O WordPress security é como uma bomba relógio. Nunca se pode saber quando vai explodir. Milhares de sites WordPress são invadidos todos os dias. É um problema sério que deve ser resolvido antes que desabroche numa ameaça ameaçadora!
Existem duas formas principais de proteger o seu site WordPress: primeiro, opte por um serviço de hospedagem seguro com um histórico comprovado de seguir as melhores práticas da indústria. Segundo, reforce a segurança do seu site com um serviço de segurança dedicado de terceiros.
Com a segurança WordPress, Wordfence e Sucuri são duas das opções mais populares. Ambos vêm com um conjunto robusto de recursos de segurança para manter o seu site seguro. Em muitos aspectos, são iguais, mas diferentes.
Wordfence ou Sucuri? Se você está se perguntando qual destes dois será o adequado para o seu site, este artigo irá ajudá-lo a decidir de forma decisiva. Usei ambos extensivamente para compará-los 1 a 1 para vários recursos, desempenho, preço e o valor total que eles oferecem.
Você pode usar esta informação para escolher a opção mais adequada para você.
Soa bem? Vamos começar!
Introdução à Segurança WordPress
O WordPress é o Sistema de Gerenciamento de Conteúdo (CMS) mais popular do mundo. É tão popular que tem poder sobre 35% dos sites. E com grande popularidade vêm grandes problemas!
O WordPress está sob constante ameaça por parte dos hackers. De acordo com um relatório da GoDaddy Security, 90% de todas as plataformas CMS hackeadas em 2018 eram sites WordPress. Só o Google coloca 10.000 sites na lista negra todos os dias para hospedar e espalhar malware, e esses sites na lista negra podem perder até 95% do seu tráfego orgânico.
41% dos sites WordPress hackeados são devido a vulnerabilidades na plataforma de hospedagem. Portanto, você pode evitar muitos problemas com uma plataforma segura de hospedagem WordPress desde o início.
Ainda mais espantoso é que 60% das pequenas empresas fecharam dentro de 6 meses após um ataque cibernético. Uma vez que a grande maioria das tentativas de hacking acontece com pequenas e médias empresas, proteger o seu site é muito mais crítico.
Como os Hackers Quebram Sites WordPress
Apenas 36,7% dos sites do WordPress hackeados foram causados por versões vulneráveis e desatualizadas do WordPress. Os principais vetores de ataque para sites WordPress são seus componentes extensíveis, ou seja, plugins e temas.
Os plugins são especialmente o maior risco! Como observado no artigo da Kinsta WordPress Security, plugins com vulnerabilidades conhecidas e desconhecidas compõem a maior parte dos hacks do WordPress. Um estudo da Wordfence descobriu que eles representam 55,9% de cada porta dos fundos conhecida.
Os ataques de força bruta para adivinhar senhas fracas são o próximo grande vetor de ataque, perfazendo 16,1% do total de tentativas de hacking. O mesmo estudo encontrou outra estatística chocante: 61,5% dos proprietários de sites hackeados nem sequer sabiam que o seu site estava comprometido.
Como proteger o seu site WordPress
Há três grandes passos para manter o seu site WordPress a salvo de ataques cibernéticos:
Prevenção
Quer se trate de uma doença biológica ou de um malware digital, é sempre melhor prevenir do que remediar!
Embora o WordPress seja gratuito, o custo de construção de um site WordPress e, em seguida, sua segurança e manutenção, não é. Mas, infelizmente, a segurança está muitas vezes no fundo das prioridades quando se constrói um website.
A equipe central do WordPress faz um ótimo trabalho para manter o WordPress seguro. Mas, como mencionado anteriormente, a maioria dos hacks do WordPress não resulta do seu software principal.
A prevenção concentra-se em manter o código malicioso fora dos seus sites WordPress. Normalmente é feito através de firewalls, programas antivírus, soluções de filtragem de e-mail, proteções contra ataques DDoS e bots ruins, etc.
Detecção
A detecção foca em estar ciente dos incidentes de segurança assim que eles acontecem, para que você possa agir imediatamente e proteger seu website antes que qualquer dano significativo seja feito.
Inclui ferramentas como sistemas de detecção de intrusão, scanning de rede, monitorização de integridade, etc.
Muitos proprietários de sites WordPress hackeados nem sequer sabem que a segurança do seu site foi violada. Portanto, é fundamental ter sistemas de detecção robustos, especialmente a nível da hospedagem. Plugins de segurança como Sucuri ou Wordfence são grandes addons.
Resposta e Recuperação
Esperança para o melhor, mas prepare-se sempre para o pior! Resposta e Recuperação se concentra em resolver incidentes de segurança de forma rápida e eficiente.
Um bom processo de recuperação não deve apenas ser limpo após um ataque, mas também incluir recursos forenses e de backup. Isso garante que você pare incidentes semelhantes no seu rastro antes que eles ocorram.
Esta é uma das principais razões pelas quais você deve conduzir uma pesquisa completa do compromisso da sua empresa de hospedagem com a segurança antes de se inscrever com eles. Por exemplo, se o seu site WordPress for hackeado enquanto estiver hospedado na Kinsta, os especialistas em segurança da Kinsta trabalharão com você para identificar e remover o malware.
Serviços de segurança como Sucuri ou Wordfence oferecem serviços de resposta a incidentes como parte de seus pacotes profissionais.
Sucuri vs Wordfence
Tanto Sucuri como Wordfence o ajudam a proteger seu site WordPress, mas a abordagem deles é diferente. Aqui um rápido confronto entre eles:
Sucuri | Wordfence | |
Preços de Firewall (WAF) | Começa em $9.99/mês | Começa em $99/ano |
Preços de remoção de malwares | Começa a $199,99/ano – limpezas ilimitadas | $179 por limpeza |
Plugin gratuito disponível | Sim | Sim |
Firewall de Aplicação Web (WAF) | Sim, mas apenas para clientes Premium | Sim, é grátis. |
Verificação da integridade do site | Sim | Sim |
Suporte de Certificado SSL (no WAF) | Sim | Não |
DDoS Proteção contra Ataques | Sim | Não |
Prevenção de Explorações de Dia Zero | Sim | Não |
CDN para um melhor desempenho | Sim | Não |
Plataforma baseada na nuvem | Sim, Varredura Remota | Não |
Plataforma auto-hospedada | Não | Sim, Pesquisa local |
Ajustes de Segurança do Sistema | Não | Sim |
A tabela acima cobre as principais diferenças entre Sucuri e Wordfence. Agora, vamos cavar mais fundo!
Revisão Sucuri
Introdução a Sucuri
Sucuri é uma ferramenta de segurança de websites baseada em nuvem para proteger websites. Ele filtra todo o tráfego para o seu site antes mesmo de chegar ao seu servidor de hospedagem.
Suas principais características incluem a detecção de malware, monitoramento de integridade e endurecimento da segurança. Sucuri escaneia tudo remotamente, por isso não realiza varreduras profundas no nível do servidor.
Sucuri promete proteger sites, melhorar o desempenho, monitorar indicadores de hacks e oferece suporte ilimitado para incidentes de segurança (apenas para usuários premium).
Você deve notar que Sucuri não é uma bala de prata para todas as necessidades de segurança do seu site. Foi concebido para complementar a sua segurança web existente. No entanto, a Sucuri fornece muitas ferramentas para reduzir os riscos, dando melhor tranquilidade e maior consciência de segurança.
Como Funciona Sucuri
Ao falar sobre como a Sucuri funciona, é melhor diferenciar entre as suas três camadas:
- Sucuri Security é um plugin gratuito que vem com recursos padrão de endurecimento de segurança do WordPress. A versão gratuita do plugin não inclui um firewall.
- Sucuri Firewall (WAF) é um serviço pago que você pode integrar com o plugin de segurança gratuito Sucuri. Você também pode usar o firewall sem o plugin. Ele inclui recursos de proteção do website, tais como Web Application Firewall (WAF), CDN para otimização de desempenho, balanceamento de carga para alta disponibilidade, IDS (Intrusion Detection System), mitigação DDoS, e uma série de outras ferramentas.
- Sucuri Platform é um conjunto de serviços de segurança premium baseados na nuvem. Inclui tudo o que está incluído no Firewall Sucuri, além de outros recursos importantes, como monitoramento, detecção e resposta a incidentes. Ao inscrever-se na Plataforma Sucuri, você pode pedir à equipe Sucuri para “remover todos os malwares e avisos da lista negra” para o seu site.
Para uma melhor compreensão, aqui está um breve vídeo de Sucuri no trabalho:
Sucuri acompanha cada mudança no seu website e guarda os logs nos seus próprios servidores na nuvem. Você pode auditar esses registros para descobrir exatamente o que deu errado onde. Isto ajuda a resolver os problemas de segurança de forma rápida e eficiente.
Configurações e características de segurança disponíveis
Você pode dividir as ofertas WordPress da Sucuri em dois produtos principais: um plugin gratuito chamado Sucuri Security, e um Firewall Sucuri (WAF) premium baseado em nuvem.
Vamos olhar primeiro para o plugin gratuito.
O painel de controle da Sucuri Security tem uma interface simples que lhe dá uma vista de olhos de águia das suas verificações de segurança.
Sua principal tarefa é notificá-lo sobre a integridade dos seus arquivos WordPress principais. Mostrar um aviso se encontrar algum ficheiro central comprometido. Você pode então tomar uma ação apropriada: ou substituir os arquivos infectados pelos originais ou marcá-los como falsos positivos.
Sob a aba Logs de Auditoria aqui, você encontrará todas as mudanças que aconteceram no seu site. Da mesma forma, sob as guias iFrames, Links e Scripts, você pode encontrar cada instância de scripts e links em seu site.
No meu caso, o aviso foi um falso positivo. Por isso, marquei-o como fixo manualmente. Sucuri se lembrará desta correção na próxima vez que realizar uma varredura.
O painel de configurações tem muitos separadores para personalizar a forma como a Sucuri protege o seu site. Na guia Configurações gerais, você pode encontrar sua chave API, diretórios de armazenamento de dados e outras configurações, como Log Exporter, Reverse Proxy, IP Address Discoverer e Timezone Override.
Você também pode importar ou exportar as configurações gerais da Sucuri a partir daqui.
A seguir, vamos passar para a aba Scanner. Aqui, você pode ver as Tarefas Programadas da Sucuri, as configurações de Utilitários de Integridade do WordPress Diff (para comparar arquivos no seu servidor com os originais) e uma lista de Falsos Positivos.
Se você quiser ignorar certos arquivos e pastas no seu servidor a partir da verificação da Sucuri, você pode defini-los aqui. Esta ferramenta é útil para ignorar arquivos e pastas não relacionados a códigos que podem ser pesados demais para serem verificados, tais como pastas com inúmeros arquivos de mídia, backups, etc.
A aba Hardening permite que você aplique um conjunto de métodos padrão de hardening de segurança do WordPress e PHP. Mas você pode usar as configurações da Whitelist Blocked PHP Files para omitir certos arquivos PHP dessas rígidas restrições.
Em caso de um ataque ou violação, a aba Pós-Hack será super útil. Aqui você pode atualizar chaves secretas, redefinir a senha do usuário, redefinir plugins instalados e aplicar quaisquer atualizações de plugins e temas disponíveis.
O separador Alertas permite definir o destinatário dos Alertas, Endereços IP de Confiança, Assunto do Alerta, Alertas por hora. Você pode definir que tipo de Alertas de Segurança irá acionar o mecanismo de alerta, e que tipos ele irá ignorar (geralmente os de plugins de terceiros). Este é um excelente recurso de detecção a ter.
A guia API Service Communication é simples e direta. É principalmente para os desenvolvedores acessarem o serviço de API remoto da Sucuri.
Finalmente, o separador Informações do Website lista quase tudo o que você gostaria de saber sobre o seu website e o servidor web em que ele está hospedado. Aqui, na seção Integridade do arquivo de acesso, você pode verificar a integridade do seu arquivo .htaccess.
Isto não deve ser uma preocupação se o seu site é alimentado por uma plataforma de hospedagem gerenciada de WordPress como Kinsta, já que Kinsta não utiliza o cPanel e usa seu próprio painel de usuário personalizado chamado MyKinsta.
O firewall baseado em nuvem da Sucuri é um serviço premium. É ótimo filtrar o tráfego de lixo, ataques DDoS e bots ruins.
Pode fazer a sua magia mesmo sem o plugin (é a forma recomendada). Você só precisa apontar o DNS do seu host para os seus nameservers.
Leia o guia detalhado da Kinsta Sucuri Firewall para entender mais sobre todas as suas características.
A maioria dos hosts web, incluindo Kinsta, possuem recursos de segurança extras para bloquear e/ou filtrar endereços IP de spam e bots ruins. Kinsta tem até configurações de segurança disponíveis para permitir a limitação de IP.
No entanto, um serviço WAF profissional como o Sucuri, cujo modelo de negócio está focado principalmente na eliminação de tráfego ruim, proporcionará um controle mais granular.
Não é raro que os usuários se inscrevam no firewall baseado em nuvem da Sucuri como backup e mudem para ele apenas em caso de um ataque. Sucuri torna isso super fácil de fazer.
Tudo considerado, Sucuri é mais do que apenas um plugin de segurança ou um firewall. É uma solução completa de segurança web para manter os seus sites protegidos de praticamente qualquer ataque malicioso.
Facilidade de uso
Sucuri é simples de usar. A interface do usuário está no ponto. Se a Sucuri recomendar que você aplique qualquer configuração de endurecimento de segurança, basta um único clique para ativá-las.
Uma vez instalado o plugin, você precisa gerar sua chave API gratuita, o que você pode fazer diretamente do seu painel de controle do WordPress.
Sucuri automatiza a maioria dos seus recursos de segurança, para que você possa defini-los uma vez e esquecer para sempre. Você também não precisa se preocupar em atualizar ou manter o plugin.
Sucuri irá alertá-lo se detectar uma violação. Mas caso você queira assumir o controle manualmente, ele lhe oferece muitas opções. E como o WAF da Sucuri é baseado em nuvens, não requer nenhuma manutenção técnica do seu lado.
No geral, achei a Sucuri uma brisa para preparar e usar.
Como a Sucuri se sai com a segurança na Web
Prevenção
O plugin gratuito Sucuri Security é suficientemente bom para manter um controle sobre o seu site WordPress e aplicar algumas medidas de segurança padrão. Mas não foi construído para evitar ataques de grandes proporções contra o seu site.
Se você está procurando uma solução de segurança WordPress gratuita, eu não recomendaria a Sucuri Security. Não conte com isso para proteger o seu site.
Por outro lado, a Sucuri Firewall faz um trabalho estelar contra ataques DDoS, bots abusivos e comprometimento de dados de clientes. A Plataforma de Segurança Sucuri vai um passo além e acrescenta ainda mais medidas preventivas.
Para lhe dar um exemplo de um dos estudos de caso da Kinsta, adicionar Sucuri Firewall a um pequeno site de comércio eletrônico bombardeado com ataques DDoS parou todos os problemas de segurança dentro de uma hora após a ativação.
Detecção
O plugin gratuito da Sucuri faz um óptimo trabalho a farejar até as mais pequenas alterações no seu site. Se encontrar alguma anomalia, ele o alertará prontamente para que você possa tomar as medidas apropriadas.
Mesmo que um hacker o tenha bloqueado para fora do seu site, você pode auditar os logs salvos nos servidores em nuvem da Sucuri para descobrir o que aconteceu e como você pode ganhar o controle de volta.
No entanto, é a Plataforma de Segurança Premium Sucuri que realmente brilha com monitoramento e detecção. Ele vem com vários recursos adicionais, como varreduras de segurança regulares do lado do servidor, monitoramento de listas negras, monitoramento SSL, notificações instantâneas e Integração de Correlação de Log (SIEM).
Resposta e Recuperação
Uma plataforma de segurança web está incompleta se não oferecer uma maneira de você limpar um site hackeado.
Felizmente para mim, nunca tive um incidente de segurança nos meus sites enquanto Sucuri os protegia. Mas há muitos que tiveram um problema sério, e eles compartilharam suas experiências em sites de revisão de multidões como o G2.com.
Here’s an owner of a website sharing her positive review with Sucuri.
“Quando de repente tive conhecimento de que meu site, usado principalmente por professores e crianças, tinha sido invadido, eu precisava que o problema fosse resolvido o mais rápido possível. Sucuri teve meu website de volta ao normal dentro de meia hora após relatar o problema e se inscrever para o serviço. Nunca mais vou deixar o meu site desprotegido, e fiquei satisfeito com o fato de a Sucuri lidar com esta segurança.”
E aqui está uma web designer a partilhar a sua experiência positiva com a Sucuri, ajudando-a a limpar os sites WordPress dos seus clientes.
“Os meus clientes estavam a ter problemas com os seus sites de wordpress. Desde a inscrição dos meus clientes – não tem havido nenhum problema de hacking no site.”
Você deve notar que existem algumas revisões onde os usuários reclamam do tempo que Sucuri leva para responder aos ingressos. Compreender a estratégia de preços da Sucuri pode ajudar a explicar esta questão.
Preços de Sucuri
Agora, chegando à parte mais importante, o preço.
Sucuri Firewall (WAF) começa a partir de $9.99/mês, enquanto Sucuri Platform começa a partir de $199.99/ano. A inscrição na Plataforma Sucuri também lhe dá acesso ilimitado à remoção de malware e limpeza de hackups.
Todos os planos premium da Sucuri vêm com uma garantia de 30 dias de devolução do dinheiro.
A Sucuri não exclui nenhum recurso de segurança dos seus planos de nível inferior, exceto o suporte a certificados SSL no seu servidor de origem (que é reservado para o segundo plano mais barato).
Em vez disso, a Sucuri usa os scans e a prioridade de resposta como um incentivo para que você se inscreva em seus planos superiores.
Esta estratégia de preços dá a cada cliente Sucuri os mesmos recursos de prevenção e detecção, mas para varreduras e remoção de malware, os clientes que se inscreveram para planos superiores recebem a maior prioridade.
Todos terão seus ingressos endereçados no devido tempo, mas se você estiver no nível mais baixo, na maioria dos casos, a resposta não será imediata. Se você precisar de uma resolução mais rápida, você tem a opção de ir para seus planos superiores. Para comparação, a solução de segurança equivalente do Cloudflare custa 200 dólares/mês.
Posso entender porque esta abordagem pode frustrar alguns usuários, especialmente quando eles estão lidando com um site hackeado e estão procurando por uma solução rápida. Mas considerando o valor total que você obtém com isso, funciona melhor para a maioria dos usuários Sucuri no longo prazo.
Agora que já cobrimos Sucuri, vamos passar ao Wordfence e ver como se compara com ele.
Revisão do Wordfence
Introdução ao Wordfence
Wordfence é um plugin de segurança WordPress gratuito que inclui um firewall de endpoint (WAF) e um verificador de malware.
Ele apresenta outras medidas de segurança, tais como segurança de login (2FA, página de login CAPTCHA, tentativas de login limitadas), Live Traffic, e bloqueio avançado baseado em regras.
Ao contrário de Sucuri, Wordfence é um firewall localizado. Fica no seu servidor web e não é um serviço em nuvem. Assim, ele pode realizar varreduras do lado do servidor em um nível mais profundo e fornecer criptografia completa de ponta a ponta.
Mas esta vantagem vem à custa do desempenho.
Porquê? Como os recursos do seu servidor irão analisar o tráfego, verifique se há alguma intenção maliciosa e, se necessário, descarte o tráfego. Se você hospedar seu site em um servidor com menos recursos (por exemplo, hospedagem compartilhada e planos de hospedagem gerenciada baratos), seu site pode chegar a um rastejamento rápido.
No caso de um ataque DDoS, a enorme inundação de tráfego malicioso pode sobrecarregar os recursos do seu servidor. Nenhum plugin de segurança local pode fazer frente a isso. Esta é a maior fraqueza da Wordfence, quando comparada com Sucuri.
Em contraste, se você tiver o WAF da Sucuri ativado, qualquer tráfego malicioso para o seu site é filtrado na nuvem antes que ele chegue ao seu servidor.
Mas o WAF localizado da Wordfence é um recurso gratuito, enquanto o WAF na nuvem da Sucuri é uma oferta premium.
Como funciona a Wordfence
O firewall da Wordfence é alimentado por seu Threat Defense Feed, que é um termo extravagante para sua coleção de regras de firewall, endereços IP maliciosos e assinaturas de malware.
O Threat Defense Feed está integrado com o plugin Wordfence instalado no seu site WordPress. É alimentado pelo seu servidor.
Com o Wordfence Premium, você recebe atualizações em tempo real do Threat Defense Feed. Inclui características tais como:
- Lista Negra de IPs em tempo real, Regras de Firewall e Atualizações de Assinaturas de Malware.
- Suporte Premium.
- Verificações de Reputação Site/IP.
- Bloqueio ao nível do país.
Os usuários gratuitos recebem as atualizações de missão crítica somente após 30 dias de funcionamento. Eles também não recebem a lista negra de IP em tempo real. Embora esta pareça ser uma boa opção para websites pessoais, pode ser uma quebra de contrato se você estiver hospedando um negócio ou um website de comércio eletrônico.
Há uma vantagem que um firewall de endpoint tem sobre os firewalls de nuvem. Como é alimentado completamente pelo seu servidor, teoricamente não pode vazar nenhum dado, nem pode ser contornado. Em contraste, um firewall em nuvem pode vazar dados ou ser contornado se o atacante souber o endereço IP do seu servidor.
Configurações e características de segurança disponíveis
O Wordfence vive no seu servidor web. Portanto, você pode encontrar todas as suas configurações dentro do seu painel de controle do WordPress.
O tablier é limpo e informativo. Fornece informação crítica e avisos num relance.
O scanner Wordfence realiza uma verificação de integridade de cada ficheiro no seu servidor. Ele irá alertá-lo se não for um arquivo WordPress central ou um tema/plugin oficial.
Vai corresponder o texto dentro dos ficheiros do seu servidor com o texto de malware conhecido. Se encontrar algo semelhante, mesmo que seja uma ou duas linhas, vai alertá-lo com um aviso. Você também receberá notificações se algum dos seus temas ou plugins tiver uma atualização disponível.
Agora, vamos passar ao painel da Firewall do Wordfence. Aqui, você pode gerenciar as configurações WAF do Wordfence e otimizar sua configuração.
Quando você instalar o Wordfence pela primeira vez, seu WAF estará no modo de aprendizagem por uma semana, por padrão. Isto permite que estude o seu site e os visitantes minuciosamente, para que entenda as regras a aplicar para deixar apenas tráfego legítimo através do firewall.
O recurso de Lista Negra de IP em Tempo Real está disponível apenas para usuários premium.
Com a Protecção de Força Bruta ativada, o Wordfence protege-o dos atacantes bloqueando a sua conta após algumas tentativas mal sucedidas de adivinhar a palavra-passe. Também o obriga a mudar a sua senha se achar que ela é muito fraca para adivinhar facilmente.
Na aba Bloqueio, você pode bloquear o tráfego com base em endereços IP, faixa de IP, navegador, nome da máquina e referrer. No entanto, o bloqueio a nível de país é uma característica exclusiva dos prémios. Você pode combinar todas as diferentes regras de bloqueio e salvá-lo como um Tipo de Bloqueio.
Sob a seção Opções de Firewall, você pode definir endereços IP e serviços de lista branca, definir endereços IP a ignorar para alertas WAF, configurar limitação de taxa e URLs de lista branca.
O Wordfence também lhe permite bloquear IPs que acessam certos URLs. Isto é útil se alguém sondar repetidamente o seu site em busca de vulnerabilidades conhecidas.
A seguir, vamos passar para a guia Configurações do scanner.
Aqui, você encontrará as tarefas de varredura do Wordfence. Os três primeiros testes são verificações de spam e lista negra, e são reservados apenas para usuários premium.
Se o exame detectar algo fora do normal, vai dar um aviso.
Na secção Opções de verificação e Agendamento, pode definir a sensibilidade da verificação, frequência de verificação e ficheiros da lista branca. Você também pode otimizar as varreduras para desempenho em sua configuração.
O Wordfence vem com um monte de outras ferramentas úteis.
A ferramenta Live Traffic ajuda-o a ver o que está a acontecer no seu website em tempo real. Você pode filtrá-lo apenas pelo tráfego relacionado à segurança. Isto irá mostrar todos os logins de utilizadores, tentativas de hack e pedidos maliciosos.
Embora seja um recurso legal de ter, o Live Traffic consome muitos dos recursos do seu servidor. Eu recomendo que o desligue quando não estiver a ser utilizado.
Outras ferramentas incluem Whois Lookup, Opções de Importação/Exportação, e Diagnóstico.
Você também pode habilitar a autenticação de dois fatores (2FA) para todos os logins no seu site WordPress com o módulo Wordfence’s Login Security. Era antes uma funcionalidade apenas premium, mas agora está disponível gratuitamente.
Você pode usar aplicativos móveis gratuitos como o Google Authenticator, FreeOTP ou Authy (minha recomendação pessoal) para configurar o 2FA.
Você pode habilitar 2FA para todas as funções do usuário. É uma ótima maneira de se proteger e aos seus usuários de ataques por força bruta, como adivinhar senhas e rechear credenciais.
Você pode definir uma lista branca de IPs para o 2FA, para que certos IPs não tenham que passar por verificações de segurança extras enquanto fazem o login. Se estiver a trabalhar maioritariamente a partir de um único local, esta funcionalidade ajuda-o a evitar passar por 2FA cada vez que faz o login.
Outras características de segurança de login para parar ataques por força bruta incluem:
- Limite o número de tentativas de “esquecer a senha” e de falhas no login. Após um determinado número de tentativas, o utilizador fica bloqueado.
- Forçar senhas fortes em todo o site.
- Impedir o registo de utilizadores com determinados nomes de utilizador (por exemplo, admin)
- Bloqueie as pessoas que tentam entrar com nomes de usuário específicos imediatamente (por exemplo, admin, seu site_admin, etc.).
- Desativar a autenticação XML-RPC, um vector de ataque comum utilizado para injetar malware.
Finalmente, o Wordfence inclui um painel de Todas as Opções onde pode encontrar todas e cada uma das definições do Wordfence. Considerando as extensas opções disponíveis sob Wordfence, isto é super útil.
Facilidade de uso
Quanto à facilidade de utilização, o Wordfence é comparável ao Sucuri Security e é super simples de usar. Depois de instalar e ativar o plugin, o Wordfence irá imediatamente para o modo de aprendizagem por uma semana.
Com base na configuração e tráfego do seu servidor, ele aplicará automaticamente o firewall recomendado e as configurações de verificação. Na minha experiência, estas configurações são mais do que suficientes para protegê-lo contra a maioria dos ataques.
Os recursos de segurança de login são fáceis de configurar e aplicar.
Se o seu site está sob um ataque DDoS, Wordfence pode trazer o seu servidor para um rastejamento. Nos casos mais extremos, o servidor pode ficar tão sobrecarregado que o bloqueará de acessar o painel de controle do seu administrador WordPress.
Como o Wordfence é uma solução localizada, você está em controle total das suas configurações. Embora isso possa ser útil se você for tecnicamente proficiente, para a maioria dos usuários do WordPress isso pode ser um incômodo.
No geral, acho o Wordfence fácil como uma torta, desde que esteja funcionando como pretendido.
Como a Wordfence Fares on Web Security
Prevenção
Ao contrário da solução gratuita da Sucuri que não inclui firewall, Wordfence tem alguns dentes para parar a maioria dos ataques. Não só aplica medidas padrão de endurecimento da segurança, mas também vem com um WAF do lado do servidor.
Mas as últimas atualizações de ameaças estão disponíveis apenas para usuários premium. Usuários gratuitos recebem atualizações 30 dias depois de entrar no ar. E como o seu servidor Web potencia o Wordfence (e não a nuvem), mesmo com a opção premium, você fica a defender-se contra um ataque DDoS.
Posso entender a necessidade do negócio por trás desta decisão, mas para segurança, acho que a abordagem “tudo ou nada” da Sucuri é melhor. Pelo menos você não fica pensando que está protegido contra as ameaças mais populares enquanto não está.
Dito isto, a versão premium do Wordfence faz um bom trabalho na prevenção da maioria dos ataques de segurança. Seu blog e canal YouTube são ótimos recursos para se manter atualizado sobre as últimas ameaças de segurança do WordPress.
Detecção
O plugin Wordfence gratuito funciona muito bem para detectar a maioria dos problemas de segurança. Mas você precisa de seu pacote premium para cheirar as últimas ameaças.
No entanto, se um hacker o bloqueou com sucesso do seu site, não há como auditar os logs como em Sucuri. Assim, investigar o hack é muito mais difícil.
Você não terá outro recurso além de contatar seu provedor de hospedagem ou um serviço de segurança de terceiros, o que ironicamente também inclui o Wordfence.
Em comparação com Sucuri, Wordfence tem um recurso básico de personalização de alertas, e faz o trabalho bem. Vai alertá-lo prontamente, caso encontre uma anomalia de segurança.
Resposta e Recuperação
Como já foi dito anteriormente, você pode cuidar de si mesmo com a versão gratuita do Wordfence. Mas mesmo com o pacote premium, a Wordfence não oferece qualquer resposta e serviço de recuperação.
Aqui está uma citação retirada diretamente dos termos de utilização da Wordfence:
“Nosso suporte oferecido para o Wordfence Premium é limitado a 2 horas de suporte por incidente. Reservamo-nos o direito de recusar mais apoio ou de cobrar por apoio adicional para além das 2 horas de apoio.”
Para uma resolução completa, você deve optar por um serviço separado chamado WordPress Site Cleaning. O seu preço é de $179 por instância (mais taxas de pico com base na procura).
O seu serviço de limpeza do site WordPress inclui:
- Limpe o site infectado removendo todos os códigos e links maliciosos.
- Investigue como o local foi infectado.
- Fornecer um relatório detalhado da investigação e remoção da infecção.
- Aplicar o site para remoção das listas negras de anti-malware e anti-spam.
- Forneça uma lista de verificação para evitar futuros ataques.
Eu ainda não usei o serviço de limpeza do site deles, mas parece suficientemente abrangente. Aqui estão algumas boas críticas que encontrei no Twitter:
Em comparação com o serviço de remoção de malware e limpeza de hacks da Sucuri, que está incluído com a plataforma premium Sucuri, o serviço de limpeza de sites da Wordfence parece mais caro.
E com a Sucuri você obtém remoções ilimitadas de malware durante o período da sua assinatura, enquanto o serviço de remoção de malware da Wordfence é para um único trabalho. Se o seu site for infectado com malware novamente alguns meses depois, você precisará pagar a mesma taxa novamente para a remoção.
Preço do Wordfence
Você pode baixar o plugin de segurança do Wordfence gratuitamente. A partir de agora, é o plugin de segurança mais bem classificado e instalado no repositório de plugins do WordPress.
O Wordfence Premium começa em $99/ano para 1 site. Você ganha um desconto se você se conectar em sites adicionais ao seu pedido. Quanto mais sites você adicionar, maior o desconto!
Como os Plugins de Segurança Impactam o Desempenho do Site
Os plugins WordPress não são apenas os maiores riscos de segurança, mas são também um dos maiores assassinos de desempenho. Os plugins de segurança são particularmente os principais culpados, graças aos seus requisitos e recursos de escaneamento sempre em funcionamento.
No entanto, as soluções de segurança baseadas na nuvem, como Sucuri Firewall ou Cloudflare, são super arrumadas se você precisar de proteção extra, especialmente se você estiver enfrentando bots e tráfego de proxy.
Resumo
Sucuri vs Wordfence. Qual é a melhor escolha?
Por um lado, Sucuri é a melhor solução dos dois para a segurança e desempenho da web, especialmente se você estiver administrando um negócio de missão crítica ou um site de comércio eletrônico.
Mas se você está procurando por um firewall web gratuito, Wordfence é uma solução mais robusta. Se essa for a sua escolha, sugiro que faça um par com um CDN gratuito confiável, como o Cloudflare.
No final do dia, tudo se resume ao sua hospedagem. Um grande provedor de hospedagem cuidará da maioria das medidas de segurança para você. Eles entendem que o desempenho atingido em seus servidores e serviços trazidos por plugins de terceiros não vale a pena o incômodo.
Idealmente, a sua hospedagem deve bloquear o código para ser executável apenas em locais e instâncias limitadas. E, em seguida, restringir os uploads de escrita apenas à respectiva pasta do código. Com mais algumas medidas de endurecimento da segurança adicionadas ao nível do servidor, isto tornaria os plugins de segurança do WordPress redundantes.
Em última análise, a segurança do site é uma viagem e não um destino. Eu recomendo que você tome o melhor caminho a seguir!
Deixe um comentário