Backup del database
• Nascondere la pagina di accesso e di amministrazione
• Forte protezione con password
• Autenticazione a due fattori

Ecco maggiori dettagli su alcune di queste funzionalità:

Protezione dalla forza bruta

Blocca le persone quando tentano di entrare più volte e falliscono. Ciò impedisce ai robot di indovinare la combinazione di password e nome utente migliaia di volte in un breve lasso di tempo.

Backup del database

Genera automaticamente backup del tuo database, che ti vengono poi inviati via email. Tieni presente che questo include solo il database, non i tuoi file, file multimediali, plug-in o temi.

Nascondi pagina di accesso

Per impostazione predefinita, tutti i siti WordPress utilizzano l'URL /wp-admin per la pagina di accesso e dashboard. Questo, ovviamente, rende molto facile per gli hacker trovare quella pagina, poiché è sempre la stessa. La modifica dell'URL in qualcos'altro, cosa che iThemes Security ti consente di fare senza codice personalizzato, aggiunge un ulteriore livello di protezione.

Facilità d'uso:

Come Wordfence, la dashboard delle impostazioni di iThemes può essere opprimente per i principianti e per gli utenti non tecnici. Ci sono molte piccole impostazioni che possono essere attivate o disattivate ed è difficile sapere quali sono adatte al tuo sito.

Supporto e documentazione:

La versione gratuita di iThemes Security viene eseguita tramite i forum di WordPress.org. La versione premium include un sistema di supporto con ticket. È inoltre disponibile un'ampia documentazione.

Prezzi e opzioni di piano:

• iThemes Security Free include misure di rafforzamento, backup del database, protezione dagli attacchi di forza bruta e protezione dalle modifiche ai file (tra le altre funzionalità) a costo zero.
• iThemes Blogger (Premium) aggiunge scansioni malware pianificate, autenticazione a due fattori e reCAPTCHA (tra le altre funzionalità) e costa $ 80 all'anno per sito.

Ottimo per:

Protezione dell'accesso e consolidamento del sito. Sebbene siano incluse una varietà di altre funzionalità, molti degli altri plugin di sicurezza di WordPress le gestiscono meglio, in un modo che è più facile per gli utenti.

4. Sucuri

Sucuri è una soluzione di sicurezza WordPress basata su cloud, il che significa che funziona completamente sui propri server, impedendo che i tuoi ritardi. Non è stato creato appositamente per WordPress e funziona con qualsiasi piattaforma o sistema di gestione dei contenuti. Sebbene offra firewall per applicazioni Web e strumenti di scansione malware, i suoi servizi di pulizia brillano davvero.

È importante notare che Sucuri separa molto chiaramente le sue funzionalità gratuite e premium. Il plug-in gratuito offre la scansione del malware e il rafforzamento di WordPress, mentre la versione premium include il firewall delle applicazioni Web e i servizi di pulizia degli hacker.

Caratteristiche principali di Sucuri:

• Scansione malware
• Monitoraggio dello stato della block list
• Un firewall per applicazioni web
• Mitigazione del DDoS (Distributed Denial of Service).
• Prevenzione degli attacchi di forza bruta
• Servizi di pulizia del sito web

Esaminiamo alcuni di questi ancora più da vicino.

Monitoraggio dello stato della block list

Sucuri esegue il tuo URL attraverso una varietà di servizi per vedere se sei nella lista bloccata. E, poiché i siti bloccati perdono una quantità significativa di traffico, questo può essere un enorme vantaggio.

Mitigazione del DDoS (Distributed Denial of Service).

Gli attacchi DDoS sono tentativi dannosi di interrompere il traffico di un server sovraccaricandolo con un flusso di traffico falso. Ciò essenzialmente impedisce a visitatori e clienti normali e legittimi di accedere al tuo sito web. La funzione di mitigazione DDoS di Sucuri blocca questi attacchi.

Servizi di pulizia del sito web

Il team di esperti di Sucuri è disponibile per riparare e ripristinare il tuo sito dopo un hack. Rimuovono il codice dannoso dai file e dal database, inviano richieste di rimozione della blocklist e riparano lo spam SEO (come le iniezioni di link).

Facilità d'uso:

La configurazione della versione premium di Sucuri può diventare un po' complicata per i non sviluppatori, poiché devi modificare le impostazioni DNS del tuo dominio per utilizzare i server di Sucuri. L'installazione del plugin gratuito di WordPress è molto più semplice e facile per i non sviluppatori.

Supporto e documentazione:

Il supporto per la versione gratuita è offerto tramite i forum di supporto di WordPress, mentre la versione premium utilizza un sistema di ticketing. È inoltre disponibile un'ampia base di conoscenze per rispondere alle domande più comuni.

Prezzi e opzioni di piano:

• Sucuri Free include la scansione del malware, il monitoraggio della blocklist e il rafforzamento di WordPress senza alcun costo.
• Sucuri Basic aggiunge un firewall per applicazioni Web e servizi di pulizia per $ 199 all'anno. Tuttavia, non esiste un tempo di risposta garantito per la pulizia e le scansioni del malware vengono eseguite ogni 12 ore.
• Sucuri Pro costa $ 299,99 all'anno e include tutto nel piano Basic, ma aumenta la frequenza delle scansioni del malware a sei ore.
• Sucuri Business aumenta la frequenza delle scansioni malware ogni 30 minuti e garantisce un tempo di risposta agli hack di sei ore. Questi vantaggi vengono con una tariffa annuale di $ 499,99.

Ottimo per:

Rafforzamento e pulizia di un sito Web dopo che è stato violato. Poiché la versione gratuita del plug-in non include funzionalità essenziali come un firewall, è meglio attenersi alla versione premium o scegliere un'altra opzione di plug-in.

5. Protezione e firewall WP tutto in uno

Il plug-in All in One WP Security and Firewall è una soluzione WordPress completamente gratuita e completa, come suggerisce il nome. Divide le sue funzionalità in categorie in base al loro livello di sicurezza (e alla probabilità che possano violare qualcosa sul tuo sito), quindi ce n'è per tutti i gusti, indipendentemente dal livello di abilità.

Tuttavia, tutte le funzionalità sono incentrate sulla protezione del tuo sito dagli hack piuttosto che sulla scansione alla ricerca di malware e sulla pulizia di un sito compromesso.

Caratteristiche principali di All in One WP Security e Firewall:

• Rafforzamento dell'account utente
• Sicurezza della pagina di accesso
• Backup del database
• Sicurezza del file system
• Funzionalità lista nera
• Un firewall
• Uno scanner di sicurezza
• Protezione dagli attacchi di forza bruta

Ecco alcune informazioni in più su alcune di queste funzionalità:

Sicurezza della pagina di accesso

Il plug-in blocca gli utenti dopo un certo numero di tentativi di accesso, forza il logout dopo un determinato periodo di tempo, aggiunge reCAPTCHA alla pagina di accesso e registra ogni accesso e ogni logout. Questo aiuta a proteggere il tuo sito sia dagli hacker che dai bot.

Sicurezza del file system

All in One WP Security and Firewall controlla i tuoi file e cartelle per problemi di autorizzazione e ti consente di risolverli con un solo clic. Consente inoltre di impedire a hacker e bot di visualizzare file facilmente compromessi (come readme.html, license.txt) e disabilita la modifica dei file.

Scanner di sicurezza

Lo scanner di sicurezza verifica la presenza di modifiche nei file confrontandole con i file WordPress principali predefiniti. Tieni presente che questo non risolve i problemi per te o esegue la scansione di malware.

Facilità d'uso:

Poiché le funzionalità sono divise in base al livello di sicurezza, separando quelle che potrebbero danneggiare il tuo sito da quelle che non potrebbero, è un plug-in facile da utilizzare per i principianti. Dispone inoltre di un misuratore di forza di sicurezza che ti offre una rapida panoramica di dove ti trovi in ​​un dato momento.

Supporto e documentazione:

Il supporto è disponibile solo attraverso i forum di WordPress.org e la documentazione è limitata su alcune funzionalità.

Prezzi e opzioni di piano:

Esiste solo una versione di questo plugin, la versione gratuita, che include tutte le funzionalità.

Ottimo per:

Principianti e siti web di base. È facile iniziare in tempi relativamente brevi senza interrompere il tuo sito. Ma, poiché non esiste una versione premium di questo plugin, manca di funzionalità preziose come la scansione e la rimozione del malware. Questa potrebbe essere una buona soluzione per i blog di hobby che non vogliono investire molto nella sicurezza del loro sito web.

6. Difensore professionista

Defender Pro è stato creato da WPMU DEV, una società di sviluppo WordPress che crea soluzioni per qualsiasi cosa, dalla sicurezza e opt-in a quiz e analisi. Può essere acquistato separatamente o come parte di una suite di strumenti per siti Web.

Caratteristiche principali di Defender Pro:

• Scansione di sicurezza
• Protezione dell'accesso
• Autenticazione a due fattori
• Monitoraggio della block list
• Ripristino e riparazione dei file modificati

Facilità d'uso:

Defender Pro include una procedura guidata di configurazione facile da usare, ideale per i principianti.

Supporto e documentazione:

WPMU Dev offre supporto per chat dal vivo, forum, e-mail e documentazione dettagliata.

Prezzi e opzioni di piano:

• Defender Pro costa solo $ 60 all'anno per le funzionalità sopra elencate.
• Il pacchetto Sicurezza e backup aggiunge prodotti aggiuntivi, come strumenti di backup e migrazione, per $ 90 all'anno.
• L'iscrizione a WPMU Dev è la suite completa di strumenti, inclusi opt-in, analisi, ecc. e costa $ 190 all'anno.

Ottimo per:

Siti che desiderano acquistare la suite di strumenti completa anziché solo la sicurezza. Sebbene Defender Pro sia un'opzione di sicurezza decente, manca di funzionalità chiave come un firewall e la prevenzione dello spam. Tuttavia, se incluso con la suite completa di strumenti WPMU Dev, è un bel bonus.

7. Sicurezza antiproiettile

Bulletproof Security è un plugin gratuito per WordPress rivolto specificamente agli sviluppatori. È completo e consente molte modifiche al back-end, ma è difficile da usare per i principianti.

Caratteristiche principali di sicurezza antiproiettile:

• Scanner di malware
• Cartelle di plugin nascoste
• Sicurezza e monitoraggio dell'accesso
• Disconnessione sessione inattiva
• Scadenza del cookie di autenticazione
• Registri di sicurezza
• Una varietà di altre funzionalità di sicurezza avanzate

Facilità d'uso:

Ancora una volta, questo non è un plugin progettato per i principianti. Sebbene fornisca una procedura guidata di configurazione, la modifica o la modifica delle impostazioni diventa molto complicata e potrebbe danneggiare il tuo sito.

Supporto e documentazione:

Il supporto per il plug-in gratuito viene fornito tramite i forum di WordPress.org. Il supporto Premium viene fornito tramite uno speciale forum di supporto. Sono disponibili documentazione limitata e tutorial video.

Prezzi e opzioni di piano:

• BulletProof Security Free offre molte delle funzionalità sopra elencate senza costi aggiuntivi.
• BulletProof Security Pro include installazioni illimitate e funzionalità avanzate (come backup e monitoraggio del database, firewall plug-in e ripristino automatico dei file del sito Web) per $ 69,95.

Ottimo per:

Sviluppatori e utenti avanzati che desiderano personalizzare personalmente tutti gli aspetti della sicurezza del proprio sito web.

8. Ninja della sicurezza

Sebbene Security Ninja sia una soluzione di sicurezza relativamente completa, la sua "pretesa di fama" sono gli oltre 50 controlli di sicurezza integrati. Questi test coprono tutto, dai temi e plug-in aggiornati alle versioni di WordPress, all'accessibilità dei file e ai prefissi delle tabelle del database.

Caratteristiche principali di Security Ninja:

• Un firewall per applicazioni web
• Scansione malware
• Protezione del modulo di accesso
• Scansioni delle vulnerabilità dei plug-in
• Registrazione eventi

Facilità d'uso:

Questo plugin è relativamente facile da usare, ma richiede un po' di lavoro. Non risolve automaticamente i problemi che trova. Invece, sei completamente responsabile del tuo sito e delle correzioni di sicurezza. Questo, ovviamente, può essere un vantaggio per coloro che sanno cosa stanno facendo, ma può anche essere difficile per i principianti. Nota che la versione Pro, tuttavia, risolve automaticamente circa 30 problemi, se dovessi scegliere di intraprendere quella strada.

Supporto e documentazione:

Il supporto per la versione gratuita viene fornito tramite i forum di WordPress.org, mentre la versione Pro include un sistema di ticket di supporto. È disponibile una documentazione dettagliata.

Prezzi e opzioni di piano:

• Security Ninja Free include gli oltre 50 controlli di sicurezza sopra menzionati gratuitamente.
• Security Ninja Starter aggiunge un firewall, uno scanner di malware, un riparatore automatico e altro per $ 49 all'anno per un sito. Se desideri coprire più di un singolo sito, puoi acquistare il loro piano plus (tre siti) per $ 129 all'anno o il piano pro (cinque siti) per $ 199 all'anno. Ogni piano ha anche l'opzione per una licenza a vita a un costo premium.

Ottimo per:

Siti che vogliono un quadro molto chiaro di dove si trovano, insieme a quelli che hanno almeno una conoscenza di livello medio di WordPress e della sicurezza.

9. SecuPress

SecuPress racchiude molte funzionalità di sicurezza in un unico plugin senza sovraccaricare il tuo sito. Sia la versione gratuita che quella premium sono facili da usare per persone di tutti i livelli. Una delle migliori caratteristiche è il Rapporto sulla sicurezza, che ti consente di sapere dove si trova il tuo sito e fornisce chiari consigli per il miglioramento.

Caratteristiche principali di SecuPress:

• Uno scanner per la salute del sito
• Limita i tentativi di accesso
• Funzionalità di rafforzamento di WordPress
• Autenticazione a due fattori
• Scansione malware
• Backup di database e file

Facilità d'uso:

SecuPress ha un'interfaccia semplice che è facile da navigare per i proprietari di siti di qualsiasi livello di abilità. Classifica le funzionalità in base al loro scopo e spiega cosa fa ciascuna in loco.

Supporto e documentazione:

La versione gratuita include il supporto tramite i forum di WordPress, mentre la versione premium include un sistema di ticketing.

Prezzi e opzioni di piano:

• SecuPress Free include lo scanner della salute, molte funzioni di protezione avanzata e limita i tentativi di accesso (tra le altre funzionalità) senza alcun costo.
• SecuPress Pro aggiunge autenticazione a due fattori, scansione malware e backup, tra le altre funzionalità avanzate, per $ 69,99 all'anno.

Ottimo per:

Piccole imprese, in particolare quelle che possono investire dei soldi in un plug-in di sicurezza di WordPress. Poiché la versione gratuita non include le funzionalità più preziose come la scansione del malware, si consiglia di acquistare la versione premium.

10. Sicurezza Astra

Astra Security è uno strumento di sicurezza premium che si descrive come una "suite di sicurezza all-in-one per una protezione completa, senza problemi". È importante notare che, sebbene protegga i siti WordPress, non è stato creato specificamente per WordPress e funziona per qualsiasi tipo di sito. Dal momento che non è incentrato su WordPress, potresti perdere preziose funzionalità specifiche della piattaforma.

Caratteristiche principali di Astra Security:

• Un firewall per siti web
• Scansione e pulizia del malware
• Monitoraggio della block list
• Cattiva protezione del bot
• Blocco IP e Paese

Facilità d'uso:

Astra Security è facile da configurare e relativamente facile da configurare. Anche il team di supporto premium è disponibile per aiutare.

Supporto e documentazione:

Il livello di supporto che ottieni dipende dal piano che acquisti. Il supporto viene fornito tramite una chat dal vivo 24 ore su 24, 7 giorni su 7 e sono disponibili sia documentazione che una base di conoscenza per iniziare.

Prezzi e opzioni di piano:

• Il piano Pro include un firewall, pulizia del malware entro 12 ore, uno scanner di malware, protezione da bot dannosi e supporto Bronze (tra le altre funzionalità) per $ 228 all'anno.
• Il piano avanzato aggiunge oltre 300 test di sicurezza, pulizia del malware entro otto ore, prevenzione dello spam e supporto argento (tra le altre funzionalità) per $ 468 all'anno.
• Il piano aziendale aggiunge la pulizia del malware entro sei ore, oltre 500 test di sicurezza e il supporto Gold (tra le altre funzionalità) per $ 1428 all'anno.

Ottimo per:

Aziende più grandi, in particolare quelle con più siti su piattaforme diverse. Poiché questa è un'opzione più costosa e non è stata creata specificamente per WordPress, molto probabilmente non è la scelta migliore per la maggior parte dei blog e delle aziende WordPress.

11. WPScan

WPScan è un plug-in freemium con funzionalità singola che si concentra specificamente sul test della sicurezza del tuo sito. Sebbene sia l'unico plug-in a funzionalità singola in questo elenco, è incluso perché eccelle in ciò che fa e offre qualcosa che la maggior parte degli altri plug-in non ha. Contiene un ampio database di vulnerabilità a cui fa riferimento durante la scansione.

Caratteristiche principali di WPScan:

• Esegue la scansione di oltre 21.000 vulnerabilità di sicurezza note in WordPress, plug-in e temi
• Controlla i file debug.log, i file di backup wp-config.php e i file di database esportati che potrebbero comportare rischi per la sicurezza
• Cerca password deboli
• Verifica se XML-RPC e le chiavi segrete predefinite sono abilitate o utilizzate

Facilità d'uso:

Il plugin è molto facile da configurare. Tutto quello che devi fare è registrarti per una chiave API sul loro sito Web, aggiungere quella chiave al plug-in installato e scegliere tra le impostazioni di base.

Supporto e documentazione:

Il supporto viene fornito tramite i forum di WordPress e sono disponibili istruzioni di base.

Prezzi e opzioni di piano:

Il prezzo si basa sul numero di richieste API di cui hai bisogno al giorno. WPScan effettua una richiesta API per il core di WordPress, una per ogni tema installato e una per ogni plugin che utilizzi. Quindi, se hai dieci plugin installati e un tema, sarebbero 12 richieste API al giorno.

• Il piano gratuito include 25 richieste API. La stragrande maggioranza dei siti cadrà in questo.
• Il piano Starter include 75 richieste API e costa 5 € al mese.
• Il piano Professional include 300 richieste API e costa € 25 al mese.

Ottimo per:

Qualsiasi sito che desideri monitorare le vulnerabilità della sicurezza e non utilizza un plug-in di sicurezza che includa questa funzionalità. Tuttavia, è importante notare che questo non è un pacchetto di sicurezza completo e dovrebbe essere utilizzato in aggiunta a qualcos'altro.

12. Scudo di sicurezza

Shield Security utilizza una strategia semplice: iniziare con la prevenzione, quindi fornire anche una soluzione se un sito viene violato. E poiché i bot sono responsabili della maggior parte dei problemi di sicurezza, Shield Security si dedica specificamente a impedire loro di raggiungere il tuo sito. Offrono anche funzionalità che proteggono i comuni plugin di WordPress come Yoast, Gravity Forms, Advanced Custom Fields, Contact Form 7 ed Elementor.

Caratteristiche principali di Shield Security:

• Un motore di rilevamento anti-bot
• Uno scanner di malware e vulnerabilità
• Rilevamento spam
• Autenticazione a due fattori
• Un firewall per applicazioni web

Facilità d'uso:

È relativamente semplice iniziare, ma fornisce molte informazioni e impostazioni che possono essere opprimenti per i principianti.

Supporto e documentazione:

Il supporto gratuito viene fornito tramite i forum di WordPress.org. Il supporto premium è offerto tramite un sistema di ticketing. È inoltre disponibile un'ampia documentazione, insieme a corsi online.

Prezzi e opzioni di piano:

• ShieldFREE include il rilevamento dei bot, l'autenticazione a due fattori e un firewall (tra le altre funzionalità) gratuitamente.
• ShieldPRO aggiunge uno scanner di malware, uno scanner di vulnerabilità e la prevenzione dello spam (tra le altre funzionalità) per $ 79 all'anno.

Ottimo per:

Proprietari di siti Web con una comprensione moderata della sicurezza, che possono investire dei soldi in un plug-in premium. Since the free version doesn't include a malware scanner, it's best to purchase the pro version.

How to choose the best security plugin for WordPress

While WordPress is very safe, it's always a good idea to add extra protection to secure your hard work and visitors' information. Sites can be targeted at any size, but the importance of extra security grows along with a site's popularity and volume of content.

The easiest way to boost security is through a reputable plugin. But choosing the best WordPress security plugin for your site can get tricky because there are so many different options! Site owners should consider available prevention and cleanup features, along with cost and required technical knowledge.

Backed by a team of WordPress experts, Jetpack is the top choice for WordPress website security. It balances robust prevention and resolution features with reasonable costs, easy setup, and superior support.

If you're just looking for a security scanning tool and don't want all the other features and functionality, WPScan is a great choice. Not only is it completely free, it also excels at identifying security vulnerabilities to help you harden and lock down your WordPress site.

Or if you're a developer who's looking for an advanced, customizable option, you may want to consider BulletProof Security. It allows you to tweak just about everything in the backend so that you can provide unique, comprehensive security features for all of your client sites.

Frequently asked WordPress security questions

Does WordPress have security issues?

WordPress powers over 40% of the web and is the most popular content management system (CMS). While its popularity does make it a target for hackers, the software itself doesn't have security issues.

You see, hackers rarely access websites through vulnerabilities with WordPress. Instead, most sites are hacked due to preventable security issues like out-of-date plugins and themes, insecure passwords, or a poor hosting environment.

While no content management system is 100% secure, core WordPress developers work very hard to make it as safe as possible with each and every update. And, if you follow some basic best practices, you shouldn't have anything to worry about.

How can I improve my WordPress security?

1. Choose a quality hosting provider. Security starts with your host, so choose one with a good reputation. Look for features like automatic backups, an SSL certificate, a server-level firewall, and malware protection. And before purchasing a plan, check reviews for common security-related issues. See Jetpack's recommended WordPress hosting providers.
2. Regularly update WordPress, themes, and plugins. New releases often include patches for security vulnerabilities — along with additional features and functionality — so make sure that you're updating everything as soon as possible.
3. Choose reliable themes and plugins. Only install plugins and themes that come from a reliable source and have excellent reviews. And never purchase free (also called “nulled”) versions of premium themes and plugins. These are often full of malware and vulnerabilities.
4. Create secure usernames and passwords. Use a unique password for your WordPress site that's at least 20 characters in length and combines uppercase letters, lowercase letters, numbers, and symbols. This keeps both hackers and bots guessing.
5. Set appropriate user permissions. WordPress user roles define what actions each account can take on your site. Only give people the minimum role they need to do their job and remove any accounts that are no longer being used.
6. Take automatic backups that are stored off-site. Set up automated backups that happen, at a minimum, every 24 hours. Then, store these backups completely separately from your host, so that if anything happens to your server, your backup isn't affected.
7. Set up brute force attack protection. Brute force attacks occur when bots guess thousands of username/password combinations every minute to force their way into your site. But a good tool can block suspicious IP addresses before they even get to you.
8. Scan for malware. While you can't physically monitor your site for malware 24/7, choose a tool or plugin that can. Finding out the second anything suspicious happens enables you to solve the issue and prevent it from becoming widespread.
9. Set up two-factor authentication. Two-factor authentication requires both a password and physical device to log into your site. Typically, it sends a unique code to your phone, which you have to input to log in. This makes it nearly impossible for hackers to get in with a username and password.
10. Get rid of spam comments. I commenti spam non sono solo fastidiosi; they can include links to harmful phishing sites, therefore hurting your website visitors as well. You can get rid of these manually, or install a plugin that automatically filters comments and deletes spam.

Can WordPress plugins contain viruses?

Yes, unsafe WordPress plugins can contain viruses. Since WordPress is open source, anyone can modify and use its code to create new plugins. This is incredibly beneficial because it means that there's a solution for nearly any need, but it also means that unsavory developers can take advantage of the system.

But all you need is a little due diligence when selecting plugins. Always install them from trusted sources (like the WordPress.org repository) and check reviews thoroughly for signs of any issues. And, most importantly, never install nulled (or free) versions of premium plugins. These are often full of malware and vulnerabilities.

Can WordPress be hacked?

Yes, WordPress, like any other content management system, can be hacked. But the majority of hacks happen through completely preventable methods. If you put a few best practices into place — like choosing a high-quality host, setting secure passwords, updating your software, and installing a WordPress security plugin — there's no reason your site will be more vulnerable than any other.

What types of sites are most likely to be hacked?

While it may seem like hackers only target large websites with a lot of traffic, that's not really the case. The reality is that small businesses and blogs are just as likely to be attacked, but often have fewer security measures in place.

The majority of hackers don't target specific sites. Instead, they use automated bots to search the web, looking for easy opportunities. And automated bots don't discriminate.

Does my website need a firewall?

A good firewall is recommended for any website, because it acts as a shield between your site and all incoming traffic. A firewall should be included with any hosting plan you choose — this protects your site on a server level — but you should also install a web application firewall to secure your website against attacks specific to content management systems.

Think of a firewall as a guard standing at the door of your website. It monitors every visitor and bot that stops by, identifies suspicious characters (like bad IP addresses, botnets, and traffic to hidden pages) and blocks them before they even have a chance to attack. The best and easiest way to add a firewall to your WordPress site is with a plugin.

Is WordPress secure for eCommerce websites?

When it comes to WooCommerce security, it makes sense to be vigilant. After all, you're responsible for protecting customer data in addition to your site files and database. However, WordPress is an excellent, secure choice for an online store.

As the most popular content management system, it can be a target for hackers. However, it has a plethora of built-in security measures that will keep your site safe. And with a few best practices in place — like strong passwords, a quality host, and a great WordPress security plugin — you'll be set for success.

How do I check my WordPress security?

The best place to start is with a malware scanning tool. This will scan your website for any suspicious code and alert you if it finds anything. Some also fix any problems they find automatically.

Here are a few more ways to check your WordPress security:

• Assicurati che il tuo certificato SSL funzioni. Un certificato SSL protegge i dati trasmessi sul tuo sito, come il pagamento e le informazioni di contatto. Per assicurarti che il tuo funzioni, controlla semplicemente l'icona del lucchetto accanto al tuo URL nel tuo browser.
• Monitora i tempi di fermo. Se il tuo sito non funziona, potrebbe essere un'indicazione di un hack. Installa uno strumento automatizzato che ti avviserà se il tuo sito web è inaccessibile in modo da poter risolvere immediatamente i problemi.
• Assicurati che non ci siano avvisi di sicurezza del browser. Se il tuo sito è stato violato, browser come Google Chrome e Safari visualizzeranno un avviso di sicurezza quando digiti il ​​tuo URL. Potresti voler visitare il tuo sito Web in una finestra di navigazione in incognito o privata per ottenere risultati più accurati.
• Controlla le notifiche in Google Search Console. Se disponi di un account Google Search Console, puoi accedere rapidamente al rapporto sui problemi di sicurezza, che ti consentirà di sapere se il tuo sito è stato violato o se sta seguendo pratiche non sicure.
• Segui le migliori pratiche di sicurezza. Il modo migliore per garantire che il tuo sito WordPress sia sicuro è implementare buone misure di sicurezza. Adotta le misure adeguate per rafforzare il tuo sito (usando una guida da una fonte attendibile come Jetpack) e ti sentirai sicuro di poter resistere agli hacker.