חיפוש "תוסף אבטחה לוורדפרס" מתחיל כמעט תמיד באותה שאלה: Wordfence או Sucuri, ואיזה מהם "הכי בטוח". התשובה הקצרה היא ששניהם כלים טובים, ששניהם פותרים חלק מהבעיה, ושאף תוסף לבדו אינו "אבטחה" במובן המלא. במאמר הזה נשווה בין שתי האפשרויות המובילות בלי הבטחות שיווק, ונסביר למה ההבדל המשמעותי באמת אינו בין תוסף לתוסף, אלא בין תוסף שמותקן ונשכח לבין אבטחה שמישהו מנהל.

מה תוסף אבטחה באמת עושה

לפני ההשוואה, חשוב להבין מה הכלים האלה מספקים. רובם משלבים כמה רכיבים:

  1. חומת אש (Firewall) שמסננת בקשות זדוניות לפני שהן מגיעות לאתר.
  2. סורק קבצים שמחפש שינויים חשודים, קוד זדוני ודלתות אחוריות.
  3. הגנה על ההתחברות מול התקפות brute force.
  4. התראות על עדכונים, חולשות ושינויים.

ההבדל בין הכלים הוא בעיקר באיפה החומה יושבת (על האתר עצמו או לפניו), באיכות הסריקה, ובמה שקורה כשמשהו באמת קורה.

Wordfence - חומת אש על האתר

Wordfence הוא תוסף שמותקן בתוך וורדפרס, וכאן גם החוזק וגם המגבלה שלו. החומה שלו (endpoint firewall) רצה כחלק מהאתר, כך שהיא מכירה היטב את ההקשר של וורדפרס ומזהה התקפות שמכוונות ספציפית לתוספים ולתבניות. הסורק שלו מצוין, והגרסה החינמית נדיבה יחסית וכוללת חומת אש, סריקה ובלימת brute force.

המגבלה נובעת מאותו עיקרון: מכיוון שהחומה רצה על השרת שלכם, היא צורכת משאבים מהאתר, ובהתקפה כבדה (למשל הצפת בוטים) השרת עדיין סופג את העומס לפני שהבקשה נחסמת. בנוסף, מסד החתימות בגרסה החינמית מתעדכן באיחור של מספר שבועות לעומת הגרסה בתשלום, כך שדווקא מול חולשות חדשות ההגנה החינמית פחות מעודכנת.

מתאים ל: אתרים שרוצים שליטה מקומית, סריקת קבצים חזקה, והבנה עמוקה של מה שקורה בתוך וורדפרס.

Sucuri - חומת אש בענן (WAF)

Sucuri ניגש לבעיה מכיוון אחר. חומת האש שלו יושבת בענן, לפני האתר, ומתפקדת גם כ-CDN. התעבורה עוברת דרכו, בקשות זדוניות נחסמות עוד לפני שהן מגיעות לשרת שלכם, והעומס בהתקפת DDoS נספג אצלם ולא אצלכם. זהו יתרון אמיתי לאתרים שכבר חוו הצפות תעבורה.

החיסרון: כדי שה-WAF יעבוד צריך להפנות אליו את ה-DNS, ההגדרה מורכבת יותר מהתקנת תוסף, וכמעט כל היכולות המשמעותיות נמצאות בחבילות בתשלום. הסריקה ברמת הקבצים, לעומת זאת, פחות מעמיקה מ-Wordfence כי היא רואה את האתר מבחוץ.

מתאים ל: אתרים עם תעבורה גבוהה, חנויות, או אתרים שסבלו ממתקפות נפח וצריכים שכבת הגנה שמנקה את התעבורה עוד לפני השרת.

ההשוואה במבט מהיר

  • מיקום החומה: Wordfence על האתר, Sucuri בענן לפני האתר.
  • סריקת קבצים: Wordfence מעמיק יותר, Sucuri חיצוני יותר.
  • הגנה מהצפת תעבורה: יתרון ברור ל-Sucuri.
  • קלות התקנה: Wordfence פשוט יותר (תוסף), Sucuri דורש שינוי DNS.
  • גרסה חינמית: Wordfence נדיב יותר, Sucuri בעיקר בתשלום.

הבעיה שאף תוסף לא פותר

עכשיו לחלק שהשיווק לא אוהב להדגיש. תוסף אבטחה הוא כלי, לא שירות. הוא מתריע, אבל לא מטפל. הוא חוסם הרבה, אבל לא הכול. וברגע האמת, השאלה אינה איזה תוסף מותקן, אלא מי מסתכל על ההתראות.

ברוב האתרים שאנחנו מקבלים אחרי פריצה, תוסף אבטחה היה מותקן. הבעיה הייתה אחת מהבאות:

  • התוסף שלח עשרות התראות, ואיש לא קרא אותן.
  • הגרסה החינמית לא עודכנה, והחתימות פיגרו אחרי החולשה שנוצלה.
  • ההגדרות נשארו ברירת מחדל, בלי 2FA ובלי הגבלת התחברות אמיתית.
  • האתר נפרץ דרך וקטור שהתוסף בכלל לא מכסה (סיסמה שדלפה, תוסף "נאלד", הרשאות רשלניות).

תוסף אבטחה שמותקן ונשכח נותן בעיקר תחושת ביטחון, לא ביטחון. אם תרצו להבין לעומק מאיפה מגיעות הפריצות, ריכזנו זאת במדריך למה אתרי וורדפרס נפרצים, ומה עושים כשכבר נפרצתם נמצא בניקוי וירוסים ו-malware מאתר וורדפרס.

למה אבטחה מנוהלת מנצחת תוסף בודד

אבטחה מנוהלת היא לא תוסף אחר, אלא גישה אחרת. במקום להתקין כלי ולקוות, יש תהליך קבוע שמישהו אחראי עליו:

  1. עדכונים מבוקרים של ליבה, תוספים ותבניות, עם בדיקה שהאתר לא נשבר אחרי העדכון.
  2. קריאה אקטיבית של ההתראות והפרדה בין רעש להתראה אמיתית.
  3. גיבוי אוטומטי ומאומת שמאפשר לחזור אחורה מיד, ולא רק לקוות שיש גיבוי. הרחבנו בגיבוי אוטומטי לוורדפרס.
  4. הקשחה של ההתחברות, ההרשאות וההגדרות מעבר לברירות המחדל.
  5. טיפול כשמשהו קורה, במקום עוד התראה בתיבה.

זהו בדיוק הרציונל שמאחורי חבילת אחריות 360 שלנו: לא רק להתקין כלי, אלא לנהל ארבעה פילרים בפועל - אבטחה, נגישות, פרטיות ותחזוקה טכנית. תוסף האבטחה הוא רכיב אחד מתוך מערך, ולא קו ההגנה היחיד.

אז איזה תוסף לבחור

אם אתם מנהלים את האתר בעצמכם: Wordfence הוא נקודת פתיחה מצוינת לרוב האתרים בזכות הסריקה והגרסה החינמית, ו-Sucuri עדיף אם סבלתם מהצפות תעבורה וצריכים WAF ענני לפני השרת. בכל מקרה, הגדירו 2FA, הגבילו ניסיונות התחברות, ועברו על ההגדרות במקום להשאיר ברירת מחדל.

אבל אם האתר שלכם מייצר הכנסה ואין לכם זמן לקרוא התראות ולתחזק עדכונים, הבחירה האמיתית אינה Wordfence מול Sucuri, אלא תוסף שנשכח מול אבטחה שמישהו מנהל.

רוצים שנבדוק מה מותקן אצלכם ואיך הוא מוגדר בפועל? אפשר לפנות אלינו דרך עמוד צרו קשר לבדיקת אבטחה ראשונית, ולשמוע אם חבילת אחריות 360 מתאימה לאתר שלכם.

שאלות נפוצות

האם הגרסה החינמית של Wordfence מספיקה? לאתר קטן עם תחזוקה אקטיבית היא נקודת פתיחה סבירה, אבל מסד החתימות החינמי מתעדכן באיחור של שבועות מול הגרסה בתשלום, ושום תוסף לא מחליף עדכונים, גיבוי וקריאת התראות.

אפשר להתקין גם Wordfence וגם Sucuri יחד? טכנית כן, אך לרוב מיותר ועלול ליצור התנגשויות. עדיף לבחור גישה אחת ולהגדיר אותה כמו שצריך, מאשר לערום שני כלים שאיש לא מתחזק.

תוסף אבטחה מבטיח שלא אפרץ? לא. תוסף מקטין סיכון אך אינו מבטל אותו, במיוחד מול סיסמאות שדלפו, תוספים מיושנים או הרשאות רשלניות. אבטחה אמיתית היא תהליך מתמשך, לא התקנה חד-פעמית.