I plugin di sicurezza di WordPress possono sembrare la soluzione a tutti i rischi. In realtà però nella maggior parte dei casi se scegli un hosting WordPress sicuro, puoi avere tutti gli strumenti per proteggere il tuo sito senza dover utilizzare altri plugin.
In questa lista abbiamo raccolto i 14 plugin di sicurezza più usati, le loro caratteristiche e i prezzi.
Prima, però, andiamo a vedere quali sono le funzioni più comuni di questi plugin e quali alternative puoi usare.
Table of Contents
I plugin di sicurezza per un sito WordPress servono davvero?
I plugin con la precisa funzione di mettere in sicurezza WordPress sono così diffusi che molti di quelli che vedremo in questa lista superano le migliaia e in alcuni casi i milioni di installazioni.
Questo ci porta quindi a domandarci: i plugin di sicurezza sono essenziali per un sito?
Guardando solo la quantità di volte che vengono installati si direbbe di sì, ma dovresti davvero usare questi plugin sul tuo sito?
Risposta breve: no.
In linea di massima i plugin di sicurezza hanno due problemi principali:
- Sono meno efficaci rispetto alla protezione che può essere applicata lato server. Questi plugin sono pensati per proteggere solo i file del sito WordPress, ma non agiscono a livello di server.
- Rallentano il sito: spesso è meglio evitarli perché sono plugin che rallentano WordPress.
In aggiunta non dobbiamo dimenticare che i plugin di sicurezza sono pur sempre plugin e, come tali, possono essere loro stessi soggetti a vulnerabilità.
Qui sopra ho riportato l’esempio di plugin di sicurezza, WP Cerber, che attualmente non è disponibile nella directory di WordPress proprio a causa di un problema di sicurezza.
C’è un altro problema.
Spesso un solo plugin non è sufficiente per tutte le funzioni e si è costretti a installarne più di uno. Questo porta a ricadere in una situazione paradossale in cui la presenza di più plugin mette in realtà ancora più a rischio il sito WordPress.
In conclusione i plugin possono aiutarti a proteggere un sito WordPress, ma non sono la soluzione definitiva e in alcuni casi possono essere controproducenti perché fanno male e in mondo inefficiente un lavoro che dovrebbe fare il server.
Per migliorare la sicurezza di WordPress, infatti, ci sono diversi fattori da tenere in considerazione, anche la scelta dell’hosting è uno di questi elementi.
Andiamo a vedere quali sono le funzioni dei plugin di sicurezza e perché difficilmente troverai funzionalità migliori di quelle che puoi ottenere scegliendo un ottimo servizio di hosting o andando a impostare delle regole manualmente.
Cosa fanno i plugin di sicurezza di WordPress?
Esistono molti plugin di sicurezza, ognuno con delle funzioni specifiche. Ci sono però una serie di caratteristiche comuni.
È importante anche sapere che molte funzioni dei plugin possono essere sostituite con modifiche manuali o con le opzioni offerte dall’hosting o da servizi di terze parti.
Funzione di firewall e protezione DDoS
I plugin di sicurezza spesso includono un firewall per limitare il traffico non desiderato e potenzialmente dannoso.
Alternativa:
Il firewall dell’hosting applicato a livello di server o i servizi come Cloudflare sono in genere più efficaci rispetto alla protezione offerta dai plugin.
In base al piano hosting che scegli puoi adottare anche misure di sicurezza specifiche. Per esempio con un piano gestito di SupportHost come un VPS cloud hosting o un server dedicato, i nostri tecnici potranno ottimizzare il server in base alle tue richieste.
Protezione del login
Alcuni plugin di sicurezza hanno funzioni specifiche che ti permettono di:
- nascondere l’URL di login, cambiandolo rispetto a quello predefinito;
- limitare i tentativi di accesso;
- attivare l’autenticazione a due fattori.
Alternativa:
Ci sono sistemi alternativi per ridurre la possibilità che un malintenzionato possa accedere all’area di amministrazione di WordPress. In questo caso l’hosting ti può aiutare, ad esempio SupportHost adotta delle regole proprietarie per mitigare gli attacchi brute force e imposta un limite per il numero di login.
Anche il comportamento degli utenti è importante: scegliere una password sicura è il primo passo per difendersi da un attacco di questo tipo. Un gestore di password ci può aiutare a generare password complesse e memorizzarle in un modo sicuro.
Disattivare file editing, XML-RPC e REST API
Altre misure di sicurezza offerte dai plugin sono la possibilità di disattivare XML-RPC e le REST API e impedire la modifica dei file dall’area di amministrazione.
Alternativa:
In realtà non serve un plugin, per ottenere lo stesso risultato si possono impostare delle regole nei file di configurazione (wp-config.php, .htaccess e functions.php).
Anche l’hosting può fare la differenza: ad esempio su SupportHost XML-RPC è disattivato, ovviamente ove necessario possiamo attivarlo.
Scansione malware
La maggior parte dei plugin per migliorare la sicurezza di WordPress controllano l’integrità dei file del sito.
Spesso si sottovaluta che il principale rischio di malware è costituito da plugin e temi. Una regola d’oro, oltre ad aggiornare i componenti di WordPress, è quella di non installare mai plugin e temi nulled, ma affidarsi solo a fonti affidabili.
Alternativa:
Se scegli un hosting affidabile, ci sarà già un programma che effettua scansioni malware e analizza in automatico i file sul server.
Ad esempio su tutti i piani di SupportHost usiamo Imunify 360 che esegue scansioni automatiche e on-demand.
Vuoi approfondire? Scopri come scegliere il miglior hosting per WordPress.
14 plugin per mettere in sicurezza un sito WordPress
Ora che abbiamo visto una panoramica delle funzioni dei plugin di sicurezza, passiamo alla lista vera e propria.
Al termine della lista troverai una tabella comparativa dei plugin di sicurezza per confrontare le funzioni.
Puoi anche vedere la versione video in questo intervento di Ivan Messina sul canale di YouTube di Stefano De Carlo. Nel video Ivan va ad analizzare pro e contro dei plugin che abbiamo scelto per stilare questa lista.
Wordfence
Wordfence è uno dei plugin di sicurezza di WordPress tra i più utilizzati. Si tratta di un plugin completo che include firewall, scansione dei malware, blocco degli IP, autenticazione a due fattori e un sistema di prevenzione degli attacchi bruteforce.
Dati sull’ultima versione (Wordfence 7.9.2):
- data di aggiornamento: marzo 2023
- compatibile con WordPress 6.2
- numero di installazioni attive: più di 4 milioni.
Funzioni di Wordfence:
- Blocco degli indirizzi IP: esegue un blocco in tempo reale in base alla lista degli IP forniti. Funzione disponibile sono con la versione Premium.
- Blocco dell’accesso a determinati paesi: si possono impostare regole per bloccare l’accesso alla pagina del login o all’intero sito a determinati paesi. Disponibile solo con Wordfence premium.
- Firewall che identifica il traffico malevolo: l’aggiornamento delle regole del firewall avviene in tempo reale per gli utenti Premium, per la versione gratuita le regole vengono aggiornate dopo 30 giorni.
- Scanner per la ricerca dei malware: esegue una scansione sui file del core, file di temi e plugin, evita problemi come injection di codice e redirect verso siti spam. Con la versione Premium l’aggiornamento delle firme dei malware (signature) avviene in tempo reale, con la versione gratuita avviene dopo 30 giorni.
- Live traffic per monitorare le visite e i tentativi di attacco in tempo reale. Fornisce informazioni aggiuntive come origine del traffico, indirizzi IP e orario delle visite.
- Limite dei tentativi di login utile per prevenire gli attacchi brute force.
- Assicura l’integrità dei file del core di WordPress e dei file di temi e plugin.
- Disattiva XML-RPC e consente di attivare l’autenticazione a due fattori.
- Avvisi sui plugin in uso: monitora i plugin installati sul sito e invia degli avvisi quando i plugin non vengono più aggiornati oppure è stata segnalata qualche vulnerabilità.
Costo: disponibile nella versione gratuita (con dei limiti e alcune funzioni mancanti). Wordfence premium a 119$ all’anno.
iThemes Security
iThemes Security è un plugin per migliorare la sicurezza di un sito WordPress.
Offre delle funzioni specifiche per aumentare la sicurezza del login, cercare vulnerabilità note nel sito e tenere sotto controllo le attività degli utenti. A differenza di altri strumenti che vediamo in questa lista non fornisce un firewall.
Dati sull’ultima versione (iThemes Security 8.1.5):
- data di aggiornamento: marzo 2023
- compatibile con WordPress 6.2
- numero di installazioni attive: più di 1 milione.
Funzioni di iThemes Security:
- Autenticazione a due fattori, puoi attivare questo tipo di accesso a due fattori per migliorare la sicurezza del login. Il plugin è compatibile con diversi sistemi di autenticazione tra cui Google Authenticator.
- Modifica l’URL di login.
- Forza la connessione sicura via HTTPS.
- Monitora le attività degli utenti: puoi tenere traccia delle attività degli utenti, login e logout, nuove registrazioni effettuate, aggiunta di plugin o cambiamenti a pagine e articoli.
- Effettua una scansione per verificare la presenza di vulnerabilità note, va ad analizzare file del core, plugin e temi. Con la versione Pro si possono applicare le patch automaticamente quando ci sono estensioni con vulnerabilità.
- Monitoraggio dell’integrità dei file, verifica se sono state effettuate modifiche che possono ricondurre ad attività sospette.
- Protegge dai bot e dallo spam con la funzione reCAPTCHA, inoltre consente di bloccare utenti specifici.
- Modifica il prefisso del database, controlla i permessi di file e directory e permette di creare un backup del database.
- Consente di modificare le chiavi di sicurezza di WordPress (salts).
Costo: disponibile nella versione gratuita. La versione Pro di iThemes Security consente di accedere a tutte le funzioni e ha tre piani: Basic (99$ all’anno, per un sito), Plus (199$ all’anno, per 5 siti) e Agency (299$ all’anno, per 10 siti).
Sucuri Security
Sucuri Security è uno degli strumenti di sicurezza più usati nei siti WordPress. Fornisce uno strumento per la scansione dei malware e consente di verificare l’integrità dei file già nella versione gratuita. Il firewall è una funzione premium che si può acquistare separatamente.
In aggiunta al plugin, Sucuri mette a disposizione anche strumenti online come “Scan Website”, che puoi usare se vuoi fare una scansione del sito.
Dati sull’ultima versione (Sucuri Security 1.8.38):
- data di aggiornamento: aprile 2023
- compatibile con WordPress 6.2
- numero di installazioni attive: più di 800 mila.
Funzioni di Sucuri Security:
- Controllo dell’integrità dei file, verifica tutte le directory in modo da controllare che non ci siano cambiamenti nei file del core e in quelli di temi e plugin.
- Scansione e rimozione dei malware.
- Monitoraggio delle blocklist: effettua una verifica tramite diversi sistemi di blocklist che comprendono Norton e Sucuri Labs, in modo da avvisare nel caso in cui il sito sia segnalato all’interno di una di queste liste.
- Strumenti “post-hack”, fornisce degli strumenti rapidi utili dopo che un sito è stato violato, tra cui aggiornamento delle chiavi di WordPress e reset delle password.
- Il firewall è una funzione che deve essere attivata separatamente acquistando una licenza. Consente di proteggere il sito da attacchi DoS, DDoS e brute force. Inoltre ci permette di creare blacklist e whitelist per gli IP, in questo modo possiamo permettere l’accesso alla pagina di login solo agli IP autorizzati (quelli in whitelist).
Costo: il plugin è gratuito. Per il firewall si può acquistare una licenza Basic a 9.99$ al mese o una licenza Pro a 19,98$ al mese.
All In One Security (AIOS)
All-in-One Security (AIOS) è un plugin per la sicurezza di WordPress che include un firewall e strumenti specifici per bloccare i tentativi di accesso non autorizzati al sito e prevenire lo SPAM.
Dati sull’ultima versione (AIOS 5.1.7):
- data di aggiornamento: marzo 2023
- compatibile con WordPress 6.2
- numero di installazioni attive: più di 1 milione.
Funzioni di All-in-One Security (AIOS):
- Aiuta a migliorare la sicurezza: dà suggerimenti per evitare di utilizzare credenziali per il login facili da indovinare, include uno strumento per generare password forti, autenticazione a due fattori e permette di modificare la pagina di login con un URL personalizzato. Inoltre forza la disconnessione degli utenti dopo un certo periodo.
- Consente di monitorare l’attività sul sito e i tentativi di login falliti: fornisce anche informazioni su data e ora di login e logout e indirizzo IP. Permette di impostare delle regole di blocco quando viene effettuato un certo numero di login falliti o vengono usati username non validi.
- Include un firewall (Web Application Firewal) e altri sistemi di sicurezza per aiutare a prevenire attacchi DDoS (disattivando XML-RPC), bloccare IP specifici e bloccare l’accesso a file di configurazione.
- Protegge da attacchi Cross site scripting (XSS).
- Monitora l’integrità dei file: ricerca cambiamenti nei file di WordPress.
- Previene l’hotlinking delle immagini.
- Disattiva il file editing, impedisce la modifica dei file dall’area di amministrazione di WordPress.
- Verifica che i permessi di file e cartelle siano corretti.
- Aiuta a prevenire lo SPAM nei commenti sia con un blocco degli IP che integrando sistemi come Google reCAPTCHA.
Costo: il plugin è completamente gratuito.
Jetpack
A differenza degli altri plugin di sicurezza per i siti WordPress che abbiamo incluso in questa lista, Jetpack è un plugin multiuso.
Non si tratta quindi di uno strumento che fornisce solo funzioni per la sicurezza del sito, ma include anche strumenti per creare moduli di contatto, migliorare le prestazioni del sito e così via.
Jetpack funziona a moduli e ha diversi plugin, più avanti in questa lista, infatti, trovi anche Jetpack Protect, una versione del plugin indipendente da “Jetpack” che include solo strumenti per la sicurezza.
Dati sull’ultima versione (Jetpack 12.0):
- data di aggiornamento: aprile 2023
- compatibile con WordPress 6.2
- numero di installazioni attive: più di 5 milioni.
Funzioni di Jetpack:
- Scansione del sito alla ricerca di malware e verifica dell’integrità dei file di WordPress. Il plugin controlla anche la presenza di vulnerabilità note nei plugin e in altri file del sito.
- Registro delle attività: permette di vedere gli ultimi 20 eventi con dettagli sulle attività degli utenti e l’orario. Con i piani a pagamento è possibile vedere il registro completo delle attività (ultimi 30 giorni o ultimo anno in base al piano).
- Autenticazione a due fattori.
- Protezione da attacchi brute force.
- Consente di proteggere dallo spam i commenti e i form di contatto grazie all’integrazione con Akismet.
- Backup automatici (come abbiamo visto nella lista dei plugin di backup per WordPress, la funzione di backup di Jetpack può essere usata solo con il servizio VaultPress Backup a pagamento).
- Monitoraggio del tempo di attività del sito e notifiche in caso di down.
Costo: è disponibile una versione gratuita, ma la maggior parte delle funzioni che abbiamo riportato sopra richiede un piano a pagamento. Si possono acquistare anche le singole funzioni o i pacchetti, il piano “security” costa 25€ al mese, il piano “complete” costa 60€ al mese.
MalCare WordPress Security
MalCare WordPress Security anche conosciuto come MalCare Security è un plugin che nasce per rilevare la presenza di malware sui siti WordPress. Tra le sue funzioni ricordiamo anche la presenza di un firewall e la possibilità di bloccare l’accesso al sito a specifici paesi.
La versione gratuita del plugin permette di eseguire scansioni malware e usare un firewall per proteggere il sito. Per funzioni aggiuntive come la rimozione dei malware è necessario acquistare una licenza di MalCare premium.
Dati sull’ultima versione (Malcare WordPress Security 4.97):
- data di aggiornamento: aprile 2023
- compatibile con WordPress 6.2
- numero di installazioni attive: più di 300 mila.
Funzioni di MalCare WordPress Security:
- Scansione dei malware: adotta un sistema di scansione per trovare anche i malware più recenti, permette di ricevere delle notifiche in caso di rischi e di rimuovere i file infetti trovati. La rimozione istantanea dei file con lo strumento 1-Click Cleaner è una funzione a pagamento.
- Protezione del sito: rileva il traffico malevolo e permette di bloccare l’accesso al sito a determinati paesi (l’impostazione di regole geografiche è un’opzione a pagamento).
- Firewall: consente di proteggere la pagina di login e attiva la protezione dai bot (con la versione premium). Le regole del firewall vengono aggiornate ogni 7 giorni con la versione gratuita e ogni 5 minuti con la versione a pagamento. Protegge da attacchi come cross site scripting e SQL injections.
- Protezione anti brute force: permette di impostare una protezione sul login con un sistema di captcha.
- Consente di monitorare l’uptime del sito (funzione a pagamento).
- Disattiva il file editing e blocca l’esecuzione di script PHP in determinate cartelle.
Costo: il plugin si può usare gratuitamente, ma per accedere a tutte le funzioni è necessaria una licenza a pagamento. Il piano basic costa 99$ all’anno, quello plus 149$ all’anno (include anche i backup), quello Pro 299$ all’anno.
Anti-Malware Security and Brute-force Firewall
Anti-Malware Security and Brute-Force Firewall è un plugin per WordPress che permette di effettuare scansioni e bloccare le vulnerabilità note grazie al firewall integrato. Tra le funzioni premium include la possibilità di monitorare l’integrità dei file e bloccare attacchi brute force e DDoS.
Dati sull’ultima versione (Anti-Malware Security and Brute-Force Firewall 4.21.92):
- data di aggiornamento: marzo 2023
- compatibile con WordPress 6.1.1
- numero di installazioni attive: più di 200 mila.
Funzioni di Anti-Malware Security and Brute-Force Firewall:
- Effettua una scansione per rimuovere in automatico minacce di sicurezza note.
- Ha un firewall integrato che blocca malware come SoakSoak che sfruttano le vulnerabilità dei plugin.
- Consente di bloccare attacchi DDoS e brute force bloccando anche XML-RPC (versione premium).
- Monitora l’integrità dei file del core.
- Aggiorna automaticamente la lista delle minacce (è necessario registrarsi per questa funzione e avere la versione premium).
Costo: il plugin è gratuito, per avere le funzioni premium è richiesta una donazione agli sviluppatori.
Shield Security
Shield Security è un plugin WordPress che permette di bloccare i bot, include un firewall e un sistema di protezione da attacchi brute force con limite di tentativi di login.
La principale caratteristica del plugin è quella di selezionare il traffico in modo da distinguere le visite effettuate da persone reali, quelle dei bot “buoni” come i crawler dei motori di ricerca e quelle dei bot “cattivi”.
Dati sull’ultima versione (Shield Security 17.0.19):
- data di aggiornamento: marzo 2023
- compatibile con WordPress 6.2
- numero di installazioni attive: più di 50 mila.
Funzioni di Shield Security:
- Firewall e protezione da login indesiderati: regole anti brute force e limite di tentativi di login con blocco di sicurezza.
- Scanner anti malware.
- Monitora l’integrità dei file: esegue dei controlli per assicurarsi che i file del core, dei temi e dei plugin non siano stati modificati con intenti malevoli. Inoltre ricerca eventuali vulnerabilità e segnala la presenza di plugin non più aggiornati.
- Blocca i bot “cattivi”: ha un sistema di rilevamento che permette ai bot dei motori di ricerca di accedere al sito ma impedisce il traffico da parte dei bot non utili.
- Registro delle attività: permette di tenere traccia delle modifiche effettuate, tentativi di login, attivazioni e installazioni di nuovi temi e plugin o modifiche alle pagine e ai post.
- Controllo degli utenti: permette di impostare regole sugli IP e sospendere determinati utenti.
- Consente di bloccare in maniera mirata gli IP, ma non prevede un blocco degli IP basato sulla posizione geografica.
- Blocca XML-RPC e le Rest API, consente di aggiungere gli header HTTP per la sicurezza.
- Autenticazione a due fattori con diversi strumenti tra cui via email o con Google Authenticator.
Costo: è disponibile un plugin gratuito o dei piani a pagamento. Il piano Shield Support a 59€ all’anno consente di avere il supporto da parte degli sviluppatori. Per le funzioni premium è disponibile la licenza ShieldPro che include tutte le funzioni aggiuntive e costa 79€ all’anno.
Defender Security
Tra i plugin per la sicurezza che includono svariate funzioni troviamo Defender Security. Questo plugin funziona da firewall e da scanner per i malware, inoltre permette di bloccare attacchi comuni tra cui brute force, SQL injections e cross site scripting.
Dati sull’ultima versione (Defender Security 3.10.1):
- data di aggiornamento: aprile 2023
- compatibile con WordPress 6.2
- numero di installazioni attive: più di 80 mila.
Funzioni di Defender Security:
- Protezione dagli accessi non autorizzati: integra un sistema di autenticazione a due fattori, permette di mascherare la pagina di login e di attivare un blocco dopo un certo numero di tentativi di accesso falliti.
- Scansione da malware e monitoraggio dei file di WordPress: verifica che non ci siano cambiamenti inaspettati nei file del core.
- Protezione dagli attacchi comuni: protegge da code injection e XSS oltre a previene l’esecuzione di script PHP.
- Firewall: permette di bloccare determinati indirizzi IP e di bloccare anche gli accessi in base alla posizione geografica.
- Disattiva il file editing e nasconde gli errori, inoltre permette di resettare le chiavi di sicurezza di WordPress.
- Previene lo spam: disattiva trackback e pingback e si integra a Google reCAPTCHA.
Costo: disponibile in versione gratuita. La versione premum può essere acquistata come parte della licenza di WPMU DEV (che include anche altri plugin premium tra cui Forminator), il piano di base costa 7,50$ al mese.
SecuPress
SecuPress è un plugin gratuito per la sicurezza di WordPress, disponibile anche con un piano a pagamento. Tra le funzioni c’è la possibilità di eseguire scansioni anti malware e bloccare il traffico da parte dei bot.
La versione a pagamento del plugin, SecuPress Pro permette di automatizzare i controlli del sito e le scansioni. Include, inoltre, funzioni che sono assenti nella versione free come il blocco degli IP (anche geolocalizzato) e l’autenticazione a due fattori.
Dati sull’ultima versione (SecuPress 2.2.3):
- data di aggiornamento: gennaio 2023
- compatibile con WordPress 6.1.1
- numero di installazioni attive: più di 40 mila.
Funzioni di SecuPress:
- Protezione per il login: protegge da attacchi brute force, consente di attivare l’autenticazione a due fattori, forza a utilizzare password e username sicuri.
- Firewall: permette di bloccare attacchi comuni come SQL injection, consente il blocco del traffico proveniente da un determinato paese e blocca i bot “cattivi”.
- Disattiva le richieste via XML-RPC e REST API e previene l’hotlinking.
- Scansione dei malware: verifica i file caricati tra gli upload o via FTP, permette di bloccare il caricamento di file e temi. Fornisce anche report di sicurezza che sono esportabili in PDF.
Costo: il plugin è disponibile in versione gratuita. La versione a pagamento, SecuPress Pro include tutte le funzioni e costa 60€ all’anno.
Security & Malware Scan by CleanTalk
Security & Malware Scan è un plugin che offre un’intera gamma di funzioni per la sicurezza del sito: dalla protezione del login al blocco degli IP fino alla possibilità di eseguire scansioni per individuare i malware.
Dati sull’ultima versione (Security & Malware scan by CleanTalk 2.107):
- data di aggiornamento: aprile 2023
- compatibile con WordPress 6.2
- numero di installazioni attive: più di 20 mila.
Funzioni di Security & Malware Scan by CleanTalk:
- Protegge l’accesso al sito WordPress: consente di modificare l’URL di login di WordPress, limita il numero di tentativi di accesso, blocca gli attacchi brute force e include la funzione di autenticazione a due fattori.
- Monitora il traffico sul sito: permette di bloccare il traffico da un determinato IP quando le richieste sono eccessive in un intervallo di tempo limitato.
- Firewall: permette di bloccare determinati indirizzi IP o di creare un blocco per paesi specifici.
- Scansione dei malware: effettua una scansione dei file del core e di tutti gli altri file alla ricerca di codice malevolo, consente di prevenire attacchi di SQL injection.
- Registro delle attività: con la funzione “Security Audit Log” si può tenere traccia dei login e delle modifiche effettuate dai singoli utenti.
Costo: il plugin è gratuito. Per poter usare tutte le funzioni è richiesta la registrazione a un servizio a pagamento, CleanTalk cloud security. Il costo parte da 9$ all’anno per un singolo sito.
BulletProof Security
Tra i plugin che offrono una serie di funzioni complete per monitorare un sito WordPress, troviamo BulletProof Security. Questa estensione include uno scanner per i malware e un firewall e sistemi avanzati per proteggere il sito da accessi indesiderati.
Rispetto agli altri plugin di sicurezza di questa lista, BulletProof Security ha più impostazioni ma è più difficile da utilizzare. Non è quindi raccomandato per chi vuole un plugin facile da configurare.
Dati sull’ultima versione (BulletProof Security 6.8):
- data di aggiornamento: marzo 2023
- compatibile con WordPress 6.2
- numero di installazioni attive: più di 40 mila.
Funzioni di BulletProof Security:
- Scanner per i malware, con la versione Pro si possono programmare le scansioni. Lo strumento controlla l’integrità dei file ed effettua una scansione del database alla ricerca di codice malevolo.
- Firewall e protezione da attacchi comuni. Protegge da XSS, code e SQL injection e altri attacchi comuni.
- Login sicuro: il plugin permette di limitare i tentativi di login e attivare un blocco quando vengono effettuati un certo numero di tentativi errati.
- Consente di cambiare il prefisso delle tabelle del database e include i backup completi o parziali del database.
Costo: il plugin è disponibile in due versioni, gratuita e pro. La versione Pro costa 69.95$ ed è lifetime, non deve essere rinnovata e non ci sono limiti sul numero di siti.
WP Hide & Security Enhancer
WP Hide & Security Enhancer è un plugin che permette di nascondere la pagina di login di WordPress e proteggere il sito con altre funzioni tra cui l’aggiunta degli header HTTP per la sicurezza.
A differenza delle altre estensioni di sicurezza per WordPress che abbiamo visto in questo elenco, non è una suite completa, ma è un plugin specifico per nascondere le URL di WordPress. Ad ogni modo con la versione Pro si ha anche un firewall.
Dati sull’ultima versione (WP Hide & Security Enhancer 2.0.4):
- data di aggiornamento: marzo 2023
- compatibile con WordPress 6.2
- numero di installazioni attive: più di 80 mila.
Funzioni di WP Hide & Security Enhancer:
- Modifica l’URL di login di WordPress e blocca l’URL predefinita. Consente di cambiare le URL dei file di WordPress compresi temi e plugin.
- Blocca XML-RPC e REST API.
- Aggiunge gli header HTTP di sicurezza.
- Firewall: solo nella versione Pro. Protegge da Cross-Site Scripting, code, SQL e PHP injection e altre minacce comuni.
Costo: il plugin ha una versione gratuita e una pro. WP Hide Pro può essere acquistato con la licenza single site a 39$ (include aggiornamenti per un anno) o con la licenza Developer a 130$ (include aggiornamenti senza limiti.
WPScan / Jetpack Protect
WPScan è un plugin di sicurezza che si appoggia al proprio database di vulnerabilità.
Al momento il plugin non riceve più supporto in maniera attiva, per cui gli sviluppatori raccomandano di utilizzare Jetpack Protect al suo posto.
Jetpack Protect, gestito dallo stesso team di supporto di Jetpack consente scansione di malware e si basa sul database di WPScan che contiene oltre 25.000 tra malware e vulnerabilità.
Il plugin può essere usato in maniera indipendente e non richiede l’installazione del plugin “Jetpack” che abbiamo menzionato prima nella lista. Le funzioni di questo plugin sono diverse da quelle integrate in Jetpack.
Dati sull’ultima versione (Jetpack Protect 1.3.0):
- data di aggiornamento: marzo 2023
- compatibile con WordPress 6.2
- numero di installazioni attive: più di 80 mila.
Funzioni di Jetpack Protect:
- Esegue scansioni giornaliere per cercare malware o vulnerabilità.
- Include un firewall (Web Application Firewall) con regole che si aggiornano in automatico.
- Invia avvisi se ci sono vulnerabilità che riguardano la versione di WordPress, i plugin o i temi installati.
Costo: gratuito, si può fare upgrade a un piano a pagamento per avere sistemi di scansione più avanzati.
Plugin per la sicurezza di WordPress a confronto
In questa tabella abbiamo riportato le funzioni più importanti dei plugin di sicurezza che abbiamo selezionato per la nostra lista.
Plugin | Scanner malware | Firewall | Blocco IP geolocalizzato | 2FA | Tentativi di login | Integrità dei file | Registro attività |
---|---|---|---|---|---|---|---|
Wordfence | |||||||
iThemes Security | |||||||
Sucuri Security | |||||||
All In One Security | |||||||
Jetpack | |||||||
MalCare WordPress Security | |||||||
Anti-Malware Security and Brute-force Firewall | |||||||
Shield Security | |||||||
Defender Security | |||||||
SecuPress | |||||||
Security & Malware Scan by CleanTalk | |||||||
BulletProof Security | |||||||
WP Hide & Security Enhancer | |||||||
Jetpack Protect |
Spesso i plugin vengono preferiti perché sembrano essere la soluzione più comoda. In realtà puoi sostituire le funzioni di questi plugin con metodi migliori.
- Scansione malware: puoi usare uno strumento come Imunify 360 e fare una scansione a livello di server per avere un risultato più efficiente (non controlli solo i file di WordPress, ma tutto il contenuto dell’account).
- Firewall: il firewall dell’hosting agisce a livello di server. Puoi anche aggiungere la protezione firewall di Cloudflare.
- Blocco IP geolocalizzato: con cPanel puoi bloccare singoli indirizzi IP o intervalli di IP. Inoltre, con Cloudflare puoi bloccare il traffico da un intero paese.
- Autenticazione a due fattori: puoi usare un plugin specifico per questa funzione come Google Authenticator.
- Tentativi di login: verifica se il tuo hosting applica regole per mitigare gli attacchi brute force. Su SupportHost limitiamo il numero di tentativi di login.
- Integrità dei file: dovresti mantenere WordPress, temi e plugin aggiornati, inoltre, avere uno scanner malware lato server può aiutare. È importante non utilizzare mai plugin e temi provenienti da fonti non affidabili.
- Registro attività: applica sempre la regola del “Least Privilege Principle” assegnando agli utenti che hanno accesso al tuo sito solo i privilegi minimi per svolgere i loro compiti.
Conclusioni
Abbiamo visto la lista dei migliori plugin di sicurezza per WordPress. Come hai potuto vedere nella tabella riassuntiva, ogni plugin ha delle funzioni specifiche.
È importante anche sapere che, anche se tutti i plugin di questa lista sono disponibili anche in versione gratuita, molte funzioni sono accessibili solo con la versione premium. Visto che non è semplice trovare un plugin completo e gratuito, l’alternativa migliore è quella di capire quali funzioni sono realmente necessarie.
Come abbiamo detto all’inizio di questo articolo, molte funzioni non necessitano di un plugin, ma possono essere fornite dall’hosting.
I piani di SupportHost sono basati sulla sicurezza, ecco alcune delle funzioni che includiamo:
- firewall, protezione da attacchi DDoS e brute force con limite sul numero dei tentativi di login;
- XML-RPC disattivato;
- scansioni automatiche anti-malware;
- disponibilità della versione PHP più aggiornata e sicura e aggiornamenti frequenti dei software in uso;
- backup automatici del sito su server esterno.
Se il tuo piano hosting non prevede misure di sicurezza adeguate, forse piuttosto che trovare un plugin, dovresti capire se il caso di cambiare hosting.
Cosa ne pensi di questa lista? Hai trovato il plugin che fa al caso tuo? Facci sapere con un commento.
Lascia un commento