Free Press

Prima di tuffarci in alcuni plugin di sicurezza per WordPress, iniziamo con un esempio. Diciamo che si acquista una nuova casa. Questo nuovo eccitante investimento richiede un pesante acconto che probabilmente non siete abituati a spendere. E, naturalmente, si è colpiti da spese di ispezione prima dell’acquisto. Poi arrivano le rate del mutuo e dell’assicurazione, che escono direttamente dalle tue tasche.

Si dice che l’acquisto di un immobile è uno dei migliori investimenti che si possano fare, ma questo investimento è molto costoso. Per un investimento di così alto valore (e qualcosa che potrebbe farvi guadagnare molti soldi in futuro), non vorreste proteggerlo al meglio delle vostre possibilità?

E’ per questo che si compra un’assicurazione e si considera la creazione di un sistema di allarme o di alcune telecamere di sicurezza. Molti esperti suggeriscono di mettere almeno un cartello con un sistema di sicurezza sulla porta, per spaventare quelli che non vogliono rischiare. Tutta questa sicurezza ha lo scopo di proteggere l’investimento iniziale, insieme al potenziale per quell’investimento in futuro.

E dovreste pensare allo stesso modo quando si tratta del vostro sito web WordPress.

Iniziare un blog, un sito ecommerce o un sito di piccole imprese richiede un investimento iniziale per le voci di servizi e prodotti come hosting, temi, plugin e sviluppo del sito web. Questo non include nessun aiuto che devi assumere, come i rappresentanti del servizio clienti o i venditori.

Questo investimento iniziale da solo è sufficiente per assicurare il tuo sito web dall’inizio. Ma ancora più importante, stai facendo in modo di non dimenticare di proteggere il potenziale denaro che guadagnerai in futuro.

Di default, il core di WordPress ha alcune misure di sicurezza in atto, ma non è nulla rispetto a ciò che un plugin di sicurezza rispettabile fa per te. Per esempio, i migliori plugin di sicurezza di WordPress forniscono quanto segue:

• Monitoraggio attivo della sicurezza
• Scansione dei file
• Scansione malware
• Monitoraggio delle blacklist
• Security hardening
• Azioni postazioni post- hacking
• Firewall
• Protezione da attacchi brutali
• Notifiche quando viene rilevata una minaccia alla sicurezza
• Molto di più

La tua prima priorità dovrebbe essere un hosting sicuro

La sicurezza del tuo sito è buona solo quanto il backend e la base su cui viene eseguito. Ecco perché è importante, prima di cercare plugin di sicurezza, scegliere un host WordPress che ha misure di sicurezza già in atto, come Kinsta. Molte di queste misure di sicurezza sono fatte a livello di server, e possono essere molto più efficaci, senza danneggiare le prestazioni del vostro sito. Per non parlare del fatto che non dovrete passare il tempo a smanettare con un mucchio di impostazioni di sicurezza nei plugin di cui potreste anche non capire la funzionalità o lo scopo.

Ecco alcune caratteristiche di sicurezza che Kinsta offre su tutti i piani di hosting gestito WordPress.

• Kinsta rileva gli attacchi DDoS, controlla il tempo di attività e vieta automaticamente gli IP che hanno più di 6 tentativi di accesso falliti in un minuto.
• Solo le connessioni cifrate SFTP e SSH (nessun FTP) sono supportate quando si accede direttamente ai vostri siti WordPress (ecco la differenza tra FTP e SFTP).
• Firewall hardware, insieme ad altre misure di sicurezza attive e passive sono in atto per impedire l’accesso ai vostri dati.
• Le nostre restrizioni open_basedir non consentono inoltre l’esecuzione di PHP in directory comuni che sono inclini a script dannosi.
• Kinsta utilizza contenitori Linux (LXC) sopra Google Cloud Platform (GCP) che fornisce un isolamento completo non solo per ogni account, ma per ogni sito WordPress separato. Questo è un metodo molto più sicuro di quello offerto da altri concorrenti. GCP impiega anche la crittografia dei dati a riposo.
• Kinsta esegue solo versioni supportate di PHP: 7.2, 7.3 e 7.4. Le versioni non supportate di PHP sono pericolose per il fatto che non hanno più aggiornamenti di sicurezza e sono esposte a vulnerabilità di sicurezza non patchate.
• Nulla è mai a prova di hacking al 100%, ed è per questo che Kinsta fornisce correzioni gratuite per tutti i clienti.

È importante notare che molti plugin di sicurezza causano problemi di prestazioni a causa delle loro funzionalità always-on e di scansione. Ecco perché Kinsta vieta alcuni plugin di sicurezza (non tutti). Kinsta utilizza anche bilanciatori di carico con Google Cloud Platform, il che significa che in alcuni casi le funzioni di blocco degli IP di alcuni plugin di sicurezza non funzioneranno come previsto.

Se sei un cliente di Kinsta ti consigliamo vivamente di utilizzare una soluzione come Cloudflare o Sucuri, insieme a Kinsta, se hai bisogno di una protezione extra o di aiuto per diminuire il traffico bot e o proxy. Guardate il nostro post sul blog su come Sucuri ha aiutato a mitigare facilmente un attacco DDoS. Per gli utenti di Cloudflare, queste sono le nostre impostazioni di firewall raccomandate.

Tuttavia, non tutti gli host hanno una sicurezza così stretta come Kinsta, ed è qui che i plugin di sicurezza per WordPress possono essere molto utili.

I migliori plugin di sicurezza per WordPress nel 2021

Se avete fretta, sentitevi liberi di cliccare sui seguenti link per provare i plugin di sicurezza e prendere le vostre decisioni. Se volete vedere la nostra analisi approfondita, continuate a leggere!

La maggior parte dei plugin di sicurezza che valgono la pena hanno un prezzo, ma ce ne sono alcuni che vengono con funzionalità limitate gratuitamente.

Parleremo dei prezzi, ma è più importante capire cosa farà ogni plugin per voi. In definitiva, si tratta di capire il modo migliore per tenere i cattivi lontano dal vostro investimento, e a volte questo significa spendere un po’ di soldi.

1. Sucuri Security – Auditing, Malware Scanner e Security Hardening

Il plugin Sucuri Security offre sia versioni gratuite che a pagamento, ma la maggior parte dei siti web dovrebbe andare bene con il plugin gratuito. Per esempio, il firewall del sito web richiede di pagare per un piano Sucuri, ma non tutti i webmaster sentono di aver bisogno di quel tipo di sicurezza.

Per quanto riguarda le caratteristiche gratuite, il plugin viene fornito con il controllo delle attività di sicurezza per vedere come il plugin sta proteggendo il tuo sito web. Ha il monitoraggio dell’integrità dei file, il monitoraggio della lista nera, le notifiche di sicurezza e l’irrigidimento della sicurezza. I piani premium aprono canali di assistenza clienti e scansioni più frequenti. Per esempio, si potrebbe desiderare una scansione da completare ogni 12 ore. Per questo, pagheresti circa $17 al mese.

Caratteristiche che rendono Sucuri Security una grande scelta:

• Offre più varianti di certificati SSL. Devi pagare per questi, ma è disponibile nei pacchetti.
• Il servizio clienti è disponibile sotto forma di chat istantanea e e-mail.
• Si ricevono notifiche istantanee quando qualcosa è sbagliato con il tuo sito web.
• La protezione DDoS avanzata è disponibile attraverso alcuni piani.
• Se non vuoi pagare nulla, ricevi comunque strumenti preziosi per il monitoraggio delle liste nere, la scansione del malware, il monitoraggio dell’integrità dei file e l’irrigidimento della sicurezza.

Altra lettura: Come impostare Sucuri Firewall (WAF) sul vostro sito WordPress

iThemes Security

Il plugin iThemes Security (precedentemente noto come Better WP Security) è uno dei modi più impressionanti per proteggere il vostro sito web, con oltre 30 offerte per prevenire cose come hack e intrusioni indesiderate. Ha una forte attenzione a riconoscere le vulnerabilità dei plugin, il software obsoleto e le password deboli.

Anche se alcune funzioni di sicurezza di base sono incluse nella versione gratuita, consigliamo vivamente di passare a iThemes Security Pro per il basso prezzo di 80 dollari all’anno. Questo fornisce supporto con ticket, un anno di aggiornamenti del plugin e supporto per due siti web. Se vuoi proteggere più siti, hai la possibilità di passare a un piano più costoso.

Per quanto riguarda le caratteristiche principali della versione pro, iThemes Security Pro fornisce una forte applicazione delle password, il blocco degli utenti cattivi, backup del database e autenticazione a due fattori. Questi sono solo alcuni dei modi per proteggere il tuo sito con questo plugin di sicurezza per WordPress. È possibile attivare 30 misure di sicurezza totali, rendendo iThemes Security Pro un grande valore.

Caratteristiche che rendono iThemes Security una grande scelta:

• Il plugin di sicurezza offre il rilevamento delle modifiche ai file, che è importante poiché la maggior parte dei webmaster non si accorge quando un file viene modificato.
• Aggiungi un ulteriore livello di protezione al tuo login utilizzando l’integrazione di Google re.
• Il plugin confronta i tuoi file principali di WordPress con la versione corrente di WordPress, aiutandoti a capire se qualcosa di dannoso è inserito in quei file.
• Aggiorna i tuoi sali e le chiavi di WordPress per aggiungere un ulteriore livello di complessità alle tue chiavi di autenticazione.
• Puoi impostare una “Away Mode” per quando non stai facendo aggiornamenti costanti al tuo sito e vuoi bloccare completamente la tua dashboard WordPress da tutti gli utenti.
• Altri elementi essenziali come il rilevamento 404, la protezione dalla forza bruta e l’applicazione di password forti.

Wordfence Security

Wordfence Security è uno dei plugin di sicurezza per WordPress più popolari, e per una buona ragione. Questo gioiello accoppia la semplicità con potenti strumenti di protezione, come le robuste funzioni di sicurezza del login e gli strumenti di recupero degli incidenti di sicurezza. Uno dei principali vantaggi di Wordfence è il fatto che è possibile ottenere una visione d’insieme delle tendenze del traffico e dei tentativi di hacking.

Wordfence ha una delle soluzioni gratuite più impressionanti, con tutto, dai blocchi firewall alla protezione dagli attacchi brute force. Tuttavia, una versione premium è venduta a partire da circa 99 dollari all’anno per un sito. I creatori del plugin lo rendono anche più economico per gli sviluppatori, fornendo forti sconti quando ci si iscrive per più chiavi del sito. Per esempio, se si acquista 15+ licenze, si otterrà il 25% di sconto o 74,25 dollari per licenza. Nel complesso, vale la pena considerare Wordfence se stai sviluppando più siti web e vuoi proteggerli tutti.

Caratteristiche che rendono WordFence Security una grande scelta:

• La versione gratuita è abbastanza potente per i siti web più piccoli.
• Gli sviluppatori possono risparmiare tonnellate di denaro quando si iscrivono per chiavi multiple.
• Ha una suite completa di firewall con strumenti per il blocco del paese, il blocco manuale, la protezione dalla forza bruta, la difesa dalle minacce in tempo reale e un web application firewall.
• La parte di scansione del plugin combatte malware, minacce in tempo reale e spam. Esamina tutti i tuoi file per il malware, non solo i file di WordPress.
• Il plugin monitora il traffico dal vivo visualizzando cose come l’attività di crawl di Google, i login e i logout, i visitatori umani e i bot.
• Si guadagna l’accesso ad alcuni strumenti unici come l’opzione per accedere con il tuo telefono cellulare e il controllo delle password.
• Il filtro antispam dei commenti rimuove la necessità di installare un plugin separato per questo.
• Monitorizza i tuoi plugin e ti fa sapere se sono stati rimossi dal repository dei plugin di WordPress (di solito perché non sono sicuri o sono stati violati) non vengono più aggiornati e sono stati abbandonati.

WP fail2ban

WP fail2ban offre una caratteristica, ma è piuttosto importante: la protezione dagli attacchi brute force. Il plugin adotta un approccio diverso che molti considerano più efficace di quello che si ottiene da alcuni dei plugin della suite di sicurezza elencati sopra. WP fail2ban documenta tutti i tentativi di login, indipendentemente dalla loro natura o successo, al syslog usando LOG_AUTH. Avete la possibilità di implementare un divieto soft o hard, che è diverso dall’approccio più tradizionale di sceglierne solo uno.

Non c’è molto da sapere in termini di configurazione per il plugin WP fail2ban. Infatti, tutto quello che dovete fare è installarlo e lasciargli fare la sua magia. Inoltre, il plugin di sicurezza brute force è completamente gratuito, quindi non devi preoccuparti di spendere soldi. Questo plugin è veramente uno standout, dal momento che gli utenti riferiscono costantemente che funziona in modo impeccabile.

Caratteristiche che rendono WP fail2ban una grande scelta:

• Scegli tra blocchi duri o morbidi.
• Integrazione con CloudFlare e server proxy.
• Log dei commenti per prevenire lo spam o i commenti malevoli.
• Il plugin registra anche informazioni sullo spam, i pingback e l’enumerazione degli utenti.
• Hai anche la possibilità di creare uno shortcode che blocca gli utenti immediatamente prima ancora di avere la possibilità di raggiungere il processo di login.

All In One WP Security & Firewall

Come uno dei plugin di sicurezza gratuiti più ricchi di funzionalità, All In One WP Security & Firewall fornisce una facile interfaccia e un supporto clienti decente senza alcun piano premium. Questo è un plugin di sicurezza altamente visivo con grafici e metri per spiegare ai principianti metriche come la forza della sicurezza e ciò che deve essere fatto per rendere il tuo sito più forte.

Le caratteristiche sono suddivise in tre categorie: Base, Intermedio e Avanzato. Pertanto, puoi ancora trarre vantaggio dal plugin se sei uno sviluppatore più avanzato. I principali modi in cui questo plugin funziona è proteggendo i vostri account utente, bloccando i tentativi forzati di accesso e migliorando la sicurezza della registrazione degli utenti. La sicurezza del database e dei file è anche confezionata nel plugin.

Caratteristiche che rendono All In One WP Security & Firewall una grande scelta:

• Il plugin di sicurezza di WordPress ha uno strumento di lista nera dove è possibile impostare determinati requisiti per bloccare un utente.
• È possibile eseguire il backup dei file .htaccess e .wp-config. C’è anche uno strumento per ripristinarli se qualcosa va storto.
• Il plugin mostra un grafico per specificare quanto è forte il tuo sito web e un grafico che designa i punti di determinate aree del tuo sito. È una delle migliori caratteristiche per l’utente medio per visualizzare cosa sta succedendo con la sicurezza di un sito.
• Il plugin è gratuito senza alcun upsell lungo la strada.

Jetpack

La maggior parte delle persone che usano WordPress hanno familiarità con Jetpack, ed è soprattutto perché il plugin ha così tante caratteristiche, ma è anche perché il plugin è fatto dalle persone di WordPress.com. Jetpack è pieno di moduli per rafforzare i social media, la velocità del sito e la protezione dallo spam. Ci sono così tante caratteristiche in Jetpack che vale sicuramente la pena esplorare.

Anche alcuni strumenti di sicurezza sono inclusi in Jetpack, rendendolo un plugin interessante per coloro che vogliono risparmiare denaro e fare affidamento su una soluzione affidabile. Per esempio, il modulo Protect è gratuito e blocca le attività sospette. La protezione dagli attacchi di forza bruta e la whitelisting sono anche supportate dalla funzionalità di sicurezza di base di Jetpack.

Detto questo, le versioni a pagamento di Jetpack sono più potenti quando si tratta di sicurezza. Per esempio, il piano da 99 dollari all’anno include la scansione dei malware, i backup programmati del sito web e il ripristino se qualcosa va storto. Inoltre, il piano da 299 dollari all’anno offre scansioni di malware su richiesta e backup in tempo reale per la massima protezione.

Caratteristiche che rendono Jetpack una grande scelta:

• Il piano gratuito fornisce una quantità decente di sicurezza per un piccolo sito web, poi si può passare ai piani premium a prezzi ragionevoli e ottenere supporto completo e un plugin che è uno dei migliori sul mercato.
• I piani premium trasformano il plugin in più di una suite, con vantaggi come il backup, la protezione dallo spam e la scansione di sicurezza.
• Gli aggiornamenti del plugin sono gestiti interamente attraverso Jetpack.
• Si ottiene anche il monitoraggio dei tempi di inattività.
• Jetpack è anche un plugin che elimina la necessità di altri plugin. Per esempio, ha caratteristiche per l’email marketing, i social media, la personalizzazione del sito e l’ottimizzazione.

SecuPress

SecuPress è un plugin di sicurezza più recente sul mercato (originariamente rilasciato come freemium nel 2016), ma è sicuramente uno che sta crescendo rapidamente. È effettivamente sviluppato da Julio Potier, uno dei co-fondatori originali di WP Media, che potresti riconoscere, dato che sviluppano WP Rocket e Imagify. C’è sia una versione gratuita che una versione premium che include un sacco di funzioni aggiuntive.

Se si desidera un plugin di sicurezza che ha una grande interfaccia utente e facile da usare, SecuPress è sicuramente il plugin per andare con. La versione gratuita dispone di login anti-brute force, IP bloccati e un firewall. Include anche la protezione delle vostre chiavi di sicurezza così come i blocchi delle visite da bot cattivi (che di solito si deve pagare per altri plugin di sicurezza).

Se volete ancora più funzioni, le loro versioni premium partono da 59 dollari all’anno per sito e includono funzioni aggiuntive come avvisi e notifiche, autenticazione a due fattori, blocco GeoIP, scansioni malware PHP e rapporti PDF.

Caratteristiche che rendono SecuPress una grande scelta:

• L’interfaccia utente di SecuPress è probabilmente una delle migliori! Questo lo rende molto facile da usare, anche per i principianti.
• La versione premium aggiunge sicuramente un sacco di valore. Controlla 35 punti di sicurezza in 5 minuti, ottieni un bel rapporto e poi indurisci il tuo sito WordPress.
• Include la possibilità di cambiare l’URL di login di WordPress in modo che i bot non possano trovarlo.
• Aiuta a rilevare temi e plugin che sono vulnerabili o che sono stati manomessi per includere codice dannoso.

BulletProof Security

Il plugin BulletProof Security ha sia una versione gratuita che premium. L’opzione a pagamento viene venduta per un pagamento una tantum di 69,95 dollari ed è attivamente sviluppata, aggiornata e probabilmente contiene più caratteristiche della maggior parte degli altri plugin di sicurezza sul mercato. Forniscono una garanzia di rimborso di 30 giorni, e si ricevono caratteristiche per la quarantena, l’allarme e-mail, l’anti-spam, il ripristino automatico e altro ancora.

Ti suggerirei di provare prima il plugin gratuito, poiché offre i seguenti strumenti:

• Sicurezza e monitoraggio del login.
• Salvataggio e ripristino del database.
• MScan Malware Scanner.
• Strumenti anti-spam e anti-hacking.
• Un registro di sicurezza.
• Cartelle di plugin nascoste.
• Modalità di manutenzione.
• Una configurazione guidata completa.

Non è il plugin di sicurezza per WordPress più facile da usare, ma fa il lavoro per gli sviluppatori avanzati che vogliono approfittare di impostazioni e caratteristiche uniche come la guardia anti-exploit e il decoder Base64 online. Ha anche una funzione di configurazione guidata auto-fix per aiutare a renderlo un po’ più facile.

Caratteristiche che rendono BulletProof Security una grande scelta:

• Ha alcuni degli strumenti di sicurezza avanzati più unici sul mercato, con caratteristiche come BPS Pro ARQ Intrusion Detection and Prevention System (ARQ IDPS) soluzioni di crittografia, così come cron programmati, scansioni cURL, blocco delle cartelle e altro.
• La versione gratuita è imballata con abbastanza caratteristiche per il sito web medio.
• I backup del database sono forniti nella versione gratuita.
• È possibile nascondere le singole cartelle del plugin.
• La funzionalità della modalità di manutenzione non è qualcosa che si trova nella maggior parte dei plugin di sicurezza.

WPScan – WordPress Security Scanner

Il plugin di sicurezza WPScan WordPress ha un approccio diverso alla sicurezza, in quanto si avvale di un database di vulnerabilità curato manualmente che viene aggiornato da specialisti della sicurezza dedicati e dalla comunità in generale su base giornaliera. Sponsorizzato da Automattic, il database include più di 21.000 vulnerabilità di sicurezza note.

Grazie ad esso, il plugin WPScan è in grado di eseguire la scansione della versione principale di WordPress, plugin e temi per le vulnerabilità di sicurezza note.

Inoltre, il plugin ha anche vari altri controlli di sicurezza, come la scansione di file di debug log esposti, file wp-config.php sottoposti a backup, utenti con password deboli e altro. WPScan ha un piano API gratuito che dovrebbe essere adatto alla maggior parte dei siti web WordPress, tuttavia, ha anche piani a pagamento per gli utenti che possono avere bisogno di più chiamate API.

Caratteristiche che rendono WPScan una grande scelta:

• Usa il proprio database di vulnerabilità costantemente aggiornato
• Ha opzioni gratuite e a pagamento a seconda delle vostre esigenze
• Controlli di sicurezza aggiuntivi
• Opzioni per inviare notifiche via e-mail quando vengono scoperte vulnerabilità
• È possibile programmare le scansioni da eseguire in momenti specifici

VaultPress

È importante non dimenticare VaultPress, poiché funziona in modo simile a plugin come iThemes Security Pro e Sucuri Scanner. È necessario pagare per ottenere qualsiasi tipo di protezione, ma i piani partono da soli 39 dollari all’anno, rendendolo uno dei plugin di sicurezza premium più accessibili. Il sito web afferma che questo piano è più per le piccole imprese e i blogger, ma avete anche la possibilità di passare a un piano più potente per $99 all’anno o $299 all’anno.

I backup giornalieri e in tempo reale sono il pane e burro dell’operazione, con una bella vista calendario per specificare quando si desidera completare i backup. È anche possibile completare i ripristini del sito con un rapido clic del mouse. La cosa più importante è che i file di ripristino sono registrati nella dashboard, e diversi di essi sono memorizzati in modo da poter scegliere quello che si desidera. La parte migliore di VaultPress per quanto riguarda i backup è che sono incrementali. Questo è ottimo per le prestazioni.

Gli strumenti di sicurezza primari monitorano le attività sospette sul tuo sito web, con schede per visualizzare la cronologia e vedere quali minacce sono state affrontate o ignorate. Puoi anche controllare le statistiche e gestire l’intero dettaglio della sicurezza dalla comodità di una dashboard pulita.

Caratteristiche che rendono VaultPress una grande scelta:

• Il prezzo è migliore rispetto alla maggior parte degli altri plugin di sicurezza premium per WordPress.
• La dashboard sembra pulita e facile da capire per tutti gli utenti.
• È possibile effettuare backup in tempo reale o manuali utilizzando un calendario.
• La scheda delle statistiche rivela informazioni sui tempi di visita più popolari sul tuo sito, mostrando anche quali minacce si sono verificate durante quei tempi.
• Puoi contattare gli esperti di VaultPress per aiutarti con compiti come il ripristino del sito e i backup.

Se vuoi saperne di più sui migliori plugin di backup dai un’occhiata alla nostra altra guida: 4 Best Incremental WordPress Backup Plugins (Save Space and Speed)

Google Authenticator – Two Factor Authentication

La maggior parte dei plugin che hanno caratteristiche di sicurezza individuali non hanno molto senso da installare. La ragione di questo è che di solito si può andare con un plugin come iThemes Security Pro e ottenere quella caratteristica insieme a decine di altre. Tuttavia, l’autenticazione a due fattori è una storia diversa, poiché sembra che la maggior parte delle suite di sicurezza non la includa. Pertanto, potrebbe avere senso rafforzare la sicurezza del tuo login con un plugin come questo.

Il plugin Google Authenticator aggiunge un secondo livello di sicurezza al tuo modulo di login, che è piuttosto importante poiché la maggior parte dei tentativi di hacking avviene con il login. Oltre alla tua normale password, questo plugin invia una notifica push al tuo telefono o qualche altra forma di autenticazione come l’utilizzo di un codice QR o chiedendo una domanda di sicurezza.

In questo modo, il tuo login diventa molto meno penetrabile poiché il secondo livello è molto probabilmente qualcosa che solo tu conosci o hai sulla tua persona (come il tuo telefono).

Questo plugin di sicurezza per WordPress non richiede alcun pagamento, e l’interfaccia è abbastanza facile da capire. Oltre a scegliere il tipo di autenticazione, un’altra caratteristica interessante consente di specificare quale tipo di ruolo utente deve passare attraverso l’autenticazione. Così, è possibile consentire agli amministratori di entrare più facilmente, ma si potrebbe chiedere che gli autori o altri utenti passino attraverso il processo a due fattori.

L’unico problema è che l’autenticazione a due fattori rende piuttosto difficile accedere al vostro backend con un dispositivo mobile.

Caratteristiche che rendono Google Authenticator una grande scelta:

• Elimina quasi la vulnerabilità che è la vostra area di login.
• Puoi scegliere quale metodo di autenticazione a due fattori è il più facile per te.
• Puoi selezionare quali tipi di utenti devono passare attraverso il processo di autenticazione.
• Il plugin ha un codice breve da usare con pagine di login personalizzate.

Security Ninja

Security Ninja è in giro da oltre sette anni. Iniziando come uno dei primi plugin di sicurezza venduti su CodeCanyon (con quattro componenti aggiuntivi disponibili) è passato a un modello freemium nel 2016. Gli add-on sono stati abbandonati in favore di due sole versioni – gratuita e premium. Il modulo principale (che è l’unico disponibile gratuitamente) esegue oltre 50 test di sicurezza che vanno dal controllo dei file e dei permessi MySQL a varie impostazioni PHP.

Security Ninja fa anche un controllo brute force di tutte le password degli utenti per eliminare gli account con password deboli come “12345” o “password”. Questo aiuta a educare gli utenti alla sicurezza. Include un modulo di correzione automatica, ma per coloro che vogliono capire cosa sta succedendo, c’è una spiegazione dettagliata di ogni test, compreso il codice per risolvere manualmente il problema di sicurezza. Se non ti piace che i plugin incasinino il tuo sito, Security Ninja offre una bella alternativa al solito approccio “basta cliccare qui per risolvere il problema”. Altri moduli nella versione a pagamento, partono da 29 dollari all’anno per sito.

Caratteristiche che rendono Security Ninja una grande scelta:

• Il modulo security tester (disponibile nella versione gratuita) esegue oltre 50 test di sicurezza sul tuo sito.
• Non sei esperto di tecnologia? Nessun problema, il modulo auto fixer può risolvere qualsiasi problema rilevato.
• Scansiona il core di WordPress per garantire l’integrità dei file del core confrontandoli con una copia sicura e più recente da wordpress.org.
• Scansiona plugin e temi alla ricerca di codice sospetto e malware.
• Approfitta di un’enorme lista di IP cattivi conosciuti e li blocca automaticamente.
• Registra tutti gli eventi che stanno accadendo sul tuo sito WordPress, dal login degli utenti alle impostazioni che vengono modificate.
• Puoi programmare scansioni regolari.

Defender

Defender è la sicurezza a strati di WordPress resa facile, come stupido, semplice. La versione gratuita e quella pro iniziano entrambe con una lista delle tecniche di hardening più efficaci per aggiornare istantaneamente la sicurezza di WordPress.

È possibile eseguire scansioni gratuite che controllano WordPress per codice sospetto. Lo strumento di scansione Defender confronta la tua installazione di WordPress con la directory, segnala le modifiche e ti permette di ripristinare il file originale con un clic. Offrono anche una versione pro che include backup cloud con 10 GB di archiviazione remota, registri di audit per il monitoraggio delle modifiche, scansioni di sicurezza automatizzate e monitoraggio delle blacklist. I loro esperti ti aiuteranno anche a ripulire un sito violato.

Caratteristiche che rendono Defender una grande scelta:

• Google 2-Step Verification.
• Scansione e riparazione dei file core di WordPress.
• Login Screen Masking.
• Gestore delle blacklist IP e registrazione.
• Scansioni illimitate dei file.
• Scudo temporizzato per attacchi di forza bruta per la protezione del login.
• Limitatore 404 per bloccare le scansioni di vulnerabilità.
• Notifiche e rapporti di blocco IP.

Astra Web Security

Astra Web Security è una ‘suite di sicurezza’ per il tuo sito WordPress. Con Astra non devi preoccuparti di malware, SQLi, XSS, spam di commenti, forza bruta, e più di 100 minacce, il che significa che puoi sbarazzarti di altri plugin di sicurezza & lasciare che Astra si prenda cura di tutto. Il cruscotto super intuitivo di Astra non è dotato di un centinaio di pulsanti che ti fanno sentire come un pilota in una cabina di pilotaggio!

Molti marchi prestigiosi come Gillette, African Union, Ford e Oman Airways usano la soluzione di sicurezza Astra. Il loro prezzo parte da $9/m e offrono uno sconto del 20% se il piano viene fatturato annualmente. Nel complesso, Astra può essere un buon investimento se avete intenzione di spendere soldi per la sicurezza del vostro sito web.

Caratteristiche che rendono Astra Web Security una grande scelta:

• La soluzione di sicurezza Astra è installata come un plugin per WordPress &non è necessario modificare le impostazioni DNS.
• Offrono una pulizia immediata del malware, un firewall solido come una roccia che ferma attacchi come SQLi, XSS, Code Injection, Bad Bots, Brute force, SEO spam, e altri 100+ attacchi informatici.
• Audit di sicurezza completo, compresa la logica degli errori di business per il tuo sito WordPress.
• Dashboard intuitivo che registra tutti gli attacchi e ti dà la possibilità di bloccare o whitelist paese, intervallo IP o un URL, blacklist continua e monitoraggio della reputazione, notifiche di login admin ogni ora e molto altro ancora.
• Una piattaforma gratuita di sicurezza della comunità o gestione bug bounty dove si dà agli hacker un modo sicuro e protetto per segnalare qualsiasi vulnerabilità che trovano sul tuo sito web. Ogni problema segnalato viene convalidato dagli ingegneri di Astra.

Shield Security

Il ruolo numero uno di Shield Security è quello di assumersi il vostro crescente carico di sicurezza del sito. Siamo tutti a corto di tempo, quindi abbiamo bisogno di difese più intelligenti e di un plugin di sicurezza che sappia rispondere alle minacce senza disturbarti con le e-mail. Adatto sia ai principianti che agli esperti, Shield inizia a scansionare e proteggere il tuo sito dal momento in cui lo attivi. Tutte le opzioni sono completamente documentate, in modo da poter scavare ulteriormente nella sicurezza del tuo sito a vostro piacimento.

Il nucleo di Shield Security è gratuito per sempre. I professionisti e le aziende che hanno bisogno di una protezione più profonda e di un supporto pratico 24 ore su 24, possono ottenere Shield Pro per soli $12/sito. La missione dietro Shield Security è “nessun sito web lasciato indietro” – dove l’obiettivo è quello di rendere la sicurezza Pro-Grade accessibile per ogni sito, non solo per i pochi ricchi. Pro porta più scansioni, che vengono eseguite più spesso, politiche di password utente, audit trail più grandi, supporto per WooCommerce, monitoraggio del traffico e caratteristiche che rendono le politiche di sicurezza più fluide per i suoi utenti.

Caratteristiche che rendono Shield Security una grande scelta:

• Uno dei soli plugin di sicurezza che limitano l’accesso alle proprie impostazioni a determinati utenti.
• Protezione più intelligente con caratteristiche che lavorano instancabilmente in background senza disturbare con le notifiche.
• L’unico plugin di sicurezza che offre tre tipi di autenticazione a due fattori gratuitamente e un’opzione per selezionare gli utenti che possono utilizzarla.
• Pro aggiornamenti per tutti a $12/sito – prezzi all’ingrosso senza l’acquisto all’ingrosso.
• Pro offre 6x potenti scansioni per rilevare i problemi in tutte le aree dei tuoi siti.

Hide My WP

Hide My WP è un popolare plugin di sicurezza per WordPress che nasconde il fatto che stai usando WordPress come CMS ad attaccanti, spammer e anche rilevatori di temi come Wappalyzer o BuiltWith.

Questo plugin di sicurezza è un solido rilevatore di intrusioni (IDS) per bloccare in tempo reale attacchi di sicurezza come SQL injection, XSS e altri. Hide My WP è un plugin di sicurezza premium per WordPress che puoi ottenere a $24. Nota: alcune caratteristiche di questo plugin potrebbero non funzionare su Kinsta.

Caratteristiche che rendono Hide My WP una grande scelta:

• Nasconde il nome del tema, i plugin, cambia i permalink, nasconde wp-admin, l’URL di login, e altro.
• Blocca l’accesso diretto ai file PHP, pulisce i nomi delle classi WP, disabilita l’elenco delle directory.
• Segnala qualsiasi potenziale comportamento scorretto con tutti i dettagli dell’aggressore, compresi nome utente, indirizzo IP, data, ecc.
• Include una “rete di fiducia2 che blocca automaticamente il traffico da indirizzi IP di origine cattiva.
• Facile da usare, scegli tra le impostazioni predefinite per l’implementazione con un solo clic.
• Compatibile con multi-sito, apache, Nginx, IIS, temi premium e altri plugin di sicurezza.

WebARX

WebARX è una piattaforma di sicurezza premium per siti web che supporta ogni applicazione PHP. WebARX è noto soprattutto per il suo firewall avanzato per gli endpoint, che consente di controllare completamente il traffico tra i vostri siti web tramite il loro cruscotto basato su cloud. Infatti, WebARX ha un web application firewall gestito che protegge il tuo sito dalle vulnerabilità dei plugin, dagli attacchi dei bot e dal traffico fasullo.

Questo plugin ti permette di creare le tue regole firewall, rendere più resistente la tua installazione WordPress, creare backup, monitorare l’uptime e i problemi di sicurezza, ricevere avvisi, esportare report e molto altro. È anche piuttosto facile da configurare.

Caratteristiche che rendono WebARX una grande scelta:

• Firewall avanzato per siti web (completamente personalizzabile dal portale WebARX).
• Virtual patching riceve automaticamente le regole per patchare le vulnerabilità di plugin e temi.
• Indurimento dell’installazione di WordPress: 2FA, re, aggiungere automaticamente intestazioni di sicurezza, bloccare gli attacchi brute-force, cambiare wp-admin, aggiungere cookie, ecc.
• Monitoraggio dei tempi di attività: riceve avvisi su slack e email quando un sito va giù.
• Rapporti di sicurezza personalizzati in PDF (personalizzali con il tuo logo da inviare ai clienti).
• Sicurezza centralizzata per un numero illimitato di siti web.

Quale plugin di sicurezza per WordPress è il migliore per voi?

Ora che abbiamo esaminato i migliori plugin di sicurezza per WordPress, date un’occhiata alle nostre raccomandazioni principali qui sotto. Questo rende più facile per voi selezionare uno o due plugin senza doverli testare tutti. Ricordate che, a seconda di ciò che il vostro host WordPress già offre, i plugin di sicurezza potrebbero non essere necessari.

Questi suggerimenti si concentrano su alcune situazioni in cui si potrebbe scegliere un plugin di sicurezza piuttosto che un altro.

• Per il miglior valore – Sucuri Security, SecuPress, Jetpack, iThemes Security, Shield Security e WPScan.
• Se volete un plugin di sicurezza gratuito per WordPress – All In One WP Security & Firewall, Sucuri Security (versione gratuita) o Wordfence Security.
• Se stai cercando un plugin di sicurezza per principianti – All In One WP Security & Firewall, Security Ninja, o Defender.
• Quando hai bisogno di un plugin più avanzato di protezione dalla forza bruta – WP fail2ban o Astra.
• Se volete un’autenticazione a due fattori – Google Authenticator – Two Factor Authentication.
• Per una bella interfaccia – SecuPress o VaultPress.

Oltre a installare un plugin potete prendere ulteriori misure per migliorare la sicurezza dei vostri siti. Per esempio, la soluzione di gestione delle chiavi offsite di Lockr (questo è un servizio premium) protegge dalle vulnerabilità critiche del sito e aiuta a proteggere i vostri dati. Una semplice integrazione è disponibile per WordPress.

Ovviamente, non possiamo coprire tutti i plugin là fuori. Questi sono semplicemente quelli che raccomandiamo in base alla nostra esperienza con gli utenti. Se ce n’è uno che pensi dovrebbe essere incluso in questa lista, faccelo sapere qui sotto nei commenti.

Se stai gestendo un sito di e-commerce, assicurati di leggere la nostra guida su Ecommerce Fraud Prevention.