Pregunta sobre Arreglando WordPress de Wordpress:

¿La mejor combinación de plugins de seguridad gratuitos? Sucuri + Wordfence? ¿Seguridad de los temas?

Un usuario preguntó 👇

No me considero un administrador de Linux «experto», pero lo he estado haciendo según sea necesario durante 20 años como parte de mi servicio de desarrollo Full Stack. Tengo Configsever / LFD ejecutándose en mi host para comenzar.

Una de las preguntas que siempre me ha molestado es ¿cuál es el mejor o lo más importante Free Security Plugin, la mejor combinación? Soy minimalista para los plugins.

Después de probar algunos años con diferentes soluciones, me gustó iThemes Security principalmente porque me dio el control más desagradable sobre lo que estaba haciendo y lo que no. Más tarde agregué Sucuri para obtener su servicio de escaneo al aire libre (no el firewall pagado). Me gustaron las notificaciones de inicio de sesión y correo electrónico para cosas como actualizar plugins, etc., más tarde porque pude obtener un plugin independiente quitó eso. (A algunos clientes les doy acceso administrativo y me gusta estar al tanto de lo que están haciendo).

Sin embargo, recientemente me di cuenta de que, a pesar de cambiar el nombre de usuario de administrador, uno podía seguir averiguando el nombre de usuario de administrador y muchos intentos fallidos de inicio de sesión. Descubrí que un plugin que estaba probando agregaba un pequeño código JS con el nombre de usuario del autor en las publicaciones de mi blog, así que eliminé ese plugin y ya no reciben el nuevo nombre de usuario de administrador. . Sin embargo, recibí los intentos de inicio de sesión de muchas direcciones IP diferentes (lo cual es bastante común ahora). Necesitaba poner un recaptcha en la página de inicio de sesión, pero eso resultó ser un intento fallido de inicio de sesión en el inicio de sesión de Sucuri.

Así que decidí probar Wordfence y habilité el bloqueo inmediato de un nombre de usuario incorrecto. Eso impidió que los intentos de inicio de sesión no válidos aparecieran en mi registro de Sucuri (por supuesto, puede verlos en el registro de WF).

Mi preocupación ahora es que Wordfence parece ser bastante intensivo en el servidor principalmente para todo su escaneo, y Sucuri también tiene un escaneo programado. Si bien tengo muchas capacidades de servidor y VDS basado en SSD con 4 núcleos y 8 GB de funcionamiento y solo 6 sitios de WordPress, odio la idea de que los plugins se superponen y realizan las mismas tareas.

Desde entonces, he desactivado la seguridad de iThemes y me pregunto si me falta la función de seguridad de red que realiza el bloqueo en función de las direcciones IP compartidas de otros sitios web que se han identificado como incorrectos. Mi entendimiento es Wordfence, ¿la lista gratuita está en la lista prohibida de 30 días?

También me pregunto si debo deshabilitar el escáner de Wordfence, o deshabilitar el escáner Sucuri (sucuriscan_scheduled_scan) y no ejecutarlos. ¿Pero eso desactiva el escaneo externo que hace Sucuri?

El mayor desafío es que no todos entendemos técnicamente los detalles que acompañan a estos plugins porque esos documentos no se detallan. Es casi como si necesitara un monitor de carga del servidor para hacer comparaciones A / B para averiguar qué tipo de recursos utilizan estos plugins durante el escaneo. Si bien tengo una buena capacidad de recursos de servidor, soy un poco quisquilloso acerca de «manejar un barco estrecho».

Este tema fue modificado por última vez hace 7 meses por.

(@jnashhawkins)

hace 7 meses

¡El tema es Rey! ¡Un caballo es barato!

WordFence Rhythm con iThemes Security. Se comportan bien juntos sin superponer sus habilidades y ese arreglo me ha servido bien.

Normalmente instalo Sucuri pero no lo habilito, pero en caso de duda, lo deshabilito nuevamente. Simplemente déjelo instalado, desactivado y listo.

Tu otro amigo tiene este cron … ajusta tus tareas cron para que se ejecuten cuando el tráfico sea menor.

Otra cosa es disuadir a cualquiera de crear contenido con una cuenta de nivel de administración. O deje que WordFence haga su trabajo y trate con esos malos actores a medida que vienen. Crear contenido con una cuenta administrativa sigue siendo una mala idea.

Esta respuesta fue modificada hace 7 meses por.

(@ consultor1027)

hace 7 meses

Me gusta usar Sucuri como se mencionó para la función de registro de actividad del usuario sin instalar plugins adicionales (publicaciones de actualización, plugins de activación / desactivación, etc.). También me gusta que sea un escaneo de malware externo porque vi publicaciones mientras investigaba estos plugins que Sucuri encontró algún malware de javascript en páginas que no vieron el escaneo del lado del servidor de Wordfence en algunos casos. Sin embargo, Wordfence tiene características de endurecimiento FAR donde Sucuri es bastante básico y solo tiene muchas sugerencias para tareas de configuración de endurecimiento manual.

Actualmente estoy tratando de averiguar cuánto aumenta la carga del servidor Wordfence WAF (modo extendido). Probé el escaneo ejecutándolo manualmente y en mi servidor solo toma un minuto y tomé la carga de la CPU de 0.8 a 1.3 durante el escaneo, que fue casi insignificante, actualizado.

La única razón por la que ya no uso iThemes es porque no tiene la capacidad de bloquear instantáneamente a los usuarios que intentan iniciar sesión con un nombre de usuario no válido. Necesito eso para ordenar el registro de actividad del usuario en Sucuri, ya que hay toneladas de mensajes de intentos fallidos de inicio de sesión.

Lo único que falta es una lista negra de IP en tiempo real, ya que es una función de pago en Wordfence, pero es gratuita en la función de seguridad de red en iThemes. Sin embargo, mi firewall de Configserver que protege todo el host a través de IPTables se suscribe a todas las listas negras principales para que proteja el servidor antes de que las solicitudes vayan a WordPress, aunque no creo que deba preocuparme por un plugin. para un solo sitio de WP con esa capacidad.

Esta respuesta fue modificada hace 7 meses por.

¿Solucionó tu problema??

0 / 0

Deja una respuesta 0

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *