Wpcerber oppure Wordfence quale scegliere?

Wpcerber oppure Wordfence quale scegliere?

Se devi blindare un sito WordPress, la scelta tra WpCerber e Wordfence non è teorica. Incide su performance, falsi positivi, manutenzione e tempo che perderai o risparmierai ogni settimana.

La risposta breve è questa: Wordfence è più conosciuto e più completo come ecosistema, WpCerber è spesso più leggero e più diretto nella protezione applicativa. Il migliore dipende dal contesto, non dal nome più famoso.

Su un blog piccolo, con poche estensioni e traffico stabile, WpCerber può essere la scelta più pulita. Su un e-commerce, su un sito editoriale molto esposto o su un ambiente gestito da più persone, Wordfence resta spesso la soluzione più rassicurante.

Warning: nessun plugin sostituisce backup, aggiornamenti e hardening del server. Se il sito è vulnerabile per PHP obsoleto, permessi errati o credenziali deboli, il firewall del plugin arriva sempre dopo.

Prerequisiti

Prima di installare uno dei due plugin, controlla questi punti. Ti evitano problemi inutili e ti fanno valutare il risultato in modo serio.

• WordPress aggiornato, meglio se su una versione supportata.
• PHP recente, idealmente 8.1 o 8.2, con opcache attivo.
• Backup completo di file e database.
• Accesso amministratore a WordPress.
• Possibilità di ripristino via hosting panel o FTP.
• Un ambiente di test, se il sito genera fatturato o lead importanti.

Note: se usi cPanel, vai in File Manager per verificare i backup, e in phpMyAdmin per controllare il database. Se usi Plesk, le voci equivalenti sono in File e Database.

Prima di scegliere, prendi due misure semplici. Una è il tempo di caricamento della home. L’altra è il numero di richieste al minuto che il sito regge nelle ore di picco. Se il sito è già vicino al limite, il peso del plugin conta molto.

Puoi fare una verifica rapida anche dal pannello hosting. In cPanel vai in Metrics e controlla Resource Usage. In Plesk entra in Siti Web e Domini e apri le statistiche del dominio. Se già vedi picchi di CPU o I/O, scegli con cautela.

Step numerati

1. Definisci il problema reale prima del plugin

La scelta giusta parte dal rischio principale. Se temi brute force e login bot, serve un buon controllo degli accessi. Se temi malware e file modificati, ti serve anche scansione e monitoraggio. Se temi solo tentativi di accesso massivi, non ha senso pagare complessità extra.

WpCerber punta molto su login security, rate limiting e protezione anti-bot. Wordfence offre una suite più ampia, con scansione, firewall applicativo, blocco IP e report molto dettagliati.

Se lavori per un sito aziendale con più editor, il tema dominante è la governance. In quel caso ti servono log leggibili, notifiche chiare e una gestione semplice dei blocchi. Wordfence tende a essere più immediato da spiegare a un team non tecnico.

Se invece gestisci molti siti WordPress e vuoi un impatto contenuto, WpCerber può risultare più lineare. Meno fronzoli spesso significa meno attrito operativo.

# Output: checklist decisionale pronta all'uso
# 1. Il sito ha traffico alto? -> valuta impatto sulle prestazioni.
# 2. Serve scansione file e reputazione IP? -> favorisce Wordfence.
# 3. Serve controllo login e anti-bot leggero? -> favorisce WpCerber.
# 4. Il team vuole log e alert molto dettagliati? -> Wordfence.
# 5. Vuoi meno complessità e meno rumore? -> WpCerber.

2. Installa e configura WpCerber dal pannello WordPress

WpCerber è adatto quando vuoi partire veloce e tenere il sito reattivo. Vai in Plugin → Aggiungi nuovo, cerca WP Cerber Security, poi clicca Installa e Attiva.

Dopo l’attivazione, apri Cerber Security → Dashboard. Qui trovi le aree principali: hardening, protezione login, limiti di accesso, anti-spam e notifiche. La prima cosa da fare è rafforzare il login.

Imposta il blocco temporaneo dopo alcuni tentativi falliti. Un valore pratico è 5 tentativi in 15 minuti, con sospensione di 15-30 minuti. Se il sito riceve molti accessi legittimi da utenti distratti, alza leggermente la soglia.

Attiva anche la protezione contro la enumerazione utenti. Questo riduce la raccolta automatica di username. Molti attacchi partono proprio da lì.

# Output: esempio di hardening logico
Tentativi login falliti: 5
Finestra di osservazione: 15 minuti
Blocco IP: 15 minuti
Protezione enumerazione utenti: attiva
Notifiche email: attive per blocchi critici

Se il tuo hosting permette modifiche da pannello, verifica anche il percorso dei log. In cPanel vai in Metrics → Errors e in Raw Access. In Plesk apri Log del dominio. Ti serve per capire se il plugin genera errori o blocchi anomali.

Note: alcune funzioni avanzate di WpCerber, come regole molto specifiche o integrazioni più profonde, possono richiedere attenzione al server. Se lavori via terminale, puoi analizzare i file di log con strumenti standard, ma la configurazione principale resta nel pannello WordPress.

3. Installa e configura Wordfence con criterio

Wordfence si installa nello stesso modo. Vai in Plugin → Aggiungi nuovo, cerca Wordfence Security, poi installa e attiva. Alla prima apertura, il plugin propone una configurazione guidata.

La parte più importante è il firewall. Wordfence può funzionare in modalità estesa, ma ha bisogno di alcune ottimizzazioni per rendere al meglio. Segui il percorso Wordfence → Firewall e verifica lo stato. Se il plugin propone l’ottimizzazione del file .htaccess o di nginx, valuta con attenzione il tuo stack.

Se usi Apache o LiteSpeed, spesso la procedura è guidata e gestibile dal plugin. Se usi Nginx puro, alcune regole vanno replicate lato server. In quel caso il plugin da solo non basta.

Wordfence dà il meglio quando attivi la scansione programmata. Imposta una scansione giornaliera per i siti esposti, oppure settimanale per i siti piccoli. La scansione cerca file modificati, plugin vulnerabili e segnali di compromissione.

# Output: profilo Wordfence consigliato
Firewall: esteso, se supportato dal server
Scansione: giornaliera per e-commerce, settimanale per blog
Blocchi IP: attivi per traffico malevolo
Alert email: attivi solo per eventi critici
Limite login: attivo con timeout progressivo

Wordfence mostra spesso molti dettagli. Questo è utile, ma può diventare rumore. Se ricevi troppe email, riduci gli alert non essenziali. Un sistema di sicurezza utile non deve trasformarsi in spam operativo.

Warning: durante i primi giorni, entrambi i plugin possono bloccare falsi positivi. Se gestisci clienti o redattori, avvisa il team prima di attivare regole aggressive.

4. Confronta prestazioni, log e carico reale

Qui la differenza si vede davvero. Wordfence tende a essere più pesante, soprattutto per via della scansione e del volume di controlli. WpCerber spesso resta più sobrio, con minore impatto percepito su siti medi e piccoli.

Non fidarti delle sensazioni. Misura. Prima dell’installazione, annota tempo di risposta, numero di query e consumo CPU. Dopo l’attivazione, ripeti la stessa prova nelle stesse ore.

Se usi un pannello hosting, controlla CPU usage, Entry processes e IO. In un ambiente ben configurato, il plugin di sicurezza non dovrebbe far salire i picchi in modo costante.

Se hai accesso a un terminale, una verifica rapida può essere questa. Serve solo per capire se il sito risponde in modo stabile durante il test.

# Output: controllo rapido della risposta HTTP
curl -I https://example.com
curl -s -o /dev/null -w "%{time_total}\n" https://example.com

Un valore sotto i 300 ms per la sola risposta del server è un buon segnale in ambienti ben messi. Se superi spesso il secondo, il plugin non è l’unico sospetto, ma può contribuire.

Wordfence ha un vantaggio importante: i report sono chiari per chi deve decidere in fretta. WpCerber ha un vantaggio diverso: tende a disturbare meno la normale operatività. La scelta, qui, è tra visibilità e leggerezza.

5. Scegli in base allo scenario operativo

Per un blog personale o un sito vetrina, WpCerber è spesso sufficiente. Blocca i tentativi più comuni, controlla il login e non appesantisce troppo il lavoro quotidiano.

Per un e-commerce WooCommerce, Wordfence è spesso più adatto. Hai bisogno di scansione, alert più completi, controllo di file sospetti e maggiore visibilità su attacchi ripetuti.

Per un sito editoriale con redazione, Wordfence aiuta anche nella parte di auditing. Quando qualcuno segnala un problema, hai più dati da consultare. Questo riduce il tempo perso nel “non so cosa sia successo”.

Per una rete di siti piccoli, WpCerber può essere più economico in termini di gestione. Meno notifiche, meno schermate, meno tempo di onboarding per chi deve solo pubblicare contenuti.

Note: la sicurezza migliore è quella che il team sa mantenere tutti i giorni. Un plugin potentissimo ma ingestibile diventa un rischio operativo.

Verifica finale

Dopo la configurazione, fai sempre questa verifica. Prima prova il login con un utente normale. Poi prova un accesso errato ripetuto. Infine controlla se il blocco scatta come previsto.

Verifica anche la posta. Gli alert devono arrivare, ma solo quando servono. Se ricevi dieci email per ogni errore minore, la tua operatività si degrada in fretta.

Controlla infine il comportamento del sito in navigazione. Home, archivio, scheda prodotto e login devono restare fluidi. Se un plugin di sicurezza fa percepire lentezza, va ritarato.

Una buona prova finale include anche un controllo lato pannello hosting. In cPanel apri Errors e cerca warning ricorrenti. In Plesk guarda i log del dominio e cerca accessi bloccati, errori PHP o redirect anomali.

# Output: stato finale desiderato
Login protetto e funzionante
Blocchi malevoli attivi
Nessun falso positivo sugli utenti legittimi
Tempo di caricamento stabile
Nessun errore PHP nuovo nei log

Troubleshooting

Errore 1: “Your firewall is in learning mode”

Cause: il firewall non ha ancora imparato il traffico normale e può lasciare passare troppo o bloccare troppo poco.

Fix: completa l’apprendimento e poi forza la modalità protettiva dal pannello del plugin.

# Output: firewall portato in protezione attiva
wp option update wordfence_firewall_mode enabled

Errore 2: “The scan has failed to start”

Cause: il server ha limiti di memoria, timeout o cron non affidabile.

Fix: riduci il carico della scansione e verifica il cron del sito.

# Output: verifica cron e risorse
wp cron event list
php -i | grep memory_limit

Errore 3: “Too many login attempts”

Cause: la soglia di blocco è troppo aggressiva oppure gli utenti sbagliano spesso password.

Fix: aumenta la finestra o il numero di tentativi e aggiungi eccezioni per IP fidati.

# Output: soglia login più morbida
Tentativi consentiti: 8
Finestra: 20 minuti
Blocco: 10 minuti
Whitelist: IP ufficio e VPN

Conclusione

Se vuoi una scelta pratica, usa questa regola. WpCerber se cerchi semplicità, leggerezza e protezione mirata. Wordfence se vuoi più visibilità, scansione profonda e controllo esteso.

Il prossimo passo concreto è questo: installa il plugin su staging, applica una configurazione minima e misura CPU, tempi di risposta e falsi positivi per 48 ore. Solo dopo porta la scelta in produzione.

Se il sito è mission-critical, fai ancora meglio. Prepara un piano di rollback, conserva i log prima del cambiamento e definisci chi riceve gli alert. La sicurezza funziona davvero quando è anche operativa.