A melhor combinação de plugins de segurança grátis? Sucuri + Wordfence? Segurança dos temas?

Não me considero um administrador “especialista” do Linux, mas faço isso conforme necessário há 20 anos como parte do meu serviço de desenvolvimento Full Stack. Eu tenho Configsever/LFD correndo no meu host para começar.

Uma das perguntas que sempre me incomodou é qual é o melhor ou mais importante Plugin de Segurança Livre, a melhor combinação? Sou minimalista para plugins.

Depois de tentar alguns anos com soluções diferentes, gostei da Segurança dos IThemes principalmente porque me deu o controle mais desagradável sobre o que eu estava fazendo e o que eu não estava. Mais tarde adicionei a Sucuri para obter seu serviço de varredura ao ar livre (não o firewall pago). Gostei das notificações de login e e-mail para coisas como atualizar plugins etc, mais tarde porque eu era capaz de obter um plugin autônomo removido isso. (Alguns clientes têm acesso administrativo e eu gosto de estar ciente do que eles estão fazendo.)

No entanto, percebi recentemente que, apesar de alterar o nome de usuário do administrador, ainda era possível descobrir o nome de usuário do administrador e muitas tentativas de login fracassadas. Descobri que um plugin que eu estava testando adicionou um pequeno código JS com o nome de usuário do autor em minhas postagens no blog, então removi esse plugin e eles não recebem mais o novo nome de usuário do administrador. . No entanto, recebi tentativas de login de muitos endereços IP diferentes (o que é bastante comum agora). Eu precisava colocar uma recaptcha na página de login, mas isso acabou sendo uma tentativa de login falhada no login da Sucuri.

Então decidi tentar o Wordfence e habili o bloqueio imediato de um nome de usuário incorreto. Isso impediu que tentativas de login inválidas aparecessem no meu log Da Sucuri (é claro, você pode vê-las no registro WF).

Minha preocupação agora é que o Wordfence parece ser bastante intensivo em servidor, principalmente para toda a sua varredura, e a Sucuri também tem uma varredura agendada. Embora eu tenha um monte de recursos de SERVIDOR e VDS baseado em SSD com 4 núcleos e 8GB de operação e apenas 6 sites WordPress, odeio a ideia de que plugins se sobrepõem e executam as mesmas tarefas.

Desde então, desabilitei a segurança do iThemes e me pergunto se estou perdendo o recurso de segurança da rede que realiza o bloqueio com base nos endereços IP compartilhados de outros sites que foram identificados como incorretos. Meu entendimento é wordfence, a lista livre na lista proibida de 30 dias?

Também me pergunto se devo desativar o scanner Wordfence, ou desativar o scanner Sucuri (sucuriscan_scheduled_scan) e não executá-los. Mas isso desabilitar a varredura externa que a Sucuri faz?

O maior desafio é que nem todos entendem tecnicamente os detalhes que acompanham esses plugins porque esses documentos não são detalhados. É quase como se você precisasse de um monitor de carga de servidor para fazer comparações A/B para descobrir que tipo de recursos esses plugins usam durante a varredura. Embora eu tenha uma boa capacidade para recursos de servidor, eu sou um pouco exigente sobre “executar um navio estreito.”

Este tema foi modificado pela última vez há 7 meses por.

O tema é Rei! Um cavalo é barato!

WordFence Rhythm com iThemes Security. Eles se comportam bem juntos sem sobrepor suas habilidades e esse arranjo me serviu bem.

Eu costumo instalar sucuri mas eu não habilitei, mas quando em dúvida, eu desabilitá-lo novamente. Basta deixá-lo instalado, desativado e pronto.

Seu outro amigo tem esse comparsa… ajustar suas tarefas de cron para executar quando o tráfego estiver mais baixo.

Outra coisa é dissuadir qualquer um de criar conteúdo com uma conta de nível administrativo. Ou deixe o WordFence fazer seu trabalho e lidar com esses maus atores como eles vêm. Criar conteúdo com uma conta administrativa ainda é uma má ideia.

Esta resposta foi modificada há 7 meses.

Gosto de usar a Sucuri como mencionado para o recurso de registro de atividades do usuário sem instalar plugins adicionais (atualizações de postagens, plugins de ativação/desativação, etc.). Eu também gosto que seja uma varredura de malware externa porque eu vi postagens enquanto pesquisava esses plugins que a Sucuri encontrou algum malware javascript em páginas que não viram a varredura do lado do servidor do Wordfence em alguns casos. No entanto, o Wordfence tem recursos de endurecimento FAR onde a Sucuri é bastante básica e só tem muitas sugestões para tarefas de configuração de endurecimento manual.

No momento, estou tentando descobrir o quanto a carga no servidor WAF (modo estendido) do Wordfence aumenta. Tentei a varredura executando-a manualmente e no meu servidor leva apenas um minuto e peguei a carga da CPU de 0,8 para 1.3 durante a varredura, que foi quase insignificante, atualizada.

A única razão pela qual eu não uso mais iThemes é porque ele não tem a capacidade de bloquear instantaneamente usuários que tentam fazer login com um nome de usuário inválido. Preciso disso para classificar o registro de atividade do usuário na Sucuri, pois há toneladas de mensagens de tentativas de login fracassadas.

A única coisa que falta é uma lista negra ip em tempo real, já que é um recurso pago no Wordfence, mas é gratuito no recurso de segurança da rede no iThemes. No entanto, meu firewall Configserver que protege todo o host via IPTables assina todas as principais listas negras para eu proteger o servidor antes que as solicitações vão para o WordPress, embora eu não ache que preciso me preocupar com um plugin. para um único site WP com essa capacidade.

Esta resposta foi modificada há 7 meses.

Isto foi útil?

0 / 0

Deixe uma resposta 0

O seu endereço de email não será publicado. Campos obrigatórios são marcados *