Wordfence vs All-In-One WP Security: qual è il plug-in di sicurezza migliore?

Pubblicato: 2023-04-07

Stai gestendo un sito web e stai iniziando a diventare molto popolare. Hai sentito parlare di minacce alla sicurezza e sei preoccupato per la salute del tuo sito. Decidi di ottenere un plug-in di sicurezza per aiutarti a gestire la salute del tuo sito e proteggerlo dagli attacchi. Ma quale scegli? Ci sono così tanti plugin di sicurezza tra cui scegliere? Quando si tratta di qualcosa di cruciale come la sicurezza, non puoi semplicemente scegliere un plug-in qualsiasi.

Wordfence è un nome che continua a spuntare quando si tratta di plugin per la sicurezza dei siti web. È una scelta popolare, che offre agli utenti una gamma di funzionalità progettate per proteggere i propri siti da minacce dannose. Ma Wordfence è il plugin di sicurezza giusto per te? Quali caratteristiche gli mancano?

All-In-One Security è un plug-in di sicurezza e un software anti-spam molto apprezzato e apprezzato per la sua vasta gamma di funzionalità. Non solo fornisce tutte le funzionalità di sicurezza di un plug-in di sicurezza, ma ha anche molte funzionalità di rafforzamento per garantire che il tuo sito sia il più sicuro possibile. Ma come si confronta con i suoi concorrenti? È all'altezza della sua reputazione?

Non siamo fan di All-In-One Security, poiché manca di un pulitore ed è essenzialmente solo un glorificato plug-in anti-spam e rafforzamento; Wordfence è senza dubbio l'opzione migliore. Il miglior plugin di sicurezza per WordPress non è né Wordfence né All-in-One Security; è MalCare.

Quando si tratta di sicurezza di WordPress, ci sono una varietà di plugin tra cui scegliere. Due dei più popolari sono All-In-One Security e Wordfence. In questo articolo, confrontiamo il modo in cui entrambi i plugin gestiscono importanti azioni di sicurezza, come l'installazione di un firewall o la rimozione di malware. Continua a leggere per conoscere le differenze tra questi due plugin di sicurezza e perché pensiamo che Wordfence sia migliore.

Panoramica: Wordfence e sicurezza all-in-one

Wordfence e All-In-One Security sono entrambi plugin di sicurezza per WordPress con versioni gratuite e premium, ma presentano differenze significative.

Wordfence ha un meccanismo di rilevamento della corrispondenza delle firme in grado di rilevare tra il 70 e l'80% del malware e un firewall che tiene lontane le minacce, ma la versione gratuita viene aggiornata più tardi rispetto a quella premium.

All-In-One Security ha funzionalità anti-spam e una funzione di autenticazione a due fattori, ma la versione gratuita non dispone di uno scanner per verificare se il sito è stato violato, rilevamento delle vulnerabilità o pulizia del malware. Il firewall fa molto affidamento sul file .htaccess, che può bloccare solo determinate categorie di bot dannosi.

Nel complesso, Wordfence sembra essere un plug-in di sicurezza più completo, mentre All-In-One Security è più focalizzato sulle funzionalità anti-spam.

Wordfence in poche parole

Wordfence è un plugin di sicurezza gratuito completo per WordPress.

Sicurezza del recinto

Il suo meccanismo di rilevamento della corrispondenza delle firme è in grado di rilevare tra il 70 e l'80% del malware, anche se non rileva la maggior parte dei malware basati su database. Il suo firewall fa un buon lavoro nel tenere lontane le minacce, ma vale la pena notare che la versione gratuita viene aggiornata molto più tardi rispetto a quella premium. Inoltre, è importante verificare con il tuo host web se Wordfence è consentito sul tuo sito, in quanto può essere un divoratore di risorse, portando molti host a vietarlo completamente dai loro server.

La sicurezza all-in-one in poche parole

All-In-One Security ha alcune caratteristiche positive. Per cominciare, ha funzionalità anti-spam, una funzione di autenticazione a due fattori e una funzione di accesso limitato, senza carico sul server del sito o avvisi eccessivi.

Sicurezza e firewall all-in-one

Sfortunatamente, i contro superano i pro: la versione gratuita non ha uno scanner per verificare se il tuo sito è stato violato e non c'è rilevamento di vulnerabilità o pulizia del malware. Inoltre, il firewall fa molto affidamento sul file .htaccess, che sembra essere in grado di bloccare solo determinate categorie di bot dannosi. Possiamo solo consigliare All-In-One Security per le sue funzionalità anti-spam, anche se preferiamo CleanTalk o Akismet per quelle.

Le funzionalità di rafforzamento vanno bene, ma nulla che non possa essere facilmente ottenuto con un plug-in più piccolo. Troviamo che All-In-One Security sia abbastanza simile a iThemes in quanto la pletora di impostazioni su wp-admin sembra cercare di oscurare il fatto che il plugin manca di sostanza reale.

Confronto testa a testa delle funzionalità di sicurezza: Wordfence vs All-In-One WP Security

In questa sezione, confronteremo il modo in cui entrambi i plug-in si misurano l'uno con l'altro in termini di importanti funzionalità di sicurezza come il rilevamento di malware, l'autenticazione a due fattori, il rafforzamento della sicurezza e l'utilizzo delle risorse.

Scansione malware

Qualsiasi rilevamento di malware inferiore al 95% non va bene, ma almeno Wordfence free è in qualche modo efficace. All-In-One Security non ha uno scanner nel loro plugin gratuito.

Lo scanner gratuito di Wordfence è efficace solo al 60%, il che non è l'ideale. Le scansioni vengono completate rapidamente, poiché Wordfence utilizza la corrispondenza delle firme per rilevare il malware confrontando il codice sul tuo sito con un enorme database di firme di malware. Fanno un ottimo lavoro nel mantenere aggiornato il loro database delle firme; tuttavia, non è in grado di rilevare gli attacchi zero-day.

Scansione malware di Wordfence

Inoltre, la corrispondenza delle firme è efficace solo contro il malware basato su file e non è in grado di rilevare il malware nel database. Abbiamo scoperto che ha rilevato solo il 70-80% del malware e ha prodotto falsi positivi per l'avvio. Infine, lo scanner è in grado di rilevare solo malware in open source o plug-in e temi gratuiti, poiché si basa su codice disponibile pubblicamente per il confronto. Plugin e temi premium non sono inclusi nella scansione.

Scanner di malware Wordfence

Siamo rimasti sorpresi nell'apprendere che la scansione del malware è una funzionalità premium di All-In-One Security. Il lato positivo è che le scansioni vengono eseguite sui loro server piuttosto che sul tuo sito web.

Pulizia malware

La funzione di rimozione del malware di Wordfence è nella media, ma almeno esiste. Non così con All-In-One Security.

Wordfence offre due opzioni di rimozione automatica del malware: elimina tutti i file eliminabili e ripara tutti i file riparabili. Se è necessaria una pulizia più approfondita, Wordfence offre anche un servizio di pulizia esperto.

Abbiamo testato entrambe le opzioni automatizzate e abbiamo scoperto che sono riuscite a rimuovere il malware dal nostro sito Web; tuttavia, abbiamo dovuto procedere con cautela a causa degli avvisi di potenziale interruzione del sito. Sfortunatamente, lo scanner non è stato in grado di rilevare alcun malware del database o malware trovato nei plug-in premium, quindi la riparazione automatica non era un'opzione.

Sfortunatamente, All-In-One Security non offre una funzione di pulizia del malware e nemmeno un servizio di pulizia consigliato. L'unica guida che forniscono è un consiglio, che è tutt'altro che soddisfacente. Per un plugin di sicurezza, questo è estremamente deludente.

Firewall

Il firewall gratuito di Wordfence lascia molto a desiderare. Il firewall di All-In-One Security è a prova di bot spam, ma poco altro.

Il firewall di Wordfence inizia in modalità di apprendimento, che Wordfence suggerisce di lasciare per una settimana per diventare più efficace. Tuttavia, a causa della mancanza di traffico in tempo reale sui nostri siti Web di prova, abbiamo deciso di disattivarlo immediatamente.

Firewall di wordfence

Blocca con successo gli attacchi online, sebbene il firewall gratuito sia efficace solo al 35%, secondo la dashboard. Abbiamo esaminato il motivo per cui questo potrebbe essere il caso e abbiamo trovato due possibili spiegazioni.

Protezione wordfence attivata

In primo luogo, il firewall gratuito viene caricato come plug-in dopo il core di WordPress, il che significa che può difendersi solo da parte del traffico dannoso, non da tutto. In secondo luogo, la versione premium di Wordfence riceve gli aggiornamenti in tempo reale, mentre la versione gratuita li riceve dopo un periodo di tempo sconosciuto, lasciando probabilmente una finestra di vulnerabilità per gli hacker. È chiaro dalla valutazione di Wordfence che il firewall gratuito non è efficace quanto la versione premium.

All-In-One Security ha una funzionalità simile a un firewall che può bloccare alcuni bot, spam, accessi di forza bruta e scraper e chiudere l'accesso a determinati file. Tuttavia, queste funzionalità non costituiscono un vero e proprio firewall. Il firewall sembra affidarsi in gran parte al file .htaccess per le operazioni, che è uno strumento potente ma non adatto al lavoro di un firewall.

Dalla dashboard, puoi inserire nella blacklist gli indirizzi IP e gli agenti utente per proteggere il tuo sito. Per abilitare il blocco geografico, è necessario aggiornare il plug-in.

Rilevamento vulnerabilità

Il rilevamento delle vulnerabilità su Wordfence funziona immediatamente ed è molto affidabile. All-In-One Security lo pubblicizza come una funzionalità premium, come parte del loro scanner.

Wordfence ci ha avvisato accuratamente di tutti i plug-in obsoleti come minacce medie e ha correttamente contrassegnato le vulnerabilità come minacce critiche.

Sembra che il rilevamento delle vulnerabilità sia disponibile solo nella funzione di scansione premium di All-In-One Security. Pertanto, a partire da ora, non è disponibile alcun rilevamento delle vulnerabilità.

Protezione dalla forza bruta

Wordfence ha un'ottima protezione dalla forza bruta, mentre All-In-One Security ha una funzionalità straordinariamente sofisticata con un sacco di belle campane e fischietti.

La protezione della forza bruta è abilitata di default su Wordfence e funziona in modo efficace ogni volta, bloccando gli utenti con troppi tentativi errati in base alla configurazione impostata sulla dashboard. Le impostazioni possono essere trovate nella sezione firewall e ci sono molte opzioni da personalizzare come il tempo di blocco per tentativi di accesso errati. Wordfence spiega chiaramente ciascuna di queste impostazioni e fornisce un'ampia documentazione.

È anche possibile impostare qui le opzioni di gestione delle password, come l'applicazione di password complesse e la prevenzione dell'uso di password scoperte in una violazione dei dati. È possibile autorizzare gli IP in questa sezione, tuttavia, non siamo sicuri della loro efficacia poiché gli IP del dispositivo possono essere dinamici, il che significa che un utente legittimo potrebbe comunque essere bloccato.

All-In-One Security offre una varietà di impostazioni per prevenire la forza bruta nella schermata di accesso dell'utente e abbiamo utilizzato i valori consigliati predefiniti per testare la funzione. Abbiamo testato password errate con nomi utente esistenti e nomi utente errati e il blocco ha funzionato senza problemi.

È possibile modificare le impostazioni in base alle proprie preferenze e, nel complesso, questa funzione è una delle versioni migliori che abbiamo visto per limitare gli accessi.

Inoltre, esiste un set separato di interruttori specifici per la prevenzione della forza bruta, uno dei quali è la possibilità di modificare l'URL di accesso. Questa è una misura di inasprimento mascherata da prevenzione della forza bruta. Inoltre, esiste un'opzione honeypot, visibile solo ai bot, che può essere abilitata per rifiutare automaticamente le registrazioni che cadono nella trappola dell'honeypot. Questa funzione serve a prevenire le registrazioni spam.

Registro delle attività

Nessuno dei due plug-in ha un registro delle attività.

Siamo rimasti sorpresi nello scoprire che Wordfence non ha un registro delle attività, in quanto è un componente cruciale della sicurezza del sito web. C'è un'opzione per abilitare il debug nella sezione Diagnostica del menu Strumenti, ma ciò fa sì che i registri del firewall diventino più dettagliati, non un registro delle attività. Attraverso ricerche approfondite, siamo stati in grado di individuare un registro delle attività specifico per gli eventi di Wordfence nella sezione Scansione. Tuttavia, è un registro non elaborato, presumibilmente creato solo per gli sviluppatori di Wordfence.

Sfortunatamente, AIOS non ha un registro delle attività, solo un registro di accesso semicotto.

Autenticazione a due fattori

Sia All-In-One Security che Wordfence hanno funzionalità 2FA decenti.

L'autenticazione a due fattori di Wordfence è facile da configurare e personalizzare con una varietà di opzioni. Era una funzionalità premium, ma ora è inclusa anche nel plug-in gratuito.

All-In-One Security offre la possibilità di configurare l'autenticazione a due fattori (2FA) per tutti i tipi di utenti o scegliere gli account più importanti da proteggere.

Questo interruttore aggiunge 2FA come opzione nel profilo utente, consentendo all'utente di abilitarlo se lo desidera.

Ci sono varie opzioni tra cui l'utente può scegliere, a seconda del meccanismo che gli si addice meglio. Tutto sommato, All-In-One Security 2FA è una funzionalità completa.

Utilizzo delle risorse del server

Wordfence è una piaga su un server del sito. All-In-One Security, d'altra parte, utilizza a malapena qualsiasi risorsa, poiché in realtà non esegue la scansione del sito nella versione gratuita.

Wordfence può essere piuttosto dispendioso in termini di risorse, poiché ogni azione che esegue su un sito Web consuma risorse del server. Ciò può portare a un picco nell'utilizzo del disco durante le scansioni che può raddoppiare o addirittura triplicare l'utilizzo del disco, con un impatto negativo sui tempi di caricamento, sui tempi di risposta e sull'esperienza utente, anche su siti Web relativamente piccoli.

All-In-One Security è molto delicato sul server del sito in quanto non è disponibile alcuna scansione nella versione gratuita. Inoltre, puoi impedire l'hotlink abilitando l'impostazione nella sezione firewall. Ciò impedirà alle persone di utilizzare le risorse archiviate sul tuo server del sito sul proprio sito, il che può utilizzare lo spazio del tuo server.

Avvisi

Wordfence ti bombarderà di avvisi. Con All-In-One Security puoi personalizzare quelli che desideri ricevere.

Con Wordfence, siamo stati rapidamente sepolti da e-mail e avvisi. Sfortunatamente, questo li rende inutili perché troppi avvisi possono portare all'inazione quando necessario.

All-In-One Security ha un numero ragionevole di avvisi come gli utenti bloccati e puoi personalizzare quali avvisi desideri ricevere. Tuttavia, questo non è affatto vicino all'abbondanza di avvisi offerti da Wordfence.

Installazione, configurazione e usabilità

Wordfence ha la migliore installazione e configurazione che abbiamo visto. Anche All-In-One Security è stato facile rispetto ad alcune delle altre orrende interfacce utente che abbiamo visto.

L'installazione, la configurazione e l'uso generale di Wordfence sono molto apprezzati da molti. La loro documentazione include procedure dettagliate su ciascuna sezione principale, fornendo spiegazioni dettagliate delle impostazioni e delle funzionalità più importanti in un linguaggio di facile comprensione.

Inoltre, Wordfence fornisce ottimi consigli per la configurazione e la documentazione è disponibile tramite suggerimenti sulla dashboard, rendendola molto intuitiva. Ogni funzione è spiegata in modo approfondito e le istruzioni su come applicarla al tuo sito web sono immediatamente accessibili.

L'installazione e l'attivazione di All-In-One Security è stata relativamente semplice rispetto al caos che era l'interfaccia utente di Bulletproof Security.

Tuttavia, poiché MalCare era già installato sul sito, non siamo stati in grado di configurare automaticamente il firewall e abbiamo dovuto modificare il codice nel terminale per sostituire il firewall MalCare con il firewall All-In-One Security.

All-In-One Security ha un sistema di punteggio per determinare quanto è sicuro il nostro sito web. Il punteggio di 0/505 sul sito è stata una dolorosa sorpresa, tuttavia questo sistema aiuta a capire lo stato del sito. Per aumentare la sicurezza e ottenere punti migliori, è necessario abilitare le funzionalità di sicurezza di base su ciascuna delle opzioni nel menu delle impostazioni.

Extra

Wordfence offre una sezione Notifiche per indicare quali plug-in e temi devono essere aggiornati perché considerati minacce critiche o medie.

Inoltre, la dashboard di Wordfence Central consente di gestire più siti sullo stesso account, tuttavia, ciò potrebbe non essere molto utile per le agenzie con centinaia di siti gestiti.

La sezione Live Traffic registra e classifica il traffico e offre persino una ricerca "Chi è" per visualizzare l'attaccante senza uscire da wp-admin.

Ultimo ma non meno importante, la sezione Diagnostica offre informazioni complete sul sito Web in un unico posto, rendendolo uno strumento prezioso per gli sviluppatori.

All-In-One Security offre backup parziali del database del sito, del file .htaccess e del file wp-config, che è un'ottima idea. Ma quei backup non sono sufficienti per ricostruire da soli un sito distrutto. Plugin e temi possono essere modificati in modo significativo e il mancato backup può portare a costosi errori. Per assicurarti che il tuo sito sia completamente protetto, assicurati di eseguire un backup esplicito e di salvarlo sul tuo dispositivo.

Inoltre, il file .htaccess non cambia spesso, ma il database sì. Un backup automatico sarebbe il modo più efficace per proteggere il tuo sito, poiché le persone potrebbero anche non essere a conoscenza delle modifiche al database.

Sebbene All-In-One Security includa alcune impostazioni di rafforzamento, potrebbero non essere così efficaci nella protezione di un sito Web come alcuni potrebbero supporre. Ad esempio, la rimozione della versione di WordPress non preverrà la vulnerabilità, poiché l'aggiornamento di WordPress è l'unico modo per rimanere al sicuro.

Inoltre, il tentativo di nascondere il nome utente dell'amministratore non fermerà gli attacchi di forza bruta, poiché consumano ancora le risorse del server. Lo strumento per la password di All-In-One Security può essere utile per creare una password complessa, tuttavia, la modifica del prefisso del database e la modifica delle autorizzazioni dei file sono entrambe misure inefficaci. La disabilitazione dell'accesso a XML-RPC è una funzione utile, ma il rilevamento delle modifiche ai file ha un uso limitato.

Essere in grado di modificare i permessi dei file sarebbe stata una caratteristica utile se non fosse stato così sdentato. È possibile modificare solo le autorizzazioni dei file per determinati file e cartelle e modificarle solo con le autorizzazioni consigliate da AIOS. Parla di rendere una funzionalità a prova di idiota e renderla completamente inutile.

È interessante notare che le registrazioni degli utenti su un sito Web possono essere limitate per proteggere dagli hacker. Questa tattica può impedire agli hacker di creare account utente e aumentare i privilegi per ottenere un accesso illimitato al sito. Inoltre, ci sono una varietà di opzioni disponibili per prevenire i commenti spam, che è un'ottima caratteristica da avere poiché i commenti spam possono essere molto fastidiosi. Un firewall dovrebbe impedire la pubblicazione di spam bot, ma avere un filtro aggiuntivo in atto è vantaggioso.

reCAPTCHA
Blocchi spambot
Vaso di miele

Cosa manca?

Ci piace chiaramente la versione gratuita di Wordfence, ma presenta alcuni inconvenienti. Non include la protezione dai bot o un registro delle attività. Il suo scanner è superiore alla media rispetto agli altri plug-in di sicurezza disponibili, ad eccezione di MalCare. MalCare ha sia la protezione che un registro delle attività, il che lo rende il plug-in migliore.
Puoi indovinare cosa stiamo per dire su All-In-One Security. Manca un detergente. Sembriamo un disco rotto ma sfortunatamente, a causa della mancanza di opzioni di pulizia, è difficile considerare questo plugin una valida opzione di sicurezza.

Prezzi

La versione gratuita di Wordfence è abbastanza completa e la quota di abbonamento annuale di $ 99 è un buon valore. In precedenza, i clienti dovevano pagare altri $ 490 per la rimozione del malware, oltre alla quota di abbonamento. Tuttavia, i clienti possono ora scegliere tra i piani Care e Response, con il piano Care che non offre costi aggiuntivi. Il piano di risposta offre un tempo di risposta garantito di 1 ora in caso di hack, al costo di $ 950 per sito all'anno, che può essere inestimabile.

Prezzi di wordfence

A prima vista, il prezzo di All-In-One Security di $ 70 all'anno per due siti sembra ragionevole. Tuttavia, va notato che non è inclusa la pulizia del malware, il che significa che sarà un costo aggiuntivo. Inoltre, è difficile valutare l'efficacia dello scanner.

Migliore alternativa a Wordfence e All-In-One Security: MalCare

Mentre ci piace Wordfence, MalCare è un plug-in di sicurezza molto migliore. Il plug-in di sicurezza più completo con tutto ciò di cui hai bisogno e molto altro è MalCare. Fornisce protezione dai bot e un registro delle attività che manca a Wordfence ed è molto più affidabile. MalCare copre anche il database, cosa che altri plugin non fanno.

Lettura consigliata: Wordfence vs WP Cerber security

Cosa rende buono un plug-in di sicurezza?

La nostra vasta conoscenza della sicurezza di WordPress ci ha permesso di creare una guida concisa e informativa delle funzionalità di sicurezza essenziali da cercare in un plug-in di sicurezza. Abbiamo escluso tutte le funzionalità che non sono direttamente correlate alla sicurezza per fornirti un elenco più mirato.

Caratteristiche essenziali:

  • Scansione malware: questa funzione aiuta a rilevare eventuali codici, file o script dannosi che sono stati aggiunti al sito Web, avvisando l'utente di eventuali minacce potenziali e fornendo loro tranquillità.
  • Rimozione malware: aiuta a rimuovere qualsiasi codice dannoso che è stato rilevato, rendendolo un passaggio cruciale per mantenere il sito Web sicuro e protetto.
  • Firewall: aiuta a bloccare il traffico e le richieste dannose dal raggiungere il sito Web, oltre a impedire a potenziali minacce di accedere al sito Web. Inoltre, può avvisare l'utente di qualsiasi attività sospetta, come tentativi di attacchi di forza bruta, fornendo loro un avviso tempestivo e una protezione aggiuntiva.

Funzionalità di sicurezza utili:

  • Rilevamento delle vulnerabilità: aiuta a identificare eventuali potenziali vulnerabilità nel sito Web che potrebbero essere sfruttate dagli hacker, rendendo fondamentale identificarle e correggerle il prima possibile.
  • Protezione dell'accesso a forza bruta: ciò significa bloccare qualsiasi tentativo di attacco di forza bruta sul sito Web, rendendo difficile l'accesso agli hacker e fornendo un ulteriore livello di protezione per il tuo sito Web.
  • Registro attività: monitora e traccia qualsiasi attività sospetta sul sito Web, come richieste dannose o tentativi di accesso falliti, consentendo all'utente di agire e bloccare le minacce prima che si verifichino danni gravi.
  • Autenticazione a due fattori: aggiunge un ulteriore livello di sicurezza al sito Web richiedendo all'utente di inserire un codice aggiuntivo prima di poter accedere al sito Web. Ciò rende più difficile per gli hacker ottenere l'accesso al sito Web, offrendo agli utenti una maggiore tranquillità.

Potenziali problemi:

  • Impatto sulle risorse del server: è importante considerare l'intensità delle risorse dei plug-in di sicurezza quando si prende una decisione, poiché possono causare tempi di caricamento lenti e altri problemi di prestazioni.

Incartare

Quando selezioni un plug-in di sicurezza WordPress per il tuo sito Web, dovresti valutare lo scanner, il pulitore e il firewall, poiché queste tre funzionalità sono essenziali per un solido plug-in di sicurezza. Troverai tutte queste funzionalità in MalCare. In MalCare, ci sforziamo di rendere la sicurezza semplice e indolore in modo che tu possa concentrarti sulla crescita della tua attività. Lascia che ci occupiamo della sicurezza mentre tu ti occupi del resto.