Escolhendo o melhor plug-in de segurança do WordPress: os 12 principais plug-ins comparados

A segurança é absolutamente imperativa se você possui um blog, um site de pequenas empresas ou uma loja de comércio eletrônico. Afinal, se o seu site for invadido, você corre o risco de prejudicar sua reputação, perder seus arquivos e banco de dados, prejudicar seus rankings de SEO e entregar dados pessoais de clientes e visitantes para hackers.

Tal como acontece com muitas coisas na vida, a prevenção é muito melhor do que o tratamento. E, felizmente, o WordPress facilita a proteção do seu site e evita um hack.

Vamos dar uma olhada em profundidade em 12 dos melhores plugins de segurança do WordPress, compará-los em uma variedade de áreas e ajudá-lo a escolher o melhor plugin para seu site específico. Além disso, responderemos a algumas perguntas comuns de segurança do WordPress.

Preciso de um plugin de segurança do WordPress?

Você não precisa necessariamente de um plugin de segurança do WordPress para executar um site seguro. Muitas práticas recomendadas – como atualizações regulares e senhas seguras – podem ser implementadas sem uma. No entanto, os melhores plugins de segurança do WordPress levam as coisas para o próximo nível, adicionando uma camada extra de segurança e facilitando a adição de proteção avançada sem a ajuda de um desenvolvedor.

E a segurança é uma área que você não quer economizar. Independentemente do tipo de site que você administra, um hack pode afetar seriamente a forma como os visitantes, clientes e clientes percebem sua marca. Também pode prejudicar a classificação do seu mecanismo de pesquisa (o Google não gosta de sites inseguros), diminuir o número de vendas e leads que você recebe e colocar em risco informações como dados de cartão de crédito.

Portanto, embora um plug-in de segurança do WordPress não seja necessariamente necessário, é uma boa ideia utilizar um para qualquer site.

Comparação dos melhores plugins de segurança para WordPress

Vamos comparar os doze principais plugins de segurança do WordPress para ajudá-lo a escolher a melhor opção para o seu site:

Você pode usar a lista acima para rolar rapidamente para plugins específicos e revisar seus recursos mais importantes, opções de preços e, o mais importante, como eles podem ajudar a proteger seu site.

1. Segurança do Jetpack

Ao contrário de muitos outros plugins, o Jetpack Security cuida de várias tarefas: recursos gratuitos e pagos incluem tudo, desde prevenção de ataques de força bruta até monitoramento de tempo de inatividade, backups, verificação de malware, proteção contra spam e muito mais. Esses recursos se combinam para criar um plug-in de segurança WordPress holístico, fácil de usar para iniciantes, mas abrangente o suficiente para o maior site. E, como bônus, como as varreduras são executadas em servidores Jetpack, elas não deixarão seu site lento.

Jetpack também é construído e suportado pelas pessoas por trás do WordPress.com, especificamente para WordPress. A equipe do Jetpack conhece o WordPress por dentro e por fora e entende os problemas exatos que os proprietários de sites WordPress enfrentam todos os dias, e é exatamente por isso que é o melhor plugin de segurança disponível.

Principais recursos do Jetpack Security:

• Backups automatizados diários e em tempo real
• Verificações de malware diárias e em tempo real
• Prevenção automatizada de spam
• Um registro de atividades detalhado mostrando tudo o que acontece em seu site
• Monitoramento de tempo de inatividade
• Proteção contra ataques de força bruta
• Autenticação de dois fatores
• Um aplicativo móvel com alertas e acesso a backups, resultados de verificação e registro de atividades

Vamos mergulhar em alguns desses recursos com um pouco mais de detalhes.

Proteção contra ataques de força bruta

Um ataque de força bruta é quando os hackers usam bots para adivinhar as combinações de nome de usuário e senha até encontrar a correta. Como eles usam grandes redes de computadores, eles podem tentar milhares de senhas a cada segundo.

O recurso de proteção contra ataques de força bruta do Jetpack bloqueia tentativas indesejadas de login de IPs maliciosos antes que eles cheguem ao seu site.

Monitoramento de tempo de inatividade

O monitoramento do tempo de inatividade do Jetpack visita seu site de locais ao redor do mundo e envia um alerta instantâneo se ele ficar inativo. Por que isso é útil? Você não pode corrigir um problema que você não conhece! Se o seu site ficar inativo por um longo período de tempo, você poderá perder tráfego, vendas – até mesmo classificações nos mecanismos de pesquisa. Com o monitoramento do tempo de inatividade, você saberá sobre os problemas imediatamente para poder resolvê-los o mais rápido possível.

Autenticação de dois fatores

A autenticação de dois fatores adiciona um nível extra de segurança à sua página de login, exigindo mais do que apenas um nome de usuário e senha. Quando você fizer login no seu site, o Jetpack enviará um código para o seu telefone que você precisará inserir. Isso significa que, para um hacker entrar, ele precisa saber seu nome de usuário e senha e ter fisicamente seu dispositivo móvel – uma combinação improvável.

Backups automatizados

Se o seu site quebrar por qualquer motivo, um backup completo será inestimável. Imagine perder todo o seu trabalho duro, o dinheiro que investiu e os dados de seus clientes ou visitantes. Os backups do WordPress proporcionam tranquilidade.

Mas nem todas as soluções de backup são criadas iguais. Os backups do Jetpack são:

• Automatizado , para que você não precise criar backups manualmente.
• Seguro , para que seus backups estejam protegidos e sempre disponíveis.
• Fácil de configurar , o que é particularmente útil se você não estiver familiarizado com codificação ou gerenciamento de servidores.
• Rápido para restaurar , para que seu site volte a funcionar o mais rápido possível.
• Disponível em dois formatos : diário e em tempo real.

Os backups diários acontecem automaticamente uma vez por dia e são uma ótima solução para restaurantes, blogs e outros sites que não são atualizados mais de uma vez a cada 24 horas.

Os backups em tempo real acontecem automaticamente enquanto você trabalha, para que você tenha um registro atualizado do seu site — cada alteração é salva à medida que você a faz. Eles são perfeitos para lojas online, sites de associação, fóruns e qualquer site atualizado regularmente.

Independentemente da opção escolhida, você pode confiar que o backup do seu site é feito e pode ser restaurado em alguns cliques, se você precisar.

Verificação automatizada de malware

Se um hacker obtiver acesso ao seu site, ele poderá plantar um “backdoor” – um tipo de malware que permite que ele acesse seu site sempre que quiser roubar dados ou inserir malware ou vírus sem o seu conhecimento. O malware compromete sua reputação e coloca em risco suas informações e os dados de seus clientes.

É aí que o Jetpack Scan entra em ação. Ele executa verificações diárias automáticas de malware do código do seu site, verificando se há algo suspeito. No minuto em que detectar uma ameaça, você receberá uma notificação por e-mail com informações detalhadas sobre os arquivos infectados.

E fica ainda melhor: o Jetpack corrige automaticamente a maioria das ameaças conhecidas. Portanto, você não apenas saberá sobre os problemas imediatamente, como provavelmente não precisará levantar um dedo para corrigi-los.

Filtragem de spam automatizada

O spam geralmente vem na forma de comentários irrelevantes que incluem links para sites de má reputação. Com o software certo, os spammers podem deixar milhões de comentários — que rapidamente se tornam incontroláveis.

O Jetpack Anti-spam filtra automaticamente comentários, pingbacks e envios de formulários de contato para spam conhecido, economizando horas de seu tempo. Se você está preocupado com comentários reais sendo marcados como spam, você pode revisá-los e restaurar o que quiser, ou apenas configurar o Jetpack para se livrar dos piores comentários para que você nunca precise vê-los.

O aplicativo móvel Jetpack

Os hackers não param só porque você está longe do seu computador. Com o aplicativo móvel Jetpack, você pode verificar a atividade do site, restaurar um backup e visualizar os resultados da verificação de malware, não importa onde você esteja.

Além disso, você receberá alertas instantâneos se seu site cair ou se algum malware for encontrado, para maior tranquilidade. Encontrar algo errado? Você pode resolver a maioria das ameaças conhecidas com um clique, direto do aplicativo.

Fácil de usar:

O Jetpack foi projetado para que absolutamente qualquer proprietário de site possa usá-lo, independentemente do nível de habilidade técnica. Todos os recursos podem ser ativados em apenas alguns cliques, sem necessidade de conhecimento de codificação ou desenvolvedor.

Suporte e documentação:

O Jetpack é mantido e suportado por especialistas em WordPress que realmente se preocupam com você, seu site e seus negócios – apropriadamente, eles são chamados de Happiness Engineers. Um plano gratuito inclui suporte por e-mail de alta qualidade e os planos pagos oferecem atenção prioritária e mais rápida para que você receba a ajuda de que precisa no momento certo.

Há também uma extensa documentação que o orienta na configuração e na solução de problemas.

Opções de preços e planos:

• O Jetpack Free inclui monitoramento de tempo de inatividade, proteção contra ataques de força bruta e um log de atividades com os últimos 20 eventos sem custo.
• O Jetpack Security Daily inclui todos os recursos, além de backups diários, verificações de segurança diárias e um registro de atividades de 30 dias a partir de US$ 11,97 por mês.
• O Jetpack Security Real-time inclui todos os recursos, além de backups em tempo real, verificações de segurança em tempo real e um registro de atividades de um ano a partir de US$ 33,57 por mês.
• Você também pode comprar alguns recursos individualmente, como Jetpack Backup, Jetpack Scan e Jetpack Anti-spam a partir de US$ 4,77 por mês.

Ótimo para:

Blogs, lojas de comércio eletrônico e sites de qualquer tamanho. O Jetpack Security é o melhor e mais abrangente plugin de segurança do WordPress para praticamente qualquer cenário.

2. Wordfence

O Wordfence é um firewall de aplicativo da web que também oferece alguns recursos adicionais, como verificação de malware. Como o firewall é um firewall de endpoint, ele se integra profundamente ao WordPress, não pode ser ignorado e não pode vazar dados. Isso o torna muito mais seguro do que as alternativas na nuvem.

Depois de configurar o Wordfence, você receberá notificações por e-mail se detectar algo como um plug-in desatualizado, código malicioso ou vírus.

No entanto, o Wordfence tem a reputação de desacelerar seu site, pois adiciona muitas tabelas de banco de dados pesadas e sobrecarrega seu servidor durante as verificações de malware.

Principais recursos do Wordfence:

• Um firewall de aplicativo da web
• Um scanner de segurança
• Proteção de senha vazada
• Autenticação de dois fatores
• Bloqueio manual e bloqueio por país
• Reparo automatizado de arquivos

Vamos dar uma olhada em alguns desses recursos.

Firewall de aplicativo da web

O firewall é certamente o recurso mais poderoso do Wordfence. Ele aproveita os dados coletados dos mais de quatro milhões de sites que protege para entender como os hackers atacam, como são os ataques e de onde eles vêm. Eles atualizam regularmente suas regras de firewall e a lista de endereços IP maliciosos que bloqueiam para proteção constante.

Verificador de segurança

O verificador de segurança verifica seu site em busca de malware, URLs ruins, spam, redirecionamentos maliciosos e injeções de código. Ele também relata quaisquer alterações feitas nos arquivos principais do WordPress, vulnerabilidades de segurança conhecidas e plugins desatualizados.

Bloqueio manual e bloqueio por país

Os planos premium fornecem acesso a esses recursos, que basicamente adicionam energia extra ao firewall. Com o bloqueio manual, você pode optar por bloquear redes maliciosas inteiras ou qualquer atividade humana ou robótica que desejar. Com o bloqueio de país, você pode bloquear todo o tráfego de um país específico, o que pode ser particularmente útil durante um ataque. Lembre-se de que o bloqueio de país a longo prazo não é recomendado para fins de SEO.

Reparo automatizado de arquivos

Se o Wordfence descobrir que um arquivo principal do WordPress foi modificado de maneira desagradável, você pode retornar o arquivo ao seu estado original com apenas um clique. É importante observar, no entanto, que isso é diferente de remover malware ou reparar um site invadido, que custará US $ 490 adicionais do Wordfence.

Fácil de usar:

Embora o Wordfence possa ser usado por pessoas sem conhecimento técnico, o painel de configurações pode ser esmagador e complicado. Todos os recursos são listados de uma só vez e pode ser difícil entender o que seu site precisa. Por padrão, o Wordfence também envia muitos alertas por e-mail, muitos dos quais não exigem nenhuma resposta do proprietário do site, e pode ser difícil para os iniciantes entenderem o que precisam fazer com cada um.

Suporte e documentação:

O Wordfence fornece suporte gratuito por meio dos fóruns do WordPress e suporte premium por meio de um sistema de tickets online. Eles também têm um banco de dados de documentação que fornece detalhes sobre como configurar e solucionar problemas do plug-in.

Opções de preços e planos:

• O Wordfence Free inclui o firewall básico de aplicativos da Web, scanner de malware e proteção contra ataques de força bruta sem nenhum custo.
• O Wordfence Premium adiciona recursos como atualizações de firewall em tempo real, verificações de lista de bloqueio de IP e bloqueio de país por US $ 99 por ano.

Ótimo para:

Pequenos sites que procuram especificamente um firewall e não precisam proteger dados importantes, como informações de cartão de crédito. Embora o Wordfence inclua recursos adicionais, não é o plugin de segurança WordPress mais abrangente nesta lista. O firewall do aplicativo da web é o que o destaca.

3. Segurança iThemes

O iThemes Security é um plugin freemium que se concentra mais em fortalecer seu site - adicionando camadas de proteção - do que identificar e resolver hacks. Eles fazem isso por meio de medidas de segurança, como definir permissões de arquivo corretas, aplicar senhas fortes e alterar URLs de login.

Principais recursos do iThemes Security:

• Proteção de força bruta
• Alteração de arquivo e detecção 404
• Backups de banco de dados
• Escondendo login e página de administração
• Proteção de senha forte
• Autenticação de dois fatores

Aqui estão mais detalhes sobre alguns desses recursos:

Proteção de força bruta

Bloqueia as pessoas quando elas tentam entrar várias vezes e falham. Isso evita que os bots adivinhem sua combinação de senha e nome de usuário milhares de vezes em um curto espaço de tempo.

Backups de banco de dados

Gere automaticamente backups do seu banco de dados, que são enviados por e-mail para você. Observe que isso inclui apenas o banco de dados, não qualquer um de seus arquivos, mídia, plugins ou temas.

Ocultar página de login

Por padrão, todos os sites do WordPress usam a URL /wp-admin para a página de login e painel. Isso, é claro, torna muito fácil para os hackers encontrarem essa página, já que é sempre a mesma. Alterar a URL para outra coisa, que o iThemes Security permite que você faça sem código personalizado, adiciona uma camada adicional de proteção.

Fácil de usar:

Como o Wordfence, o painel de configurações do iThemes pode ser esmagador para iniciantes e usuários não técnicos. Existem muitas configurações pequenas que podem ser ativadas ou desativadas e é difícil saber quais são as certas para o seu site.

Suporte e documentação:

A versão gratuita do iThemes Security é executada nos fóruns do WordPress.org. A versão premium inclui um sistema de suporte com ticket. Há também extensa documentação disponível.

Opções de preços e planos:

• O iThemes Security Free inclui medidas de proteção, backups de banco de dados, proteção contra ataques de força bruta e proteção contra alterações de arquivos (entre outros recursos) sem nenhum custo.
• O iThemes Blogger (Premium) adiciona verificações de malware agendadas, autenticação de dois fatores e reCAPTCHA (entre outros recursos) e custa US$ 80 por ano por site.

Ótimo para:

Proteção de login e proteção do site. Embora haja uma variedade de outros recursos incluídos, muitos dos outros plugins de segurança do WordPress lidam com eles melhor, de uma maneira mais fácil para os usuários.

4. Sucuri

Sucuri é uma solução de segurança WordPress baseada em nuvem, o que significa que ele é executado completamente em seus próprios servidores, evitando que o seu fique atrasado. Ele não foi desenvolvido especificamente para WordPress e funciona com qualquer plataforma ou sistema de gerenciamento de conteúdo. Embora ofereça firewall de aplicativos da Web e ferramentas de verificação de malware, seus serviços de limpeza realmente brilham.

É importante notar que a Sucuri separa muito claramente seus recursos gratuitos e premium. O plug-in gratuito oferece verificação de malware e proteção do WordPress, enquanto a versão premium inclui o firewall do aplicativo da Web e serviços de limpeza de hack.

Principais características do Sucuri:

• Verificação de malware
• Monitoramento de status da lista de bloqueio
• Um firewall de aplicativo da web
• Mitigação de negação de serviço distribuída (DDoS)
• Prevenção de ataque de força bruta
• Serviços de limpeza de sites

Vamos examinar alguns deles ainda mais de perto.

Monitoramento de status da lista de bloqueio

A Sucuri executa sua URL por meio de vários serviços para ver se você está na lista de bloqueio. E, como os sites bloqueados perdem uma quantidade significativa de tráfego, isso pode ser uma grande vantagem.

Mitigação de negação de serviço distribuída (DDoS)

Os ataques DDoS são tentativas maliciosas de interromper o tráfego de um servidor sobrecarregando-o com uma enxurrada de tráfego falso. Isso essencialmente impede que visitantes e clientes normais e legítimos acessem seu site. O recurso de mitigação de DDoS da Sucuri bloqueia esses ataques.

Serviços de limpeza de sites

A equipe de especialistas da Sucuri está disponível para reparar e restaurar seu site após um hack. Eles removem códigos maliciosos de seus arquivos e banco de dados, enviam solicitações de remoção de lista de bloqueio e reparam spam de SEO (como injeções de link).

Fácil de usar:

A configuração da versão premium do Sucuri pode ser um pouco complicada para não desenvolvedores, pois você precisa alterar as configurações de DNS do seu domínio para usar os servidores da Sucuri. A configuração do plugin WordPress gratuito é muito mais simples e fácil para não desenvolvedores.

Suporte e documentação:

O suporte para a versão gratuita é oferecido através dos fóruns de suporte do WordPress, enquanto a versão premium usa um sistema de tickets. Há também uma extensa base de conhecimento disponível para responder a perguntas comuns.

Opções de preços e planos:

• O Sucuri Free inclui varredura de malware, monitoramento de lista de bloqueio e proteção do WordPress sem nenhum custo.
• O Sucuri Basic adiciona um firewall de aplicativo da Web e serviços de limpeza por US$ 199 por ano. No entanto, não há tempo de resposta de limpeza garantido e as verificações de malware são executadas a cada 12 horas.
• O Sucuri Pro custa US$ 299,99 por ano e inclui tudo no plano Básico, mas aumenta a frequência de varreduras de malware para seis horas.
• A Sucuri Business aumenta a frequência de varreduras de malware para cada 30 minutos e garante um tempo de resposta aos hacks de seis horas. Esses benefícios vêm com uma taxa anual de $ 499,99.

Ótimo para:

Protegendo e limpando um site depois de ter sido invadido. Como a versão gratuita do plug-in não inclui recursos essenciais, como um firewall, é melhor ficar com a versão premium ou escolher outra opção de plug-in.

5. Tudo em um WP Segurança e Firewall

O plug-in All in One WP Security and Firewall é uma solução WordPress totalmente gratuita e abrangente, como o próprio nome indica. Ele divide seus recursos em categorias com base em seu nível de segurança (e na probabilidade de que eles possam quebrar algo em seu site), então há algo para todos, independentemente do nível de habilidade.

No entanto, todos os recursos estão focados em proteger seu site contra hacks, em vez de verificar malware e limpar um site invadido.

Principais recursos do All in One WP Security and Firewall:

• Proteção de conta de usuário
• Segurança da página de login
• Backups de banco de dados
• Segurança do sistema de arquivos
• Funcionalidade de lista negra
• Um firewall
• Um scanner de segurança
• Proteção contra ataques de força bruta

Aqui estão mais algumas informações sobre alguns desses recursos:

Segurança da página de login

O plugin bloqueia os usuários após um certo número de tentativas de login, força o logout após um período de tempo definido, adiciona o reCAPTCHA à página de login e registra cada login e logout. Isso ajuda a proteger seu site contra hackers e bots.

Segurança do sistema de arquivos

O All in One WP Security and Firewall verifica seus arquivos e pastas em busca de problemas de permissão e permite corrigi-los com um único clique. Também permite impedir que hackers e bots visualizem arquivos facilmente comprometidos (como readme.html, license.txt) e desabilita a edição de arquivos.

Verificador de segurança

O scanner de segurança verifica as alterações em seus arquivos, comparando-os com os arquivos padrão do WordPress. Observe que isso não corrige os problemas para você ou verifica se há malware.

Fácil de usar:

Como os recursos são divididos por nível de segurança - separando aqueles que podem quebrar seu site daqueles que não podem - é um plugin fácil para iniciantes usarem. Ele também possui um medidor de força de segurança que fornece uma visão geral rápida de onde você está em um determinado momento.

Suporte e documentação:

O suporte está disponível apenas nos fóruns do WordPress.org e a documentação é limitada sobre alguns recursos.

Opções de preços e planos:

Existe apenas uma versão deste plugin - a versão gratuita - que inclui todos os recursos.

Ótimo para:

Iniciantes e sites básicos. É fácil começar de forma relativamente rápida sem quebrar seu site. Mas, como não há uma versão premium deste plug-in, ele não possui recursos valiosos, como verificação e remoção de malware. Esta pode ser uma boa solução para blogs de hobby que não querem investir muito na segurança de seus sites.

6. Defensor Profissional

O Defender Pro foi criado pela WPMU DEV, uma empresa de desenvolvimento do WordPress que cria soluções para tudo, desde segurança e opt-ins até testes e análises. Ele pode ser adquirido separadamente ou como parte de um conjunto de ferramentas do site.

Principais recursos do Defender Pro:

• Verificação de segurança
• Proteção de login
• Autenticação de dois fatores
• Monitoramento de lista de bloqueio
• Restauração e reparo de arquivos alterados

Fácil de usar:

O Defender Pro inclui um assistente de configuração fácil de usar, ótimo para iniciantes.

Suporte e documentação:

O WPMU Dev oferece suporte ao chat ao vivo, juntamente com fóruns, e-mails e documentação detalhada.

Opções de preços e planos:

• O Defender Pro custa apenas US $ 60 por ano para os recursos listados acima.
• O pacote Security and Backups adiciona produtos adicionais, como ferramentas de backup e migração, por US$ 90 por ano.
• O WPMU Dev Membership é o conjunto completo de ferramentas — incluindo opt-ins, análises etc. — e custa US$ 190 por ano.

Ótimo para:

Sites que desejam adquirir o conjunto completo de ferramentas em vez de apenas segurança. Embora o Defender Pro seja uma opção de segurança decente, ele não possui recursos importantes, como firewall e prevenção de spam. No entanto, quando incluído com o conjunto completo de ferramentas WPMU Dev, é um bom bônus.

7. Segurança à prova de balas

Bulletproof Security é um plugin WordPress freemium voltado especificamente para desenvolvedores. É abrangente e permite muitos ajustes de back-end, mas é difícil para iniciantes usarem.

Principais recursos do Bulletproof Security:

• Verificador de malware
• Pastas de plugins ocultas
• Segurança e monitoramento de login
• Logout da sessão ociosa
• Expiração do cookie de autenticação
• Registros de segurança
• Uma variedade de outros recursos avançados de segurança

Fácil de usar:

Novamente, este não é um plugin projetado para iniciantes. Embora forneça um assistente de configuração, alterar ou ajustar as configurações fica muito complicado e pode quebrar seu site.

Suporte e documentação:

O suporte para o plug-in gratuito é fornecido pelos fóruns do WordPress.org. O suporte premium é fornecido por meio de um fórum de suporte especial. Documentação limitada e tutoriais em vídeo estão disponíveis.

Opções de preços e planos:

• BulletProof Security Free oferece muitos dos recursos listados acima sem custo adicional.
• BulletProof Security Pro inclui instalações ilimitadas e recursos avançados (como backups e monitoramento de banco de dados, um firewall de plug-in e restauração automática de arquivos de sites) por US$ 69,95.

Ótimo para:

Desenvolvedores e usuários avançados que desejam personalizar pessoalmente todos os aspectos da segurança de seu site.

8. Ninja de Segurança

Embora o Security Ninja seja uma solução de segurança relativamente abrangente, sua “reivindicação à fama” são as mais de 50 verificações de segurança integradas. Esses testes cobrem tudo, desde temas e plugins atualizados até versões do WordPress, acessibilidade de arquivos e prefixos de tabelas de banco de dados.

Principais recursos do Security Ninja:

• Um firewall de aplicativo da web
• Verificação de malware
• Proteção de formulário de login
• Verificações de vulnerabilidades de plug-ins
• Registro de eventos

Fácil de usar:

Este plugin é relativamente fácil de usar, mas requer que você coloque algum trabalho. Ele não corrige automaticamente os problemas que encontra. Em vez disso, você é totalmente responsável pelo seu site e pelas correções de segurança. Isso, é claro, pode ser um benefício para quem sabe o que está fazendo, mas também pode ser difícil para iniciantes. Observe que a versão Pro, no entanto, corrige cerca de 30 problemas automaticamente, caso você opte por seguir esse caminho.

Suporte e documentação:

O suporte para a versão gratuita é fornecido pelos fóruns do WordPress.org, enquanto a versão Pro inclui um sistema de tickets de suporte. A documentação detalhada está disponível.

Opções de preços e planos:

• O Security Ninja Free inclui as mais de 50 verificações de segurança mencionadas acima sem nenhum custo.
• O Security Ninja Starter adiciona um firewall, scanner de malware, corretor automático e muito mais por US $ 49 por ano para um site. Se você quiser cobrir mais de um único site, poderá adquirir o plano plus (três sites) por US$ 129 por ano ou o plano pro (cinco sites) por US$ 199 por ano. Cada plano também tem a opção de uma licença vitalícia a um custo premium.

Ótimo para:

Sites que desejam uma imagem muito clara de onde estão, junto com aqueles que têm pelo menos um conhecimento de nível médio de WordPress e segurança.

9. SecuPress

O SecuPress inclui muitos recursos de segurança em um plug-in sem sobrecarregar muito o seu site. As versões gratuita e premium são fáceis de usar para pessoas de todos os níveis de habilidade. Um dos melhores recursos é o Relatório de Segurança, que permite saber onde está seu site e fornece recomendações claras para melhorias.

Principais recursos do SecuPress:

• Um scanner de integridade do site
• Limitar tentativas de login
• Recursos de proteção do WordPress
• Autenticação de dois fatores
• Verificação de malware
• Backups de banco de dados e arquivos

Fácil de usar:

SecuPress tem uma interface simples que é fácil de navegar para proprietários de sites de qualquer nível de habilidade. Ele categoriza os recursos com base em sua finalidade e explica o que cada um faz no local.

Suporte e documentação:

A versão gratuita inclui suporte através dos fóruns do WordPress, enquanto a versão premium inclui um sistema de tickets.

Opções de preços e planos:

• O SecuPress Free inclui o scanner de integridade, muitos recursos de proteção e limita as tentativas de login (entre outros recursos) sem nenhum custo.
• O SecuPress Pro adiciona autenticação de dois fatores, verificação de malware e backups, entre outros recursos avançados, por US$ 69,99 por ano.

Ótimo para:

Pequenas empresas, especialmente aquelas que podem investir algum dinheiro em um plugin de segurança do WordPress. Como a versão gratuita não inclui os recursos mais valiosos, como verificação de malware, é recomendável que você compre a versão premium.

10. Segurança Astra

O Astra Security é uma ferramenta de segurança premium que se descreve como um “pacote de segurança tudo-em-um para proteção completa, menos o incômodo”. É importante observar que, embora proteja os sites do WordPress, ele não foi criado especificamente para o WordPress e funciona para qualquer tipo de site. Como não é focado no WordPress, você pode perder recursos valiosos específicos da plataforma.

Principais recursos do Astra Security:

• Um firewall de site
• Verificação e limpeza de malware
• Monitoramento de lista de bloqueio
• Proteção ruim do bot
• Bloqueio de IP e país

Fácil de usar:

O Astra Security é fácil de configurar e relativamente fácil de configurar. A equipe de suporte premium também está disponível para ajudar.

Suporte e documentação:

O nível de suporte que você recebe depende do plano que você compra. O suporte é fornecido por meio de um bate-papo ao vivo 24 horas por dia, 7 dias por semana e há documentação e uma base de conhecimento para você começar.

Opções de preços e planos:

• O Plano Pro inclui um firewall, limpeza de malware em 12 horas, um scanner de malware, proteção contra bots ruins e suporte bronze (entre outros recursos) por US$ 228 por ano.
• O Plano Avançado adiciona mais de 300 testes de segurança, limpeza de malware em oito horas, prevenção de spam e suporte prateado (entre outros recursos) por US$ 468 por ano.
• O Plano de Negócios adiciona limpeza de malware em seis horas, mais de 500 testes de segurança e suporte de ouro (entre outros recursos) por US$ 1.428 por ano.

Ótimo para:

Empresas maiores, especialmente aquelas com vários sites em diferentes plataformas. Como essa é uma opção mais cara e não foi criada especificamente para o WordPress, provavelmente não é a melhor escolha para a maioria dos blogs e empresas do WordPress.

11. WPScan

O WPScan é um plugin freemium de recurso único que se concentra especificamente em testar a segurança do seu site. Embora seja o único plug-in de recurso único nesta lista, ele está incluído porque se destaca no que faz e oferece algo que a maioria dos outros plug-ins não possui. Ele contém um grande banco de dados de vulnerabilidades que ele faz referência durante a verificação.

Principais recursos do WPScan:

• Verifica mais de 21.000 vulnerabilidades de segurança conhecidas no WordPress, plugins e temas
• Verifica arquivos debug.log, arquivos de backup wp-config.php e arquivos de banco de dados exportados que podem representar riscos de segurança
• Procura por senhas fracas
• Verifica se o XML-RPC e as chaves secretas padrão estão habilitadas ou usadas

Fácil de usar:

O plugin é muito fácil de configurar. Tudo o que você precisa fazer é registrar uma chave de API em seu site, adicionar essa chave ao plug-in instalado e escolher entre configurações muito básicas.

Suporte e documentação:

O suporte é fornecido através dos fóruns do WordPress e há instruções básicas disponíveis.

Opções de preços e planos:

O preço é baseado no número de solicitações de API que você precisa por dia. O WPScan faz uma solicitação de API para o núcleo do WordPress, uma para cada tema instalado e uma para cada plugin que você usa. Portanto, se você tiver dez plugins instalados e um tema, seriam 12 solicitações de API por dia.

• O plano gratuito inclui 25 solicitações de API. A grande maioria dos sites vai cair nisso.
• O plano Starter inclui 75 solicitações de API e custa € 5 por mês.
• O plano Professional inclui 300 solicitações de API e custa € 25 por mês.

Ótimo para:

Qualquer site que queira monitorar vulnerabilidades de segurança e não use um plug-in de segurança que inclua esse recurso. No entanto, é importante observar que este não é um pacote de segurança completo e deve ser usado em adição a outra coisa.

12. Segurança do escudo

O Shield Security usa uma estratégia simples: comece com a prevenção e também forneça uma correção se um site for invadido. E como os bots são responsáveis ​​pela maioria dos problemas de segurança, o Shield Security é dedicado especificamente a bloqueá-los de chegar ao seu site. Eles também oferecem funcionalidades que protegem plugins comuns do WordPress, como Yoast, Gravity Forms, Advanced Custom Fields, Contact Form 7 e Elementor.

Principais recursos do Shield Security:

• Um mecanismo de detecção anti-bot
• Um scanner de malware e vulnerabilidade
• Detecção de spam
• Autenticação de dois fatores
• Um firewall de aplicativo da web

Fácil de usar:

É relativamente simples de começar, mas fornece muitas informações e configurações que podem ser esmagadoras para iniciantes.

Suporte e documentação:

O suporte gratuito é fornecido pelos fóruns do WordPress.org. O suporte premium é oferecido por meio de um sistema de emissão de bilhetes. Há também uma extensa documentação disponível, juntamente com cursos online.

Opções de preços e planos:

• O ShieldFREE inclui detecção de bots, autenticação de dois fatores e um firewall (entre outros recursos) sem nenhum custo.
• O ShieldPRO adiciona um scanner de malware, scanner de vulnerabilidade e prevenção de spam (entre outros recursos) por US$ 79 por ano.

Ótimo para:

Proprietários de sites com uma compreensão moderada de segurança, que podem investir algum dinheiro em um plugin premium. Como a versão gratuita não inclui um scanner de malware, é melhor comprar a versão pro.

How to choose the best security plugin for WordPress

While WordPress is very safe, it's always a good idea to add extra protection to secure your hard work and visitors' information. Sites can be targeted at any size, but the importance of extra security grows along with a site's popularity and volume of content.

The easiest way to boost security is through a reputable plugin. But choosing the best WordPress security plugin for your site can get tricky because there are so many different options! Site owners should consider available prevention and cleanup features, along with cost and required technical knowledge.

Backed by a team of WordPress experts, Jetpack is the top choice for WordPress website security. It balances robust prevention and resolution features with reasonable costs, easy setup, and superior support.

If you're just looking for a security scanning tool and don't want all the other features and functionality, WPScan is a great choice. Not only is it completely free, it also excels at identifying security vulnerabilities to help you harden and lock down your WordPress site.

Or if you're a developer who's looking for an advanced, customizable option, you may want to consider BulletProof Security. It allows you to tweak just about everything in the backend so that you can provide unique, comprehensive security features for all of your client sites.

Frequently asked WordPress security questions

Does WordPress have security issues?

WordPress powers over 40% of the web and is the most popular content management system (CMS). While its popularity does make it a target for hackers, the software itself doesn't have security issues.

You see, hackers rarely access websites through vulnerabilities with WordPress. Instead, most sites are hacked due to preventable security issues like out-of-date plugins and themes, insecure passwords, or a poor hosting environment.

While no content management system is 100% secure, core WordPress developers work very hard to make it as safe as possible with each and every update. And, if you follow some basic best practices, you shouldn't have anything to worry about.

How can I improve my WordPress security?

1. Choose a quality hosting provider. Security starts with your host, so choose one with a good reputation. Look for features like automatic backups, an SSL certificate, a server-level firewall, and malware protection. And before purchasing a plan, check reviews for common security-related issues. See Jetpack's recommended WordPress hosting providers.
2. Regularly update WordPress, themes, and plugins. New releases often include patches for security vulnerabilities — along with additional features and functionality — so make sure that you're updating everything as soon as possible.
3. Choose reliable themes and plugins. Only install plugins and themes that come from a reliable source and have excellent reviews. And never purchase free (also called “nulled”) versions of premium themes and plugins. These are often full of malware and vulnerabilities.
4. Create secure usernames and passwords. Use a unique password for your WordPress site that's at least 20 characters in length and combines uppercase letters, lowercase letters, numbers, and symbols. This keeps both hackers and bots guessing.
5. Set appropriate user permissions. WordPress user roles define what actions each account can take on your site. Only give people the minimum role they need to do their job and remove any accounts that are no longer being used.
6. Take automatic backups that are stored off-site. Set up automated backups that happen, at a minimum, every 24 hours. Then, store these backups completely separately from your host, so that if anything happens to your server, your backup isn't affected.
7. Set up brute force attack protection. Brute force attacks occur when bots guess thousands of username/password combinations every minute to force their way into your site. But a good tool can block suspicious IP addresses before they even get to you.
8. Scan for malware. While you can't physically monitor your site for malware 24/7, choose a tool or plugin that can. Finding out the second anything suspicious happens enables you to solve the issue and prevent it from becoming widespread.
9. Set up two-factor authentication. Two-factor authentication requires both a password and physical device to log into your site. Typically, it sends a unique code to your phone, which you have to input to log in. This makes it nearly impossible for hackers to get in with a username and password.
10. Get rid of spam comments. Comentários de spam não são apenas irritantes; they can include links to harmful phishing sites, therefore hurting your website visitors as well. You can get rid of these manually, or install a plugin that automatically filters comments and deletes spam.

Can WordPress plugins contain viruses?

Yes, unsafe WordPress plugins can contain viruses. Since WordPress is open source, anyone can modify and use its code to create new plugins. This is incredibly beneficial because it means that there's a solution for nearly any need, but it also means that unsavory developers can take advantage of the system.

But all you need is a little due diligence when selecting plugins. Always install them from trusted sources (like the WordPress.org repository) and check reviews thoroughly for signs of any issues. And, most importantly, never install nulled (or free) versions of premium plugins. These are often full of malware and vulnerabilities.

Can WordPress be hacked?

Yes, WordPress, like any other content management system, can be hacked. But the majority of hacks happen through completely preventable methods. If you put a few best practices into place — like choosing a high-quality host, setting secure passwords, updating your software, and installing a WordPress security plugin — there's no reason your site will be more vulnerable than any other.

What types of sites are most likely to be hacked?

While it may seem like hackers only target large websites with a lot of traffic, that's not really the case. The reality is that small businesses and blogs are just as likely to be attacked, but often have fewer security measures in place.

The majority of hackers don't target specific sites. Instead, they use automated bots to search the web, looking for easy opportunities. And automated bots don't discriminate.

Does my website need a firewall?

A good firewall is recommended for any website, because it acts as a shield between your site and all incoming traffic. A firewall should be included with any hosting plan you choose — this protects your site on a server level — but you should also install a web application firewall to secure your website against attacks specific to content management systems.

Think of a firewall as a guard standing at the door of your website. It monitors every visitor and bot that stops by, identifies suspicious characters (like bad IP addresses, botnets, and traffic to hidden pages) and blocks them before they even have a chance to attack. The best and easiest way to add a firewall to your WordPress site is with a plugin.

Is WordPress secure for eCommerce websites?

When it comes to WooCommerce security, it makes sense to be vigilant. After all, you're responsible for protecting customer data in addition to your site files and database. However, WordPress is an excellent, secure choice for an online store.

As the most popular content management system, it can be a target for hackers. However, it has a plethora of built-in security measures that will keep your site safe. And with a few best practices in place — like strong passwords, a quality host, and a great WordPress security plugin — you'll be set for success.

How do I check my WordPress security?

The best place to start is with a malware scanning tool. This will scan your website for any suspicious code and alert you if it finds anything. Some also fix any problems they find automatically.

Here are a few more ways to check your WordPress security:

• Verifique se o seu certificado SSL está funcionando. Um certificado SSL protege os dados transmitidos em seu site, como informações de pagamento e contato. Para certificar-se de que o seu está funcionando, basta verificar o ícone de cadeado ao lado do seu URL no seu navegador.
• Monitore o tempo de inatividade. Se o seu site cair, pode ser uma indicação de um hack. Instale uma ferramenta automatizada que o avisa se seu site estiver inacessível para que você possa solucionar o problema imediatamente.
• Certifique-se de que não haja aviso de segurança do navegador. Se seu site foi invadido, navegadores como Google Chrome e Safari exibirão um aviso de segurança quando você digitar sua URL. Você pode visitar seu site em uma janela anônima ou privada para obter resultados mais precisos.
• Verifique as notificações no Google Search Console. Se você tiver uma conta do Google Search Console, poderá acessar rapidamente o Relatório de problemas de segurança, que informará se seu site foi invadido ou se está seguindo alguma prática insegura.
• Siga as práticas recomendadas de segurança. A melhor maneira de garantir que seu site WordPress seja seguro é implementando boas medidas de segurança. Tome as medidas adequadas para fortalecer seu site (usando um guia de uma fonte confiável como o Jetpack) e você se sentirá confiante de que pode enfrentar hackers.