iThemes Security Vs Sucuri: أيهما أفضل مكون إضافي للأمان؟

للوهلة الأولى ، يبدو iThemes Security مكونًا إضافيًا للأمان رائعًا وبأسعار معقولة لمواقع WordPress الخاصة بك. خاصة إذا كنت تعتقد أنه يمكنك حماية عدد غير محدود من المواقع مقابل 199 دولارًا فقط.

من ناحية أخرى ، يعد Sucuri أحد أكثر المكونات الإضافية للأمان المتوفرة في WordPress شيوعًا. يحزم لكمة مع ماسح ضوئي وجدار ناري ، ويوفر إزالة البرامج الضارة أيضًا. لذلك بالفعل في هذا المواجهة ، فقد سرق مسيرة على iThemes. لماذا؟ لأن iThemes لا يحتوي على أي من هذه الميزات.

خرج iThemes من السباق تمامًا. في هذه المسابقة ، كان Sucuri هو الفائز بلا شك. بعد قولي هذا ، ما زلنا لا نثق في Sucuri في حماية موقعنا على الإنترنت. ما هو المكون الإضافي للأمان المضمون لحماية مواقع WordPress من المتسللين؟ الجواب لا لبس فيه: MalCare.

ملخص مقارنة iThemes Security مقابل Sucuri

iThemes Security هو الدواء الوهمي لمكونات أمان WordPress الإضافية. تعتقد أن موقع الويب الخاص بك آمن من المتسللين ، ولكن كل ما يحميه في الواقع هو التفكير بالتمني والمشاعر الإيجابية. Sucuri بلا شك أفضل ، لكن الأفضل هو مصطلح نسبي بعد كل شيء. إنه ليس مكونًا إضافيًا للأمان.

iThemes Security باختصار

خلاصة القول هي أن iThemes لا تحمي موقع الويب الخاص بك. ننصح بشدة بتخطي iThemes تمامًا إذا كنت تفكر في ذلك من أجل أمان WordPress. وإذا كنت قد قمت بتثبيته بالفعل ، فيرجى فحص موقع الويب الخاص بك على الفور. موقع الويب الخاص بك ليس لديه أمان.

كانت انطباعاتنا الأولى عن iThemes مواتية بالفعل. يتحدث موقع الويب عن لعبة رائعة ، ويغرس الثقة بسبب الطريقة الموثوقة التي يتحدثون بها عن أمان WordPress. العيب الوحيد الذي رأيناه هو أنه لا يمكنك استخدام المكون الإضافي لتنظيف البرامج الضارة. هذا ليس مثاليًا ، لكنه لا يزال يعمل كماسح ضوئي.

أو هكذا اعتقدنا.

لا يكتشف الماسح الضوئي iThemes البرامج الضارة. على الاطلاق. سنخاطر بتخمين أنه لا يقوم حتى بفحص الملفات والبيانات ، لأن الفحص ينتهي في ثوانٍ. ما يفعله `` الماسح الضوئي '' من iThemes هو التحقق من تقرير الشفافية من Google لمعرفة ما إذا كان موقع الويب الخاص بك مدرجًا في تلك القائمة. لا نحتاج إلى مكون إضافي للأمان للقيام بذلك. عدنا للتحقق من موقع الويب ، وذهلنا لملاحظة أن الميزات لا تشير صراحةً إلى البحث عن البرامج الضارة. إنها تقول فقط أن اكتشاف البرامج الضارة هو أحد الخطوات الرئيسية في أمان WordPress. هذا كلام مزدوج ، إذا رأينا ذلك من قبل.

لقد شعرنا بإغراء شطب اختبارات iThemes باعتبارها غير مجدية ، لكننا واصلنا ذلك من أجل الإنصاف.

يحتوي المكون الإضافي على ميزة مصادقة ثنائية قوية ، والتي يمكنك تمكينها في صفحة تسجيل الدخول الخاصة بك. كما أن لديها بعض ميزات التقوية اللائقة مثل حظر تنفيذ PHP في المجلدات. بعد قولي هذا ، لا تعمل حماية تسجيل الدخول باستخدام القوة الغاشمة إلا لبعض الوقت. علامة سوداء أخرى على البرنامج المساعد.

إن استنتاجنا من استخدام iThemes هو أن الميزات الوحيدة لأي قيمة أمان هي المصادقة الثنائية والتنفيذ السهل لـ reCAPTCHA على wp-login. هاتان الميزتان لا تضمنان فاتورة بقيمة 199 دولارًا ، نظرًا لوجود مكونات إضافية للأمان أفضل تقدم نفس الميزات ، بالإضافة إلى بعض الأمان الفعلي.

كان اختبار iThemes تجربة مروعة لأننا لا نستطيع تخيل عدد مواقع الويب التي تعتقد أنها محمية بأمان غير موجود. في الواقع ، مستخدمي iThemes ، يجب عليك فحص موقع الويب الخاص بك الآن.

سوكوري باختصار

تمتلك Sucuri جدار حماية لائق وخدمات إزالة البرامج الضارة الرائعة ، لكنها فشلت بشكل مذهل كماسح ضوئي للبرامج الضارة. إذا كنت لا تعرف أن موقع الويب الخاص بك يحتوي على برامج ضارة ، فلا توجد طريقة للتخلص منه. هذا جزء غير قابل للتفاوض من مكون إضافي للأمان.

عندما بدأنا في اختبار Sucuri ، توقعنا الكثير منه. إنها واحدة من أكثر المكونات الإضافية للأمان شيوعًا في WordPress ، وقد أذهلنا أن الماسح الضوئي فشل في اكتشاف أي برامج ضارة على موقع الاختبار المخترق الخاص بنا. سوف ندخل في مزيد من التفاصيل في قسم لاحق ، ولكن هذا يحدد نغمة عملية الاختبار بأكملها.

علاوة على الفشل ، يستغرق الفحص نفسه وقتًا طويلاً لإكماله ويستخدم موارد الخادم لدينا للقيام بذلك. لا يشجع Sucuri نفسه على إجراء الكثير من عمليات الفحص بسبب التأثير على أداء موقع الويب. إنها مقايضة مروعة بين الأداء والأمان ، ولا ينبغي أن يكون الأمر كذلك.

بالانتقال إلى خدمات إزالة البرامج الضارة وجدار الحماية ، كان أداء Sucuri جيدًا. كان من الصعب جدًا تكوين جدار الحماية ، واستغرق منا وقتًا طويلاً للقيام بذلك. لكنها منعت الهجمات التي حاولناها ، ولم نتمكن من استغلال أي ثغرات أمنية.

كانت خدمة إزالة البرامج الضارة هي أبرز ما في تجربة الاختبار لدينا. على الرغم من أن الماسح الضوئي أعطى موقع الويب الذي تم اختراقه شهادة صحية نظيفة ، فقد علمنا أنه مليء بالبرامج الضارة. بادئ ذي بدء ، وضعنا البرامج الضارة هناك ، وثانيًا أكدت فحوصات MalCare هذا التشخيص. أزال فريق Sucuri كل أثر للبرامج الضارة من موقعنا ، ونتيجة لذلك ، كان نظيفًا للغاية. رائع! كانت الفكرة الجيدة في هذه الكعكة أنه يمكنك الحصول على طلبات غير محدودة لإزالة البرامج الضارة كجزء من خطتك ، وهو أمر رائع.

بصرف النظر عن جدار الحماية ، فإن الإعدادات غامضة للغاية. وجدنا أنفسنا في حيرة بشأن الكثير من المصطلحات المستخدمة ، وهذا من خلال الخبرة في أمان WordPress. الواجهة ليست سهلة الاستخدام ، ونحن على يقين من أن العديد من الأشخاص سيجدونها مقلقة بلا داع. نقطة ناقص لـ Sucuri هناك.

بشكل عام ، لا نعتقد أن Sucuri هو أفضل حل أمني لموقع WordPress على الويب. يذهب هذا الشرف إلى MalCare ، بسبب ماسح ضوئي يعمل في كل مرة. تحصل MalCare أيضًا على نقاط إضافية لا تجعلنا نشعر بالضيق.

كيفية اختيار المكون الإضافي الأمني ​​المناسب لموقع WordPress الخاص بك

أمان موقع WordPress الخاص بك غير قابل للتفاوض. يمكن أن تتسبب البرامج الضارة في خسائر لا حصر لها للشركات: خسارة الإيرادات ، والدعاوى القضائية ، وتكاليف التنظيف ، والتأثير على العلامة التجارية ، وفقدان حركة المرور العضوية وغير ذلك الكثير. سيوفر لك الاستثمار في المكون الإضافي الصحيح من المتسللين والبرامج الضارة والمشاكل التي تتركها البرامج الضارة في أعقابها.

السؤال هو: كيف تختار مكونًا إضافيًا للأمان فعالاً لموقعك على الويب؟

عندما قمنا بإعداد اختباراتنا ، كان هناك العديد من العوامل التي يجب مراعاتها: الأمان ، بالطبع ، ولكن أيضًا سهولة الاستخدام والقيمة مقابل المال أيضًا. ومع ذلك ، سرعان ما أدركنا أن جميع العوامل باستثناء الأمان أصبحت بلا معنى ، لأن مدى فعالية المكون الإضافي في الأمان يجب أن يكون الاعتبار الوحيد.

إذن ، هذه هي العوامل التي يجب مراعاتها عند اختيار مكون إضافي للأمان.

• ميزات الأمان الأساسية
  
  • فحص البرامج الضارة
  • تنظيف البرامج الضارة
  • جدار الحماية
• ميزات أمان جيدة
  
  • كشف الضعف
  • حماية تسجيل الدخول باستخدام القوة الغاشمة
  • سجل النشاطات
  • توثيق ذو عاملين
• المشاكل المحتملة
  
  • التأثير على موارد الخادم

كما ترى من القائمة ، هناك 3 عوامل فقط ضرورية تمامًا. MalCare aces في جميع الثلاثة: مسح وتنظيف البرامج الضارة التي تضمن المكونات الإضافية الأخرى تفويتها ، وحماية موقع الويب الخاص بك من حركة المرور الضارة باستخدام جدار حماية قوي. علاوة على ذلك ، فإن MalCare يقوم بذلك بشكل أفضل من أي مكون إضافي للأمان متاح حاليًا.

iThemes Security vs Sucuri: مقارنة الميزات وجهاً لوجه

الطريقة التي وضعنا بها هذه المقارنة هي أخذ الميزات الأساسية أولاً ، ثم مناقشة الملاحظات الأخرى التي ظهرت أثناء الاختبار. في كثير من الأحيان ، رأينا ميزات وإعدادات لم تفعل شيئًا تقريبًا (نحن نتحدث عن iThemes) ومع ذلك رسمنا وهمًا مفصلاً للأمان.

لم يكن قطع القشر للوصول إلى القمح أمرًا سهلاً ، لكننا سنقدم جميع بياناتنا بأكبر قدر ممكن من الوضوح والإنصاف.

إذا كنت تريد تخطي هذا التفكيك ، فنحن نوصي بتثبيت MalCare.

فحص البرامج الضارة

لم تكتشف ماسحات Sucuri أي برامج ضارة على موقعنا. انطلاقًا من سرعة الانتهاء من الفحص ، لم يقم iThemes بفحص موقع الويب الخاص بنا بحثًا عن البرامج الضارة على الإطلاق.

تحتوي كل من إصدارات Sucuri المجانية والمدفوعة على ماسحات ضوئية ، لذلك كنا مهتمين بمعرفة ما إذا كان يعمل بشكل مختلف. يتم تشغيل الإصدار المجاني بواسطة Sucuri SiteCheck ، وهي أداة مساعدة عبر الإنترنت تقوم بمسح الأجزاء المرئية للجمهور من موقع الويب الخاص بك بحثًا عن البرامج الضارة. بالطبع ، هذا له حدود ، لذا فإن أي شيء نظيف من SiteCheck لا يعد ضمانًا لموقع ويب خالٍ من البرامج الضارة.

تتضمن الخطة المدفوعة ماسحًا ضوئيًا على مستوى الخادم يتعين عليك تثبيته على خادم الويب الخاص بك. إما يمكنك القيام بذلك يدويًا ، أو إدخال تفاصيل FTP في لوحة معلومات Sucuri لتثبيتها تلقائيًا. كانت عملية غير مؤلمة نسبيًا.

تم تعيين الماسح للتشغيل كل يوم ، ولكن يمكنك إجراء المسح الضوئي عند الطلب - إلى حد ما. يتم وضع طلبات الفحص الإضافية في قائمة انتظار ثم يتم تنفيذها. يحذر Sucuri من استخدام الكثير من عمليات الفحص لأن عمليات الفحص تستخدم موارد الخادم.

أدى ذلك إلى توقفنا مؤقتًا ، لأننا أدركنا بعد ذلك أن Sucuri يستخدم موارد موقع الويب الخاص بنا لإجراء عمليات الفحص. مع مواقع الاختبار الخاصة بنا ، لم يكن الصرف شديدًا لأن المواقع صغيرة ولا توجد حركة مرور خارجية. ومع ذلك ، فقد رأينا بالتأكيد نقطة في استخدام وحدة المعالجة المركزية لدينا. المزيد عن ذلك في قسم لاحق.

لم يكتشف الإصدار المحترف أيضًا أي برامج ضارة على موقعنا الإلكتروني المخترق. كان هذا مفاجئًا ، لأن نتائج فحص MalCare حددت بوضوح البرامج الضارة. لذلك قدمنا ​​طلب إزالة يدويًا. بمجرد معالجة الطلب من قبل فريق Sucuri ، ظهر الموقع نظيفًا على MalCare. ولكن هذا عندما قام ماسح Sucuri بوضع علامة على البرامج الضارة على موقع الويب. كان غريبا جدا.

لحسن الحظ ، لم تكن هناك ألغاز في الماسح الضوئي iThemes. لا يقوم بالبحث عن برامج ضارة ، نقية وبسيطة. يقوم ماسح iThemes فقط بالتحقق مما إذا كان موقع الويب الخاص بك مدرجًا في قائمة Google السوداء. هذا كل شيء. لم نتفاجأ عندما رأينا أن مواقعنا لم تكن في الواقع مدرجة في القائمة السوداء ، معتبرين أنها غير مفهرسة.

تنظيف البرامج الضارة

تنظيف البرامج الضارة غير موجود في قائمة ميزات iThemes ، لذلك من الواضح أنه لا يمكن تنظيف البرامج الضارة. لدى Sucuri خدمات غير محدودة لإزالة البرامج الضارة كجزء من خططها المدفوعة. اعتمادًا على خطتك ، سيتم تنظيف موقع الويب الخاص بك في أي مكان ما بين 6 إلى 30 ساعة.

على الرغم من أن نتائج فحص Sucuri قالت إن موقع الويب الخاص بنا لا يحتوي على برامج ضارة ، فمن الواضح أننا كنا نعلم أن هذا لم يكن كذلك. كانت هناك برامج ضارة في كل مكان: في الملفات وقاعدة البيانات. كان لدينا أيضًا مجموعة من الأبواب الخلفية هناك لإجراء تدبير جيد. أكدت أجهزة فحص MalCare أن مواقع الاختبار الخاصة بنا كانت بالفعل موبوءة ببرامج ضارة.

لذلك قدمنا ​​طلبًا لإزالة البرامج الضارة من Sucuri ، مما يشير بوضوح إلى أننا نشك في وجود برامج ضارة على الموقع. لتقديم طلب ، تحتاج إلى ملء نموذج وتقديم تفاصيل FTP للتنظيف. ثم انتظر النتائج.

ملاحظة جانبية: كانت هناك قائمة منسدلة مثيرة للاهتمام في نموذج طلب الإزالة تسرد الأعراض المحتملة التي قد تراها. أيضًا ، للتسلية لدينا ، كان عليك أن تشير إلى مستوى إتقانك التقني ، لذلك اخترنا: " لا إتقان ، يرجى شرح كل شيء بوضوح. "

بفضل الفضل في Sucuri ، قام فريقهم بإزالة جميع البرامج الضارة من موقعنا. أيضًا ، على الرغم من أن شروط خطتنا قالت إننا يمكن أن نتوقع حلًا في غضون 30 ساعة ، فقد سمعنا مرة أخرى في أقل من 10. لذلك كان ذلك بمثابة إعجاب كبير لخدمة إزالة البرامج الضارة من Sucuri.

أكدنا مع MalCare أن جميع البرامج الضارة قد تمت إزالتها ، ثم فوجئنا برؤية ماسح Sucuri الذي قام الآن بوضع علامة على الموقع على أنه مصاب - بعد أن قام فريقهم بتنظيفه. كان ذلك غريبًا.

من ناحية أخرى ، لا تستطيع iThemes تنظيف البرامج الضارة ، لذلك لم يكن هناك شيء لاختباره. لحسن الحظ ، لا يزعمون أنهم يفعلون ذلك على موقعهم على الإنترنت.

بصراحة ، يعد تنظيف البرامج الضارة أصعب جزء من أمان WordPress ، وغالبًا ما يكون الجانب الأكثر تكلفة. تحتوي خطط Sucuri المدفوعة على عمليات تنظيف غير محدودة ، وهو أمر رائع لأنه إذا لم تتم معالجة نقاط الضعف ، فقد تتكرر البرامج الضارة. إذا كان لدينا خطأ في العثور عليه مع خدمة التنظيف ، فستحتاج إلى الانتظار بعض الوقت للتوصل إلى حل. في حالة البرامج الضارة ، رأينا أن الإصابات تنمو بشكل كبير في فترات زمنية قصيرة ، لذا فإن هذا مدعاة للقلق.

مع MalCare ، يمكننا استخدام وظيفة التنظيف التلقائي للتخلص من البرامج الضارة في دقائق. بينما كنا ننتظر عودة Sucuri إلينا ، أدركنا القيمة الهائلة التي توفرها عملية التنظيف السريع لموقع ويب مهم للأعمال.

جدار الحماية

يعمل جدار الحماية Sucuri ، ويحافظ على هجماتنا الأكثر شيوعًا. لا يحتوي iThemes على جدار حماية.

يعد جدار الحماية مكونًا مهمًا في أمان موقع الويب ، لأنه يمنع حركة المرور الضارة ويمنع عمليات الاستغلال. في هذه المرحلة من المقالة ، لن تندهش عندما تسمع أن iThemes لا يحتوي على جدار حماية. لماذا؟ فشل في كل النواحي الأخرى كمكوِّن إضافي للأمان.

من ناحية أخرى ، قام Sucuri بحماية موقعنا على الويب من هجمات Wordpress. اختبرناه ضد الثغرات الأمنية مثل تحميلات الملفات غير المقيدة و XSS وإدخال SQL. حظر جدار الحماية جميع محاولاتنا لاستغلال هذه الثغرات وتحميل البرامج الضارة على الموقع. لم نتمكن من اختبار هجمات أكثر تعقيدًا بكل شفافية.

لذلك يعمل جدار الحماية Sucuri ، ولكن علينا أيضًا أن نذكر مدى الإحباط الذي أصاب تكوين جدار الحماية. الطريقة التي يعمل بها جدار الحماية هي أنه يعمل كطبقة بين حركة المرور الواردة وموقع الويب الخاص بك. لذلك ، تصل كل حركة المرور أولاً إلى جدار الحماية الخاص بـ Sucuri ثم يتم إعادة توجيهها إلى موقع الويب الخاص بك.

كما يمكنك أن تتخيل ، هذا يتطلب بعض التكوين. يجب أن يشير المجال الذي تستخدمه لموقع الويب الخاص بك إلى Sucuri أولاً ، ويتم تحليل حركة المرور ، ثم يتم إرسال حركة المرور المسموح بها إلى موقع الويب الخاص بك. وهو أمر رائع ، ولكن من الصعب إعداد جدار الحماية إذا لم تكن لديك خبرة في خوادم الأسماء وتكوين DNS.

بشكل عام ، من الأفضل بشكل كبير أن يكون لديك حل أمني يعمل خارج الصندوق. لا يوجد تكوين معقد لحماية موقعنا. كما تعلم ، مثل النوع الذي تحصل عليه مع MalCare.

كشف الضعف

اكتشف Sucuri معظم نقاط الضعف على موقعنا على الإنترنت ، على الرغم من عدم اكتشافها كلها. لم تجد iThemes أيًا.

بعد أن قمنا بتمكين الماسح الضوئي من جانب الخادم ، اكتشف Sucuri أن لدينا بعض المكونات الإضافية الضعيفة مثبتة على موقع الويب. لم يكتشفهم جميعًا ، وكانت التوصية ببساطة لتحديثهم.

بالإضافة إلى ذلك ، هناك طريقة عرض لما بعد الاختراق على wp-admin تسرد المكونات الإضافية والسمات المثبتة حاليًا وإصداراتها المثبتة وأحدث الإصدارات المتاحة. في وصف هذا القسم ، يذكر Sucuri أن الثغرات الأمنية مرتبطة بأمان موقع الويب ، ومن الممارسات الجيدة إبقاء كل شيء محدثًا. من غير المحتمل أن يهبط أي شخص هناك لإلقاء نظرة روتينية من خلال المكون الإضافي ، لذلك نحن غير متأكدين من أن الموضع مفيد.

كجزء من طلب إزالة البرامج الضارة ، أرسل لنا Sucuri أيضًا رسالة للتوصية بتطبيق إجراءات التقوية وتحديث المكونات الإضافية الضعيفة (2 من 3). هذا جزء من قائمة التحقق الخاصة بهم بعد الاختراق.

لا يشير iThemes إلى نقاط الضعف. ومع ذلك ، فإنه يحتوي على عداد عديم الفائدة على لوحة القيادة ، مما يشير إلى عدد التحديثات التي تم إجراؤها من وقت تثبيت المكون الإضافي. كيف يمكن أن تكون هذه المعلومات مفيدة ، لا يمكننا أن نفهم.

حماية تسجيل الدخول باستخدام القوة الغاشمة

من المفترض أن يمنع Sucuri هجمات القوة الغاشمة وينبهك ، لكنه لا يفعل ذلك أيضًا. iThemes يفعل أحيانًا ، وأحيانًا لا يفعل ذلك. من الصعب القول أيهما أسوأ.

يسجل iThemes كل محاولة تسجيل دخول غير صحيحة على أنها هجوم القوة الغاشمة ، وهو أمر مرعب بصراحة للمستخدم. في إحدى الحالات ، نسينا كلمة المرور حقًا.

عندما حاولنا فرض صفحة تسجيل الدخول ، رأينا نتائج غير متساوية. منع iThemes المحاولات على موقع واحد وليس الآخر. حاولنا معرفة سبب هذا التناقض ، لكن الاختلاف الوحيد كان البرامج الضارة على موقع الويب. نظرًا لأن البرامج الضارة عادةً ما تكون نتيجة لهجمات القوة الغاشمة الناجحة ، فلا نعتقد أن هذا هو السبب. على الأرجح ، يبدو أن هناك خطأ يجعل الميزة تعمل بشكل متقطع. في الواقع ، إنه لا طائل من ورائه.

كان سوكوري يعلق الأمل بالنسبة لنا ، لأن هناك مجموعة دقيقة من الخيارات لهجمات القوة الغاشمة. يمكنك تعيين عدد المحاولات الفاشلة التي يتم احتسابها على أنها هجوم القوة الغاشمة. قمنا بتعيينها على 30 محاولة متواضعة للغاية في الساعة ، على الرغم من أن هجمات تسجيل الدخول عادة ما تكون عدة 100 محاولة في الدقيقة.

بعد رؤية جميع إعدادات عمليات الإغلاق ، كنا قلقين قليلاً بشأن حظر دخولنا إلى الموقع. لقد قمنا بإيقاف تشغيل MalCare ، حتى لا تمنع حماية تسجيل الدخول الخاصة بـ MalCare المحاولة. ومع ذلك ، لم يحدث شيء. لقد جربنا أكثر من 40 تسجيل دخول غير صحيح في 3 دقائق ، ومع ذلك لم يصدر Sucuri تنبيهًا. تم فحص سجلات التدقيق وتظهر المصادقة الفاشلة على ما يرام. لكن لا تنبيهات. لا تأمينات. لا شئ.

سجل النشاطات

يحتوي iThemes على ميزة سجل نشاط غير مكتمل. سوكوري لديها فكرة جيدة ، ولكن يمكن أن تكون غامضة.

لدى Sucuri ميزة تسمى سجلات التدقيق ، والتي تتعقب جميع الإجراءات من المستخدمين والمكونات الإضافية والسمات. تعمل الميزة كما هو متوقع ، ولكن أحد الإعدادات أعطانا توقفًا مؤقتًا. أنت بحاجة إلى مفتاح API "لمنع المهاجمين من حذف السجلات". هذا يخول Sucuri بشكل أساسي بجمع وتخزين البيانات حول موقع الويب خارج الموقع ، وهو أمر جيد ، لكن اللغة التي يستخدمونها هي أقل ما يقال. المزيد عن ذلك في قسم سهولة الاستخدام.

بينما تعمل السجلات مثل ، السجلات ، وتجمع الطابع الزمني والمستخدم والإجراء ، يمكن أن تكون غامضة للغاية. على سبيل المثال ، قمنا بتثبيت مكون إضافي جديد يظهر كمكوِّن إضافي نشط. حتى الان جيدة جدا. وهناك 7 إدخالات أخرى في السجل توضح تأثير التثبيت. لكن هناك القليل من التفسير لما تعنيه هذه المداخل. هل هذه الملفات أو المجلدات التي تم تغييرها ، ربما؟ لا ، لقد أدركنا لاحقًا أن هذا المكون الإضافي المحدد ، وهو مكون إضافي للمعرض ، قد غير قالب المنشورات. هذا منطقي ، لكن الوحي لم يأتِ من سوكوري.

يعد سجل النشاط جزءًا مهمًا من مجموعة أدوات أمان موقع الويب الخاص بك. يستفيد المتسللون من عدم كفاية التسجيل لمهاجمة المواقع ، لذا يجب عليك التمسك بسجل موثوق يمكنك الوثوق به لمشاركة المعلومات الصحيحة حول موقع الويب الخاص بك.

في الأساس ، ليس مثل ما يمتلكه iThemes. يحتوي سجل النشاط هنا على بعض المعلومات المفيدة ، مثل نشاط المستخدم وإدارة الإصدار ومسح الموقع وهجمات القوة الغاشمة. لا شيء عن الإضافات أو السمات بالرغم من ذلك. هناك ميزة منفصلة ترسل إليك عبر البريد الإلكتروني تقريرًا بتغيير الملف كل يوم أيضًا. بشكل عام ، السجلات غير كافية لأنها لا ترسم صورة دقيقة لموقعك على الويب.

توثيق ذو عاملين

يحتوي iThemes على ميزة مصادقة ثنائية رائعة تعمل خارج الصندوق. لا سوكوري.

بعد حذف iThemes في هذا ، ومقالات أخرى مماثلة في السلسلة ، يسعدنا الإبلاغ عن أن هذه هي إحدى ميزات الأمان الوحيدة التي تعمل بالفعل على iThemes - وتعمل بشكل جيد إلى حد ما في ذلك.

تعد ميزة المصادقة الثنائية في iThemes قوية للغاية. يحتوي على الكثير من التخصيصات ، ويعمل خارج الصندوق دون أي متاعب. يساعد المكون الإضافي أيضًا في فرض كلمات مرور قوية ، والتي ندافع عنها بشدة.

شاغلنا الوحيد هنا هو أن إصدار iThemes pro يحتوي على الكثير من الإعدادات التي تزيل رموز تسجيل الدخول لسهولة الاستخدام: تسجيل الدخول بدون كلمة مرور ، والأجهزة الموثوقة ، والروابط السحرية ، وما إلى ذلك. في حين أن هذه مفيدة لتسهيل عملية تسجيل الدخول ، إلا أنها تلغي الغرض من المصادقة الثنائية.

بحثنا عن المصادقة ذات العاملين عندما اختبرنا Sucuri. وجدنا أنها موجودة على لوحة القيادة Sucuri. ومع ذلك ، فقد شعرنا بالارتياح والارتباك من إدراكنا أن المصادقة الثنائية متاحة لحساب Sucuri الخاص بك ، وليس لموقع WordPress الخاص بك.

استخدام موارد الخادم

لن يستنزف iThemes موارد الخادم على الإطلاق ، لأنه لا يفعل أي شيء. سوف يشل Sucuri أداء موقع الويب الخاص بك من خلال عمليات الفحص الخاصة به.

ومن المثير للاهتمام أن الأشخاص لا يسألوننا غالبًا عن موارد الخادم في سياق الأمان. لكن من الناحية المثالية ، تريد حماية موقع الويب الخاص بك وعدم إبطاء عملية الزحف في هذه العملية. سوف يقوم ماسح Sucuri بفعل ذلك لموقعك.  

تدعي عمليات مسح Sucuri أنها تستخدم موارد خادم موقع الويب بشكل مباشر. في الواقع ، يبدو أنهم يثبطون عمليات الفحص المتكررة لهذا السبب. بصراحة ، هذا فظيع. لماذا يتعين على أي شخص الاختيار بين الأداء وفواتير الخادم المعقولة من جهة والأمان من جهة أخرى؟ لم يكونوا يمزحون رغم ذلك. كان هناك ارتفاع كبير في موارد الخادم بمجرد تثبيت Sucuri ، ثم قمنا بإجراء فحص ثانٍ. إذا كان الاختلاف ملحوظًا في موقع صغير ، فسيكون أكبر بكثير على موقع كبير.

بالإضافة إلى ذلك ، في الإعدادات العامة على لوحة القيادة ، هناك إعداد لتخزين البيانات يبدو أنه يشير إلى أن Sucuri يخزن مجموعة كبيرة من البيانات (السجلات في الغالب من خلال مظهرها) على موقع الويب نفسه. ربما يكون هذا هو السبب في أن مفتاح واجهة برمجة التطبيقات ضروري ، لأنه موجود بشكل افتراضي في مجلد التحميلات ، وهو مجلد يمكن الوصول إليه بشكل عام. هناك خيار لتغيير التخزين إلى مجلد غير متاح للجميع ، ولكن كان ينبغي أن يكون هذا هو الإعداد الافتراضي لتبدأ به.

لن يستنزف iThemes موارد الخادم الخاص بك. كيف يمكنها ذلك ، وهي لا تفعل شيئًا؟

تنبيهات

لا ينبهك iThemes لأي شيء. تقوم Sucuri بذلك ، ولكن عليك أن تكون حذرًا بشأن التنبيهات التي تريد تلقيها. يمكن أن تمتلئ علبة الوارد الخاصة بك في غضون ساعات.

يتيح لك Sucuri إعداد التنبيهات لإرسالها إلى أشخاص محددين ، وتخصيص تنسيق التنبيهات ، وغير ذلك الكثير. يمكنك أيضًا إضافة نطاقات عناوين IP بحيث لا يتم تمييز هذه العناوين للتنبيهات. كن حذرًا من الأوصاف المليئة بالمصطلحات اللغوية. ما هو " التوجيه بين المجالات دون فئات "؟ لم نكن نريد أن نعرف ، فقط أردنا حماية الموقع.

استنادًا إلى الإعدادات الدقيقة للتنبيهات ، يبدو أن Sucuri يدرك تمامًا أنه من المحتمل أن يرسل عددًا كبيرًا جدًا من التنبيهات. هناك إعداد لتكوين الحد الأقصى من التنبيهات المستلمة في غضون ساعة ، لنقل ما يصل إلى 5 رسائل بريد إلكتروني. المشكلة في هذا هي: افترض أن الخمسة الأولى كانت إيجابية خاطئة ، والسادسة ليست كذلك؟ يوجد إخلاء مسؤولية هناك - ولكن مرة أخرى - من الأفضل الحصول على المعلومات الفعلية مقابل ميزة عديمة الفائدة. الوجبات الجاهزة هنا هي أن أي مسؤول لن يرى الغابة للأشجار. هناك الكثير من الضوضاء.

من المثير للدهشة أننا ما زلنا نراجع iThemes ، ولا نتخلى عنه من أجل قضية خاسرة. أرسل إلينا iThemes تقارير إعلام بتغيير الملفات ونسخ احتياطية لقاعدة البيانات وتأكيدات أخرى لإعداداتنا. لقد اشتركنا أيضًا في ملخص أمان يومي حول موقعنا على الويب ، وتقرير عن الثغرات الأمنية مرة واحدة في الأسبوع ، على الأرجح حتى نتمكن من التحقق من هذه المعلومات مقابل مواقعنا الإلكترونية. كان الأمر سيئًا بدرجة كافية مع موقع واحد ، حيث يمكن أن يخرج عن نطاق السيطرة تمامًا مع وجود المزيد من المواقع.

التثبيت والتهيئة وسهولة الاستخدام

كان تثبيت iThemes صعبًا بشكل مدهش ، بسبب خيارات التكوين المربكة. كان Sucuri بسيطًا إلى حد ما ، لكن خيارات التكوين في المكون الإضافي كانت مرعبة للغاية.

كان iThemes أول مكون إضافي اختبرناه ، لذلك بدا في البداية أنه سهل. كما أنه يقوم بتعيين شريط لأكثر الإعدادات عديمة الفائدة. يجب أن تمر عبر التكوين لتتمكن من إنشاء لوحة معلومات الأمان. لقد مررنا بكل إعداد من الإعدادات ، لكن لم يكن لأي منها تأثير حقيقي على الأمان ، لذلك قمنا بتعيينها عشوائيًا وتركناها عند هذا الحد.

تم تثبيت Sucuri دون أي ضجة ، وتم إعداد المكون الإضافي من تلقاء نفسه في الغالب. كان علينا إنشاء حساب مع Sucuri للوصول إلى الميزات المدفوعة. أيضًا ، تجدر الإشارة إلى أنه لتثبيت الماسح الضوئي من جانب الخادم ، تحتاج إلى استخدام لوحة القيادة الخارجية Sucuri. ليس من الصعب القيام بذلك إذا كانت لديك تفاصيل FTP متاحة بسهولة ، على الرغم من أننا لا نرى فائدة كبيرة لأنه لم يكتشف أي برامج ضارة.

لوحة معلومات iThemes على wp-admin الخاص بك هي ضوضاء. لا توجد معلومات متعلقة بالأمان ذات صلة.

لوحة القيادة والإعدادات الخاصة بـ Sucuri معقدة للغاية. لقد أمضينا ساعات في محاولة معرفة ما يقصدونه بالمصطلحات التقنية التي يستخدمونها. في بعض الحالات ، يخبرك المكون الإضافي بالإعداد الموصى به ، لذلك يعمل المستخدم بشكل أساسي على الثقة الأعمى. المشكلة الوحيدة هي أن Sucuri لا يلهم الإيمان الأعمى ، لأن ماسح البرامج الضارة الخاص به لا يعمل!

نتمنى أن يكون هذا البرنامج المساعد أسهل في الفهم. يبدو الأمر معقدًا للغاية ويبدو أنه يفعل الكثير من الأشياء ، لكن لا يمكننا التأكد من ذلك لأن بعض الأشياء التي نعرف أنها مهمة ، مثل الحماية من القوة الغاشمة ، لا يبدو أنها تعمل.

يجب تمكين جدار الحماية والماسح الضوئي من جانب الخادم بشكل منفصل. لقد استغرق الأمر منا أكثر من أسبوع لمعرفة هذا المكون الإضافي مع 3 مواقع. نحن نرتجف عندما نفكر في ما سيحدث لشخص يتعامل أكثر. انها مملة جدا لاقامة.

نريد أن نعيد التأكيد على أن الإعدادات يصعب فهمها للمستخدمين غير التقنيين. لم نكن نعلم أن هناك شيئًا يسمى برنامج تحليل السجل. لقد رأينا أيضًا رسائل مثيرة للاهتمام للوكيل العكسي ، حيث يخبرنا Sucuri بشكل مفيد بعدم القلق بشأن هذا الخيار ما لم نعرف ما هو. شكرا للارتباك مع جانب من التعاطف.

iThemes: إضافات

هناك ميزة قائمة بيضاء مفصلة للغاية على iThemes ، والتي كانت مفاجئة حتى أدركنا أنه يبدو أن هناك عددًا هائلاً من شكاوى إغلاق الموقع التي رأيناها. هناك مشكلتان مع هذا: الأولى هي أن عناوين IP الخاصة بالجهاز تتغير ، لذا فإن إدراج عنوان IP الخاص بك في القائمة البيضاء لا يمثل حماية بقدر ما تعتقد ؛ وثانيًا ، حاولنا كل ما هو ممكن لإيقاف التشغيل. لكن هذا لم يحدث.

تعد شاشة تغيير الملفات ميزة أخرى تبدو وكأنها فكرة جيدة ، إلا إذا كنت تعرف أي شيء عن الأمان. يمكن للقراصنة تغيير الطوابع الزمنية للملف ، حتى لدرجة جعلها تبدو وكأن الملف لم يتم تحريره منذ سنوات. بالإضافة إلى ذلك ، توجد قائمة استثناءات لأنواع الملفات لجهاز العرض هذا. بصراحة ، هذا يدل على عدم فهم البرمجيات الخبيثة. يمكن أن تختفي البرامج الضارة في أي ملف ، بما في ذلك ملفات .ico على سبيل المثال.

لدى iThemes نظام إدارة كلمات مرور جيد. يمكنك فرض كلمات مرور قوية ورفض السماح بكلمات المرور المخترقة. من الممكن أيضًا تعيين كلمات مرور التطبيق لـ XML-RPC إذا اخترت ذلك.

أخيرًا ، يحتوي iThemes على بعض ميزات التقوية ، والتي لا نوصي بمعظمها على الإطلاق. الشيء الوحيد المنطقي هو منع تنفيذ PHP في مجلد الرفع. هذا يمنع نوعًا معينًا من هجمات البرامج الضارة. بالنسبة للآخرين ، نوصي بالتجاهل تمامًا.

سوكوري: إضافات

تبدو لوحة معلومات Sucuri على wp-admin مثيرة للإعجاب ، لكننا رأينا فورًا أن أكبر صندوق معلومات هو تكامل WordPress. نأمل أن يكون هذا فقط للإصدار المجاني الذي نستخدمه حاليًا ، لأن هذا هو في الأساس إصدار مُلبس من مراقب تغيير الملفات لملفات WordPress الأساسية.

في بعض الحالات ، يمكننا أن نرى أنه مفيد ، مع الأخذ في الاعتبار أن الكثير من البرامج الضارة تدخل في الملفات الأساسية. على العكس من ذلك ، يمكننا أيضًا أن نرى أنه يمكن أن يكون مؤلمًا لأن الأشخاص عديمي الخبرة قد يعتقدون أن هذا هو مدى انتشار البرنامج الضار وهو فكرة مخيفة. من المضحك أن ملفين من ملفات تكامل WordPress الثلاثة التي تم وضع علامة عليها من MalCare: موصل الطوارئ وجدار الحماية.

أعمق في الإعدادات ، هناك أداة فرق التكامل لمقارنة الملفات الأساسية والعثور على الاختلافات. قد يكون هذا أسهل في الاستخدام من أداة مدقق مختلف على الإنترنت.

كان هناك عدد كبير من خيارات التقسية: بعضها مفيد ، والبعض الآخر ليس كثيرًا. لقد أحببنا أن نكون قادرين على حظر PHP في مجلد التحميلات ، وجدار الحماية ، وتفعيل التحديث التلقائي للمفاتيح السرية ، والذي يغير أملاح Wordpress.

ومع ذلك ، فإن التحقق من إصدار WordPress ، وإزالة إصدار WordPress ، وتجنب تسرب المعلومات (يزيل ملف readme الذي يعيد WordPress إنشائه للتو) ، والتحقق من حساب المسؤول الافتراضي كلها ميزات سخيفة مع تأثير أمني ضئيل. بصراحة ، انتقلت صناعة الأمن بأكملها من هذه الحيل.

إذا اخترت تعطيل المكون الإضافي ومحرر السمات ، فستجد أن التحديث صعبًا. يتضمن تحذيرًا حول بعض المكونات الإضافية والقوالب التي تحتاج إلى الوصول إلى ملفات PHP في هذه المجلدات. هذا غير كاف. مثال على ذلك: يقوم Sucuri بنفسه بحفظ ملفات PHP في مجلد التحميلات. ألا يريدون الوصول إلى ملفاتهم الخاصة من لوحة المعلومات الخارجية الخاصة بهم؟ أم أن هذا استثناء للقاعدة؟ في هذه الحالة ، تبدو القاعدة مرنة بطرق مخفية عن المستخدم.

كنا مهتمين بالتحقق من ميزة ما بعد الاختراق في لوحة تحكم wp-admin. بعد التنظيف ، تريد التأكد من قيامك بكل شيء لحماية موقع الويب الخاص بك من الاختراقات المستقبلية. أعجبتنا الفكرة ، حتى نظرنا إلى أبعد من ذلك بقليل.

يمكنك تحديث المفاتيح السرية - تغيير أملاح WordPress - من لوحة القيادة. المشكلة الوحيدة في هذا هو أنه في نص عادي ، ومرئي لكل مسؤول قام بتسجيل الدخول إلى wp-admin. إذا كان المتسلل لديه حساب له وصول إداري ، فهذا أمر خطير للغاية. تكون هذه الميزة منطقية فقط إذا تحقق المستخدم من عدم اختراق أي من حسابات المسؤول ، ثم قام بتغيير الأملاح. نقطة غير مذكورة في أي مكان.

يمكنك إعادة تعيين كلمات مرور المستخدم. مرة أخرى ، هناك ميزة تبدو جيدة حتى تقرأ الخط الناعم: "حدد المستخدمين من القائمة من أجل تغيير كلمات المرور الخاصة بهم ، وإنهاء جلساتهم وإرسال رابط إعادة تعيين كلمة المرور إليهم عبر البريد الإلكتروني. يرجى العلم أن المكون الإضافي سيغير كلمات المرور قبل إرسال رسائل البريد الإلكتروني ، مما يعني أنه إذا كان خادم الويب الخاص بك غير قادر على إرسال رسائل البريد الإلكتروني ، فسيتم حظر المستخدمين من الدخول إلى الموقع ".

يوجد مكان لمشاهدة تحديثات المكونات الإضافية والسمات المتوفرة ، وهي إدارة الإصدارات الأساسية. لا يضيف أي شيء إلى وظائف لوحة تحكم المسؤول الحالية. ومع ذلك ، قد يعمل على توعية الأشخاص بأن المكونات الإضافية والقوالب القديمة مرتبطة بالأمان.

ما هو مفقود من iThemes Security و Sucuri

لا يحتوي iThemes على جدار حماية ، وهو ثغرة خطيرة لأمان WordPress الخاص بك. تحمي جدران الحماية المواقع من أنواع معينة من الهجمات ، وهي لا تقدر بثمن إذا كان موقع الويب الخاص بك به نقاط ضعف.

ماسح البرمجيات الخبيثة الخاص بـ Sucuri غير ملائم. لذلك ، على الرغم من أن خدمة إزالة البرامج الضارة رائعة ، يجب أن تخمن أن هناك برامج ضارة على موقع الويب الخاص بك لأن الماسح الضوئي لن يقوم بوضع علامة عليها.

iThemes Security vs Sucuri: التسعير

تعتبر خطة النظام الأساسي لـ Sucuri بسعر 199.99 دولارًا سنويًا لكل موقع صفقة جيدة لخدمات إزالة البرامج الضارة غير المحدودة. ومع ذلك ، مع الأخذ في الاعتبار أنه من المفترض أن يكون لديك ماسح ضوئي يعمل أيضًا ، فهذا كل ما سيوفره لك الجهاز الفرعي. iThemes لا تساوي شيئًا. فقط لا تهتم.

لقد أوضحنا رأينا حول iThemes بشكل واضح في هذه المقالة. الميزة الوحيدة الجديرة بالذكر في iThemes هي المصادقة ذات العاملين ، والتي تتوفر في الخطة المجانية. نحن بالتأكيد لا نوصي بخطة Pro.

تسعير Sucuri عبارة عن سرقة لخدمة إزالة البرامج الضارة ، لكن الماسح الضوئي سريع الحركة. إذا كنت لا تعرف أن لديك برامج ضارة ، فلا يمكنك إرسال طلب للإزالة.

بديل أفضل لـ iThemes Security و Sucuri: MalCare

استثمر في مكون إضافي للأمان جيدًا يقوم بفحص وتنظيف وحماية موقع الويب الخاص بك من المتسللين. من بين جميع المكونات الإضافية التي اختبرناها لهذه السلسلة ، تبرز MalCare كخيار أفضل. يتفوق MalCare على iThemes في ، حسنًا ، كل شيء ، ويفحص البرامج الضارة بشكل أفضل من Sucuri.

في الواقع ، تعد خطة MalCare الأساسية البالغة 99 دولارًا أفضل من خطة النظام الأساسي الأساسية لـ Sucuri البالغة 199.99 دولارًا ، مع إزالة البرامج الضارة بشكل فوري أيضًا. يتضمن أيضًا عمليات تنظيف غير محدودة

خاتمة

أمان موقع الويب الخاص بك له أهمية قصوى. لقد رأينا العديد من العملاء يبتعدون عن مكون إضافي للأمان ، فقط لمواجهة خسائر مدمرة بعد الاختراق. استسلم أحد العملاء بعد نقطة ، وقرر إعادة بناء موقعه من الصفر. البرامج الضارة باهظة الثمن ، بينما MalCare ليست كذلك.

هل ساعدتك المقالة في اتخاذ قرار؟ نود أن نعرف! لا تترك لنا خطا.