Revisão do Wordfence: o bom, o mau e o seguro - MalCare
Publicados: 2023-04-07O Wordfence é uma opção popular e bem conceituada para manter seu site protegido contra hacks e malware. No entanto, com tantas opções disponíveis, pode ser difícil determinar qual delas é a mais adequada para suas necessidades.
É aí que eu entro. Eu reuni uma revisão abrangente do Wordfence para ajudá-lo a tomar uma decisão informada e se sentir confiante de que seu site é seguro. Você pode confiar que pesquisei e testei completamente o Wordfence para fornecer as informações mais precisas e atualizadas.
Então, sente-se e relaxe, sabendo que estou aqui para orientá-lo na direção certa para um site seguro.
A versão gratuita do WordFence é um plug-in de segurança realmente bom para proprietários de sites com orçamento zero para segurança. No entanto, há várias desvantagens, incluindo algumas lacunas de segurança. Eu recomendo fortemente o MalCare, que é muito mais confiável e eficaz para bloquear ameaças e proteger seu site contra malware.
Visão geral
O Wordfence é uma ótima opção para sites novos ou com baixo orçamento. É um dos melhores plugins de segurança gratuitos que testei, depois do MalCare, é claro. Embora possa não fornecer um escudo 100% contra ataques maliciosos, ele faz o melhor trabalho entre os outros.
No entanto, há algumas coisas que não gosto no Wordfence. Para começar, o scanner Wordfence só é confiável quando se trata de encontrar malware em determinadas seções do site. Ele pode procurar por malware nos arquivos principais e plugins e temas não premium, mas não detecta malware no banco de dados, que geralmente é um alvo de malware.
Além disso, os serviços de limpeza do Wordfence podem ser muito caros - insanamente caros, na verdade! Além disso, o firewall Wordfence carrega como qualquer outro plug-in, portanto, não é 100% eficaz no bloqueio de tráfego malicioso. Pior ainda, o firewall da versão gratuita só recebe atualizações após a versão premium, o que pode levar até 30 dias. Isso fornece tempo suficiente para os hackers explorarem quaisquer pontos fracos.
Outro problema com o Wordfence é que ele pode ter um grande impacto nos recursos do servidor. Sempre que uma verificação for executada, você notará uma redução significativa no desempenho do seu site. Na verdade, por esse motivo, alguns hosts da web o proíbem completamente. O Wordfence também carece de proteção contra bots, o que é obrigatório para qualquer solução de segurança de sites.
No geral, nesta revisão, fornecerei uma análise detalhada dos recursos, interface do usuário e eficácia geral do Wordfence com base em minha própria experiência e pesquisa.
Recursos críticos de segurança e Wordfence
Quando considero qualquer plug-in de segurança, há três recursos não negociáveis que sempre procuro: um scanner de malware, um limpador de malware e um firewall. Esses recursos estão no topo da minha lista ao determinar se o plug-in é uma escolha viável. Forneci informações abrangentes sobre esses três recursos e muito mais nesta seção.
Verificador de malware
O primeiro recurso que testei foi o scanner de malware. Muito depende do scanner, pois é a única maneira de descobrir se o seu site tem malware ou não.
A primeira varredura levou cerca de 20 minutos. Inicialmente, parecia que a varredura não havia terminado, mas descobriu-se que os 60% não eram uma barra de progresso, mas uma representação de qual porcentagem do site a versão gratuita varrerá.
Realizei outra varredura e, desta vez, terminou muito mais rápido. A segunda varredura encontrou uma grande parte do malware presente no site de teste invadido. Ele detectou o malware nos arquivos do site, mas não o malware do banco de dados. Isso é um problema, pois o malware baseado em banco de dados é um problema muito real e perigoso.
O scanner também sinalizou alguns erros com os plug-ins iThemes e BackupBuddy instalados no site. Estes eram falsos positivos.
O segundo item de linha nos resultados da verificação foi um apelo à ação para usar a versão premium para limpar o malware. Se você estiver usando a versão gratuita, há algumas coisas que você pode fazer se seu site for invadido, mas elas são arriscadas. Falarei sobre isso na próxima seção.
Remoção de malware
A versão gratuita do plug-in me deu duas opções: excluir todos os arquivos deletáveis e reparar todos os arquivos reparáveis.
Posso assegurar-lhe que excluir um arquivo sem cuidado é garantia de travamento do seu site. Vou assumir que o Wordfence sabe quais arquivos são importantes para WordPress, temas gratuitos e plugins, mas não para muito mais. Decidi usar a opção de exclusão primeiro e ela se livrou de um arquivo com sucesso, mas com um aviso sobre como a exclusão de arquivos pode danificar seu site. Este será um aviso terrível para qualquer pessoa que esteja tentando limpar malware de um site ativo.
Então, mudei para a opção de reparo e consegui reparar a maioria dos arquivos com malware. Verifiquei o site novamente com o scanner do MalCare e estava livre de malware. Portanto, foi muito bom em limpar o malware que reconheceu. Se os desenvolvedores do Wordfence souberem de malware, eles poderão reparar os arquivos e removê-los. Infelizmente, isso significa que eles não podem remover malware recém-descoberto.
Também ficou claro que o plug-in Wordfence não é capaz de lidar com malware que está no banco de dados. Assim como o scanner, ele também não remove malware de arquivos não essenciais do WordPress ou plugins e temas premium.
Há também uma chamada à ação para entrar em contato com o serviço de remoção do Wordfence. Isso vem junto com os pacotes Response and Care, sobre os quais falarei mais adiante neste artigo. Com total transparência, não testei este serviço.
Firewall
Configurar o firewall do Wordfence foi uma tarefa um pouco assustadora. As regras de firewall e as regras de varredura podem ser esmagadoras para alguém que não entende de tecnologia. Um desenvolvedor que sabe quais IPs colocar na lista branca ou na lista negra pode ter mais sorte, mas o usuário médio pode não ter.
Há também uma seção separada para o firewall Wordfence. Ele também apresenta o termo Web Application Firewall. Aqui, eles descrevem rapidamente o que é um firewall e o que ele faz.
Também descobri que é recomendável manter o modo de aprendizado ativo por uma semana antes de ligá-lo. Isso ocorre porque os firewalls exigem tráfego ao vivo para aprender, para que possa reduzir a chance de o firewall bloquear o tráfego legítimo. Não fazia sentido deixar o modo de aprendizado em meus sites de teste, pois não havia tráfego para eles, então entrei nas opções e mudei o status para 'habilitado e protegendo'. O firewall protege seu site de forma eficaz contra a maioria das ameaças.
Esta página também explica a diferença entre as versões gratuita e premium. Para começar, a versão gratuita do plug-in é carregada como um plug-in regular após o carregamento do WordPress, o que é apenas um pouco eficaz. Idealmente, um firewall deve carregar antes do WordPress para bloquear todo o tráfego malicioso.
Aqui está outra situação de boas e más notícias. A boa notícia é que o Wordfence tem o firewall mais atualizado. A má notícia é que a versão gratuita é atualizada após a versão premium. Qualquer atraso pode fazer com que seu site seja atacado por malware. Então, isso não é o ideal.
Recursos de segurança úteis
Um bom plug-in de segurança não apenas fornecerá um firewall eficaz e um sistema de verificação de malware para proteger seu site WordPress, mas também vários recursos de segurança secundários para aprimorar a proteção do seu site. Isso inclui um log de atividades, detecção de vulnerabilidade, autenticação de dois fatores e proteção de login. Nesta seção, examinarei mais de perto esses recursos de segurança secundários do Wordfence e explorarei como eles funcionam.
proteção de login
Quando se trata de proteção de login, o Wordfence protege você. A proteção contra força bruta está na seção do firewall e é habilitada por padrão. Você pode acessar as configurações para personalizar o conjunto robusto de opções. Você pode definir bloqueios para tentativas incorretas de login e até mesmo quanto tempo um usuário ficará bloqueado após um determinado número de tentativas incorretas de login. Eles também fornecem ótima documentação sobre o que cada opção faz e como usá-la com mais eficiência para proteger o site.
Você também pode definir uma lista de permissões para IPs que não devem ser testados pelo firewall. Isso é de valor limitado, porque você descobrirá que os IPs do seu dispositivo mudarão.
Além disso, existem opções que podem impor senhas fortes, impedindo o uso de senhas encontradas em violações de dados e muito mais. A proteção de força bruta funciona exatamente de acordo com suas configurações, para que você possa ter certeza de que seu site é seguro.
Detecção de vulnerabilidade
A digitalização com o Wordfence revelou alguns plug-ins desatualizados como uma ameaça média. É sempre bom manter tudo atualizado, então esse foi um bom lembrete.
Os plugins com vulnerabilidades descobertas também foram sinalizados corretamente como ameaças críticas, mesmo para plugins obscuros com menos de 200 usuários. É ótimo ver que o Wordfence pode detectar essas vulnerabilidades, como muitos dos outros plugins que testei não conseguiram.
Infelizmente, não há como corrigir as vulnerabilidades do painel do Wordfence. A maioria dos outros plugins, como Jetpack e Sucuri, recomendam atualizações e permitem que você as execute no mesmo painel. No Wordfence, ele o levará ao painel de atualizações. Teria sido um recurso útil.
Autenticação de dois fatores
Proteger contas com autenticação de dois fatores é uma medida de segurança muito popular, mas pode ser um pouco trabalhoso de configurar. No Wordfence, costumava ser um recurso premium habilitar esse recurso em seu site WordPress, mas agora é gratuito. Além disso, é superfácil de configurar e você pode personalizar várias opções e habilitar o recaptcha para adicionar uma camada extra de proteção.
Você também pode usar a autenticação de dois fatores em sua conta do Wordfence. Isso pode ser útil para proteger sua conta, especialmente se você estiver gerenciando vários sites.
Registro de atividade
Se você está procurando um log de atividades no Wordfence, ele não está prontamente disponível, mas você pode habilitar a depuração na seção Diagnóstico em Ferramentas. Isso fornecerá logs mais detalhados, embora não sejam iguais a um log de atividades completo.
Há um log de verificação, mas parece ser mais para desenvolvedores do Wordfence. Esteja ciente de que ativar o modo de depuração consumirá mais recursos do servidor, conforme indicado no diagnóstico.
Instalação e configuração do Wordfence
Quando se trata de gerenciar a segurança do seu site WordPress, a usabilidade é tão importante quanto os próprios recursos de segurança. Quanto mais fácil for instalar e configurar um plug-in de segurança, melhor. Eu queria ter certeza de que o plug-in é fácil de usar e amigável para iniciantes, para que qualquer pessoa possa usá-lo para proteger seu site WordPress.
Instalação
Instalar o Wordfence é muito fácil; é como qualquer outro plugin. Além disso, ele usa um firewall de aplicativo de site, para que você não precise se preocupar com configurações de DNS às quais talvez não tenha acesso. Nenhuma chave de API é necessária e não há necessidade de mexer no código do seu site. Configurar o Wordfence é como qualquer outro produto da web, e você poderá ver seu site no painel externo imediatamente.
Fácil de usar
O Wordfence é fácil de usar, com dicas de ferramentas claras e links para documentação sempre que necessário. A documentação é altamente contextual e útil, explicando claramente o que cada recurso faz, como configurá-lo e por que é necessário. Você não precisa se preocupar em como escanear ou configurar um firewall, e o Wordfence cuida da maioria dos aspectos de segurança para você.
No entanto, se seu site for invadido, você terá que decidir como remover o malware. Existem opções automatizadas, mas o serviço de remoção especializado fornecido pelo Wordfence não está incluído na versão gratuita.
Notificações e alertas
Evitamos plug-ins que nos enviam muitos e-mails e, infelizmente, o Wordfence é um deles.
Descobrir quantos alertas de segurança são demais e quantos são adequados pode ser complicado, mas importante. Você deseja ser notificado sobre quaisquer ameaças críticas que precisem de sua atenção, porque quanto mais você as deixa sem solução, pior elas se tornam.
O Wordfence envia muitos alertas, mas personalizá-los pode ser difícil. Além disso, depois que sua caixa de entrada foi inundada algumas vezes por causa de um ataque de força bruta, você pode acabar ignorando todos os alertas. Isso é basicamente como não ter nenhum, então isso pode ser um problema maior do que parece.
Wordfence central
Se você tiver vários sites WordPress na mesma conta, o WordFence Central facilita o gerenciamento a partir do wp-admin de cada site. Mas se você for uma agência com centenas de sites, o espaço limitado não funcionará. Mas, felizmente, tem um painel externo.
Consegui adicionar todos os nossos sites de teste e ter uma visão geral de todos os nossos sites. Basta criar uma conta no WordFence e você poderá adicionar todos os seus sites. Pode ficar um pouco lotado com mais de 20 sites, mas ainda é uma ótima maneira de ter uma visão geral.
Outros fatores a considerar
Antes de usar o Wordfence, existem alguns outros fatores a serem considerados. Embora o Wordfence seja uma poderosa ferramenta de segurança, é o melhor plugin de segurança?
Impacto nos recursos do servidor
O Wordfence é um grande consumidor de recursos e adiciona muito inchaço ao seu site. Cada varredura executada torna seu site totalmente lento, e alguns hosts da Web até o banem por esse motivo.
Em meus sites de tamanhos diferentes, o uso do disco dobrou quando o Wordfence começou a executar suas varreduras. Isso pode não ser grande coisa para sites pequenos, mas para aqueles que usam muitos recursos, mas é um salto significativo. Além disso, se você fizer alterações nas configurações padrão, o Wordfence avisa que consumirá ainda mais recursos do servidor.
Além disso, se você olhar no log de atividades, poderá até ver quanta memória foi usada para cada verificação. Mas essa não é a pior parte: o firewall também é executado nos recursos do seu site, portanto, se o seu site for atingido por um ataque contínuo, você poderá ter problemas, mesmo que esteja protegido contra essas explorações.
Ajuda e suporte
Se você estiver usando a versão gratuita do Wordfence, prepare-se para ficar por conta própria; sem suporte para você! Você estará contando com o fórum para obter ajuda, o que pode ser um pouco chato. Agora, se você estiver usando a versão premium, terá acesso ao suporte, mas mesmo assim pode ser um pouco imprevisível. Já vi muitas reclamações em sites de avaliação, então fique atento.
Preços
A versão gratuita do Wordfence não é ruim, mas não é exatamente a melhor segurança que você pode ter para o seu site. Se você deseja atualizar para a versão premium, está pagando no máximo US $ 99 por site e fica mais barato quanto mais licenças você compra.
No passado, a limpeza de malware custaria $ 490 extras, mas agora está incluída em um plano de assistência pelo mesmo preço por ano. Dito isso, você ainda não deve esperar um tempo de resposta rápido para quaisquer problemas que tenha, e o tempo de resposta de 1 hora vem apenas com o plano de $ 950 por ano; o que é um pouco caro, se você me perguntar.
Quais são as melhores alternativas ao Wordfence?
Mencionei que o Wordfence tem a melhor versão gratuita que já testei. Mas, se você não é vendido no Wordfence, não se preocupe, existem muitos outros plugins de segurança por aí que podem fornecer a proteção que você está procurando.
- MalCare: MalCare é a melhor alternativa ao Wordfence, especialmente em termos de oferecer proteção superior para o seu site. O scanner MalCare é mais preciso que o Wordfence e a limpeza automática é muito mais fácil de usar. O firewall também é mais confiável.
Se o seu site for invadido, um plano MalCare inclui remoção ilimitada de malware por especialistas em segurança. O MalCare detecta mais vulnerabilidades do que o Wordfence e apenas o notifica em emergências. Ele faz tudo isso sem afetar os recursos do servidor.
- Sucuri: Sucuri é um peso pesado no espaço de segurança do WordPress. Se você está procurando por remoção ilimitada de malware, a Sucuri tem o que você precisa; todos os seus planos pagos vêm com ele. O problema é que o scanner não é tão bom, então você precisa saber que há malware em seu site antes de usar o recurso de remoção. No lado positivo, o preço é muito melhor do que o Wordfence, então isso é definitivamente um bônus.
Como escolher um plugin de segurança para WordPress?
Escolher o plug-in de segurança certo para o seu site pode ser uma tarefa assustadora. Com tantas opções disponíveis, pode ser difícil saber qual é o melhor para suas necessidades. Nesta seção, discutirei os recursos que você deve considerar ao selecionar um plug-in de segurança, como recursos de verificação, remoção de malware, firewalls e muito mais.
Recursos de segurança cruciais
- Varredura de malware: o malware vem em várias formas e há diferentes maneiras de escaneá-lo. Uma maneira é a correspondência de assinaturas, que compara o código do malware com um banco de dados de assinaturas de malware conhecidas. Isso é tão confiável quanto o banco de dados de assinaturas, que precisa ser atualizado regularmente para garantir sua precisão. Mesmo assim, nunca é 100% garantido que todos os malwares serão detectados, já que os desenvolvedores podem nem saber sobre as ameaças mais recentes ainda.
- Remoção de malware: remover malware do seu site pode ser um processo complicado. Em alguns casos, você pode excluir os arquivos que foram adicionados pelo malware ou reparar os arquivos do site que foram afetados. Para casos mais complicados, pode ser necessário falar com um especialista em segurança para remover completamente o malware. Muitos plugins de segurança oferecem a remoção de malware como um recurso premium, então vale a pena dar uma olhada se precisar de ajuda.
- Firewall: Um firewall é uma ferramenta que ajuda a proteger seu site contra software malicioso e hackers. Um bom firewall filtrará o tráfego indesejado ou necessário, permitindo a passagem do tráfego legítimo. Um firewall deve ser atualizado regularmente para garantir que as medidas de segurança mais recentes estejam em vigor.
Outras características
- Detecção de vulnerabilidade: A maioria das tentativas de hacking ocorre devido a vulnerabilidades em seu sistema. Um scanner de vulnerabilidade pode ajudá-lo a identificar e corrigir rapidamente quaisquer falhas de segurança em seu site, para que você possa ter uma configuração de segurança robusta. Isso o torna um recurso de segurança muito importante.
- Autenticação de dois fatores: a autenticação de dois fatores (2FA) é uma camada adicional de segurança usada para proteger as contas de usuário contra acesso não autorizado. Funciona exigindo dois métodos diferentes de autenticação antes de permitir que um usuário faça login. Com 2FA, os usuários precisam fornecer algo que conheçam (como um nome de usuário e senha), bem como algo que possuam (como um telefone ou token de segurança). Isso ajuda a manter suas contas protegidas contra hackers e outros agentes mal-intencionados. Este é um bom recurso de segurança para se ter.
- Proteção de login: os hackers geralmente tentam invadir a área de administração do WordPress adivinhando aleatoriamente seu nome de usuário e senha. Para fazer isso, eles criaram programas automatizados que ficam testando diferentes combinações até acertar. Isso é chamado de ataque de força bruta. Para se proteger disso, você deve instalar um plug-in que tenha recursos de proteção de login.
- Registro de atividades: se você deseja garantir que seu site seja seguro e protegido, é importante ficar de olho em todas as alterações que acontecem nele. Dessa forma, você pode identificar qualquer comportamento suspeito ou ataque malicioso e cortá-lo pela raiz. É por isso que um registro de atividades é tão importante. Isso ajudará você a monitorar tudo e identificar qualquer evento de segurança rapidamente.
Problemas potenciais
- Impacto no servidor: cada ação em seu servidor consome seus recursos, o que pode tornar seu site lento se houver muita coisa acontecendo. Os plug-ins de segurança que realizam varreduras, por exemplo, ocuparão muitos recursos do servidor, como o Wordfence. Por outro lado, o MalCare faz suas varreduras em seu próprio servidor, para não consumir o seu. Isso é definitivamente uma vantagem. Procure plug-ins que não usam os recursos do servidor.
Pensamentos finais
Wordfence é uma escolha decente, mas se você estiver procurando por proteção pesada, o prêmio MalCare é o caminho a percorrer. Pode custar um pouco mais, mas vale a pena pela proteção abrangente que oferece. Não deixe seu site aberto a possíveis ameaças; invista na melhor proteção possível.
Perguntas frequentes
O Wordfence é bom?
O Wordfence tem uma versão gratuita incrível que oferece ao seu site um bom nível de proteção. O scanner geralmente é bom para manter as ameaças afastadas, embora não verifique o banco de dados. O firewall está sempre atualizado e faz um ótimo trabalho protegendo você de qualquer coisa maliciosa. Mas o firewall gratuito é atualizado após o premium. Se você encontrar algo malicioso, livrar-se dele pode ser complicado e pode exigir a atualização para um plano mais caro.
O Wordfence é um bom plugin?
Diríamos que o Wordfence tem ótimos recursos, mas vem com suas falhas. A versão gratuita é a melhor que já vi. O scanner é muito bom, mas não leva em consideração o malware baseado em banco de dados. O firewall está bem atualizado, mas a versão gratuita é atualizada depois do premium, deixando uma janela de oportunidade para os hackers. Ele também possui um recurso de reparo de arquivo muito bom, mas a remoção especializada é cara.
Quão seguro é o Wordfence?
Wordfence é uma ferramenta de segurança confiável que fornece um bom nível de segurança para sites. O recurso de scanner é bom e oferece um bom nível de proteção, embora não verifique o banco de dados. O firewall está bem atualizado e oferece boa proteção contra ataques maliciosos. No entanto, a remoção de código malicioso ou malware pode ser complicada ou requer uma atualização de plano cara.
Qual é melhor: Sucuri ou Wordfence?
A Sucuri oferece vantagens sobre o Wordfence em algumas áreas, como consumir menos recursos no site. No entanto, seu recurso de scanner não é tão bom quanto o Wordfence, e o serviço de remoção de malware tem um preço mais razoável. Por outro lado, a proteção do firewall não é tão boa quanto com o Wordfence.
O WordFence protege efetivamente contra a maioria dos ataques/hacks?
Ele pode ajudar a prevenir os ataques mais comuns, como logins de força bruta, bloqueio de uploads de arquivos maliciosos, injeções de SQL, etc., mas não pode impedir completamente todos os bots e o firewall também pode bloquear usuários legítimos.