Revisão do Security Ninja: Plugin de segurança WordPress fácil de usar
Publicados: 2022-09-12Procurando o melhor plugin de segurança do WordPress para proteger seu site WordPress de agentes maliciosos?
Devido à sua popularidade, o WordPress é um alvo interessante para agentes maliciosos em todo o mundo. Como ter um site invadido é praticamente o pior pesadelo de todos os webmasters, é uma boa ideia procurar um pouco de proteção extra para o seu site.
Em nossa análise prática do Security Ninja, vamos dar uma olhada em um popular plugin de segurança freemium que ajuda você a implementar táticas básicas de proteção e monitoramento e proteção proativos.
Começaremos com uma introdução ao que o plugin faz. Em seguida, daremos uma visão prática de como é usar o Security Ninja em seu site.
Vamos cavar!
Revisão do Security Ninja: o que o plug-in faz
Em poucas palavras, o Security Ninja pretende ser uma solução completa para a segurança do WordPress. Ou seja, oferece uma abordagem abrangente de segurança, em vez de se concentrar apenas em uma única área.
Para isso, oferece alguns tipos diferentes de recursos:
- Ajustes básicos de proteção para seguir as melhores práticas gerais de segurança
- Proteção de login para proteção contra ataques de força bruta
- Firewall para bloquear ameaças proativamente
- Verificação/detecção de vulnerabilidades de segurança para encontrar possíveis problemas
- Verificação de malware para encontrar e remover arquivos maliciosos
- Registro de visitantes para rastrear atividades suspeitas
Ele também inclui recursos para ajudá-lo a acompanhar mais facilmente o status de segurança do seu site, como notificações por e-mail.
Vamos passar por eles...
Ajustes básicos de endurecimento
Em primeiro lugar, o Security Ninja pode ajudá-lo a implementar vários ajustes básicos de proteção e práticas recomendadas de segurança.
Esta não é uma lista completa, mas aqui estão os tipos de proteções de que estou falando:
- Desabilitar a edição de arquivos no painel
- Ocultar o número da versão do WordPress
- Ativar cabeçalhos de segurança
- Desabilitar senhas de aplicativos
- etc.
Proteção de login
Você também obtém um conjunto abrangente de recursos para proteger sua página de login contra ataques de força bruta:
- Alterar o URL da página de login
- Limite as tentativas de login ( como a segurança que seu banco online usa )
- Lista segura/bloqueio de determinados endereços IP
- Ocultar erros de login que informam às pessoas se existe uma conta
Firewall para bloquear ameaças
Para bloquear ameaças em outros lugares do seu site, o Security Ninja inclui seu próprio firewall proativo, incluindo uma opção para habilitar a proteção baseada em nuvem que bloqueia automaticamente mais de 600 milhões de IPs maliciosos conhecidos.
Você também pode bloquear solicitações de páginas suspeitas, bem como configurar regras de bloqueio geográfico para bloquear visitantes de determinados países.
Verificação/detecção de vulnerabilidades de segurança
O Security Ninja inclui vários recursos diferentes para detectar problemas ou vulnerabilidades em seu site.
Primeiro, você pode testar a configuração do seu site em relação a mais de 40 problemas em potencial, como a força da senha do banco de dados, extensões desatualizadas, versão do PHP e muito mais.
Para muitos problemas, você pode corrigir o problema com o clique de um botão se falhar no teste.
Em segundo lugar, o Security Ninja monitorará seus plugins instalados em busca de vulnerabilidades conhecidas. Se detectar um, ele o alertará imediatamente para que você possa atualizar o plug-in ( se o desenvolvedor corrigiu o problema ) ou mudar para uma ferramenta diferente.
Terceiro, você pode verificar a integridade dos arquivos principais do WordPress. Security Ninja irá alertá-lo se os arquivos principais foram modificados ou quaisquer outros arquivos foram adicionados. Este é um sinal de que seu site pode ter sido invadido.
Além disso, há também outro tipo útil de digitalização…
Verificação de malware
Caso um arquivo malicioso chegue de alguma forma ao seu servidor, o Security Ninja também inclui seu próprio recurso de verificação de malware para detectar arquivos suspeitos em seu servidor que existem fora dos arquivos principais do WordPress.
Se um arquivo for genuíno (falso positivo), você pode colocá-lo na lista de segurança para evitar que apareça no futuro.
Registro de visitantes
O Security Ninja também ajuda você a acompanhar o que está acontecendo em seu site com duas ferramentas diferentes:
- Um registrador de eventos para acompanhar as ações que os usuários logados realizam em seu site, como instalar um novo plug-in.
- Um log de visitantes para mostrar as ações de cada visitante do seu site (junto com uma opção para banir facilmente o endereço IP de visitantes mal-intencionados). Por exemplo, você pode encontrar pessoas que estão tentando acessar sua página de login.
Ferramentas para monitorar o status de segurança
Para ajudá-lo a acompanhar a segurança do seu site sem precisar fazer login no painel todos os dias, você obtém algumas ferramentas diferentes.
Primeiro, você pode configurar alertas de e-mail automáticos para problemas importantes. Dessa forma, você só precisará fazer o check-in se receber uma notificação no seu endereço de e-mail.
Segundo, se você estiver usando o MainWP para gerenciar vários sites a partir de um painel, há uma extensão para MainWP que permite gerenciar a segurança de todos os seus sites a partir do painel MainWP unificado.
Como usar o Security Ninja para proteger seu site
Agora que você sabe o que o plugin faz, vamos ver como é realmente usar o Security Ninja em seu site WordPress.
Conclua o Assistente de Configuração
Quando você ativar o Security Ninja pela primeira vez, ele solicitará que você execute seu assistente de segurança integrado, que o ajudará a definir algumas configurações de linha de base importantes para o seu site.
Primeiro, você pode ativar a proteção de firewall para interromper proativamente as ameaças e banir endereços IP maliciosos:
Em seguida, você pode escolher se deseja ativar uma série de medidas de segurança padrão. Você sempre pode desativar alguns deles mais tarde, se não quiser .
E é isso para o assistente de configuração básica!
Definir configurações mais avançadas
Para acessar configurações mais avançadas em um nível individual, você pode ir para Security Ninja → Fixes .
Aqui, você verá uma lista de todas as possíveis correções de segurança que o Security Ninja pode fazer para você.
Para cada correção, você obtém um botão de alternância simples para ativar ou desativar essa correção específica:
A captura de tela acima não mostra a lista completa de correções disponíveis .
Você também pode acessar algumas configurações específicas do firewall acessando Security Ninja → Firewall . Por exemplo, você pode optar por usar ou não as regras de firewall baseadas em nuvem ou configurar bloqueios geográficos específicos do país para seu site:
Mais abaixo na página, você obtém algumas outras opções de proteção, incluindo proteger sua página de login. Por exemplo, você pode alterar o URL da página de login, limitar as tentativas de login, lista segura/bloquear determinados endereços IP e muito mais:
Executar verificações de segurança
Isso é principalmente para as configurações reais do Security Ninja.
A maioria dos outros recursos envolve a verificação do seu site.
O Security Ninja oferece algumas opções diferentes para verificar seu site:
- Testes de segurança – permitem testar aspectos específicos da configuração do seu site para detectar possíveis problemas. Por exemplo, você pode testar se há software desatualizado, se o modo de depuração está ativado, cabeçalhos de resposta e muito mais.
- Vulnerabilidades – esta guia verifica automaticamente seus plugins em busca de vulnerabilidades conhecidas.
- Core Scanner – este teste verifica os arquivos principais do WordPress para ver se eles foram modificados ou se os arquivos foram adicionados.
- Malware – isso permite que você verifique seu site em busca de malware.
Testes de segurança
Para a opção Testes de segurança , você pode primeiro usar as caixas de seleção para escolher quais testes deseja executar. Para um teste abrangente, você pode marcar facilmente todas as caixas.
Em seguida, você pode clicar em Executar testes para iniciar o teste:
Após uma breve espera, você verá os resultados de cada teste individual, bem como um resumo na parte superior.
Se você clicar na opção Detalhes ao lado de um teste, poderá ver informações específicas sobre esse teste. Para alguns testes, você também terá uma opção de um clique para corrigir o problema:
Vulnerabilidades
O teste de vulnerabilidades verificará automaticamente seus plugins e temas do WordPress em busca de vulnerabilidades conhecidas.
Ao contrário do teste anterior, você não precisa executá-lo manualmente – ele sempre o alertará. Você verá alertas grandes em seu painel e também poderá configurar avisos por e-mail:
Eu acho que esse é um recurso realmente útil porque as vulnerabilidades dos plugins são uma maneira comum de os sites serem invadidos. Ao receber esses alertas imediatamente, você pode atualizar imediatamente o plug-in afetado e evitar problemas.
Scanner principal
Para o teste do Core Scanner , você só precisa ir para essa guia e clicar no botão Scan core files .
O Security Ninja verificará todos os arquivos. Se tudo estiver correto, você verá uma mensagem "Nenhum problema encontrado":
Malware
Para executar uma verificação de malware, vá para a guia Malware e clique no botão Verificar seu site .
Agora você terá uma pequena espera – pode levar de alguns segundos a alguns minutos, dependendo do tamanho do seu site:
Quando terminar, você deverá ver os resultados do teste.
Em alguns casos, o Security Ninja pode sinalizar um arquivo legítimo. Para evitar esses falsos positivos no futuro, você pode listar com segurança esse arquivo específico para que ele não apareça mais na verificação.
Como agendar testes
Além de executar testes manualmente, você também pode agendar testes para execução em determinados agendamentos e enviar automaticamente um relatório por e-mail com os resultados.
Você pode configurar isso na guia Agendador :
Ver registros
A última parte da funcionalidade principal é a funcionalidade de log do Security Ninja, que vem em dois formatos principais.
Primeiro, você pode ver um registro de eventos específicos que aconteceram em seu site acessando a guia Eventos .
Por exemplo, você pode ver que já foi possível registrar uma tentativa de login com falha:
Segundo, você pode ir para Security Ninja → Visitor Log para ver cada visitante individual do seu site, junto com as ações que eles tomaram. Você também pode banir rapidamente um endereço IP se detectar atividade maliciosa:
E é basicamente isso que é usar o Security Ninja para proteger seu site!
Preços do Ninja de Segurança
O Security Ninja vem em uma versão gratuita no WordPress.org e em uma versão premium que adiciona recursos mais avançados.
Em geral, a versão gratuita se concentra principalmente em estratégias básicas de proteção, incluindo mais de 50 testes de segurança em várias áreas.
Para uma proteção mais abrangente, você pode atualizar para o Security Ninja Pro. Aqui estão alguns dos recursos mais notáveis que você obtém com a versão Pro:
- Firewall, incluindo o bloqueio de solicitações de páginas suspeitas, países e assim por diante.
- Verificador de núcleo do WordPress.
- Verificador de malware.
- Correção automática para alguns testes ( a versão gratuita exige que você faça alterações manualmente ).
- Registro de eventos.
- Verificação de segurança programada.
Se você deseja acessar o Security Ninja Pro, existem quatro planos pagos diferentes disponíveis em uma base de pagamento mensal ou anual.
Todos os planos são completos – a única diferença é o número de sites nos quais você pode ativar o plugin:
- Starter – um site – $ 39,99 por ano ou $ 6,99 por mês.
- Mais – três sites – $ 99,99 por ano ou $ 12,99 por mês.
- Pro – cinco sites – $ 149,99 por ano ou $ 18,99 por mês.
- Agência – dez sites – $ 199,99 por ano ou $ 29,99 por mês.
Aqui estão os planos anuais:
E aqui estão os planos mensais:
Você também pode testar os recursos premium com uma avaliação gratuita de 14 dias . Você precisará inserir seu cartão de crédito para ativar a avaliação, mas a cobrança só será feita após 14 dias. O plug-in também enviará um lembrete antes do início do faturamento e o processo de cancelamento é fácil – você só precisa clicar em alguns botões.
Considerações Finais sobre o Ninja de Segurança
Testar plugins de segurança é sempre um pouco complicado porque é difícil simular um ataque de segurança real. Ou seja, um ator malicioso tentando infectar meu site com malware.
Com isso dito, posso tirar algumas conclusões práticas com base na minha experiência.
Em primeiro lugar, acho que a interface do Security Ninja está muito bem feita. É limpo e fácil de usar, enquanto ainda oferece uma boa quantidade de detalhes.
Em segundo lugar, você obtém um bom número de recursos para proteger seu site.
Terceiro, você obtém toneladas de regras básicas de endurecimento. Eu diria que o Security Ninja facilita a implementação de praticamente todas as coisas básicas, como desabilitar a edição de arquivos no painel e configurar corretamente os cabeçalhos de resposta.
Você também obtém proteção mais proativa, especialmente com a versão premium. Por exemplo, firewalls, proteção de login, verificação de malware e muito mais.
Eu também gostei muito que ele foi capaz de detectar automaticamente vulnerabilidades conhecidas em plugins instalados. Acho que esse recurso pode realmente ajudar a incentivar as pessoas a aplicar atualizações rapidamente, em vez de esperar para atualizar seus plugins.
Com base nessas experiências, o Security Ninja parece ser outra opção de qualidade para a segurança do WordPress.
Se você quiser testá-lo, você tem três opções:
- Você pode instalar a versão gratuita do WordPress.org para acessar os recursos básicos.
- Você pode usar a avaliação gratuita de 14 dias para testar todos os recursos do Security Ninja Pro.
- Você pode criar um site de teste totalmente funcional com a versão Pro usando o InstaWP (um serviço que analisamos). Você pode clicar neste link para iniciar seu site de teste.
De qualquer forma, você pode usar o botão abaixo para começar.