WordPress-sikkerhed er som en tikkende tidsbombe. Du kan aldrig vide, hvornår den går af. Tusinder af WordPress-websteder bliver hacket hver dag. Det er et alvorligt emne, der bør tages hånd om i opløbet, før det løs!
Der er to vigtige måder at beskytte dit WordPress-sted: For det første skal du vælge en sikker hostingtjeneste med en dokumenteret track record af følgende branchens bedste praksis. For det andet skal du øge dit websteds sikkerhed med en dedikeret tredjeparts sikkerhedstjeneste.
Med WordPress-sikkerhed er Wordfence og Sucuri to af de mest populære muligheder. De har begge et robust sæt sikkerhedsfunktioner, der holder dit websted sikkert. På mange måder er de samme, men forskellige.
Wordfence eller Sucuri? Hvis du spekulerer på, hvilken af disse to der passer bedst til dit websted, hjælper denne artikel dig med at beslutte beslutsomt. Jeg har brugt dem begge i vid udstrækning til at sammenligne dem 1 til 1 for forskellige funktioner, ydelse, prisfastsættelse og den samlede værdi, de tilbyder.
Du kan bruge disse oplysninger til at vælge den bedst egnede mulighed for dig.
Lyder godt? Lad os komme igang!
Introduktion til WordPress Security
WordPress er det mest populære Content Management System (CMS) i verden. Det er så populært, at det driver mere end 35% af webstederne derude. Og med stor popularitet kommer store problemer!
WordPress er under konstant trussel af hackere. Ifølge en rapport fra GoDaddy Security var 90% af alle de hacket CMS-platforme i 2018 WordPress-websteder. Google alene sortlister 10.000 websteder hver dag til hosting og spredning af malware, og disse sortlistede websteder kan miste op til 95% af deres organiske trafik.
41% af hackede WordPress-websteder er på grund af sårbarheder i hostingplatformen. Derfor kan du undgå mange problemer med en sikker WordPress-hostingplatform fra get-go.
Endnu mere forbløffende er, at 60% af de små virksomheder lukker inden for 6 måneder efter et cyberangreb. Da et stort flertal af hackingforsøg sker med små og mellemstore virksomheder, er det meget mere kritisk at sikre dit websted.
Hvordan hackere bryder WordPress-websteder
Kun 36,7% af de hackede WordPress-websteder blev forårsaget af forældede sårbare versioner af WordPress. De primære angrebs-vektorer for WordPress-websteder er dets udvidelige komponenter, nemlig plugins og temaer.
Plugins er især den største risiko! Som bemærket i Kinstas WordPress Security-artikel, udgør plugins med kendte og ukendte sårbarheder størstedelen af WordPress-hacks. En Wordfence-undersøgelse fandt, at de repræsenterer 55,9% af enhver kendt backdoor.
Brute-force-angreb for at gætte svage passwords er den næste store angrebsvektor, der udgør 16,1% af det samlede hackingforsøg. Den samme undersøgelse fandt en anden chokerende statistik: 61,5% af hakede webstedsejere vidste ikke engang, at deres websted er kompromitteret.
Sådan sikres dit WordPress-site
Der er tre vigtige trin for at holde dit WordPress-site sikkert mod cyberangreb:
Forebyggelse
Uanset om det er en biologisk sygdom eller en digital malware, er forebyggelse altid bedre end kur!
Mens WordPress er gratis, er udgifterne til at opbygge et WordPress-sted og derefter sikre og vedligeholde det ikke. Men desværre er sikkerhed ofte i bunden af prioriteterne, når man bygger et websted.
WordPress kerneteam gør et godt arbejde med at holde WordPress sikkert. Men som nævnt tidligere skyldes de fleste WordPress-hacks ikke fra dens kernesoftware.
Forebyggelse fokuserer på at holde ondsindet kode væk fra dine WordPress-websteder. Det gøres normalt gennem firewalls, antivirusprogrammer, e-mail-filtreringsløsninger, beskyttelse mod DDoS-angreb og dårlige bots osv.
Opdagelse
Registrering fokuserer på at være opmærksom på sikkerhedshændelser, så snart de sker, så du kan gribe ind på én gang og sikre dit websted, inden der sker væsentlig skade.
Det inkluderer værktøjer såsom indtrængende detektionssystemer, netværksscanning, integritets-overvågning osv.
Mange ejere af hacket WordPress-websteder ved ikke engang, at deres websteds sikkerhed er brudt. Derfor er det vigtigt at have robuste detektionssystemer på plads, især på hostingniveau. Sikkerheds plugins som Sucuri eller Wordfence er gode tilføjelser.
Response og gendannelse
Håber på det bedste, men forbered dig altid på det værste! Respons og gendannelse fokuserer på at adressere sikkerhedshændelser hurtigt og effektivt.
En god gendannelsesproces skal ikke bare rydde op efter et angreb, men også omfatte backup og retsmedicinske funktioner. Dette sikrer, at du stopper lignende hændelser i deres spor, før de finder sted.
Dette er en væsentlig årsag til, at du skal foretage en grundig undersøgelse af dit hostingfirmas engagement i sikkerhed, før du tilmelder dig dem. For eksempel, hvis dit WordPress-sted er hacket, mens det hostes hos Kinsta, vil Kinsta’s sikkerhedspecialister samarbejde med dig for at identificere og fjerne malware.
Sikkerhedstjenester som Sucuri eller Wordfence tilbyder hændelsestjenester som en del af deres professionelle pakker.
Sucuri vs Wordfence
Både Sucuri og Wordfence hjælper dig med at sikre dit WordPress-sted, men deres tilgang er anderledes. Her et hurtigt showdown mellem dem:
Sucuri | Wordfence | |
Firewall-prissætning (WAF) | Starter ved $ 9,99 / måned | Starter ved $ 9,99 / år |
Prissætning af fjernelse af malware | Starter ved $ 199.99 / år – ubegrænset oprydning | $ 179 pr. Oprydning |
Gratis plugin tilgængelig | Ja | Ja |
Web Application Firewall (WAF) | Ja, men kun for Premium-kunder | Ja, det er gratis |
Webstedets integritetsscanning | Ja | Ja |
SSL-certifikatsupport (på WAF) | Ja | Nej |
DDoS Attack Protection | Ja | Nej |
Nul-dag udnytter forebyggelse | Ja | Nej |
CDN til forbedret ydelse | Ja | Nej |
Skybaseret platform | Ja, ekstern scanning | Nej |
Selvhostet platform | Nej | Ja, lokal scanning |
System Security Tweaks | Nej | Ja |
Ovenstående tabel dækker de vigtigste forskelle mellem Sucuri og Wordfence. Lad os grave dybere!
Sucuri gennemgang
Introduktion til Sucuri
Sucuri er et skybaseret websteds sikkerhedsværktøj til sikring af websteder. Det filtrerer al trafik til dit websted, før det endda når din hosting-server.
Dens kernefunktioner inkluderer malware-detektion, integritetsovervågning og sikkerhedshærdning. Sucuri scanner alt eksternt, og udfører derfor ikke nogen dybe scanninger på serverniveau.
Sucuri lover at beskytte websteder, forbedre ydelsen, overvåge indikatorer for hacks og tilbyder ubegrænset support til sikkerhedshændelser (kun for premium-brugere).
Du skal bemærke, at Sucuri ikke er en sølvkugle til alle dine websteds sikkerhedsbehov. Det er designet til at supplere din eksisterende websikkerhed. Sucuri giver dig imidlertid mange værktøjer til at reducere risici, hvilket giver dig bedre ro i sindet og større sikkerhedskendskab.
Sådan fungerer Sucuri
Når vi taler om, hvordan Sucuri fungerer, er det bedst at skelne mellem dets tre niveauer:
- Sucuri Security er et gratis plugin, der leveres med standard WordPress-sikkerheds-hærdningsfunktioner. Den gratis version af plugin inkluderer ikke en firewall.
- Sucuri Firewall (WAF) er en betalt tjeneste, som du kan integrere med det gratis Sucuri Security-plugin. Du kan også bruge firewall uden plugin. Det inkluderer websteds beskyttelsesfunktioner såsom WAF (Website Application Firewall), CDN til ydeevne optimering, belastningsbalancering for høj tilgængelighed, Intrusion Detection System (IDS), DDoS-begrænsning og en række andre værktøjer.
- Sucuri Platform er en pakke med premium skybaserede sikkerhedstjenester. Det inkluderer alt, der følger med Sucuri Firewall, plus andre vigtige funktioner såsom overvågning, detektion og respons på hændelser. Ved at tilmelde dig Sucuri-platformen, kan du bede Sucuri-teamet om at “fjerne alle advarsler om malware og sortliste” til dit websted.
For en bedre forståelse er her en kort video af Sucuri på arbejde:
eo of Sucuri at work:
Sucuri sporer hver ændring i dit websted og gemmer logfilerne på sine egne sky-servere. Du kan gennemgå disse logfiler for at finde ud af, hvad der gik galt, hvor. Dette hjælper med at løse sikkerhedsproblemer hurtigt og effektivt.
Tilgængelige sikkerhedsindstillinger og funktioner
Du kan fordele Sucuris WordPress-tilbud i to hovedprodukter: et gratis plugin kaldet Sucuri Security og en premium skybaseret Sucuri Firewall (WAF).
Lad os først se på det gratis plugin.
Sucuri Security dashboardet har en ligetil grænseflade, der giver dig et billede fra et ørne-perspektiv af dets sikkerhedskontrol.
Dens primære opgave er at underrette dig om integriteten af dine centrale WordPress-filer. Det viser dig en advarsel, hvis den finder nogen kompromitterede kernefiler. Du kan derefter tage en passende handling: erstatte de inficerede filer med de originale eller markere dem som falske positiver.
Under fanen Audit Logs her finder du alle ændringer, der er sket på dit websted. Ligeledes kan du under fanerne iFrames, Links og Scripts finde alle forekomster af scripts og links på dit websted.
I mit tilfælde var advarslen falsk positiv. Så jeg markerede det som fast manuelt. Sucuri vil huske denne løsning næste gang den udfører en scanning.
Indstillinger-panelet har mange faner til at tilpasse, hvordan Sucuri beskytter dit websted. Under fanen Generelle indstillinger kan du finde dine API Key, Data Storage og andre indstillinger, som f.eks. Log Exporter, Reverse Proxy, IP Address Discoverer, og Timezone Override.
Du kan også importere eller eksportere Sucuris samlede indstillinger herfra.
Lad os derefter gå til fanen Scanner. Her kan du se Sucuris planlagte opgaver, WordPress Integrity Diff Utility-indstillinger (for at sammenligne filer på din server med de originale) og en liste over falske positioner.
Hvis du vil ignorere bestemte filer og mapper på din server fra Sucuris scanning, kan du indstille dem her. Dette værktøj er nyttigt til at ignorere ikke-kodrelaterede filer og mapper, der kan være for tunge til at scanne, f.eks. mapper med mange mediefiler, backups osv.
Fanen Hardening giver dig mulighed for at anvende et sæt standard WordPress- og PHP-sikkerhedshærdningsmetoder. Men du kan bruge Whitelist Blocked PHP Files-indstillinger til at udelade visse PHP-filer fra disse stive begrænsninger.
I tilfælde af et angreb eller et brud, vil fanen Post-Hack være meget praktisk. Herunder kan du opdatere hemmelige nøgler, nulstille brugeradgangskode, nulstille installerede plugins og anvende alle tilgængelige plugin- og temaopdateringer.
Fanen Alerts giver dig mulighed for at indstille Alerts Recipient, Trusted IP Adresser, Alert Subject, Alerts pr. time. Du kan indstille, hvilken slags sikkerhedsadvarsler der vil udløse alarmerings mekanismen, og hvilke typer den vil ignorere (normalt dem ved tredjeparts plugins). Dette er en fantastisk detektions-funktion at have.
Fanen API Service Communication er enkel og ligetil. Det er hovedsageligt for udviklere at få adgang til Sucuris fjern API-service.
Endelig viser fanen Webstedsinfo næsten alt, hvad du vil vide om dit websted og den webserver, den er hosted på. Her under afsnittet Access File Integrity kan du kontrollere integriteten af din .htaccess-fil.
Dette bør ikke være en bekymring, hvis dit websted drives af en administreret hostingplatform som Kinsta, da Kinsta ikke bruger cPanel og bruger sit eget brugerdefinerede brugerpanel kaldet MyKinsta.
Sucuris skybaserede firewall er en premium-service. Det er dejligt at filtrere uønsket trafik, DDoS-angreb og dårlige bots.
Det kan arbejde sin magi, selv uden plugin (det er den anbefalede måde). Du skal bare pege din hosts DNS mod dens navneservere.
Læs Kinstas dybe Sucuri Firewall-guide for at forstå mere om alle dens funktioner.
De fleste webhosts, inklusive Kinsta, har ekstra sikkerhedsfunktioner på plads til at blokere og / eller filtrere spammende IP-adresser og dårlige bots. Kinsta har endda sikkerhedsindstillinger tilgængelige for at tillade IP-begrænsning.
En professionel WAF-service som Sucuri, hvis forretningsmodel primært er fokuseret på at udslette dårlig trafik, giver imidlertid en mere granulær kontrol.
Det er ikke ualmindeligt, at brugere tilmelder sig Sucuris skybaserede firewall som backup og skifter til den kun i tilfælde af et angreb. Sucuri gør det super nemt at gøre det.
Alt i betragtning er Sucuri mere end bare et sikkerhedsplugin eller en firewall. Det er en komplet websikkerhedsløsning til at holde dine websteder beskyttet mod stort set ethvert ondsindet angreb.
Brugervenlighed
Sucuri er enkel at bruge. Brugergrænsefladen er altid kar. Hvis Sucuri anbefaler dig at anvende indstillinger for sikkerhedshærdning, tager det kun et enkelt klik for at aktivere dem.
Når du installerer pluginet, skal du generere dens gratis API-nøgle, som du kan gøre direkte fra dit WordPress-dashboard.
Sucuri automatiserer de fleste af sine sikkerhedsfunktioner, så du kan indstille dem én gang og glemme for evigt. Du behøver heller ikke at bekymre dig om at opdatere eller vedligeholde pluginet.
Sucuri advarer dig, hvis den registrerer et brud. Men i tilfælde af at du ønsker at tage kontrol manuelt, giver det dig mange muligheder. Og da Sucuris WAF er skybaseret, kræver den ingen teknisk vedligeholdelse fra din ende.
Samlet set fandt jeg ud af, at Sucuri en leg at installere og bruge.
Hvordan Sucuri koster på websikkerhed
Forebyggelse
Det gratis Sucuri Security-plugin er godt nok til at holde en fane på dit WordPress-websted og anvende nogle standard sikkerhedsforanstaltninger. Men det er ikke bygget til at forhindre større angreb mod dit websted.
Hvis du leder efter en gratis WordPress-sikkerhedsløsning, vil jeg ikke anbefale Sucuri Security. Stol ikke på det for at sikre dit websted.
På den anden side udfører Sucuri Firewall et fremragende stykke arbejde mod DDoS-angreb, voldelige bots og kundedatakompromis. Sucuri-sikkerhedsplatformen går et skridt videre og tilføjer endnu mere forebyggende foranstaltninger.
For at give dig et eksempel fra en af Kinstas casestudier, tilføjede Sucuri Firewall til et lille e-handelswebsted bombarderet med DDoS-angreb, og det stoppede alle sikkerhedsproblemer inden for en times aktivering.
Opdagelse
Sucuris gratis plugin gør et godt stykke arbejde med at snuse ud selv de mindste ændringer på dit websted. Hvis den finder nogen afvigelser, advarer den straks, så du kan tage passende handling.
Selv hvis en hacker har låst dig ud af dit websted, kan du kontrollere de logfiler, der er gemt på Sucurys sky-servere for at finde ud af, hvad der skete, og hvordan du kan få tilbage kontrol.
Det er dog den premium Sucuri Security Platform, som virkelig skinner af overvågning og detektion. Det leveres med forskellige tilføjede funktioner, som almindelig sikkerhedsscanninger på serversiden, overvågning af sortliste, SSL-overvågning, øjeblikkelige underretninger og Log Correlation Integration (SIEM).
Respons og gendannelse
En web sikkerhedsplatform er ufuldstændig, hvis den ikke giver dig mulighed for at rydde op i et hacket websted.
Heldigvis for mig har jeg aldrig haft en sikkerhedshændelse på mine websteder, mens Sucuri beskyttede dem. Men der er mange, der havde et alvorligt problem, og de har delt deres oplevelser på crowd review-sider som G2.com.
Her er en ejer af et websted, der deler hendes positive anmeldelse med Sucuri.
”Da jeg pludselig var klar over, at min hjemmeside, der primært blev brugt af lærere og børn, var blevet hacket, havde jeg brug for problemet løst ASAP. Sucuri havde mit websted tilbage til det normale inden for en halv time efter rapportering af problemet og tilmelding til service. Jeg vil aldrig forlade mit websted ubeskyttet igen og har været tilfreds med Sucuri, der håndterer denne sikkerhed. ”
Og her er en webdesigner, der deler hendes positive oplevelse med Sucuri med at hjælpe hende med at rydde op i sine klienters WordPress-websteder.
”Mine kunder havde problemer med deres wordpress-websteder. Siden jeg tilmeldte mine klienter – der har ikke været nogen problemer med webstedet, der blev hacket. ”
Bemærk, at der er ganske mange anmeldelser, hvor brugerne klager over den tid, det tager Sucuri at svare på billetter. At forstå Sucuris prisstrategi kan hjælpe med at forklare dette problem.
Sucuri-priser
Nu til den vigtigste del, priserne.
Sucuri Firewall (WAF) starter fra 9.99 USD pr. måned, mens Sucuri Platform starter fra 199.99 USD pr. år. Tilmelding til Sucuri-platformen giver dig også ubegrænset adgang til malware-fjernelse og oprydning af hack.
Alle Sucuris premium-planer har en 30-dages pengene-tilbage-garanti.
Sucuri udelukker ingen sikkerhedsfunktioner fra dets lavere planer bortset fra SSL-certifikatsupport på din originalserver (det er reserveret til den anden billigste plan).
I stedet bruger Sucuri scanninger og responsprioritet som et incitament for dig at tilmelde dig deres højere planer.
Denne prisstrategi giver alle Sucuri-kunder de samme forebyggelses- og detektionsfunktioner, men til scanninger og fjernelse af malware får kunder, der har tilmeldt sig højere planer, den højeste prioritet.
Alle får adresseret deres billetter i rette tid, men hvis du er på det laveste niveau, vil svaret i de fleste tilfælde ikke være øjeblikkeligt. Hvis du har brug for en hurtigere opløsning, har du muligheden for at gå efter deres højere planer. Til sammenligning koster Cloudflares ækvivalente sikkerhedsløsning 200 USD pr. måned.
Jeg kan forstå, hvorfor denne tilgang kan frustrere nogle brugere, især når de har at gøre med et hacket websted og leder efter en hurtig løsning. Men i betragtning af den samlede værdi, du får ud af det, fungerer det bedre for et flertal af Sucuri-brugere i det lange løb.
Nu hvor vi har dækket Sucuri, lad os gå til Wordfence og se, hvordan det kan sammenlignes med det.
Wordfence gennemgang
Introduktion til Wordfence
Wordfence er et gratis WordPress-sikkerhedsplugin, der inkluderer en endpoint firewall (WAF) og en malware-scanner.
Den indeholder andre sikkerhedsforanstaltninger, såsom login-sikkerhed (2FA, login-side CAPTCHA, begræns login-forsøg), Live Traffic og avanceret regler-baseret blokering.
I modsætning til Sucuri er Wordfence en lokal firewall. Det forbliver på din webserver og er ikke en skytjeneste. Derfor kan det udføre scanninger på serversiden på et dybere niveau og give fuld ende-til-ende-kryptering.
Men denne fordel kommer til prisen for ydelsen.
Hvorfor? Da serverens ressourcer analyserer trafikken, skal du kontrollere for skadelig hensigt og om nødvendigt kaste trafikken. Hvis du hoster dit websted på en server med færre ressourcer (f.eks. Delt hosting og billige administrerede hostingplaner), kan dit websted hurtigt komme til gennemsøgning.
I tilfælde af et DDoS-angreb kan den rene oversvømmelse af ondsindet trafik overvælde din server’s ressourcer. Intet lokalt sikkerhedsplugin kan klare det. Dette er Wordfences største svaghed sammenlignet med Sucuri.
I modsætning hertil, hvis du har Sucuris WAF aktiveret, filtreres enhver ondsindet trafik til dit websted i skyen, før den når din server.
Men Wordfences lokaliserede WAF er en gratis indbygget funktion, mens Scuuris sky WAF er et premium-tilbud.
Sådan fungerer WordFence
Wordfences firewall drives af dens Threat Defense-feed, som er en dekorativ betegnelse for dens samling af firewall-regler, ondsindede IP-adresser og malware-signaturer.
Threat Defense Feed er integreret med Wordfence-pluginet installeret på dit WordPress-sted. Den drives af din server.
Med Wordfence Premium får du realtids-opdateringer til Threat Defense Feed. Det inkluderer funktioner såsom:
- Real-time IP-sortliste, firewall-regel og signaturopdateringer til malware.
- Premium Support.
- Site / IP-omdømmekontrol.
- Blokering på nationalt niveau.
Gratis brugere får de missionskritiske opdateringer først efter 30 dages live. De får heller ikke IP Blacklisting i realtid. Selvom dette virker som en god mulighed for personlige websteder, kan det være en afbrydere, hvis du er vært for en virksomhed eller et e-handelswebsted.
Der er en fordel, som en endpoint-firewall har i forhold til sky-firewalls. Da den drives fuldstændigt af din server, kan den teoretisk set ikke lække nogen data, og den kan heller ikke omgås. I modsætning hertil kan en cloud-firewall lække data eller omgås, hvis angriberen kender IP-adressen på din server.
Sikkerhedsindstillinger og funktioner tilgængelige
Wordfence lever på din webserver. Derfor kan du finde alle dens indstillinger i dit WordPress-dashboard.
Dashboardet er rent og informativt. Det giver dig kritiske oplysninger og advarsler med et overblik.
Wordfences scanner udfører en integritetskontrol af hver fil på din server. Det advarer dig, hvis det ikke er en kerne WordPress-fil eller et officielt tema / plugin.
Det vil matche teksten i din servers filer med kendt malware. Hvis det finder noget lignende, selvom det er en linje eller to, advarer det dig med en advarsel. Du får også meddelelser, hvis nogle af dine temaer eller plugins har en opdatering tilgængelig.
Lad os nu gå til Wordfences Firewall-panel. Her kan du administrere Wordfences WAF-indstillinger og optimere dens konfiguration.
Når du først installerer Wordfence, vil dens WAF som standard være i Learning Mode i en uge. Dette giver det mulighed for at studere dit websted og besøgende grundigt, så det forstår, hvilke regler der skal gælde for kun at lade legitime trafik gennem firewall.
Funktionen IP-Blacklisti realtid er kun tilgængelig for premium-brugere.
Når Brute Force Protection er aktiveret, beskytter Wordfence dig mod angribere ved at låse deres konto efter et par mislykkede gætte-forsøg. Det tvinger dig også til at ændre din adgangskode, hvis den synes, den er for svag og kan gættes let.
Under fanen Blokering kan du blokere trafik baseret på IP-adresser, IP-rækkevidde, browser, værtsnavn og henviser. Blokering på country-level er dog kun en premium-funktion. Du kan kombinere alle forskellige blokeringsregler og gemme dem som en Block Type.
Under sektionen Firewall Options kan du hvidliste IP-adresser og tjenester, indstille IP-adresser til at ignorere for WAF-advarsler, konfigurere hastighedsbegrænsning og hvidliste-URL’er.
Wordfence giver dig også mulighed for at blokere IP’er, der får adgang til bestemte URL’er. Dette er nyttigt, hvis nogen gentagne gange undersøger dit websted for kendte sårbarheder.
Lad os derefter gå til fanen Scanner indstillinger.
Her finder du Wordfences scanningsopgaver. De første tre test er kontroller for spam og sortliste, og de er kun forbeholdt premium-brugere.
Hvis scanningen registrerer noget, der er usædvanligt, giver det dig en advarsel.
Under afsnittet Scan Options and Scheduling kan du indstille scanningsfølsomhed, scanningsfrekvens og hvidlistefiler. Du kan også optimere scanninger for ydeevne på dit setup.
Wordfence leveres med en masse andre praktiske Tools.
Live Traffic-værktøjet hjælper dig med at se, hvad der sker på dit websted i realtid. Du kan filtrere det efter kun sikkerhedsrelateret trafik. Dette viser dig alle brugerlogins, hackforsøg og ondsindede anmodninger.
Selvom det er en cool funktion at have, bruger Live Traffic en masse af din server’s ressourcer. Jeg anbefaler, at du slukker for den, når den ikke er i brug.
Andre værktøjer inkluderer Whois Lookup, Import / Export Options og Diagnostics.
Du kan også aktivere tofaktor autentisering (2FA) til alle logins på dit WordPress-sted med Wordfences login-security modul. Det var tidligere en premium-funktion, men nu er den tilgængelig gratis.
Du kan bruge gratis mobile apps såsom Google Authenticator, FreeOTP eller Authy (min personlige anbefaling) til at konfigurere 2FA.
Du kan aktivere 2FA for alle brugerroller. Det er en fantastisk måde at beskytte dig selv og dine brugere mod brute force-angreb såsom gætte af passwords og udfyldning af legitimationsoplysninger.
Du kan indstille en IP-hvidliste til 2FA, så visse IP’er ikke behøver at gennemgå ekstra sikkerhedskontrol, mens du logger ind. Hvis du hovedsageligt arbejder fra et enkelt sted, hjælper denne funktion dig med at undgå at gå igennem 2FA hver gang du logger i.
Andre login-sikkerhedsfunktioner til at stoppe brute force-angreb inkluderer:
- Begræns antallet af “glemt password” forsøg og loginfejl. Efter et bestemt antal forsøg bliver brugeren låst ud.
- Håndhæv webstedsdækkende stærke password.
- Forhindrer brugerregistreringer med bestemte brugernavne (f.eks. Admin)
- Bloker folk, der prøver at logge på med specifikke brugernavne med det samme (f.eks. Admin, yoursite_admin osv.).
- Deaktiver XML-RPC-godkendelse, en almindelig angrebsvektor, der bruges til at injicere malware.
Endelig indeholder Wordfence et panel med All options, hvor du kan finde hver Wordfence-indstilling. I betragtning af de omfattende muligheder, der er tilgængelige under Wordfence, er dette super nyttigt.
Brugervenlighed
Med hensyn til brugervenlighed kan Wordfence sammenlignes med Sucuri Security og er superenkelt at bruge. Efter installation og aktivering af pluginet går Wordfence straks over i Learning Mode i en uge.
Baseret på din serveropsætning og trafik anvender den automatisk de anbefalede firewall- og scanningsindstillinger. Efter min erfaring er disse indstillinger mere end nok til at beskytte dig mod de fleste angreb.
Funktionerne til login-sikkerhed er lette at konfigurere og håndhæve.
Hvis dit websted er under et DDoS-angreb, kan Wordfence bringe din server til en gennemgang. I de mest ekstreme tilfælde kan serveren være så overvældet, at den låser dig for at få adgang til dit WordPress admin-kontrolpanelet.
Da Wordfence er en lokaliseret løsning, har du fuld kontrol over dens indstillinger. Selvom dette kan være nyttigt, hvis du er teknisk dygtig, kan det for de fleste WordPress-brugere være et besvær.
Generelt synes jeg Wordfence er let som pie, så længe det fungerer som tilsigtet.
Hvordan Wordfence billetpriser på security triad
Forebyggelse
I modsætning til Sucuris gratis løsning, der ikke inkluderer en firewall, har Wordfence nogle muskler til at stoppe de fleste angreb. Ikke kun anvender det standard sikkerheds hærde tiltag, men det leveres også med en WAF på serversiden.
Men de seneste thread updates er kun tilgængelige for premium-brugere. Gratis brugere får opdateringer 30 dage efter, at de er live. Og da din webserver driver Wordfence (og ikke skyen), selv med det premium valg, har du ret til at forsvare dig selv mod et DDoS-angreb.
Jeg kan forstå det forretningsbehov, der ligger bag denne beslutning, men for sikkerhed synes jeg, at Sucuris tilgang til alt eller intet er bedre. I det mindste er du ikke overladt til at tro, at du er beskyttet mod de mest populære trusler, mens du ikke er det.
Når det er sagt, gør premiumversionen af Wordfence et dejligt stykke arbejde med at forhindre de fleste sikkerhedsangreb. Deres blog og YouTube-kanal er gode ressourcer til at holde dig opdateret om de nyeste WordPress-sikkerhedstrusler.
Opdagelse
Det gratis Wordfence-plugin fungerer ret godt til at opdage de fleste sikkerhedsproblemer. Men du har brug for sin premium-pakke for at snuse de nyeste trusler ud.
Hvis en hacker med succes har låst dig ud fra dit websted, er der ingen måde at revidere logfilerne som i Sucuri. Derfor er det meget sværere at undersøge hacket.
Du har ingen anden mulighed bortset fra at kontakte din hostingudbyder eller en tredjeparts sikkerhedstjeneste, som ironisk nok også inkluderer Wordfence.
Sammenlignet med Sucuri har Wordfence en grundlæggende funktion til tilpasning af alarmer, og den gør jobbet godt. Det advarer dig straks, hvis det finder en security anomaly.
Respons og gendannelse
Som nævnt tidligere har du overladt at passe dig selv med den gratis version af Wordfence. Men selv med premium-pakken tilbyder Wordfence ingen svar- og gendannelsestjeneste.
Her er et citat, der er hentet direkte fra Wordfences brugsbetingelser:
”Vores support, der tilbydes til Wordfence Premium, er begrænset til 2 timers support pr. hændelse. Vi forbeholder os retten til at afvise yderligere support eller at opkræve ekstra support ud over de 2 timers support. ”
For en fuld opløsning skal du gå til deres separate tjeneste kaldet WordPress Site Cleaning. Det er prissat til 179 USD pr. forekomst (plus overspændingsafgifter baseret på efterspørgslen).
Deres WordPress-rengøringsservice inkluderer:
- Rengør det inficerede sted ved at fjerne al ondsindet kode og links.
- Undersøg, hvordan webstedet blev inficeret.
- Giv en detaljeret rapport om undersøgelsen og fjernelse af infektioner.
- Anvend webstedet til fjernelse fra anti-malware og anti-spam sortlister.
- Giv en tjekliste for at undgå fremtidige angreb.
Jeg har ikke brugt deres site cleaning endnu, men det ser ud til at være omfattende. Her er et par gode anmeldelser, jeg fandt på Twitter:
Sammenlignet med Sucuris fjernelse af malware og hack clean up service, som er inkluderet i premium Sucuri-platformen, synes Wordfences webstedsrengøringstjeneste dyrere.
Og med Sucuri får du ubegrænset fjernelse af malware i din abonnementsperiode, hvorimod Wordfences fjernelse af malware-software er til et enkelt job. Hvis dit websted bliver inficeret med malware igen et par måneder nedefra, skal du betale det samme gebyr igen for fjernelse.
Præsentation af Wordfence
Du kan downloade Wordfences sikkerhedsplugin gratis. Fra og med nu er det det højest rangerede og mest installerede sikkerhedsplugin på WordPress-plugin-depotet.
Wordfence Premium starter ved $ 99 / år for 1 site. Du får en rabat, hvis du klæber på flere sider til din ordre. Jo flere websteder du tilføjer, desto større er rabatten!
Hvordan sikkerhedsplugins påvirker webstedsydelsen
WordPress-plugins er ikke kun de største sikkerhedsrisici, men de er også en kæmpe performance dræber. Sikkerhedsplugins er især de største skyldige takket være deres altid-på-krav og scanningsfunktioner.
Imidlertid er skybaserede sikkerhedsløsninger som Sucuri Firewall eller Cloudflare super pæne, hvis du har brug for ekstra beskyttelse, især hvis du er oppe mod bots og proxy-trafik.
Resumé
Sucuri vs Wordfence. Hvad er det bedste valg?
På den ene side er Sucuri den bedste løsning af de to til websikkerhed og ydeevne, især hvis du driver et missionskritisk forretnings- eller e-handelswebsted.
Men hvis du leder efter en gratis web-firewall, er Wordfence en mere robust løsning. Hvis det er dit valg, vil jeg foreslå at parre det sammen med en pålidelig gratis CDN, som Cloudflare.
I slutningen af dagen kommer det hele ned til din hosting. En stor hostingudbyder vil tage sig af de fleste af sikkerhedsforanstaltningerne for dig. De forstår, at den ydelse, der er ramt af deres servere og service, der bringes videre af tredjeparts plugins, ikke er besværet værd.
Ideelt set bør din host låse kode, så den kun kan køres i begrænsede placeringer og forekomster. Og begræns derefter skrivning af uploads til kun kodens respektive mappe. Med et par flere sikkerhedshærdende foranstaltninger tilføjet på serverniveau, vil dette gøre WordPress-sikkerhedsplugins overflødige.
I sidste ende er websidesikkerhed en rejse og ikke en destination. Jeg anbefaler dig at tage den bedste vej fremad!
Skriv et svar