La sicurezza di WordPress è come una bomba ad orologeria. Non si può mai sapere quando esploderà. Migliaia di siti WordPress vengono hackerati ogni giorno. È un problema serio che dovrebbe essere stroncato sul nascere prima che si trasformi in una minaccia concreta!

Ci sono principalmente due modi per proteggere il vostro sito WordPress: in primo luogo, optare per un servizio di hosting sicuro con una comprovata esperienza nel seguire le migliori prassi del settore. In secondo luogo, rafforzare la sicurezza del vostro sito con un servizio di sicurezza dedicato di terze parti.

Per quel che riguarda la sicurezza di WordPress, Wordfence e Sucuri sono due delle opzioni più popolari. Entrambi sono dotati di un solido set di funzioni di sicurezza per mantenere il vostro sito web al sicuro. Per molti versi, sono uguali, ma diversi.

Wordfence o Sucuri? Se vi state chiedendo quale di questi due sarà il più adatto per il vostro sito web, questo articolo vi aiuterà a decidere con sicurezza. Li ho usati molto entrambi per confrontarli l’uno con l’altro per scoprire le differenze tra le varie caratteristiche, le prestazioni, i prezzi e il valore totale che offrono.

Con queste informazioni, potrete scegliere l’opzione più adatta alle vostre esigenze.

Suona bene? Cominciamo!

Introduzione alla Sicurezza di WordPress

WordPress è il Content Management System (CMS) più popolare al mondo. È così popolare che alimenta oltre il 35% dei siti web. E con grande popolarità arrivano grandi guai!

WordPress è costantemente minacciato dagli hacker. Secondo un report di GoDaddy Security, il 90% di tutte le piattaforme CMS violate nel 2018 erano siti WordPress. Solo Google mette ogni giorno in lista nera 10.000 siti web in quanto ospitano e diffondono malware, e questi siti in lista nera possono perdere fino al 95% del loro traffico organico.

Statistiche sulla sicurezza WordPress
Statistiche sulla sicurezza WordPress

Il 41% degli hack dei siti WordPress è causato da vulnerabilità nella piattaforma di hosting. Per questo, è possibile evitare molti problemi con una piattaforma di hosting WordPress sicura fin dall’inizio.

Ancora più sorprendente è che il 60% delle piccole imprese ha chiuso i battenti entro 6 mesi da un attacco informatico. Dal momento che la maggior parte dei tentativi di hackeraggio riguarda le piccole e medie imprese, la sicurezza del vostro sito web è molto importante.

Come gli Hacker Violano i Siti WordPress

Solo il 36,7% delle violazioni di siti WordPress è dovuto a versioni di WordPress obsolete e vulnerabili. I principali vettori di attacco per i siti WordPress sono i suoi componenti estensibili, ossia plugin e temi.

Vettori di violazione di WordPress
Vettori di violazione di WordPress (origine immagine: Wordfence)

I plugin costituiscono il rischio maggiore! Come si legge nell’articolo di Kinsta sulla sicurezza di WordPress, i plugin con vulnerabilità note e sconosciute generano la maggior parte degli hack di WordPress. Uno studio di Wordfence ha rilevato che rappresentano il 55,9% di ogni backdoor conosciuta.

Gli attacchi brute force per indovinare le password deboli sono il successivo vettore di attacco per numerosità, rappresentando il 16,1% del totale dei tentativi di hacking. Lo stesso studio ha trovato un’altra dato scioccante: il 61,5% dei proprietari di siti web hackerati non sapeva nemmeno che il proprio sito era stato violato.

Come Rendere Sicuro il Vostro Sito WordPress

Ci sono tre passaggi importanti per mantenere il vostro sito WordPress al sicuro da attacchi informatici:

I 3 pilastri della sicurezza web
I 3 pilastri della sicurezza web

Prevenzione

Che si tratti di una malattia o di un malware digitale, prevenire è sempre meglio che curare!

Anche se WordPress è gratuito, il costo della costruzione di un sito WordPress, e quindi della sua messa in sicurezza e manutenzione, non lo è. Ma purtroppo la sicurezza è spesso in fondo alle priorità quando si costruisce un sito web.

Il team di WordPress fa un gran lavoro per tenere WordPress al sicuro. Ma, come detto in precedenza, la maggior parte degli hack di WordPress non derivano dal suo software core.

La prevenzione è l’attività che consente di tenere il codice dannoso fuori dai vostri siti WordPress. Di solito viene effettuata attraverso firewall, programmi antivirus, soluzioni di filtro delle email, protezioni contro gli attacchi DDoS e i bot malevoli, ecc.

Rilevamento

Il rilevamento riguarda l’accorgersi degli incidenti relativi alla sicurezza non appena si verificano, in modo da agire immediatamente e mettere in sicurezza il vostro sito web prima che si verifichino danni significativi.

Comprende strumenti come sistemi di rilevamento delle intrusioni, scansione della rete, monitoraggio dell’integrità, ecc.

Molti proprietari di siti WordPress hackerati non sanno nemmeno che la sicurezza del loro sito è stata violata. Pertanto, è fondamentale disporre di sistemi di rilevamento affidabili, soprattutto a livello di hosting. I plugin di sicurezza come Sucuri o Wordfence sono ottimi add-on.

Risposta e Ripristino

Sperare per il meglio, ma prepararsi sempre al peggio! Risposta e Ripristino riguardano il modo di affrontare gli incidenti nella sicurezza in modo rapido ed efficiente.

Una buona procedura di ripristino non dovrebbe limitarsi a far pulizia dopo un attacco, ma includere anche funzioni di backup e investigazione. Questo consente di fermare incidenti simili prima che si verifichino.

Questo è uno dei motivi principali per cui è necessario condurre una ricerca approfondita sull’impegno del vostro provider di hosting per la sicurezza prima di firmare con loro un contratto. Ad esempio, se il vostro sito WordPress viene violato mentre è ospitato su Kinsta, gli specialisti della sicurezza di Kinsta lavoreranno con voi per identificare e rimuovere il malware.

I servizi di sicurezza come Sucuri o Wordfence offrono servizi di risposta agli incidenti come parte dei loro pacchetti professionali.

Sucuri contro Wordfence

Sia Sucuri che Wordfence vi aiutano a rendere sicuro il vostro sito WordPress, ma il loro approccio è diverso. Ecco un rapido confronto:

Sucuri Wordfence
Prezzi del Firewall (WAF) Parte da 9,99 dollari al mese Parte da 99 dollari all’anno
Prezzi per la Rimozione del Malware Parte da $199,99/anno – pulizia illimitata $179 per pulizia
Plugin Gratuito Disponibile
Web Application Firewall (WAF) Sì, ma solo per i clienti Premium Sì, gratis
Scansione dell’Integrità del Sito web
Supporto del Certificato SSL (su WAF) No
Protezione da Attacchi DDoS No
Prevenzione degli Exploit Zero-Day No
CDN per Migliorare le Prestazioni No
Piattaforma Basata sul Cloud Sì, scansione remota No
Piattaforma Self-Hosted No Sì, scansione locale
Tweak di Sicurezza del Sistema No

 

La tabella qui sopra riporta le differenze chiave tra Sucuri e Wordfence. Ora scaviamo più a fondo!

Recensione di Sucuri

Sucuri Security è un plugin gratuito per la sicurezza per WordPress
Sucuri Security è un plugin gratuito per la sicurezza per WordPress

Introduzione a Sucuri

Sucuri è uno strumento per la sicurezza dei siti web basato sul cloudb. Filtra tutto il traffico diretto al vostro sito web prima ancora che raggiunga il vostro server di hosting.

Le sue funzionalità principali includono il rilevamento di malware, il monitoraggio dell’integrità e il raffornzamento della sicurezza. Sucuri scansiona tutto a distanza, quindi non esegue alcuna scansione profonda a livello di server.

Sucuri promette di proteggere i siti web, migliorare le prestazioni, monitorare gli indicatori degli hack e offre un supporto illimitato per le violazioni della sicurezza (solo per gli utenti premium).

Sucuri Security ha una valutazione di 4,4 stelle con oltre 600.000 installazioni attive
Sucuri Security ha una valutazione di 4,4 stelle con oltre 600.000 installazioni attive

Si noti che Sucuri non è un proiettile d’argento per tutte le esigenze di sicurezza dei siti web. È stato progettato per integrare la sicurezza web esistente. Tuttavia, Sucuri vi fornisce molti strumenti per ridurre i rischi, dandovi una maggiore tranquillità e una maggiore consapevolezza del livello di sicurezza.

Come Funziona Sucuri

Quando si parla di come funziona Sucuri, è meglio differenziare i suoi tre livelli:

  1. Sucuri Security è un plugin gratuito che viene fornito con le funzionalità standard per il rafforzamento della sicurezza di WordPress. La versione gratuita del plugin non include un firewall.
  2. Sucuri Firewall (WAF) è un servizio a pagamento che potete integrare con il plugin gratuito Sucuri Security. È possibile utilizzare il firewall anche senza il plugin. Include funzioni di protezione del sito come il Website Application Firewall (WAF), un CDN per l’ottimizzazione delle prestazioni, bilanciamento del carico per l’alta disponibilità, Intrusion Detection System (IDS), mitigazione DDoS e una serie di altri strumenti.
  3. Sucuri Platform è una suite di servizi di sicurezza premium basati sul cloud. Include tutto ciò che è compreso in Sucuri Firewall, oltre ad altre importanti funzionalità come il monitoraggio, il rilevamento e la risposta in caso di violazione. Iscrivendovi a Sucuri Platform, potete chiedere al team di Sucuri di “rimuovere tutti gli avvisi di malware & blacklist” sul vostro sito web.
Come funziona il Sucuri Web Application Firewall (WAF)
Come funziona il Sucuri Web Application Firewall (WAF)

Per una migliore comprensione, ecco un breve video di Sucuri al lavoro:

Sucuri tiene traccia di ogni cambiamento nel vostro sito web e salva i log sui propri server cloud. Potete controllare questi log per scoprire esattamente cosa è andato storto e dove. Questo vi aiuta a risolvere i problemi di sicurezza in modo rapido ed efficiente.

Impostazioni di Sicurezza e Funzionalità Disponibili

Potete suddividere le offerte WordPress di Sucuri in due prodotti principali: un plugin gratuito chiamato Sucuri Security, e un Sucuri Firewall (WAF) premium su cloud.

Diamo prima un’occhiata al plugin gratuito.

La dashboard di Sucuri Security ha un’interfaccia semplice che offre una visione d’insieme dei suoi controlli di sicurezza.

Il suo compito principale è quello di inviarvi delle notifiche sull’integrità dei vostri file del core di WordPress. Vi mostrerà un avvertimento nel caso in cui rinvenga dei file core compromessi. Potrete quindi intraprendere un’azione appropriata: sostituire i file infetti con quelli originali o contrassegnarli come falsi positivi.

Qui, nella scheda Audit Logs, troverete ogni modifica avvenuta sul vostro sito web. Allo stesso modo, nelle schede iFrames, Links e Scripts, potete trovare ogni istanza di script e link sul vostro sito web.

Il cruscotto di Sucuri Security. Si noti l'avvertenza in alto a destra
Il cruscotto di Sucuri Security. Si noti l’avvertenza in alto a destra

Nel mio caso, l’avvertimento era un falso positivo. Così, l’ho segnato manualmente come risolto. Sucuri si ricorderà di questa correzione la prossima volta che eseguirà una scansione.

Potete istruire Sucuri a ignorare i falsi avvertimenti positivi
Potete istruire Sucuri a ignorare i falsi avvertimenti positivi

Il pannello Settings presenta molte schede per personalizzare il modo in cui Sucuri proteggerà il vostro sito web. Nella scheda General Settings troverete la chiave API, le directory di Data Storage e altre impostazioni come Log Exporter, Reverse Proxy, IP Address Discoverer e Timezone Override.

Da qui Potete anche importare o esportare le impostazioni generali di Sucuri.

La scheda Impostazioni generali in Sucuri Security
La scheda Impostazioni generali in Sucuri Security

Passiamo poi alla scheda Scanner. Qui potete vedere gli Scheduled Tasks di Sucuri, le impostazioni WordPress Integrity Diff Utility (per confrontare i file sul vostro server con quelli originali) e una lista di False Positives.

Se volete che la scansione di Sucuri ignori alcuni file e cartelle del vostro server, potete impostarli qui. Questo strumento è utile per ignorare i file e le cartelle non correlate al codice che possono essere troppo pesanti per la scansione, come le cartelle con numerosi file multimediali, backup, ecc.

Configurate le impostazioni dello scanner da qui
Configurate le impostazioni dello scanner da qui

La scheda Hardening consente di applicare una serie di metodi standard di rafforzamento della sicurezza di WordPress e di PHP. Ma si possono usare le impostazioni Whitelist Blocked PHP Files per rimuovere alcuni file PHP da queste rigide restrizioni.

Applicazione delle norme di sicurezza standard
Applicazione delle norme di sicurezza standard

In caso di attacco o violazione, la scheda Post-Hack sarà utilissima. Qui è possibile Update Secret Keys, Reset User Password, Reset Installed Plugins e applicare tutti gli Available Plugin and Theme Updates.

Strumenti rapidi per rafforzare la sicurezza in caso di hack
Strumenti rapidi per rafforzare la sicurezza in caso di hack

La scheda Alerts consente di impostare il Alerts Recipient, Trusted IP Addresses, Alert Subject, Alerts Per Hour. È possibile impostare il tipo di Security Alerts che farà scattare il meccanismo di allarme e i tipi che saranno ignorati (di solito quelli di plugin di terze parti). Questa è una grande funzionalità di Detection.

Sucuri Security consente di personalizzare gli avvisi
Sucuri Security consente di personalizzare gli avvisi

La scheda API Service Communication è semplice e diretta. L’accesso al servizio API remoto di Sucuri è destinato principalmente agli sviluppatori.

Comunicate con il servizio API remoto di Sucuri da qui
Comunicate con il servizio API remoto di Sucuri da qui

Infine, la scheda Website Info elenca quasi tutto ciò che vorreste sapere sul vostro sito web e sul server su cui è ospitato. Qui, nella sezione Access File Integrity, potete controllare l’integrità del vostro file .htaccess.

Questo non dovrebbe costituire una preoccupazione se il vostro sito è alimentato da una piattaforma di hosting gestito come Kinsta, in quanto Kinsta non utilizza cPanel e utilizza un proprio pannello utente personalizzato chiamato MyKinsta.

La scheda Website Info elenca le specifiche del vostro sito e del server
La scheda Website Info elenca le specifiche del vostro sito e del server

Il firewall di Sucuri basato sul cloud è un servizio premium. È ottimo per filtrare il traffico spazzatura, gli attacchi DDoS e i bot malevoli.

Può fare la sua magia anche senza il plugin (è il metodo consigliato). Basta puntare il DNS del vostro host verso i suoi nameserver.

Sucuri WAF protegge i vostri siti da attacchi malevoli
Sucuri WAF protegge i vostri siti da attacchi malevoli

Leggete la guida approfondita a Sucuri Firewall di Kinsta per saperne di più su tutte le sue caratteristiche.

La maggior parte degli host web, incluso Kinsta, dispone di funzioni di sicurezza aggiuntive per bloccare e/o filtrare gli indirizzi IP spam e i bot malevoli. Kinsta dispone anche di impostazioni di sicurezza per consentire la limitazione degli IP.

Tuttavia, un servizio professionale WAF come Sucuri, il cui modello di business è incentrato principalmente sulla eliminazione del traffico cattivo, fornirà un controllo più granulare.

Non è raro che gli utenti si iscrivano al firewall cloud di Sucuri come backup e vi passino solo in caso di attacco. Sucuri rende tutto questo super semplice.

I POP CDN Sucuri sono collocati in tutto il mondo
I POP CDN Sucuri sono collocati in tutto il mondo (origine immagine: Sucuri)

Tutto sommato, Sucuri è più di un semplice plugin di sicurezza o firewall. Si tratta di una soluzione di sicurezza web completa per mantenere i vostri siti protetti da qualsiasi attacco dannoso.

Facilità d’Uso

Sucuri è semplice da usare. L’interfaccia utente va al punto. Se Sucuri consiglia di applicare le impostazioni di rafforzamento della sicurezza, basta un solo clic per attivarle.

Una volta installato il plugin, è necessario generare la chiave API gratuita, che si può fare direttamente dalla bacheca di WordPress.

Sucuri automatizza la maggior parte delle sue funzioni di sicurezza, in modo da poterle impostare una volta sola e poi dimenticarsele per sempre. Non dovete preoccuparvi di aggiornare o mantenere il plugin.

Sucuri vi avviserà nel caso in cui rilevi una violazione. Ma nel caso in cui si voglia prendere il controllo manuale, fornisce molte opzioni. E dato che il WAF di Sucuri è basato sul cloud, non richiede alcuna manutenzione tecnica da parte vostra.

Nel complesso, ho trovato Sucuri semplicissimo da configurare e utilizzare.

Come Se la Cava Sucuri con la Sicurezza Web

Prevenzione

Il plugin gratuito Sucuri Security è abbastanza buono per tenere sotto controllo il vostro sito WordPress e applicare alcune misure di sicurezza standard. Ma non è progettato per prevenire eventuali attacchi di rilievo contro il vostro sito.

Se state cercando una soluzione gratuita per la sicurezza di WordPress, non vi consiglio Sucuri Security. Non fateci affidamento per proteggere il vostro sito web.

D’altro canto, Sucuri Firewall svolge un lavoro stellare contro gli attacchi DDoS, i bot abusivi e la compromissione dei dati dei clienti. La Sucuri Security Platform fa un passo avanti e aggiunge ulteriori misure preventive.

Per fare un esempio da uno dei casi studio di Kinsta, l’aggiunta di Sucuri Firewall a un piccolo sito di ecommerce bombardato da attacchi DDoS ha bloccato tutti i problemi di sicurezza in meno di un’ora dall’attivazione.

Rilevamento

Il plugin gratuito di Sucuri fa un ottimo lavoro nel fiutare anche i più piccoli cambiamenti sul vostro sito web. Se trova qualche anomalia, vi avviserà immediatamente in modo che possiate prendere le misure appropriate.

Anche se un hacker vi ha bloccato fuori dal vostro sito, potete controllare i log salvati sui server cloud di Sucuri per scoprire cosa è successo e come potete riprendere il controllo.

Tuttavia, è la Sucuri Security Platform premium che brilla davvero per il monitoraggio e il rilevamento. Dispone di varie funzionalità aggiuntive come le normali scansioni di sicurezza lato server, il monitoraggio della blacklist, il monitoraggio SSL, le notifiche istantanee e la Log Correlation Integration (SIEM).

Risposta e Ripristino

Una piattaforma di sicurezza web è incompleta se non offre un modo per ripulire un sito web violato.

Per mia fortuna, non ho mai avuto un incidente nella sicurezza sui miei siti web quando avevo Sucuri a proteggerli. Ma ci sono molti che hanno avuto un problema serio, e hanno condiviso le loro esperienze su siti di crowd review come G2.com.

Sucuri gode di una valutazione di 4 stelle su G2.com
Sucuri gode di una valutazione di 4 stelle su G2.com

Ecco la proprietaria di un sito web che condivide la sua recensione positiva su Sucuri.

“Quando mi sono reso conto all’improvviso che il mio sito, utilizzato principalmente da insegnanti e bambini, era stato violato, avevo bisogno che il problema venisse risolto al più presto. Sucuri ha riportato il mio sito web alla normalità in meno di mezz’ora dalla segnalazione del problema e dall’iscrizione al servizio. Non lascerò mai più il mio sito web senza protezione, e sono stato che Sucuri si sia occupata di questo problema di sicurezza”.

Janice P, Marine Educator

Ed ecco una web designer che condivide la sua esperienza positiva con Sucuri che l’ha aiutato a ripulire i siti WordPress dei suoi clienti.

“I miei clienti avevano problemi con i loro siti web WordPress. Da quando ho iscritto i miei clienti – non ci sono stati problemi di hack dei siti”.

Melissa C, Business Owner

Si noti che ci sono diverse recensioni in cui gli utenti si lamentano del tempo impiegato da Sucuri nel rispondere ai ticket. La comprensione della strategia di prezzo di Sucuri può aiutarvi a spiegare questo problema.

Prezzi di Sucuri

Ora veniamo alla parte più importante, il prezzo.

Prezzi e ripartizione delle caratteristiche di Sucuri Firewall
Prezzi e ripartizione delle caratteristiche di Sucuri Firewall

Sucuri Firewall (WAF) parte da 9,99 dollari al mese, mentre Sucuri Platform parte da 199,99 dollari all’anno. L’iscrizione al Sucuri Platform vi dà anche accesso illimitato alla rimozione del malware e alla pulizia degli hack.

Tutti i piani premium di Sucuri hanno una garanzia di rimborso nei 30 giorni.

Sucuri non esclude alcuna funzione di sicurezza dai suoi piani di livello inferiore, ad eccezione del supporto dei certificati SSL sul server di origine (che è riservato al secondo piano più economico).

Sucuri utilizza invece le scansioni e la priorità di risposta come incentivo a sottoscrivere i piani superiori.

Prezzi e ripartizione delle caratteristiche di Sucuri Platform
Prezzi e ripartizione delle caratteristiche di Sucuri Platform

Questa strategia di prezzo offre ad ogni cliente Sucuri le stesse funzionalità di prevenzione e rilevamento, ma, per le scansioni e la rimozione del malware, i clienti che hanno sottoscritto piani più elevati hanno la massima priorità.

Tutti riceveranno risposta ai loto ticket a tempo debito, ma se siete al livello più basso, nella maggior parte dei casi la risposta non sarà immediata. Se avete bisogno di una soluzione più veloce, avete la possibilità di andare sui loro piani superiori. A titolo di confronto, la soluzione di sicurezza equivalente di Cloudflare costa 200 dollari al mese.

Posso capire perché questo approccio possa infastidire alcuni utenti, soprattutto quando hanno a che fare con un sito web violato e sono alla ricerca di una soluzione rapida. Ma considerando il valore totale che se ne ricava, a lungo andare funziona meglio per la maggior parte degli utenti di Sucuri.

Ora che abbiamo analizzato Sucuri, spostiamoci su Wordfence e vediamo come si comporta al confronto.

Recensione di Wordfence

Wordfence Security è un plugin di sicurezza gratuito per WordPress
Wordfence Security è un plugin di sicurezza gratuito per WordPress

Introduzione a Wordfence

Wordfence è un plugin gratuito per la sicurezza di WordPress che include un firewall endpoint (WAF) e uno scanner malware.

È dotato di altre misure di sicurezza come la sicurezza del login (2FA, pagina di login, CAPTCHA, limitazione dei tentativi di login), Live Traffic e regole di blocco avanzato.

Wordfence ha un rating di 4,8 stelle con oltre 3 milioni di installazioni attive
Wordfence ha un rating di 4,8 stelle con oltre 3 milioni di installazioni attive

A differenza di Sucuri, Wordfence è un firewall localizzato. Rimane sul vostro server web e non è un servizio cloud. Quindi, può eseguire scansioni lato server ad un livello più profondo e fornire una crittografia completa end-to-end.

Ma questo vantaggio viene a scapito delle prestazioni.

Perché? Perché le risorse del vostro server analizzeranno il traffico, verificheranno l’eventuale intento malevolo e, se necessario, scarteranno il traffico. Se il vostro sito web è ospitato su un server con meno risorse (ad esempio, hosting condiviso e piani di hosting gestito a basso costo), il vostro sito può venire a un crawl veloce.

In caso di attacco DDoS, l’enorme flusso di traffico nocivo può sommergere le risorse del vostro server. Nessun plugin di sicurezza locale può resistere. Questo è il punto debole principale di Wordfence rispetto a Sucuri.

Al contrario, se avete abilitato il WAF di Sucuri, tutto traffico dannoso diretto al vostro sito web viene filtrato nel cloud prima che raggiunga il vostro server.

Ma il WAF localizzato di Wordfence è una funzionalità integrata gratuita, mentre il WAF cloud di Sucuri è un’offerta premium.

Come Funziona Wordfence

Il firewall di Wordfence è alimentato dal suo Threat Defense Feed, che è un termine di fantasia per la sua collezione di regole firewall, indirizzi IP dannosi e firme malware.

Il Threat Defense Feed si integra con il plugin Wordfence installato sul vostro sito WordPress. È alimentato dal vostro server.

Come funziona il Wordfence Firewall (WAF)
Come funziona il Wordfence Firewall (WAF)

Con Wordfence Premium, si ricevono aggiornamenti in tempo reale del Threat Defense Feed. Include caratteristiche come:

  • Blacklist degli IP in tempo reale, Firewall Rule e aggiornamenti delle firme malware.
  • Supporto Premium.
  • Controlli di reputazione del sito/IP.
  • Blocco a livello di paese.

Gli utenti gratuiti ricevono gli aggiornamenti critici solo dopo 30 giorni dalla messa in linea. Inoltre, non ricevono una blacklist di IP in tempo reale. Anche se questa sembra una buona soluzione per siti web personali, può essere un motivo di rottura se si gestisce un business o un sito web di ecommerce.

C’è un vantaggio che un firewall endpoint ha rispetto ai firewall cloud. Dato che è alimentato completamente dal vostro server, teoricamente non può perdere dati, né può essere bypassato. Al contrario, un firewall cloud può perdere datiessere bypassato se l’aggressore conosce l’indirizzo IP del vostro server.

Cloud Firewall vs Endpoint Firewall
Cloud Firewall vs Endpoint Firewall (origine immagine: Wordfence)

Impostazioni di Sicurezza e Funzionalità Disponibili

Wordfence vive sul vostro server web. Potete quindi trovare tutte le sue impostazioni all’interno della vostra bacheca di WordPress.

Il cruscotto è pulito e informativo. Vi fornisce un riepilogo di informazioni critiche e avvertenze.

Il cruscotto di Wordfence
Il cruscotto di Wordfence

Lo scanner di Wordfence esegue un controllo di integrità di ogni file presente sul vostro server. Vi avviserà se non è un file del core di WordPress o di un tema/plugin ufficiale.

Farà corrispondere il testo all’interno dei file del vostro server con quello del malware conosciuto. Se trova qualcosa di simile, anche se si tratta di una riga o due, vi avvisa con un warning. Inoltre, riceverete notifiche nel caso in cui è disponibile un aggiornamento di uno dei vostri temi o plugin.

Ora passiamo al pannello Firewall di Wordfence. Qui è possibile gestire le impostazioni WAF di Wordfence e ottimizzarne la configurazione.

Le impostazioni del firewall di Wordfence sono per lo più automatizzate
Le impostazioni del firewall di Wordfence sono per lo più automatizzate

Quando si installa Wordfence per la prima volta, di default il suo WAF sarà in modalità di apprendimento per una settimana. Questo gli permette di studiare a fondo il vostro sito e i suoi visitatori, in modo da capire quali regole applicare per far passare attraverso il firewall solo il traffico legittimo.

La funzione Real-Time IP Blacklist è disponibile solo per gli utenti premium.

Attivando la Protezione Brute Force, Wordfence vi protegge dagli aggressori bloccando il loro account dopo alcuni tentativi falliti di indovinare la password. Vi costringe anche a cambiare la vostra password se pensa che sia troppo debole e possa essere indovinata facilmente.

Gestione delle regole di blocco del vostro sito dalla scheda Blocking
Gestione delle regole di blocco del vostro sito dalla scheda Blocking

Nella scheda Blocking, è possibile bloccare il traffico in base agli indirizzi IP, all’intervallo IP, al browser, al nome host e al referrer. Tuttavia, il blocco a livello nazionale è una caratteristica del solo account premium. È possibile combinare tutte le diverse regole di blocco e salvarle come Block Type.

Attivare da qui le regole di limitazione della quota e le regole di blocco avanzate
Attivare da qui le regole di limitazione della quota e le regole di blocco avanzate

Nella sezione Firewall Options, è possibile inserire in whitelist indirizzi IP e servizi, impostare indirizzi IP da ignorare per gli avvisi WAF, configurare la limitazione della quota e gli URL della whitelist.

Wordfence consente anche di bloccare gli IP che accedono a determinati URL. Questo è utile se qualcuno scandaglia ripetutamente il vostro sito web alla ricerca di vulnerabilità note.

Passiamo poi alla scheda delle impostazioni dello Scanner.

Gestite le impostazioni della scansione di Wordfence da qui
Gestite le impostazioni della scansione di Wordfence da qui

Qui troverete le operazioni di scansione di Wordfence. I primi tre test sono controlli per lo spam e blacklist, e sono riservati solo agli utenti premium.

Se la scansione rileva qualcosa fuori dall’ordinario, vi darà un avvertimento.

Nella sezione Scan Options and Scheduling, è possibile impostare la sensibilità della scansione, la frequenza di scansione e i file della whitelist. È anche possibile, nel vostro setup, ottimizzare le scansioni per le prestazioni.

Wordfence dispone di ampie opzioni di scansione e programmazione
Wordfence dispone di ampie opzioni di scansione e programmazione

Wordfence viene fornito con un sacco di altri utili Strumenti.

Lo strumento Live Traffic vi aiuta a vedere cosa succede sul vostro sito web in tempo reale. È possibile creare un filtro solo in base al traffico legato alla sicurezza. Questo vi mostrerà tutti i login degli utenti, i tentativi di hackeraggio e le richieste dannose.

Live Traffic è la funzione più interessante di Wordfence, ma richiede molte risorse
Live Traffic è la funzione più interessante di Wordfence, ma richiede molte risorse

Anche se è una funzionalità interessante, Live Traffic consuma molte risorse del vostro server. Consigliamo di disattivarlo quando non viene utilizzato.

Altri strumenti includono Whois Lookup, Import/Export Options e Diagnostics.

È inoltre possibile abilitare l’autenticazione a due fattori (2FA) per tutti i login effettuati sul vostro sito WordPress con il modulo Login Security di Wordfence. In precedenza era una funzione premium, ora è disponibile gratuitamente.

Abilitare l'autenticazione a due fattori sul vostro sito facilmente
Abilitare l’autenticazione a due fattori sul vostro sito facilmente

Per impostare il 2FA, potete utilizzare le applicazioni mobili gratuite come Google Authenticator, FreeOTP o Authy (mia raccomandazione personale).

La scheda Login Security Settings di Wordfence
La scheda Login Security Settings di Wordfence

È possibile abilitare la 2FA per tutti i ruoli utente. È un ottimo modo per proteggere voi stessi e i vostri utenti da attacchi brute force come l’indovinare le password e l’utilizzo delle credenziali.

È possibile impostare una whitelist degli IP per la 2FA, in modo che alcuni IP non debbano passare attraverso controlli di sicurezza aggiuntivi durante il login. Se lavorate per lo più da un’unica postazione, questa funzione vi permette di evitare di passare attraverso la 2FA ogni volta che effettuate il login.

Altre funzionalità di sicurezza del login per fermare gli attacchi brute force includono:

  • Limitare il numero di tentativi di “password dimenticata” e di errori di login. Dopo un certo numero di tentativi, l’utente viene bloccato.
  • Applicare password forti in tutto il sito.
  • Impedire la registrazione di utenti con determinati nomi utente (ad es. admin)
  • Bloccare immediatamente le persone che cercano di accedere con nomi utente specifici (ad es. admin, yoursite_admin, ecc.).
  • Disattivare l’autenticazione XML-RPC, un comune vettore di attacco utilizzato per iniettare malware.

Infine, Wordfence include un pannello All Options dove è possibile trovare tutte le impostazioni di Wordfence. Considerando le ampie opzioni disponibili in Wordfence, questo pannello è estremamente utile.

Visualizzare tutte le opzioni di Wordfence dal pannello All Options
Visualizzare tutte le opzioni di Wordfence dal pannello All Options

Facilità d’Uso

Per quanto riguarda la facilità d’uso, Wordfence è paragonabile a Sucuri Security ed è super semplice da usare. Dopo aver installato e attivato il plugin, Wordfence entrerà immediatamente in Learning Mode per una settimana.

In base alla configurazione del server e al traffico, applicherà automaticamente il firewall e le impostazioni di scansione consigliate. Secondo la mia esperienza, queste impostazioni sono più che sufficienti a proteggervi dalla maggior parte degli attacchi.

Le funzioni di sicurezza del login sono facili da impostare e applicare.

Se il vostro sito web è sotto attacco DDoS, Wordfence può portare il vostro server a un crawl. Nei casi più estremi, il server può essere così sopraffatto da bloccare l’accesso alla bacheca di WordPress.

Dato che Wordfence è una soluzione localizzata, avete il controllo completo delle sue impostazioni. Anche se questo può esservi utile se siete tecnicamente competenti, per la maggior parte degli utenti di WordPress può essere una seccatura.

Nel complesso, trovo che Wordfence sia molto semplice da usare, purché funzioni come previsto.

Come Se la Cava Wordfence con la Sicurezza web

Prevenzione

A differenza della soluzione gratuita di Sucuri, che non include un firewall, Wordfence ha qualche artiglio per fermare la maggior parte degli attacchi. Non solo applica misure standard di rafforzamento della sicurezza, ma viene fornito anche con un WAF lato server.

Ma i più recenti aggiornamenti sulle minacce sono disponibili solo per gli utenti premium. Gli utenti gratuiti ricevono gli aggiornamenti 30 giorni dopo. E dato che il vostro server web alimenta Wordfence (e non il cloud), anche con la scelta premium, siete lasciati a cavarvela da soli in caso di attacco DDoS.

Posso capire la necessità di business che sta dietro a questa decisione, ma per la sicurezza penso che l’approccio di Sucuri “tutto o niente” sia migliore. Almeno non vi fanno credere di essere protetti dalle minacce più diffuse, quando in realtà non lo siete.

Detto questo, la versione premium di Wordfence fa un ottimo lavoro nel prevenire la maggior parte degli attacchi alla sicurezza. Il loro blog e il canale YouTube sono ottime risorse per tenersi aggiornati sulle ultime minacce alla sicurezza di WordPress.

Rilevamento

Il plugin gratuito di Wordfence funziona abbastanza bene nel rilevare la maggior parte dei problemi di sicurezza. Ma è necessario il suo pacchetto premium per fiutare le minacce più recenti.

Se però un hacker è riuscito a bloccarvi fuori dal vostro sito web, non c’è modo di controllare i log come in Sucuri. Quindi, indagare sull’hackeraggio è molto più difficile.

Non avrete altra scelta se non quella di contattare il vostro fornitore di hosting o un servizio di sicurezza di terze parti che, ironia della sorte, comprende anche Wordfence.

Rispetto a Sucuri, Wordfence ha una funzione di personalizzazione degli avvisi di base, e fa bene il suo lavoro. Vi avviserà prontamente nel caso in cui trovasse un’anomalia nella sicurezza.

Risposta e Ripristino

Come già detto in precedenza, la versione gratuita di Wordfence vi lascia da soli ad occuparvi di voi stessi. Ma anche con il pacchetto premium, Wordfence non offre alcun servizio di risposta e ripristino.

Ecco una citazione tratta direttamente dalle condizioni d’uso di Wordfence:

“Il nostro supporto offerto per Wordfence Premium è limitato a 2 ore di supporto per ogni incidente. Ci riserviamo il diritto di rifiutare un ulteriore supporto o di richiedere un supporto aggiuntivo oltre le 2 ore di supporto”.

Per una risoluzione completa, è necessario pagare per un loro servizio separato chiamato WordPress Site Cleaning. Il prezzo è di 179 dollari per ogni istanza (più spese extra in base alla domanda).

Servizio di pulizia dei siti WordPress di Wordfence
Servizio di pulizia dei siti WordPress di Wordfence

Il loro servizio di pulizia dei siti WordPress include:

  • Pulire il sito infetto rimuovendo tutti i codici e i link dannosi.
  • Indagare su come il sito è stato infettato.
  • Fornire un rapporto approfondito dell’indagine e della rimozione dell’infezione.
  • Segnalare il sito per la rimozione dalle blacklist anti-malware e anti-spam.
  • Fornire una lista di controllo per evitare futuri attacchi.

Non ho ancora utilizzato il loro servizio di pulizia del sito, ma sembra abbastanza completo. Ecco un paio di buone recensioni che ho trovato su Twitter:

Dr. David Miles, redattore capo, Global Politics
Dr. David Miles, redattore capo, Global Politics
Rachel Bustin, Family Lifestyle Blogger
Rachel Bustin, Family Lifestyle Blogger

Rispetto al servizio di rimozione del malware e di pulizia degli hack di Sucuri, che è incluso nella piattaforma premium di Sucuri, il servizio di pulizia del sito di Wordfence sembra più costoso.

E con Sucuri si ottengono rimozioni di malware illimitate durante il periodo di abbonamento, mentre il servizio di rimozione malware di Wordfence è per un solo lavoro. Se il vostro sito viene di nuovo infettato da malware dopo qualche mese, per la rimozione dovrete pagare la stessa tariffa.

Prezzi di Wordfence

È possibile scaricare gratuitamente il plugin di sicurezza di Wordfence. Al momento, è il plugin di sicurezza più apprezzato e più installato nella repository dei plugin di WordPress.

Wordfence Premium parte da 99 dollari all’anno per 1 sito. Si ha uno sconto se si aggiunge un altro sito al vostro ordine. Più siti si aggiungono, maggiore è lo sconto!

Wordfence Premium Pricing
Wordfence Premium Pricing

Che Impatto Hanno i Plugin per la Sicurezza sulle Prestazioni del Sito

I plugin non sono solo i maggiori rischi per la sicurezza di WordPress, ma sono anche uno dei killer delle prestazioni. I plugin di sicurezza sono i principali responsabili, perché richiedono di essere sempre attivi per eseguire le scansioni.

Tuttavia, le soluzioni di sicurezza basate sul cloud, come Sucuri Firewall o Cloudflare, sono super pulite se avete bisogno di una protezione extra, soprattutto se siete di fronte a bot e traffico proxy.

Riepilogo

Sucuri contro Wordfence. Qual è la scelta migliore?

Da un lato, Sucuri è la soluzione migliore per la sicurezza web e le prestazioni, soprattutto se si gestisce un sito web critico per il business o un ecommerce.

Ma se siete alla ricerca di un firewall web gratuito, Wordfence è una soluzione più solida. Se questa è la vostra scelta, vi suggerirei di abbinarla ad un affidabile CDN gratuito, come Cloudflare.

Alla fine dei conti, tutto si riduce al vostro hosting. Un grande provider di hosting si prenderà cura della maggior parte delle misure di sicurezza per voi. Un host di questo tipo sa che il danno alle prestazioni dei loro server e ai servizi causato da plugin di terze parti non vale la seccatura.

In teoria, il vostro host dovrebbe bloccare il codice in modo che sia eseguibile solo in luoghi e istanze limitate. E dovrebbero limitare gli upload in scrittura solo alla cartella corrispondente. Con l’aggiunta di alcune misure di rafforzamento della sicurezza a livello di server, ciò renderebbe ridondanti i plugin per la sicurezza di WordPress.

In definitiva, la sicurezza del sito web è un viaggio e non una destinazione. Vi consiglio di prendere la strada migliore!

Salman Ravoof

Salman Ravoof is a self-taught web developer, writer, creator, and a huge admirer of Free and Open Source Software (FOSS). Besides tech, he's excited by science, philosophy, photography, arts, cats, and food. Learn more about him on his website, and connect with Salman on Twitter.