Jetpack vs Wordfence: cosa è meglio?

Jetpack è un plug-in amministrativo multiuso e racchiude backup, sicurezza, crescita e velocità in un plug-in pratico e dandy. Inoltre, ha il prestigio di appartenere alla scuderia Automattic, quindi ovviamente ha un peso nel dominio WordPress.

L'altro nostro contendente è Wordfence, probabilmente il plugin di sicurezza di WordPress più popolare oggi. Sono noti per il loro approccio alla sicurezza senza prigionieri e per le straordinarie risorse di sicurezza che sviluppano in modo coerente.

Abbiamo messo alla prova 5 plugin di sicurezza di WordPress in una serie di test che è durata 1,5 mesi. Volevamo scoprire come ogni plug-in affronta malware, attacchi, vulnerabilità e altro ancora.

VERDETTO Forse è meglio fare una cosa davvero bene, che fare molte cose ma essere nella media. Tra Jetpack e Wordfence , perché indipendentemente dal suo pedigree WordPress, Jetpack ha perso in questa battaglia campale. Wordfence è un ottimo plugin di sicurezza gratuito, con alcuni aspetti negativi, ma è comunque un'opzione migliore per Jetpack.

La nostra scelta

L'idea centrale alla base di questa serie di test era trovare il miglior plugin di sicurezza per WordPress per il tuo sito web. A tal fine, abbiamo preso i primi 5 plugin, 3 siti di test e abbiamo messo da parte 45 giorni per capire tutti i pro e i contro di ciascun plugin.

I nostri 3 siti di prova sono stati impostati come segue: un semplice blog con circa 500 post, immagini e commenti come controllo; un sito con plugin e temi vulnerabili; e infine un sito pieno di diversi tipi di malware. Abbiamo sottoposto i plug-in ad attacchi SQL injection, attacchi RCE e attacchi di forza bruta, confrontandoli anche con il malware di reindirizzamento, l'hacking farmaceutico, il malware con parole chiave giapponesi e molto altro.

Ogni plugin vanta un diverso set di funzionalità, ma per la sicurezza di WordPress, le più importanti sono lo scanner, il pulitore e il firewall. Ci sono anche altri buoni da avere, ma questi sono fondamentali.

Al termine di 45 giorni, è emerso un chiaro vincitore: MalCare. Con uno scanner sofisticato, una pulizia automatica del malware e un firewall avanzato, era impossibile da battere. Cerchi il miglior plug-in di sicurezza per il tuo sito Web WordPress? Scegli MalCare.

Riepilogo del confronto tra Jetpack e Wordfence

Se ti stavi chiedendo, Jetpack vs Wordfence, quale scegliere? Scegli Wordfence. È un ordine di grandezza migliore come plug-in di sicurezza.

Ci piace l'approccio all-in-one di Jetpack all'amministrazione di WordPress, ma ci vuole davvero un colpo sul fronte della sicurezza, soprattutto se confrontato con Wordfence. Ciò non significa che Wordfence non abbia i suoi problemi; solo che è contestualmente migliore di Jetpack.

In definitiva, né Jetpack né Wordfence sono l'opzione migliore per la sicurezza del tuo sito web. Andremo più in dettaglio più avanti nell'articolo, ma se vuoi andare al sodo, scarica il plug-in di sicurezza best-in-class: MalCare.

Jetpack in poche parole

Lo scanner di malware di Jetpack è nella migliore delle ipotesi mediocre. Sarà in grado di rilevare alcuni dei malware sul tuo sito. Tuttavia, non esiste un'opzione di pulizia né un firewall. Sebbene ci siano alcune funzionalità di sicurezza decenti, hanno un impatto minore sulla sicurezza del sito web. Nel complesso, Jetpack non è una buona opzione.

Con qualsiasi plug-in di sicurezza, cerchiamo in anticipo 3 fattori importanti: scanner di malware, pulizia del malware e firewall. Jetpack ha già bocciato 2 su 3 da quell'elenco, quindi abbiamo iniziato controllando lo scanner di malware.

Jetpack è stato il secondo plugin che abbiamo testato, dopo iThemes, e francamente siamo stati felici di vedere che qualcosa funzionava come doveva. Ovviamente, questo non è un buon approccio quando si cerca di essere obiettivi, quindi abbiamo lanciato molti malware su Jetpack per vedere come avrebbe reagito. Sfortunatamente, lo scanner di malware ha catturato circa il 30% dei file e delle cartelle infetti sul nostro sito Web WordPress compromesso.

Quando abbiamo provato le altre funzionalità, come la protezione dalla forza bruta, ha funzionato in modo incoerente. A volte gli attacchi sono stati fermati, e altre volte non siamo stati in grado di ottenere alcuna risposta. Anche il plug-in non ha rilevato tutte le vulnerabilità del sito Web. Quelli più oscuri sono rimasti inosservati, anche se contenevano gravi falle di sicurezza. Il nostro sito di test aveva solo alcuni temi e plugin vulnerabili, quindi il risultato di 2 su 3 non è stato male. Tuttavia, con un sito più grande con più software, quel rapporto sarà sicuramente molto peggiore.

Non era tutto male però. Il registro delle attività di Jetpack è davvero eccezionale e intuitivo. Nessun gergo tecnico oscuro che le persone non possano capire facilmente. Ci è piaciuta anche la funzione di backup integrata, perché i backup possono essere l'ultima grazia salvifica con un sito infetto. Tuttavia, non siamo stati in grado di testare i backup perché non rientrava nell'ambito di questo esperimento.

Nel complesso, Jetpack è un plug-in di sicurezza al di sotto della media. Ci saremmo aspettati molto di più, considerando l'enorme prezzo, ma per noi non è ancora il fondo del barile. Quel dubbio onore va a iThemes.

Wordfence in poche parole

Dopo MalCare, Wordfence è il miglior plugin di sicurezza gratuito che abbiamo testato. Se hai un budget zero per la sicurezza del sito Web, Wordfence ti offrirà la migliore sicurezza del sito Web. Lo scanner rileva la maggior parte del malware basato su file e la riparazione automatica eliminerà la maggior parte di esso. Il firewall è uno dei più aggiornati disponibili, ma se opti per la versione gratuita, tieni presente che non riceve aggiornamenti in tempo reale. Wordfence ha anche un servizio di rimozione malware, ma è costoso.

Abbiamo lasciato Wordfence per l'ultimo nella nostra serie di test, perché eravamo super entusiasti di provare il peso massimo riconosciuto dei plugin di sicurezza di WordPress. Fatta eccezione per MalCare, gli altri plugin sono stati deludenti nella migliore delle ipotesi, orribili nella peggiore.

Lo scanner di Wordfence ha rilevato tutto il malware basato su file nei file core di WordPress, nella radice del sito Web e nei file e nelle cartelle dei plugin e dei temi. In apparenza, questo può sembrare un ottimo scanner e, per molti versi, è decisamente al di sopra della media. Tuttavia, Wordfence non è riuscito a rilevare il malware che è stato disperso nei plugin e nei temi premium e, in alcuni casi, anche nel database.

Il principale svantaggio dello scanner, a parte il fatto che non può controllare ogni angolo del tuo sito Web, è che i nostri siti Web hanno subito un calo delle prestazioni. Wordfence utilizza le risorse del server per fare qualsiasi cosa sul sito web. Questo non è buono.

A questo punto, Wordfence è ancora migliore di tutti gli altri plugin di sicurezza che abbiamo testato. La nostra opinione è salita di diversi livelli quando abbiamo provato la funzione di riparazione automatica e ha rimosso tutto il malware rilevato. Ovviamente, non è stato in grado di rimuovere il malware che non ha rilevato, ma la rimozione automatica del malware è molto più rapida rispetto all'attesa che un esperto di sicurezza pulisca il sito web. Ancora una volta, questo è molto meglio degli altri plugin che abbiamo testato, ad eccezione di MalCare.

Infine, abbiamo provato il firewall, che è stato efficace nel bloccare diversi exploit, come SQL injection, attacchi XSS e iniezioni di codice remoto.

Wordfence è un ottimo plug-in di sicurezza gratuito, ma è soggetto a falsi positivi e invia avvisi per ogni piccola cosa bloccata dal firewall. Dopo alcuni giorni, non siamo riusciti a trovare il segnale a causa di tutto il rumore. Francamente, troppi avvisi sono altrettanto negativi di nessun avviso, perché portano allo stesso risultato: nessuna azione.

Dopo aver verificato le 3 principali funzionalità di sicurezza, abbiamo provato l'autenticazione a due fattori e la protezione dalla forza bruta. Entrambi funzionano davvero bene. Wordfence ha anche rilevato tutte le vulnerabilità sui nostri siti Web, anche una in un plug-in oscuro che la maggior parte degli altri plug-in non è riuscita a rilevare.

Ciò che ci è piaciuto moltissimo di Wordfence è stata l'ottima esperienza utente. Nessun gergo inutile e terrificante e termini di sicurezza complessi sulla dashboard. Linguaggio semplice, con consigli chiari per gli amministratori principianti.

Siamo rimasti sorpresi dal fatto che Wordfence non abbia un registro delle attività, ad eccezione di un registro non elaborato evidentemente destinato agli sviluppatori di Wordfence. Inoltre, non protegge i siti Web da bot dannosi, il che è strano.

In sintesi, Wordfence è altamente raccomandato per i siti Web che non dispongono di un budget per la sicurezza. È la migliore opzione gratuita, ma anche così non fornisce una sicurezza completa. Per quella tranquillità, dovresti invece optare per MalCare.

Come scegliere il miglior plugin di sicurezza

Con tutti i consigli sbagliati degli esperti disponibili online, la sicurezza di WordPress può essere una scatola nera nel migliore dei casi. Molti amministratori vogliono essere certi che i loro siti siano protetti, ma non capiscono i dettagli e quindi non sanno come scegliere l'opzione migliore per i loro siti web.

Come parte di questa serie di test, volevamo assicurarci di presentare tutti i nostri dati in modo imparziale e accessibile. Ciò significava che dovevamo spiegare come e perché siamo arrivati ​​alle nostre conclusioni.

I plug-in di sicurezza possono avere un sacco di funzionalità e, a volte, queste funzionalità servono a oscurare l'inefficacia che si nasconde dietro tutto quel clamore. Se un enorme elenco di funzionalità non è una buona metrica per scegliere un plug-in, qual è? Bene, questi fattori:

• Funzionalità di sicurezza essenziali
  • Scansione malware
  • Pulizia del malware
  • Firewall
• Funzionalità di sicurezza utili
  • Rilevamento vulnerabilità
  • Protezione dell'accesso con forza bruta
  • Registro delle attività
  • Autenticazione a due fattori
• Potenziali problemi
  • Impatto sulle risorse del server

Come puoi vedere, questo è un elenco molto breve. Ma questi sono i fattori che impediranno agli hacker di sfruttare il tuo sito Web e al malware di capovolgere il tuo sito Web e la massima tranquillità. Di tutti i plugin che abbiamo testato, nessuno ha funzionato per noi.

In effetti, l'unico plugin che supera questa lista è MalCare. Con MalCare, il tuo sito Web ha la certezza di un eccellente scanner di malware, un pulitore che rimuove automaticamente i malware senza danneggiare il tuo sito e un firewall che impedisce agli hacker di sfruttare le vulnerabilità. Non puoi assolutamente sbagliare con MalCare.

Worfence vs Jetpack Security: confronto testa a testa delle funzionalità

Per presentare i risultati del nostro processo di test in modo equo e conciso, abbiamo organizzato i dati per caratteristica. Ogni plugin ha i suoi pro e contro e, a seconda di ciò che stai cercando, questa sezione ti aiuterà a valutare sia Wordfence che Jetpack sui meriti di quella particolare funzionalità.

Abbiamo organizzato l'elenco dal più importante al meno importante e racchiuso le nostre esperienze con le impostazioni, l'installazione e altri aspetti dei plugin.

Tuttavia, se preferisci saltare alla conclusione, ti consigliamo di installare MalCare sul tuo sito Web WordPress e chiamarlo un giorno.

Scansione malware

Lo scanner di Wordfence ha trovato tutto il malware basato su file nei file e nelle cartelle principali di WordPress e nei plugin e nei temi gratuiti. Ma non è stato in grado di rilevare malware nel database del nostro sito Web e contenuti in alcuni plugin e temi premium. Jetpack ha rilevato circa il 30% del malware sul nostro sito web.

Una volta attivato Wordfence, accadono subito due cose: inizia la prima scansione del sito e il firewall entra in modalità di apprendimento. Tratteremo il firewall in modo più dettagliato in seguito. Abbiamo visto che lo scanner era in funzione e presto ha raggiunto il 60%. E poi è rimasto lì per un po'. Ok, abbiamo pensato che avesse bisogno di più tempo per funzionare, quindi l'abbiamo lasciato da solo per alcune ore e siamo tornati per scoprire che era ancora al 60%.

Il 60% non è una barra di avanzamento per lo scanner, ma un indicatore dell'efficienza dello scanner gratuito. Per arrivare al 100%, è necessario eseguire l'aggiornamento alla versione pro. Questo è stato il primo e l'ultimo caso di dissonanza cognitiva con Wordfence, quindi l'abbiamo lasciato andare.

Abbiamo impostato Wordfence per eseguire nuovamente la scansione del sito Web e siamo rimasti piacevolmente sorpresi di vederlo terminato molto rapidamente. 37 secondi, per essere precisi, per il nostro minuscolo sito Web infestato da malware. Lo scanner ha rilevato tutto il malware nei file principali di WordPress e nei plugin e nei temi gratuiti, ma niente da quelli premium né dal database. Quindi, nonostante Wordfence sia un'ottima alternativa a quasi tutti i nostri plugin (tranne MalCare ovviamente), lo scanner è solo rigorosamente al di sopra della media.

Il nostro punto di partenza è che il database di malware di Wordfence è ampio e relativamente aggiornato. Tuttavia, se il team di Wordfence non si è imbattuto in malware, non sarà nel database. Pertanto, non può proteggere i siti Web dalle nuove minacce.

Un altro aspetto negativo dello scanner è che genera molti falsi positivi. I falsi positivi valgono quanto l'assenza di avvisi, perché portano a sfiducia negli avvisi e compiacimento.

Jetpack include uno scanner di malware come parte dei suoi piani a pagamento. Sebbene non sia una patch su Wordfence, abbiamo notato che Jetpack ha rilevato alcuni malware. La percentuale è tuttavia notevolmente inferiore a quella di Wordfence, con un'efficacia di circa il 30-50%, rispetto all'efficacia del 70-80% di Wordfence.

Pulizia del malware

Jetpack non ha la pulizia del malware, automatica o meno. Wordfence ha un'opzione per riparare i file infetti, ma solo il malware che rileva effettivamente in primo luogo. D'altra parte, Wordfence ha un servizio di rimozione malware premium, che costa $ 490 per sito.

Dopo la scansione, Wordfence elenca i file compromessi con la raccomandazione di far pulire i file dai loro esperti professionisti di WordPress. In alternativa, puoi provare a utilizzare le due opzioni di pulizia automatica sulla dashboard: elimina tutti i file eliminabili e ripara tutti i file riparabili.

Nei nostri test, l'opzione di eliminazione ha eliminato 1 file con successo senza errori, lasciando molti altri file ancora violati. Quindi ho provato l'opzione di riparazione, che ha corretto tutti i file mostrati nell'elenco. È fantastico, perché ciò significava che non era necessario eseguire la rimozione del malware separatamente.

La nostra unica lamentela con l'intero episodio era che c'erano avvisi terrificanti che il nostro sito potrebbe non funzionare se usiamo l'opzione di eliminazione o riparazione. Tuttavia, ci siamo assicurati di avere dei backup e ci siamo attivati. Il malware che abbiamo riscontrato doveva ancora essere rimosso, quindi gli avvisi ci hanno fatto discutere brevemente se vivere con il malware fosse meglio che violare il sito. No, non è affatto così.

Poiché gli altri plug-in di sicurezza che abbiamo testato non sono nemmeno riusciti a raggiungere questo punto dei festeggiamenti, non ci siamo preoccupati di verificarli contro altri tipi di malware. Tuttavia, poiché Wordfence ha ridotto il malware basato su file, abbiamo aggiunto alcune curve al nostro repertorio di test.

Innanzitutto, alcuni malware di reindirizzamento hacker sono entrati nel database del nostro sito Web. Quindi, abbiamo aggiunto anche diverse pagine di spam di hacking di parole chiave giapponesi. Inoltre, abbiamo inserito script dannosi in plug-in premium e installato un plug-in annullato sui siti Web di prova. Abbiamo ipotizzato che questi avrebbero fatto scattare lo scanner e lo hanno fatto assolutamente. Lo scanner non ha registrato alcun malware in cartelle premium non core.

Il database del malware di Wordfence è completo, ma sembra fare molto affidamento su ciò che il loro team ha visto prima. È allora che la riparazione automatica funziona. Wordfence non è in grado di rilevare malware oscuri o malware in plugin e temi premium. Il risultato netto è che il pulitore è davvero efficace solo quanto lo scanner, che è di per sé efficace per circa il 70-80%.

Il passo successivo è optare per il servizio di rimozione malware di Wordfence, che afferma di rimuovere tutte le istanze di malware, backdoor e inoltre valuta il sito per vulnerabilità e falle di sicurezza. Come parte del pacchetto, Wordfence ti aiuterà a rimuovere il tuo sito web da tutte le blacklist, come ad esempio quella di Google. C'è una garanzia di 1 anno per la pulizia, a condizione che tu segua assiduamente la checklist post-hack alla lettera.

Tieni presente che non siamo in grado di commentare l'efficacia del servizio di rimozione del malware, poiché non l'abbiamo provato.

Jetpack copre un po' l'argomento della pulizia del malware sul proprio sito Web. Questo, di per sé, è un regalo morto che non possono farlo. La pulizia del malware è probabilmente la parte più critica e più difficile della sicurezza di WordPress, poiché una rimozione maldestra può danneggiare irreparabilmente un sito Web. Se un plug-in può pulire il malware con sicurezza, ne parleranno di sicuro.

Le nostre aspettative su Jetpack non erano elevate, soprattutto dopo aver visto che lo scanner non è in grado di contrassegnare tutto il malware. Eravamo giustificati perché anche con il malware segnalato, Jetpack non era in grado di farci nulla. I risultati della scansione mostrano il codice effettivo che è stato contrassegnato come malware e il suggerimento su ciascun tag è di chiedere a un esperto di rimuoverlo. Quindi non è completo né utile.

Firewall

Jetpack non ha un firewall. Il firewall delle applicazioni Web di Wordfence proteggerà i siti Web in modo efficace dalla maggior parte degli attacchi comuni e importanti. Un punto di preoccupazione è che la versione gratuita riceve aggiornamenti dopo quella premium.

Un firewall è parte integrante della sicurezza di WordPress, perché impedisce agli attacchi di WordPress e al traffico dannoso di raggiungere il tuo sito web. Se i malintenzionati non riescono a raggiungere il tuo sito Web, non possono sfruttare le vulnerabilità e quindi non possono installare malware. Pensa a un firewall come al perimetro di sicurezza attorno al tuo sito web. Jetpack non ha un firewall, quindi questa sezione riguarda solo Wordfence.

Il firewall di Wordfence entra direttamente in modalità di apprendimento quando installi il plugin per la prima volta. Si consiglia di lasciare la modalità di apprendimento per almeno una settimana per ottenere i migliori risultati. Questo è corretto, perché i firewall richiedono che il traffico in tempo reale si blocchi in modo efficace in futuro. Nel nostro caso, i nostri siti di test non ricevono traffico, quindi abbiamo disattivato immediatamente la modalità di apprendimento e siamo passati ai test.

Sia la versione gratuita che quella premium del firewall di Wordfence hanno tenuto fuori con successo gli attacchi. Abbiamo provato iniezioni SQL, attacchi di scripting tra siti, falsi di richieste tra siti e iniezioni di codice remoto. Non abbiamo potuto sfruttare nessuna delle vulnerabilità del sito.

C'era una domanda però. La dashboard di Wordfence mostra l'efficacia del firewall gratuito al 35%, rispetto al proposto 100% del firewall premium. Allora qual è la differenza tra la versione gratuita e quella premium?

La differenza è duplice: la prima è quando il firewall viene caricato sul tuo sito web; e il secondo è quando il firewall riceve gli aggiornamenti.

Entrambi questi fattori sono differenze non banali e sono cruciali per il modo in cui lo stesso plugin può avere una differenza di efficacia del 65% tra le loro versioni gratuite e premium. Analizzeremo entrambe le differenze per spiegare cosa sta succedendo qui.

Innanzitutto, il tuo sito Web viene caricato in ordine sequenziale. WordPress è generalmente il primo, con i file e le cartelle principali, quindi i plugin, i temi e il database. Questo è noto come ordine di caricamento e i file più importanti vengono sempre caricati per primi perché sono fondamentali per il resto del sito. Ad esempio, senza wp-config, non è possibile connettersi al database. Questo è un piccolo esempio, ma è indicativo di quanto sia importante l'ordine di caricamento quando si ha a che fare con la sicurezza.

Il firewall gratuito di Wordfence si carica come un normale plug-in, il che significa che viene caricato dopo WordPress, tutti i file core e forse insieme agli altri plug-in. Ciò significa che il firewall non può tenere tutto il traffico dannoso lontano dal sito, ma solo parte di esso.

In secondo luogo, i firewall sono efficaci grazie alle regole che contengono per filtrare il traffico dannoso. Queste regole devono essere aggiornate regolarmente per tenere conto delle mutevoli minacce.

Il firewall di MalCare, ad esempio, apprende da tutti i siti Web che protegge. Quindi, se il firewall blocca una minaccia su alcuni siti Web, apprende che dovrebbe esserci una regola per quella minaccia e aggiorna le regole del firewall su tutti gli altri oltre 100.000 siti Web su cui è installato, anche prima che la minaccia colpisca quei siti Web . Questo è il potere della protezione preventiva.

Quindi, mentre Wordfence ha il firewall più aggiornato, gli utenti di firewall gratuiti ottengono aggiornamenti più tardi rispetto alle loro controparti premium. Se ci fosse qualche indicazione sulla durata del ritardo, potremmo dire quanto sia un rischio calcolato, perché anche una piccola finestra è problematica. Tuttavia, non c'è, quindi possiamo solo ipotizzare che sia considerevole. Chi lo sa.

Rilevamento vulnerabilità

Wordfence ha azzerato tutte le vulnerabilità sui nostri siti Web di test, mentre Jetpack ha perso del tutto alcune di quelle meno conosciute.

Durante la scansione iniziale, Wordfence ci ha avvisato di tutte le vulnerabilità, contrassegnandole come minacce critiche. Abbiamo incluso molti plugin e temi oscuri, perché quelli hanno fatto scattare gli altri plugin di sicurezza durante le loro scansioni. Alcuni di loro hanno meno di 200 utenti e sono altamente di nicchia. Quindi punti pieni su Wordfence su quel fronte.

Un punto in più che ci è piaciuto molto è che WordFence ha segnalato plugin e temi non aggiornati come minacce medie. Questo è davvero importante, perché le vulnerabilità nel software obsoleto sono una delle principali cause di hack di successo sui siti Web WordPress.

È interessante notare che non è possibile correggere le vulnerabilità dalla dashboard di WordFence. Diversi plug-in di sicurezza minori lo aggiungono come funzionalità bonus, tuttavia, al suo interno, la "funzione" aggiorna semplicemente il software obsoleto, una funzionalità che esiste già nella dashboard di wp-admin. Non c'è un vero motivo per replicarlo, a meno che il plug-in non abbia gestito gli aggiornamenti come fa MalCare.

Jetpack si è scagliato contro di noi e ha perso del tutto l'oscuro software obsoleto. Non del tutto sorprendente, ma comunque deludente.

Protezione dell'accesso con forza bruta

Wordfence fa un ottimo lavoro nel proteggere la pagina di accesso dagli attacchi di forza bruta. Jetpack aggiunge un captcha a wp-login, quando si verificano diversi errori di accesso, ma non blocca l'IP nemmeno temporaneamente.

Solo per la cronaca, il blocco IP è una caratteristica imprecisa per iniziare. Allora perché stiamo sottolineando l'inadeguatezza di Jetpack al riguardo? Principalmente perché hanno così tante impostazioni dedicate alla whitelist degli IP, al punto che abbiamo pensato di essere in pericolo imminente di bloccarci. Ma niente. Se hai intenzione di parlare così tanto di una funzionalità, devi avere un buon seguito. È tutto.

Abbiamo forzato brutalmente la pagina di accesso molte volte e ben oltre il limite stabilito. L'unica differenza che abbiamo visto è stata un captcha numerico che prima non c'era. Era meno qualsiasi marchio, quindi usciremo su un arto e supponiamo che fosse Jetpack.

Nel complesso, il captcha è una soluzione elegante ma inadeguata agli attacchi di forza bruta alla pagina di accesso. Gli attacchi di forza bruta possono sopraffare un sito Web utilizzando le risorse del server, quindi devono essere tenuti fuori con qualcosa di più di un semplice captcha.

Wordfence, d'altra parte, ha funzionato come un campione. Siamo in qualche modo spaventati dall'enorme numero di impostazioni per ogni plug-in e a volte può significare che il plug-in non funziona, quindi è stato rinfrescante vedere solo alcune opzioni.

Sebbene la protezione dalla forza bruta sia abilitata per impostazione predefinita, puoi personalizzare le impostazioni dalla sezione firewall. Sono disponibili opzioni per impostare il numero di tentativi di accesso non riusciti che portano a un blocco temporaneo e persino la durata del blocco. Inevitabilmente, vediamo l'opzione della lista consentita, anche se sappiamo che gli IP dei dispositivi sono dinamici, quindi questo è indicativo nella migliore delle ipotesi, inutile nella peggiore.

Troverai anche le opzioni di password complesse qui. Mentre quelli sono fantastici da avere, nella sezione firewall, sotto la protezione della forza bruta non è il posto logico per avere quelle impostazioni. Sì, sono entrambi correlati alla sicurezza dell'accesso, ma ciò richiede comunque un salto per connettersi. Dubitiamo che le persone trovino queste impostazioni molto utili in questo posto remoto.

Registro delle attività

Ci è piaciuto molto il registro delle attività di Jetpack, poiché è una delle migliori versioni che abbiamo visto. Sorprendentemente, Wordfence non ha un registro delle attività.

Siamo davvero sorpresi dal fatto che Wordfence non abbia un registro delle attività perché è una parte davvero importante della sicurezza del sito web. Gli hacker sfruttano la registrazione insufficiente per attaccare i siti. Sicuramente vuoi avere un registro delle attività affidabile che contenga le informazioni corrette sull'andamento del tuo sito web.

Su Wordfence, c'è un'opzione per abilitare il debug, nel caso qualcosa vada storto. L'opzione è sepolta in profondità nella sezione Diagnostica in Strumenti. Ha lo scopo di rendere i registri del firewall più dettagliati. Abbiamo anche trovato un registro delle attività completo specifico per gli eventi di Wordfence nella sezione Scansione, ma non è quello che intendiamo per registro delle attività. Sembra anche un registro non elaborato pensato per gli sviluppatori di Wordfence.

La funzione di registro delle attività di Jetpack è eccellente e rende semplicissimo capire cosa è successo sul sito web. È disponibile per l'anteprima sui piani gratuiti, ma necessita di un abbonamento premium per essere davvero utile. I registri contengono tutte le informazioni sull'attività di utenti, plug-in e temi, con la funzione aggiuntiva di avvisi per elementi che richiedono attenzione, come malware o vulnerabilità.

Il nostro avvertimento qui è che i dati del registro delle attività sono disponibili solo per 30 giorni. Avremmo preferito vedere un lasso di tempo molto più lungo perché fosse davvero utile.

Autenticazione a due fattori

Wordfence ha un'ottima autenticazione a due fattori, che funziona immediatamente. Jetpack non ha questa funzione.

L'autenticazione a due fattori non è un problema per un plug-in di sicurezza, perché sono disponibili plug-in dedicati per la funzionalità. Quindi non stiamo esagerando con Jetpack per non averlo incluso.

Su Wordfence, l'autenticazione a due fattori funziona perfettamente. Soprattutto, è semplice da usare, senza un sacco di opzioni confuse. In effetti, era una funzionalità premium, che ora è disponibile anche per gli utenti gratuiti.

Utilizzo delle risorse del server

Jetpack utilizzerà alcune risorse del server per le sue scansioni, ma non influirà in modo percepibile sulle prestazioni. Wordfence, d'altra parte, è bandito da alcuni host web a causa di quanto stress mette a dura prova le risorse del server.

Ci siamo resi conto che Jetpack è qualcosa di leggero in termini di sicurezza e ha un impatto simile sulle risorse del server. C'è un notevole calo nell'utilizzo del disco, ma non abbiamo riscontrato un impatto eccessivo sulle prestazioni del sito Web.

Wordfence era un vampiro delle risorse del server. Certo, abbiamo scansionato il sito Web molte volte e lanciato una serie di test sul malware, ma non ci aspettavamo che l'utilizzo del disco salisse alle stelle 2-3 volte. Francamente, i nostri siti di test sono piccoli, quindi la penalità non era grave. Ma ci vengono i brividi al pensiero di cosa accadrebbe su un sito di e-commerce o su uno con molti contenuti. Yikes.

Dopo aver visto un sacco di messaggi sulla sua dashboard, è lecito concludere che Wordfence utilizza le risorse del sito per fare tutto: dalla scansione alla pulizia e tutto il resto. Il problema è che prestazioni e sicurezza non dovrebbero essere messe l'una contro l'altra in una sorta di compromesso. Non dovresti nemmeno scendere a compromessi.

Avvisi

Jetpack ti invia uno strano avviso di tanto in tanto, mentre Wordfence può affogare la tua casella di posta in un'ora.

A nostro avviso, gli avvisi devono essere bilanciati. Vuoi sapere se qualcosa è andato a forma di pera con il tuo sito web il prima possibile. Ma non hai bisogno di un avviso se qualcuno starnutisce nelle vicinanze del tuo sito web. L'equilibrio è fondamentale.

Wordfence fallisce miseramente in questo reparto. Gli avvisi dei risultati della scansione, dei falsi positivi, dei blocchi del firewall e molto altro sono troppo numerosi per essere contati. Francamente, un buon firewall dovrebbe bloccare direttamente gli attacchi, senza creare avvisi ogni volta.

In questo caso, Jetpack funziona davvero bene. Ricevi avvisi solo per cose importanti, come vulnerabilità rilevate o malware rilevato; cioè, cose che richiedono la tua attenzione immediata.

Installazione, configurazione e usabilità

Wordfence è stata l'installazione più semplice di sempre. Non posso dire lo stesso di Jetpack.

Wordfence è stato fantastico in questo senso. Inizia a utilizzare il plug-in e ti mostra la strada da seguire. Nessuna configurazione complicata. Il linguaggio utilizzato è semplice e accessibile.

Ci è piaciuto particolarmente il modo in cui ci sono brevi procedure dettagliate quando visiti ogni sezione della dashboard per la prima volta. Le spiegazioni chiare sono facili da capire e non c'è niente di quel gobbledegook tecnologico che di solito accompagna queste cose.

Il design generale è molto intuitivo e progettato per darti una visione a volo d'uccello della sicurezza del tuo sito web. Se qualcosa ti confonde, fai clic su un suggerimento e vai alla loro eccellente documentazione.

Se Wordfence era facile, Jetpack era sorprendentemente complicato. L'installazione si basa fortemente sulla necessità di aggiornare. Devi anche scegliere un piano, gratuito o meno, per procedere. Avrebbe potuto essere molto meglio di quello che è.

Jetpack: extra

La cosa buona di Jetpack è che combina più attività di amministrazione di WordPress in un unico plugin. Ha dei backup, che sappiamo essere estremamente importanti per qualsiasi sito web. La dashboard esterna è su WordPress.com, quindi è molto familiare da usare.

Detto questo, avremmo dato a Jetpack un plauso inequivocabile come plug-in di sicurezza senza fronzoli e fronzoli, se avesse fatto un buon lavoro nel proteggere i nostri siti Web. Non è stato così alla fine nessuno di questi buoni da avere ha alcun valore.

Wordfence: Extra

Wordfence è tutto incentrato sulla sicurezza. Non c'è nulla nel plug-in che sia nemmeno adiacente alla sicurezza, come la possibilità di aggiornare i plug-in come accennato in precedenza. Ma ci sono ancora un sacco di extra.

A partire dall'installazione, la prima cosa che abbiamo notato è una sezione delle notifiche per gli aggiornamenti del sito. Ad esempio, ci ha mostrato che 5 dei plug-in del nostro sito di test dovevano essere aggiornati.

Andando avanti, c'è un pannello chiamato Wordfence Central status. Questo per consentirti di connettere il tuo account a più siti Web e vedere lo stato di tutti i tuoi siti Web nel wp-admin di questo sito Web. Se sembra confuso, è perché è confuso e per niente intuitivo. Davvero non vuoi gestire più siti Web dalla dashboard di un sito Web. Hai bisogno di un dashboard esterno per quello, che in realtà è Wordfence Central. Ma fa un pessimo lavoro nel portarlo attraverso.

Wordfence Central va bene, anche se non è nemmeno lontanamente completo. Forse siamo viziati a causa della dashboard di MalCare, che sembra un pannello di controllo di un aereo per i siti web. Wordfence Central sembra ingombrante per qualcosa di più di 10 o 20 siti e potrebbe essere molto meglio.

Nella sezione Strumenti c'è un pannello per il traffico in tempo reale. Inizialmente sembra che sia una skin per Google Analytics, ma si è rivelato essere più di questo. Registra i registri del traffico verso il tuo sito Web e puoi vedere esattamente che tipo di traffico riceve il tuo sito Web: umano, bot, avviso, bloccato.

Abbiamo pensato che Diagnostics fosse piuttosto interessante, poiché conteneva molte informazioni sul sito Web; cose come proprietari di processi e tabelle di database, per esempio. It is like a blueprint of the website, which the status of each of the specifications alongside. It doesn't look like something a normal user would need, but definitely could help out a developer.

What's missing from Jetpack and Wordfence

Ultimately, there is a lot missing from Jetpack: the scanner is below-average, there is no cleaner or firewall. The rest of the stuff is alright, but these three factors are non-negotiable for security.

Wordfence doesn't have bot protection, and surprisingly no activity log. Although it is a comprehensive security plugin, the drain on server resources and the tendency to cry wolf at the drop of a hat is off-putting.

Jetpack vs Wordfence: Pricing

Jetpack is exorbitant at $300 per year for the security suite. Wordfence premium is far more reasonable at $99 for the year, but the premium version isn't a significant upgrade on the free version.

Wordfence has a really great free version, and in our opinion the upgrade to premium doesn't add much more. The site license is still competitive at $99 a pop, and gets better with more websites.

The knockout punch from the Wordfence corner is their malware removal service. That will set you back a cool $490 per site cleanup. The 1-year guarantee is also subject to terms and conditions, so you shouldn't consider that a one-time expense.

Jetpack is really not worthy of that fancy price tag. There is little to say beyond that.

Better alternative to Jetpack and Wordfence: MalCare

The best investment you can make in your website is to invest in a good security plugin. By this point, you know what to look for in a security plugin. And you will find all those things and more in MalCare. MalCare scans, cleans and protects your website from exploits in a major way. It far outperforms all other plugins.

Plans for MalCare start at $99 for the Basic plan, which includes unlimited cleanups. Contrast that to Wordfence's $99 plan and $490 per cleanup needed thereafter and the choice becomes clear. MalCare all the way.

Conclusione

We really hope this article helps to clear any confusion with respect to WordPress security. It is admittedly hard to wade through all the misinformation available online to arrive at a good decision.

If you have any questions, please write to us. We would be happy to help, and thrilled to hear from you!