• Homepage
  • Articoli
  • Guida
  • Revisione della sicurezza all-in-one: approfondimento dei pro e dei contro - MalCare

Revisione della sicurezza all-in-one: approfondimento dei pro e dei contro - MalCare

Pubblicato: 2023-04-07

Se stai cercando una revisione della sicurezza All-In-One, potresti sperare di scoprire se il plug-in è efficace nel proteggere il tuo sito Web da minacce come hacking, malware e altre vulnerabilità di sicurezza. Potresti anche voler conoscere le sue funzionalità e facilità d'uso, nonché la sua compatibilità con altri plugin e temi di WordPress.

Abbiamo testato All-In-One Security su più siti, permettendoci di valutarne le prestazioni e la compatibilità su una vasta gamma di configurazioni. La nostra recensione è imparziale e basata sulla nostra conoscenza di esperti di sicurezza. Miriamo a fornire una recensione completa e affidabile.

Questa analisi approfondita fornirà preziose informazioni su queste aree, aiutandoti a prendere una decisione informata sul fatto che All-In-One Security sia la soluzione di sicurezza giusta per il tuo sito web.

Le 3 funzionalità maggiormente pubblicizzate di All-In-One Security sono: protezione dell'accesso, firewall e protezione dei contenuti. Protezione dell'accesso? Non funziona troppo bene ed è soggetto a errori. Firewall? Non una buona configurazione. Protezione dei contenuti? Fondamentalmente funzionalità anti-spam che sono decenti. Tutto sommato, questo non è affatto vicino a un plug-in di sicurezza. MalCare è un'alternativa di gran lunga migliore. Ha un ottimo scanner, rimozione malware con un clic e un potente firewall.

Panoramica

All-In-One Security non è il plug-in di sicurezza completo che afferma di essere. Invece, è semplicemente un plug-in anti-spam con alcune funzionalità di sicurezza mediocri nella migliore delle ipotesi e alcune completamente assenti o non funzionanti.

Ci sono alcune buone notizie però. La funzione di protezione del contenuto aiuta a proteggere dallo spam. Esiste una funzione di autenticazione a due fattori per una maggiore sicurezza e puoi limitare gli accessi che impediscono l'accesso non autorizzato. La mancanza di carico sul server del sito e l'assenza di avvisi eccessivi sono un vantaggio.

Ora parliamo del male. La versione gratuita di All-In-One Security non include uno scanner, quindi non siamo stati in grado di testare questa funzione. Pertanto non possiamo commentare la sua efficacia. Inoltre, non sono disponibili rilevamento delle vulnerabilità, pulizia del malware o servizio di pulizia. Il firewall fa molto affidamento sul file .htaccess e sembra limitarsi a bloccare determinate categorie di bot dannosi. Le funzionalità di rafforzamento sono decenti, ma niente che non puoi ottenere altrettanto facilmente da un plug-in più piccolo.

Suggeriamo di installare All-In-One Security solo per le funzionalità anti-spam, sebbene preferiamo CleanTalk o anche Akismet per questo scopo. Il plugin in realtà ci ricorda iThemes in qualche modo. La moltitudine di impostazioni sulla pagina wp-admin sembra tentare di nascondere il fatto che il plugin manca di valore effettivo. Non consigliamo affatto questo plug-in come plug-in di sicurezza.

Funzionalità di sicurezza critiche e sicurezza All-In-One

Ogni plug-in di sicurezza valido deve avere tre funzionalità non negoziabili: scansione del malware, protezione del firewall e rimozione del malware. All-In-One Security dispone di queste funzionalità? In che modo All-In-One Security gestisce queste funzionalità?

Scanner di malware

Non siamo stati in grado di testare la funzione di scansione del malware in quanto è una funzionalità premium. Tuttavia, secondo il loro sito Web, utilizzano i propri server per cercare malware, che è una buona pratica per evitare di sovraccaricare il sito. Quindi, questo è eccellente.

Rimozione malware

Sfortunatamente, All-In-One Security non fornisce una funzione di pulizia del malware o alcun servizio di pulizia professionale. Offrono consigli, ma non sono molto utili. Quindi, se il tuo sito è stato violato, All-In-One Security non sarà affatto utile.

Firewall

Questa funzione è arrivata con una sorpresa.

All-In-One Security utilizza il firewall 6G di Perishable Press, e questo è un po' un peccato. Fanno molto affidamento sul file .htaccess per le operazioni e, sebbene amiamo la potenza del file .htaccess, non è progettato per svolgere il lavoro di un vero firewall. Inoltre, il 6G funziona solo sui server Apache, poiché utilizza il file .htaccess, quindi è inutile per i siti sui server nginx. Non è l'ideale!

All-In-One Security potrebbe avere alcune funzionalità simili a firewall. Puoi inserire nella blacklist IP e user-agent dalla dashboard, se sei abbastanza coraggioso da provarlo.

Il firewall può bloccare alcuni bot (spam, accessi di forza bruta e scraper) e bloccare l'accesso a determinati file. È un tipo rudimentale di protezione dai bot che dovrebbe tenere fuori i googlebot falsi, il che è fantastico, ma blocca anche i googlebot veri e propri. I siti hanno segnalato di aver perso classifiche a causa del plug-in.

Tuttavia, non abbiamo riscontrato questo problema in prima persona e c'è la possibilità che si tratti di geoblocking applicato erroneamente. Non siamo sicuri. Lo stesso blocco geografico è una funzionalità premium.

Funzioni di sicurezza secondarie

Le funzionalità di sicurezza critiche non erano all'altezza. Quali altre funzioni di sicurezza ha (o manca) All-In-One Security?

Protezione dell'accesso

Ci sono un sacco di impostazioni per prevenire attacchi di forza bruta nella schermata di accesso dell'utente. L'abbiamo testato provando a forzare la pagina di accesso con password e nomi utente errati e ha funzionato alla grande. Puoi utilizzare le altre impostazioni per modificare le tue preferenze, ma nel complesso questa funzione è una delle versioni migliori che abbiamo visto per limitare gli accessi.

C'è anche un set separato di interruttori specifici per la prevenzione della forza bruta, uno dei quali sta cambiando l'URL di accesso. Questa è una misura di indurimento, e particolarmente eclatante, mascherata da prevenzione della forza bruta.

Inoltre, c'è anche un'opzione honeypot, che sarà visibile solo ai bot. Puoi abilitarlo per rifiutare automaticamente le registrazioni che cadono nella trappola dell'honeypot. Questa funzione serve a prevenire le registrazioni spam.

Rilevamento vulnerabilità

Sembra che All-In-One Security stia perdendo del tutto il rilevamento delle vulnerabilità. La maggior parte dei plug-in di sicurezza ha questa funzione in bundle con il proprio scanner di malware, quindi abbiamo pensato che sarebbe stata nella versione premium. Ma, dopo aver fatto molti controlli, non sembra esserci neanche.

Autenticazione a due fattori

All-In-One Security ti consente di configurare l'autenticazione a due fattori (2FA) per tutti i tipi di utenti o solo per quelli che ritieni più importanti da proteggere.

Questo interruttore aggiunge 2FA come opzione nel profilo utente e gli utenti possono scegliere tra una varietà di meccanismi di autenticazione. Tutto sommato, All-In-One Security 2FA è una funzionalità piuttosto completa.

Registro delle attività

Il plug-in ha una funzione di registro degli accessi, ma non è il massimo. Nel complesso, sembra un po' cotto a metà. Non sostituisce un registro delle attività.

Caratteristiche di indurimento

Le misure di rafforzamento non sono mai così efficaci come si potrebbe pensare, indipendentemente da quanti articoli sulla sicurezza di WordPress ne parlino.

  • La rimozione della versione di WordPress non proteggerà dalle vulnerabilità. La soluzione corretta sarebbe aggiornare effettivamente la versione di WordPress.
  • Una caratteristica ancora più inutile è la modifica del prefisso del database che rovina solo la struttura del database.
  • Cambiare i permessi dei file sarebbe stato utile se le impostazioni non fossero così limitate.
  • Anche il rilevamento delle modifiche ai file ha un uso limitato.

L'unica eccezione effettivamente utile è la possibilità di disabilitare l'accesso a XML-RPC . Pensiamo anche che lo strumento per la password di All-In-One Security possa essere utile.

Installazione e configurazione di All-In-One Security

Abbiamo già visto qualche successo con l'implementazione delle funzionalità di sicurezza? Non proprio. Ma, in termini di usabilità, quanto è semplice il processo di installazione e configurazione?

Installazione

L'installazione e l'attivazione sono state un gioco da ragazzi, ma la configurazione della nostra sicurezza è stata tutta un'altra storia. Dato che MalCare era già installato sui nostri siti di test, non potevamo semplicemente passare a All-In-One Security Firewall. Abbiamo dovuto accedere al file .htaccess e sostituire MalCare Firewall con All-In-One Security. Ciò significava che dovevamo essere in grado di elencare i file nascosti nel terminale per apportare la modifica.

È interessante notare che questo ha funzionato solo perché i nostri siti sono su server Apache. Mi chiedo cosa sarebbe successo sui server nginx.

C'è un punteggio di sicurezza per il nostro sito sulla dashboard. A prima vista, è stato un po' scoraggiante. Il quadrante sul plug-in dice che dovremmo avere 505 punti di sicurezza, ma il nostro sito ne ha 0. Ci piace il sistema di punteggio, quindi abbiamo iniziato a rafforzare la nostra sicurezza attivando le funzionalità di sicurezza di base nel menu delle impostazioni. Tuttavia, queste impostazioni erano in generale abbastanza inutili, quindi il sistema di punteggio ti dà un falso senso di sicurezza.

Facilità d'uso

La configurazione della dashboard è stata piuttosto semplice, anche se ci è voluto un po' per esaminare tutte le opzioni. La maggior parte di loro non ha avuto un impatto significativo sulla nostra sicurezza. Il problema più grande che abbiamo riscontrato con All-In-One Security è stato che era troppo facile bloccarci fuori dal nostro sito attivando le impostazioni sbagliate.

Anche la modifica dell'URL di accesso (che non è affatto consigliata) non è stata altrettanto efficace. Il plug-in aiuta solo a modificare lo slug dell'URL. In realtà devi apportare modifiche anche ad altre parti del codice affinché funzioni correttamente.

Notifiche e avvisi

Ci sono abbastanza avvisi per cose importanti come utenti bloccati e così via. Inoltre, puoi personalizzare le notifiche che desideri ricevere.

Altri fattori da considerare

Oltre alle funzionalità di sicurezza, cos'altro dovresti prendere in considerazione quando consideri All-In-One Security? Bene, ti consigliamo di verificare l'impatto che il plug-in ha sul tuo server e quanto è reattivo il team di supporto quando hai bisogno di aiuto.

Impatto sulle prestazioni del sito

Abbiamo provato la versione gratuita di All-In-One Security e non ha funzionato bene. Non ha il proprio scanner, quindi è un plug-in piuttosto leggero e non ha influito sulle prestazioni del nostro sito.

Aiuto e supporto

Il team All-In-One Security è molto attivo sul forum di WordPress. Rispondono a tutte le domande che incontrano. Sfortunatamente, non sembra esserci altro modo per contattarli per il supporto.

Prezzi

Per $ 70 all'anno per due siti, All-In-One Security non è un cattivo affare a prima vista. Ma tieni presente che non ottieni alcuna pulizia e la rimozione del malware sarà un costo aggiuntivo. Non possiamo nemmeno dire quanto sia efficace lo scanner.

Le migliori alternative alla sicurezza All-In-One

All-In-One Security è il miglior plug-in di sicurezza? No. Allora, quali sono le tue migliori opzioni?

  • MalCare: MalCare è la migliore alternativa. Ha un ottimo scanner e firewall e non avrà alcun effetto sul tuo server. È anche facile rimuovere il malware e fornisce una soluzione di sicurezza completa per il tuo sito.
  • Wordfence: la versione gratuita di Wordfence offre formidabili funzionalità di sicurezza come uno scanner e un firewall, quest'ultimo costantemente aggiornato. Tuttavia, se viene rilevato materiale dannoso, sarà necessario passare a un piano più costoso per eliminarlo.
  • Sucuri: Sucuri è un'ottima opzione per l'eliminazione completa del malware. Con tutti i loro piani a pagamento, gli utenti hanno accesso a servizi di rimozione malware illimitati. Tuttavia, uno svantaggio è che lo scanner non è eccezionale, quindi è fondamentale essere vigili su eventuali potenziali problemi di malware prima di utilizzare la funzione di rimozione.

Come scegliere un plugin di sicurezza per WordPress?

Con così tanti plugin per la sicurezza di WordPress disponibili sul mercato, può essere complicato navigare tra tutte le recensioni e i confronti, specialmente con tutto il gergo che ne deriva. Tuttavia, la scelta del plug-in di sicurezza giusto è fondamentale per proteggere il tuo sito Web da potenziali minacce e mantenerlo senza intoppi. In questa sezione, analizzeremo le caratteristiche e i fattori principali da considerare quando si effettua la scelta, rendendo più semplice la scelta del miglior plug-in di sicurezza per il proprio sito Web WordPress.

  • Scanner di malware: uno scanner di malware è importante perché aiuta a rilevare qualsiasi codice dannoso che potrebbe essere stato iniettato nel tuo sito WordPress. Inoltre, scansioni regolari possono aiutare a garantire che il tuo sito rimanga sicuro e protetto da potenziali attacchi.
  • Rimozione di malware: il malware può danneggiare o corrompere i file, rubare informazioni personali o sensibili, rallentare o arrestare in modo anomalo il tuo sito e persino consentire agli hacker di ottenere l'accesso. Il malware può anche rendere il tuo sito Web vulnerabile a ulteriori attacchi e compromettere la sicurezza delle informazioni dei tuoi visitatori. È importante rimuovere il malware il prima possibile per evitare che si diffonda e causi ulteriori danni.
  • Firewall: quando si tratta di sicurezza, un firewall è come un filtro. È una protezione che tiene fuori malware, bot dannosi e altro ancora. Il miglior firewall è quello che viene costantemente aggiornato e può distinguere tra traffico buono e cattivo.
  • Rilevamento delle vulnerabilità: gli hacker sono sempre alla ricerca di modi per accedere al tuo sito tramite plug-in e temi. Ecco perché plug-in e temi vengono aggiornati frequentemente per correggere eventuali vulnerabilità di sicurezza. Uno scanner di vulnerabilità ti avvisa ogni volta che viene rilevata una vulnerabilità, dandoti la possibilità di correggerla o di informare gli sviluppatori.
  • Autenticazione a due fattori: l'autenticazione a due fattori è un ulteriore livello di sicurezza che richiede agli utenti di fornire due modi diversi per confermare la propria identità. Ciò potrebbe includere una password e un codice aggiuntivo inviato al telefono o all'e-mail. Questo lo rende una buona caratteristica di sicurezza da avere.
  • Protezione dell'accesso: gli attacchi di forza bruta sono tentativi automatici di entrare nel tuo account indovinando in modo casuale nome utente e password. Per tenerli fuori, dovresti installare un plug-in con funzionalità di protezione dell'accesso. Ad esempio, puoi impostare quanti tentativi di accesso errati attivano un blocco.
  • Registro delle attività: un registro delle attività è un ottimo modo per monitorare ciò che accade sul tuo sito. Tiene traccia di tutte le attività e gli eventi che si verificano sul tuo sito. In questo modo puoi identificare facilmente qualsiasi comportamento insolito che potrebbe essere indicativo di malware dannoso. È anche un ottimo modo per verificare chi ha effettuato l'accesso e ha modificato il tuo sito, così puoi mantenere il controllo.
  • Impatto sul server: i plug-in di sicurezza possono essere un grosso problema per le risorse del server. Ciò renderà il tuo sito più lento e, a sua volta, influenzerà le tue classifiche o l'esperienza del cliente. Questo è il motivo per cui è importante che un plug-in di sicurezza esegua la scansione del malware sul proprio server. MalCare, ad esempio, è progettato per non utilizzare nessuna delle tue risorse.

Pensieri finali

All-In-One WordPress Security è un plug-in che fornisce alcune buone funzionalità come l'anti-spam e l'autenticazione a due fattori. Tuttavia, non include funzionalità di sicurezza critiche come uno scanner di malware, la rimozione di malware o un firewall. Pertanto, ti consigliamo di investire in un plug-in di sicurezza più completo come MalCare per garantire che il tuo sito Web sia adeguatamente protetto.

Domande frequenti

Quali sono le impostazioni del firewall di All-In-One WP Security?

All-In-One WordPress Security utilizza il firewall 6G di Perishable Press, che dipende da .htaccess e quindi funziona solo su server Apache. Il firewall è efficace nel bloccare i bot dannosi, ma a volte può anche arrestare googlebot. Consente inoltre agli utenti di inserire nella blacklist IP e agenti utente dalla dashboard.