iThemes Security vs Wordfence: quale plugin di sicurezza dovresti scegliere?

Pubblicato: 2022-04-22

iThemes Security sembra un ottimo affare a soli $ 199 per siti Web illimitati e, grazie al suo prezzo imbattibile, è stato un serio contendente nella corsa ai plugin di sicurezza di WordPress.

All'altra curva c'è Wordfence, il peso massimo indiscusso di questa categoria. Wordfence è noto per il plug-in gratuito ricco di funzionalità e le sue ricerche e risorse sulla sicurezza. Per la versione premium, ogni sito ti costerà un minimo di $ 99 all'anno; che è ancora un buon affare.

Anche in questa fase, non c'è un vero confronto tra i due. Tuttavia, abbiamo eseguito entrambi una serie di test.

In questa serie, i primi 5 plugin di sicurezza hanno affrontato battaglie in stile gladiatore con malware, attacchi e vulnerabilità. Quale è emerso vincitore? Continuate a leggere per scoprirlo.

VERDETTO iThemes Security vs Wordfence è una competizione impari. Il plug-in gratuito di Wordfence è di ordini di grandezza migliore del plug-in premium di iThemes Security. Wordfence ha i suoi svantaggi, ma almeno protegge il sito web in una certa misura. iThemes, non tanto.

La nostra scelta

In questa serie, abbiamo voluto testare i migliori plugin di sicurezza di WordPress per scoprire quale funziona davvero. Per questo, abbiamo creato 3 siti Web: uno era un semplice blog, con alcuni plugin e temi, come controllo. Il secondo sito Web aveva 3 plug-in obsoleti con vulnerabilità. Abbiamo scelto plugin che andavano da popolari a oscuri e presentavano una serie di vulnerabilità. E infine, avevamo un sito Web pieno di malware.

3 siti web, 5 plugin, 45 giorni. Abbiamo testato scanner di plug-in, pulitori, firewall, protezione bot, firewall, registri delle attività e molto altro. Abbiamo preso in considerazione il nuovo malware, il vecchio malware, il malware basato su file, il malware del database, gli hack di reindirizzamento, gli hack farmaceutici, le iniezioni SQL, gli attacchi di forza bruta e molto altro ancora.

I risultati sono stati chiari: solo MalCare è stato in grado di scansionare, pulire e proteggere i siti Web di prova. Se stai cercando la massima tranquillità con la sicurezza di WordPress, MalCare è la strada da percorrere.

Riepilogo del confronto tra iThemes Security e Wordfence

iThemes Security vs Wordfence è un gioco da ragazzi: Wordfence fino in fondo.

Consideriamo la sicurezza di WordPress come uno spettro tra due estremi: nessuna protezione e un falso senso di sicurezza da un lato, e falsi positivi e terribili avvertimenti dall'altro. iThemes Security ti dà un falso senso di sicurezza e Wordfence è quello che ti tiene in uno stato di paura quasi costante.

Confronto iThemes Security vs Wordfence

A nostro avviso ponderato, entrambe non sono buone opzioni. Tuttavia, Wordfence ha un'eccellente versione gratuita che proteggerà in larga misura il tuo sito Web, mentre anche la versione premium di iThemes Security non farà nulla per proteggere il tuo sito Web. Il nostro consiglio per evitare entrambi gli estremi e scegliere un buon plugin di sicurezza.

iThemes Sicurezza in poche parole

iThemes Security è di gran lunga il peggior plugin di sicurezza per WordPress che abbiamo visto. Ha alcune buone funzionalità, come l'autenticazione a due fattori e il supporto di password complesse, ma il gioco è fatto. Non esiste uno scanner di malware, non può pulire il malware e non ha senso discutere di un firewall. In effetti, se usi iThemes in questo momento, scansiona immediatamente il tuo sito web.

Curiosità: iThemes è stato il primo plugin di sicurezza che abbiamo testato. Il sito Web e l'intero processo di configurazione ci hanno dato l'impressione che, sì, questi ragazzi sappiano di cosa tratta la sicurezza di WordPress. Sfortunatamente, però, nessuno di questo know-how sembra essere entrato nel plug-in vero e proprio.

temi caratteristiche del sito web

iThemes Security è uno scanner di malware, in effetti, perché non esiste un meccanismo per pulire il malware. Né il sito web dice che c'è un firewall. Questo non è eccezionale, perché la scansione è uno dei pilastri della sicurezza di WordPress ma non l'unico. Tuttavia, puoi mettere insieme un mix di vari plugin per darti quella funzionalità, se in primo luogo hai uno scanner decente.

Ah, ma questo era il problema. iThemes non è uno scanner di malware. Non è uno scanner di vulnerabilità. Esegue la scansione della lista nera di Google per il tuo sito web. Sai, la stessa cosa che puoi fare dalla pagina del Rapporto sulla trasparenza, senza bisogno di installare un plug-in. Il più grande indizio è stato che la scansione è durata pochi secondi. Non è possibile che uno scanner possa esaminare tutti i file e le cartelle del sito Web in secondi letterali.

La protezione dalla forza bruta per la pagina di accesso era irregolare e incoerente e il registro delle attività era inutile. Ne parleremo più avanti.

Tra i lati positivi, iThemes Security ha un'eccellente funzione di autenticazione a due fattori. Ci è piaciuto anche quanto sia stato facile implementare reCAPTCHA su wp-login. E infine, le impostazioni di gestione delle password degli utenti erano davvero granulari e dettagliate. Inoltre, ci sono alcune decenti funzionalità di rafforzamento di WordPress, come il blocco dell'esecuzione di PHP nelle cartelle.

Nel complesso, testare iThemes Security è stata un'esperienza rivelatrice. Prendiamo molto sul serio la sicurezza e siamo rimasti scioccati nel vedere come una verbosità intelligente e un set di funzionalità fuorviante possano ingannare l'amministratore facendogli credere che i loro siti siano protetti. In effetti, consigliamo vivamente a tutti gli utenti di iThemes di riconsiderare completamente la propria sicurezza e scansionare immediatamente il proprio sito Web.

Wordfence in poche parole

Wordfence è il miglior plug-in di sicurezza gratuito che abbiamo incontrato dopo MalCare. Lo consigliamo vivamente per i siti Web che hanno un budget assolutamente zero per la sicurezza. Il firewall blocca la maggior parte degli attacchi, lo scanner rileva la maggior parte del malware basato su file e la funzione di riparazione del malware ti aiuterà a sbarazzartene. Lo svantaggio è che ci saranno un sacco di falsi positivi, alcuni malware persi e i servizi di pulizia degli hacker di emergenza sono esorbitanti.

Eravamo entusiasti di provare Wordfence, perché è il plugin di sicurezza più utilizzato. E dopo alcune esperienze orribili (leggi: iThemes), sarebbe bello vedere come il plugin ha gestito la sicurezza di WordPress.

Plugin di sicurezza di Wordfence

Entreremo più in dettaglio nelle sezioni successive, ma vogliamo prima parlare degli aspetti principali della sicurezza qui.

Wordfence ha uno scanner decente, che ha raccolto tutto il malware basato su file che avevamo nei nostri plugin e temi gratuiti. Ma ci sono alcuni grandi avvertimenti sulla sua efficacia. Lo scanner non è in grado di rilevare il malware basato su database, né il malware nei plugin e nei temi premium. Inoltre, sul nostro sito Web ci sono voluti un pedaggio notevole per persino eseguire la scansione.

Successivamente, abbiamo provato la riparazione automatica del malware. Con nostra grande gioia, ha riparato quasi immediatamente tutto il malware basato su file dal sito Web; non il malware basato su database però. A pensarci bene, questa non è una grande prestazione per un addetto alle pulizie, ma ovviamente è stata migliore delle altre in questa serie di test che siamo stati davvero contenti di vedere la differenza.

Il firewall è stato piuttosto efficace, bloccando la maggior parte dei principali e comuni attacchi WordPress che affliggono il sito web. Un problema che abbiamo qui è che il firewall genera un sacco di avvisi per noi. Abbiamo davvero bisogno di sapere che qualcuno dalla Germania ha provato ad hackerare il nostro sito Web 20 volte negli ultimi 5 minuti in 20 notifiche separate? No, non lo facciamo. La nostra casella di posta è stata affogata negli avvisi di Wordfence in pochi giorni ed è stato impossibile separare il grano dalla pula. Inoltre, gli utenti gratuiti ottengono gli aggiornamenti del firewall più tardi rispetto agli utenti premium, quindi c'è una finestra di opportunità per gli hacker di irrompere in siti Web non protetti.

Ci sono anche alcune funzionalità di sicurezza altrimenti. Wordfence gestisce una nave snella e tutte le altre funzionalità, come l'aggiornamento dei plug-in quando vengono rilevate vulnerabilità, sono lasciate a wp-admin. Ha senso, perché perché duplicarlo sulla stessa dashboard? Ha una protezione dalla forza bruta piuttosto buona e l'autenticazione a due fattori è robusta.

Anche noi eravamo innamorati dell'immensa usabilità del plugin. Il linguaggio è accessibile e diretto, senza l'uso di un gergo eccessivo. Anche le funzionalità più avanzate destinate agli utenti esperti sono nascoste nelle impostazioni.

Tuttavia, siamo rimasti sorpresi nel notare che non esiste un registro delle attività in quanto tale, a parte un elenco illeggibile pensato per gli sviluppatori di Wordfence. Inoltre, non esiste alcuna protezione dai bot per il sito Web. Infine, e soprattutto per questo plugin, ci vuole un'enorme quantità di risorse del server per funzionare. Tanto che gli host web hanno bandito del tutto l'uso di Wordfence.

Tutto sommato, Wordfence è un eccellente plugin di sicurezza, ma non il migliore per il tuo sito web. MalCare è la strada da percorrere con uno scanner eccezionale, un'efficace pulizia del malware e un firewall avanzato con aggiornamenti in tempo reale.

Cosa cercare in un plug-in di sicurezza

La sicurezza di WordPress può essere una bestia confusa da affrontare soprattutto con la notevole disinformazione disponibile online. Una cosa è certa, gli hacker possono costarti entrate, affari, azioni legali, spese vive, branding, traffico organico e molto altro ancora. Il giusto plug-in di sicurezza contrasterà tutto ciò, oltre a farti risparmiare tempo e denaro da investire in altre aree della tua attività.

Ci imbattiamo spesso nella domanda: come scegli il plug-in di sicurezza giusto per il tuo sito Web WordPress?

La risposta è di solito un elenco di funzionalità. Alcuni sono vitali, altri meno. Ma ogni plugin vuole venderti sulle sue oltre 100 funzionalità, la maggior parte delle quali ha un impatto minimo o nullo sulla sicurezza del tuo sito web. Ma l'elenco confonderà il problema abbastanza a lungo da rendere nuovamente la sicurezza di WordPress un mal di testa.

Quindi abbiamo compilato questo essenziale e breve elenco di funzionalità di sicurezza. Dovresti cercare un plug-in di sicurezza che soddisfi principalmente tutto in questo elenco e ottenere altre soluzioni per le funzionalità che non ha.

  • Funzionalità di sicurezza essenziali
    • Scansione malware
    • Pulizia del malware
    • Firewall
  • Funzionalità di sicurezza utili
    • Rilevamento vulnerabilità
    • Protezione dell'accesso con forza bruta
    • Registro delle attività
    • Autenticazione a due fattori
  • Potenziali problemi
    • Impatto sulle risorse del server

L'unico plugin che si avvicina a tutte le scatole è MalCare. Scegliendo MalCare, ti assicuri che il tuo sito Web ottenga la migliore sicurezza disponibile dagli hacker e dai loro malware.

iThemes Security vs Wordfence: confronto testa a testa delle funzionalità

In questa sezione, abbiamo dettagliato i nostri risultati nel caso in cui sei interessato a leggere di più su una caratteristica specifica. Dopo 45 giorni di test, abbiamo avuto un sacco di informazioni e molti risultati. Tutto ciò che è racchiuso qui per il tuo piacere di lettura.

Le funzionalità sono ordinate dalla più importante alla meno importante e valutiamo entrambi i plug-in in base a ciascun fattore. Il nostro obiettivo era presentare tutto ciò che abbiamo trovato nel modo più equo possibile, quindi non ci siamo trattenuti da nessuna parte.

Se vuoi arrivare al punto cruciale di questo esercizio, installa MalCare e non dovresti sentire parlare di alcuni degli orrori che abbiamo scoperto.

Scansione malware

Lo scanner di Wordfence ha rilevato malware basato su file sul nostro sito Web di prova, ma non il malware nel nostro database. Mancava anche malware nei plugin e nei temi premium. iThemes Security non ha scansionato il nostro sito Web in primo luogo, quindi ovviamente non avrebbe trovato alcun malware.

Dopo aver installato Wordfence, imposta automaticamente la prima scansione. Finora, fantastico. Ha lasciato lo scanner per finire ed ha esplorato le altre funzionalità per alcune ore. Solo per vedere che era ancora bloccato al 60%. Considerando che il sito era piuttosto piccolo, cosa dà?

Si scopre che il 60% non è una barra di avanzamento, ma una percentuale che indica l'efficacia dello scanner gratuito. Per ottenere il 100% completo, è necessario eseguire l'aggiornamento alla versione pro del plug-in. Abbastanza giusto, ma il modo in cui veniva visualizzato sul cruscotto era molto confuso.

Stato della scansione del malware Wordfence

Abbiamo riavviato la scansione e siamo stati lieti di vederla terminata molto rapidamente. Lo scanner ha segnalato la maggior parte del malware, anche se non tutto. Il malware che è stato facilmente in grado di rilevare era nei file principali di WordPress e nei file e nelle cartelle di plugin e temi gratuiti. Ha perso il malware di reindirizzamento hackerato nel database e tutti i file che si trovavano in plugin e temi premium.

Abbiamo lanciato un sacco di malware basato su file su Wordfence e lo ha rilevato quasi tutto. Dispone di un ampio database di malware per l'algoritmo di corrispondenza delle firme, quindi prevediamo che rileverà dal 70 all'80% circa del malware. Non è buono come il 95%, come con MalCare, ma è di gran lunga migliore di tutti gli altri plugin di sicurezza là fuori. Il rilevamento, dopo tutto, è metà della battaglia.

Dashboard di scansione del malware di Wordfence

Gli avvertimenti che abbiamo con Wordfence sono che ci sono un sacco di avvisi e un numero elevato di falsi positivi. Entrambi questi fattori possono portare gli avvisi a perdere il loro impatto nel tempo, e quindi c'è il pericolo reale che un avviso genuino possa sfuggire senza essere notato. Inoltre, le scansioni richiedono molte risorse del server per essere eseguite. Ne parleremo di più in una sezione successiva.

Lo scanner iThemes non esegue affatto la scansione del malware. Verifica se il tuo sito Web è in una lista nera e anche quella è solo una lista nera. Anche Sucuri ha questo controllo, ma hanno avuto la decenza, in primo luogo, di non etichettarlo come scanner e, in secondo luogo, di controllare più della semplice lista nera di Google. I nostri siti di test ovviamente non erano nella lista nera, perché non sono indicizzati. Quindi, quando il rapporto sulla scansione del malware di iThemes ci ha dato un segnale pulito per un sito pieno di malware? Non impressionato.

scanner di temi

Pulizia del malware

iThemes Security non ha la pulizia del malware, automatica o altro. Wordfence può riparare file malware, ma l'efficacia dipende dal malware rilevato. Wordfence ha un servizio di rimozione malware premium, che costa $ 490 per sito.

Al termine della scansione, Wordfence elenca 2 opzioni per gestire i file compromessi, oltre a un CTA per ottenere un aiuto professionale: eliminare tutti i file eliminabili e riparare tutti i file riparabili.

L'opzione di eliminazione si è sbarazzata di 1 file con successo senza errori, dopo aver mostrato un messaggio terrificante su come l'eliminazione di file può danneggiare il tuo sito web. È vero, ma anche il malware fa paura! Ad ogni modo, l'opzione era una specie di squib umido, quindi sono passato all'opzione di riparazione. L'opzione di riparazione aveva un avviso simile, ma abbiamo eseguito l'operazione ed è stato in grado di riparare la maggior parte dei file. Quando abbiamo eseguito il sito tramite lo scanner di MalCare, il sito era privo di malware.

Eliminazione della notifica dei file in Wordfence

La maggior parte degli altri plugin di sicurezza ha fallito in questo frangente, quindi non abbiamo dovuto testare molto ulteriormente. Avevamo ottenuto i nostri risultati. Tuttavia, il database delle firme del malware di Wordfence è completo, quindi abbiamo ampliato la rete.

Abbiamo aggiunto il malware di reindirizzamento hackerato al database del nostro sito Web, con alcune istanze della parola chiave giapponese hacking per buona misura. Abbiamo anche nascosto blocchi di malware nei nostri plugin e temi premium, sospettando che queste cose avrebbero fatto inciampare lo scanner e il pulitore. E lo hanno fatto.

La conclusione che è emersa è stata che se il team di Wordfence ha visto il malware, la riparazione dei file funziona. Altrimenti no. Wordfence fallisce anche quando è presente malware nel database. Quindi malware come quello dell'hack di reindirizzamento o anche solo malware più recente mancherà sicuramente. Mancherà anche il malware nei file WordPress non core o nei plugin e nei temi non pubblici. Wordfence non è in grado di trovare malware nei plugin e nei temi premium.

Nel caso in cui la riparazione automatica non funzioni, puoi optare per il servizio di rimozione malware di Wordfence. Il servizio rimuove malware, backdoor e valuta le vulnerabilità del sito. Wordfence aiuta anche a rimuovere dall'elenco il sito infestato da malware da tutte le blacklist in cui potrebbe essere arrivato. La pulizia del sito è garantita per un anno, solo se l'amministratore del sito segue alla lettera le istruzioni post-hack. Non possiamo commentare l'efficacia del servizio di rimozione del malware, poiché non l'abbiamo provato.

Come abbiamo detto prima, iThemes Security non è in grado di pulire il malware, quindi non c'è altro da dire su questo fronte.

Nella nostra esperienza, la pulizia del malware è l'aspetto più critico della sicurezza di WordPress. Dovrebbe assolutamente essere fatto solo da esperti di sicurezza, perché c'è un enorme potenziale che le cose vadano terribilmente storte. MalCare ti offre la possibilità di eliminare automaticamente il malware e di accedere a esperti di sicurezza per aiutarti con eventuali problemi che potrebbero sorgere.

Firewall

iThemes Security non ha un firewall. Wordfence dispone di un firewall per applicazioni Web che protegge efficacemente dalla maggior parte delle minacce principali e comuni. Ma la versione gratuita riceve aggiornamenti più tardi rispetto alla versione premium.

Un firewall WordPress è una parte importante del tuo arsenale di sicurezza, poiché tiene fuori gli attacchi e il traffico dannoso attraverso l'uso di regole. Nella maggior parte dei plug-in di sicurezza che abbiamo esaminato, abbiamo evitato di spiegare i dettagli più tecnici, poiché non aveva senso perché i firewall erano terribili o inesistenti. Ma con Wordfence, le cose sono diventate un po' più complicate.

Quando abbiamo installato Wordfence, il firewall è andato direttamente in modalità di apprendimento. Questo è un passaggio necessario affinché il firewall possa comprendere il normale traffico del sito e quindi bloccare le minacce in modo più efficace. Poiché non riceviamo traffico sui nostri siti Web, abbiamo disattivato immediatamente la modalità di apprendimento, anche se è consigliabile mantenerla attiva per almeno una settimana.

Modalità di apprendimento del firewall di Wordfence

C'è una sezione separata per gestire il firewall di Wordfence, quindi l'abbiamo esplorata in seguito. La prima volta che lo vedi, spiega cos'è un firewall e cosa fa per proteggere il tuo sito web. Introduce anche il termine 'web application firewall' con una breve descrizione.

Dopo aver testato sia il firewall gratuito che quello premium, è chiaro che Wordfence ha un eccellente firewall in entrambe le versioni. Entrambi hanno tenuto fuori una serie di attacchi di SQL injection, falsificazioni di richieste tra siti, iniezioni di codice remoto e attacchi di scripting tra siti. Non siamo stati in grado di sfruttare le vulnerabilità di plugin e temi.

In quel momento abbiamo pensato di approfondire: qual è la differenza tra la versione gratuita e quella premium?

Nelle opzioni del firewall, Wordfence spiega la differenza: la versione gratuita viene caricata come un normale plug-in, dopo il caricamento di WordPress. Inoltre, la versione premium riceve aggiornamenti delle regole in tempo reale, mentre la versione gratuita riceve gli aggiornamenti dopo un periodo di tempo non specificato.

Entrambe queste cose ci hanno fatto riflettere.

Innanzitutto, un firewall dovrebbe essere caricato per primo per la migliore protezione, tuttavia la maggior parte dei plug-in di sicurezza con firewall spesso si caricano dopo WordPress come un normale plug-in. Se questo è il caso, il firewall di Wordfence può tenere fuori la maggior parte del traffico dannoso, ma certamente non tutto.

In secondo luogo, Wordfence ha il firewall più aggiornato, tuttavia gli utenti non premium ottengono gli aggiornamenti in seguito. Anche quella finestra è problematica, perché gli hacker possono attaccare durante essa. Quando il firewall gratuito riceve gli aggiornamenti delle regole: giorni, settimane o mesi dopo? Chi lo sa.

Non sorprende che iThemes non abbia un firewall.

Rilevamento vulnerabilità

iThemes Security non è in grado di rilevare le vulnerabilità, tanto meno aiuta a risolverle. Wordfence ha raccolto tutte le vulnerabilità che abbiamo inserito nel sito Web, indipendentemente dal fatto che fossero popolari o oscure.

Wordfence ha contrassegnato correttamente tutti i plugin scaduti con vulnerabilità scoperte come minacce critiche. Abbiamo incluso nell'elenco anche una serie di plug-in oscuri, alcuni con meno di 200 utenti. Gli altri plugin non sono stati in grado di cogliere queste vulnerabilità, quindi è piacevole vedere che Wordfence l'ha fatto. Lo scanner ha persino contrassegnato i plug-in scaduti come una minaccia media, il che è eccellente perché è sempre bene mantenere tutto aggiornato.

rilevamento della vulnerabilità del wordfence

Non puoi correggere le vulnerabilità direttamente dalla dashboard di Wordfence. La maggior parte degli altri plugin, come Jetpack e Sucuri, consigliava gli aggiornamenti e ti permetteva di eseguirli dallo stesso pannello. Ma guardando intorno a Wordfence, non c'è modo di farlo. Tuttavia, ti porta alla dashboard degli aggiornamenti, il che è abbastanza buono. Non esiste un motivo logico per replicare la funzionalità esistente già esistente su wp-admin.

È interessante notare che lo scanner ci ha anche mostrato errori con i plug-in iThemes e BackupBuddy che avevamo installato su uno dei siti di test. Sembra che ci siano delle anomalie di codifica nei plugin.

Avevamo sperato che lo scanner iThemes verificasse almeno le vulnerabilità, considerando il suo abietto fallimento come scanner di malware. Sì, no.

Inoltre, la dashboard di iThemes ha un contatore che indica quanti aggiornamenti sono stati effettuati dall'installazione del plug-in. Immaginiamo che questa povera scusa per una metrica dovrebbe essere utile per tenere traccia degli aggiornamenti di plugin e temi. Non lo è davvero però.

Protezione dell'accesso con forza bruta

iThemes a volte blocca gli attacchi di forza bruta, a volte no. Wordfence blocca infallibilmente tutti gli attacchi di forza bruta.

Con iThemes, abbiamo visto blocchi di forza bruta incoerenti. Quando abbiamo provato a inserire una serie di credenziali errate nella pagina di accesso, iThemes ha bloccato solo i tentativi su 1 sito ma non sull'altro. L'unica differenza tra i due siti era che il primo conteneva malware, mentre il secondo no. Il malware è solitamente il risultato di un attacco di accesso riuscito, quindi è improbabile che questa differenza sia la ragione. Dopo diverse ore di tentativi ripetuti dei test, i risultati sono stati inconcludenti. Alla fine abbiamo rinunciato a cercare di capire quello che sembra essere un bug.

Dopo questo esercizio, con profonda frustrazione, abbiamo controllato i log di iThemes. Ogni tentativo di accesso errato è stato registrato lì come un attacco di forza bruta, anche nel momento in cui abbiamo davvero dimenticato la nostra password. Eppure, il plugin non li ha bloccati tutti. Molto strano e quindi inaffidabile.

Con Wordfence, abbiamo prima esaminato le impostazioni. La protezione dalla forza bruta è abilitata per impostazione predefinita e puoi accedere alla sezione firewall per personalizzare le opzioni.

Puoi impostare blocchi per tentativi di accesso errati e anche per quanto tempo un utente subirà il blocco dopo un certo numero di tentativi di accesso errati. Ciò che è particolarmente interessante è che spiegano cosa fa ogni opzione in un'ottima documentazione e come usarla nel modo più efficace per proteggere il sito.

È possibile impostare una lista consentita per gli IP che non devono essere testati dal firewall. Abbiamo visto questa funzione in molti plugin, ma con la modifica degli IP dei dispositivi, non ha molto senso.

Anche le opzioni per la password complessa sono qui. Puoi applicare password complesse, impedire l'uso di password trovate in violazioni dei dati e molto altro.

protezione dalla forza bruta di wordfence

Infine, siamo passati ai test e la protezione della forza bruta funziona esattamente come per le impostazioni che abbiamo scelto. Perfetto ogni volta.

il tuo accesso a questo sito è stato temporaneamente limitato

Registro delle attività

Il registro attività di iThemes non registra tutti gli eventi, quindi è inutile. Wordfence non ha affatto un registro delle attività.

Siamo grandi sostenitori dell'umile registro delle attività. È uno strumento di sicurezza necessario perché gli hacker sfruttano la registrazione insufficiente per attaccare i siti. Idealmente, desideri un registro affidabile che contenga le informazioni corrette sull'andamento del tuo sito web.

Quindi non come quello che ha iThemes. Il registro delle attività di iThemes promette buone informazioni, come l'attività degli utenti, la gestione delle versioni, le scansioni del sito e gli attacchi di forza bruta. Ma questi non sono registrati accuratamente, quindi non ci si può fidare di presentare l'immagine corretta. A parte questo, non c'è niente su plugin o temi.

registri dei temi

Wordfence, sorprendentemente, non ha un registro delle attività. C'è un'opzione per abilitare il debug dalla sezione Diagnostica in Strumenti, che consente ai registri del firewall di essere più dettagliati. C'è un registro delle attività completo per gli eventi di Wordfence solo nella sezione Scansione, ma non è la stessa cosa di un registro delle attività. Inoltre, è un registro non elaborato destinato esclusivamente agli sviluppatori di Wordfence. Abilitando la modalità di debug, consumerai anche più risorse del server. È affermato molto chiaramente in quella sezione.

registro delle attività di wordfence

Autenticazione a due fattori

iThemes ha un'eccellente autenticazione a due fattori che funziona perfettamente. Lo stesso con Wordfence.

L'autenticazione a due fattori funziona perfettamente su entrambi i plugin. Entrambi hanno un ottimo set di opzioni e una configurazione minima. Con Wordfence, l'autenticazione a due fattori era una funzionalità premium che ora è stata abilitata anche per gli utenti gratuiti.

autenticazione a due fattori wordfence
Recinzione di parole
temi 2fa
iTemi

Abbiamo solo una piccola osservazione con la versione iThemes pro. Ci sono molte impostazioni che rimuovono i token di accesso nella versione pro: accesso senza password, dispositivi attendibili, collegamenti magici e così via. A nostro avviso, si oppongono direttamente al principio dell'autenticazione a due fattori semplificando il processo di accesso.

Utilizzo delle risorse del server

iThemes è molto gentile con le risorse del tuo server, poiché non fa nulla. Wordfence è effettivamente bandito da alcuni host web a causa del suo immenso costo per le risorse del server.

Eravamo piuttosto entusiasti di mettere alla prova Wordfence. Tuttavia, la vera sorpresa è arrivata quando abbiamo verificato le prestazioni del sito web. Le scansioni hanno raddoppiato e in alcuni casi triplicato l'utilizzo del disco del nostro sito Web, poiché sono state eseguite le scansioni di Wordfence. Riconosciamo che i nostri siti di test sono molto piccoli, quindi non consumano troppe risorse per cominciare, ma è comunque un salto significativo. Sui siti più grandi, la sanzione sarebbe notevole.

In effetti, qualsiasi modifica alle impostazioni predefinite viene fornita con un avviso che verranno consumate più risorse del server. È quindi lecito ritenere che Wordfence utilizzi le risorse del server del sito per eseguire tutte le sue attività.

grafico del consumo delle risorse del server wordfence

Il che è già abbastanza grave, ma peggiorerà molto con il firewall. Qualsiasi attacco prolungato travolgerà il sito Web anche se è protetto da questi exploit.

L'utilizzo delle risorse del server raramente è un punto di discussione nella sicurezza del sito Web, ma spesso i plug-in di sicurezza influiscono notevolmente sulle prestazioni del sito Web. Tanto che l'amministratore deve fare un compromesso tra sicurezza e usabilità. Pensiamo che non dovrebbe mai essere così, e puoi avere la tua torta e mangiarla anche tu con MalCare.

iThemes è ottimo per le risorse del tuo server. Non posso dire lo stesso per la sicurezza del tuo sito.

Avvisi

iThemes non ti invia alcun avviso. Wordfence ne invia troppi.

Gli avvisi devono colpire il punto debole tra nessuno e troppi. Entrambi sono estremi ugualmente negativi, perché il risultato finale è che non hai idea di quale sia effettivamente la sicurezza del tuo sito web.

Lo scanner di Wordfence può generare molti falsi positivi, quindi non sai davvero quando il tuo sito web è stato davvero violato. Dopo un certo punto, può diventare come il ragazzo che gridava al lupo. Lo stesso con il firewall. Il firewall dovrebbe semplicemente bloccare gli attacchi senza lanciare un allarme ogni volta, poiché non serve a uno scopo. Pertanto, la nostra opinione è che Wordfence generi troppi allarmi per essere del tutto utili.

iThemes invia un mucchio di e-mail assolutamente banali e inutili: rapporti di notifica di modifica dei file, backup del database e altre conferme delle nostre impostazioni. C'è anche un riepilogo giornaliero della sicurezza sul nostro sito Web e un rapporto settimanale sulla vulnerabilità. Immaginiamo che questo sia per nostra conoscenza, quindi possiamo aggiornare manualmente i plugin e i temi offensivi sul nostro o molti siti Web.

digest di sicurezza dei temi

Installazione, configurazione e usabilità

Wordfence si installa come un incantesimo. Nessuna impostazione complessa e configurazioni oscure. iThemes, d'altra parte, è stato davvero difficile.

iThemes è ingannevolmente facile per iniziare, e poi si trasforma lentamente in molte impostazioni inutili. C'è una lunga configurazione da esaminare prima ancora che il dashboard venga creato. Ad essere onesti, avremmo dovuto leggere i segni e rinunciare a questo come una causa persa. Ma siamo golosi di punizione che il potere attraverso per il bene superiore.

impostazione dei temi

L'installazione di Wordfence è stata molto semplice e non ci sono opzioni di configurazione in anticipo. La prima schermata che appare è l'abbonamento e-mail, che indica chiaramente che ricevi notizie sulla sicurezza nella tua casella di posta. La schermata successiva è un prompt per l'aggiornamento a premium. A questo punto, non sapevamo quali caratteristiche avesse il plugin gratuito, quindi non abbiamo inserito immediatamente la nostra licenza premium.

Quando visiti per la prima volta la dashboard su wp-admin, è disponibile una procedura dettagliata di 3 descrizioni comandi. L'usabilità e il linguaggio sono fantastici su Wordfence. Vengono fornite spiegazioni chiare per le funzionalità e il modo in cui influiscono sulla sicurezza. Non è travolgente, né sciocca roba.

Il design della dashboard è molto intuitivo e puoi vedere a colpo d'occhio tutti gli aspetti importanti della sicurezza relativi al tuo sito web. Nel complesso, la nostra prima impressione su Wordfence è stata fantastica.

Inoltre Wordfence fornisce utili consigli per la configurazione. La documentazione, a cui puoi accedere dai suggerimenti sulla dashboard, è altamente contestuale. Descrive chiaramente cosa fa ogni funzione e perché, oltre a come impostarla in modo ottimale per funzionare sul tuo sito web. Ancora una volta, è degno di nota come il linguaggio utilizzato sia accessibile.

iTemi: Extra

Dopo aver esaminato gli aspetti critici della sicurezza e aver trovato iThemes gravemente carenti, questa sezione sembra quasi ridicola.

iThemes ha riempito il plug-in di una grande quantità di funzionalità, che hanno un impatto minimo o nullo sulla sicurezza. Caso in questione: la funzione IP della whitelist. Gli IP dei nostri dispositivi cambiano continuamente, quindi questa non è una garanzia che alcune persone possano accedere al sito, il che presumibilmente è il punto.

C'è anche un monitor di modifica dei file, che invia un rapporto al tuo indirizzo e-mail ogni 24 ore. Il rapporto contiene un elenco di tutti i file modificati. Non quale sia stato il cambiamento, chi l'ha fatto o quando esattamente è successo. No, solo un'e-mail che dice: "Ciao! Tutto questo sul tuo sito ora è diverso da quello che era ieri. Ciao!"

modifica del file dei temi

Una volta superata la nostra irritazione, volevamo riconoscere che iThemes ha un buon sistema di gestione delle password. È possibile applicare password complesse e rifiutare di consentire l'utilizzo di password compromesse sul sito. Non siamo stati in grado di testarlo in modo conclusivo, ma ancora una volta i risultati sono stati irregolari.

temi profili di sicurezza utente

C'è un'utile funzione di rafforzamento: bloccare l'esecuzione di PHP nella cartella dei caricamenti. Gli altri sono sciocchezze.

Wordfence: Extra

Gli extra di Wordfence sono tutti strettamente legati alla sicurezza. Nessuna funzionalità utile adiacente, come aggiornamenti o opzioni di gestione degli utenti. Detto questo, ci sono molti extra.

Dopo l'installazione iniziale, abbiamo visto una sezione di notifiche per gli aggiornamenti del sito. Sul nostro sito di test, ci ha mostrato che era necessario aggiornare 5 plugin.

Esiste uno stato di Wordfence Central che ti consente di gestire più siti dal wp-admin di ciascun sito. Questo ha senso se hai alcuni siti sullo stesso account, ma lo spazio è limitato e non funzionerà per le agenzie con centinaia di siti. Meno male che c'è una dashboard esterna. Devi creare un account sul sito Web di Wordfence per accedere a Wordfence Central. A nostro avviso non ha senso avere il box centrale sulla dashboard del sito.

Abbiamo aggiunto tutti i siti di test a Wordfence Central e li abbiamo visti a volo d'uccello. Non è il layout migliore per qualcosa di più di 20 siti. L'idea è buona, l'esecuzione è carente.

wordfence centrale

Successivamente abbiamo controllato la sezione Strumenti. C'è un pannello per il traffico in tempo reale, che a prima vista sembrava una versione di Google Analytics, ma si è rivelato essere più di questo. È possibile impostare i registri del traffico in modo da includere tutto il traffico o solo il traffico relativo alla sicurezza. I log sono fantastici, perché c'è una chiara legenda per indicare che tipo di traffico sta ricevendo il sito Web: umano, bot, avviso, bloccato.

traffico in tempo reale in wordfence

C'è anche una ricerca Whois, nel caso tu voglia vedere chi sta attaccando il tuo sito web. Questo è nel migliore dei casi un fronzolo, perché questa funzione è facilmente disponibile anche online.

Quella di Diagnostica è una caratteristica interessante. Contiene un sacco di informazioni sul sito Web, dai proprietari dei processi alle tabelle del database e altro ancora. È come una specifica del sito Web in un unico posto, insieme allo stato di ciascuna di queste cose. Difficile immaginare come un utente normale (non sviluppatore) utilizzerebbe una di queste informazioni, ma sicuramente utile per uno sviluppatore.

diagnostica in wordfence

Cosa manca da iThemes Security e Wordfence

a iThemes mancano uno scanner, un pulitore e un firewall. Also, it would be nice if it had functional brute force protection and activity log, and detected a vulnerability on occasion. One can hope.

Wordfence doesn't have bot protection nor an activity log. Other than that, it is a comprehensive and well-rounded security plugin.

Wordfence vs iThemes Security: Pricing

It is not worth buying iThemes Security, because its only worthwhile feature is two-factor authentication, which is available for free. Wordfence premium is available for $99 for the year, but the free version is strong enough on its own.

Wordfence's free plugin is really great, considering it is free. The premium licenses are at a max of $99 per site, and get progressively lower with the more licenses you purchase.

wordfence premium license details

The real kicker is the site cleaning service which is a hefty $490 per site, and although they say unlimited pages in the features, additional charges may apply for sites above 10 GB—which, fair enough. They do have a malware removal guarantee for 1 year, but there are caveats in the small print. So read those carefully.

After reading this article, you know that iThemes isn't worth your money. Use it for two-factor authentication or get a dedicated plugin for that feature.

iThemes pricing

Better alternative to iThemes Security and Wordfence: MalCare

The best thing you can do for your website is to invest in a good security plugin. The plugin should scan, clean and protect your website from all manner of threats. During our testing series, only one plugin stood out: MalCare. It outshines iThemes in every way, and has a much better scanning, auto-cleaning, firewall, and notifications compared to Wordfence. It is a no-brainer.

MalCare's $99 Basic plan includes unlimited cleanups, which is equivalent to Wordfence's $99 plan and $490 per cleanup needed thereafter.

Conclusione

We hope this article helped you decide on a way forward for your website security. If you have any questions or thoughts, do drop us a line. We would love to hear from you!