Bulletproof Security vs Wordfence: Qual plugin de segurança é melhor?

Você acabou de lançar seu site e ele está começando a ganhar força. Você percebe que está recebendo muito tráfego, mas ele vem de uma fonte suspeita. Você não sabe o que fazer, então decide procurar plugins de segurança.

O Wordfence é um plug-in de segurança incrivelmente popular para sites WordPress que é frequentemente mencionado em análises e recomendações. Este plug-in oferece uma ampla gama de recursos, incluindo um scanner, limpador e firewall - os três componentes mais importantes da segurança de qualquer site. Embora certamente tenha seus benefícios, também há desvantagens que serão discutidas neste artigo.

Bulletproof Security também costuma aparecer em listas, mas será que realmente merece a atenção que recebe? O Bulletproof Security realmente cumpre o hype em torno dele? Vamos dar uma olhada mais de perto para descobrir!

Não há absolutamente nenhum concurso. O Wordfence é o vencedor claro se você estiver escolhendo entre esses dois plugins, mesmo que tenha seus próprios problemas. O Bulletproof Security é tudo menos a solução de segurança confiável que afirma ser. Estamos totalmente perplexos com suas altas classificações. Se você está procurando um plug-in de segurança que simplesmente funcione, ignore os dois e instale o MalCare.

Quando se trata de proteger seu site contra ameaças cibernéticas, há uma variedade de plug-ins de segurança para escolher. Neste artigo, compararemos como o Bulletproof Security e o Wordfence lidam com diferentes aspectos da segurança, como verificação e remoção de malware. Continue lendo para descobrir as diferenças entre esses dois plugins de segurança e descubra qual é o certo para você.

Wordfence em poucas palavras

Wordfence é o melhor plugin de segurança gratuito para WordPress. Ele possui uma infinidade de recursos que o tornam uma boa escolha para a segurança do site, se você não tiver orçamento para segurança. O Wordfence inclui um firewall e uma varredura abrangente de malware. No entanto, deve-se observar que as varreduras podem detectar apenas 70 a 80% do malware, devido ao mecanismo de correspondência de assinatura usado para detecção. Esta é uma das principais desvantagens do Wordfence.

O firewall faz um bom trabalho para impedir a entrada de ameaças, mas as regras da versão gratuita são atualizadas 30 dias depois da premium. Como os firewalls dependem de regras para impedir a entrada de ameaças, essa é uma desvantagem significativa para a segurança do site.

Finalmente, você também pode ter que verificar com seu host da web para ver se o Wordfence é permitido em seu site, já que é um devorador de recursos e alguns hosts o banem completamente de seus servidores. No geral, o Wordfence é um excelente plug-in de segurança que oferece ótima proteção, mas ainda possui algumas desvantagens que devem ser levadas em consideração antes de usá-lo.

Segurança à prova de balas em poucas palavras

Bulletproof Security afirma fornecer soluções de segurança confiáveis, mas está longe de ser à prova de balas. Depois de testar a versão gratuita, ficamos desapontados ao descobrir que nenhum dos recursos, incluindo o scanner, limpador e segurança de login, realmente funcionou contra malware. Não queríamos atualizar para a versão pro para descobrir se o firewall era melhor, mas a versão gratuita é definitivamente um plugin de segurança ruim.

Comparação direta de recursos de segurança: Wordfence vs. Bulletproof Security

Nesta seção, compararemos como os dois plug-ins se comparam quando se trata de importantes recursos de segurança, como segue:

Verificação de malware

O scanner gratuito do Wordfence é apenas 70-80% eficaz, mas a varredura do Bulletproof Security foi péssima.

O scanner gratuito do Wordfence funciona apenas com 60% de eficiência, conforme indicado em seu painel, o que não é ótimo. Embora as varreduras sejam concluídas rapidamente, isso é de pouca utilidade se não forem eficazes na detecção de malware.

O Wordfence também usa correspondência de assinatura para detectar malware. Isso significa que eles têm um enorme banco de dados de assinaturas de malware, com os quais comparam o código em seu site. Crédito onde o crédito é devido, o Wordfence faz um trabalho estelar de manter seu banco de dados atualizado; no entanto, por sua natureza, ele não pode detectar malwares mais recentes. Portanto, não é à prova de ataques de dia zero.

Além disso, esse mecanismo funciona apenas em malware baseado em arquivo. O malware também pode estar no banco de dados; na verdade, o malware de redirecionamento geralmente infecta o banco de dados mais do que os arquivos em um site. O Wordfence detectou todo o nosso malware baseado em arquivo e, segundo nossa estimativa, é capaz de detectar de 70 a 80% do malware. Infelizmente, também é propenso a falsos positivos.

Por fim, o scanner só pode realmente detectar malware em plugins e temas de código aberto ou gratuitos. Isso ocorre porque eles usam o código disponível publicamente para comparar o código do site, para procurar adições que não deveriam estar lá. Isso exclui plugins e temas premium, o último dos quais é a grande maioria

Quando testamos o Bulletproof Security, observamos algumas coisas. Em primeiro lugar, quando executamos uma verificação pela primeira vez, também tivemos que ativar a opção de banco de dados. Não sabemos ao certo por que essa é uma opção e não faz parte automaticamente da verificação, já que o malware de banco de dados é uma coisa real.

Em seguida, a verificação é aberta em outra janela e rotulada como: “criador de hash de arquivo”. Esta é uma verificação preliminar de algum tipo, embora isso não tenha ficado claro no painel.

Executamos uma segunda (ou melhor, a primeira verificação de malware real) a seguir. A varredura levou cerca de 5 minutos para nosso site hackeado. Mais em um site de teste maior com mais posts e imagens.

Apesar de toda essa confusão, o Bulletproof Security não detectou nenhum malware em nosso site bastante invadido. Isso também fez com que nosso wp-admin parasse de responder, o que é um bônus inesperado além de toda a não verificação que ele fez.

Não estamos impressionados ao notar que ele sinalizou nosso arquivo cron como suspeito porque possui um código personalizado. Isso é algo bastante comum para muitos plug-ins, por isso é muito inútil sugerir que excluamos o arquivo cron!

Limpeza de malware

O Wordfence pode limpar o malware sinalizado, embora não tenhamos ficado tranquilos com as ameaças de quebra do site. A remoção de malware do Bulletproof Security coloca todo o ônus no administrador do site.

O Wordfence tem duas opções automatizadas para remoção de malware por meio do próprio plug-in: excluir todos os arquivos deletáveis ​​e reparar todos os arquivos reparáveis.

Eles também oferecem um serviço de limpeza especializado para aqueles que desejam ter seu site completamente limpo, mas a um preço. Ambas as opções removeram o malware sinalizado de nosso site, embora também tivéssemos medo de perder o código personalizado. No entanto, tivemos que ser cautelosos ao usá-los porque os avisos de quebra do site devido a mudanças eram bastante terríveis.

O Wordfence conseguiu limpar todo o malware baseado em arquivo do nosso site. Em seguida, decidimos testar o recurso com malware que inserimos no banco de dados e arquivos de temas premium. Infelizmente, o scanner não foi capaz de detectar nada disso, então o reparo automático nem era uma opção.

A varredura fornecida pelo Bulletproof Security foi péssima e não sinalizou nenhum malware real. Portanto, não havia nada para testar o limpador. No entanto, apenas por diversão, clicamos na opção visualizar/ignorar/excluir arquivos suspeitos para ver o que aconteceria.

Para ser claro, nenhum dos arquivos suspeitos que foram sinalizados pelo scanner eram realmente malware. O malware real foi autorizado a permanecer intacto em nosso site. Que conforto para os hackers.

Cada um dos arquivos suspeitos tem quatro opções e você precisa ter um bom entendimento dos arquivos do WordPress para poder usar esse recurso. Não recomendamos esta opção, especialmente para iniciantes.

Firewall

O firewall do Wordfence é apenas 35% eficaz. Não testamos o firewall do Bulletproof Security, pois é um recurso premium.

O firewall Wordfence vem pré-instalado e pronto para uso. É razoavelmente bem-sucedido em impedir ataques.

Para otimizar seu desempenho, o Wordfence recomenda manter o firewall no modo de aprendizado por uma semana para permitir que ele aprenda com o tráfego ao vivo. No entanto, para nossos sites de teste que não recebem muito tráfego, isso não foi prático.

A versão gratuita do firewall do Wordfence é apenas 35% eficaz, então investigamos os motivos por trás disso.

Em primeiro lugar, o firewall carrega como um plug-in, o que pode limitar sua capacidade de bloquear todo o tráfego malicioso se for carregado após o núcleo do WordPress. Em segundo lugar, enquanto o firewall é atualizado regularmente, a versão gratuita apresenta um atraso de 30 dias no recebimento dessas atualizações, deixando uma janela potencial para os hackers explorarem.

O firewall no Bulletproof Security é um recurso premium, então não pudemos testá-lo. No entanto, podemos inferir que muito trabalho pesado é feito por meio do arquivo .htaccess, que não é o método mais seguro e não é recomendado. O arquivo .htaccess é muito poderoso, mas não se destina a ser um firewall. Na verdade, está no site, então carrega após o WordPress. Portanto, os ataques ainda podem chegar ao site.
Na configuração, há uma configuração de correção automática que verifica todos os plug-ins instalados e adiciona seus IPs a uma lista de permissões. Pesquisando mais, vimos que isso adiciona linhas ao arquivo .htaccess. Isso pode ficar muito pesado muito rápido, então não estamos muito satisfeitos com esse mecanismo de filtragem de tráfego.

Detecção de vulnerabilidade

O Wordfence era mais eficaz, mas o Bulletproof Security nem tinha esse recurso básico.

O Wordfence identificou corretamente os plug-ins desatualizados como ameaças médias e as vulnerabilidades como ameaças críticas. Infelizmente, o Wordfence também deu erros falsos positivos para iThemes e Backupbuddy, demonstrando sua tendência de gerar alertas falsos ocasionalmente.

É notável que o Bulletproof Security não tenha um recurso de segurança tão básico, considerando que até o iThemes oferece esse recurso.

Proteção de login de força bruta

O Wordfence possui segurança de login eficaz e personalizável . Bulletproof Security oferece um inútil.

A proteção de força bruta do Wordfence é habilitada por padrão e funciona de forma eficaz, bloqueando os usuários após um certo número de tentativas incorretas de login de acordo com a configuração definida na seção Firewall. Esta seção também oferece muitas opções de personalização, como configuração de bloqueios, limites de tempo para bloqueios e opções de gerenciamento de senha para impor senhas fortes e evitar violação de dados. Embora seja possível colocar IPs na lista de permissões, não temos certeza de sua eficácia devido aos IPs de dispositivos dinâmicos que podem resultar no bloqueio de usuários legítimos.

O recurso de segurança de login do Bulletproof Security adiciona um campo captcha simplista à tela de login, que deve ser inserido corretamente para evitar erros. No entanto, isso é muito básico e pode ser facilmente contornado, criando um ponto de atrito desnecessário para usuários legítimos.

Para piorar a situação, inserir detalhes aleatórios nos campos de nome de usuário e senha com o captcha correto na verdade preenche automaticamente o campo captcha na segunda vez, praticamente eliminando o pequeno obstáculo que foi criado inicialmente. É seguro dizer que esse recurso de segurança é completamente ineficaz.

Registro de atividade

Nenhum dos dois possui um log de atividades amigável, mas o Bulletproof Security possui um log de segurança para firewalls.

Ficamos surpresos ao descobrir que o Wordfence não possui um log de atividades, considerado um dos componentes de segurança mais essenciais. Há uma opção para habilitar a depuração na seção Diagnósticos no menu Ferramentas, mas isso apenas faz com que os logs do firewall se tornem mais detalhados, não o mesmo que um log de atividades. Após mais pesquisas, descobrimos que existe um log de atividades para eventos do Wordfence na seção Scan, no entanto, é apenas para fins de desenvolvimento e não é amigável.

O Bulletproof Security não oferece um log de atividades, apenas um log de segurança que registra a atividade do firewall.

Autenticação de dois fatores

O Wordfence oferece o recurso e o Bulletproof Security não.

A autenticação de dois fatores do Wordfence é simples de configurar e personalizar e era anteriormente um recurso premium, mas agora está acessível com o plug-in gratuito.

Se você adivinhou que o Bulletproof Security não fornece autenticação de dois fatores, acertou.

Uso de recursos do servidor

Ambos ocupam recursos do servidor, mas pelo menos o Wordfence fornece resultados.

A natureza intensiva de recursos do Wordfence era dolorosamente óbvia. Cada ação que ele executa em um site consome recursos do servidor, resultando em um aumento no uso do disco durante as verificações. Em nossos sites relativamente pequenos, isso fez com que o uso do disco dobrasse ou até triplicasse, o que afetou adversamente o tempo de carregamento, o tempo de resposta e a experiência geral do usuário.

As varreduras do Bulletproof Security consomem recursos, mas não sinalizam nenhum malware, tornando a situação ainda mais frustrante. Era quase esfregar sal em uma ferida.

Alertas

O Wordfence oferece muitos alertas. Bulletproof Security não tem alertas.

Com o Wordfence, havia um número impressionante de e-mails. Fomos inundados com alertas em um tempo muito curto, tornando-os inúteis, pois muitos alertas podem levar à inação quando necessário.

Dado que a verificação não foi capaz de detectar nenhum malware e a segurança do login foi um problema, não é de surpreender que não tenhamos recebido nenhum alerta. Afinal, o que haveria para nos alertar?

Instalação, configuração e usabilidade

O Wordfence é mais fácil de instalar e configurar. Bulletproof Security é confuso.

A instalação, configuração e uso geral do Wordfence estão entre os melhores que encontramos. Sua documentação inclui orientações sobre cada seção principal, fornecendo explicações abrangentes sobre as configurações e recursos mais importantes em uma linguagem fácil de entender.

Além disso, o Wordfence fornece ótimas recomendações para configuração e sua documentação está prontamente disponível por meio de dicas de ferramentas no painel, tornando-o altamente amigável. Cada recurso é explicado em detalhes e as instruções sobre como aplicá-lo ao seu site estão acessíveis sem demora.

O assistente de configuração do Bulletproof Security foi um pouco confuso, pois não é imediatamente evidente o que ele faz. Descobrimos que ele cria pastas e tabelas de banco de dados, adiciona plug-ins instalados ao arquivo .htaccess para criar uma lista de permissões, faz backup do banco de dados do site e ativa as configurações padrão. No entanto, ele não faz backup de nenhum arquivo que possa ser tão importante.

Além disso, a configuração mostrou apenas um item de linha azul ou vermelho nos informando que nosso arquivo .htaccess não está protegido. A interface é extremamente difícil de navegar e é carregada de termos obscuros sem explicação, tornando o processo de configuração uma confusão absoluta.

Extras

O Wordfence inclui uma seção de Notificações que indica quais plugins e temas precisam ser atualizados por serem considerados ameaças críticas ou médias.

Há também um painel do Wordfence Central que permite gerenciar vários sites na mesma conta e também possui uma seção de acompanhamento no wp-admin de cada site conectado. Em nossa opinião, esse recurso é de utilidade limitada para agências com centenas de sites gerenciados.

A seção Live Traffic registra e classifica o tráfego, e há uma opção de pesquisa “Quem é” para visualizar o invasor sem sair do wp-admin.

A seção Diagnóstico é particularmente interessante, pois oferece informações abrangentes sobre o site, dando aos desenvolvedores uma especificação do site em um só lugar.

O Bulletproof Security adiciona um grande número de opções de proteção ao arquivo .htaccess, algumas das quais são muito específicas, como o código de vulnerabilidade Timthumb e a proteção da pasta raiz e dos arquivos contra acesso. Não recomendamos adulterar o acesso aos arquivos principais do WordPress e achamos que usar um bom firewall é uma escolha melhor.

O que está a faltar?

Embora o Wordfence seja um plug-in de segurança impressionante, ele carece de proteção e de um log de atividades. O scanner é bastante avançado e supera a maioria dos outros plugins de segurança, exceto o MalCare. Apesar desses recursos ausentes, ainda é um plug-in de segurança excepcional.

Bulletproof Security carece de um scanner, segurança de login e, presumivelmente, recursos de firewall, embora isso seja uma especulação pouco caridosa de nossa parte.

Preços

A versão gratuita do Wordfence é bastante robusta e a taxa de assinatura anual de $ 99 é bastante razoável. Anteriormente, uma taxa adicional de limpeza de malware de US$ 490 era cobrada, além da taxa de assinatura de US$ 99. No entanto, com a introdução dos planos Care and Response, os clientes podem optar pelo plano Care desde o início. O plano Response oferece uma resposta garantida de 1 hora a um custo de $ 950 por ano por site, o que é extremamente benéfico no caso de um hack, pois o tempo é essencial. Isso torna o plano de cuidados um tanto inadequado.

Pelo pagamento único de apenas $ 69, você não pode obter segurança para o seu site WordPress – uma pechincha absoluta!

Como escolher um plugin de segurança que vale o seu dinheiro?

Com base em nosso amplo conhecimento de segurança do WordPress, compilamos uma lista abrangente de recursos essenciais para procurar em um plug-in de segurança. Omitimos todos os recursos que não estão diretamente relacionados à segurança para fornecer a você um guia conciso e informativo.

Recursos de segurança essenciais:

• Varredura de malware: esse recurso ajuda a detectar qualquer código, arquivo ou script malicioso que tenha sido adicionado ao site, alertando o usuário sobre possíveis ameaças.
• Limpeza de malware: ajuda a remover qualquer código malicioso que tenha sido detectado. Este é um passo crucial para manter o site seguro e protegido.
• Firewall: Ajuda a impedir que tráfego ou solicitações maliciosas cheguem ao site, além de impedir que possíveis ameaças entrem no site. Também ajuda a alertar o usuário sobre qualquer atividade suspeita, como tentativas de ataques de força bruta.

Recursos de segurança úteis:

• Detecção de vulnerabilidade: esse recurso ajuda a detectar possíveis vulnerabilidades no site que podem ser exploradas por hackers. É importante identificar essas vulnerabilidades e corrigi-las o mais rápido possível.
• Proteção de login de força bruta: esse recurso ajuda a bloquear qualquer tentativa de ataque de força bruta no site, que geralmente é usado por hackers para obter acesso ao site.
• Log de atividades: esse recurso ajuda a rastrear qualquer atividade suspeita no site, como solicitações maliciosas ou tentativas de login com falha, para que possam ser bloqueadas antes que causem danos.
• Autenticação de dois fatores: esse recurso ajuda a adicionar uma camada extra de segurança ao site, exigindo que o usuário insira um código adicional antes de acessar o site. Isso dificulta o acesso de hackers ao site.

Problemas potenciais:

• Impacto nos recursos do servidor: Este é um fator importante a ser considerado ao escolher um plug-in de segurança. Os plug-ins de segurança geralmente consomem muitos recursos, o que pode levar a tempos de carregamento lentos e outros problemas de desempenho.

Melhor alternativa para Wordfence e Bulletproof Security: MalCare

Com toda a honestidade, a melhor alternativa para o Wordfence e o Bulletproof Security é o MalCare, que é um plug-in de segurança abrangente com tudo o que você precisa e muito mais. Ele oferece a proteção de bot e o log de atividades que o Wordfece está perdendo e é muito mais confiável. Além disso, não esquecemos o banco de dados.

Pensamentos finais

Portanto, para finalizar, ao selecionar um plug-in de segurança do WordPress para o seu site, é essencial considerar os recursos de scanner, limpador e firewall, pois esses três recursos são a base de um plug-in confiável. Aqui na MalCare, nossa missão é fornecer segurança sem estresse e sem esforço, para que você possa se concentrar nos elementos essenciais do seu site enquanto garantimos sua segurança.

perguntas frequentes

Wordfence vale a pena?

Wordfence grátis é excelente pelo seu preço, que não é nada. As versões premium do Wordfence não são muito mais eficazes do que a versão gratuita.

A versão gratuita do Wordfence é boa o suficiente?

Sim, a versão gratuita do Wordfence é boa o suficiente para as necessidades básicas de segurança. Ele fornece um scanner, firewall e segurança de login, todos necessários para um site seguro.

O Wordfence deixa seu site lento?

Sim, o Wordfence pode tornar um site consideravelmente lento. É um plug-in de uso intensivo de recursos, consumindo recursos do servidor ao executar verificações e outras operações, levando a um aumento no uso do disco e potencialmente impactando o tempo de carregamento e o tempo de resposta.

Qual é a melhor alternativa ao Wordfence?

O MalCare é a melhor alternativa ao Wordfence, pois oferece uma gama abrangente de recursos e é muito mais confiável. Ele fornece proteção contra bots, um log de atividades e uma verificação de banco de dados que está faltando no Wordfence e também consome muito menos recursos.