Sucuri در مقابل Wordfence: نمایش پلاگین های امنیتی وردپرس

دو راه اصلی برای محافظت از سایت وردپرس شما وجود دارد: اول، یک سرویس میزبانی امن با سابقه اثبات شده از بهترین شیوه های صنعت را انتخاب کنید. دوم، امنیت سایت خود را با یک سرویس امنیتی اختصاصی شخص ثالث تقویت کنید.

با امنیت وردپرس، Wordfence و Sucuri دو گزینه محبوب هستند. هر دو دارای مجموعه ای قوی از ویژگی های امنیتی برای ایمن نگه داشتن وب سایت شما هستند. از بسیاری جهات، آنها یکسان هستند، اما متفاوت هستند.

Wordfence یا Sucuri؟ اگر فکر می کنید کدام یک از این دو برای وب سایت شما مناسب است، این مقاله به شما کمک می کند تا تصمیم قاطعانه ای داشته باشید. من از هر دوی آنها به طور گسترده برای مقایسه ۱ به ۱ آنها برای ویژگی های مختلف، عملکرد، قیمت و ارزش کلی آنها استفاده کرده ام.

می توانید از این اطلاعات برای انتخاب مناسب ترین گزینه برای خود استفاده کنید.

خوب به نظر می رسد؟ بیایید شروع کنیم!

مقدمه ای بر امنیت وردپرس

وردپرس محبوب ترین سیستم مدیریت محتوا (CMS) در جهان است. آنقدر محبوب است که بیش از ۳۵ درصد از وب سایت ها را در اختیار دارد. و با محبوبیت زیاد، دردسرهای بزرگی به وجود می آید!

وردپرس همواره در معرض تهدید هکرها قرار دارد. طبق گزارش GoDaddy Security، میزان ۹۰ درصد از پلتفرم های CMS هک شده در سال ۲۰۱۸ سایت های وردپرسی بوده اند. گوگل به تنهایی هر روز ۱۰۰۰۰ وب سایت را برای میزبانی و انتشار بدافزار در لیست سیاه قرار می دهد و این سایت های لیست سیاه می توانند تا ۹۵ درصد از ترافیک ارگانیک خود را از دست بدهند .

۴۱ درصد از سایت های وردپرس هک شده به دلیل آسیب پذیری در پلت فرم هاست است. از این رو، می توانید از همان ابتدا با یک پلت فرم میزبانی امن وردپرس از مشکلات زیادی جلوگیری کنید.

حتی شگفت‌انگیزتر این است که ۶۰ درصد از مشاغل کوچک در عرض ۶ ماه پس از یک حمله سایبری تعطیل می‌شوند. از آنجایی که اکثریت قریب به اتفاق تلاش‌های هک برای کسب‌وکارهای کوچک و متوسط ​​اتفاق می‌افتد، امنیت وب‌سایت شما بسیار مهم‌تر است.

چگونه هکرها به سایت های وردپرس نفوذ می کنند

تنها ۳۶.۷ درصد از سایت های وردپرسی هک شده  توسط نسخه های آسیب پذیر قدیمی وردپرس ایجاد شده است. بردارهای اصلی حمله برای سایت های وردپرس اجزای توسعه پذیر آن، یعنی افزونه ها و تم ها هستند.

پلاگین ها به خصوص بزرگترین خطر هستند! همانطور که در مقاله امنیت وردپرس اشاره شد، افزونه‌هایی با آسیب‌پذیری‌های شناخته شده و ناشناخته، بخش عمده‌ای از هک‌های وردپرس را تشکیل می‌دهند. یک مطالعه Wordfence نشان داد که آنها ۵۵.۹٪ از هر درب پشتی شناخته شده را نشان می دهند.

حملات بی رحمانه برای حدس زدن رمزهای عبور ضعیف، بردار حمله بزرگ بعدی هستند که ۱۶.۱٪ از کل تلاش های هک را تشکیل می دهند. همین مطالعه آمار تکان دهنده دیگری را نشان داد: ۶۱.۵ درصد از صاحبان وب سایت های هک شده حتی نمی دانستند که سایت آنها به خطر افتاده است.

چگونه سایت وردپرس خود را ایمن کنیم

سه مرحله اصلی برای ایمن نگه داشتن سایت وردپرس شما در برابر حملات سایبری وجود دارد:

جلوگیری

چه یک بیماری بیولوژیکی باشد و چه یک بدافزار دیجیتال، پیشگیری همیشه بهتر از درمان است!

در حالی که وردپرس رایگان است، هزینه ساخت یک سایت وردپرس، و سپس ایمن سازی و نگهداری آن، هزینه ای ندارد. اما متأسفانه، امنیت اغلب در پایین ترین اولویت ها هنگام ساخت یک وب سایت قرار دارد.

تیم اصلی وردپرس کار بزرگی در حفظ امنیت وردپرس انجام می دهد. اما همانطور که قبلا ذکر شد، اکثر هک های وردپرس از نرم افزار اصلی آن ناشی نمی شوند.

Prevention بر حفظ کدهای مخرب از سایت های وردپرس شما تمرکز دارد. معمولاً از طریق فایروال ها، برنامه های آنتی ویروس، راه حل های فیلتر ایمیل، محافظت در برابر حملات DDoS و ربات های بد و غیره انجام می شود.

تشخیص

تشخیص بر روی آگاهی از حوادث امنیتی به محض وقوع تمرکز می کند، بنابراین می توانید بلافاصله اقدام کنید و وب سایت خود را قبل از اینکه آسیب جدی وارد شود ایمن کنید.

این شامل ابزارهایی مانند سیستم های تشخیص نفوذ، اسکن شبکه، نظارت بر یکپارچگی و غیره است.

بسیاری از صاحبان سایت های وردپرسی هک شده حتی نمی دانند که امنیت سایت آنها نقض شده است. از این رو، وجود سیستم‌های تشخیص قوی، به ویژه در سطح میزبانی، بسیار مهم است. افزونه های امنیتی مانند Sucuri یا Wordfence افزونه های عالی هستند.

پاسخ و بازیابی

به بهترین ها امیدوار باشید، اما همیشه برای بدترین ها آماده باشید! Response and Recovery بر رسیدگی سریع و کارآمد به حوادث امنیتی متمرکز است.

یک فرآیند بازیابی خوب نه تنها باید پس از یک حمله پاکسازی شود، بلکه شامل ویژگی های پشتیبان و پزشکی قانونی نیز می شود. این اطمینان حاصل می کند که حوادث مشابه را قبل از وقوع آنها متوقف کنید.

این یک دلیل اصلی است که چرا باید قبل از ثبت نام در شرکت هاستینگ، تحقیقات کاملی در مورد تعهد شرکت میزبان خود به امنیت انجام دهید.

خدمات امنیتی مانند Sucuri یا Wordfence خدمات پاسخگویی به حوادث را به عنوان بخشی از بسته های حرفه ای خود ارائه می دهند.

Sucuri در مقابل Wordfence

Sucuri و Wordfence هر دو به شما کمک می کنند تا سایت وردپرس خود را ایمن کنید، اما رویکرد آنها متفاوت است. در اینجا یک مسابقه سریع بین آنها وجود دارد:

	سوکوری	حصار کلمه
قیمت گذاری فایروال (WAF)	از ۹.۹۹ دلار در ماه شروع می شود	از ۹۹ دلار در سال شروع می شود
قیمت گذاری حذف بدافزار	از ۱۹۹.۹۹ دلار در سال شروع می شود – پاکسازی نامحدود	۱۷۹ دلار برای هر پاکسازی
افزونه رایگان موجود است	آره	آره
فایروال برنامه های کاربردی وب (WAF)	بله، اما فقط برای مشتریان Premium	بله، رایگان است
اسکن یکپارچگی وب سایت	آره	آره
پشتیبانی از گواهینامه SSL (در WAF)	آره	خیر
حفاظت از حمله DDoS	آره	خیر
پیشگیری از سوء استفاده های روز صفر	آره	خیر
CDN برای بهبود عملکرد	آره	خیر
پلتفرم مبتنی بر ابر	بله، اسکن از راه دور	خیر
پلتفرم خود میزبان	خیر	بله، اسکن محلی
ترفندهای امنیتی سیستم	خیر	آره

جدول بالا تفاوت های کلیدی بین Sucuri و Wordfence را پوشش می دهد. حالا بیایید عمیق تر بگردیم!

بررسی سوکوری

معرفی سوکوری

Sucuri یک ابزار امنیتی وب سایت مبتنی بر ابر برای ایمن سازی وب سایت ها است. تمام ترافیک وب سایت شما را حتی قبل از رسیدن به سرور میزبان شما فیلتر می کند.

از ویژگی های اصلی آن می توان به شناسایی بدافزار، نظارت بر یکپارچگی و سخت شدن امنیت اشاره کرد. Sucuri همه چیز را از راه دور اسکن می کند، بنابراین هیچ اسکن عمیقی در سطح سرور انجام نمی دهد.

Sucuri قول محافظت از وب سایت ها، بهبود عملکرد، نظارت بر شاخص های هک، و پشتیبانی نامحدود برای حوادث امنیتی (فقط برای کاربران ممتاز) را می دهد.

باید توجه داشته باشید که Sucuri یک گلوله نقره ای برای تمام نیازهای امنیتی وب سایت شما نیست. این برای تکمیل امنیت وب موجود شما طراحی شده است. با این حال، Sucuri ابزارهای زیادی را برای کاهش خطرات در اختیار شما قرار می دهد و به شما آرامش بهتر و آگاهی امنیتی بیشتری می دهد.

لطفاً برای تکمیل این فرم، جاوا اسکریپت را در مرورگر خود فعال کنید. طراحی وب سایت: راهی برای جذب مشتریان و افزایش فروش آنلاین شما آیا میخواهید کسب و کار آنلاین خود را به سطح جدیدی برسانید؟ با یک وب سایت حرفه‌ای، میتوانید به مشتریان اعتماد بیشتری القا کنید و فروش آنلاین خود را افزایش دهید. طراحی وب سایت حرفه‌ای به شما امکان می‌دهد تا هویت برند خود را به صورت جذاب نمایش دهید و محصولات و خدمات خود را به نمایش بگذارید. همچنین، با بهینه سازی وب سایت، میتوانید در موتورهای جستجو (مثل گوگل) بالاترین رتبه را کسب کنید و بیشترین ترافیک را به سمت وب سایت خود جذب کنید. با ما تماس بگیرید (یا اطلاعات تماس‌تان را برای ما ارسال کنید) و ما به شما کمک خواهیم کرد تا یک وب سایت منحصر به فرد داشته باشید. ۰۹۱۳۳۹۵۷۹۲۰ نام * نام نام خانوادگی تلفن همراه * درخواست مدنظر شما * مشاوره کسب‌وکار آنلاین طراحی وب‌سایت تولید محتوا سئو امنیت وب‌سایت ارسال

Sucuri چگونه کار می کند

هنگام صحبت در مورد نحوه عملکرد Sucuri، بهتر است بین سه سطح آن تفاوت قائل شوید:

1. Sucuri Security یک افزونه رایگان است که دارای ویژگی های استاندارد سخت شدن امنیت وردپرس است. نسخه رایگان افزونه فاقد فایروال است.
2. Sucuri Firewall (WAF) یک سرویس پولی است که می توانید آن را با افزونه رایگان Sucuri Security ادغام کنید. شما همچنین می توانید از فایروال بدون افزونه استفاده کنید. این شامل ویژگی های محافظت از وب سایت مانند دیواره آتش برنامه وب سایت (WAF)، CDN برای بهینه سازی عملکرد، تعادل بار برای در دسترس بودن بالا، سیستم تشخیص نفوذ (IDS)، کاهش DDoS، و مجموعه ای از ابزارهای دیگر است.
3. Sucuri Platform مجموعه ای از خدمات امنیتی برتر مبتنی بر ابر است. این شامل همه چیزهایی است که در فایروال Sucuri ارائه می شود، به علاوه سایر ویژگی های مهم مانند نظارت، تشخیص و پاسخ به حادثه. با ثبت نام در پلتفرم Sucuri، می توانید از تیم Sucuri بخواهید که “همه بدافزارها و هشدارهای لیست سیاه” را برای وب سایت شما حذف کند.

برای درک بهتر، در اینجا یک ویدیوی کوتاه از Sucuri در محل کار آمده است:

Sucuri هر تغییر در وب سایت شما را ردیابی می کند و گزارش ها را در سرورهای ابری خود ذخیره می کند. می‌توانید این گزارش‌ها را بررسی کنید تا متوجه شوید دقیقاً چه مشکلی در کجا رخ داده است. این به رفع سریع و کارآمد مسائل امنیتی کمک می کند.

تنظیمات و ویژگی های امنیتی موجود است

می توانید پیشنهادات وردپرس Sucuri را به دو محصول اصلی تقسیم کنید: یک افزونه رایگان به نام Sucuri Security و یک فایروال Sucuri مبتنی بر ابر برتر (WAF) .

بیایید ابتدا به افزونه رایگان نگاه کنیم.

داشبورد امنیتی Sucuri دارای یک رابط ساده است که به شما یک دید عقابی از بررسی های امنیتی خود می دهد.

وظیفه اصلی آن اطلاع رسانی به شما در مورد یکپارچگی فایل های اصلی وردپرس شما است. در صورت یافتن فایل‌های اصلی در معرض خطر، هشداری به شما نشان می‌دهد. سپس می توانید اقدام مناسبی انجام دهید: یا فایل های آلوده را با فایل های اصلی جایگزین کنید یا آنها را به عنوان موارد مثبت کاذب علامت گذاری کنید.

در زیر برگه گزارش های حسابرسی در اینجا، هر تغییری را که در وب سایت شما اتفاق افتاده است را خواهید یافت. به همین ترتیب، در زیر برگه‌های iFrames ، پیوندها و اسکریپت‌ها ، می‌توانید هر نمونه از اسکریپت‌ها و پیوندها را در وب‌سایت خود پیدا کنید.

در مورد من، اخطار مثبت کاذب بود. بنابراین، من آن را به عنوان ثابت به صورت دستی علامت گذاری کردم. Sucuri دفعه بعد که اسکن انجام می دهد این اصلاح را به خاطر می آورد.

پانل تنظیمات دارای برگه های زیادی برای سفارشی کردن نحوه محافظت Sucuri از وب سایت شما است. در برگه تنظیمات عمومی ، می‌توانید کلید API ، دایرکتوری‌های ذخیره‌سازی داده ، و تنظیمات دیگری مانند صادرکننده گزارش، پروکسی معکوس ، کشف آدرس IP و لغو منطقه زمانی را پیدا کنید.

همچنین می‌توانید تنظیمات کلی Sucuri را از اینجا وارد یا صادر کنید.

سپس به تب Scanner می رویم. در اینجا، می‌توانید کارهای زمان‌بندی شده Sucuri ، تنظیمات ابزار یکپارچگی وردپرس (برای مقایسه فایل‌های روی سرور خود با فایل‌های اصلی) و فهرستی از موارد مثبت کاذب را ببینید.

اگر می‌خواهید فایل‌ها و پوشه‌های خاصی را در سرور خود از اسکن Sucuri نادیده بگیرید، می‌توانید آنها را در اینجا تنظیم کنید. این ابزار برای نادیده گرفتن فایل‌های غیر مرتبط با کد و پوشه‌هایی که برای اسکن بسیار سنگین هستند، مانند پوشه‌هایی با فایل‌های رسانه‌ای متعدد، پشتیبان‌گیری و غیره مفید است.

تب Hardening به شما امکان می دهد مجموعه ای از روش های سخت سازی امنیتی استاندارد وردپرس و PHP را اعمال کنید. اما می توانید از تنظیمات Whitelist Blocked PHP Files برای حذف برخی از فایل های PHP از این محدودیت های سفت و سخت استفاده کنید.

در صورت حمله یا نقض، تب Post-Hack بسیار مفید خواهد بود. در اینجا، می‌توانید کلیدهای مخفی را به‌روزرسانی کنید ، رمز عبور کاربر را بازنشانی کنید، افزونه‌های نصب‌شده را بازنشانی کنید، و هر افزونه و به‌روزرسانی تم موجود را اعمال کنید.

برگه هشدارها به شما امکان می دهد گیرنده هشدار ، آدرس IP مورد اعتماد ، موضوع هشدار ، هشدار در ساعت را تنظیم کنید. می‌توانید تنظیم کنید که چه نوع هشدارهای امنیتی مکانیسم هشدار را راه‌اندازی می‌کند، و چه نوع‌هایی را نادیده می‌گیرد (معمولاً آنهایی که توسط افزونه‌های شخص ثالث هستند). این یک ویژگی تشخیص عالی است.

تب API Service Communication ساده و سرراست است . این عمدتا برای توسعه دهندگان است که به سرویس API راه دور Sucuri دسترسی پیدا کنند.

در نهایت، برگه اطلاعات وب سایت تقریباً هر چیزی را که می خواهید در مورد وب سایت خود و وب سروری که روی آن میزبانی شده است بدانید فهرست می کند. در اینجا، در بخش Access File Integrity، می توانید یکپارچگی فایل htaccess. خود را بررسی کنید.

فایروال مبتنی بر ابر Sucuri یک سرویس برتر است. فیلتر کردن ترافیک ناخواسته، حملات DDoS و ربات‌های بد عالی است.

حتی بدون افزونه هم می تواند جادوی خود را انجام دهد (این روش توصیه شده است). شما فقط باید DNS میزبان خود را به سمت سرورهای نام آن هدایت کنید.

اکثر میزبان‌های وب، دارای ویژگی‌های امنیتی اضافی برای مسدود کردن و/یا فیلتر کردن آدرس‌های IP اسپم و ربات‌های بد هستند. بعضی حتی تنظیمات امنیتی را برای محدود کردن IP در دسترس دارد.

با این حال، یک سرویس حرفه ای WAF مانند Sucuri، که مدل کسب و کار آن در درجه اول بر حذف ترافیک بد متمرکز است، کنترل دقیق تری را ارائه می دهد.

این غیرمعمول نیست که کاربران برای فایروال مبتنی بر ابر Sucuri به عنوان پشتیبان ثبت نام کنند و تنها در صورت حمله به آن سوئیچ کنند. Sucuri انجام این کار را بسیار آسان می کند.

با در نظر گرفتن همه موارد، Sucuri چیزی بیش از یک پلاگین امنیتی یا فایروال است. این یک راه حل کامل امنیت وب برای محافظت از سایت های شما در برابر هر گونه حمله مخرب است.

راحتی در استفاده

استفاده از Sucuri ساده است. رابط کاربری روی نقطه است. اگر Sucuri به شما توصیه می‌کند که تنظیمات سخت‌سازی امنیتی را اعمال کنید، فقط یک کلیک برای فعال کردن آنها لازم است.

پس از نصب افزونه، باید کلید API رایگان آن را ایجاد کنید، که می توانید مستقیماً از داشبورد وردپرس خود انجام دهید.

Sucuri اکثر ویژگی های امنیتی خود را خودکار می کند، بنابراین می توانید آنها را یک بار تنظیم کنید و برای همیشه فراموش کنید. همچنین لازم نیست نگران به روز رسانی یا نگهداری افزونه باشید.

Sucuri در صورت تشخیص نقض به شما هشدار می دهد. اما اگر بخواهید کنترل را به صورت دستی در دست بگیرید، گزینه های زیادی در اختیار شما قرار می دهد. و از آنجایی که WAF Sucuri مبتنی بر ابر است، نیازی به تعمیر و نگهداری فنی از طرف شما ندارد.

به طور کلی، من Sucuri را یک نسیم برای راه اندازی و استفاده یافتم.

نحوه عملکرد Sucuri در امنیت وب

جلوگیری

افزونه رایگان Sucuri Security به اندازه کافی خوب است تا در وب سایت وردپرس خود برگه ای داشته باشید و برخی اقدامات امنیتی استاندارد را اعمال کنید. اما برای جلوگیری از هرگونه حمله بزرگ علیه وب سایت شما ساخته نشده است.

اگر به دنبال راه حل امنیتی رایگان وردپرس هستید، Sucuri Security را توصیه نمی کنم. برای ایمن سازی وب سایت خود به آن اعتماد نکنید.

از سوی دیگر، فایروال Sucuri در برابر حملات DDoS، ربات‌های سوءاستفاده‌کننده و به خطر انداختن داده‌های مشتری کار بسیار خوبی انجام می‌دهد. پلتفرم امنیتی Sucuri یک گام فراتر می رود و اقدامات پیشگیرانه بیشتری را اضافه می کند.

تشخیص

پلاگین رایگان Sucuri در شناسایی کوچکترین تغییرات در وب سایت شما کار بسیار خوبی انجام می دهد. اگر هر گونه ناهنجاری پیدا کرد، فوراً به شما هشدار می دهد تا بتوانید اقدامات لازم را انجام دهید.

حتی اگر یک هکر شما را از ورود به سایت خود قفل کرده باشد، می توانید گزارش های ذخیره شده در سرورهای ابری Sucuri را بررسی کنید تا بفهمید چه اتفاقی افتاده است و چگونه می توانید کنترل مجدد را به دست آورید.

با این حال، این پلتفرم امنیتی برتر Sucuri است که واقعاً با نظارت و تشخیص می درخشد. دارای ویژگی‌های اضافه شده مختلفی مانند اسکن‌های امنیتی معمولی سمت سرور، نظارت بر لیست سیاه، نظارت بر SSL، اعلان‌های فوری و یکپارچه‌سازی ارتباط همبستگی گزارش ( SIEM ) است.

پاسخ و بازیابی

یک پلت فرم امنیتی وب ناقص است اگر راهی برای پاکسازی یک وب سایت هک شده به شما ارائه ندهد.

خوشبختانه برای من، در حالی که Sucuri از وب‌سایت‌هایم محافظت می‌کرد، هرگز با یک حادثه امنیتی مواجه نشدم. اما بسیاری هستند که مشکل جدی داشتند و تجربیات خود را در سایت‌های بررسی جمعی مانند G2.com به اشتراک گذاشته‌اند.

در اینجا صاحب یک وب سایت است که نظر مثبت خود را با Sucuri به اشتراک می گذارد.

و در اینجا یک طراح وب تجربه مثبت خود را با Sucuri در کمک به پاکسازی وب سایت های وردپرس مشتریانش به اشتراک می گذارد.

قیمت گذاری سوکوری

اکنون، به مهمترین نکته، یعنی قیمت گذاری می رسیم.

فایروال Sucuri (WAF) از ۹.۹۹ دلار در ماه شروع می شود، در حالی که Sucuri Platform از ۱۹۹.۹۹ دلار در سال شروع می شود. ثبت نام در پلتفرم Sucuri همچنین به شما دسترسی نامحدودی به حذف بدافزار و پاکسازی هک می دهد.

همه طرح‌های پریمیوم Sucuri با ۳۰ روز ضمانت بازگشت وجه ارائه می‌شوند.

Sucuri هیچ ویژگی امنیتی را از برنامه‌های سطح پایین‌تر خود مستثنی نمی‌کند به جز پشتیبانی از گواهی SSL در سرور اصلی شما (که برای دومین برنامه ارزان‌قیمت رزرو شده است).

در عوض، Sucuri از اسکن‌ها و اولویت پاسخ‌گویی به عنوان انگیزه‌ای برای ثبت نام در برنامه‌های بالاتر خود استفاده می‌کند.

این استراتژی قیمت‌گذاری به هر مشتری Sucuri همان ویژگی‌های پیشگیری و شناسایی را می‌دهد، اما برای اسکن‌ها و حذف بدافزار، مشتریانی که برای طرح‌های بالاتر ثبت‌نام کرده‌اند بالاترین اولویت را دارند.

همه به موقع آدرس بلیط های خود را دریافت می کنند، اما اگر در پایین ترین سطح هستید، در بیشتر موارد پاسخ فوری نخواهد بود. اگر به وضوح سریع تری نیاز دارید، این گزینه را دارید که به سراغ برنامه های بالاتر آنها بروید. برای مقایسه، راه حل امنیتی معادل Cloudflare 200 دلار در ماه هزینه دارد.

من می توانم درک کنم که چرا این رویکرد می تواند برخی از کاربران را ناامید کند، به خصوص زمانی که آنها با یک وب سایت هک شده سر و کار دارند و به دنبال راه حلی سریع هستند. اما با توجه به کل ارزشی که از آن بدست می آورید، در دراز مدت برای اکثر کاربران Sucuri بهتر عمل می کند.

اکنون که Sucuri را پوشش داده‌ایم، بیایید به Wordfence برویم و ببینیم که چگونه با آن مقایسه می‌شود.

بررسی Wordfence

مقدمه ای بر Wordfence

Wordfence یک افزونه امنیتی رایگان وردپرس است که شامل یک فایروال نقطه پایانی (WAF) و یک اسکنر بدافزار است.

این ویژگی سایر اقدامات امنیتی مانند امنیت ورود به سیستم ( ۲FA، صفحه ورود به سیستم CAPTCHA، محدودیت تلاش برای ورود به سیستم)، ترافیک زنده، و مسدود کردن مبتنی بر قوانین پیشرفته است.

بر خلاف Sucuri، Wordfence یک فایروال محلی است. روی سرور وب شما می ماند و یک سرویس ابری نیست. از این رو، می تواند اسکن های سمت سرور را در سطح عمیق تری انجام دهد و رمزگذاری کامل انتها به انتها را ارائه دهد.

اما این مزیت به قیمت عملکرد است.

چرا؟ از آنجایی که منابع سرور شما ترافیک را تجزیه و تحلیل می کند، هرگونه قصد مخرب را بررسی می کند و در صورت لزوم، ترافیک را دور می زند. اگر وب سایت خود را روی سروری با منابع کمتر میزبانی می کنید (مثلاً هاست اشتراکی و برنامه های میزبانی ارزان مدیریت شده)، سایت شما می تواند به سرعت خزیده شود.

در صورت حمله DDoS ، سیل عظیم ترافیک مخرب می تواند منابع سرور شما را تحت الشعاع قرار دهد. هیچ افزونه امنیتی محلی نمی تواند در برابر آن مقاومت کند. این بزرگترین نقطه ضعف Wordfence در مقایسه با Sucuri است.

در مقابل، اگر WAF Sucuri را فعال کرده باشید، هر گونه ترافیک مخرب به وب سایت شما قبل از رسیدن به سرور شما در فضای ابری فیلتر می شود.

اما WAF محلی Wordfence یک ویژگی داخلی رایگان است، در حالی که WAF ابری Sucuri یک پیشنهاد برتر است.

Wordfence چگونه کار می کند

فایروال Wordfence توسط Feed دفاع از تهدید ( Threat Defense Feed ) آن تامین می‌شود، که اصطلاحی جذاب برای مجموعه قوانین فایروال، آدرس‌های IP مخرب و امضاهای بدافزار است.

فید دفاع از تهدید با افزونه Wordfence نصب شده در سایت وردپرس شما یکپارچه شده است. این توسط سرور شما تامین می شود.

با Wordfence Premium، به‌روزرسانی‌های بی‌درنگ فید دفاع از تهدید را دریافت می‌کنید . این شامل ویژگی هایی مانند:

• لیست سیاه IP بی‌درنگ، قانون فایروال و به‌روزرسانی‌های امضای بدافزار.
• پشتیبانی حق بیمه.
• بررسی اعتبار سایت/IP.
• مسدود کردن در سطح کشور

کاربران رایگان تنها پس از ۳۰ روز پخش زنده، به‌روزرسانی‌های حیاتی را دریافت می‌کنند. آنها همچنین لیست سیاه IP بلادرنگ را دریافت نمی کنند. در حالی که به نظر می رسد این گزینه خوبی برای وب سایت های شخصی است، اگر میزبان یک وب سایت تجاری یا تجارت الکترونیک هستید، می تواند یک معامله شکن باشد.

یک مزیت فایروال نقطه پایانی نسبت به فایروال های ابری وجود دارد. از آنجایی که به طور کامل توسط سرور شما تغذیه می شود، از نظر تئوری نه می توان هیچ داده ای را درز کرد و نه می توان آن را دور زد. در مقابل، یک فایروال ابری می‌تواند داده‌ها را نشت کند یا اگر مهاجم آدرس IP سرور شما را بداند، از آن عبور می‌کند.

تنظیمات و ویژگی های امنیتی موجود است

Wordfence روی وب سرور شما زندگی می کند. از این رو، می توانید تمام تنظیمات آن را در داشبورد وردپرس خود پیدا کنید .

داشبورد تمیز و آموزنده است. اطلاعات و هشدارهای مهم را در یک نگاه به شما ارائه می دهد.

اسکنر Wordfence یکپارچگی هر فایل روی سرور شما را بررسی می کند. اگر یک فایل اصلی وردپرس یا یک تم/افزونه رسمی نباشد، به شما هشدار می دهد.

متن فایل های سرور شما را با بدافزارهای شناخته شده مطابقت می دهد. اگر چیزی مشابه پیدا کند، حتی اگر یک یا دو خط باشد، با یک هشدار به شما هشدار می دهد. همچنین اگر هر یک از طرح‌های زمینه یا افزونه‌های شما به‌روزرسانی در دسترس باشد، اعلان‌هایی دریافت خواهید کرد.

حالا بیایید به پنل فایروال Wordfence برویم . در اینجا، می توانید تنظیمات WAF Wordfence را مدیریت کرده و پیکربندی آن را بهینه کنید.

هنگامی که برای اولین بار Wordfence را نصب می کنید، WAF آن به طور پیش فرض به مدت یک هفته در حالت یادگیری قرار می گیرد. این به آن اجازه می دهد تا سایت و بازدیدکنندگان شما را به طور کامل مطالعه کند، بنابراین متوجه می شود که چه قوانینی را اعمال کند تا فقط ترافیک قانونی را از طریق فایروال مجاز کند.

ویژگی لیست سیاه IP Real-Time فقط برای کاربران ممتاز در دسترس است.

با فعال بودن محافظت Brute Force ، Wordfence از شما در برابر مهاجمان با قفل کردن حساب آنها پس از چند تلاش ناموفق برای حدس زدن رمز عبور محافظت می کند. همچنین اگر فکر می‌کند رمز عبور آنقدر ضعیف است که به راحتی نمی‌توان آن را حدس زد، شما را مجبور می‌کند که آن را تغییر دهید.

در تب Blocking ، می‌توانید ترافیک را بر اساس آدرس‌های IP، محدوده IP، مرورگر، نام میزبان و ارجاع‌دهنده مسدود کنید. با این حال، مسدود کردن در سطح کشور یک ویژگی فقط حق بیمه است. می توانید تمام قوانین مسدودسازی مختلف را ترکیب کرده و آن را به عنوان یک نوع بلوک ذخیره کنید .

در بخش گزینه‌های فایروال ، می‌توانید آدرس‌ها و خدمات IP را در لیست سفید قرار دهید، آدرس‌های IP را برای نادیده گرفتن هشدارهای WAF، پیکربندی محدودیت نرخ و URL‌های فهرست سفید تنظیم کنید.

Wordfence همچنین به شما امکان می دهد IP هایی را که به URL های خاصی دسترسی دارند مسدود کنید. اگر شخصی به طور مکرر وب سایت شما را برای آسیب پذیری های شناخته شده بررسی کند، مفید است.

بعد، اجازه دهید به تب تنظیمات اسکنر برویم.

در اینجا، وظایف اسکن Wordfence را پیدا خواهید کرد. سه آزمایش اول بررسی برای هرزنامه و لیست سیاه است و فقط برای کاربران ممتاز رزرو شده است.

اگر اسکن چیزی غیرعادی تشخیص دهد، به شما هشدار می دهد.

در بخش Scan Options and Scheduling ، می توانید حساسیت اسکن، فرکانس اسکن و فایل های لیست سفید را تنظیم کنید. همچنین می‌توانید اسکن‌ها را برای عملکرد در تنظیمات خود بهینه کنید.

Wordfence با دسته ای از ابزارهای مفید دیگر ارائه می شود.

ابزار Live Traffic به شما کمک می کند تا آنچه را که در وب سایت شما اتفاق می افتد در زمان واقعی مشاهده کنید. شما می توانید آن را فقط با ترافیک مرتبط با امنیت فیلتر کنید. این به شما تمام ورودهای کاربر، تلاش های هک و درخواست های مخرب را نشان می دهد.

در حالی که داشتن آن یک ویژگی جالب است، ترافیک زنده بسیاری از منابع سرور شما را مصرف می کند. توصیه می کنم در صورت عدم استفاده آن را خاموش کنید.

ابزارهای دیگر عبارتند از Whois Lookup ، Import/Export Options و Diagnostics .

شما همچنین می توانید احراز هویت دو مرحله ای (۲FA) را برای همه ورود به سایت وردپرس خود با ماژول امنیت ورود Wordfence فعال کنید . قبلاً این یک ویژگی فقط پریمیوم بود، اما اکنون به صورت رایگان در دسترس است.

برای راه اندازی ۲FA می توانید از برنامه های تلفن همراه رایگان مانند Google Authenticator، FreeOTP یا Authy (توصیه شخصی من) استفاده کنید.

شما می توانید ۲FA را برای همه نقش های کاربر فعال کنید. این یک راه عالی برای محافظت از خود و کاربرانتان در برابر حملات بی رحمانه مانند حدس زدن رمز عبور و پر کردن اعتبار است.

شما می توانید یک لیست سفید IP برای ۲FA تنظیم کنید، به طوری که IP های خاصی در حین ورود به سیستم نیازی به بررسی های امنیتی اضافی نداشته باشند. اگر بیشتر از یک مکان کار می کنید، این ویژگی به شما کمک می کند هر بار که وارد سیستم می شوید از ۲FA عبور نکنید. که در.

سایر ویژگی های امنیتی ورود به سیستم برای جلوگیری از حملات brute force عبارتند از:

• تعداد تلاش‌های «رمز عبور فراموش شده» و شکست‌های ورود را محدود کنید. پس از چند بار تلاش، کاربر قفل می شود.
• گذرواژه های قوی در سراسر سایت را اعمال کنید.
• جلوگیری از ثبت نام کاربران با نام های کاربری خاص (مثلاً admin)
• افرادی را که سعی می کنند با نام های کاربری خاص وارد سیستم شوند بلافاصله مسدود کنید (مانند admin، yoursite_admin، و غیره).
• احراز هویت XML-RPC را غیرفعال کنید، یک بردار حمله رایج که برای تزریق بدافزار استفاده می‌شود.

در نهایت، Wordfence شامل یک پانل All Options است که در آن می توانید هر یک از تنظیمات Wordfence را پیدا کنید. با توجه به گزینه های گسترده موجود در Wordfence، این بسیار مفید است.

راحتی در استفاده

با توجه به کاربر پسند بودن، Wordfence با Sucuri Security قابل مقایسه است و استفاده از آن بسیار ساده است. پس از نصب و فعال سازی افزونه، Wordfence بلافاصله به مدت یک هفته وارد حالت یادگیری می شود.

بر اساس راه‌اندازی و ترافیک سرور شما، به‌طور خودکار فایروال و تنظیمات اسکن توصیه‌شده را اعمال می‌کند. در تجربه من، این تنظیمات برای محافظت از شما در برابر بیشتر حملات کافی است.

تنظیم و اجرای ویژگی های امنیتی ورود آسان است.

اگر وب سایت شما تحت یک حمله DDoS قرار دارد، Wordfence می تواند سرور شما را به خزیدن برساند. در شدیدترین موارد، سرور ممکن است آنقدر غرق شود که دسترسی شما به داشبورد مدیریت وردپرس را مسدود کند.

از آنجایی که Wordfence یک راه حل محلی سازی شده است، شما کنترل کامل تنظیمات آن را دارید. در حالی که اگر از نظر فنی مهارت دارید، این می تواند مفید باشد، برای اکثر کاربران وردپرس این می تواند دردسرساز باشد.

به طور کلی، من Wordfence را به عنوان پای آسان می‌دانم، تا زمانی که طبق برنامه کار کند.

نحوه عملکرد Wordfence در امنیت وب

جلوگیری

برخلاف راه‌حل رایگان Sucuri که شامل فایروال نمی‌شود، Wordfence دندان‌هایی برای متوقف کردن بیشتر حملات دارد. نه تنها اقدامات استاندارد سخت‌سازی امنیتی را اعمال می‌کند، بلکه با یک WAF سمت سرور نیز ارائه می‌شود.

اما آخرین به‌روزرسانی‌های تهدید فقط برای کاربران ممتاز در دسترس است. کاربران رایگان ۳۰ روز پس از پخش زنده به‌روزرسانی‌ها را دریافت می‌کنند. و از آنجایی که سرور وب شما Wordfence (و نه ابر) را قدرت می‌دهد، حتی با انتخاب برتر، شما در برابر حمله DDoS باید خود را محافظت کنید.

من می‌توانم نیاز تجاری پشت این تصمیم را درک کنم، اما برای امنیت، فکر می‌کنم رویکرد همه یا هیچ سوکوری بهتر است. حداقل نمی‌توانید فکر کنید که در مقابل محبوب‌ترین تهدیدات محافظت شده‌اید، در حالی که اینطور نیستید.

با توجه به آنچه گفته شد، نسخه پریمیوم Wordfence در جلوگیری از اکثر حملات امنیتی کار خوبی انجام می دهد. وبلاگ و کانال یوتیوب آنها منابع خوبی برای به روز نگه داشتن خود در مورد آخرین تهدیدات امنیتی وردپرس هستند.

تشخیص

افزونه رایگان Wordfence برای تشخیص بیشتر مسائل امنیتی بسیار خوب عمل می کند. اما برای شناسایی آخرین تهدیدات به بسته پریمیوم آن نیاز دارید.

اگر یک هکر با موفقیت شما را از وب‌سایت خود قفل کرده باشد، هیچ راهی برای بررسی گزارش‌ها مانند Sucuri وجود ندارد. بنابراین، بررسی هک بسیار سخت تر است.

به غیر از تماس با ارائه دهنده هاست خود یا یک سرویس امنیتی شخص ثالث، که از قضا شامل Wordfence نیز می شود، راه دیگری نخواهید داشت.

در مقایسه با Sucuri، Wordfence یک ویژگی اولیه سفارشی سازی هشدارها دارد و این کار را به خوبی انجام می دهد. در صورت مشاهده یک ناهنجاری امنیتی، فوراً به شما هشدار می دهد.

پاسخ و بازیابی

همانطور که قبلاً ذکر شد، شما باید با نسخه رایگان Wordfence از خود مراقبت کنید. اما حتی با بسته پریمیوم، Wordfence هیچ خدمات پاسخگویی و بازیابی ارائه نمی دهد.

در اینجا یک نقل قول است که مستقیماً از شرایط استفاده Wordfence گرفته شده است :

“پشتیبانی ما برای Wordfence Premium به ۲ ساعت پشتیبانی در هر حادثه محدود می شود. ما این حق را برای خود محفوظ می‌داریم که پشتیبانی بیشتر را رد کنیم یا هزینه پشتیبانی اضافی را بیش از ۲ ساعت پشتیبانی دریافت کنیم.»

برای وضوح کامل، باید به سراغ سرویس جداگانه آنها به نام تمیز کردن سایت وردپرس بروید . قیمت آن در هر نمونه ۱۷۹ دلار است (به اضافه هزینه های افزایش بر اساس تقاضا).

خدمات تمیز کردن سایت وردپرس آنها شامل موارد زیر است:

• سایت آلوده را با حذف تمامی کدها و لینک های مخرب پاک کنید.
• بررسی کنید که سایت چگونه آلوده شده است.
• گزارشی عمیق از بررسی و حذف عفونت ارائه دهید.
• سایت را برای حذف از لیست سیاه ضد بدافزار و ضد هرزنامه اعمال کنید.
• یک چک لیست برای جلوگیری از حملات بعدی ارائه دهید.

من هنوز از سرویس تمیز کردن سایت آنها استفاده نکرده ام، اما به اندازه کافی جامع به نظر می رسد. در اینجا چند بررسی خوب وجود دارد که در توییتر پیدا کردم:

در مقایسه با سرویس پاک‌سازی و حذف بدافزار Sucuri که در پلتفرم Sucuri ممتاز گنجانده شده است، سرویس تمیز کردن سایت Wordfence گران‌تر به نظر می‌رسد.

و با Sucuri حذف بدافزار نامحدود در طول دوره اشتراک خود دریافت می کنید، در حالی که سرویس حذف بدافزار Wordfence برای یک کار واحد است. اگر سایت شما چند ماه بعد دوباره به بدافزار آلوده شد، باید دوباره همان هزینه را برای حذف بپردازید.

قیمت گذاری Wordfence

می توانید افزونه امنیتی Wordfence را به صورت رایگان دانلود کنید. در حال حاضر، این افزونه دارای بالاترین امتیاز و نصب شده ترین افزونه امنیتی در مخزن پلاگین وردپرس است.

Wordfence Premium از ۹۹ دلار در سال برای ۱ سایت شروع می شود. اگر سایت های دیگری را به سفارش خود اضافه کنید، تخفیف دریافت خواهید کرد. هر چه سایت های بیشتری اضافه کنید، تخفیف بیشتر می شود!

چگونه پلاگین های امنیتی بر عملکرد سایت تأثیر می گذارند

افزونه های وردپرس نه تنها بزرگترین خطرات امنیتی هستند، بلکه یکی از قاتلان اصلی عملکرد نیز هستند. افزونه های امنیتی به دلیل نیاز همیشه روشن و ویژگی های اسکن، به ویژه مقصر اصلی هستند.

با این حال، راه‌حل‌های امنیتی مبتنی بر ابر مانند Sucuri Firewall یا Cloudflare در صورتی که به محافظت بیشتری نیاز داشته باشید، فوق‌العاده هستند، به‌ویژه اگر در برابر ربات‌ها و ترافیک پراکسی هستید.

خلاصه

Sucuri در مقابل Wordfence. بهترین انتخاب چیست؟

از یک طرف، Sucuri راه حل بهتری از این دو برای امنیت و عملکرد وب است، به خصوص اگر یک وب سایت تجاری یا تجارت الکترونیکی را اداره می کنید.

اما اگر به دنبال یک فایروال وب رایگان هستید، Wordfence راه حل محکم تری است. اگر این انتخاب شماست، پیشنهاد می‌کنم آن را با یک CDN رایگان قابل اعتماد، مانند Cloudflare، جفت کنید.

در پایان روز، همه چیز به میزبانی شما برمی گردد. یک ارائه دهنده میزبانی عالی بیشتر اقدامات امنیتی را برای شما انجام خواهد داد. آن‌ها می‌دانند که عملکردی که به سرورها و سرویس‌هایشان وارد می‌شود توسط پلاگین‌های شخص ثالث، ارزش این کار را ندارد.

در حالت ایده‌آل، هاست شما باید کد قفل را داشته باشد تا فقط در مکان‌ها و نمونه‌های محدودی قابل اجرا باشد. و سپس نوشتن آپلودها را فقط به پوشه مربوطه کد محدود کنید. با اضافه شدن چند اقدام سخت‌تر امنیتی در سطح سرور، این امر افزونه‌های امنیتی وردپرس را اضافی می‌کند.

در نهایت، امنیت وب سایت یک سفر است و نه یک مقصد. من به شما توصیه می کنم بهترین راه را به جلو بروید!

و بخوانید:

• چگونه یک کاربر ادمین را از طریق MySQL به پایگاه داده وردپرس اضافه کنیم
• نحوه نصب و راه اندازی Wordfence Security در وردپرس
• نحوه اسکن وردپرس برای بدافزار در ۴ مرحله آسان
• ۶ بهترین افزونه امنیتی وردپرس برای محافظت از سایت شما (در مقایسه)
• چگونه سایت وردپرس خود را برای کدهای بالقوه مخرب اسکن کنیم