امنیت وردپرس مانند یک بمب ساعتی است. شما هرگز نمی توانید بدانید که چه زمانی خاموش می شود. روزانه هزاران سایت وردپرسی هک می شوند. این یک مسئله جدی است که باید قبل از اینکه به یک تهدید تهدیدآمیز شکوفا شود، از بین برود!
دو راه اصلی برای محافظت از سایت وردپرس شما وجود دارد: اول، یک سرویس میزبانی امن با سابقه اثبات شده از بهترین شیوه های صنعت را انتخاب کنید. دوم، امنیت سایت خود را با یک سرویس امنیتی اختصاصی شخص ثالث تقویت کنید.
با امنیت وردپرس، Wordfence و Sucuri دو گزینه محبوب هستند. هر دو دارای مجموعه ای قوی از ویژگی های امنیتی برای ایمن نگه داشتن وب سایت شما هستند. از بسیاری جهات، آنها یکسان هستند، اما متفاوت هستند.
Wordfence یا Sucuri؟ اگر فکر می کنید کدام یک از این دو برای وب سایت شما مناسب است، این مقاله به شما کمک می کند تا تصمیم قاطعانه ای داشته باشید. من از هر دوی آنها به طور گسترده برای مقایسه ۱ به ۱ آنها برای ویژگی های مختلف، عملکرد، قیمت و ارزش کلی آنها استفاده کرده ام.
می توانید از این اطلاعات برای انتخاب مناسب ترین گزینه برای خود استفاده کنید.
خوب به نظر می رسد؟ بیایید شروع کنیم!
مقدمه ای بر امنیت وردپرس
وردپرس محبوب ترین سیستم مدیریت محتوا (CMS) در جهان است. آنقدر محبوب است که بیش از ۳۵ درصد از وب سایت ها را در اختیار دارد. و با محبوبیت زیاد، دردسرهای بزرگی به وجود می آید!
وردپرس همواره در معرض تهدید هکرها قرار دارد. طبق گزارش GoDaddy Security، میزان ۹۰ درصد از پلتفرم های CMS هک شده در سال ۲۰۱۸ سایت های وردپرسی بوده اند. گوگل به تنهایی هر روز ۱۰۰۰۰ وب سایت را برای میزبانی و انتشار بدافزار در لیست سیاه قرار می دهد و این سایت های لیست سیاه می توانند تا ۹۵ درصد از ترافیک ارگانیک خود را از دست بدهند .
۴۱ درصد از سایت های وردپرس هک شده به دلیل آسیب پذیری در پلت فرم هاست است. از این رو، می توانید از همان ابتدا با یک پلت فرم میزبانی امن وردپرس از مشکلات زیادی جلوگیری کنید.
حتی شگفتانگیزتر این است که ۶۰ درصد از مشاغل کوچک در عرض ۶ ماه پس از یک حمله سایبری تعطیل میشوند. از آنجایی که اکثریت قریب به اتفاق تلاشهای هک برای کسبوکارهای کوچک و متوسط اتفاق میافتد، امنیت وبسایت شما بسیار مهمتر است.
چگونه هکرها به سایت های وردپرس نفوذ می کنند
تنها ۳۶.۷ درصد از سایت های وردپرسی هک شده توسط نسخه های آسیب پذیر قدیمی وردپرس ایجاد شده است. بردارهای اصلی حمله برای سایت های وردپرس اجزای توسعه پذیر آن، یعنی افزونه ها و تم ها هستند.
پلاگین ها به خصوص بزرگترین خطر هستند! همانطور که در مقاله امنیت وردپرس اشاره شد، افزونههایی با آسیبپذیریهای شناخته شده و ناشناخته، بخش عمدهای از هکهای وردپرس را تشکیل میدهند. یک مطالعه Wordfence نشان داد که آنها ۵۵.۹٪ از هر درب پشتی شناخته شده را نشان می دهند.
حملات بی رحمانه برای حدس زدن رمزهای عبور ضعیف، بردار حمله بزرگ بعدی هستند که ۱۶.۱٪ از کل تلاش های هک را تشکیل می دهند. همین مطالعه آمار تکان دهنده دیگری را نشان داد: ۶۱.۵ درصد از صاحبان وب سایت های هک شده حتی نمی دانستند که سایت آنها به خطر افتاده است.
چگونه سایت وردپرس خود را ایمن کنیم
سه مرحله اصلی برای ایمن نگه داشتن سایت وردپرس شما در برابر حملات سایبری وجود دارد:
جلوگیری
چه یک بیماری بیولوژیکی باشد و چه یک بدافزار دیجیتال، پیشگیری همیشه بهتر از درمان است!
در حالی که وردپرس رایگان است، هزینه ساخت یک سایت وردپرس، و سپس ایمن سازی و نگهداری آن، هزینه ای ندارد. اما متأسفانه، امنیت اغلب در پایین ترین اولویت ها هنگام ساخت یک وب سایت قرار دارد.
تیم اصلی وردپرس کار بزرگی در حفظ امنیت وردپرس انجام می دهد. اما همانطور که قبلا ذکر شد، اکثر هک های وردپرس از نرم افزار اصلی آن ناشی نمی شوند.
Prevention بر حفظ کدهای مخرب از سایت های وردپرس شما تمرکز دارد. معمولاً از طریق فایروال ها، برنامه های آنتی ویروس، راه حل های فیلتر ایمیل، محافظت در برابر حملات DDoS و ربات های بد و غیره انجام می شود.
تشخیص
تشخیص بر روی آگاهی از حوادث امنیتی به محض وقوع تمرکز می کند، بنابراین می توانید بلافاصله اقدام کنید و وب سایت خود را قبل از اینکه آسیب جدی وارد شود ایمن کنید.
این شامل ابزارهایی مانند سیستم های تشخیص نفوذ، اسکن شبکه، نظارت بر یکپارچگی و غیره است.
بسیاری از صاحبان سایت های وردپرسی هک شده حتی نمی دانند که امنیت سایت آنها نقض شده است. از این رو، وجود سیستمهای تشخیص قوی، به ویژه در سطح میزبانی، بسیار مهم است. افزونه های امنیتی مانند Sucuri یا Wordfence افزونه های عالی هستند.
پاسخ و بازیابی
به بهترین ها امیدوار باشید، اما همیشه برای بدترین ها آماده باشید! Response and Recovery بر رسیدگی سریع و کارآمد به حوادث امنیتی متمرکز است.
یک فرآیند بازیابی خوب نه تنها باید پس از یک حمله پاکسازی شود، بلکه شامل ویژگی های پشتیبان و پزشکی قانونی نیز می شود. این اطمینان حاصل می کند که حوادث مشابه را قبل از وقوع آنها متوقف کنید.
این یک دلیل اصلی است که چرا باید قبل از ثبت نام در شرکت هاستینگ، تحقیقات کاملی در مورد تعهد شرکت میزبان خود به امنیت انجام دهید.
خدمات امنیتی مانند Sucuri یا Wordfence خدمات پاسخگویی به حوادث را به عنوان بخشی از بسته های حرفه ای خود ارائه می دهند.
Sucuri در مقابل Wordfence
Sucuri و Wordfence هر دو به شما کمک می کنند تا سایت وردپرس خود را ایمن کنید، اما رویکرد آنها متفاوت است. در اینجا یک مسابقه سریع بین آنها وجود دارد:
سوکوری | حصار کلمه | |
قیمت گذاری فایروال (WAF) | از ۹.۹۹ دلار در ماه شروع می شود | از ۹۹ دلار در سال شروع می شود |
قیمت گذاری حذف بدافزار | از ۱۹۹.۹۹ دلار در سال شروع می شود – پاکسازی نامحدود | ۱۷۹ دلار برای هر پاکسازی |
افزونه رایگان موجود است | آره | آره |
فایروال برنامه های کاربردی وب (WAF) | بله، اما فقط برای مشتریان Premium | بله، رایگان است |
اسکن یکپارچگی وب سایت | آره | آره |
پشتیبانی از گواهینامه SSL (در WAF) | آره | خیر |
حفاظت از حمله DDoS | آره | خیر |
پیشگیری از سوء استفاده های روز صفر | آره | خیر |
CDN برای بهبود عملکرد | آره | خیر |
پلتفرم مبتنی بر ابر | بله، اسکن از راه دور | خیر |
پلتفرم خود میزبان | خیر | بله، اسکن محلی |
ترفندهای امنیتی سیستم | خیر | آره |
جدول بالا تفاوت های کلیدی بین Sucuri و Wordfence را پوشش می دهد. حالا بیایید عمیق تر بگردیم!
بررسی سوکوری
معرفی سوکوری
Sucuri یک ابزار امنیتی وب سایت مبتنی بر ابر برای ایمن سازی وب سایت ها است. تمام ترافیک وب سایت شما را حتی قبل از رسیدن به سرور میزبان شما فیلتر می کند.
از ویژگی های اصلی آن می توان به شناسایی بدافزار، نظارت بر یکپارچگی و سخت شدن امنیت اشاره کرد. Sucuri همه چیز را از راه دور اسکن می کند، بنابراین هیچ اسکن عمیقی در سطح سرور انجام نمی دهد.
Sucuri قول محافظت از وب سایت ها، بهبود عملکرد، نظارت بر شاخص های هک، و پشتیبانی نامحدود برای حوادث امنیتی (فقط برای کاربران ممتاز) را می دهد.
باید توجه داشته باشید که Sucuri یک گلوله نقره ای برای تمام نیازهای امنیتی وب سایت شما نیست. این برای تکمیل امنیت وب موجود شما طراحی شده است. با این حال، Sucuri ابزارهای زیادی را برای کاهش خطرات در اختیار شما قرار می دهد و به شما آرامش بهتر و آگاهی امنیتی بیشتری می دهد.
Sucuri چگونه کار می کند
هنگام صحبت در مورد نحوه عملکرد Sucuri، بهتر است بین سه سطح آن تفاوت قائل شوید:
- Sucuri Security یک افزونه رایگان است که دارای ویژگی های استاندارد سخت شدن امنیت وردپرس است. نسخه رایگان افزونه فاقد فایروال است.
- Sucuri Firewall (WAF) یک سرویس پولی است که می توانید آن را با افزونه رایگان Sucuri Security ادغام کنید. شما همچنین می توانید از فایروال بدون افزونه استفاده کنید. این شامل ویژگی های محافظت از وب سایت مانند دیواره آتش برنامه وب سایت (WAF)، CDN برای بهینه سازی عملکرد، تعادل بار برای در دسترس بودن بالا، سیستم تشخیص نفوذ (IDS)، کاهش DDoS، و مجموعه ای از ابزارهای دیگر است.
- Sucuri Platform مجموعه ای از خدمات امنیتی برتر مبتنی بر ابر است. این شامل همه چیزهایی است که در فایروال Sucuri ارائه می شود، به علاوه سایر ویژگی های مهم مانند نظارت، تشخیص و پاسخ به حادثه. با ثبت نام در پلتفرم Sucuri، می توانید از تیم Sucuri بخواهید که “همه بدافزارها و هشدارهای لیست سیاه” را برای وب سایت شما حذف کند.
برای درک بهتر، در اینجا یک ویدیوی کوتاه از Sucuri در محل کار آمده است:
Sucuri هر تغییر در وب سایت شما را ردیابی می کند و گزارش ها را در سرورهای ابری خود ذخیره می کند. میتوانید این گزارشها را بررسی کنید تا متوجه شوید دقیقاً چه مشکلی در کجا رخ داده است. این به رفع سریع و کارآمد مسائل امنیتی کمک می کند.
تنظیمات و ویژگی های امنیتی موجود است
می توانید پیشنهادات وردپرس Sucuri را به دو محصول اصلی تقسیم کنید: یک افزونه رایگان به نام Sucuri Security و یک فایروال Sucuri مبتنی بر ابر برتر (WAF) .
بیایید ابتدا به افزونه رایگان نگاه کنیم.
داشبورد امنیتی Sucuri دارای یک رابط ساده است که به شما یک دید عقابی از بررسی های امنیتی خود می دهد.
وظیفه اصلی آن اطلاع رسانی به شما در مورد یکپارچگی فایل های اصلی وردپرس شما است. در صورت یافتن فایلهای اصلی در معرض خطر، هشداری به شما نشان میدهد. سپس می توانید اقدام مناسبی انجام دهید: یا فایل های آلوده را با فایل های اصلی جایگزین کنید یا آنها را به عنوان موارد مثبت کاذب علامت گذاری کنید.
در زیر برگه گزارش های حسابرسی در اینجا، هر تغییری را که در وب سایت شما اتفاق افتاده است را خواهید یافت. به همین ترتیب، در زیر برگههای iFrames ، پیوندها و اسکریپتها ، میتوانید هر نمونه از اسکریپتها و پیوندها را در وبسایت خود پیدا کنید.
در مورد من، اخطار مثبت کاذب بود. بنابراین، من آن را به عنوان ثابت به صورت دستی علامت گذاری کردم. Sucuri دفعه بعد که اسکن انجام می دهد این اصلاح را به خاطر می آورد.
پانل تنظیمات دارای برگه های زیادی برای سفارشی کردن نحوه محافظت Sucuri از وب سایت شما است. در برگه تنظیمات عمومی ، میتوانید کلید API ، دایرکتوریهای ذخیرهسازی داده ، و تنظیمات دیگری مانند صادرکننده گزارش، پروکسی معکوس ، کشف آدرس IP و لغو منطقه زمانی را پیدا کنید.
همچنین میتوانید تنظیمات کلی Sucuri را از اینجا وارد یا صادر کنید.
سپس به تب Scanner می رویم. در اینجا، میتوانید کارهای زمانبندی شده Sucuri ، تنظیمات ابزار یکپارچگی وردپرس (برای مقایسه فایلهای روی سرور خود با فایلهای اصلی) و فهرستی از موارد مثبت کاذب را ببینید.
اگر میخواهید فایلها و پوشههای خاصی را در سرور خود از اسکن Sucuri نادیده بگیرید، میتوانید آنها را در اینجا تنظیم کنید. این ابزار برای نادیده گرفتن فایلهای غیر مرتبط با کد و پوشههایی که برای اسکن بسیار سنگین هستند، مانند پوشههایی با فایلهای رسانهای متعدد، پشتیبانگیری و غیره مفید است.
تب Hardening به شما امکان می دهد مجموعه ای از روش های سخت سازی امنیتی استاندارد وردپرس و PHP را اعمال کنید. اما می توانید از تنظیمات Whitelist Blocked PHP Files برای حذف برخی از فایل های PHP از این محدودیت های سفت و سخت استفاده کنید.
در صورت حمله یا نقض، تب Post-Hack بسیار مفید خواهد بود. در اینجا، میتوانید کلیدهای مخفی را بهروزرسانی کنید ، رمز عبور کاربر را بازنشانی کنید، افزونههای نصبشده را بازنشانی کنید، و هر افزونه و بهروزرسانی تم موجود را اعمال کنید.
برگه هشدارها به شما امکان می دهد گیرنده هشدار ، آدرس IP مورد اعتماد ، موضوع هشدار ، هشدار در ساعت را تنظیم کنید. میتوانید تنظیم کنید که چه نوع هشدارهای امنیتی مکانیسم هشدار را راهاندازی میکند، و چه نوعهایی را نادیده میگیرد (معمولاً آنهایی که توسط افزونههای شخص ثالث هستند). این یک ویژگی تشخیص عالی است.
تب API Service Communication ساده و سرراست است . این عمدتا برای توسعه دهندگان است که به سرویس API راه دور Sucuri دسترسی پیدا کنند.
در نهایت، برگه اطلاعات وب سایت تقریباً هر چیزی را که می خواهید در مورد وب سایت خود و وب سروری که روی آن میزبانی شده است بدانید فهرست می کند. در اینجا، در بخش Access File Integrity، می توانید یکپارچگی فایل htaccess. خود را بررسی کنید.
فایروال مبتنی بر ابر Sucuri یک سرویس برتر است. فیلتر کردن ترافیک ناخواسته، حملات DDoS و رباتهای بد عالی است.
حتی بدون افزونه هم می تواند جادوی خود را انجام دهد (این روش توصیه شده است). شما فقط باید DNS میزبان خود را به سمت سرورهای نام آن هدایت کنید.
اکثر میزبانهای وب، دارای ویژگیهای امنیتی اضافی برای مسدود کردن و/یا فیلتر کردن آدرسهای IP اسپم و رباتهای بد هستند. بعضی حتی تنظیمات امنیتی را برای محدود کردن IP در دسترس دارد.
با این حال، یک سرویس حرفه ای WAF مانند Sucuri، که مدل کسب و کار آن در درجه اول بر حذف ترافیک بد متمرکز است، کنترل دقیق تری را ارائه می دهد.
این غیرمعمول نیست که کاربران برای فایروال مبتنی بر ابر Sucuri به عنوان پشتیبان ثبت نام کنند و تنها در صورت حمله به آن سوئیچ کنند. Sucuri انجام این کار را بسیار آسان می کند.
با در نظر گرفتن همه موارد، Sucuri چیزی بیش از یک پلاگین امنیتی یا فایروال است. این یک راه حل کامل امنیت وب برای محافظت از سایت های شما در برابر هر گونه حمله مخرب است.
راحتی در استفاده
استفاده از Sucuri ساده است. رابط کاربری روی نقطه است. اگر Sucuri به شما توصیه میکند که تنظیمات سختسازی امنیتی را اعمال کنید، فقط یک کلیک برای فعال کردن آنها لازم است.
پس از نصب افزونه، باید کلید API رایگان آن را ایجاد کنید، که می توانید مستقیماً از داشبورد وردپرس خود انجام دهید.
Sucuri اکثر ویژگی های امنیتی خود را خودکار می کند، بنابراین می توانید آنها را یک بار تنظیم کنید و برای همیشه فراموش کنید. همچنین لازم نیست نگران به روز رسانی یا نگهداری افزونه باشید.
Sucuri در صورت تشخیص نقض به شما هشدار می دهد. اما اگر بخواهید کنترل را به صورت دستی در دست بگیرید، گزینه های زیادی در اختیار شما قرار می دهد. و از آنجایی که WAF Sucuri مبتنی بر ابر است، نیازی به تعمیر و نگهداری فنی از طرف شما ندارد.
به طور کلی، من Sucuri را یک نسیم برای راه اندازی و استفاده یافتم.
نحوه عملکرد Sucuri در امنیت وب
جلوگیری
افزونه رایگان Sucuri Security به اندازه کافی خوب است تا در وب سایت وردپرس خود برگه ای داشته باشید و برخی اقدامات امنیتی استاندارد را اعمال کنید. اما برای جلوگیری از هرگونه حمله بزرگ علیه وب سایت شما ساخته نشده است.
اگر به دنبال راه حل امنیتی رایگان وردپرس هستید، Sucuri Security را توصیه نمی کنم. برای ایمن سازی وب سایت خود به آن اعتماد نکنید.
از سوی دیگر، فایروال Sucuri در برابر حملات DDoS، رباتهای سوءاستفادهکننده و به خطر انداختن دادههای مشتری کار بسیار خوبی انجام میدهد. پلتفرم امنیتی Sucuri یک گام فراتر می رود و اقدامات پیشگیرانه بیشتری را اضافه می کند.
تشخیص
پلاگین رایگان Sucuri در شناسایی کوچکترین تغییرات در وب سایت شما کار بسیار خوبی انجام می دهد. اگر هر گونه ناهنجاری پیدا کرد، فوراً به شما هشدار می دهد تا بتوانید اقدامات لازم را انجام دهید.
حتی اگر یک هکر شما را از ورود به سایت خود قفل کرده باشد، می توانید گزارش های ذخیره شده در سرورهای ابری Sucuri را بررسی کنید تا بفهمید چه اتفاقی افتاده است و چگونه می توانید کنترل مجدد را به دست آورید.
با این حال، این پلتفرم امنیتی برتر Sucuri است که واقعاً با نظارت و تشخیص می درخشد. دارای ویژگیهای اضافه شده مختلفی مانند اسکنهای امنیتی معمولی سمت سرور، نظارت بر لیست سیاه، نظارت بر SSL، اعلانهای فوری و یکپارچهسازی ارتباط همبستگی گزارش ( SIEM ) است.
پاسخ و بازیابی
یک پلت فرم امنیتی وب ناقص است اگر راهی برای پاکسازی یک وب سایت هک شده به شما ارائه ندهد.
خوشبختانه برای من، در حالی که Sucuri از وبسایتهایم محافظت میکرد، هرگز با یک حادثه امنیتی مواجه نشدم. اما بسیاری هستند که مشکل جدی داشتند و تجربیات خود را در سایتهای بررسی جمعی مانند G2.com به اشتراک گذاشتهاند.
در اینجا صاحب یک وب سایت است که نظر مثبت خود را با Sucuri به اشتراک می گذارد.
و در اینجا یک طراح وب تجربه مثبت خود را با Sucuri در کمک به پاکسازی وب سایت های وردپرس مشتریانش به اشتراک می گذارد.
قیمت گذاری سوکوری
اکنون، به مهمترین نکته، یعنی قیمت گذاری می رسیم.
فایروال Sucuri (WAF) از ۹.۹۹ دلار در ماه شروع می شود، در حالی که Sucuri Platform از ۱۹۹.۹۹ دلار در سال شروع می شود. ثبت نام در پلتفرم Sucuri همچنین به شما دسترسی نامحدودی به حذف بدافزار و پاکسازی هک می دهد.
همه طرحهای پریمیوم Sucuri با ۳۰ روز ضمانت بازگشت وجه ارائه میشوند.
Sucuri هیچ ویژگی امنیتی را از برنامههای سطح پایینتر خود مستثنی نمیکند به جز پشتیبانی از گواهی SSL در سرور اصلی شما (که برای دومین برنامه ارزانقیمت رزرو شده است).
در عوض، Sucuri از اسکنها و اولویت پاسخگویی به عنوان انگیزهای برای ثبت نام در برنامههای بالاتر خود استفاده میکند.
این استراتژی قیمتگذاری به هر مشتری Sucuri همان ویژگیهای پیشگیری و شناسایی را میدهد، اما برای اسکنها و حذف بدافزار، مشتریانی که برای طرحهای بالاتر ثبتنام کردهاند بالاترین اولویت را دارند.
همه به موقع آدرس بلیط های خود را دریافت می کنند، اما اگر در پایین ترین سطح هستید، در بیشتر موارد پاسخ فوری نخواهد بود. اگر به وضوح سریع تری نیاز دارید، این گزینه را دارید که به سراغ برنامه های بالاتر آنها بروید. برای مقایسه، راه حل امنیتی معادل Cloudflare 200 دلار در ماه هزینه دارد.
من می توانم درک کنم که چرا این رویکرد می تواند برخی از کاربران را ناامید کند، به خصوص زمانی که آنها با یک وب سایت هک شده سر و کار دارند و به دنبال راه حلی سریع هستند. اما با توجه به کل ارزشی که از آن بدست می آورید، در دراز مدت برای اکثر کاربران Sucuri بهتر عمل می کند.
اکنون که Sucuri را پوشش دادهایم، بیایید به Wordfence برویم و ببینیم که چگونه با آن مقایسه میشود.
بررسی Wordfence
مقدمه ای بر Wordfence
Wordfence یک افزونه امنیتی رایگان وردپرس است که شامل یک فایروال نقطه پایانی (WAF) و یک اسکنر بدافزار است.
این ویژگی سایر اقدامات امنیتی مانند امنیت ورود به سیستم ( ۲FA، صفحه ورود به سیستم CAPTCHA، محدودیت تلاش برای ورود به سیستم)، ترافیک زنده، و مسدود کردن مبتنی بر قوانین پیشرفته است.
بر خلاف Sucuri، Wordfence یک فایروال محلی است. روی سرور وب شما می ماند و یک سرویس ابری نیست. از این رو، می تواند اسکن های سمت سرور را در سطح عمیق تری انجام دهد و رمزگذاری کامل انتها به انتها را ارائه دهد.
اما این مزیت به قیمت عملکرد است.
چرا؟ از آنجایی که منابع سرور شما ترافیک را تجزیه و تحلیل می کند، هرگونه قصد مخرب را بررسی می کند و در صورت لزوم، ترافیک را دور می زند. اگر وب سایت خود را روی سروری با منابع کمتر میزبانی می کنید (مثلاً هاست اشتراکی و برنامه های میزبانی ارزان مدیریت شده)، سایت شما می تواند به سرعت خزیده شود.
در صورت حمله DDoS ، سیل عظیم ترافیک مخرب می تواند منابع سرور شما را تحت الشعاع قرار دهد. هیچ افزونه امنیتی محلی نمی تواند در برابر آن مقاومت کند. این بزرگترین نقطه ضعف Wordfence در مقایسه با Sucuri است.
در مقابل، اگر WAF Sucuri را فعال کرده باشید، هر گونه ترافیک مخرب به وب سایت شما قبل از رسیدن به سرور شما در فضای ابری فیلتر می شود.
اما WAF محلی Wordfence یک ویژگی داخلی رایگان است، در حالی که WAF ابری Sucuri یک پیشنهاد برتر است.
Wordfence چگونه کار می کند
فایروال Wordfence توسط Feed دفاع از تهدید ( Threat Defense Feed ) آن تامین میشود، که اصطلاحی جذاب برای مجموعه قوانین فایروال، آدرسهای IP مخرب و امضاهای بدافزار است.
فید دفاع از تهدید با افزونه Wordfence نصب شده در سایت وردپرس شما یکپارچه شده است. این توسط سرور شما تامین می شود.
با Wordfence Premium، بهروزرسانیهای بیدرنگ فید دفاع از تهدید را دریافت میکنید . این شامل ویژگی هایی مانند:
- لیست سیاه IP بیدرنگ، قانون فایروال و بهروزرسانیهای امضای بدافزار.
- پشتیبانی حق بیمه.
- بررسی اعتبار سایت/IP.
- مسدود کردن در سطح کشور
کاربران رایگان تنها پس از ۳۰ روز پخش زنده، بهروزرسانیهای حیاتی را دریافت میکنند. آنها همچنین لیست سیاه IP بلادرنگ را دریافت نمی کنند. در حالی که به نظر می رسد این گزینه خوبی برای وب سایت های شخصی است، اگر میزبان یک وب سایت تجاری یا تجارت الکترونیک هستید، می تواند یک معامله شکن باشد.
یک مزیت فایروال نقطه پایانی نسبت به فایروال های ابری وجود دارد. از آنجایی که به طور کامل توسط سرور شما تغذیه می شود، از نظر تئوری نه می توان هیچ داده ای را درز کرد و نه می توان آن را دور زد. در مقابل، یک فایروال ابری میتواند دادهها را نشت کند یا اگر مهاجم آدرس IP سرور شما را بداند، از آن عبور میکند.
تنظیمات و ویژگی های امنیتی موجود است
Wordfence روی وب سرور شما زندگی می کند. از این رو، می توانید تمام تنظیمات آن را در داشبورد وردپرس خود پیدا کنید .
داشبورد تمیز و آموزنده است. اطلاعات و هشدارهای مهم را در یک نگاه به شما ارائه می دهد.
اسکنر Wordfence یکپارچگی هر فایل روی سرور شما را بررسی می کند. اگر یک فایل اصلی وردپرس یا یک تم/افزونه رسمی نباشد، به شما هشدار می دهد.
متن فایل های سرور شما را با بدافزارهای شناخته شده مطابقت می دهد. اگر چیزی مشابه پیدا کند، حتی اگر یک یا دو خط باشد، با یک هشدار به شما هشدار می دهد. همچنین اگر هر یک از طرحهای زمینه یا افزونههای شما بهروزرسانی در دسترس باشد، اعلانهایی دریافت خواهید کرد.
حالا بیایید به پنل فایروال Wordfence برویم . در اینجا، می توانید تنظیمات WAF Wordfence را مدیریت کرده و پیکربندی آن را بهینه کنید.
هنگامی که برای اولین بار Wordfence را نصب می کنید، WAF آن به طور پیش فرض به مدت یک هفته در حالت یادگیری قرار می گیرد. این به آن اجازه می دهد تا سایت و بازدیدکنندگان شما را به طور کامل مطالعه کند، بنابراین متوجه می شود که چه قوانینی را اعمال کند تا فقط ترافیک قانونی را از طریق فایروال مجاز کند.
ویژگی لیست سیاه IP Real-Time فقط برای کاربران ممتاز در دسترس است.
با فعال بودن محافظت Brute Force ، Wordfence از شما در برابر مهاجمان با قفل کردن حساب آنها پس از چند تلاش ناموفق برای حدس زدن رمز عبور محافظت می کند. همچنین اگر فکر میکند رمز عبور آنقدر ضعیف است که به راحتی نمیتوان آن را حدس زد، شما را مجبور میکند که آن را تغییر دهید.
در تب Blocking ، میتوانید ترافیک را بر اساس آدرسهای IP، محدوده IP، مرورگر، نام میزبان و ارجاعدهنده مسدود کنید. با این حال، مسدود کردن در سطح کشور یک ویژگی فقط حق بیمه است. می توانید تمام قوانین مسدودسازی مختلف را ترکیب کرده و آن را به عنوان یک نوع بلوک ذخیره کنید .
در بخش گزینههای فایروال ، میتوانید آدرسها و خدمات IP را در لیست سفید قرار دهید، آدرسهای IP را برای نادیده گرفتن هشدارهای WAF، پیکربندی محدودیت نرخ و URLهای فهرست سفید تنظیم کنید.
Wordfence همچنین به شما امکان می دهد IP هایی را که به URL های خاصی دسترسی دارند مسدود کنید. اگر شخصی به طور مکرر وب سایت شما را برای آسیب پذیری های شناخته شده بررسی کند، مفید است.
بعد، اجازه دهید به تب تنظیمات اسکنر برویم.
در اینجا، وظایف اسکن Wordfence را پیدا خواهید کرد. سه آزمایش اول بررسی برای هرزنامه و لیست سیاه است و فقط برای کاربران ممتاز رزرو شده است.
اگر اسکن چیزی غیرعادی تشخیص دهد، به شما هشدار می دهد.
در بخش Scan Options and Scheduling ، می توانید حساسیت اسکن، فرکانس اسکن و فایل های لیست سفید را تنظیم کنید. همچنین میتوانید اسکنها را برای عملکرد در تنظیمات خود بهینه کنید.
Wordfence با دسته ای از ابزارهای مفید دیگر ارائه می شود.
ابزار Live Traffic به شما کمک می کند تا آنچه را که در وب سایت شما اتفاق می افتد در زمان واقعی مشاهده کنید. شما می توانید آن را فقط با ترافیک مرتبط با امنیت فیلتر کنید. این به شما تمام ورودهای کاربر، تلاش های هک و درخواست های مخرب را نشان می دهد.
در حالی که داشتن آن یک ویژگی جالب است، ترافیک زنده بسیاری از منابع سرور شما را مصرف می کند. توصیه می کنم در صورت عدم استفاده آن را خاموش کنید.
ابزارهای دیگر عبارتند از Whois Lookup ، Import/Export Options و Diagnostics .
شما همچنین می توانید احراز هویت دو مرحله ای (۲FA) را برای همه ورود به سایت وردپرس خود با ماژول امنیت ورود Wordfence فعال کنید . قبلاً این یک ویژگی فقط پریمیوم بود، اما اکنون به صورت رایگان در دسترس است.
برای راه اندازی ۲FA می توانید از برنامه های تلفن همراه رایگان مانند Google Authenticator، FreeOTP یا Authy (توصیه شخصی من) استفاده کنید.
شما می توانید ۲FA را برای همه نقش های کاربر فعال کنید. این یک راه عالی برای محافظت از خود و کاربرانتان در برابر حملات بی رحمانه مانند حدس زدن رمز عبور و پر کردن اعتبار است.
شما می توانید یک لیست سفید IP برای ۲FA تنظیم کنید، به طوری که IP های خاصی در حین ورود به سیستم نیازی به بررسی های امنیتی اضافی نداشته باشند. اگر بیشتر از یک مکان کار می کنید، این ویژگی به شما کمک می کند هر بار که وارد سیستم می شوید از ۲FA عبور نکنید. که در.
سایر ویژگی های امنیتی ورود به سیستم برای جلوگیری از حملات brute force عبارتند از:
- تعداد تلاشهای «رمز عبور فراموش شده» و شکستهای ورود را محدود کنید. پس از چند بار تلاش، کاربر قفل می شود.
- گذرواژه های قوی در سراسر سایت را اعمال کنید.
- جلوگیری از ثبت نام کاربران با نام های کاربری خاص (مثلاً admin)
- افرادی را که سعی می کنند با نام های کاربری خاص وارد سیستم شوند بلافاصله مسدود کنید (مانند admin، yoursite_admin، و غیره).
- احراز هویت XML-RPC را غیرفعال کنید، یک بردار حمله رایج که برای تزریق بدافزار استفاده میشود.
در نهایت، Wordfence شامل یک پانل All Options است که در آن می توانید هر یک از تنظیمات Wordfence را پیدا کنید. با توجه به گزینه های گسترده موجود در Wordfence، این بسیار مفید است.
راحتی در استفاده
با توجه به کاربر پسند بودن، Wordfence با Sucuri Security قابل مقایسه است و استفاده از آن بسیار ساده است. پس از نصب و فعال سازی افزونه، Wordfence بلافاصله به مدت یک هفته وارد حالت یادگیری می شود.
بر اساس راهاندازی و ترافیک سرور شما، بهطور خودکار فایروال و تنظیمات اسکن توصیهشده را اعمال میکند. در تجربه من، این تنظیمات برای محافظت از شما در برابر بیشتر حملات کافی است.
تنظیم و اجرای ویژگی های امنیتی ورود آسان است.
اگر وب سایت شما تحت یک حمله DDoS قرار دارد، Wordfence می تواند سرور شما را به خزیدن برساند. در شدیدترین موارد، سرور ممکن است آنقدر غرق شود که دسترسی شما به داشبورد مدیریت وردپرس را مسدود کند.
از آنجایی که Wordfence یک راه حل محلی سازی شده است، شما کنترل کامل تنظیمات آن را دارید. در حالی که اگر از نظر فنی مهارت دارید، این می تواند مفید باشد، برای اکثر کاربران وردپرس این می تواند دردسرساز باشد.
به طور کلی، من Wordfence را به عنوان پای آسان میدانم، تا زمانی که طبق برنامه کار کند.
نحوه عملکرد Wordfence در امنیت وب
جلوگیری
برخلاف راهحل رایگان Sucuri که شامل فایروال نمیشود، Wordfence دندانهایی برای متوقف کردن بیشتر حملات دارد. نه تنها اقدامات استاندارد سختسازی امنیتی را اعمال میکند، بلکه با یک WAF سمت سرور نیز ارائه میشود.
اما آخرین بهروزرسانیهای تهدید فقط برای کاربران ممتاز در دسترس است. کاربران رایگان ۳۰ روز پس از پخش زنده بهروزرسانیها را دریافت میکنند. و از آنجایی که سرور وب شما Wordfence (و نه ابر) را قدرت میدهد، حتی با انتخاب برتر، شما در برابر حمله DDoS باید خود را محافظت کنید.
من میتوانم نیاز تجاری پشت این تصمیم را درک کنم، اما برای امنیت، فکر میکنم رویکرد همه یا هیچ سوکوری بهتر است. حداقل نمیتوانید فکر کنید که در مقابل محبوبترین تهدیدات محافظت شدهاید، در حالی که اینطور نیستید.
با توجه به آنچه گفته شد، نسخه پریمیوم Wordfence در جلوگیری از اکثر حملات امنیتی کار خوبی انجام می دهد. وبلاگ و کانال یوتیوب آنها منابع خوبی برای به روز نگه داشتن خود در مورد آخرین تهدیدات امنیتی وردپرس هستند.
تشخیص
افزونه رایگان Wordfence برای تشخیص بیشتر مسائل امنیتی بسیار خوب عمل می کند. اما برای شناسایی آخرین تهدیدات به بسته پریمیوم آن نیاز دارید.
اگر یک هکر با موفقیت شما را از وبسایت خود قفل کرده باشد، هیچ راهی برای بررسی گزارشها مانند Sucuri وجود ندارد. بنابراین، بررسی هک بسیار سخت تر است.
به غیر از تماس با ارائه دهنده هاست خود یا یک سرویس امنیتی شخص ثالث، که از قضا شامل Wordfence نیز می شود، راه دیگری نخواهید داشت.
در مقایسه با Sucuri، Wordfence یک ویژگی اولیه سفارشی سازی هشدارها دارد و این کار را به خوبی انجام می دهد. در صورت مشاهده یک ناهنجاری امنیتی، فوراً به شما هشدار می دهد.
پاسخ و بازیابی
همانطور که قبلاً ذکر شد، شما باید با نسخه رایگان Wordfence از خود مراقبت کنید. اما حتی با بسته پریمیوم، Wordfence هیچ خدمات پاسخگویی و بازیابی ارائه نمی دهد.
در اینجا یک نقل قول است که مستقیماً از شرایط استفاده Wordfence گرفته شده است :
“پشتیبانی ما برای Wordfence Premium به ۲ ساعت پشتیبانی در هر حادثه محدود می شود. ما این حق را برای خود محفوظ میداریم که پشتیبانی بیشتر را رد کنیم یا هزینه پشتیبانی اضافی را بیش از ۲ ساعت پشتیبانی دریافت کنیم.»
برای وضوح کامل، باید به سراغ سرویس جداگانه آنها به نام تمیز کردن سایت وردپرس بروید . قیمت آن در هر نمونه ۱۷۹ دلار است (به اضافه هزینه های افزایش بر اساس تقاضا).
خدمات تمیز کردن سایت وردپرس آنها شامل موارد زیر است:
- سایت آلوده را با حذف تمامی کدها و لینک های مخرب پاک کنید.
- بررسی کنید که سایت چگونه آلوده شده است.
- گزارشی عمیق از بررسی و حذف عفونت ارائه دهید.
- سایت را برای حذف از لیست سیاه ضد بدافزار و ضد هرزنامه اعمال کنید.
- یک چک لیست برای جلوگیری از حملات بعدی ارائه دهید.
من هنوز از سرویس تمیز کردن سایت آنها استفاده نکرده ام، اما به اندازه کافی جامع به نظر می رسد. در اینجا چند بررسی خوب وجود دارد که در توییتر پیدا کردم:
در مقایسه با سرویس پاکسازی و حذف بدافزار Sucuri که در پلتفرم Sucuri ممتاز گنجانده شده است، سرویس تمیز کردن سایت Wordfence گرانتر به نظر میرسد.
و با Sucuri حذف بدافزار نامحدود در طول دوره اشتراک خود دریافت می کنید، در حالی که سرویس حذف بدافزار Wordfence برای یک کار واحد است. اگر سایت شما چند ماه بعد دوباره به بدافزار آلوده شد، باید دوباره همان هزینه را برای حذف بپردازید.
قیمت گذاری Wordfence
می توانید افزونه امنیتی Wordfence را به صورت رایگان دانلود کنید. در حال حاضر، این افزونه دارای بالاترین امتیاز و نصب شده ترین افزونه امنیتی در مخزن پلاگین وردپرس است.
Wordfence Premium از ۹۹ دلار در سال برای ۱ سایت شروع می شود. اگر سایت های دیگری را به سفارش خود اضافه کنید، تخفیف دریافت خواهید کرد. هر چه سایت های بیشتری اضافه کنید، تخفیف بیشتر می شود!
چگونه پلاگین های امنیتی بر عملکرد سایت تأثیر می گذارند
افزونه های وردپرس نه تنها بزرگترین خطرات امنیتی هستند، بلکه یکی از قاتلان اصلی عملکرد نیز هستند. افزونه های امنیتی به دلیل نیاز همیشه روشن و ویژگی های اسکن، به ویژه مقصر اصلی هستند.
با این حال، راهحلهای امنیتی مبتنی بر ابر مانند Sucuri Firewall یا Cloudflare در صورتی که به محافظت بیشتری نیاز داشته باشید، فوقالعاده هستند، بهویژه اگر در برابر رباتها و ترافیک پراکسی هستید.
خلاصه
Sucuri در مقابل Wordfence. بهترین انتخاب چیست؟
از یک طرف، Sucuri راه حل بهتری از این دو برای امنیت و عملکرد وب است، به خصوص اگر یک وب سایت تجاری یا تجارت الکترونیکی را اداره می کنید.
اما اگر به دنبال یک فایروال وب رایگان هستید، Wordfence راه حل محکم تری است. اگر این انتخاب شماست، پیشنهاد میکنم آن را با یک CDN رایگان قابل اعتماد، مانند Cloudflare، جفت کنید.
در پایان روز، همه چیز به میزبانی شما برمی گردد. یک ارائه دهنده میزبانی عالی بیشتر اقدامات امنیتی را برای شما انجام خواهد داد. آنها میدانند که عملکردی که به سرورها و سرویسهایشان وارد میشود توسط پلاگینهای شخص ثالث، ارزش این کار را ندارد.
در حالت ایدهآل، هاست شما باید کد قفل را داشته باشد تا فقط در مکانها و نمونههای محدودی قابل اجرا باشد. و سپس نوشتن آپلودها را فقط به پوشه مربوطه کد محدود کنید. با اضافه شدن چند اقدام سختتر امنیتی در سطح سرور، این امر افزونههای امنیتی وردپرس را اضافی میکند.
در نهایت، امنیت وب سایت یک سفر است و نه یک مقصد. من به شما توصیه می کنم بهترین راه را به جلو بروید!
و بخوانید:
یک پاسخ
من با هر دوشون کار کردم
Wordfence یه سرو گردن بالاتره