Revisão de segurança tudo-em-um: mergulho profundo nos prós e contras - MalCare

Se você estiver procurando por uma revisão de Segurança All-In-One, pode estar esperando para descobrir se o plug-in é eficaz na proteção de seu site contra ameaças como hacking, malware e outras vulnerabilidades de segurança. Você também pode querer aprender sobre seus recursos e facilidade de uso, bem como sua compatibilidade com outros plugins e temas do WordPress.

Testamos o All-In-One Security em vários locais, o que nos permite avaliar seu desempenho e compatibilidade em várias configurações. Nossa análise é imparcial e baseada em nosso conhecimento como especialistas em segurança. Nosso objetivo é fornecer uma revisão abrangente e confiável.

Esta análise detalhada fornecerá informações valiosas sobre essas áreas, ajudando você a tomar uma decisão informada sobre se o All-In-One Security é a solução de segurança certa para o seu site.

Os três principais recursos anunciados do All-In-One Security são: proteção de login, firewall e proteção de conteúdo. Proteção de login? Não funciona muito bem e está sujeito a erros. Firewall? Não é uma boa configuração. Proteção de conteúdo? Basicamente, recursos anti-spam que são decentes. Em suma, isso não chega nem perto de um plug-in de segurança. MalCare é uma alternativa muito melhor. Possui um ótimo scanner, remoção de malware com um clique e um poderoso firewall.

Visão geral

O All-In-One Security não é o plug-in de segurança abrangente que afirma ser. Em vez disso, é simplesmente um plug-in anti-spam com alguns recursos de segurança medíocres na melhor das hipóteses e alguns que estão completamente ausentes ou não funcionam.

Há algumas boas notícias embora. O recurso de proteção de conteúdo ajuda a proteger contra spam. Há um recurso de autenticação de dois fatores para segurança extra e você pode limitar os logins que impedem o acesso não autorizado. A falta de carga no servidor do site e a ausência de alertas excessivos são um bônus.

Agora, vamos falar sobre o mal. A versão gratuita do All-In-One Security não inclui um scanner, por isso não pudemos testar esse recurso. Portanto, não podemos comentar sobre sua eficácia. Também não há detecção de vulnerabilidade, limpador de malware ou serviço de limpeza. O firewall depende muito do arquivo .htaccess e parece estar limitado a bloquear certas categorias de bots ruins. Os recursos de proteção são decentes, mas nada que você não possa obter com a mesma facilidade de um plug-in menor.

Sugerimos apenas instalar o All-In-One Security para os recursos anti-spam, embora prefiramos CleanTalk ou mesmo Akismet para essa finalidade. O plug-in realmente nos lembra os iThemes de algumas maneiras. A multiplicidade de configurações na página wp-admin parece estar tentando esconder o fato de que o plugin não tem valor real. Não recomendamos este plug-in como um plug-in de segurança.

Recursos críticos de segurança e All-In-One Security

Todo plug-in de segurança viável deve ter três recursos não negociáveis: verificação de malware, proteção de firewall e remoção de malware. O All-In-One Security tem esses recursos? Quão bem o All-In-One Security gerencia esses recursos?

Verificador de malware

Não foi possível testar o recurso de verificação de malware, pois é um recurso premium. No entanto, de acordo com seu site, eles utilizam seus próprios servidores para verificar malware, o que é uma boa prática para evitar sobrecarregar o site. Então, isso é excelente.

Remoção de malware

Infelizmente, o All-In-One Security não fornece um recurso de limpeza de malware ou qualquer serviço de limpeza profissional. Eles oferecem conselhos, mas não são muito úteis. Portanto, se o seu site foi invadido, o All-In-One Security não será útil.

Firewall

Esse recurso veio com uma surpresa.

All-In-One Security usa o firewall 6G da Perishable Press, e isso é um pouco chato. Eles dependem muito do arquivo .htaccess para operações e, embora adoremos o poder do arquivo .htaccess, ele não foi projetado para fazer o trabalho de um firewall real. Além disso, o 6G funciona apenas em servidores Apache, pois usa o arquivo .htaccess, portanto, é inútil para sites em servidores nginx. Não é ideal!

All-In-One Security pode ter alguns recursos de firewall. Você pode colocar IPs e agentes de usuário na lista negra do painel, se for corajoso o suficiente para experimentá-lo.

O firewall pode interromper alguns bots (spam, logins de força bruta e raspadores) e bloquear o acesso a determinados arquivos. É um tipo rudimentar de proteção contra bots que deve impedir a entrada de googlebots falsos — o que é ótimo —, mas também bloqueia os googlebots reais. Sites relataram perda de classificação por causa do plug-in.

No entanto, não enfrentamos esse problema em primeira mão e há uma chance de que isso possa ser um bloqueio geográfico mal aplicado. Não temos certeza. O bloqueio geográfico em si é um recurso premium.

Recursos de segurança secundários

Os recursos críticos de segurança não estavam à altura. Que outros recursos de segurança o All-In-One Security possui (ou não possui)?

proteção de login

Existem várias configurações para prevenir ataques de força bruta na tela de login do usuário. Testamos tentando forçar a página de login com senhas e nomes de usuário incorretos, e funcionou muito bem. Você pode usar as outras configurações para ajustar suas preferências, mas, no geral, esse recurso é uma das melhores versões que vimos para limitar os logins.

Há também um conjunto separado de alternâncias especificamente para prevenção de força bruta, uma das quais é alterar a URL de login. Esta é uma medida de endurecimento, e particularmente flagrante, que está disfarçada de prevenção de força bruta.

Além disso, há também uma opção de honeypot, que ficará visível apenas para bots. Você pode ativar isso para rejeitar automaticamente os registros que caem na armadilha do honeypot. Esse recurso é para evitar registros de spam.

Detecção de vulnerabilidade

Parece que o All-In-One Security está perdendo completamente a detecção de vulnerabilidades. A maioria dos plug-ins de segurança tem esse recurso integrado ao scanner de malware, então presumimos que estaria na versão premium. Mas, depois de fazer muitas verificações, também não parece estar lá.

Autenticação de dois fatores

All-In-One Security permite que você configure a autenticação de dois fatores (2FA) para todos os tipos de usuários ou apenas aqueles que você considera mais importantes para proteger.

Essa alternância adiciona 2FA como uma opção no perfil do usuário, e os usuários podem escolher entre uma variedade de mecanismos de autenticação. Em suma, o All-In-One Security 2FA é um recurso bastante abrangente.

Registro de atividade

O plug-in possui um recurso de log de login, mas não é o melhor. No geral, parece um pouco incompleto. Ele não substitui um log de atividades.

Recursos de endurecimento

As medidas de proteção nunca são tão eficazes quanto se pensa, não importa quantos artigos de segurança do WordPress falem sobre elas.

• A remoção da versão do WordPress não protege contra vulnerabilidades. A solução correta seria realmente atualizar a versão do WordPress.
• Um recurso ainda mais inútil é alterar o prefixo do banco de dados , o que apenas atrapalha a estrutura do banco de dados.
• Alterar as permissões de arquivo teria sido útil se as configurações não fossem tão limitadas.
• A detecção de alteração de arquivo também tem uso limitado.

As únicas exceções realmente úteis são a capacidade de desabilitar o acesso ao XML-RPC . Também achamos que a ferramenta de senha do All-In-One Security pode ser útil.

Instalação e configuração do All-In-One Security

Já vimos algum sucesso com a implementação de recursos de segurança? Na verdade. Mas, em termos de usabilidade, quão simples é o processo de instalação e configuração?

Instalação

A instalação e a ativação foram fáceis, mas configurar nossa segurança foi outra história. Como já tínhamos o MalCare instalado em nossos sites de teste, não podíamos simplesmente mudar para o All-In-One Security Firewall. Tivemos que acessar o arquivo .htaccess e substituir o MalCare Firewall pelo All-In-One Security. Isso significava que tínhamos que listar os arquivos ocultos no terminal para fazer a edição.

Curiosamente, isso funcionou apenas porque nossos sites estão em servidores Apache. Me pergunto o que teria acontecido nos servidores nginx.

Há uma pontuação de segurança para o nosso site no painel. À primeira vista, foi um pouco desanimador. O mostrador no plug-in diz que devemos ter 505 pontos de segurança, mas nosso site tem 0. Gostamos do sistema de pontuação, então começamos a aumentar nossa segurança ativando os recursos básicos de segurança no menu de configurações. No entanto, essas configurações eram em geral bastante inúteis, então o sistema de pontuação dá a você uma falsa sensação de segurança.

Fácil de usar

Configurar o painel foi muito fácil, embora tenha demorado um pouco para percorrer todas as opções. A maioria deles realmente não teve um impacto significativo em nossa segurança. O maior problema que encontramos com o All-In-One Security foi que era muito fácil bloquear nosso site ativando as configurações erradas.

Mesmo alterar o URL de login (o que não é recomendado) não foi tão eficaz. O plug-in ajuda apenas na alteração do slug da URL. Na verdade, você também precisa fazer alterações em outras partes do código para que funcione corretamente.

Notificações e alertas

Existem alertas suficientes para coisas importantes, como usuários bloqueados e assim por diante. Além disso, você pode personalizar quais notificações deseja receber.

Outros fatores a considerar

Além dos recursos de segurança, o que mais você deve levar em consideração ao considerar o All-In-One Security? Bem, você deve verificar o impacto que o plug-in tem em seu servidor e a capacidade de resposta da equipe de suporte quando você precisa de ajuda.

Impacto no desempenho do site

Experimentamos a versão gratuita do All-In-One Security e não funcionou bem. Ele não possui um scanner próprio, por isso é um plug-in bastante leve e não afetou o desempenho do nosso site.

Ajuda e suporte

A equipe All-In-One Security é muito ativa no fórum WordPress. Eles respondem a todas as perguntas que surgem em seu caminho. Infelizmente, não parece haver outra maneira de contatá-los para obter suporte.

Preços

Por US $ 70 por ano para dois sites, o All-In-One Security não é um mau negócio à primeira vista. Mas lembre-se de que você não recebe nenhuma limpeza e a remoção de malware será um custo adicional. Também não podemos dizer a eficácia do scanner.

Principais alternativas ao All-In-One Security

All-In-One Security é o melhor plugin de segurança? Não. Então, quais são suas melhores opções?

• MalCare: MalCare é a melhor alternativa. Possui um ótimo scanner e firewall e não afetará seu servidor. Também é fácil remover malware e fornece uma solução de segurança abrangente para o seu site.
• Wordfence: A versão gratuita do Wordfence fornece recursos de segurança formidáveis, como scanner e firewall, sendo o último atualizado de forma consistente. No entanto, se algum material nocivo for detectado, será necessário atualizar para um plano mais caro para eliminá-lo.
• Sucuri: Sucuri é uma ótima opção para eliminação completa de malware. Com todos os seus planos pagos, os usuários obtêm acesso a serviços ilimitados de remoção de malware. No entanto, uma desvantagem é que o scanner não é ótimo, por isso é crucial estar atento a quaisquer problemas de malware em potencial antes de utilizar o recurso de remoção.

Como escolher um plugin de segurança para WordPress?

Com tantos plugins de segurança do WordPress disponíveis no mercado, pode ser difícil navegar por todas as análises e comparações, especialmente com todo o jargão que os acompanha. No entanto, escolher o plug-in de segurança certo é crucial para proteger seu site de possíveis ameaças e mantê-lo funcionando sem problemas. Nesta seção, detalharemos os principais recursos e fatores a serem considerados ao fazer sua escolha, facilitando a escolha do melhor plug-in de segurança para o seu site WordPress.

• Scanner de malware: um scanner de malware é importante porque ajuda a detectar qualquer código malicioso que possa ter sido injetado em seu site WordPress. Além disso, verificações regulares podem ajudar a garantir que seu site permaneça seguro e protegido contra possíveis ataques.
• Remoção de malware: o malware pode danificar ou corromper arquivos, roubar informações pessoais ou confidenciais, desacelerar ou travar seu site e até permitir que hackers obtenham acesso. O malware também pode tornar seu site vulnerável a novos ataques e comprometer a segurança das informações de seus visitantes. É importante remover o malware o mais rápido possível para evitar que ele se espalhe e cause mais danos.
• Firewall: Quando se trata de segurança, um firewall é como um filtro. É uma proteção que impede a entrada de malware, bots ruins e muito mais. O melhor firewall é aquele que está constantemente atualizado e pode diferenciar entre tráfego bom e ruim.
• Detecção de vulnerabilidade: os hackers estão sempre à procura de maneiras de entrar em seu site por meio de plugins e temas. É por isso que plugins e temas são atualizados com frequência para corrigir quaisquer vulnerabilidades de segurança. Um scanner de vulnerabilidade alerta você sempre que uma vulnerabilidade é detectada, dando a você a chance de corrigi-la ou informar os desenvolvedores.
• Autenticação de dois fatores: a autenticação de dois fatores é uma camada extra de segurança que exige que os usuários forneçam duas maneiras diferentes de confirmar sua identidade. Isso pode incluir uma senha e um código adicional enviado para o telefone ou e-mail. Isso o torna um bom recurso de segurança.
• Proteção de login: Ataques de força bruta são tentativas automatizadas de invadir sua conta, adivinhando aleatoriamente seu nome de usuário e senha. Para mantê-los fora, você deve instalar um plug-in com recursos de proteção de login. Por exemplo, você pode definir quantas tentativas de login erradas acionam um bloqueio.
• Log de atividades: um log de atividades é uma ótima maneira de monitorar o que está acontecendo em seu site. Ele mantém o controle de todas as atividades e eventos que ocorrem em seu site. Dessa forma, você pode identificar facilmente qualquer comportamento incomum que possa ser indicativo de malware malicioso. Também é uma ótima maneira de auditar quem acessou e alterou seu site, para que você possa manter o controle.
• Impacto no servidor: plug-ins de segurança podem ser um grande dreno nos recursos do servidor. Isso tornará seu site mais lento e, por sua vez, afetará suas classificações ou a experiência do cliente. É por isso que é importante que um plug-in de segurança verifique se há malware em seu próprio servidor. O MalCare, por exemplo, foi projetado para não usar nenhum dos seus recursos.

Pensamentos finais

All-In-One WordPress Security é um plug-in que fornece alguns bons recursos, como anti-spam e autenticação de dois fatores. No entanto, ele não inclui recursos críticos de segurança, como um scanner de malware, remoção de malware ou um firewall. Portanto, recomendamos investir em um plug-in de segurança mais abrangente, como o MalCare, para garantir que seu site esteja adequadamente protegido.

perguntas frequentes

Quais são as configurações de firewall do All-In-One WP Security?

All-In-One WordPress Security utiliza o Firewall 6G da Perishable Press, que depende do .htaccess e, portanto, só funciona em servidores Apache. O firewall é eficaz para interromper bots maliciosos, mas às vezes também pode interromper o googlebot. Ele também permite que os usuários coloquem IPs e agentes de usuário na lista negra do painel.