WordPress-säkerhet är som en tickande tidsinställd bomb. Man vet aldrig när det händer att den exploderar. Tusentals WordPress-webbplatser hackas varje dag. Det är en allvarlig fråga som bör kvävas i sin linda innan den blommar ut till ett hotfullt hot!

Det finns två viktiga sätt att skydda din WordPress webbplats: Välj först en säker hostingtjänst med en beprövad erfarenhet av att följa branschens bästa praxis. För det andra, förbättra din webbplats säkerhet med en dedikerad säkerhetstjänst från tredje part.

Med WordPress säkerhet är Wordfence och Sucuri två av de mest populära alternativen. De har båda en robust uppsättning säkerhetsfunktioner för att hålla din webbplats säker. På många sätt är de likadana, men olika.

Wordfence eller Sucuri? Om du undrar vilken av dessa två som passar din webbplats, kommer den här artikeln att hjälpa dig att bestämma dig. Jag har använt dem båda mycket för att jämföra dem 1-mot-1 för olika funktioner, prestanda, prissättning och den totala hosting som de erbjuder.

Du kan använda den här informationen för att välja det lämpligaste alternativet för dig.

Låter bra? Nu börjar vi!

Introduktion till WordPress Säkerhet

WordPress är den mest populära Systemet för innehållshantering (CMS) i världen. Det är så populärt att det driver över 35% av webbplatserna. Och med stor popularitet kommer stora problem!

WordPress är under konstant hot av hackare. Enligt en rapport från GoDaddy Säkerhet, 90% av alla hackade CMS-plattformar under 2018 var WordPress webbplatser. Google ensam svartlistar 10 000 webbplatser varje dag för att vara hosting för och sprida skadlig programvara, och dessa svartlistade webbplatser kan förlora upp till 95% av sin organiska trafik.

Säkerhetsstatistik för WordPress
Säkerhetsstatistik för WordPress

41% av hackade WordPress webbplatser är på grund av sårbarheter i hostingplattformen. Därför kan du undvika mycket problem med en säker WordPress-hostingplattform från början.

Ännu mer förvånande är att 60 procent av småföretag stängs inom 6 månader av en cyberattack. Eftersom en stor majoritet av hackningsförsök händer med små och medelstora företag är det så mycket mer kritiskt att säkra din webbplats.

Hur hackare bryter wordpress webbplatser

Bara 36.7% av WordPress-webbplatserna som hackade var på grund utav föråldrade sårbara versioner av WordPress. De primära attackvektorerna för WordPress-webbplatser är dess utökningsbara komponenter, nämligen plugins och Teman.

Hur WordPress äventyras (Bildkälla: Wordfence)
Hur WordPress äventyras (Bildkälla: Wordfence)

Plugins är särskilt den största risken! Som noterats i Kinstas WordPress-säkerhetsartikel, plugins med kända och okända sårbarheter utgör huvuddelen av WordPress hackningar. En Wordfence-studie fann att de representerar 55,9% av varje känd bakdörr.

Brute-force-attacker för att gissa svaga lösenord är nästa stora attackvektor, som utgör 16,1% av de totala hackningsförsöken. Samma studie fann en annan chockerande statistik: 61.5% av hackade webbplatsägare visste inte ens att deras webbplats äventyrats.

Hur man säkrar sin WordPress webbplats

Det finns tre viktiga steg för att hålla din WordPress webbplats säker från cyberattacker:

Webbsäkerhetens tre pelare
Webbsäkerhetens tre pelare

Förebyggande

Oavsett om det är en biologisk sjukdom eller en digital skadlig kod är förebyggande alltid bättre än att bota!

Medan WordPress är gratiskostnaden för att bygga en WordPress-webbplats, och sedan säkra och underhålla den, är inte det. Men tyvärr ligger säkerheten ofta i botten av prioriteringarna när man bygger en webbplats.

WordPress kärnteam gör ett bra jobb på hålla WordPress säkert. Men som nämnts tidigare har de flesta WordPress hackningar inte är resultatet av dess kärnprogramvara.

Förebyggande fokuserar på att hålla skadlig kod borta från dina WordPress-webbplatser. Det brukar vara görs via brandväggar, antivirusprogram, e-postfiltreringslösningar, skydd mot DDoS-attacker och dåliga bots, osv.

Upptäckt

Identifiering fokuserar på att vara medveten om säkerhetsincidenter så snart de inträffar, så att du kan vidta åtgärder på en gång och säkra din webbplats innan det finns några betydande skador.

Den innehåller verktyg som intrångsdetekteringssystem, nätverksskanning, integritetsövervakning osv.

Många ägare av hackade WordPress webbplatser vet inte ens att deras webbplats säkerhet bryts. Därför är det viktigt att ha robusta detekteringssystem på plats, särskilt på hostingnivå. Plugins för säkerhet som Sucuri eller Wordfence är bra addons.

Svar och återställning

Hoppas på det bästa, men förbered dig alltid på det värsta! Respons and Återhämtning fokuserar på att hantera säkerhetsincidenter snabbt och effektivt.

En bra återställningsprocess bör inte bara städa upp efter en attack, utan också innehålla säkerhetskopiering och kriminaltekniska funktioner. Detta ser till att du stoppar liknande incidenter i deras spår innan de inträffar.

Detta är en viktig anledning till att du måste göra grundlig forskning om ditt hostingföretags engagemang för säkerhet innan du registrerar dig hos dem. Till exempel, om din WordPress-webbplats hackas medan du är hosting på Kinsta, kommer Kinstas säkerhetsspecialister att arbeta med dig för att identifiera och ta bort skadlig programvara.

Säkerhetstjänster som Sucuri eller Wordfence erbjuder incidentresponstjänster som en del av sina professionella paket.

Sucuri vs Wordfence

Både Sucuri och Wordfence hjälper dig att säkra din WordPress webbplats, men deras tillvägagångssätt är annorlunda. Här en snabb redogörelse mellan dem:

Sucuri Wordfence
Brandväggsprissättning (WAF) Börjar på $9.99/månad Börjar på $99/år
Prissättning för borttagning av skadlig kod Börjar på $ 199.99 / år – obegränsade rensningar $ 179 per rensning
Gratis plugin tillgängligt Ja Ja
Brandvägg för webbprogram (WAF) Ja, men bara för Premium-kunder Ja, det är gratis
Integritetssökning på webbplatsen Ja Ja
SSL-certifikatstöd (på WAF) Ja Ja
DDoS attackskydd Ja Nej
Zero-Day utnyttjar förebyggande åtgärder Ja Nej
CDN för förbättrad prestanda Ja Nej
Molnbaserad plattform Ja, fjärrskanning Nej
Plattform med egen hosting Nej Ja, lokal skanning
Systemsäkerhetsjusteringar Nej Ja

Tabellen ovan visar de viktigaste skillnaderna mellan Sucuri och Wordfence. Nu gräver vi djupare!

Sucuri Recension

Sucuri Säkerhet är ett gratis säkerhetsplugin för WordPress
Sucuri Säkerhet är ett gratis säkerhetsplugin för WordPress

Introduktion till Sucuri

Sucuri är ett molnbaserat webbplatssäkerhetsverktyg för att säkra webbplatser. Det filtrerar all trafik till din webbplats innan den ens når din hostingserver.

Dess kärnfunktioner inkluderar identifiering av skadlig kod, integritetsövervakning och säkerhetshärdning. Sucuri skannar allt på distans, därför utför det inga djupa skanningar på servernivå.

Sucuri lovar att skydda webbplatser, förbättra prestanda, övervaka för indikatorer på hack och erbjuder obegränsat stöd för säkerhetsincidenter (endast för premiumanvändare).

Sucuri Säkerhet har 4,4-stjärnigt betyg med över 600 000 aktiva installationer
Sucuri Säkerhet har 4,4-stjärnigt betyg med över 600 000 aktiva installationer

Du bör notera att Sucuri inte är en silverkula för alla dina webbplatssäkerhetsbehov. Den är utformad för att komplettera din befintliga webbsäkerhet. Sucuri ger dig dock många verktyg för att minska riskerna, vilket ger dig bättre sinnesro och större säkerhetsmedvetenhet.

Hur Sucuri fungerar

När du pratar om hur Sucuri fungerar är det bäst att skilja mellan sina tre nivåer:

  1. Sucuri Säkerhet är ett gratis plugin som levereras med vanliga WordPress säkerhetshärdningsfunktioner. Den kostnadsfria versionen av plugin inkluderar inte en brandvägg.
  2. Sucuri brandvägg (WAF) är en betald tjänst som du kan integrera med det kostnadsfria Sucuri Säkerhet-pluginet. Du kan också använda brandväggen utan plugin. Den innehåller webbplatsskyddsfunktioner som Brandvägg för webbplatsprogram (WAF), CDN för prestandaoptimering, belastningsutjämning för hög tillgänglighet, intrångsdetekteringssystem (IDS), DDoS-begränsning och en mängd andra verktyg.
  3. Sucuri-plattformen är en serie premium molnbaserade säkerhetstjänster. Den innehåller allt som ingår i Sucuri Brandvägg, plus andra viktiga funktioner som övervakning, identifiering och incidentrespons. Genom att registrera dig för Sucuri-plattformen kan du be Sucuri-teamet att ”ta bort alla varningar om skadlig kod och svart lista” för din webbplats.
Hur Sucuri Webbapplikation Brandvägg (WAF) fungerar
Hur Sucuri Webbapplikation Brandvägg (WAF) fungerar

För en bättre förståelse, här är en kort video av Sucuri på jobbet:

Sucuri spårar varje förändring på din webbplats och sparar loggarna på sina egna molnservrar. Du kan granska dessa loggar för att ta reda på exakt vad som gick fel var. Detta hjälper till att lösa säkerhetsproblem snabbt och effektivt.

Säkerhetsinställningar och tillgängliga funktioner

Du kan dela upp Sucuris WordPress-erbjudanden i två huvudprodukter: ett gratis plugin som heter Sucuri Säkerhet och ett premiummolnbaserat Sucuri brandvägg (WAF).

Låt oss titta på gratis plugin först.

Sucuri Säkerhet-instrumentpanelenhar ett enkelt gränssnitt som ger dig en klar bild av dess säkerhetskontroller.

Dess primära uppgift är att meddela dig om integriteten hos dina kärn wordPress-filer. Den visar dig en varning om den hittar några komprometterade kärnfiler. Du kan sedan vidta en lämplig åtgärd: antingen ersätta de infekterade filerna med de ursprungliga eller markera dem som falska positiva identifieringar.

Under fliken Granskningsloggar här hittar du varje ändring som har skett på din webbplats. På samma sätt kan du under flikarna iFrames, Länkar och Skript hitta varje förekomst av skript och länkar på din webbplats.

Sucuris säkerhetspanel. Observera varningen uppe till höger
Sucuris säkerhetspanel. Observera varningen uppe till höger

I mitt fall var varningen falskt positiv. Så jag markerade det som fixat manuellt. Sucuri kommer ihåg den här fixen nästa gång den utför en skanning.

Du kan lära Sucuri att ignorera falska positiva varningar
Du kan lära Sucuri att ignorera falska positiva varningar

Inställningspanelen har många flikar för att anpassa hur Sucuri skyddar din webbplats. Under fliken Allmänna inställningar kan du hitta din API-nyckel, datalagringskataloger och andra inställningar som LoggexportörOmvänd proxyIP-adressupptäckt och Tidszon Åsidosättning.

Du kan också importera eller exportera Sucuris övergripande inställningar härifrån.

Fliken Allmänna inställningar i Sucuri Säkerhet
Fliken Allmänna inställningar i Sucuri Säkerhet

Låt oss sedan gå till fliken Skanner. Här kan du se Sucuris schemalagda uppgifterWordPress Integrity Diff Utility-inställningar (för att jämföra filer på din server med de ursprungliga) och en lista över falska positiva.

Om du vill ignorera vissa filer och mappar på servern från Sucuris skanning kan du ställa in dem här. Det här verktyget är användbart för att ignorera icke-kodrelaterade filer och mappar som kan vara för tunga för att skanna, till exempel mappar med många mediefilerSäkerhetskopior osv.

Ställ in skannerinställningarna härifrån
Ställ in skannerinställningarna härifrån

På fliken Härdning kan du använda en uppsättning vanliga WordPress- och PHP-säkerhetshärdningsmetoder. Men du kan använda inställningarna för vitlista blockerade PHP-filer för att utelämna vissa PHP-filer från dessa strikta begränsningar.

Tillämpa standardregler för säkerhetshärdning
Tillämpa standardregler för säkerhetshärdning

I händelse av en attack eller en brytning kommer fliken Post-Hack att vara superpraktisk. Under här kan du uppdatera hemliga nycklar, återställa användarlösenord, återställa installerade plugins och tillämpa alla tillgängliga plugin- och temauppdateringar.

Snabba verktyg för att öka säkerheten om du har hackats
Snabba verktyg för att öka säkerheten om du har hackats

På fliken Aviseringar kan du ställa in Mottagare av aviseringar, Betrodda IP-adresserAviseringsämneAviseringar per timme. Du kan ställa in vilken typ av säkerhetsaviseringar som utlöser varningsmekanismen och vilka typer den kommer att ignorera (vanligtvis de plugins från tredje part). Detta är en bra identifieringsfunktion att ha.

Med Sucuri Säkerhet kan du anpassa aviseringar
Med Sucuri Säkerhet kan du anpassa aviseringar

Fliken KOMMUNIKATION AV API-tjänst är enkel. Den är främst för utvecklare för att komma åt Sucuris fjärr-API-tjänst.

Kommunicera med Sucuris fjärr-API-tjänst härifrån
Kommunicera med Sucuris fjärr-API-tjänst härifrån

Slutligen listar fliken Webbplatsinformation ner nästan allt du vill veta om din webbplats och webbservern den är hosting på. Här kan du under avsnittet Åtkomstfilintegritet kontrollera integriteten hos din .htaccess-fil.

Detta bör inte vara ett problem om din webbplats drivs av en hanterad hostingplattform som Kinsta, eftersom Kinsta inte använder Cpanel och använder sin egen anpassade användarpanel som kallas för MyKinsta (storbritannien).

Fliken Webbplatsinformation listar specifikationer för din webbplats och server
Fliken Webbplatsinformation listar specifikationer för din webbplats och server

Sucuris molnbaserade brandvägg är en premiumtjänst. Det är bra att filtrera bort skräptrafik, DDoS-attacker och dåliga robotar.

Det kan fungera sin magi även utan plugin (det är det rekommenderade sättet). Du behöver bara peka din hostings DNS mot dess namnservrar.

Sucuri WAF skyddar dina webbplatser från skadliga attacker
Sucuri WAF skyddar dina webbplatser från skadliga attacker

Läs Kinstas djupgående Sucuri Brandväggsguide för att förstå mer om alla dess funktioner.

De flesta hostings, inklusive Kinsta, har extra säkerhetsfunktioner på plats för att blockera och / eller filtrera bort spam IP-adresser och dåliga bots. Kinsta har till och med säkerhetsinställningar tillgängliga för att tillåta IP-begränsning.

En professionell WAF-tjänst som Sucuri, vars affärsmodell främst är inriktad på avsäga sig dålig trafik, kommer att ge en mer detaljerad kontroll.

Det är inte ovanligt att användare registrerar sig för Sucuris molnbaserade brandvägg som en säkerhetskopia och byter till den endast i händelse av en attack. Sucuri gör det superlätt att göra det.

Sucuri CDN POP placeras runt om i världen (Bildkälla: Sucuri)
Sucuri CDN POP placeras runt om i världen (Bildkälla: Sucuri)

Sammantaget är Sucuri mer än bara ett säkerhetsplugin eller en brandvägg. Det är en komplett webbsäkerhetslösning för att skydda dina webbplatser från praktiskt taget alla skadliga attacker.

Användarvänlighet

Sucuri är enkel att använda. Användargränssnittet är på punkten. Om Sucuri rekommenderar att du tillämpar några säkerhetshärdningsinställningar krävs det bara ett enda klick för att aktivera dem.

När du har installerat plugin måste du generera dess gratis API-nyckel, vilket du kan göra direkt från din WordPress-instrumentpanel.

Sucuri automatiserar de flesta av sina säkerhetsfunktioner, så att du kan ställa in dem en gång och glömma för alltid. Du behöver inte heller oroa dig för att uppdatera eller underhålla plugin.

Sucuri kommer att varna dig om det upptäcker ett brott. Men om du vill ta kontroll manuellt ger det dig många alternativ. Och eftersom Sucuris WAF är molnbaserad kräver den inget tekniskt underhåll från din sida.

Sammantaget tyckte jag att Sucuri var en bris att ställa in och använda.

Hur Sucuri funkar på webbsäkerhet

Förebyggande

Det kostnadsfria Sucuri Säkerhet-pluginet är tillräckligt bra för att hålla koll på din WordPress webbplats och tillämpa några vanliga säkerhetsåtgärder. Men det är inte byggt för att förhindra några större attacker mot din webbplats.

Om du letar efter en gratis WordPress säkerhetslösning skulle jag inte rekommendera Sucuri Säkerhet. Lita inte på det för att säkra din webbplats.

Å andra sidan gör Sucuri Brandvägg ett fantastiskt jobb mot DDoS-attacker, missbrukande robotar och kunddatakompromisser. Säkerhetsplattformen Sucuri går ett steg längre och lägger till ännu mer förebyggande åtgärder.

För att ge dig ett exempel från en av Kinstas fallstudier lägger du till Sucuri-brandväggen i en liten e-handelswebbplats bombarderade med DDoS-attacker stoppade alla säkerhetsproblem inom en timme efter aktivering.

Upptäckt

Sucuris gratis plugin gör ett bra jobb med att sniffa ut även de minuter som ändras på din webbplats. Om den hittar några avvikelser kommer den att varna dig snabbt så att du kan vidta lämpliga åtgärder.

Även om en hackare har låst dig ute från din webbplatsen kan du granska loggarna som sparats på Sucuris molnservrar för att ta reda på vad som hände och hur du kan få tillbaka kontrollen.

Men det är premium Sucuri Säkerhet Plattform som verkligen lyser med övervakning och upptäckt. Den levereras med olika tillagda funktioner som vanliga säkerhetsskanningar på serversidan, övervakning av svarta listan, SSL-övervakning, snabbmeddelanden och loggkorrelationsintegration (Siem).

Svar och återställning

En webbsäkerhetsplattform är ofullständig om den inte erbjuder ett sätt för dig att städa upp en hackad webbplats.

Lyckligtvis för mig hade jag aldrig en säkerhetsincident på mina webbplatser medan Sucuri skyddade dem. Men det finns många som hade ett allvarligt problem, och de har delat sina erfarenheter på crowd review-webbplatser som G2.com.

Sucuri har ett 4-stjärnigt betyg på G2.com
Sucuri har ett 4-stjärnigt betyg på G2.com

Här är en ägare av en webbplats som delar hennes positiva recension med Sucuri.

”När jag plötsligt fick veta att min webbplats, som främst användes av lärare och barn, hade hackats, behövde jag lösa problemet så fort som möjligt. Sucuri hade min webbplats tillbaka till det normala inom en halvtimme efter att ha rapporterat problemet och registrera sig för service. Jag kommer aldrig att lämna min webbplats oskyddad igen, och har varit nöjd med att Sucuri hanterar denna säkerhet.”

Janice P, Marine Educator

Och här är en webbdesigner som delar sin positiva erfarenhet med Sucuri för att hjälpa henne att städa upp sina kunders WordPress webbplatser.

”Mina kunder hade problem med sina wordpress webbplatser. Sedan jag registrerade mina kunder – har det inte funnits några problem med att webbplatsen hackas.”

Melissa C, Business Owner

Du bör notera att det finns en hel del recensioner där användare klagar över den tid Sucuri tar att svara på biljetter. Att förstå Sucuris prissättningsstrategi kan hjälpa till att förklara problemet.

Sucuri Prissättning

Nu, kommer vi till den viktigaste biten, prissättningen.

Prissättning av Sucuri-brandväggen och uppdelning av funktioner
Prissättning av Sucuri-brandväggen och uppdelning av funktioner

Sucuri Brandvägg (WAF) börjar från $ 9.99 / månad, medan Sucuri Plattform börjar från $ 199.99 / år. Att registrera dig för Sucuri-plattformen ger dig också obegränsad tillgång till borttagning av skadlig programvara och hackrensningar.

Alla Sucuris premiumplaner har en 30-dagars pengarna tillbaka-garanti.

Sucuri utesluter inte några säkerhetsfunktioner från sina planer på lägre nivå förutom SSL-certifikatstöd på din ursprungsserver (som är reserverat för den näst billigaste planen).

Istället använder Sucuri skanningar och svarsprioritet som ett incitament för dig att registrera dig för deras högre planer.

Sucuri-plattformens prissättning och uppdelning av funktioner
Sucuri-plattformens prissättning och uppdelning av funktioner

Denna prissättningsstrategi ger varje Sucuri-kund samma förebyggande och detekteringsfunktioner, men för skanningar och borttagning av skadlig kod får kunder som har registrerat sig för högre planer högsta prioritet.

Alla kommer att få sina biljetter adresserade i god tid, men om du är på den lägsta nivån kommer svaret i de flesta fall inte att vara omedelbart. Om du behöver en snabbare upplösning har du möjlighet att gå för deras högre planer. Som jämförelse kostar Cloudflares motsvarande säkerhetslösning $ 200 / månad.

Jag kan förstå varför den här metoden kan frustrera vissa användare, särskilt när de har att göra med en hackad webbplats och letar efter en snabb lösning. Men med tanke på det totala hosting som du får ut av det, fungerar det bättre för en majoritet av Sucuri-användare på lång sikt.

Nu när vi har täckt Sucuri, låt oss gå till Wordfence och se hur det står sig med det.

Wordfence Recension

Wordfence Säkerhet är ett gratis säkerhetsplugin för WordPress
Wordfence Säkerhet är ett gratis säkerhetsplugin för WordPress

Introduktion till Wordfence

Wordfence är ett gratis WordPress-säkerhetsplugin som innehåller en slutpunktsbrandvägg (WAF) och en skadlig kod-skanner.

Den innehåller andra säkerhetsåtgärder som inloggningssäkerhet (2FA, inloggningssida Captcha, begränsa inloggningsförsök), Live Trafik och avancerad regelbaserad blockering.

Wordfence har ett 4,8-stjärnigt betyg med 3+ miljoner aktiva installationer
Wordfence har ett 4,8-stjärnigt betyg med 3+ miljoner aktiva installationer

Till skillnad från Sucuri är Wordfence en lokaliserad brandvägg. Den finns kvar på webbservern och är inte en molntjänst. Därför kan den utföra genomsökningar på serversidan på en djupare nivå och ge fullständig end-to-end-kryptering.

Men denna fördel kommer på bekostnad av prestanda.

Varför? Eftersom serverns resurser analyserar trafiken kontrollerar du om det finns något skadligt uppsåt och ignorerar vid behov trafiken. Om du är hosting för din webbplats på en server med färre resurser (t.ex. delad hosting och billiga hanterade hostingplaner) kan din webbplats komma till en genomsökning snabbt.

I händelse av en DDoS-attack kan den stora strömmen av skadlig trafik överbelasta serverns resurser. Inget lokalt säkerhetsplugin kan stå emot det. Detta är Wordfences största svaghet jämfört med Sucuri.

Om du däremot har Sucuris WAF aktiverat filtreras all skadlig trafik till din webbplats ut i molnet innan den når din server.

Men Wordfences lokaliserade WAF är en gratis inbyggd funktion, medan Sucuris moln WAF är ett premiumerbjudande.

Så här fungerar Wordfence

Wordfences brandvägg drivs av dess Threat Defense Feed, som är en snygg term för sin samling av brandväggsregler, skadliga IP-adresser och skadliga signaturer.

Threat Defense Feed är integrerad med Wordfence-plugin installerat på din WordPress-webbplats. Den drivs av din server.

Så här fungerar Wordfence-brandväggen (WAF)
Så här fungerar Wordfence-brandväggen (WAF)

Med Wordfence Premium får du uppdateringar i realtid av Threat Defense Feed. Den innehåller funktioner som:

  • IP-svartlista i realtid, brandväggsregel och signaturuppdateringar för skadlig kod.
  • Premium Support.
  • Webbplats-/IP-rykteskontroller.
  • Blockering på landsnivå.

Gratis användare får de verksamhetskritiska uppdateringarna först efter 30 dagars live. Gratisanvändare får de uppdragskritiska uppdateringarna först efter 30 dagars live. De får inte heller IP-svartlistning i realtid. Även om detta verkar vara ett bra alternativ för personliga webbplatser, kan det vara en viktig punkt om du är hosting för ett företag eller en e-handelswebbplats.

Det finns en fördel med en punkts brandvägg över molnbrandväggar. Eftersom den drivs helt av din server kan den teoretiskt sett inte läcka några data, och den kan inte heller kringgås. Däremot en molnbrandvägg kan läcka data eller kringgås om angriparen känner till serverns IP-adress.

Cloud Brandvägg vs Endpoint Brandvägg (Bildkälla: Wordfence)
Cloud Brandvägg vs Endpoint Brandvägg (Bildkälla: Wordfence)

Säkerhetsinställningar och tillgängliga funktioner

Wordfence finns på webbservern. Därför kan du hitta alla dess inställningar inom din WordPress-instrumentpanel.

Instrumentpanelen är ren och informativ. Det ger dig viktig information och varningar i korthet.

Wordfence-instrumentpanelen
Wordfence-instrumentpanelen

Wordfences skanner utför en integritetskontroll av varje fil på servern. Det varnar dig om det inte är en kärn WordPress-fil eller ett officiellt tema / plugin.

Det matchar texten i serverns filer med den kända skadliga programvaran. Om den hittar något liknande, även om det är en linje eller två, varnar den dig med en varning. Du får också aviseringar om något av dina teman eller plugins har en uppdatering tillgänglig.

Nu går vi till Wordfences brandväggspanel. Här kan du hantera Wordfences WAF-inställningar och optimera konfigurationen.

Wordfences brandväggsinställningar är mestadels automatiserade
Wordfences brandväggsinställningar är mestadels automatiserade

När du först installerar Wordfence kommer dess WAF att vara i inlärningsläge i en vecka som standard. Detta gör det möjligt att studera din webbplats och besökare noggrant, så den förstår vilka regler som ska gälla för att bara låta legitim trafik genom brandväggen.

Funktionen IP-svartlista i realtid är endast tillgänglig för premiumanvändare.

Med Brute Force Protection aktiverat skyddar Wordfence dig från angripare genom att låsa deras konto efter några misslyckade lösenords gissnings försök. Det tvingar dig också att ändra ditt lösenord om det tycker att det är för svagt för att gissa lätt.

Hantera blockeringsregler för din webbplats från fliken Blockering
Hantera blockeringsregler för din webbplats från fliken Blockering

Under fliken Blockering kan du blockera trafik baserat på IP-adresser, IP-intervall, webbläsare, hostingnamn och referenter. Blockering på landnivå är dock en premiumfunktion. Du kan kombinera alla olika blockeringsregler och spara dem som en blocktyp.

Aktivera hastighetsbegränsande och avancerade blockeringsregler härifrån
Aktivera hastighetsbegränsande och avancerade blockeringsregler härifrån

Under avsnittet Brandväggsalternativ kan du vitlista IP-adresser och -tjänster, ange IP-adresser som ska ignoreras för WAF-aviseringar, konfigurera hastighetsbegränsning och webbadresser för en vitlista.

Med Wordfence kan du också blockera IP:s som har åtkomst till vissa webbadresser. Detta är användbart om någon upprepade gånger undersöker din webbplats för kända sårbarheter.

Låt oss sedan gå över till fliken Skannerinställningar.

Hantera dina Inställningar för Wordfence-skanning härifrån
Hantera dina Inställningar för Wordfence-skanning härifrån

Här hittar du Wordfences skanningsuppgifter. De tre första testerna är kontroller för skräppost och svart lista, och de är reserverade endast för premiumanvändare.

Om skanningen upptäcker något utöver det vanliga, kommer det att ge dig en varning.

Under avsnittet Skanningsalternativ och schemaläggning kan du ange skanningskänslighet, skanningsfrekvens och vitlistfiler. Du kan också optimera skanningar för prestanda på din installation.

Wordfence har omfattande skannings- och schemaläggningsalternativ
Wordfence har omfattande skannings- och schemaläggningsalternativ

Wordfence levereras med ett gäng andra praktiska verktyg.

Live Trafik-verktyget hjälper dig att se vad som händer på din webbplats i realtid. Du kan bara filtrera den efter säkerhetsrelaterad trafik. Detta visar dig alla användarinloggningar, hackförsök och skadliga förfrågningar.

Live Trafik är Wordfences coolaste men resurskrävande funktion
Live Trafik är Wordfences coolaste men resurskrävande funktion

Även om det är en cool funktion att ha, använder Live Trafik mycket av serverns resurser. Jag rekommenderar att du stänger av den när den inte används.

Andra verktyg är Whois-sökning, Import-/exportalternativ och Diagnostik.

Du kan också aktivera tvåfaktorsautentisering (2FA) för alla inloggningar på din WordPress-webbplats med Wordfences inloggningssäkerhetsmodul. Det var tidigare en premiumfunktion, men nu är den tillgänglig gratis.

Aktivera tvåfaktorsautentisering på din webbplats enkelt
Aktivera tvåfaktorsautentisering på din webbplats enkelt

Du kan använda kostnadsfria mobilappar som Google Authenticator, FreeOTP eller Authy (min personliga rekommendation) att inrätta 2FA.

Fliken Säkerhetsinställningar för inloggning i Wordfence
Fliken Säkerhetsinställningar för inloggning i Wordfence

Du kan aktivera 2FA för alla användarroller. Det är ett bra sätt att skydda dig själv och dina användare från brute force-attacker som lösenords gissningar och autentiseringsfyllning.

Du kan ställa in en IP-vitlista för 2FA, så att vissa IP-adresser inte behöver gå igenom extra säkerhetskontroller när du loggar in. Om du mestadels arbetar från en enda plats hjälper den här funktionen dig att undvika att gå igenom 2FA varje gång du loggar in.

Andra inloggningssäkerhetsfunktioner för att stoppa brute force-attacker inkluderar:

  • Begränsa antalet försök med ”glömt lösenord” och inloggningsfel. Efter ett visst antal försök blir användaren utelåst.
  • Framtvinga starka lösenord för hela webbplatsen.
  • Förhindra användarregistreringar med vissa användarnamn (t.ex. admin)
  • Blockera personer som försöker logga in med specifika användarnamn omedelbart (t.ex. admin, yoursite_admin, etc.).
  • Inaktivera XML-RPC autentisering, en vanlig attackvektor som används för att injicera skadlig kod.

Slutligen innehåller Wordfence en panel med alla alternativ där du kan hitta varje Wordfence-inställning. Med tanke på de omfattande alternativen som finns tillgängliga under Wordfence är detta superanvändbart.

Visa alla Wordfences alternativ från panelen Alla alternativ
Visa alla Wordfences alternativ från panelen Alla alternativ

Användarvänlighet

När det gäller användarvänlighet är Wordfence jämförbart med Sucuri Säkerhet och är superenkelt att använda. När du har installerat och aktiverat plugin-programmet kommer Wordfence omedelbart att gå in i inlärningsläge i en vecka.

Baserat på serverns inställningar och trafik tillämpas automatiskt de rekommenderade brandväggs- och skanningsinställningarna. Enligt min erfarenhet är dessa inställningar mer än tillräckligt för att skydda dig mot de flesta attacker.

Inloggningssäkerhetsfunktionerna är enkla att konfigurera och driva igenom.

Om din webbplats är under en DDoS-attack kan Wordfence ta servern till en genomsökning. I de mest extrema fallen kan servern vara så överväldigad att den låser dig från att komma åt din WordPress-administratörspanel.

Eftersom Wordfence är en lokaliserad lösning har du full kontroll över inställningarna. Även om detta kan vara till hjälp om du är tekniskt skicklig, kan det för de flesta WordPress-användare vara ett krångel.

Sammantaget tycker jag att Wordfence är lätt som paj, så länge det fungerar som avsett.

Hur Wordfence funkar på webbsäkerhet

Förebyggande

Till skillnad från Sucuris gratislösning som inte innehåller en brandvägg har Wordfence möjlighet att stoppa de flesta attacker. Det tillämpar inte bara standardåtgärder för säkerhetshärdning, utan det kommer också med en WAF på serversidan.

Men de senaste hotuppdateringarna är bara tillgängliga för premiumanvändare. Gratis användare får uppdateringar 30 dagar efter att de har gått live. Och eftersom din webbserver driver Wordfence (och inte molnet), även med premiumvalet, får du klara dig själv mot en DDoS-attack.

Jag kan förstå affärsbehovet bakom detta beslut, men för säkerheten tycker jag att Sucuris allt-eller-inget-strategi är bättre. Åtminstone tror du inte att du är skyddad mot de mest populära hoten medan du inte är det.

Med det sagt gör premiumversionen av Wordfence ett bra jobb med att förhindra de flesta säkerhetsattacker. Deras blogg Och YouTube-kanal är bra resurser för att hålla dig uppdaterad om de senaste WordPress-säkerhetshoten.

Upptäckt

Det kostnadsfria Wordfence-pluginet fungerar ganska bra för att upptäcka de flesta säkerhetsproblem. Men du behöver dess premiumpaket för att sniffa upp de senaste hoten.

Om en hackare framgångsrikt har låst dig från din webbplats finns det dock inget sätt att granska loggarna som i Sucuri. Således är det mycket svårare att undersöka hackningar.

Du har ingen annan utväg än att kontakta din hostings eller en säkerhetstjänst från tredje part, som ironiskt nog också inkluderar Wordfence.

Jämfört med Sucuri har Wordfence en grundläggande anpassningsfunktion för aviseringar, och det gör jobbet bra. Den varnar dig snabbt om den hittar en säkerhetsavvikelse.

Svar och återställning

Som nämnts tidigare är du kvar för att ta hand om dig själv med den kostnadsfria versionen av Wordfence. Men även med premiumpaketet erbjuder Wordfence ingen svars- och återställningstjänst.

Här är en offert som är hämtad direkt från Wordfences användarvillkor:

”Vårt stöd som erbjuds för Wordfence Premium är begränsat till 2 timmars support per incident. Vi förbehåller oss rätten att neka ytterligare stöd eller att ta betalt för ytterligare stöd utöver de två timmars support.”

För en fullständig upplösning måste du gå till deras separata tjänst som heter WordPress webbplatsrengöring. Det är prissatt till $ 179 per instans (plus överspänningsavgifter baserat på efterfrågan).

Wordfence WordPress webbplatsrengöringstjänst
Wordfence WordPress webbplatsrengöringstjänst

Deras WordPress webbplatsrengöringstjänst inkluderar:

  • Rengör den infekterade webbplatsen genom att ta bort alla skadliga kodar och länkar.
  • Undersöker hur platsen blev infekterad.
  • Ger en djupgående rapport om undersökningen och infektionsborttagningen.
  • Använder webbplatsen för borttagning från svarta listor mot skadliga koder och skräppost.
  • Anger en checklista för att undvika framtida attacker.

Jag har inte använt deras rengöringstjänst ännu, men det verkar tillräckligt omfattande. Här är ett par bra recensioner som jag hittade på Twitter:

Dr. David Miles, chefredaktör, global politik
Dr. David Miles, chefredaktör, global politik
Rachel Bustin, Familjelivsbloggare
Rachel Bustin, Familjelivsbloggare

Jämfört med Sucuris skadlig kod-borttagning och hackings saneringstjänst, som ingår i premium Sucuri-plattformen, verkar Wordfences webbplatsrengöringstjänst dyrare.

Och med Sucuri får du obegränsade borttagningar av skadlig kod under din prenumerationsperiod, medan Wordfences tjänst för borttagning av skadlig kod är för ett enda jobb. Om din webbplats blir infekterad med skadlig programvara igen några månader senare måste du betala samma avgift igen för borttagning.

Wordfence-prissättning

Du kan ladda ner Wordfences säkerhetsplugin gratis. Från och med nu är det det högst rankade och mest installerade säkerhetsplugin på WordPress plugin-lagringsplats.

Wordfence Premium börjar på $ 99 / år för 1 webbplats. Du får rabatt om du lägger på ytterligare webbplatser till din beställning. Ju fler webbplatser du lägger till, desto större rabatt!

Wordfence Premium Prissättning
Wordfence Premium Prissättning

Hur säkerhetsplugin påverkar webbplatsens prestanda

WordPress plugins är inte bara de största säkerhetsriskerna, utan de är också en av de stora prestationsmördare. Säkerhetsplugin är särskilt de främsta syndarna, tack vare deras alltid på-krav- och skanningsfunktioner.

Molnbaserade säkerhetslösningar som Sucuri Brandvägg eller Molnflare är supersnygga om du behöver extra skydd, särskilt om du står inför robotar och proxytrafik.

Sammanfattning

Sucuri vs Wordfence. Vad är det bästa valet?

Å ena sidan är Sucuri den bättre lösningen av de två för webbsäkerhet och prestanda, särskilt om du driver en verksamhetskritisk företags- eller e-handelswebbplats.

Men om du letar efter en gratis webbbrandvägg är Wordfence en kraftigare lösning. Om det är ditt val, föreslår jag att du parar ihop det med en pålitlig gratis CDN, som Cloudflare.

I slutet av dagen handlar allt om din hosting. En bra hostings kommer att ta hand om de flesta säkerhetsåtgärder för dig. De förstår att prestandan som slås till mot deras servrar och tjänster som orsakas av plugins från tredje part är inte värt besväret.

Helst bör din hosting låsa koder för att endast vara körbar på begränsade platser och instanser. Och begränsa sedan skrivuppladdningar till endast kodens respektive mapp. Med några fler säkerhetshärdningsåtgärder som läggs till på servernivå skulle detta göra WordPress säkerhetsplugin överflödiga.

I slutändan är webbplatssäkerhet en resa och inte en destination. Jag rekommenderar att du tar den bästa vägen framåt!

Salman Ravoof

Salman Ravoof is a self-taught web developer, writer, creator, and a huge admirer of Free and Open Source Software (FOSS). Besides tech, he's excited by science, philosophy, photography, arts, cats, and food. Learn more about him on his website, and connect with Salman on Twitter.