8 migliori plugin di sicurezza per WordPress per bloccare il tuo sito

WordPress alimenta oltre il 35% di tutti i siti Web su Internet, il che lo rende un bersaglio succoso per gli attori malintenzionati di tutto il mondo.

Se vuoi proteggere il tuo sito Web o i siti Web dei tuoi clienti, un plug-in di sicurezza dedicato può fare gran parte del lavoro pesante per te.

Per aiutarti a scegliere il miglior plug-in di sicurezza di WordPress per le tue esigenze, abbiamo raccolto otto fantastiche opzioni che possono aiutarti con il rafforzamento della sicurezza, i firewall e la scansione del malware.

Entriamo nel vivo, iniziando con una rapida panoramica di ciò che effettivamente fa la maggior parte dei plugin di sicurezza di WordPress.

La sicurezza di WordPress è un argomento piuttosto ampio, quindi quando dico "plugin per la sicurezza di WordPress", questo può comprendere una gamma di funzionalità diverse.

Quindi, prima di entrare nei plugin, esaminiamo quali sono queste diverse funzionalità di alto livello in modo che tu sappia cosa sta facendo ciascuno di questi strumenti.

Il rafforzamento della sicurezza di base è una specie di catch-all per "modifiche alla configurazione o strumenti che rendono il tuo sito Web WordPress più sicuro".

Ad esempio, i plug-in di sicurezza di solito ti aiutano a proteggere la tua pagina di accesso con funzionalità come:

• Limitazione dei tentativi di accesso
• Autenticazione a due fattori
• Modifica dell'URL di accesso di WordPress
• Applicazione di password complesse
• Impostazione delle scadenze delle password
• Aggiungere un CAPTCHA

Sono tutte tattiche di indurimento.

Altre popolari strategie di rafforzamento includono il monitoraggio dei file principali di WordPress per rilevare se qualcosa è stato modificato, la disattivazione delle funzionalità di WordPress come XML-RPC, l'interruzione dell'enumerazione degli utenti, ecc.

Un'altra tattica che vedrai spesso menzionata è un firewall.

In sostanza, un firewall di un sito Web è qualcosa che si trova tra il tuo sito WordPress e i suoi visitatori. I visitatori regolari non hanno problemi a utilizzare il tuo sito, ma se il firewall rileva attività dannose (tramite indirizzo IP, azioni, ecc.), bloccherà quel visitatore prima che possa causare un problema.

Con WordPress, vedrai questo chiamato firewall per applicazioni Web o WAF.

È importante notare che non tutti i firewall sono uguali. Cioè, solo perché due plugin offrono entrambi un "firewall", ciò non significa che quegli strumenti siano automaticamente uguali perché un firewall è valido solo quanto le regole che segue.

Alcuni plugin di sicurezza di WordPress, come Wordfence, aggiornano costantemente le regole del firewall in tempo reale per adattarsi alle minacce alla sicurezza emergenti. Altri sono fondamentalmente un insieme statico di regole che non cambiano mai. Entrambi possono essere utili: è solo che uno sarà più efficace nel proteggerti da nuovi tipi di vulnerabilità.

Un'altra parte popolare dei plugin di sicurezza di WordPress è la scansione del malware. Probabilmente hai familiarità con questo concetto dall'esecuzione di scansioni sul tuo computer.

Fondamentalmente, lo strumento eseguirà la scansione del tuo sito alla ricerca di codice dannoso e restituirà un rapporto su tutto ciò che trova.

Ancora una volta, l'efficacia della scansione del malware dipende dalle sue regole e dal suo approccio. Cioè, solo perché due plug-in eseguono entrambi la "scansione del malware", ciò non li rende uguali.

Innanzitutto, proprio come con i firewall, ci sono differenze nelle regole di rilevamento. Uno scanner di malware si basa su "firme di malware" per identificare il malware. Quindi, se il tuo scanner di malware non ha una firma per una minaccia emergente, potrebbe non essere in grado di rilevarla.

Secondo, hai l'approccio. Alcuni plugin/strumenti, come il popolare strumento Sucuri SiteCheck, scansionano solo il front-end del tuo sito. Questo può rilevare malware rilevabile dal front-end del tuo sito Web, ma non rileverà il malware in agguato nascosto sul tuo server.

Per rilevare il malware che non si manifesta sul front-end del tuo sito, dovresti utilizzare uno scanner di malware che scansiona tutti i file sul tuo server.

Con questa introduzione fuori mano, ti aiutiamo a scegliere il miglior plug-in di sicurezza per WordPress per le tue esigenze.

Ecco gli otto plugin che esamineremo:

1. Sucuri
2. iThemes Sicurezza
3. All In One WP Sicurezza e Firewall
4. Sicurezza a prova di proiettile
5. Jetpack
6. SecuPress
7. Sicurezza di Cerber
8. Wordfence

Sucuri è un altro popolare strumento di sicurezza del sito web. Ci sono due parti di Sucuri:

1. Un plugin gratuito su WordPress.org
2. Un firewall a pagamento, monitoraggio e servizio di pulizia degli hacker

Il plugin gratuito su WordPress.org ti aiuta principalmente con il rafforzamento della sicurezza di base.

Ti darà varie regole e suggerimenti che puoi applicare, come disabilitare il plugin in-dashboard e la modifica del tema e bloccare l'esecuzione di PHP in alcune directory sensibili.

Altre funzionalità di sicurezza includono la possibilità di:

• Monitora l'integrità dei file per i file principali
• Tieni traccia dei tentativi di accesso non riusciti
• Ricevi notifiche di avviso di sicurezza per varie azioni
• Elenca script e iframe sul tuo sito.

Oltre a ciò, il plug-in viene fornito anche con il servizio Sucuri SiteCheck per la scansione di malware. Tuttavia, è importante capire che questo servizio esegue solo la scansione del front-end del tuo sito alla ricerca di problemi: non eseguirà la scansione dei file sul tuo server come alcune altre scansioni di malware. Inoltre, non è necessario il plug-in per utilizzare questo strumento: è possibile eseguirlo dal sito Web Sucuri.

Per maggiore sicurezza, il plug-in può aiutarti a connetterti al servizio firewall Sucuri a pagamento. Questo firewall è un WAF basato su cloud con regole regolarmente aggiornate dal team Sucuri. Il firewall ti consente anche di:

• Whitelist o blacklist determinati indirizzi IP
• Blocca interi paesi
• Proteggi le aree sensibili (come la dashboard/il login di WordPress) con CAPTCHA, autenticazione a due fattori o password aggiuntive.

Il servizio Sucuri a pagamento può anche aiutare a proteggere il tuo sito dagli attacchi DDoS.

Prezzo: il plugin Sucuri è gratuito al 100%. Il firewall Sucuri costa $ 19,98 al mese e l'intera piattaforma Sucuri (che include il rilevamento e la pulizia del malware) costa $ 299,99 all'anno.

iThemes Security è un plug-in di sicurezza freemium di...iThemes, da cui il nome. Se non hai familiarità, iThemes è uno sviluppatore popolare dietro una gamma di plugin, incluso BackupBuddy. iThemes è stata acquisita da Liquid Web nel 2018.

iThemes Security si concentra sul rafforzamento della sicurezza di WordPress. Ti consente di connetterti al servizio Sucuri SiteCheck per il rilevamento del malware front-end, ma potresti semplicemente eseguire questa funzione dal sito Web di Sucuri, quindi non è davvero una scansione malware integrata.

Non pubblicizza un firewall, ma include funzionalità che ti consentono di bloccare alcuni bot e indirizzi IP. C'è anche una funzione di "protezione dalla forza bruta della rete" che può bloccare automaticamente gli indirizzi IP che hanno provato a forzare altri siti WordPress.

Per quanto riguarda il rafforzamento della sicurezza, iThemes Security può aiutarti a proteggere il tuo processo di accesso con funzionalità come:

• Limita i tentativi di accesso
• Modifica l'URL di accesso di WordPress
• Google reCAPTCHA (a pagamento)
• Autenticazione a due fattori (a pagamento)
• Forte applicazione della password
• Scadenza password (a pagamento)

Offre anche una modalità "Away" con la quale puoi praticamente bloccare il tuo sito durante i periodi in cui non ti accedi.

Altre funzionalità di rafforzamento della sicurezza includono:

• Rilevamento modifica file
• Cambia il prefisso del database
• Disattiva la modifica dei file nella dashboard
• Registrazione delle azioni dell'utente (a pagamento )
• Cambia il percorso del contenuto wp

Se hai bisogno di gestire più siti WordPress, ha anche un'integrazione con iThemes Sync.

Prezzo: versione gratuita su WordPress.org. La versione a pagamento parte da $ 80.

All In One WP Security & Firewall è un popolare plug-in di sicurezza per WordPress gratuito al 100%.

Ti aiuta a implementare un sacco di diverse funzionalità di rafforzamento della sicurezza come:

• Cambia il prefisso del database di WordPress
• Monitora i permessi dei file
• Disabilita la modifica dei file nella dashboard
• Monitoraggio dell'integrità dei file
• Nascondi il numero di versione di WordPress

Include anche funzionalità per proteggere il tuo processo di accesso come:

• Limita i tentativi di accesso
• Forza la disconnessione degli utenti dopo un certo periodo di tempo
• Aggiungi reCAPTCHA per la protezione dell'accesso
• Autorizza determinati indirizzi IP
• Interrompi l'enumerazione degli utenti

Ti fornirà anche un "misuratore di forza della sicurezza" per aiutarti a migliorare la sicurezza del tuo sito.

All In One WP Security & Firewall include quello che chiama un firewall, ma non è così robusto come qualcosa come Wordfence o Sucuri. È più un insieme statico di regole: non si adatta alle minacce emergenti come gli altri plugin.

Prezzo: 100% gratuito su WordPress.org.

BulletProof Security è un'altra opzione che offre un approccio all-in-one alla sicurezza di WordPress con:

• indurimento
• Firewall
• Scansione malware

La versione gratuita offre l'indurimento di base come:

• Sicurezza dell'accesso
• Cambia il prefisso della tabella del database
• Registrazione di sicurezza
• Backup del database

Include anche la scansione del malware nella versione gratuita, mentre la versione a pagamento include la protezione in tempo reale con AutoRestore|Quarantine Intrusion Detection and Prevention System (ARQ IDPS) di BulletProof Security.

La versione a pagamento aggiunge anche altre funzionalità come:

• Monitoraggio del database e controllo differenziale
• Carica protezione
• Plugin firewall

L'interfaccia utente sembra piuttosto datata e non è piacevole come altri strumenti, ma BulletProof Security è ben considerata quando si tratta della sua efficacia.

Prezzo: versione gratuita su WordPress.org. La versione a pagamento parte da $ 69,95.

Jetpack è un popolare plug-in all-in-one di Automattic, le stesse persone dietro WordPress.com e WooCommerce.

A differenza di tutti gli altri plugin in questo elenco, Jetpack non si concentra solo sulla sicurezza di WordPress, ma include molte funzionalità di sicurezza nei suoi piani gratuiti ea pagamento.

La versione gratuita aiuta a proteggere il tuo accesso a WordPress con la protezione dalla forza bruta e l'opzione per utilizzare l'accesso sicuro a WordPress.com. Cioè, puoi accedere al tuo sito WordPress usando le tue credenziali WordPress.com.

Con i piani a pagamento, hai anche accesso a backup e scansioni malware (queste funzionalità erano precedentemente chiamate VaultPress. Ora, VaultPress si è fuso con Jetpack).

Le funzionalità di backup e scansione sono legate insieme, il che fa parte di ciò che le rende uniche. Con la maggior parte degli strumenti di scansione malware, lo strumento esegue la scansione dei file sul tuo server WordPress effettivo. Questo è utile per catturare malware, ma consuma anche risorse sul server del tuo sito web live.

Con Jetpack, Jetpack esegue prima il backup del tuo sito in una posizione fuori sede. Quindi, esegue la scansione della copia di backup del tuo sito alla ricerca di malware, il che significa che non influirà sulle prestazioni del tuo sito web live.

Come parte delle sue scansioni, Jetpack cerca:

• Modifiche ai file principali di WordPress
• Shell basate sul Web
• Vulnerabilità di TimThumb

Se Jetpack trova qualcosa di dannoso, può aiutarti a risolvere il problema.

Prezzo: alcune funzionalità sono disponibili nella versione gratuita. La scansione del malware è disponibile con il piano Premium e versioni successive, che parte da $ 9 al mese. Questo ti dà anche accesso a molte altre funzionalità di Jetpack.

SecuPress è un altro noto plugin per la sicurezza di WordPress disponibile sia in versione gratuita che a pagamento.

SecuPress è stato originariamente lanciato da WP Media, la stessa azienda dietro il popolare plugin WP Rocket. Tuttavia, WP Media ha successivamente rilasciato la proprietà all'attuale proprietario (che era uno dei co-fondatori di WP Media). Fondamentalmente, è un lungo modo per dire che vedrai alcune somiglianze nel design con WP Rocket, ma i due non sono più la stessa entità.

Con la versione gratuita puoi:

• Blocca indirizzi IP e bot dannosi
• Proteggi il tuo login da attacchi di forza bruta
• Nascondi la pagina di accesso
• Nascondi le tue versioni di WordPress e WooCommerce
• Gestisci XML-RPC e API REST
• Registra importanti azioni dell'utente

Hai anche un firewall nella versione gratuita.

La versione premium aggiunge funzionalità aggiuntive come:

• Autenticazione a due fattori per proteggere il tuo accesso
• Funzionalità antispam
• Backup per database e file
• Rilevamento di temi o plug-in con vulnerabilità di sicurezza note
• Scansione malware PHP
• Blocco del Paese (geolocalizzazione)
• Pianificazione delle attività

Una caratteristica distintiva di SecuPress è l'interfaccia. Ha l'interfaccia più piacevole di qualsiasi strumento in questo elenco, il che è particolarmente utile se i tuoi clienti lo vedranno mai. Ancora una volta, puoi sicuramente vedere l'influenza di WP Rocket nell'interfaccia.

Prezzo: versione gratuita su WordPress.org. La versione a pagamento parte da $ 65.

Cerber Security è un altro popolare plug-in di sicurezza WordPress all-in-one fornito con:

• Rafforzamento della sicurezza
• Firewall
• Scansione malware

Prima di tutto, è ricco di regole di rafforzamento della sicurezza come:

• Modifica della pagina di accesso di WordPress
• Disabilitare PHP nella cartella dei caricamenti
• Interruzione dell'enumerazione degli utenti
• Limitazione dei tentativi di accesso
• Monitoraggio dell'integrità dei file
• Autenticazione a due fattori

Puoi anche impostare regole, come il blocco automatico di qualsiasi indirizzo IP che tenti di accedere con un nome utente inesistente. Puoi anche creare criteri personalizzati basati sui ruoli, come richiedere due fattori per gli utenti amministratori e disconnetterli automaticamente dopo un certo periodo di tempo.

Come parte del firewall, ottieni un ispettore del traffico in tempo reale in cui puoi vedere tutto ciò che sta accadendo sul tuo sito, incluso il monitoraggio sia delle sessioni di accesso che dei visitatori. Ottieni anche regole di blocco geografico.

Infine, ottieni scansioni di malware, inclusa la possibilità di pianificare le scansioni per l'esecuzione automatica.

Se devi gestire più siti, include anche una funzione Cerber.Hub che ti consente di gestire più siti da un'unica dashboard. Questa dashboard è self-hosted, a differenza di Wordfence. Designerai un sito WordPress come "Master" e poi "Slave" altre installazioni su quella dashboard principale.

Prezzo: versione gratuita su WordPress.org. La versione a pagamento parte da $ 99.

Innanzitutto, WordPress include tonnellate di strumenti per aiutare con il rafforzamento della sicurezza di base di WordPress come:

• Disabilitare l'esecuzione del codice nella directory dei caricamenti
• Nascondere la tua versione di WordPress
• Interruzione dell'enumerazione degli utenti

Hai anche una scheda dedicata alla sicurezza dell'accesso dalla quale puoi controllare le misure di sicurezza dell'accesso come:

• Utilizzo dell'autenticazione a due fattori (per tutti gli utenti o solo per determinati ruoli utente)
• Disabilitazione dell'autenticazione XML-RPC
• Aggiunta di reCAPTCHA nella pagina di accesso
• Limitazione dei tentativi di accesso non riusciti (fa parte del firewall)
• Applicazione di password complesse

Wordfence include anche il proprio WAF . Il team di Wordfence aggiunge continuamente nuove regole in tempo reale per adattarsi alle minacce emergenti. È inoltre possibile configurare il funzionamento del firewall, ad esempio l'inserimento nella whitelist di determinati indirizzi IP e servizi.

Puoi anche bloccare immediatamente gli indirizzi IP che tentano di accedere a determinati URL sensibili. E con la versione premium, puoi bloccare interi paesi con il targeting geografico.

Infine, ottieni anche scansioni malware dettagliate. Queste scansioni possono scansionare tutti i file sul tuo server, oltre a controllare altri problemi di sicurezza come:

• Link dannosi nei commenti
• Utenti amministratori appena creati
• Temi o plugin non aggiornati
• Password deboli

Quindi è una specie di "scansione generale dei punti deboli della sicurezza di WordPress" che include anche la scansione del malware.

Ottieni anche regole per configurare la frequenza e la profondità della scansione, che possono aiutarti a controllare le risorse del server che consumano le tue scansioni.

Se gestisci molti siti WordPress ( come i siti client ), Wordfence include anche uno strumento Wordfence Central che ti consente di gestire la sicurezza di tutti i tuoi siti da un'unica posizione centrale. Puoi anche creare modelli di impostazioni di Wordfence che puoi applicare rapidamente a nuovi siti e ricevere avvisi quando succede qualcosa su uno dei tuoi siti.

Il plugin principale di Wordfence e la maggior parte delle funzionalità sono gratuiti. Tuttavia, c'è una notevole differenza quando si tratta delle regole che Wordfence utilizza per il firewall e le scansioni di malware.

Con la versione premium, ottieni aggiornamenti in tempo reale a tali regole. Quindi, non appena Wordfence rileva una minaccia (di cui è piuttosto proattivo ), Wordfence aggiunge immediatamente quelle regole al tuo sito.

Tuttavia, con la versione gratuita, gli aggiornamenti delle regole vengono ritardati di 30 giorni.

Prezzo: Wordfence è disponibile gratuitamente su WordPress.org. La versione a pagamento parte da $ 99 per l'utilizzo su un singolo sito, con sconti sul volume per un numero maggiore di siti.

No! Non da un colpo lungo.

Sebbene tutti questi plug-in di sicurezza aiutino sicuramente a proteggere il tuo sito Web, la sicurezza di WordPress non è semplice come installare un plug-in e chiamarlo un giorno.

Ciò non significa che i plug-in di sicurezza non siano utili, significa solo che se non stai facendo bene le piccole cose, nemmeno un plug-in di sicurezza sarà in grado di salvarti.

Una delle cose più importanti in assoluto che puoi fare è aggiornare prontamente il software principale di WordPress , i tuoi plugin e il tuo tema, specialmente per le versioni di sicurezza minori (ad esempio WordPress 5.4.X ).

Secondo il rapporto Hacked Website di Sucuri del 2019 , circa la metà di tutti i siti WordPress utilizzava una versione obsoleta del software di base quando il sito è stato infettato. Inoltre, il 44% dei siti Web compromessi utilizzava un plug-in obsoleto.

Per farla breve, le seguenti azioni sono altrettanto importanti, se non più importanti, dell'utilizzo di un plug-in di sicurezza di WordPress:

• Aggiornamento tempestivo del tuo sito e delle sue estensioni per i rilasci di sicurezza.
• Stai attento alle estensioni che scegli (e non installando mai plugin annullati da fonti discutibili).
• Utilizzo di password complesse, in particolare sugli account amministratore.

Per ulteriori suggerimenti, consulta la nostra guida completa su come proteggere il tuo sito WordPress .

E se non sei sicuro di quale plugin scegliere, di certo non sbaglierai con Wordfence come prima opzione.