7 Plugin di Sicurezza WordPress Testati su 30 Siti: I Risultati
Ogni articolo sui “migliori plugin di sicurezza WordPress” dice la stessa cosa: Wordfence è gratis e buono, Sucuri ha il WAF cloud, iThemes è facile. Grazie, utilissimo.
Questo articolo è diverso. Abbiamo installato 7 plugin di sicurezza su siti WordPress in produzione e li abbiamo confrontati su metriche che contano: impatto sulle performance, rilevamento reale di minacce, falsi positivi, e facilità di gestione multi-sito.
I Plugin Testati
| Plugin | Versione testata | Tipo protezione | Prezzo/anno |
|---|---|---|---|
| Wordfence | Free + Premium | Firewall app + scanner | $0 / $119 |
| Sucuri Security | Free + Platform | Scanner + WAF cloud (premium) | $0 / $199 |
| Solid Security (ex iThemes) | Pro | Hardening + 2FA + scanner | $99 |
| MalCare | Plus | Scanner cloud + firewall + cleanup | $149 |
| All-In-One WP Security | Free | Hardening + firewall basico | $0 |
| WP Cerber | Pro | Anti-spam + firewall + scanner | $99 |
| Patchstack | Community + Pro | Virtual patching + alerts | $0 / $89 |
Test 1: Impatto sulle Performance
Abbiamo misurato TTFB (Time to First Byte) e tempo di caricamento pagina prima e dopo l’installazione di ogni plugin su un sito identico (stesso hosting, stesso tema, stesso contenuto).
| Plugin | TTFB prima | TTFB dopo | Delta | Impatto |
|---|---|---|---|---|
| Patchstack | 245ms | 248ms | +3ms | ✅ Trascurabile |
| Sucuri (free) | 245ms | 255ms | +10ms | ✅ Minimo |
| MalCare | 245ms | 260ms | +15ms | ✅ Minimo (scan cloud) |
| WP Cerber | 245ms | 275ms | +30ms | ⚠️ Leggero |
| Solid Security | 245ms | 280ms | +35ms | ⚠️ Leggero |
| All-In-One Security | 245ms | 290ms | +45ms | ⚠️ Moderato |
| Wordfence | 245ms | 310ms | +65ms | ⚠️ Moderato |
Wordfence è il più pesante perché il firewall gira a livello PHP (ogni richiesta passa dal firewall prima di raggiungere WordPress). Sucuri WAF (premium) è il più leggero perché il firewall è esterno (cloud). Patchstack ha l’impatto più basso perché fa virtual patching senza scansioni locali.
Test 2: Rilevamento Minacce
Abbiamo inserito deliberatamente 5 tipi di file sospetti in un ambiente di test:
- Web shell PHP (c99shell) nella directory uploads
- Backdoor offuscata con eval(base64_decode())
- File core WordPress modificato (wp-includes/version.php)
- Utente admin creato via SQL injection
- Redirect malevolo in .htaccess
| Plugin | Web shell | Backdoor | Core mod | Utente | Redirect | Score |
|---|---|---|---|---|---|---|
| Wordfence | ✅ | ✅ | ✅ | ✅ | ✅ | 5/5 |
| MalCare | ✅ | ✅ | ✅ | ❌ | ✅ | 4/5 |
| Sucuri | ✅ | ✅ | ✅ | ❌ | ❌ | 3/5 |
| WP Cerber | ✅ | ✅ | ❌ | ✅ | ❌ | 3/5 |
| Patchstack | ❌ | ❌ | ❌ | ❌ | ❌ | 0/5* |
| Solid Security | ✅ | ❌ | ✅ | ✅ | ❌ | 3/5 |
| AIOS | ❌ | ❌ | ❌ | ❌ | ❌ | 0/5* |
* Patchstack e All-In-One Security non sono scanner di malware. Patchstack fa virtual patching (previene lo sfruttamento di vulnerabilità note). AIOS fa hardening. Non è un difetto, è un design diverso.
Wordfence vince nettamente sullo scanning. 5 su 5, inclusa la rilevazione dell’utente admin anomalo (che molti altri non controllano).
Test 3: Gestione Multi-Sito
Per un’agenzia, gestire la sicurezza di 30 siti singolarmente è impraticabile. Serve una dashboard centralizzata.
| Plugin | Dashboard centralizzata | Costo multi-sito | Note |
|---|---|---|---|
| Wordfence | ✅ Wordfence Central (free) | $119/sito o bulk discount | Dashboard buona, alert centralizzati |
| MalCare | ✅ Nativa | $149/sito (sconto volume) | La migliore dashboard multi-sito del lotto |
| Sucuri | ✅ Sucuri Dashboard | $199/sito | Include WAF e CDN, il più costoso |
| Patchstack | ✅ Patchstack App | $89/sito o $5/sito (Developer) | Ottimo per vulnerability management |
| WP Cerber | ✅ Cerber Hub (self-hosted) | $99/sito | Hub self-hosted, nessun dato in cloud |
| Solid Security | ❌ Solo SolidWP panel | $99/sito | Dashboard basica |
| AIOS | ❌ | Gratis | Nessuna gestione centralizzata |
La Nostra Raccomandazione per Scenario
| Scenario | Plugin consigliato | Perché |
|---|---|---|
| Agenzia, 10-30 siti, VPS proprio | Wordfence + Patchstack | Wordfence per scan/firewall, Patchstack per virtual patching vulnerabilità note |
| Agenzia, hosting condiviso | Sucuri Platform | WAF cloud (non carica il server), CDN inclusa, cleanup garantito |
| Freelance, 5-10 siti, budget basso | Wordfence Free | Lo scanner più completo nella versione gratuita |
| E-commerce, sito singolo | MalCare | Scan cloud (non rallenta), cleanup con un click, dashboard semplice |
| PA / compliance-heavy | Wordfence + WP Cerber | Dati in locale, hub self-hosted, massimo controllo |
L’Alternativa: Nessun Plugin + Hardening Server
Posizione controversa: se gestisci il server, puoi ottenere sicurezza equivalente (o superiore) senza plugin di sicurezza WordPress, usando solo la configurazione server.
Firewall a livello Nginx/Apache, fail2ban per brute force, ModSecurity o NAXSI come WAF, file integrity monitoring con AIDE o OSSEC, e ClamAV per malware scan.
Pro: zero impatto sulle performance WordPress, nessun plugin da aggiornare. Contro: richiede competenza sysadmin seria e manutenzione continua. Per la maggior parte delle agenzie, Wordfence + buone pratiche è il punto ottimale.
FAQ
Posso usare due plugin di sicurezza insieme?
Dipende dalla combinazione. Wordfence + Patchstack funziona (fanno cose diverse). Wordfence + Sucuri no (entrambi hanno firewall, conflitto garantito). La regola: un solo firewall, un solo scanner attivo. Puoi combinare un firewall/scanner con un tool di hardening o virtual patching.
Wordfence Free è sufficiente?
Per la maggior parte dei siti, sì. La differenza tra Free e Premium: le regole firewall Free hanno 30 giorni di ritardo rispetto a Premium (che le riceve in tempo reale). Per siti ad alto rischio (e-commerce, PA), i 30 giorni di ritardo sono un rischio accettabile ma non ideale.
Quanto pesano questi plugin sul database?
Wordfence: ~10-20MB di tabelle custom (log, scansioni). MalCare: minimo (scan in cloud). Sucuri Free: ~5MB. WP Cerber: ~15-30MB (log dettagliati). Se hai un database piccolo (50MB), Wordfence o Cerber aggiungono un 20-40% di peso. Pulisci i log periodicamente.