Sucuri مقابل Jetpack: أيهما أفضل مكون إضافي للأمان؟

في مناقشة حول أمان WordPress ، يظهر Sucuri حتمًا. إنها واحدة من أكثر المكونات الإضافية للأمان شيوعًا المتاحة اليوم. تأتي الخطط الاحترافية مع ماسح ضوئي من جانب الخادم وجدار ناري وإزالة البرامج الضارة يدويًا غير محدودة.

Jetpack هو حل شامل للعديد من وظائف WordPress ؛ ليس من المستغرب لأنه تم بناؤه بواسطة Automattic. أيضًا ، يعد وجود مكون إضافي واحد يقوم بعمل الكثيرين خيارًا جذابًا ، لذا فإن Jetpack هو منافس كبير في سلسلة اختبار المكونات الإضافية للأمان.

ولكن إذا تجاهلنا الأجراس والصفارات ، فما هو المكون الإضافي للأمان الذي يحمي موقع WordPress الخاص بك بشكل أفضل؟

اختبرنا أفضل 5 مكونات إضافية للأمان للحصول على هذه الإجابة. على مدار 45 يومًا ، وضعنا المكونات الإضافية في مواجهة البرامج الضارة ونقاط الضعف والهجمات وغير ذلك الكثير. تابع القراءة لقراءة المزيد عن نتائجنا ، والأهم من ذلك: اختيارنا لمكوِّن إضافي للأمان في WordPress يعمل بالفعل.

الحكم : كان قرار Sucuri vs Jetpack صعبًا ، لأن كلاهما فشل بطرق مختلفة. في النهاية ، نعتقد أن Sucuri يفوز على Jetpack. تمكن الماسح الضوئي للبرامج الضارة في Jetpack من اكتشاف بعض البرامج الضارة ، على عكس برنامج Sucuri ، الذي فشل في اكتشاف أي شيء. لكن خدمة إزالة البرامج الضارة من Sucuri قامت بالمهمة بشكل جيد ، بينما لم يكن لدى Jetpack أي خيارات للتنظيف على الإطلاق. بصراحة ، على الرغم من أن أيا منهما لم يكن جيدًا بما فيه الكفاية ، لذا فإن توصيتنا هي MalCare.

اختيارنا

أخضعنا كل مكون من أفضل 5 مكونات إضافية للأمان إلى 45 يومًا من الاختبار. استخدمنا 3 مواقع: 1) مدونة عادية كعنصر تحكم. 2) مدونة بها مكونات إضافية ضعيفة ، و 3) موقع به برامج ضارة في الملفات وقاعدة البيانات كمستوى رئيس.

توجد قائمة من العوامل لاحقًا في المقالة لإظهار كيفية تصنيفنا لكل مكون إضافي ، ولكن باختصار قمنا باختبار الماسح الضوئي والمنظف وجدار الحماية (إذا كان المكون الإضافي يحتوي على واحد) للوصول إلى نتائجنا.

من المهم اختيار مكون إضافي للأمان يمكنك التأكد من أنه يحمي موقع الويب الخاص بك من المتسللين وبرامجهم الضارة. هذا البرنامج المساعد هو ، بلا شك ، MalCare.

ملخص مقارنة Sucuri و Jetpack

في مسابقة الفائز يأخذ كل شيء ، يتقدم Sucuri على Jetpack بسبب خدمات إزالة البرامج الضارة الممتازة التي يقدمونها. ومع ذلك ، فهو نصر أجوف ، لأن ماسح سوكوري هو من أسوأ ما رأيناه حتى الآن.

Jetpack باختصار

تحتوي خطط Jetpack المدفوعة على ماسح ضوئي متوسط ​​للبرامج الضارة ، والذي سيكتشف بعض البرامج الضارة على موقع الويب الخاص بك. تعد بقية ميزات الأمان جيدة بشكل معقول ، لكنها لا تعوض الماسح الضوئي أو نقص تنظيف البرامج الضارة وجدار الحماية. بشكل عام ، Jetpack هي ملكة جمال.

كان Jetpack هو المكون الإضافي الثاني الذي اختبرناه ، مباشرة بعد iThemes ، وقد أعجبنا بشكل إيجابي لأنه فعل شيئًا على الأقل. من الواضح أن هذا لا يجعله مكونًا إضافيًا للأمان.

على الجانب الإيجابي ، سجل نشاط Jetpack رائع. يعد سجل النشاط أداة مهمة لتصحيح الأخطاء وأمن موقع الويب. نعتقد أيضًا أن لوحة القيادة الخارجية على WordPress.com منتفخة ، وهي واجهة مألوفة للعمل معها. نظرًا لأننا من المدافعين الكبار عن النسخ الاحتياطية ، فإننا نحب هذا الجزء من ميزات Jetpack.

لا يعد أي مما سبق سببًا كافيًا للخروج بخطة مدفوعة ، لأن Jetpack تكتب الكثير من الشيكات التي لا يمكنها صرفها. لقد ذكرنا بالفعل أن الماسح الضوئي لا يعمل بشكل جيد. اكتشف حوالي 30٪ من البرامج الضارة على الموقع. حماية القوة الغاشمة متواضعة في أحسن الأحوال. لقد حاولنا مهاجمة صفحة تسجيل الدخول ، وبعد عدة عمليات تسجيل دخول فاشلة ، رأينا كلمة التحقق. ولكن لم يتم وضع علامة على عنوان IP الخاص بنا ، كما أننا لم نتلق تنبيهًا عبر البريد الإلكتروني. عندما فحصنا السجلات ، تم تسجيل الهجوم.

أيضًا ، يكتشف Jetpack بعض نقاط الضعف في موقع الويب فقط. من بين الثلاثة التي قمنا بتثبيتها ، تم وضع علامة 2. في الحالات التي تحتوي فيها مواقع الويب على الكثير من الثغرات الأمنية ، فمن المؤكد أن النسبة ستكون أسوأ بكثير.

لا يوجد مكون إضافي للأمان مثالي ، لكننا نريد واحدًا يقترب من الكمال قدر الإمكان. Jetpack ليس هذا البرنامج المساعد.

سوكوري باختصار

لدى Sucuri مراجعة مختلطة منا ، لأن ميزات تنظيف جدار الحماية والبرامج الضارة الخاصة به تعمل بشكل جيد ، لكن الماسح الضوئي لم يعمل على الإطلاق. يجب أن يكون فحص البرامج الضارة بنسبة 100٪ ، ولا يستحق أي مكون إضافي للأمان ذلك بدون وجود ماسح ضوئي يعمل.

يعد Sucuri أحد أكثر المكونات الإضافية للأمان في WordPress شيوعًا والمتاحة اليوم ، ومع ذلك فهو يقصر في مجال واحد مهم: فحص البرامج الضارة. إذا لم يعمل الماسح الضوئي ، فلا توجد طريقة لمعرفة أن موقع الويب الخاص بك مصاب ببرامج ضارة. وإذا كنت لا تعرف أنه كذلك ، فلا توجد طريقة يمكنك من خلالها معالجته.

في الجوانب الأخرى ، جدار الحماية وتنظيف البرامج الضارة ، كان أداء سوكوري جيدًا. حظر جدار الحماية معظم الهجمات ، وكانت خدمة إزالة البرامج الضارة من الطراز الأول. هناك بعض خيارات التقوية المفيدة على لوحة القيادة أيضًا. تعد طلبات إزالة البرامج الضارة غير المحدودة أمرًا رائعًا أيضًا ، خاصة عند مقارنتها ببعض الخدمات الأخرى المتاحة.

على الجانب الآخر ، كان التكوين والإعدادات بمثابة كابوس ، وخاصة جدار الحماية. لقد واجهنا صعوبة في تثبيت جدار الحماية بدون مسجل المجال ، وبصراحة ، كانت عملية محبطة. قامت عمليات الفحص الأمني ​​أيضًا بتحميل موارد الخادم الخاصة بنا إلى الحد الذي رأينا فيه الفرق على موقعنا على الويب. لحسن الحظ ، كان موقع الويب الخاص بنا على استضافة مخصصة ، وإلا فإن شركات الاستضافة المشتركة ستصيبنا برسالة بريد إلكتروني مخالفة بسرعة كبيرة.

الوجبات الجاهزة هنا هي أنه عليك الاختيار بين الأمان والأداء مع Sucuri. هذا هو حل وسط رهيب لتقديمه. بشكل عام ، يعد Sucuri مكونًا إضافيًا أمنيًا جيدًا وسيئًا ، وبالتالي فهو تناقض. لا نوصي بأي تناقض كإجراء أمني. فقط أقول.

كيفية اختيار البرنامج المساعد الأمني ​​المناسب لـ WordPress

في مشهد التهديدات المتغير باستمرار ، يعد المكون الإضافي للأمان هو الطريقة الوحيدة لحماية موقعك على الويب وبياناتك وزوارك وعملك. يتسبب المتسللون في أضرار جسيمة بالبرامج الضارة ، حيث يسرقون الأموال والبيانات والهويات من الأشخاص. بصفتك مالكًا لموقع الويب ، يعد المكون الإضافي للأمان جزءًا أساسيًا من مجموعة أدوات الإدارة الخاصة بك.

ومع ذلك ، فإن اختيار المكون الإضافي الأمني ​​الصحيح ليس بالأمر السهل. هناك الكثير من المكونات الإضافية ، كل منها يدعي أنه أفضل من التالي. إذن كيف تختار الشخص المناسب؟

فيما يتعلق بالأمان ، هناك 3 ميزات أساسية فقط للمكوِّن الإضافي للأمان: فحص البرامج الضارة ، وتنظيف البرامج الضارة ، وجدار الحماية. كل شيء آخر هو مكافأة. هذا لا يعني أن حماية القوة الغاشمة ليست مهمة ، لأنها بالتأكيد مهمة. ولكن إذا لم يكن لديك الثلاثة الأساسية ، فقد لا يكون لديك الآخرين أيضًا.

عند تقييم مكون إضافي للأمان ، هذه هي العوامل التي يجب أن تبحث عنها:

• ميزات الأمان الأساسية
  
  • فحص البرامج الضارة
  • تنظيف البرامج الضارة
  • جدار الحماية
• ميزات أمان جيدة
  
  • كشف الضعف
  • حماية تسجيل الدخول باستخدام القوة الغاشمة
  • سجل النشاطات
  • توثيق ذو عاملين
• المشاكل المحتملة
  
  • التأثير على موارد الخادم

المكون الإضافي الوحيد الذي يحتوي على جميع الميزات اللازمة لحماية مواقع WordPress هو MalCare. بينما نواصل الحديث في هذا المقال ، فشل كل من الآخرين بطريقة أو بأخرى ، خاصةً خذلنا في المجالات الثلاثة الأساسية.

Sucuri vs Jetpack: مقارنة الميزات وجهاً لوجه

لجعل هذه المقارنة مفيدة قدر الإمكان ، قمنا بتنظيم الأقسام بناءً على المعايير المدرجة أعلاه. هذه هي أهم جوانب المكون الإضافي للأمان ، لكننا نريد أيضًا أن نتطرق إلى تجاربنا الأخرى مثل سهولة التكوين والقيمة مقابل المال وما إلى ذلك.

لقد قدمنا ​​النتائج التي توصلنا إليها بشكل عادل ودقيق قدر الإمكان من أجل مساعدتك في اتخاذ القرار الصحيح لأمان موقع الويب الخاص بك. ومع ذلك ، إذا كنت بحاجة إلى حل أمني سريعًا ، فننصحك بتثبيت MalCare للحصول على أمان WordPress لا مثيل له.

فحص البرامج الضارة

لم يكتشف أي من SiteCheck ولا الماسح على مستوى الخادم الخاص بـ Sucuri البرامج الضارة على موقعنا. اكتشف الماسح الخاص بـ Jetpack بعض البرامج الضارة.

لدى Sucuri ماسحان للبرامج الضارة: SiteCheck وماسح ضوئي على مستوى الخادم تحتاج إلى تثبيته من لوحة معلومات Sucuri. أردنا اختبار كليهما ، لأننا غالبًا ما نوصي SiteCheck ، وهو ماسح ضوئي مجاني ، باعتباره تشخيصًا من المستوى الأول لمواقع الويب. يقوم SiteCheck بفحص الأجزاء المرئية للجمهور من موقع الويب الخاص بك ، لذلك فقط إذا لم يعثر على برامج ضارة ، فهذا لا يضمن وجود موقع ويب نظيف. ومع ذلك ، لا يتعين عليك تثبيت SiteCheck لاستخدامه. يجد العديد من المسؤولين أنه من الأسهل استخدامه في حالة قيام مضيف الويب بتعليق موقعه أو قيام Google بوضعه في القائمة السوداء.

بالانتقال إلى الماسح الضوئي على مستوى الخادم ، والذي يأتي مع خطط Sucuri المتميزة ، تحتاج إلى تثبيته على خادم الويب الخاص بك. لديك الخيار للقيام بذلك يدويًا ، أو إدخال تفاصيل FTP الخاصة بك للقيام بذلك من لوحة المعلومات الخاصة بك. بمجرد تثبيته ، استغرق الماسح وقتًا طويلاً للتحقق من موقع الويب الخاص بنا بحثًا عن البرامج الضارة.

عند اكتمال الفحص ، أظهرت النتائج أن موقعنا خالٍ من البرامج الضارة. كانت النتائج خاطئة ، لأن موقعنا كان مليئًا بالبرامج الضارة ، سواء في الملفات أو في قاعدة البيانات. ثم حاولنا إجراء الفحص مرة أخرى بعد بضع ساعات ، لكن النتائج كانت هي نفسها. يبدو أنه لم يكن هناك أي برامج ضارة على موقعنا الذي تم اختراقه بشدة.

تم تعيين الماسح للتشغيل مرة واحدة في اليوم ، ولكن يمكنك طلب عمليات مسح مخصصة. توضع الطلبات في قائمة انتظار ثم يتم تنفيذها. الشيء الوحيد هنا هو أن Sucuri يحذرك من إجراء الكثير من عمليات الفحص ، لأن عمليات الفحص تستخدم موارد الخادم. هذا ليس جيدا. لا ينبغي أن تستهلك عمليات الفحص موارد موقع الويب لأن ذلك له تأثير على الأداء على موقع الويب. سنعود إلى هذه النقطة لاحقًا في المقالة.

لدى Jetpack ماسح ضوئي للبرامج الضارة في خططها المدفوعة ، وبعد أن رأينا كيف انطلق Sucuri في جزء المسح ، فوجئنا بسرور لرؤية أن Jetpack قد حددت بالفعل بعض البرامج الضارة.

لكن الإثارة لم تدم طويلاً ، لأن Jetpack لم تضع علامة على جميع البرامج الضارة. في الواقع ، لم يكتشف جزءًا كبيرًا من البرامج الضارة. لذلك على الرغم من أنه كان أفضل من Sucuri في هذا الصدد ، فإن اكتشاف بعض البرامج الضارة يعد جيدًا مثل اكتشاف عدم وجود برامج ضارة. من المحتمل أن يظل موقع الويب مخترقًا نتيجة لذلك. لإجراء فحص شامل لموقع الويب الخاص بك ، لا تبحث عن ماسح البرامج الضارة MalCare.

تنظيف البرامج الضارة

لا يحتوي Jetpack على تنظيف للبرامج الضارة. لدى Sucuri خدمة تنظيف يدوية رائعة للبرامج الضارة تخلصت من البرامج الضارة من موقعنا الإلكتروني في غضون 12 ساعة.

نحن متضاربون بشأن Sucuri في هذه المرحلة ، لأنه بينما أعجبنا بشدة بخدمة التنظيف الخاصة بهم ، فإن الماسح الضوئي قد أعطى الموقع الذي تم اختراقه أمرًا نظيفًا. بناءً على هذه النتائج ، من الناحية النظرية ، لم نكن نعرف أن موقعنا يحتوي على برامج ضارة. ولكن نظرًا لأن هذا كان نشاطًا تجريبيًا ، فقد طلبنا تنظيفًا يدويًا مع العلم أن موقعنا يحتوي بالتأكيد على برامج ضارة.

وفقًا لخطتنا ، يمكننا أن نتوقع أن تتم عملية التنظيف في غضون 30 ساعة. ظاهريًا ، هذا وقت طويل للانتظار إذا تم اختراق موقع الويب الخاص بك. إذا كان موقع الويب الخاص بك مدرجًا في القائمة السوداء لـ Google على سبيل المثال ، فإن الوقت الذي يمر في الماضي هو خسارة الإيرادات. ومع ذلك ، فقد حصلنا على موقع نظيف مرة أخرى في أقل من 10 ساعات. لقد تأثرنا بشدة.

لطلب تنظيف البرامج الضارة من Sucuri ، تحتاج إلى ملء نموذج بجميع التفاصيل التي يمكنك وضعها. حدد قدراتك التقنية ، وأدخل بيانات اعتماد FTP الخاصة بك ، وستستعيد موقعًا نظيفًا. لقد فحصنا الموقع الذي تم تنظيفه باستخدام MalCare ، وكان نظيفًا للغاية. رائع! أعطانا الفريق قائمة مراجعة لما بعد التنظيف ، وحذرنا من نقاط الضعف على الموقع ، وكنا على ما يرام.

باستثناء شيء واحد صغير: بعد أن أزال فريق Sucuri البرامج الضارة ، وأكدت MalCare ذلك ، قال الماسح الضوئي Sucuri بعد ذلك أن الموقع قد تم اختراقه. بعد أن تم تنظيفها من قبل فريقهم؟ إذهب واستنتج.

لا تتضمن خطط الأمان الخاصة بـ Jetpack إزالة البرامج الضارة ، على الرغم من أنهم يقولون إن بإمكانهم التخلص من بعض الإصابات. بعد تشغيلنا لفحص البرامج الضارة ، رأينا أنه تم وضع علامة على بعض البرامج الضارة ، ولكن لم يكن أي منها قابلاً للإصلاح. في الواقع ، في جميع حالات البرامج الضارة التي تم الإبلاغ عنها ، توصي Jetpack بلطف بالتعامل مع خدمة إزالة البرامج الضارة.

قلقنا مع Jetpack هو أنه من خلال وضع علامة على موقع البرنامج الضار والرمز نفسه ، يبدو أنه يدعو إلى التنظيف اليدوي كخيار. هذا ليس قرارا حكيما. مواقع الويب التي تم اختراقها هي حقول ألغام ، خاصة وأن البرامج الضارة يمكن أن تختبئ في أي مكان. يعد تنظيف البرامج الضارة يدويًا عرضة لخطأ بشري ، كما أنه ينطوي على مخاطر كسر موقع الويب تمامًا.

تعد خدمة إزالة البرامج الضارة عرضًا مكلفًا ، ولا يوجد ضمان بعدم تعرض موقع الويب الخاص بك للاختراق مرة أخرى. يمكن أن تتراكم التكاليف بشكل كبير في هذه الحالة. تحتوي خطط Sucuri على عمليات تنظيف غير محدودة ، وهو أمر رائع. مشكلتنا الوحيدة مع Sucuri هي أن الماسح الضوئي لن ينبهك إلى معظم البرامج الضارة ، فكيف تعرف متى تطلب التنظيف؟

استخدمنا MalCare للبحث عن البرامج الضارة ، وكذلك لتنظيف موقعنا الإلكتروني في دقائق. تخلصت ميزة التنظيف التلقائي من البرامج الضارة من موقعنا ، دون الحاجة إلى بيانات اعتماد FTP ، أو طلب إزالة. كان غير مؤلم وسلس ، وفوري تقريبًا. من الصعب التغلب على ذلك.

جدار الحماية

قام جدار الحماية الخاص بـ Sucuri بعمل لائق في التعامل مع معظم الهجمات الشائعة ، ولكنه كان كابوسًا يجب تثبيته. Jetpack ليس لديه جدار حماية.

لدى Sucuri جدار حماية مُضمن في خططها الأمنية ، ولكن لديها أيضًا خطط جدار حماية قائمة بذاتها. أردنا اختبار فعالية جدار الحماية ، لذلك حاولنا تهيئته على موقعنا على الإنترنت.

قبل أن نتحدث حتى عن كيفية عمل جدار الحماية ، علينا قضاء بعض الوقت للتعبير عن مدى فظاعة تجربة تثبيت جدار الحماية Sucuri. كان لدينا خطة مدفوعة حالية ، وكان هناك بالفعل موقع ويب مهيأ لجدار الحماية. لذلك عندما حاولنا استبدال موقع الويب هذا بموقع الويب التجريبي الخاص بنا ، رفض Sucuri التزحزح.

تكمن المشكلة هنا في أنه لاستخدام جدار الحماية ، يجب عليك توجيه DNS لموقع الويب الخاص بك إلى خوادم أسماء جدار الحماية. مما يعني أن كل حركة المرور التي تصل إلى موقع الويب الخاص بك ستمر أولاً عبر جدار الحماية الخاص بـ Sucuri ثم يتم إعادة توجيهها إلى موقع الويب الخاص بك. إذا كان هذا يبدو معقدًا ، فهذا لأنه معقد بجنون.

على أي حال ، تمكنا من تكوين موقع اختبار به ثغرات أمنية مثل تحميلات الملفات غير المقيدة و XSS وإدخال SQL بعد بضعة أيام. حظر جدار الحماية جميع محاولاتنا لاستغلال هذه الثغرات وتحميل الملفات الضارة.

بكل شفافية ، لم نتمكن من اختبار هجمات أكثر تعقيدًا في إطارنا الزمني المحدد. ومع ذلك ، تم إيقاف كل ما ألقينا به على جدار الحماية الخاص بـ Sucuri.

تعد جدران الحماية جزءًا لا يتجزأ من أمان موقع الويب الخاص بك. إنهم يمنعون البرامج الضارة من خلال منع المتسللين من استغلال نقاط الضعف في موقع الويب. لا يمتلك Jetpack واحدًا ، وهذه فجوة كبيرة في مكون الأمان الإضافي الخاص بهم.

تقوم MalCare بعمل ممتاز في حماية موقع الويب الخاص بك من أنواع مختلفة من الهجمات. ومن السهل تكوينه على عكس Sucuri.

كشف الضعف

اكتشف كل من Jetpack و Sucuri بعض نقاط الضعف على مواقعنا الإلكترونية فقط.

بمجرد تثبيت ماسح Sucuri من جانب الخادم ، أخبرنا الفحص أن لدينا بعض الثغرات الأمنية على موقعنا. لم يكتشف الماسح بعضًا من أكثرها غموضًا وأوصى بشكل أساسي بتحديث المكونات الإضافية والسمات القديمة.

ومن المثير للاهتمام ، أن هناك علامة تبويب لما بعد الاختراق في البرنامج المساعد Sucuri على wp-admin. يحتوي على قائمة بإصدارات المكونات الإضافية والسمات المثبتة ، إلى جانب أحدث الإصدارات. في النسخة الصغيرة من هذه الصفحة ، يذكر Sucuri أن البرامج القديمة تشكل خطرًا أمنيًا وغالبًا ما تؤدي إلى الإصابة بالبرامج الضارة.

أرسل لنا فريق Sucuri أيضًا قائمة توصيات لتحديث المكونات الإضافية والقوالب القديمة ، وذلك لمعالجة نقاط الضعف. مرة أخرى ، كانوا قادرين فقط على اكتشاف بعض نقاط الضعف ، وليس كلها.

التقط الماسح الضوئي Jetpack بعض نقاط الضعف أيضًا ، وأعطانا خيار الإصلاح التلقائي ؛ في الأساس ، يمكننا تحديثها. لا يوجد الكثير للتمييز بين Sucuri و Jetpack في هذه الحالة. كانت واجهة Jetpack أسهل في الإدارة ، ولكن مرة أخرى ، يعد Sucuri مكونًا إضافيًا أكثر تعقيدًا بشكل عام.

حماية تسجيل الدخول باستخدام القوة الغاشمة

يضيف Jetpack كلمة التحقق إلى صفحة تسجيل الدخول بعد عدة محاولات تسجيل دخول فاشلة ، لكنه لا يحظر عنوان IP. لا يبدو أن Sucuri لديها ميزة حماية تسجيل دخول فعالة.

تتمتع Jetpack بحماية تسجيل الدخول بالقوة الغاشمة في خططها المجانية والمدفوعة. عندما حاولنا فرض صفحة تسجيل الدخول بالقوة ، رأينا إضافة كلمة التحقق الرقمية بعد 10 محاولات فاشلة. تُظهر السجلات جميع محاولات تسجيل الدخول الفاشلة بعد الثلاثة الأولى على أنها هجوم القوة الغاشمة.

يحتوي Jetpack أيضًا على ميزة إدراج IP في القائمة البيضاء ، لذلك افترضنا أنه في مرحلة ما قد يتم حظرنا من موقع الويب تمامًا. ومع ذلك ، لم يحدث هذا على الإطلاق. لقد جربنا ما يزيد عن 50 كلمة مرور غير صحيحة لحساب المسؤول في أقل من دقيقة ، ولم يحدث شيء.

بصراحة ، فإن القائمة البيضاء لعناوين IP هي نوع من غسل العين. يمكن أن تتغير عناوين IP الخاصة بالجهاز ، لذا فإن إدراج عنوان IP الخاص بالمسؤول في القائمة البيضاء لا يعد ضمانًا ضد أي حظر محتمل. ومع ذلك ، إذا كانت الميزة موجودة ، فيجب أن تعمل. لكنها لم تفعل.

اعتقدنا أن Sucuri سيكون أفضل بكثير من Jetpack في هذه النقطة ، لأنه يحتوي على مجموعة معقدة من الخيارات لتكوين تنبيهات القوة الغاشمة. يمكنك تعيين الحد الذي يعتبر الهجوم عنده قوة غاشمة. ومع ذلك ، فإن الحدود غير واقعية ، لأن هناك خيارًا لاعتبار 30 محاولة فاشلة في الساعة بمثابة هجوم ، بينما في الواقع ، يؤدي هجوم القوة الغاشمة إلى ضرب صفحة تسجيل الدخول بما يزيد عن 100 طلب في الدقيقة. في الواقع ، عادة ما يكون هناك الكثير من طلبات تسجيل الدخول التي يتعذر على الخادم التعامل معها.

قصة قصيرة طويلة ، لم ينبهنا Sucuri بشأن هجمات تسجيل الدخول. ظهرت الهجمات في سجلات التدقيق ، لكن لم نحصل على أي تنبيهات.

سجل النشاطات

سجلات Jetpack رائعة. يتتبعون كل مستخدم وعمل إضافي. تعمل سجلات تدقيق Sucuri أيضًا ، ولكن يمكن أن تكون غير مفهومة تمامًا.

تتبع سجلات تدقيق Sucuri جميع إجراءات المستخدم ، وتغييرات المكون الإضافي والقالب. تظهر جميع التغييرات التي تم إجراؤها على أي ملفات وجداول في سجلات التدقيق. حتى الان جيدة جدا. هناك أيضًا خيار لتعيين مفتاح API لمنع المهاجمين من حذف السجلات ، من خلال السماح لـ Sucuri بحفظ سجلات موقع الويب الخاص بك خارج الموقع.

تجمع السجلات المعلومات المطلوبة مثل المستخدم ، والإجراء ، والطابع الزمني ، وما إلى ذلك. ومع ذلك ، لاحظنا أنه في بعض الحالات ، يصعب فهمها. مثال على ذلك: قمنا بتثبيت مكون معرض إضافي على موقعنا. سجلت السجلات 7 إدخالات مختلفة للمكون الإضافي ، مما يشير إلى أنه تم تغيير 7 ملفات. أو هكذا اعتقدنا. لقد كان في الواقع يسجل التغييرات في قالب المنشور ، لكن لم نتمكن من معرفة أي من ذلك من السجلات.

لدى Jetpack ميزة سجل نشاط رائعة ، وهي متاحة للمعاينة على الخطط المجانية. تعرض السجلات كل نشاط المستخدم والمكوِّن الإضافي والمظهر ، بالإضافة إلى إظهار الأشياء التي تتطلب اهتمامًا فوريًا ، مثل البرامج الضارة المكتشفة أو الثغرات الأمنية.

ومع ذلك ، فإن بيانات Jetpack تصل إلى 30 يومًا فقط. من الناحية المثالية ، يجب أن تحفظ السجلات لفترة زمنية أطول بكثير.

توثيق ذو عاملين

لا يحتوي أي من المكونين الإضافي للأمان على مصادقة ثنائية.

ليس هناك الكثير لنتحدث عنه في هذا القسم ، لأنه لا Jetpack ولا Sucuri لديهما مصادقة ثنائية لمواقع الويب الخاصة بك.

ومع ذلك ، عندما كنا نختبر المكونات الإضافية ، بحثنا عن مصادقة ثنائية على Sucuri. هناك في الواقع مصادقة ثنائية على لوحة معلومات Sucuri ، لكنها كانت متاحة لحساب Sucuri الخاص بك. ليس موقع الويب الخاص بك.

استخدام موارد الخادم

سيستهلك كلا المكونين الإضافيين موارد الخادم لإجراء عمليات مسح على موقع الويب الخاص بك. ماسح سوكوري أبطأ موقعنا بشكل ملحوظ.

نعطي نقاط Sucuri للصدق ، لأنهم يدعون استخدام موارد الخادم لإجراء عمليات المسح مباشرة على لوحة القيادة. بخلاف ذلك ، من المريع أن يفعلوا ذلك.

أظهرت عمليات مسح Sucuri إشارة ضوئية ملحوظة في استخدام وحدة المعالجة المركزية للخادم. ومواقع الاختبار لدينا صغيرة ؛ لا يكاد يزيد عن 100 ميغا بايت لأكبر واحد. إذا كان لدينا موقع WooCommerce أو موقع به قاعدة بيانات كبيرة ، فسيتأثر أداء الموقع بشكل خطير. بالإضافة إلى ذلك ، تستغرق عمليات مسح Sucuri أيضًا وقتًا طويلاً. لذا فإن التأثير سيستمر لفترة من الوقت.

بصرف النظر عن استخدام وحدة المعالجة المركزية ، في الإعدادات العامة على wp-admin ، سترى أن Sucuri يستخدم خادمك لتخزين البيانات. حتى إذا كانت مساحة التخزين ضئيلة ، تظل النقطة هي أن مساحة خادم موقع الويب الخاص بك قيد الاستخدام.

كان لـ Jetpack أيضًا تأثير على موارد الخادم. صحيح أنه لم يكن ملحوظًا مثل عمليات المسح التي أجراها سوكوري ، لكنه لا يزال غير مثالي على الإطلاق.

بصراحة ، نحن لسنا معجبين بهذا الوضع. لا ينبغي لأي مسؤول موقع أن يختار بين الأمان والأداء. يمكن أن يؤثر عدم وجود أي منهما على الإيرادات بطرق رئيسية ، لذلك لا ينبغي أن تكون مقايضة.

تنبيهات

يمكن أن تملأ تنبيهات Sucuri بريدك الوارد في غضون ساعة ، لذلك عليك أن تكون متأكدًا تمامًا مما تريد أن يتم تنبيهك بشأنه. يرسل Jetpack تنبيهات حول الأشياء المهمة فقط.

يتيح لك Sucuri تخصيص تنسيق التنبيهات ، وإرسالها لإجراءات محددة ، وإرسالها إلى أشخاص معينين ، وما إلى ذلك. يمكنك أيضًا تكوين إعداد لتجاهل عناوين IP معينة حتى لا تطلق أي تنبيه.

العدد الهائل لخيارات تنبيهات Sucuri مذهل. بالطبع ما عليك سوى تكوينه مرة واحدة ، ثم نسيانه. لكن في الحقيقة ، الخيارات نفسها تستحق الذكر بشكل خاص. وإذا لم يكن الرقم مخيفًا بما فيه الكفاية ، فإن المتحدث التقني كان محبطًا تمامًا.

في النهاية ، تكون التنبيهات دقيقة للغاية بحيث لا تكون مفيدة. يجب أن يكون المسؤول قادرًا على الاعتماد على مكون الأمان الإضافي الخاص به لتنبيهه إلى الأشياء التي يجب التعامل معها ، وتصفية كل الضوضاء. في حالة سوكوري ، نحن على يقين من أن هناك فرصة جيدة لفقد الإشارة في كل الضوضاء.

يتعامل Jetpack مع التنبيهات بأناقة. لا يوجد مليون خيار للتنقيح ، وسوف يرسل لك المكون الإضافي تنبيهات حول الأشياء التي تحتاج إلى انتباهك. مثل نقاط الضعف والبرامج الضارة ، على سبيل المثال.

إلى جانب ذلك ، قمنا أيضًا باختبار ميزة مراقبة وقت التوقف في Jetpack. من المفترض أن ينبهنا إذا تعطل الموقع ، لكنه لم يفعل. لقد عطلنا الموقع بعدة طرق مختلفة ، ورأينا أن Jetpack لم تسجل تلك الأعطال على الإطلاق.

على الرغم من أن مراقبة وقت التوقف عن العمل ليست ميزة أمنية على هذا النحو ، إلا أنها مقياس مهم لموقع الويب الخاص بك. غالبًا ما تكون مواقع الويب المعطلة أو المعطلة مؤشرًا على نشاط المتسلل أو البرامج الضارة. لا تعمل ميزة وقت التوقف في Jetpack.

التثبيت والتهيئة وسهولة الاستخدام

كان Sucuri سهلاً في البداية ، لكنه أصبح أكثر صعوبة تدريجياً. كان من السهل تكوين Jetpack ولكن الواجهة تدفعك باستمرار نحو الترقية.

كان تركيب Jetpack مملاً. على الرغم من تثبيت المكون الإضافي الخاص بك ، لا توجد طريقة للمضي قدمًا دون إنشاء لوحة تحكم WordPress.com. إنها تعمل كلوحة تحكم خارجية ، لذا فأنت بحاجة إلى الحساب. إنه أمر مزعج إلى حد ما أن يتم نقلها ذهابًا وإيابًا من لوحة القيادة الخاصة بك إلى Jetpack دون فهم واضح لوقت وسبب ذلك مطلوب.

كان تثبيت Sucuri سهلاً ، وبدأت الماسحة الضوئية للواجهة الأمامية تعمل على الفور. للوصول إلى الميزات المدفوعة ، مثل جدار الحماية والماسح الضوئي من جانب الخادم ، تحتاج إلى إنشاء حساب على Sucuri. لكن النسخة المجانية مكتفية ذاتيا.

لوحة القيادة الخارجية لـ Jetpack مريحة في الاستخدام لأنها تحاكي wp-admin. ومع ذلك ، هناك الكثير من الميزات المقفلة اعتمادًا على خطتك ، لذا فهي ليست أفضل تجربة للمستخدم لرؤية "الترقية" في كل مكان. بعض المقاييس غير مجدية من وجهة نظر أمنية ، لذلك بشكل عام نحن لسنا مغرمين بواجهة Jetpack.

بعد قولي هذا ، نفضل واجهة Jetpack على Sucuri. إذا كان علينا وصف سوكوري في كلمة واحدة ، فستكون هذه الكلمة عبارة عن ارتباك. هناك الكثير من المصطلحات التقنية في التكوين والإعدادات. لقد أمضينا ساعات في محاولة معرفة ما تعنيه بعض المصطلحات. كما أن الأوصاف غير مفيدة ، وفي بعض الحالات تكون تنازلية. لست متأكدًا من سبب اعتقاد أي شخص أنها فكرة جيدة أن تكتب أوصافًا تقول بشكل فعال: إذا كنت لا تعرف ما يعنيه هذا ، فمن الأفضل تركه بمفرده.

كان إنشاء جدار الحماية Sucuri بمثابة كابوس. قد يبدو الأمر بسيطًا إذا كان لديك حق الوصول إلى مسجل النطاق ، والدراية الفنية للتعامل مع خوادم الأسماء (والتي تستغرق بالمصادفة بضع ساعات للتحديث). لا يحتوي موقع الاختبار الخاص بنا على مجال ، لأننا لا نريد أن يقوم Google بفهرسته أو أن يهبط عليه الأشخاص عن طريق الخطأ ، لذلك لم يكن تغيير خوادم الأسماء مهمة بسيطة. إذا أراد شخص ما إعداد جدار الحماية على موقع مرحلي ، فسيجد صعوبة في القيام بذلك بدون مساعدة هندسية.

Jetpack: إضافات

يجمع Jetpack عدة مهام إدارية في WordPress في مكون إضافي واحد ، لذلك هناك الكثير من الإضافات. نحب أنه يحتوي على نسخ احتياطية ، لأن النسخ الاحتياطية مهمة جدًا لأي موقع ويب. بخلاف ذلك ، يعد حساب WordPress.com مألوفًا للاستخدام ، على الرغم من أنه إذا كان لديك مواقع ويب متعددة على حساب واحد ، فمن الممل التبديل بينها للإدارة.

سوكوري: إضافات

لدى Sucuri الكثير من الأجراس والصفارات الإضافية في البرنامج المساعد الخاص بهم. على عكس Jetpack الذي يوفر أكثر من الأمان ، فإن Sucuri يتعلق فقط بالأمن. لذلك حاولنا البحث في الميزات لمعرفة ما يمكن أن يكون له تأثير على الأمان.

عند تثبيت المكون الإضافي ، فإن أول وأكبر ما ستراه هو صندوق معلومات تكامل WordPress. يبدو الأمر مثيرًا للإعجاب حقًا ، ولكنه في الواقع نسخة أنيقة للغاية من شاشة تغيير ملف WordPress الأساسية. من الواضح أن هناك بعض الأدوات المساعدة لوجود مراقب لتغيير الملفات للملفات الأساسية ، خاصة وأن البرامج الضارة معروفة بأنها تصيب الملفات الأساسية بانتظام. ومع ذلك ، فإن الشهرة والمكانة مضللة ، في رأينا. مراقب تغيير الملف ليس هو مدى أمان WordPress. بصراحة ، إنها ليست حتى البداية.

هناك أيضًا أداة فرق التكامل لمقارنة الملفات الأساسية على موقع الويب بالبنية الأصلية. إنه أسهل من استخدام مدقق مختلف عبر الإنترنت للملفات الأساسية ، إذا كنت تقوم بتنظيف البرامج الضارة يدويًا.

لدى Sucuri الكثير من خيارات تصلب WordPress. بعضها مفيد ، في حين أن البعض الآخر من الاختراقات الأقدم التي توقفت منذ ذلك الحين عن كونها مفيدة من الناحية الأمنية.

على سبيل المثال ، يعد حظر PHP في مجلد التحميلات فكرة جيدة ، وكذلك القدرة على تغيير أملاح WordPress بسهولة من لوحة القيادة. لكن هذا ليس تأييدًا لا لبس فيه. كان من الأكثر أمانًا أن يكون لديك الميزة على لوحة معلومات Sucuri بدلاً من wp-admin. إذا تمكن أحد المتطفلين من الوصول إلى الواجهة الخلفية لموقع الويب ، فسيتم اختراق الأملاح لأنها معروضة في نص عادي.

أشياء مثل التحقق من إصدار WordPress ، وإزالة إصدار WordPress ، وتجنب تسرب المعلومات ، والتحقق من حساب المسؤول الافتراضي هي ميزات أمان لا معنى لها. إنهم يفعلون القليل جدًا لتأمين الموقع بطرق ملموسة. ننسى صناعة الأمن ، حتى المتسللين انتقلوا من هذه الحيل.

لقد حيرتنا بعض الميزات التي تصلب. إذا اخترنا تعطيل البرنامج المساعد ومحرر السمات ، فكيف سنقوم بتحديث المكونات الإضافية والسمات عند اكتشاف نقاط الضعف؟ يخزن Sucuri أيضًا ملفات PHP في مجلد التحميلات ، لذا فإن قطع الوصول الخارجي يعني عدم تمكنهم من الوصول إلى ملفاتهم الخاصة. ربما توجد قاعدة تسمح لهم بهذا الوصول ، لكن هذا ليس واضحًا للمستخدم النهائي على الإطلاق.

توجد ميزة إدارة كلمات المرور ، ولكن التحذير المصاحب سيخيف معظم الأشخاص من استخدامها على الإطلاق: "حدد المستخدمين من القائمة لتغيير كلمات المرور الخاصة بهم ، وإنهاء جلساتهم وإرسال رابط إعادة تعيين كلمة المرور إليهم عبر البريد الإلكتروني. يرجى العلم أن المكون الإضافي سيغير كلمات المرور قبل إرسال رسائل البريد الإلكتروني ، مما يعني أنه إذا كان خادم الويب الخاص بك غير قادر على إرسال رسائل البريد الإلكتروني ، فسيتم حظر المستخدمين لديك من الوصول إلى الموقع ".

ما هو مفقود من Jetpack و Sucuri

أكبر مشكلتنا مع Sucuri هي حقيقة أن الماسح الضوئي للبرامج الضارة لا يعمل. كنا نتوقع أنه سيكتشف بعض البرامج الضارة ، مع الأخذ في الاعتبار مدى انتشار استخدام Sucuri على مواقع الويب. لكنها لم تكتشف أي شيء! لا يغتفر في رأينا.

Jetpack ليس لديه جدار حماية ولا تنظيف برمجيات خبيثة ، آليًا أو غير ذلك. يقوم بنصف مهمة العثور على البرامج الضارة الموجودة بالفعل على موقع الويب ، ولكن لا شيء لإزالتها أو حمايتها. لا مكان قريب من الملاءمة ، من حيث الأمن.

Sucuri vs Jetpack: التسعير

أقل ساعات خطة قسط سوكوري في 199.99 دولارًا سنويًا لكل موقع. إنها صفقة جيدة لطلبات إزالة البرامج الضارة غير المحدودة التي يمكنك الحصول عليها. جدار الحماية لائق أيضًا ، لكن الماسح فظيع. إنها ليست قيمة كاملة للمال. Jetpack ليس مكونًا إضافيًا جيدًا للأمان بسعر 300 دولار.

إذا كنا سنقوم بدفع 300 دولار مقابل مكون إضافي للأمان ، فسنطلب الكثير من هذا المكون الإضافي: ماسح ضوئي للبرامج الضارة وجدار ناري وخيارات تنظيف. Jetpack ليس لديه أي من هؤلاء. لقد ساعد في تحديد بعض البرامج الضارة ، واكتشاف بعض نقاط الضعف ، والحصول على حماية متوسطة من القوة الغاشمة.

تعد إزالة البرامج الضارة غير المحدودة أمرًا إيجابيًا كبيرًا لصالح Sucuri. كان وقت الاستجابة رائعًا ، وكانت هناك قائمة مراجعة لما بعد الاختراق تمت مشاركتها معنا ، وتم تنظيف جميع البرامج الضارة. لكن - وهذه مشكلة كبيرة ولكن - كان الماسح الضوئي للبرامج الضارة فاشلاً تمامًا. شعرنا بخيبة أمل كبيرة لأنه لم يكتشف وميض البرامج الضارة. ومع ذلك ، قام الفريق بتنظيف كل شيء. إذا تمكنت Sucuri من إحضار بعض طاقة التنظيف اليدوي للبرامج الضارة إلى الماسح الضوئي ، فسيصبح مكونًا إضافيًا رائعًا. حتى ذلك الحين ، ليس كثيرًا.

بديل أفضل لـ Jetpack و Sucuri: MalCare

في هذه المقالة ، قدمنا ​​جميع النتائج التي توصلنا إليها من جلسات الاختبار المكثفة. لا يعمل Jetpack ولا Sucuri بشكل فعال لحماية مواقع WordPress من المتسللين وبرامجهم الضارة. إذا كنت قد قرأت هذا بعيدًا في المقالة ، فأنت تعلم أن الأمان غير قابل للتفاوض. لذا فإن الاستثمار في مكون أمان إضافي قوي وموثوق هو السبيل للمضي قدمًا.

أفضل مكون إضافي للأمان في WordPress متوفر اليوم هو MalCare. يحتوي MalCare على ماسح ضوئي من الدرجة الأولى للبرامج الضارة ، وتنظيف آلي للبرامج الضارة ، وجدار حماية متقدم لحماية موقع الويب الخاص بك من الهجمات.

في مقارنة ميزة إلى ميزة بين جميع المكونات الإضافية الأمنية الأخرى ، تعمل MalCare أيضًا لتكون أكثر اقتصادا بشكل ملحوظ. مقابل 300 دولار من Jetpack الضخم ، فإن خطة MalCare التي تبلغ 150 دولارًا هي صفقة أفضل بكثير للعديد من الميزات الأخرى. وبالمثل بالنسبة لـ Sucuri ، تعد خطة MalCare التي تبلغ 99 دولارًا أفضل بكثير من خطة النظام الأساسي الأساسية البالغة 199.99 دولارًا.

خاتمة

يعد المكون الإضافي للأمان جزءًا أساسيًا من مجموعة أدواتك الإدارية. إنها واحدة من تلك الأشياء التي يجب أن تتطلب الحد الأدنى من التدخل والعمل خارج الصندوق. يتمتع MalCare بأفضل مستوى أمان ، دون الضوضاء غير الضرورية التي تجلبها معظم المكونات الإضافية الأخرى إلى الطاولة. إنه استثمار مفيد لحماية إيراداتك من المتسللين.

هل ساعدتك هذه المقالة؟ اتصل لنا لتعلمنا. كنا نحب أن نسمع منك!