Wordfence vs All-In-One WP Security: Qual é o melhor plugin de segurança?

Publicados: 2023-04-07

Você está executando um site e está começando a ficar muito popular. Você tem ouvido falar sobre ameaças à segurança e está preocupado com a saúde do seu site. Você decide obter um plug-in de segurança para ajudar a gerenciar a saúde do seu site e protegê-lo contra ataques. Mas qual você escolhe? Existem tantos plugins de segurança para escolher? Quando se trata de algo tão crucial quanto a segurança, você não pode simplesmente escolher qualquer plug-in.

Wordfence é um nome que continua aparecendo quando se trata de plugins de segurança de sites. É uma escolha popular, oferecendo aos usuários uma variedade de recursos projetados para proteger seus sites contra ameaças maliciosas. Mas o Wordfence é o plugin de segurança certo para você? Quais recursos faltam?

O All-In-One Security é um plug-in de segurança e software anti-spam altamente classificado e elogiado por sua ampla gama de recursos. Ele não apenas fornece todos os recursos de segurança de um plug-in de segurança, mas também possui muitos recursos de proteção para garantir que seu site seja o mais seguro possível. Mas como ele se compara aos seus concorrentes? Faz jus à sua reputação?

Não somos fãs do All-In-One Security, pois falta um limpador e é essencialmente apenas um anti-spam glorificado e plug-in de proteção; O Wordfence é sem dúvida a melhor opção. O melhor plugin de segurança para WordPress não é o Wordfence nem o All-in-One Security; é MalCare.

Quando se trata de segurança do WordPress, há uma variedade de plugins para escolher. Dois dos mais populares são All-In-One Security e Wordfence. Neste artigo, comparamos como os dois plug-ins lidam com importantes ações de segurança, como instalar um firewall ou remover malware. Continue lendo para saber mais sobre as diferenças entre esses dois plugins de segurança e por que achamos que o Wordfence é melhor.

Visão geral: Wordfence vs. All-In-One Security

Wordfence e All-In-One Security são plugins de segurança para WordPress com versões gratuitas e premium, mas possuem diferenças significativas.

O Wordfence possui um mecanismo de detecção de correspondência de assinatura que pode detectar entre 70 a 80% do malware e um firewall que impede a entrada de ameaças, mas a versão gratuita é atualizada posteriormente à versão premium.

O All-In-One Security possui recursos anti-spam e um recurso de autenticação de dois fatores, mas a versão gratuita não possui um scanner para verificar se o site foi invadido, detecção de vulnerabilidade ou limpador de malware. O firewall depende fortemente do arquivo .htaccess, que só pode bloquear certas categorias de bots ruins.

No geral, o Wordfence parece ser um plug-in de segurança mais abrangente, enquanto o All-In-One Security é mais focado em recursos anti-spam.

Wordfence em poucas palavras

Wordfence é um plugin de segurança gratuito e abrangente para WordPress.

segurança Wordfence

Seu mecanismo de detecção de correspondência de assinatura pode detectar entre 70 a 80% do malware, embora perca a maioria dos malwares baseados em banco de dados. Seu firewall faz um bom trabalho para impedir a entrada de ameaças, mas vale a pena notar que a versão gratuita é atualizada muito depois da versão premium. Além disso, é importante verificar com seu host da Web se o Wordfence é permitido em seu site, pois pode ser um devorador de recursos, levando muitos hosts a bani-lo completamente de seus servidores.

Segurança All-In-One em poucas palavras

All-In-One Security tem alguns recursos positivos. Para começar, ele possui recursos anti-spam, um recurso de autenticação de dois fatores e um recurso de login limitado, sem carga no servidor do site ou alertas excessivos.

Segurança e firewall tudo-em-um

Infelizmente, os contras superam os prós: a versão gratuita não possui um scanner para verificar se seu site foi invadido e não há detecção de vulnerabilidade ou limpador de malware. Além disso, o firewall depende muito do arquivo .htaccess, que só parece ser capaz de bloquear certas categorias de bots ruins. Só podemos recomendar o All-In-One Security por seus recursos anti-spam, embora prefiramos CleanTalk ou Akismet para eles.

Os recursos de proteção são bons, mas nada que não possa ser facilmente alcançado com um plugin menor. Achamos que o All-In-One Security é bastante semelhante ao iThemes, pois a infinidade de configurações no wp-admin parece estar tentando obscurecer o fato de que o plug-in carece de substância real.

Comparação frente a frente dos recursos de segurança: Wordfence vs All-In-One WP Security

Nesta seção, compararemos como os dois plug-ins se comparam em termos de recursos de segurança importantes, como detecção de malware, autenticação de dois fatores, proteção de segurança e uso de recursos.

Verificação de malware

Qualquer coisa com menos de 95% de detecção de malware não é boa, mas pelo menos o Wordfence gratuito é um pouco eficaz. O All-In-One Security não possui um scanner em seu plug-in gratuito.

O scanner gratuito do Wordfence é apenas 60% eficaz, o que não é o ideal. As varreduras são concluídas rapidamente, pois o Wordfence usa correspondência de assinatura para detectar malware, comparando o código em seu site com um enorme banco de dados de assinaturas de malware. Eles fazem um ótimo trabalho em manter seu banco de dados de assinaturas atualizado; no entanto, ele não pode detectar ataques de dia zero.

Verificação de malware do Wordfence

Além disso, a correspondência de assinatura só é eficaz contra malware baseado em arquivo e não pode detectar malware no banco de dados. Descobrimos que ele detectou apenas 70-80% do malware e produziu falsos positivos para inicializar. Por fim, o scanner só é capaz de detectar malware em plugins e temas de código aberto ou gratuitos, pois depende de código disponível publicamente para comparação. Plugins e temas premium não são incluídos na verificação.

Verificador de malware Wordfence

Ficamos surpresos ao saber que a verificação de malware é um recurso premium do All-In-One Security. Pelo lado positivo, as varreduras são realizadas em seus servidores, e não em seu próprio site.

Limpeza de malware

O recurso de remoção de malware do Wordfence é mediano, mas pelo menos existe. Não é assim com o All-In-One Security.

O Wordfence oferece duas opções automatizadas de remoção de malware: excluir todos os arquivos deletáveis ​​e reparar todos os arquivos reparáveis. Se for necessária uma limpeza mais profunda, o Wordfence também oferece um serviço de limpeza especializado.

Testamos ambas as opções automatizadas e descobrimos que elas foram bem-sucedidas na remoção do malware de nosso site; no entanto, tivemos que proceder com cautela devido aos avisos de possível interrupção do site. Infelizmente, o scanner não conseguiu detectar nenhum malware de banco de dados ou malware encontrado em plug-ins premium, então o reparo automático não era uma opção.

Infelizmente, o All-In-One Security não oferece um recurso de limpeza de malware ou mesmo um serviço de limpeza recomendado. A única orientação que eles fornecem é um conselho, que está longe de ser satisfatório. Para um plugin de segurança, isso é extremamente decepcionante.

Firewall

O firewall gratuito do Wordfence deixa muito a desejar. O firewall do All-In-One Security é à prova de bots de spam, mas pouco mais.

O firewall do Wordfence começa no modo de aprendizado, que o Wordfence sugere deixar por uma semana para se tornar mais eficaz. No entanto, devido à falta de tráfego ao vivo em nossos sites de teste, decidimos desativá-lo imediatamente.

Firewall Wordfence

Ele bloqueia ataques online com sucesso, embora o firewall gratuito seja apenas 35% eficaz, de acordo com o painel. Analisamos por que esse pode ser o caso e encontramos duas explicações possíveis.

Proteção Wordfence ativada

Em primeiro lugar, o firewall gratuito é carregado como um plug-in após o núcleo do WordPress, o que significa que ele só pode se defender de algum tráfego malicioso, não de todos. Em segundo lugar, a versão premium do Wordfence recebe atualizações em tempo real, enquanto a versão gratuita as obtém após um período de tempo desconhecido, possivelmente deixando uma janela de vulnerabilidade para hackers. Está claro pela própria avaliação do Wordfence que o firewall gratuito não é tão eficaz quanto a versão premium.

O All-In-One Security possui um recurso semelhante ao firewall que pode interromper alguns bots, spam, logins de força bruta e raspadores e bloquear o acesso a determinados arquivos. No entanto, esses recursos não constituem um firewall real. O firewall parece depender amplamente do arquivo .htaccess para operações, que é uma ferramenta poderosa, mas não adequada para o trabalho de um firewall.

No painel, você pode colocar na lista negra endereços IP e agentes de usuário para proteger seu site. Para ativar o bloqueio geográfico, você deve atualizar o plug-in.

Detecção de vulnerabilidade

A detecção de vulnerabilidade no Wordfence funciona imediatamente e é muito confiável. O All-In-One Security apresenta isso como um recurso premium, como parte de seu scanner.

O Wordfence nos alertou com precisão sobre todos os plug-ins desatualizados como ameaças médias e sinalizou corretamente as vulnerabilidades como ameaças críticas.

Parece que a detecção de vulnerabilidade está disponível apenas no recurso de verificação premium do All-In-One Security. Portanto, a partir de agora, não há detecção de vulnerabilidade disponível.

proteção de força bruta

O Wordfence possui uma ótima proteção contra força bruta, enquanto o All-In-One Security possui um recurso notavelmente sofisticado com muitos sinos e assobios agradáveis.

A proteção de força bruta é habilitada por padrão no Wordfence e funciona de forma eficaz todas as vezes, bloqueando usuários com muitas tentativas incorretas com base na configuração definida no painel. As configurações podem ser encontradas na seção de firewall e há muitas opções para personalizar, como o tempo de bloqueio para tentativas incorretas de login. O Wordfence explica claramente cada uma dessas configurações e fornece ampla documentação.

Também é possível definir opções de gerenciamento de senha aqui, como aplicar senhas fortes e impedir o uso de senhas descobertas em uma violação de dados. É possível colocar IPs na lista de permissões nesta seção, no entanto, não temos certeza sobre sua eficácia, pois os IPs do dispositivo podem ser dinâmicos, o que significa que um usuário legítimo ainda pode ser bloqueado.

All-In-One Security oferece uma variedade de configurações para evitar força bruta na tela de login do usuário e usamos os valores padrão recomendados para testar o recurso. Testamos senhas incorretas com nomes de usuário existentes e nomes de usuário incorretos e o bloqueio funcionou sem problemas.

É possível ajustar as configurações de acordo com as preferências de cada um e, no geral, esse recurso é uma das melhores versões que vimos para limitar os logins.

Além disso, há um conjunto separado de alternâncias especificamente para prevenção de força bruta, uma das quais é a capacidade de alterar a URL de login. Esta é uma medida de endurecimento disfarçada de prevenção de força bruta. Além disso, existe uma opção de honeypot, visível apenas para bots, que pode ser habilitada para rejeitar automaticamente registros que caiam na armadilha do honeypot. Esse recurso é para evitar registros de spam.

Registro de atividade

Nenhum dos plug-ins possui um log de atividades.

Ficamos surpresos ao descobrir que o Wordfence não possui um log de atividades, pois é um componente crucial da segurança do site. Há uma opção para habilitar a depuração na seção Diagnóstico do menu Ferramentas, mas isso faz com que os logs do firewall se tornem mais detalhados, não um log de atividades. Por meio de uma extensa pesquisa, conseguimos localizar um log de atividades especificamente para eventos do Wordfence na seção Scan. No entanto, é um log bruto, presumivelmente criado apenas para desenvolvedores do Wordfence.

Infelizmente, o AIOS não possui um log de atividades, apenas um log de login incompleto.

autenticação de dois fatores

Tanto o All-In-One Security quanto o Wordfence possuem recursos 2FA decentes.

A autenticação de dois fatores do Wordfence é fácil de configurar e personalizar com uma variedade de opções. Costumava ser um recurso premium, mas agora também está incluído no plug-in gratuito.

O All-In-One Security oferece a capacidade de configurar a autenticação de dois fatores (2FA) para todos os tipos de usuários ou escolher as contas que são mais importantes para proteger.

Essa alternância adiciona 2FA como uma opção no perfil do usuário, permitindo que o usuário o habilite se desejar.

Existem várias opções que o usuário pode escolher, dependendo do mecanismo que melhor lhe convier. Em suma, o All-In-One Security 2FA é um recurso abrangente.

Uso de recursos do servidor

Wordfence é uma praga em um servidor do site. O All-In-One Security, por outro lado, mal usa recursos, já que na verdade não verifica o site na versão gratuita.

O Wordfence pode consumir muitos recursos, pois cada ação executada em um site consome recursos do servidor. Isso pode levar a um aumento no uso do disco durante as verificações, o que pode fazer com que o uso do disco duplique ou até triplique, afetando negativamente o tempo de carregamento, o tempo de resposta e a experiência do usuário, mesmo em sites relativamente pequenos.

All-In-One Security é muito suave no servidor do site, pois não há varredura disponível na versão gratuita. Além disso, você pode evitar hotlinking habilitando a configuração na seção de firewall. Isso impedirá que as pessoas usem ativos armazenados no servidor do site em seu próprio site, o que pode consumir o espaço do servidor.

Alertas

Wordfence irá bombardeá-lo com alertas. Com o All-In-One Security, você pode personalizar os que deseja receber.

Com o Wordfence, fomos rapidamente soterrados por e-mails e alertas. Infelizmente, isso os torna inúteis porque muitos alertas podem levar à inação quando necessário.

O All-In-One Security possui um número razoável de alertas, como usuários bloqueados, e você pode personalizar quais alertas deseja receber. No entanto, isso não chega nem perto da abundância de alertas oferecidos pelo Wordfence.

Instalação, configuração e usabilidade

O Wordfence tem a melhor instalação e configuração que já vimos. Mesmo a Segurança All-In-One foi fácil em comparação com algumas das outras UIs horrendas que vimos.

A instalação, configuração e uso geral do Wordfence são altamente elogiados por muitos. Sua documentação inclui orientações passo a passo em cada seção principal, fornecendo explicações detalhadas das configurações e recursos mais importantes em uma linguagem fácil de entender.

Além disso, o Wordfence fornece ótimas recomendações para configuração e a documentação está disponível por meio de dicas de ferramentas no painel, tornando-o muito fácil de usar. Cada recurso é explicado em profundidade e as instruções sobre como aplicá-lo ao seu site podem ser acessadas instantaneamente.

A instalação e ativação do All-In-One Security foi relativamente simples em comparação com a bagunça que era a IU do Bulletproof Security.

No entanto, como o MalCare já estava instalado no site, não conseguimos configurar automaticamente o firewall e tivemos que editar o código no terminal para substituir o firewall MalCare pelo firewall All-In-One Security.

O All-In-One Security possui um sistema de pontuação para determinar a segurança do nosso site. A pontuação de 0/505 no site foi uma surpresa dolorosa, porém, esse sistema ajuda a entender o status do site. Para aumentar a segurança e obter melhores pontos, é preciso habilitar os recursos básicos de segurança em cada uma das opções do menu de configurações.

Extras

O Wordfence oferece uma seção de Notificações para indicar quais plugins e temas precisam ser atualizados por serem considerados ameaças críticas ou médias.

Além disso, o painel do Wordfence Central permite gerenciar vários sites na mesma conta; no entanto, isso pode não ser muito útil para agências com centenas de sites gerenciados.

A seção Live Traffic registra e classifica o tráfego e até oferece uma pesquisa “Quem é” para visualizar o invasor sem sair do wp-admin.

Por último, mas não menos importante, a seção Diagnóstico oferece informações abrangentes sobre o site em um só lugar, tornando-o uma ferramenta inestimável para desenvolvedores.

All-In-One Security oferece backups parciais do banco de dados do site, arquivo .htaccess e arquivo wp-config, o que é uma ótima ideia. Mas esses backups não são suficientes para reconstruir um site destruído por conta própria. Plugins e temas podem ser modificados significativamente e não fazer backup deles pode levar a erros caros. Para garantir que seu site esteja totalmente protegido, faça um backup explícito e salve-o em seu dispositivo.

Além disso, o arquivo .htaccess não muda com frequência, mas o banco de dados certamente muda. Um backup automático seria a maneira mais eficaz de proteger seu site, pois as pessoas podem nem estar cientes das alterações no banco de dados.

Embora o All-In-One Security inclua algumas configurações de proteção, elas podem não ser tão eficazes na proteção de um site quanto alguns podem supor. Por exemplo, remover a versão do WordPress não impedirá a vulnerabilidade, pois atualizar o WordPress é a única maneira de se manter seguro.

Além disso, tentar ocultar o nome de usuário do administrador não interromperá os ataques de força bruta, pois eles ainda consomem recursos do servidor. A ferramenta de senha do All-In-One Security pode ser útil para criar uma senha forte, no entanto, alterar o prefixo do banco de dados e alterar as permissões de arquivo são medidas ineficazes. Desativar o acesso ao XML-RPC é um recurso útil, mas a detecção de alteração de arquivo tem uso limitado.

Ser capaz de alterar as permissões de arquivo teria sido um recurso útil se não fosse tão inútil. Você só pode alterar as permissões de arquivo para determinados arquivos e pastas e apenas pode alterá-los para as permissões recomendadas pelo AIOS. Fale sobre tornar um recurso à prova de idiotas e torná-lo completamente inútil.

É interessante observar que os registros de usuários em um site podem ser limitados para ajudar na proteção contra hackers. Essa tática pode impedir que hackers criem contas de usuário e aumentem privilégios para obter acesso irrestrito ao site. Além disso, há uma variedade de opções disponíveis para evitar comentários de spam, o que é um ótimo recurso, pois os comentários de spam podem ser muito irritantes. Um firewall deve impedir a postagem de bots de spam, mas ter um filtro adicional instalado é benéfico.

reCAPTCHA
blocos de spambots
Pote de mel

O que está a faltar?

Nós claramente gostamos da versão gratuita do Wordfence, mas ela vem com algumas desvantagens. Ele não inclui proteção contra bot ou um log de atividades. Seu scanner está acima da média em comparação com os outros plugins de segurança disponíveis, com exceção do MalCare. MalCare tem proteção e um log de atividades, tornando-o o melhor plugin.
Você pode adivinhar o que estamos prestes a dizer sobre All-In-One Security. Falta um limpador. Parecemos um disco quebrado, mas infelizmente, devido à falta de opções de limpeza, é difícil considerar este plug-in uma opção de segurança viável.

Preços

A versão gratuita do Wordfence é bastante abrangente e a taxa de assinatura anual de $ 99 é um bom valor. Anteriormente, os clientes tinham que pagar US$ 490 adicionais pela limpeza de malware, juntamente com a taxa de assinatura. No entanto, os clientes podem agora escolher entre os planos Care e Response, sendo que o plano Care não oferece qualquer custo adicional. O plano Response oferece um tempo de resposta garantido de 1 hora no caso de um hack, ao custo de $ 950 por site por ano, o que pode ser inestimável.

Preços do Wordfence

À primeira vista, o preço do All-In-One Security de US$ 70 por ano para dois sites parece razoável. No entanto, deve-se notar que não há limpeza de malware incluída, o que significa que será um custo extra. Além disso, é difícil avaliar a eficácia do scanner.

Melhor alternativa ao Wordfence e All-In-One Security: MalCare

Embora gostemos do Wordfence, o MalCare é um plugin de segurança muito melhor. O plug-in de segurança mais abrangente com tudo o que você precisa e muito mais é o MalCare. Ele fornece proteção contra bots e um log de atividades que o Wordfence não possui e é muito mais confiável. O MalCare também cobre o banco de dados, o que outros plugins não cobrem.

Leitura recomendada: Wordfence vs segurança WP Cerber

O que torna um plugin de segurança bom?

Nosso amplo conhecimento de segurança do WordPress nos permitiu criar um guia conciso e informativo de recursos de segurança essenciais para procurar em um plug-in de segurança. Excluímos todos os recursos que não estão diretamente relacionados à segurança para fornecer uma lista mais focada.

Caracteristicas essenciais:

  • Varredura de malware: esse recurso ajuda a detectar qualquer código, arquivo ou script malicioso que tenha sido adicionado ao site, alertando o usuário sobre possíveis ameaças e proporcionando tranquilidade.
  • Remoção de malware: ajuda a remover qualquer código malicioso que tenha sido detectado, tornando-se uma etapa crucial para manter o site seguro e protegido.
  • Firewall: Ajuda a impedir que tráfego e solicitações maliciosas cheguem ao site, além de evitar que possíveis ameaças entrem no site. Além disso, ele pode alertar o usuário sobre qualquer atividade suspeita, como tentativas de ataques de força bruta, fornecendo aviso antecipado e proteção extra.

Recursos de segurança úteis:

  • Detecção de vulnerabilidade: ajuda a identificar possíveis vulnerabilidades no site que possam ser exploradas por hackers, tornando crucial identificá-las e corrigi-las o mais rápido possível.
  • Proteção de login de força bruta: Isso significa bloquear qualquer tentativa de ataque de força bruta no site, dificultando o acesso de hackers e fornecendo uma camada extra de proteção para o seu site.
  • Log de atividades: monitore e rastreie qualquer atividade suspeita no site, como solicitações maliciosas ou tentativas de login com falha, permitindo que o usuário tome medidas e bloqueie as ameaças antes que qualquer dano sério seja causado.
  • Autenticação de dois fatores: Isso adiciona uma camada extra de segurança ao site, exigindo que o usuário insira um código adicional antes de acessar o site. Isso torna mais difícil para os hackers obter acesso ao site, dando aos usuários maior tranquilidade.

Problemas potenciais:

  • Impacto nos recursos do servidor: é importante considerar a intensidade dos recursos dos plug-ins de segurança ao tomar sua decisão, pois eles podem causar tempos de carregamento lentos e outros problemas de desempenho.

Embrulhar

Ao selecionar um plug-in de segurança do WordPress para o seu site, você deve avaliar o scanner, o limpador e o firewall, pois esses três recursos são essenciais para um plug-in de segurança robusto. Você encontrará todos esses recursos no MalCare. Na MalCare, nos esforçamos para tornar a segurança fácil e sem complicações, para que você possa se concentrar no crescimento de seus negócios. Deixe-nos cuidar da segurança enquanto você cuida do resto.