Sucuri vs Wordfence: quale plug-in di sicurezza è il migliore per il tuo sito Web WordPress

Wordfence e Sucuri sono entrambi i massimi esponenti dei plugin di sicurezza di WordPress. In ogni conversazione, inevitabilmente emergono e le persone sono divise su quale sia il miglior plug-in di sicurezza.

Sucuri ha un popolare scanner online, ampiamente utilizzato dall'amministratore del sito Web per rilevare il malware. Il loro plug-in ha anche uno scanner lato server, un firewall e molte altre funzionalità di sicurezza. Sucuri offre la rimozione illimitata del malware con qualsiasi piano.

Wordfence è il leader indiscusso per i plugin di sicurezza di WordPress. Il team integra il plug-in di sicurezza con molti contenuti educativi, aiutando l'amministratore a capire come proteggere il proprio sito Web dagli hacker. Il plug-in ha uno scanner e un firewall e può anche rimuovere alcuni malware. Anche loro hanno un servizio di rimozione del malware, ma questa è una funzionalità premium su richiesta.

Per rispondere a quale sia il migliore nella battaglia Sucuri vs Wordfence, abbiamo testato ampiamente entrambi i plugin. Come vedrai nel resto dell'articolo, i test sono stati progettati per far scattare i plugin in modo che tu possa prendere la decisione migliore per la sicurezza del tuo sito web.

5 plug-in di sicurezza, 3 siti Web, 45 giorni e un sacco di malware. I risultati sono stati conclusivi.

VERDETTO Sucuri vs Wordfence non è una domanda semplice. Entrambi hanno scanner di malware e firewall. Wordfence ha un pulitore automatico e un costoso servizio di rimozione del malware, mentre Sucuri ha solo pulizie illimitate con i loro piani. Dopo aver soppesato tutti i fattori, Wordfence è sicuramente il vincitore. Continua a leggere per saperne di più.

La nostra scelta

Per questa serie, abbiamo sviluppato 3 siti web di prova: primo, un semplice blog con tante immagini e commenti come controllo; secondo, un sito con molti plugin vulnerabili e temi con vari livelli di oscurità; e, infine, un sito caricato con diversi tipi di malware.

I criteri per un plug-in efficace sono molteplici, ma volevamo concentrarci su una semplice domanda: il plug-in fa un buon lavoro nel proteggere il tuo sito Web da hacker e malware?

45 giorni dopo, abbiamo avuto la nostra risposta. Per 4 plugin su 5, la risposta è stata no. 1 plugin ha vinto su tutti i fronti. Quel plugin è MalCare.

MalCare ha il miglior scanner di malware che abbiamo visto, in grado di rilevare il malware da file, database e cartelle, indipendentemente da quanto bene sia nascosto. Ha un pulitore automatico che funziona davvero, pulendo solo i malware con precisione chirurgica. E infine, un firewall avanzato che blocca le minacce che possono sfruttare il tuo sito web.

Il miglior plugin di sicurezza per il tuo sito WordPress è inequivocabilmente MalCare.

Riepilogo del confronto Sucuri vs Wordfence

In questa battaglia campale, Wordfence è il vincitore. Dobbiamo ammettere che è stata una chiamata ravvicinata, perché anche Sucuri ha i suoi punti.

Possiamo capire perché le persone si agitano così tanto su quale sia il migliore, perché i difetti di Wordfence sono i punti di forza di Sucuri e viceversa. Quindi, a seconda dell'esperienza personale di un individuo, sosterranno il plug-in che ha risolto il loro particolare problema.

Ma per questo motivo, non esiste una risposta obiettiva su quale sia olisticamente migliore per tutti i siti WordPress. E la risposta è nessuna delle due. Non dovresti scendere a compromessi su un aspetto della sicurezza o su un altro. Avere tutto ottenendo invece MalCare.

Wordfence in poche parole

Wordfence è il miglior plugin di sicurezza per un sito WordPress dopo MalCare. La versione gratuita è robusta, con ottime funzionalità di sicurezza. Lo scanner rileva la maggior parte del malware basato su file ed è in grado di pulire la maggior parte di ciò che rileva. Il firewall è uno dei più aggiornati e blocca diverse minacce. Gli aspetti negativi sono che le prestazioni del sito Web subiscono un enorme successo con Wordfence e il loro servizio di pulizia del malware è costoso.

Lo scanner di Wordfence è stato in grado di rilevare tutto il malware basato su file che avevamo inserito nei nostri plugin e temi gratuiti. Se suona stranamente specifico, è perché lo è. Non è stato in grado di rilevare il malware presente nel database, né il malware inserito in plugin e temi premium. Questo perché il meccanismo di rilevamento della corrispondenza dei file utilizzato da Wordfence si basa fortemente sul codice disponibile pubblicamente.

I risultati della scansione hanno segnalato il malware e le vulnerabilità nei temi e nei plug-in installati. Stranamente, Wordfence ha anche segnalato alcuni dei nostri plugin premium come malware o errori. Questi sono falsi positivi, che siamo in grado di vedere perché siamo abituati a scavare nel codice di WordPress. Ma per questo motivo alcuni amministratori di siti Web potrebbero finire per rimuovere plug-in perfettamente validi.

Inoltre, c'era un'opzione per riparare automaticamente i file contenenti malware dopo la visualizzazione dei risultati della scansione. L'abbiamo provato e ha funzionato. Tutto il malware rilevato è stato rimosso dal sito Web. Ovviamente, non può riparare il malware che non è stato in grado di rilevare in primo luogo.

Successivamente, abbiamo provato il firewall. È stato efficace, bloccando molte delle minacce che gli abbiamo lanciato. Ma ogni volta che il firewall bloccava una minaccia, ricevevamo un avviso. Ci sono stati così tanti avvisi durante i nostri test, possiamo solo immaginare cosa accadrà su un sito live. L'amministratore sarà sicuramente sopraffatto e perderà gli avvisi critici.

Oltre a questi tre criteri principali, ci sono un sacco di altre opzioni disponibili su Wordfence. La protezione dalla forza bruta è eccezionale e l'autenticazione a due fattori funziona come un incantesimo.

Ciò che ha davvero portato il plug-in su diverse tacche è stata la sua straordinaria usabilità. Wordfence è un plug-in di sicurezza complesso, ma è accessibile anche ai principianti. Per come è strutturata la dashboard, con i suggerimenti e la documentazione di accompagnamento, chiunque può configurare il plug-in di sicurezza, senza rendere accidentalmente inutilizzabile il proprio sito. Questo è un vantaggio enorme secondo noi, soprattutto se confrontato con Sucuri, come vedrai più avanti.

Wordfence sorprendentemente non ha un registro delle attività, che pensavamo fosse molto strano. Ma il vero aspetto negativo è che è un pozzo di risorse. Ogni scansione che abbiamo eseguito sul nostro sito Web ha causato un picco di utilizzo del disco e un calo delle prestazioni del sito Web. È per questo motivo che molti host web hanno bandito Wordfence.

In sintesi, Wordfence è un ottimo plugin di sicurezza, ma con gravi lacune. Nonostante tutti i vantaggi che ha e nessuno dei difetti, MalCare è la strada da percorrere.

Sucuri in poche parole

Sucuri ha un buon firewall e il loro servizio di rimozione del malware è stato ottimo. Ma lo scanner di malware non è riuscito a rilevare alcun malware, anche se il loro team lo ha rimosso in seguito. Un plug-in di sicurezza senza uno scanner malware funzionante è inefficace.

Sucuri è l'unico altro plug-in che ha qualche possibilità di essere considerato insieme a MalCare e Wordfence, perché a volte funziona almeno come plug-in di sicurezza. Jetpack e iThemes sono stati cancellati.

È probabilmente uno dei plugin di sicurezza più popolari in circolazione, ma fallisce ancora in un'area fondamentale: la scansione del malware. Come vedremo in seguito, il loro servizio di rimozione del malware è di prim'ordine. Sono stati efficienti e tempestivi, rispondendoci prima del previsto e facendo un buon lavoro con la pulizia del sito web. Tuttavia, se non fosse stato un sito Web di prova che abbiamo creato e riempito di malware, non avremmo mai saputo che fosse stato infettato in primo luogo perché lo scanner ci ha fornito un segnale pulito per gli hack. Quindi, in effetti, Sucuri è un classico caso di mettere la carrozza davanti ai buoi. Devi sapere che il sito è stato violato per pulirlo, ma non c'è modo di sapere che è stato violato con lo scanner di Sucuri.

Andando avanti, il firewall ha funzionato bene. Ha tenuto fuori attacchi come iniezioni SQL e attacchi di esecuzione di codice remoto in modo semplice e coerente. Ma è stato un incubo da configurare. Poiché stiamo utilizzando siti di test, ci sono stati molti problemi con la modifica dei server dei nomi in modo che puntassero agli IP del firewall di Sucuri anziché al nostro sito Web di test. Se qualcuna di quell'ultima frase non aveva senso, va bene. Ci sono voluti anni anche per configurarlo. Ad essere onesti, non incontrerai tali difficoltà sui tuoi siti live, ma se vuoi configurarlo su un sito di staging o locale? Aspettati problemi.

Eravamo già frustrati dal firewall quando abbiamo esaminato le altre opzioni di configurazione. Perché è tutto così complicato? Il linguaggio è confuso e, in alcuni casi, addirittura condiscendente. E questo prima che ci rendessimo conto che ogni scansione di sicurezza rallentava i nostri siti Web di prova. Quando abbiamo verificato l'utilizzo del disco del server, si è verificato un aumento allarmante.

Sucuri utilizza le risorse del sito per cercare malware, uno scanner che non funziona, ricorda. Quindi non fa quello che dovrebbe e continua a rovinare le prestazioni del sito. Non è un bell'aspetto per Sucuri.

Quale plugin di sicurezza vale i tuoi soldi?

I consigli sulla sicurezza di WordPress sono numerosi e ben intenzionati, ma spesso sono cattivi consigli. Abbiamo visto persone sostenere iThemes, uno dei peggiori plug-in di sicurezza che abbiamo mai visto, perché i loro siti Web non sono mai stati violati, scontando completamente il fatto che aggiornano regolarmente i plug-in, utilizzano buone password, non utilizzano software annullato e hanno una buona dose di fortuna. Se GoDaddy può avere una violazione dei dati, anche il tuo sito web può farlo.

Il nocciolo della questione è come scegliere un buon plugin di sicurezza. Abbiamo compilato un elenco essenziale, eliminando le cose che non sono legate alla sicurezza.

• Funzionalità di sicurezza essenziali
  • Scansione malware
  • Pulizia del malware
  • Firewall
• Funzionalità di sicurezza utili
  • Rilevamento vulnerabilità
  • Protezione dell'accesso con forza bruta
  • Registro delle attività
  • Autenticazione a due fattori
• Potenziali problemi
  • Impatto sulle risorse del server

Come puoi vedere, ci sono solo 3 caratteristiche essenziali di cui devi preoccuparti. Un plug-in di sicurezza dovrebbe essere ottimo in queste 3 cose: scansione del malware, pulizia del malware e firewall. Tutto il resto è sugo. Non stiamo eliminando la protezione della forza bruta o l'autenticazione a due fattori, perché anche quelli sono importanti. Ma puoi ottenere altri plugin per quella funzionalità.

MalCare è l'unico plug-in di sicurezza che ha ottime capacità di scansione e pulizia del malware e un firewall avanzato che tiene fuori le minacce. Ogni altro plugin fallisce in un posto o nell'altro.

Sucuri vs Wordfence: confronto testa a testa delle funzionalità

La scelta del plug-in di sicurezza giusto può essere un'esperienza sconcertante, soprattutto quando devi testare ciascuno di essi per verificarne l'efficacia, sperando per tutto il tempo che funzioni.

In questa sezione, abbiamo presentato i risultati dei test organizzati per funzionalità. Il confronto e il contrasto delle stesse funzionalità tra i plug-in fornisce un quadro più chiaro dell'efficacia del plug-in di sicurezza.

Abbiamo spiegato i nostri risultati nel modo più equo e trasparente possibile, con l'obiettivo di aiutare le persone a fare una scelta migliore per i loro siti web. Tuttavia, se desideri proteggere rapidamente i tuoi siti Web, installa invece MalCare e vai alla fine.

Scansione malware

Sucuri ha 2 scanner: uno online chiamato SiteCheck e uno a livello di server che fa parte del plugin. Entrambi non hanno rilevato malware. Wordfence ha uno scanner di malware decente, in grado di rilevare gli script dannosi nei file e nelle cartelle principali e quelli nei plugin e nei temi gratuiti. Altrimenti, ha perso malware nel database e plugin e temi premium.

Consigliamo spesso Sucuri SiteCheck come diagnostica di primo livello per malware, nel caso in cui qualcuno sospetti che il loro WordPress sia stato violato. Non è in grado di eseguire la scansione dell'intero sito Web, ma è in grado di identificare rapidamente le infezioni malware comuni e senza la necessità di installare un plug-in per lo scopo specifico.

Avevamo maggiori aspettative sullo scanner a livello di server, considerando che avrebbe pieno accesso al sito web. L'installazione è leggermente diversa rispetto ad altri plugin, perché lo scanner deve essere installato sul tuo server web. Questo può essere fatto manualmente o inserendo i dettagli FTP nella dashboard. Abbiamo terminato l'installazione e abbiamo atteso il completamento della scansione.

Molto tempo dopo, la scansione è stata completata e il nostro sito Web pieno di malware era apparentemente privo di hack. Esegui la scansione una seconda volta per vedere se c'è stato un errore la prima volta. No, ancora nessun malware secondo Sucuri. Grave fallimento.

Al momento dell'installazione, Sucuri è impostato per essere eseguito una volta al giorno, ma è possibile richiedere scansioni su richiesta. Le richieste vengono accodate e quindi eseguite in base alla disponibilità. Il plug-in stesso ti avviserà che la scansione del tuo sito Web consumerà le risorse del server e quindi influirà sulle prestazioni del tuo sito Web. Onestamente, è terribile perché la sicurezza non dovrebbe andare a scapito delle prestazioni e dell'esperienza dell'utente. Ne parleremo più dettagliatamente in un'altra sezione.

Wordfence esegue anche una scansione automaticamente durante l'installazione. C'era un po' di confusione qui però, perché pensavamo che il cerchio percentuale sul cruscotto fosse il progresso dello scanner. Dopo aver visto che non era passato oltre il 60% per alcune ore, abbiamo osservato più da vicino e ci siamo resi conto che era una misura dell'efficienza dello scanner. Per arrivare al 100%, è necessario aggiornare il plugin.

Riavviato lo scanner per valutare il tempo impiegato e, poiché i nostri siti di test sono piccoli, lo scanner è stato eseguito in meno di un minuto. Questo è sicuramente un vantaggio. Tuttavia, i risultati della scansione erano solo al di sopra della media, non perfetti, perché ha rilevato la maggior parte del malware, non tutto.

La ragione di ciò è che Wordfence utilizza la corrispondenza delle firme per rilevare il malware. Ciò significa che lo scanner di Wordfence confronta il codice del tuo sito Web con un database di firme di malware. Se c'è una corrispondenza, lo scanner la contrassegna come malware. Sebbene Wordfence abbia un formidabile database di malware, che aggiornano regolarmente in base alla loro ricerca sulla sicurezza, non può mai essere completo al 100% perché il team avrebbe dovuto vedere il malware per aggiornarlo nel database e, indipendentemente dalla ricerca completa, nuovi il malware si presenta continuamente

Pertanto, Wordfence è abile nel raccogliere i malware presenti nei file e nelle cartelle principali di WordPress, nonché gli script dannosi nei plugin e nei temi gratuiti. Ma non è in grado di rilevare malware nei software premium, come ad esempio Elementor, perché non hanno accesso al codice sorgente per l'analisi. Per lo stesso motivo, anche Wordfence non riesce a rilevare il malware nel database, perché ciò richiede un meccanismo che vada oltre la corrispondenza delle firme da scoprire.

Detto questo, Wordfence ha rilevato tutto il nostro malware basato su file. Secondo le nostre stime, è in grado di rilevare dal 70 all'80% del malware. È anche soggetto a falsi positivi e tende a generare un sacco di avvisi. Ci arriveremo anche in una sezione separata.

Pulizia del malware

Wordfence ha una funzione di riparazione automatica per pulire il malware, ma l'efficacia è discutibile per malware più complessi. Hanno un servizio di rimozione malware premium ma può fare un buco in tasca a $ 490 per sito. Sucuri d'altra parte ha un servizio di pulizia manuale illimitato del malware incluso in tutti i suoi piani.

Anche se lo scanner di Sucuri ha affermato che il nostro sito non conteneva malware, cosa che sicuramente aveva, abbiamo richiesto una pulizia, senza aspettarci molto. Tuttavia, il sito è tornato da noi immacolato. L'abbiamo eseguito tramite MalCare per verificare. Stranamente, dopo che il team di Sucuri ha pulito il nostro sito, lo scanner ha segnalato il malware su di esso. Chiaramente, un bug da qualche parte.

Il servizio di rimozione del malware è stato molto rapido. Sebbene il nostro piano garantisse una risposta in 30 ore, abbiamo ripulito un sito in meno di 10. È fantastico. L'unico avvertimento che vorremmo sottolineare è che, quando hai un sito hackerato, il tempo è essenziale. Non puoi permetterti di avere malware che langue a lungo sul tuo sito web. Giusto per sottolineare quanto sia importante agire rapidamente, la lista nera di Google misura anche il tempo di risposta alle notifiche di malware.

Per la rimozione del malware, è necessario richiedere una pulizia da Sucuri. Compila un modulo con tutte le informazioni che puoi fornire e il team prende il sopravvento da lì. Abbiamo ricevuto un messaggio da Sucuri con una checklist post-hack con ottimi consigli. Quindi, nel complesso, la funzione di pulizia del malware con Sucuri è un pollice in su.

Wordfence ha 2 opzioni per gestire i file compromessi sulla dashboard: eliminare tutti i file eliminabili e riparare tutti i file riparabili. Questo è a parte un CTA che suggerisce di optare per il loro servizio di pulizia esperto.

Abbiamo provato entrambe le opzioni ed entrambe hanno avuto un discreto successo nel rimuovere il malware dal nostro sito web. Il problema è che la rimozione automatica è preceduta da gravi avvisi di rottura del sito a causa di modifiche.

I nostri siti di test sono supportati su BlogVault e, francamente, non eravamo così preoccupati per la loro rottura. Anche se siamo stati in grado di passare senza pensarci troppo, è perché eravamo interessati a testare la funzione di riparazione. Tuttavia, il caso sarebbe molto diverso, ad esempio, per il negozio di e-commerce di qualcuno o un sito Web ad alto traffico.

Nella nostra serie di test, di solito ci siamo fermati a questo punto perché la maggior parte degli altri plug-in di sicurezza non funzionava. Wordfence ha eliminato tutti i malware basati su file dal nostro sito Web, quindi abbiamo provato la funzione con malware di database e alcuni nei nostri plug-in premium. Lo scanner non è stato in grado di rilevare questo lotto di malware e quindi la riparazione automatica non era nemmeno un'opzione.

L'altra alternativa era richiedere la rimozione del malware. Il servizio pretende di rimuovere malware, backdoor ed eseguire un audit di sicurezza del sito Web, valutando le vulnerabilità. Nel caso in cui il tuo sito sia finito in una lista nera, Wordfence aiuterà anche a sbarazzarsi di quello. Il servizio è garantito per un anno, a seconda che l'amministratore del sito abbia seguito alla lettera le raccomandazioni post-hack. Nota: non possiamo parlare dell'efficacia del servizio di rimozione del malware di Wordfence, poiché non l'abbiamo provato.

D'altra parte, abbiamo utilizzato MalCare per rimuovere automaticamente tutto il malware e siamo stati in grado di farlo senza problemi. Nessun avviso terribile, nessun malware perso e il nostro sito è stato perfettamente pulito in pochi minuti. Questo è il tipo di pulizia del malware che vogliamo per il nostro sito web.

Firewall

Sia Sucuri che Wordfence hanno ottimi firewall che bloccano le minacce più comuni e principali. Ma il firewall di Sucuri è stato un incubo da installare e il firewall gratuito di Wordfence riceve aggiornamenti in modo preoccupante più tardi rispetto alla loro versione premium.

Il firewall di Sucuri ha tenuto fuori attacchi come SQL injection, remote injection e attacchi cross-site scripting. Il nostro sito Web di prova presentava un sacco di vulnerabilità, come ad esempio i caricamenti di file non protetti, ed è rimasto al sicuro dietro il firewall.

Il nostro problema con il firewall di Sucuri era la sua installazione. Per utilizzare il firewall, devi indirizzare il tuo traffico ai loro server dei nomi, in modo che il traffico negativo venga filtrato e solo il traffico buono venga inviato al tuo sito web. Ottima idea, ma che incubo da configurare. I nostri siti Web di prova non erano collegati a nessun registrar di domini, quindi abbiamo dovuto arruolare il team di ingegneri per capirlo.

Anche il firewall di Wordfence funziona immediatamente e tiene lontani gli attacchi con successo.

Subito dopo l'installazione, il firewall è entrato in modalità di apprendimento. Wordfence ha raccomandato di lasciare attiva la modalità di apprendimento per una settimana. Questo è giusto, perché i firewall hanno bisogno di traffico in tempo reale per imparare a essere efficaci. Tuttavia, poiché non abbiamo traffico in tempo reale verso i nostri siti Web di prova, abbiamo visto poco senso aspettare una settimana e l'abbiamo scoperto immediatamente.

Con Wordfence, il firewall gratuito è presumibilmente efficace solo per il 35%. Questo non è un presupposto da parte nostra, ma in realtà è sul cruscotto. Abbiamo scavato un po' più a fondo per capire perché potrebbe essere così. Ci sono 2 ragioni:

Uno: il firewall gratuito si carica come un plug-in, dopo che WordPress è terminato. L'ordine di caricamento influisce in modo significativo sulla sicurezza, perché se il firewall viene caricato dopo il core di WordPress significa che può tenere fuori solo una parte del traffico dannoso, non tutto.

Due: mentre Wordfence ha il firewall più aggiornato, la versione premium riceve quegli aggiornamenti in tempo reale. La versione gratuita, tuttavia, riceve gli aggiornamenti dopo un periodo di tempo non specificato. Non abbiamo modo di sapere quale sia il ritardo, ma è potenzialmente problematico. Dopotutto, gli hacker possono colpire la finestra.

Il più grande regalo è che Wordfence stesso classifica il proprio firewall gratuito con un'efficacia del 35% rispetto alla versione premium. Non buono.

Rilevamento vulnerabilità

Wordfence ha svolto un ottimo lavoro nel rilevare tutte le vulnerabilità sul nostro sito web. Sucuri mancava del tutto quelli oscuri.

Siamo rimasti colpiti nel vedere che Wordfence ci ha avvisato di tutti i plugin non aggiornati come minacce medie. Le vulnerabilità sono state contrassegnate correttamente come minacce critiche. Altri plug-in di sicurezza sono intervenuti sui plug-in e sui temi più oscuri, non avvisandoci affatto delle loro gravi vulnerabilità come il cross-site scripting in un caso. Quindi Wordfence ha avuto la meglio qui.

Non è possibile correggere le vulnerabilità direttamente dalla dashboard di Wordfence, ma ha senso. Risolvere le vulnerabilità significa essenzialmente aggiornare il plug-in o il tema e tale funzionalità è già facilmente disponibile su wp-admin. A meno che Wordfence non avesse una regressione visiva come MalCare per assicurarsi che l'aggiornamento non interrompesse il sito, non ha senso replicare una funzionalità esistente.

Wordfence ha anche generato errori per iThemes e Backupbuddy. Questo è indicativo della loro tendenza a segnalare falsi positivi sul sito web.

Sucuri ha rilevato tutte le vulnerabilità tranne le più oscure sui nostri siti Web di prova. Tuttavia, puoi aggiornare il tuo software obsoleto dalla dashboard di Sucuri, a differenza di Wordfence. Non vediamo davvero l'utilità, poiché gli aggiornamenti sono facilmente possibili tramite wp-admin.

La scheda post-hack elenca le versioni dei plugin e dei temi installati, insieme alle loro ultime versioni. Sucuri mette in guardia dal continuare con software obsoleti perché possono portare a infezioni da malware.

È interessante notare che anche il servizio di rimozione del malware di Sucuri è stato in grado di rilevare solo alcune delle vulnerabilità del nostro sito Web. Data la nostra esperienza con lo scanner, abbiamo pensato che il servizio di rimozione avrebbe svolto un lavoro migliore nel rilevare le vulnerabilità. Non sembra essere il caso.

Protezione dell'accesso con forza bruta

Wordfence fa un ottimo lavoro nel bloccare tutti gli attacchi di forza bruta. La funzione di protezione dell'accesso di Sucuri non sembra funzionare.

La protezione dalla forza bruta è abilitata per impostazione predefinita su Wordfence. Funziona perfettamente ogni volta, bloccando gli utenti con troppi tentativi errati, in base alla configurazione che abbiamo impostato sulla dashboard.

Troverai le impostazioni nella sezione firewall. Ci sono molte cose da personalizzare nel menu delle opzioni: impostazione dei blocchi per tentativi di accesso errati; quanto tempo un utente sperimenterà il blocco; e così via. Le opzioni non sono schiaccianti e Wordfence le spiega ciascuna in modo convincente e con un'ottima documentazione.

Puoi anche impostare le opzioni di gestione delle password qui, assicurandoti di applicare password complesse e impedendo l'uso di password scoperte in una violazione dei dati.

È possibile inserire nella whitelist gli IP in questa sezione, ma siamo ambivalenti sulla loro efficacia. Gli IP dei dispositivi sono dinamici, quindi avere una lista consentita non garantisce che un utente legittimo non sia bloccato.

La protezione della forza bruta di Sucuri non ha funzionato come previsto. Non abbiamo sperimentato un blocco, né c'era un captcha per assicurarci che fossimo umani e non robot. Non abbiamo ricevuto avvisi, anche se gli attacchi sono stati visualizzati nei registri di controllo. Nel complesso, la funzione è stata sbiadita.

Tuttavia, non lo penseresti per vedere le opzioni di configurazione sulla dashboard. C'erano così tante opzioni che stavamo vacillando dopo un punto. Tutto sommato, preferiremmo meno opzioni con una funzione che funziona, piuttosto che il contrario.

Registro delle attività

Sucuri ha un registro di controllo, ma può essere difficile da comprendere. Wordfence non ha un registro delle attività.

Sucuri ha un registro di controllo che tiene traccia di tutte le azioni dell'utente e delle modifiche ai plugin e ai temi. I registri mostreranno tutte le modifiche apportate a file e tabelle, il che è positivo.

I registri contengono informazioni necessarie come utente, azione, timestamp, ecc. Ma in alcuni casi le voci sono molto difficili da capire. Ad esempio, per testare i log, abbiamo installato un plugin per la galleria. Le voci risultanti nel registro di controllo mostrano 7 diverse modifiche. Dalle voci non era chiaro quale fosse il cambiamento, perché stava accadendo o chi fosse il responsabile. Pertanto, il registro di controllo è quasi inutile per chi non parla Sucuri.

Siamo rimasti sorpresi di vedere che Wordfence non ha un registro delle attività, considerando che è uno dei pilastri della sicurezza del sito web. C'è un'opzione per abilitare il debug nella sezione Diagnostica del menu Strumenti, che fa sì che i registri del firewall diventino più dettagliati, ma non è la stessa cosa di un registro attività.

Dopo molte ricerche, abbiamo scoperto un registro delle attività specifico per gli eventi di Wordfence nella sezione Scansione. È un registro grezzo, tuttavia, chiaramente destinato solo agli sviluppatori di Wordfence.

Autenticazione a due fattori

Wordfence ha un'ottima funzione di autenticazione a due fattori. Sucuri non lo supporta sul tuo sito web.

L'autenticazione a due fattori di Wordfence funziona immediatamente, con un semplice set di opzioni per personalizzare l'esperienza. Era una funzionalità premium, ma da allora è stata aggiunta anche al plugin gratuito.

Sucuri non supporta l'autenticazione a due fattori per il tuo sito Web, ma puoi proteggere il tuo account Sucuri con esso.

Utilizzo delle risorse del server

Sia Sucuri che Wordfence sono dei maiali di risorse. Abbiamo riscontrato inconfondibili cali nell'utilizzo del disco con le scansioni ea causa del firewall.

Questo è un fattore su cui non c'è niente da scegliere tra Wordfence e Sucuri: entrambi hanno fatto ugualmente male.

Ogni singola azione eseguita da questi plug-in sul tuo sito Web consuma risorse del server. I nostri siti Web sono relativamente piccoli e abbiamo visto l'utilizzo del disco raddoppiare e talvolta triplicare durante l'impostazione delle scansioni. Ciò ha influito sul tempo di caricamento, sui tempi di risposta e sull'esperienza complessiva sul sito Web.

Se hai un sito Web WooCommerce o uno ad alto traffico, questo effetto sarà evidente per i tuoi utenti. Se sei su hosting condiviso, il tuo host web alzerà bandiere e le tue spese di hosting possono potenzialmente aumentare. In effetti, molti host web hanno bandito Wordfence proprio per questo motivo.

Sebbene le persone parlino raramente delle risorse del server quando si parla di sicurezza, è un fattore importante. Nessuno dovrebbe scendere a compromessi né sulle prestazioni né sulla sicurezza. È del tutto possibile ottimizzare entrambi.

Non con Sucuri o Wordfence, però. Per questo, avrai bisogno di MalCare.

Avvisi

Sia Sucuri che Wordfence sono noti per innumerevoli avvisi e falsi positivi.

Crediamo fermamente nell'alleggerire l'onere dei nostri clienti quando si tratta di amministrazione di WordPress. I firewall dovrebbero bloccare il traffico in modo silenzioso. La protezione dei bot dovrebbe funzionare immediatamente. L'amministratore dovrebbe essere avvisato solo se c'è qualcosa che richiede la loro attenzione e azione. La sicurezza di WordPress dovrebbe essere semplice e senza stress, altrimenti qual è lo scopo di un plug-in di sicurezza?

Apparentemente né Sucuri né Wordfence si iscrivono a questa scuola di pensiero, perché i loro avvisi sono travolgenti. Le nostre caselle di posta sono state inondate in pochissimo tempo. Troppi avvisi sono dannosi quanto nessun avviso, perché alla fine entrambi portano all'inazione quando necessario.

Installazione, configurazione e usabilità

Wordfence è progettato per essere molto semplice per un utente inesperto. Sucuri no.

L'installazione, la configurazione e l'uso generale di Wordfence sono tra i migliori che abbiamo mai visto. Ci sono procedure dettagliate in ogni sezione principale, che spiegano le impostazioni e le funzionalità più importanti in un linguaggio semplice e non minaccioso.

Wordfence ha ottimi consigli per la configurazione. La loro documentazione è accessibile dai suggerimenti sulla dashboard, il che la rende altamente contestuale. Ogni funzione è spiegata chiaramente e le istruzioni su come farla funzionare sul tuo sito web sono immediatamente accessibili.

Queste possono sembrare cose strane da sottolineare. Tuttavia, se hai mai provato Sucuri, ti rendi conto che la facilità di comprensione è una parte non banale di qualsiasi esperienza utente. In effetti, se dovessimo descrivere Sucuri in una parola, quella parola sarebbe sconcertante.

L'installazione di Sucuri è stata facile e da lì è andata in discesa. Per utilizzare lo scanner lato server e il firewall, è necessario configurarli manualmente. Ci sono così tante opzioni che abbiamo passato ore a cercare di dar loro un senso, oltre a capire se avevano un impatto reale sulla sicurezza.

Nel complesso, questi due plugin sono agli estremi opposti dello spettro.

Wordfence: Extra

Wordfence è rigorosamente di sicurezza. Non esiste una singola funzione, opzione o linea che sia anche adiacente alla sicurezza, come gli aggiornamenti o le opzioni di gestione degli utenti. Nonostante ciò, ci sono diversi extra.

C'era una sezione delle notifiche per gli aggiornamenti del sito, che ci mostrava quali plugin e temi dovevano essere aggiornati in base alla priorità perché erano minacce critiche o medie.

Wordfence ha un dashboard esterno per gestire più siti sullo stesso account chiamato Wordfence Central. Ha anche una sezione di accompagnamento sul wp-admin di ogni sito collegato, presumibilmente in modo da avere una visione a volo d'uccello di ogni sito indipendentemente dal sito su cui stai attualmente lavorando. A nostro avviso, questo è di utilità limitata e non funzionerà per le agenzie con centinaia di siti gestiti.

Successivamente abbiamo esaminato la sezione Strumenti. C'è una sezione per il traffico in tempo reale, che sembrava replicare Google Analytics, ma era più di questo. Questi log classificano il traffico con una chiave per vedere che tipo di traffico sta ricevendo il sito web: umano, bot, avviso, bloccato.

C'è un'opzione di ricerca Whois, nel caso tu voglia vedere chi è l'attaccante senza uscire da wp-admin. Ancora una volta, questa è una caratteristica nella migliore delle ipotesi.

Abbiamo pensato che Diagnostics fosse davvero interessante, poiché conteneva molte informazioni sul sito Web. Tutto è molto granulare lì, dai proprietari dei processi alle tabelle del database. Gli sviluppatori troveranno queste informazioni estremamente utili, perché sono come una specifica del sito Web tutte in un unico posto.

Sucuri: Extra

Sucuri ha molti fronzoli e dettagli extra nel loro plugin. Se qualcuno abbia un impatto sulla sicurezza è un'altra questione.

La prima cosa che vedrai durante l'installazione è l'infobox sull'integrità di WordPress. È davvero una versione stravagante di un monitor di modifica dei file core di WordPress. Ovviamente, è in qualche modo utile avere un monitor di modifica dei file per i file core di WordPress, ma l'efficacia non è tanto quanto si pensa. Gli hacker possono e modificheranno i metadati dei file, come i timestamp di aggiornamento, per aggirare queste misure. Quindi sì utile, ma non così tanto.

Esiste un'utilità di integrità differenziale per confrontare i file principali sul sito Web con l'installazione originale di WordPress. È sicuramente più facile che utilizzarne uno online, se stai ripulendo manualmente il malware, cosa che non consigliamo affatto.

Sucuri ha molte funzionalità di rafforzamento di WordPress. Il blocco di PHP nella cartella dei caricamenti protegge da una categoria di hack e ci piace la possibilità di modificare rapidamente i salt di WordPress dalla dashboard. Si poteva fare meglio però. Se la funzione fosse sulla dashboard esterna di Sucuri piuttosto che su wp-admin, sarebbe stata più sicura. Immagina che un hacker ottenga l'accesso a wp-admin, i sali sarebbero facilmente compromessi poiché sono in chiaro.

Alcune delle altre opzioni sono di utilità limitata, come la verifica della versione di WordPress, la rimozione della versione di WordPress, la prevenzione della perdita di informazioni e la verifica dell'account amministratore predefinito. Sono privi di significato dal punto di vista della sicurezza.

Altre caratteristiche di indurimento erano confuse. Ad esempio, se dovessimo disabilitare l'editor di plugin e temi, come potremmo aggiornare plugin e temi con vulnerabilità? Controproducente a dir poco.

The password management feature held some promise, but the warning would terrify all but the most brave: “Select users from the list in order to change their passwords, terminate their sessions and email them a password reset link. Please be aware that the plugin will change the passwords before sending the emails, meaning that if your web server is unable to send emails, your users will be locked out of the site.”

What's missing from Wordfence and Sucuri

Sucuri doesn't have a good malware scanner. The brute force login protection doesn't work, and it takes up too much of server resources. There is no bot protection either, and you would need a separate plugin for two-factor authentication.

Wordfence misses out on bot protection and an activity log. The scanner is above average; definitely a cut above the other security plugins available apart from MalCare. Apart from these things, it is an exceptional security plugin.

Wordfence vs Sucuri: Pricing

Sucuri's plans start at $199.99 a year per site, which is a great deal for unlimited malware removal. The firewall works well, but the scanner is a let down. Wordfence premium plans are at $99 for the year per site, with attractive bulk pricing options. However, our opinion is that the free version is almost as good as the premium version.

Sucuri is a winner when it comes to the unlimited malware removal feature. The support team was great, with a quick turnaround time, helpful response and a proactive post-hack checklist. But the malware scanner was a complete failure, and that's not a small flaw to overlook.

The free version of Wordfence is strong enough to stand on its own. The premium version is not all that different, the efficiency percentages on the dashboard notwithstanding. The real expense to consider with Wordfence is the cleaning service at $490 a pop, over and above the site license. If you are considering Wordfence seriously, read the fine print. Although they say unlimited pages, there are additional charges for sites above 10 GB. They guarantee the service for a year, but there are terms and conditions. None of this is unreasonable, but it is important to be aware before taking the plunge.

Better alternative to Wordfence and Sucuri: MalCare

The best security plugin for your website isn't Wordfence or Sucuri, it is MalCare. It has an excellent scanner that detects malware in all parts of your website: core WordPress, files and the database. Additionally, the auto-clean feature removes all malware surgically, without breaking your website.

MalCare has an advanced firewall that proactively blocks bad traffic from reaching your website. The brute force protection makes sure that your login page is safe from malicious attacks, and the bot protection goes even further to make sure only bad bots are kept away from your website.

There is a formidable support team of WordPress security experts to help with any issues that come up. Any malware removal cleanups necessary beyond the auto-clean are covered with the site license.

Thus, in a feature-to-feature comparison, MalCare undoubtedly comes out on top. MalCare's $99 plan is vastly better than Sucuri's $199.99 Basic Platform plan, and includes unlimited malware removal, which is over and above Wordfence's $99 plan.

Conclusione

When choosing a WordPress security plugin for your website, make sure to evaluate the scanner, cleaner and firewall. All the other features can be implemented with other plugins, but these 3 features form the essence of a good plugin.

At MalCare, our goal is to make security stress-free and painless, so that you can focus on the more important aspects of your website. Leave the security to us, as you grow your business.

We hope this comparison was helpful, as we have presented all our findings transparently. Have further questions? Drop us a line. Ci piacerebbe avere tue notizie.