Sucuri vs Wordfence: ما هو البرنامج المساعد الأمني الأفضل لموقع WordPress الخاص بك
نشرت: 2022-04-22يعد كل من Wordfence و Sucuri من أبطال إضافات الأمان في WordPress. في أي محادثة ، تظهر حتمًا ، وينقسم الناس حول أي واحد هو أفضل مكون إضافي للأمان.
لدى Sucuri ماسح ضوئي شهير على الإنترنت ، يستخدم على نطاق واسع من قبل مسؤول الموقع لاكتشاف البرامج الضارة. يحتوي المكون الإضافي الخاص بهم على ماسح ضوئي من جانب الخادم أيضًا وجدار حماية والعديد من ميزات الأمان الأخرى. تقدم Sucuri إزالة غير محدودة للبرامج الضارة مع أي من خططها.
Wordfence هو الرائد بلا منازع لمكونات أمان WordPress الإضافية. يكمل الفريق المكون الإضافي للأمان الخاص بهم بالكثير من المحتوى التعليمي ، مما يساعد المسؤول على فهم كيفية حماية موقعه على الويب من المتسللين. يحتوي المكون الإضافي على ماسح ضوئي وجدار ناري ، ويمكنه أيضًا إزالة بعض البرامج الضارة. لديهم أيضًا خدمة إزالة البرامج الضارة ، ولكن هذه ميزة ممتازة عند الطلب.
للإجابة على أيهما أفضل في معركة Sucuri vs Wordfence ، اختبرنا كلا المكونين الإضافيين على نطاق واسع. كما سترى في بقية المقالة ، تم تصميم الاختبارات لجعل المكونات الإضافية تتعثر حتى تتمكن من اتخاذ القرار الأفضل لأمان موقع الويب الخاص بك.
5 مكونات إضافية للأمان ، 3 مواقع ويب ، 45 يومًا ، والكثير من البرامج الضارة. كانت النتائج حاسمة.
ليس سؤال VERDICT Sucuri vs Wordfence سؤالًا بسيطًا. كلاهما يحتوي على ماسحات ضوئية للبرامج الضارة وجدران حماية. يحتوي Wordfence على منظف تلقائي وخدمة إزالة البرامج الضارة باهظة الثمن ، في حين أن Sucuri لديها فقط عمليات تنظيف غير محدودة مع خططها. بعد تقييم جميع العوامل ، فإن Wordfence هو الفائز بالتأكيد. تابع القراءة لمعرفة المزيد.
اختيارنا
بالنسبة لهذه السلسلة ، قمنا بتطوير 3 مواقع تجريبية: أولاً ، مدونة بسيطة بها الكثير من الصور والتعليقات كعنصر تحكم ؛ ثانيًا ، موقع به الكثير من المكونات الإضافية الضعيفة وموضوعات ذات مستويات متفاوتة من الغموض ؛ وأخيرًا ، موقع محمّل بأنواع مختلفة من البرامج الضارة.
معايير المكون الإضافي الفعال متعددة ، لكننا أردنا التركيز على سؤال واحد بسيط: هل يقوم المكون الإضافي بعمل جيد في حماية موقع الويب الخاص بك من المتسللين والبرامج الضارة؟
بعد 45 يومًا ، حصلنا على إجابتنا. بالنسبة لـ 4 من 5 ملحقات ، كانت الإجابة لا. 1 البرنامج المساعد فاز في جميع التهم الموجهة إليه. هذا البرنامج المساعد هو MalCare.
يحتوي MalCare على أفضل ماسح للبرامج الضارة رأيناه ، يلتقط البرامج الضارة من الملفات وقاعدة البيانات والمجلدات ، بغض النظر عن مدى إخفائها. يحتوي على منظف تلقائي يعمل بالفعل ، حيث يقوم بتنظيف البرامج الضارة فقط بدقة جراحية. وأخيرًا ، جدار حماية متقدم يمنع التهديدات التي يمكن أن تستغل موقع الويب الخاص بك.
أفضل مكون إضافي للأمان لموقع WordPress الخاص بك هو MalCare بشكل لا لبس فيه.
ملخص مقارنة Sucuri مقابل Wordfence
في هذه المعركة الضارية ، يكون Wordfence هو الفائز. علينا أن نعترف بأن المكالمة كانت قريبة ، لأن سوكوري لديها نقاطها أيضًا.
يمكننا أن نرى سبب قلق الناس بشأن أيهما أفضل ، لأن عيوب Wordfence هي نقاط قوة سوكوري ، والعكس صحيح. بناءً على التجربة الشخصية للفرد ، سوف يدافعون عن المكون الإضافي الذي حل مشكلتهم الخاصة.
ولكن لهذا السبب ، لا توجد إجابة موضوعية حول أيهما أفضل بشكل كلي لجميع مواقع WordPress. والجواب على ذلك ليس أي منهما. يجب ألا تضطر إلى التنازل عن جانب أو آخر من جوانب الأمان. احصل على كل شيء عن طريق الحصول على MalCare بدلاً من ذلك.
Wordfence باختصار
Wordfence هو أفضل مكون إضافي للأمان لموقع WordPress بعد MalCare. الإصدار المجاني قوي ، مع ميزات أمان رائعة. يكتشف الماسح معظم البرامج الضارة المستندة إلى الملفات ، وهو قادر على تنظيف معظم ما يكتشفه. يعد جدار الحماية أحد أكثرها تحديثًا ، ويمنع العديد من التهديدات. تتمثل الجوانب السلبية في أن أداء موقع الويب يحقق نجاحًا كبيرًا باستخدام Wordfence ، كما أن خدمة تنظيف البرامج الضارة الخاصة بهم باهظة الثمن.
تمكن ماسح Wordfence من اكتشاف جميع البرامج الضارة المستندة إلى الملفات التي أدخلناها في المكونات الإضافية والسمات المجانية الخاصة بنا. إذا كان هذا يبدو محددًا بشكل غريب ، فهذا لأنه كذلك. لم يتمكن من اكتشاف البرامج الضارة الموجودة في قاعدة البيانات ، ولا البرامج الضارة المدرجة في المكونات الإضافية والسمات المتميزة. وذلك لأن آلية الكشف عن مطابقة الملفات التي يستخدمها Wordfence تعتمد بشكل كبير على التعليمات البرمجية المتاحة للجمهور.
أشارت نتائج الفحص إلى وجود برامج ضارة ونقاط ضعف في السمات والمكونات الإضافية المثبتة. من المضحك أن Wordfence أيضًا وضع علامة على بعض المكونات الإضافية المتميزة لدينا على أنها برامج ضارة أو أخطاء. هذه إيجابيات خاطئة ، يمكننا رؤيتها لأننا معتادون على البحث في كود WordPress. ولكن قد ينتهي الأمر ببعض مسؤولي مواقع الويب إلى إزالة المكونات الإضافية القابلة للتطبيق تمامًا بسبب هذا.
أيضًا ، كان هناك خيار لإصلاح الملفات الممتلئة بالبرامج الضارة تلقائيًا بعد عرض نتائج الفحص. لقد جربناها ونجحت. تمت إزالة جميع البرامج الضارة المكتشفة من الموقع. بالطبع ، لا يمكنه إصلاح البرامج الضارة التي لم يكن قادرًا على اكتشافها في المقام الأول.
بعد ذلك ، جربنا جدار الحماية. لقد كانت فعالة ، حيث صدت الكثير من التهديدات التي واجهناها. ولكن في كل مرة حظر جدار الحماية تهديدًا ، تلقينا تنبيهًا. كان هناك الكثير من التنبيهات أثناء الاختبار ، ولا يسعنا إلا أن نتخيل ما سيحدث على موقع مباشر. من المؤكد أن المسؤول سيشعر بالارتباك ويفتقد التنبيهات المهمة.
بخلاف هذه المعايير الثلاثة الرئيسية ، هناك مجموعة من الخيارات الأخرى المتاحة في Wordfence. حماية القوة الغاشمة رائعة ، وتعمل المصادقة ذات العاملين مثل السحر.
ما أدى بالفعل إلى رفع عدد من المكوّنات الإضافية كان قابليته للاستخدام الرائع. يعد Wordfence مكونًا إضافيًا للأمان معقدًا ، ولكنه سهل الوصول إليه أيضًا بالنسبة للمبتدئين. الطريقة التي يتم بها تصميم لوحة المعلومات ، مع النصائح والوثائق المصاحبة ، يمكن لأي شخص تكوين المكون الإضافي للأمان ، دون جعل موقعه غير قابل للاستخدام عن طريق الخطأ. هذه إضافة كبيرة في رأينا ، خاصة عند مقارنتها بـ Sucuri ، كما سترى لاحقًا.
من المدهش أن Wordfence لا يحتوي على سجل نشاط ، والذي اعتقدنا أنه غريب جدًا. لكن السبب الحقيقي هو أنه بالوعة الموارد. أدت كل عملية فحص أجريناها على موقعنا إلى انخفاض كبير في استخدام القرص وأداء موقع الويب. ولهذا السبب قام العديد من مضيفي الويب بحظر Wordfence.
باختصار ، يعد Wordfence مكونًا إضافيًا للأمان ممتازًا ، ولكن به ثغرات خطيرة. على الرغم من كل الفوائد التي يتمتع بها ، ولا توجد عيوب فيه ، فإن MalCare هو الطريق الصحيح.
سوكوري باختصار
لدى Sucuri جدار حماية جيد وكانت خدمة إزالة البرامج الضارة الخاصة بهم رائعة. لكن برنامج فحص البرامج الضارة فشل في اكتشاف أي برامج ضارة ، على الرغم من قيام فريقهم بإزالتها لاحقًا. المكون الإضافي للأمان بدون وجود ماسح ضوئي للبرامج الضارة غير فعال.
Sucuri هو المكون الإضافي الوحيد الآخر الذي لديه أي فرصة ليتم اعتباره جنبًا إلى جنب مع MalCare و Wordfence ، لأنه يعمل على الأقل كمكوِّن إضافي للأمان في بعض الأحيان. تم شطب Jetpack و iThemes.
يمكن القول إنها واحدة من أكثر المكونات الإضافية للأمان شيوعًا ، لكنها لا تزال تفشل في مجال أساسي: فحص البرامج الضارة. كما سنرى لاحقًا ، فإن خدمة إزالة البرامج الضارة الخاصة بهم هي الأفضل. لقد كانوا فعالين وسريعين ، ويعودون إلينا قبل أن نتوقع ويقومون بعمل جيد في تنظيف الموقع. ومع ذلك ، إذا لم يكن موقع الويب التجريبي الذي أنشأناه وحشوناه ببرامج ضارة ، فلن نعرف أبدًا أنه مصاب في المقام الأول لأن الماسح الضوئي أعطانا ملفًا نظيفًا للقرصنة. لذلك ، في الواقع ، تعتبر Sucuri حالة كلاسيكية لوضع العربة أمام الحصان. يجب أن تعرف أن الموقع قد تم اختراقه لتنظيفه ، ولكن لا توجد طريقة لمعرفة أنه تم اختراقه باستخدام الماسح الضوئي Sucuri.
للمضي قدمًا ، كان أداء جدار الحماية جيدًا. لقد أبقت الهجمات مثل حقن SQL وهجمات تنفيذ التعليمات البرمجية عن بُعد بسهولة وثبات. لكنه كان كابوسًا. نظرًا لأننا نستخدم مواقع الاختبار ، فقد كان هناك الكثير من المتاعب في تغيير خوادم الأسماء للإشارة إلى عناوين IP لجدار الحماية الخاص بـ Sucuri بدلاً من موقع الويب التجريبي الخاص بنا. إذا لم يكن أي من تلك الجملة الأخيرة منطقيًا ، فلا بأس بذلك. استغرق الأمر منا الأعمار لتكوينه أيضًا. لكي نكون منصفين ، لن تواجه مثل هذه الصعوبة على مواقعك الحية ، ولكن إذا كنت تريد تهيئتها إلى موقع مرحلي أو موقع محلي؟ توقع المشاكل.
لقد شعرنا بالإحباط بالفعل من جدار الحماية ، عندما نظرنا إلى خيارات التكوين الأخرى. لماذا كل شيء معقد جدا؟ اللغة محيرة ، وفي بعض الحالات ، تنازلي صريح. وذلك قبل أن ندرك أن كل فحص أمني يبطئ مواقع الاختبار الخاصة بنا. عندما تحققنا من استخدام قرص الخادم ، كان هناك زيادة مقلقة.
يستخدم Sucuri موارد الموقع للبحث عن البرامج الضارة — ماسح ضوئي لا يعمل ، تذكر. لذلك لا يفعل ما يفترض به ، ولا يزال يحطم أداء الموقع. ليست نظرة رائعة لـ Sucuri.
ما هو المكون الإضافي للأمان الذي يستحق أموالك؟
نصائح الأمان في WordPress كثيرة وحسنة النية ، لكنها غالبًا ما تكون نصيحة سيئة. لقد رأينا أشخاصًا يدافعون عن iThemes - أحد أسوأ المكونات الإضافية للأمان التي رأيناها على الإطلاق - لأنه لم يتم اختراق مواقع الويب الخاصة بهم مطلقًا ، مما يقلل تمامًا من حقيقة أنهم يقومون بتحديث المكونات الإضافية بانتظام ، ويستخدمون كلمات مرور جيدة ، ولا يستخدمون برامج فارغة ، ولديهم جرعة كبيرة من الحظ. إذا كان بإمكان GoDaddy أن يكون لديه خرق للبيانات ، فإن موقع الويب الخاص بك يمكن أن يحدث أيضًا.
جوهر الأمر هو كيفية اختيار مكون إضافي للأمان جيد. قمنا بتجميع قائمة أساسية للتخلص من الأشياء التي لا تتعلق بالأمن.
- ميزات الأمان الأساسية
- فحص البرامج الضارة
- تنظيف البرامج الضارة
- جدار الحماية
- ميزات أمان جيدة
- كشف الضعف
- حماية تسجيل الدخول باستخدام القوة الغاشمة
- سجل النشاطات
- توثيق ذو عاملين
- المشاكل المحتملة
- التأثير على موارد الخادم
كما ترى ، هناك 3 ميزات أساسية فقط يجب أن تقلق بشأنها. يجب أن يكون المكون الإضافي للأمان رائعًا في هذه الأشياء الثلاثة: فحص البرامج الضارة وتنظيف البرامج الضارة وجدار الحماية. كل شيء آخر هو صلصة. نحن لا نتخلى عن حماية القوة الغاشمة أو المصادقة ذات العاملين ، لأنهما مهمان أيضًا. ولكن يمكنك الحصول على مكونات إضافية أخرى لهذه الوظيفة.
MalCare هو المكون الإضافي الوحيد للأمان الذي يحتوي على إمكانيات كبيرة في مسح البرامج الضارة وتنظيفها ، وجدار حماية متقدم يمنع التهديدات. فشل كل مكون إضافي في مكان أو آخر.
Sucuri مقابل Wordfence: مقارنة الميزات وجهاً لوجه
يمكن أن يكون اختيار المكون الإضافي للأمان المناسب تجربة محيرة ، خاصة عندما يتعين عليك اختبار كل واحد من أجل الفعالية ، على أمل أن يعمل طوال الوقت.
في هذا القسم ، قدمنا نتائج الاختبار الخاصة بنا مرتبة حسب الميزة. تعطي مقارنة ومقارنة نفس الميزات عبر المكونات الإضافية صورة أوضح لفعالية المكون الإضافي للأمان.
لقد أوضحنا نتائجنا بأكبر قدر ممكن من الإنصاف والشفافية ، بهدف مساعدة الأشخاص على اتخاذ خيار أفضل لمواقعهم على الويب. ومع ذلك ، إذا كنت ترغب في تأمين مواقع الويب الخاصة بك بسرعة ، فقم بتثبيت MalCare بدلاً من ذلك وانتقل إلى النهاية.
فحص البرامج الضارة
لدى Sucuri ماسحان ضوئيان: أحدهما عبر الإنترنت يسمى SiteCheck والآخر على مستوى الخادم يعد جزءًا من المكون الإضافي. كلاهما لم يكتشف البرامج الضارة. يحتوي Wordfence على ماسح ضوئي مناسب للبرامج الضارة ، والذي يمكنه اكتشاف البرامج النصية الضارة في الملفات والمجلدات الأساسية ، وتلك الموجودة في المكونات الإضافية والسمات المجانية. خلاف ذلك ، فقد البرامج الضارة في قاعدة البيانات والمكونات الإضافية والسمات المتميزة.
غالبًا ما نوصي باستخدام Sucuri SiteCheck باعتباره تشخيصًا من المستوى الأول للبرامج الضارة ، في حالة اشتباه شخص ما في اختراق WordPress الخاص به. لا يمكنه فحص موقع الويب بالكامل ، ولكن يمكنه تحديد الإصابات بالبرامج الضارة الشائعة بسرعة ، ودون الحاجة إلى تثبيت مكون إضافي لغرض صريح.
كانت لدينا توقعات أكبر من الماسح على مستوى الخادم ، مع الأخذ في الاعتبار أنه سيكون له حق الوصول الكامل إلى موقع الويب. يختلف التثبيت قليلاً مقارنة بالمكونات الإضافية الأخرى ، لأن الماسح الضوئي يحتاج إلى التثبيت على خادم الويب الخاص بك. يمكن القيام بذلك يدويًا ، أو عن طريق وضع تفاصيل FTP على لوحة القيادة الخاصة بك. انتهينا من التثبيت وانتظرنا اكتمال الفحص.
بعد وقت طويل ، تم الانتهاء من الفحص وكان موقع الويب الخاص بنا المليء بالبرامج الضارة على ما يبدو خاليًا من الاختراقات. شغّل الفحص مرة ثانية لمعرفة ما إذا كان هناك خطأ في المرة الأولى. كلا ، لا يوجد برامج ضارة حتى الآن وفقًا لـ Sucuri. فشل كبير.
عند التثبيت ، يتم إعداد Sucuri للتشغيل مرة واحدة يوميًا ، ولكن يمكنك طلب عمليات الفحص عند الطلب. يتم وضع الطلبات في قائمة الانتظار ثم تنفيذها بناءً على التوافر. سيحذرك المكون الإضافي نفسه من أن فحص موقع الويب الخاص بك سيستخدم موارد الخادم ، وبالتالي يؤثر على أداء موقع الويب الخاص بك. بصراحة ، هذا أمر مروع لأن الأمان لا ينبغي أن يأتي على حساب الأداء وتجربة المستخدم. سوف ندخل في ذلك بمزيد من التفصيل في قسم آخر.
يقوم Wordfence أيضًا بإجراء فحص تلقائيًا عند التثبيت. كان هناك القليل من الالتباس هنا ، لأننا افترضنا أن دائرة النسبة المئوية على لوحة القيادة هي تقدم الماسح. بعد أن رأينا أنه لم يتجاوز 60٪ لبضع ساعات ، نظرنا عن كثب وأدركنا أنه مقياس لكفاءة الماسح الضوئي. للوصول إلى 100٪ ، تحتاج إلى ترقية البرنامج المساعد.
أعد تشغيل الماسح الضوئي لقياس الوقت المستغرق ، ولأن مواقع الاختبار الخاصة بنا صغيرة ، تم عمل الماسح في أقل من دقيقة. هذا بالتأكيد زائد. كانت نتائج الفحص أعلى من المتوسط ، ولكنها ليست مثالية ، لأنها اكتشفت معظم البرامج الضارة ، وليس كلها.
والسبب في ذلك هو أن Wordfence يستخدم مطابقة التوقيع لاكتشاف البرامج الضارة. هذا يعني أن ماسح Wordfence يقارن كود موقع الويب الخاص بك بقاعدة بيانات لتوقيعات البرامج الضارة. إذا كان هناك تطابق ، يقوم الماسح بوضع علامة عليه كبرنامج ضار. على الرغم من أن Wordfence يحتوي على قاعدة بيانات هائلة للبرامج الضارة ، والتي يتم تحديثها بانتظام بناءً على أبحاث الأمان الخاصة بهم ، إلا أنه لا يمكن أن يكتمل بنسبة 100٪ لأن الفريق سيحتاج إلى رؤية البرامج الضارة لتحديثها في قاعدة البيانات ، وبغض النظر عن البحث الشامل ، الجديد تظهر البرامج الضارة في كل وقت
لذلك ، فإن Wordfence بارع في التقاط البرامج الضارة الموجودة في ملفات ومجلدات WordPress الأساسية ، بالإضافة إلى البرامج النصية الضارة في المكونات الإضافية والسمات المجانية. لكنه لا يمكنه اكتشاف البرامج الضارة في البرامج المتميزة ، مثل Elementor على سبيل المثال ، لأنهم لا يستطيعون الوصول إلى الكود المصدري للتحليل. للسبب نفسه ، فشل Wordfence أيضًا في اكتشاف البرامج الضارة في قاعدة البيانات ، لأن ذلك يتطلب آلية تتجاوز مطابقة التوقيع لاكتشافها.
ومع ذلك ، اكتشف Wordfence جميع البرامج الضارة المستندة إلى الملفات لدينا. حسب تقديرنا ، فإنه قادر على اكتشاف 70 إلى 80٪ من البرامج الضارة. إنه عرضة للإيجابيات الكاذبة أيضًا ، ويميل إلى إنشاء الكثير من التنبيهات. سنصل إلى ذلك في قسم منفصل أيضًا.
تنظيف البرامج الضارة
يحتوي Wordfence على ميزة الإصلاح التلقائي لتنظيف البرامج الضارة ، ولكن فعاليتها قابلة للنقاش بالنسبة للبرامج الضارة الأكثر تعقيدًا. لديهم خدمة متميزة لإزالة البرمجيات الخبيثة ولكن يمكنها إحداث فجوة في الجيب بسعر 490 دولارًا لكل موقع. من ناحية أخرى ، لدى Sucuri خدمة تنظيف يدوية غير محدودة للبرامج الضارة مضمنة في جميع خططها.
على الرغم من أن ماسح Sucuri قال إن موقعنا لا يحتوي على برامج ضارة - وهو ما حدث بالتأكيد - فقد طلبنا تنظيفًا ، ولم نتوقع الكثير. ومع ذلك ، عاد الموقع إلينا نظيفًا. قمنا بتشغيله من خلال MalCare للتحقق. الغريب ، بعد قيام فريق Sucuri بتنظيف موقعنا ، حدد الماسح وجود برامج ضارة عليه. من الواضح أن هناك خطأ في مكان ما.
كانت خدمة إزالة البرامج الضارة سريعة جدًا. على الرغم من أن خطتنا ضمنت الرد في غضون 30 ساعة ، فقد أعدنا موقعًا نظيفًا في أقل من 10. هذا رائع. التحذير الوحيد الذي نود الإشارة إليه هو أنه عندما يكون لديك موقع ويب تم الاستيلاء عليه ، يكون الوقت جوهريًا. لا يمكنك تحمل وجود برامج ضارة على موقع الويب الخاص بك لفترة طويلة. فقط للتأكيد على أهمية التصرف بسرعة ، تقيس قائمة Google السوداء أيضًا وقت استجابتك لإخطارات البرامج الضارة.
لإزالة البرامج الضارة ، تحتاج إلى طلب تنظيف من Sucuri. املأ نموذجًا بجميع المعلومات التي يمكنك تقديمها ، وسيتولى الفريق المسؤولية من هناك. تلقينا رسالة من Sucuri تحتوي على قائمة مراجعة لما بعد الاختراق مع توصيات رائعة. بشكل عام ، فإن ميزة تنظيف البرامج الضارة باستخدام Sucuri هي ميزة رائعة.
يحتوي Wordfence على خيارين للتعامل مع الملفات التي تم اختراقها على لوحة القيادة: حذف جميع الملفات القابلة للحذف وإصلاح جميع الملفات القابلة للإصلاح. هذا بصرف النظر عن CTA الذي يقترح علينا اختيار خدمة التنظيف الخبيرة الخاصة بهم.
لقد جربنا كلا الخيارين ، وكلاهما نجح إلى حد ما في إزالة البرامج الضارة من موقعنا على الإنترنت. تكمن المشكلة في أن الإزالة التلقائية تسبقها تحذيرات رهيبة من تعطل الموقع بسبب التغييرات.
تم نسخ مواقع الاختبار الخاصة بنا احتياطيًا على BlogVault ، وبصراحة لم نكن قلقين بشأن كسرها. بينما كنا قادرين على العمل دون الكثير من التفكير ، فذلك لأننا كنا مهتمين باختبار ميزة الإصلاح. ومع ذلك ، ستكون الحالة مختلفة تمامًا ، على سبيل المثال ، لمتجر التجارة الإلكترونية لشخص ما أو موقع ويب عالي الحركة.
في سلسلة الاختبار الخاصة بنا ، عادة ما نتوقف عند هذه النقطة لأن معظم مكونات الأمان الإضافية الأخرى فشلت. قام Wordfence بتنظيف جميع البرامج الضارة المستندة إلى الملفات من موقعنا على الويب ، لذلك جربنا الميزة مع البرامج الضارة لقاعدة البيانات وبعض المكونات الإضافية المتميزة الخاصة بنا. لم يكن الماسح الضوئي قادرًا على اكتشاف الكثير من البرامج الضارة ، وبالتالي لم يكن الإصلاح التلقائي حتى خيارًا.
كان البديل الآخر هو طلب إزالة البرامج الضارة. تهدف الخدمة إلى إزالة البرامج الضارة والأبواب الخلفية وإجراء تدقيق أمني للموقع وتقييم نقاط الضعف. في حالة وصول موقعك إلى قائمة سوداء ، سيساعدك Wordfence في التخلص من ذلك أيضًا. الخدمة مضمونة لمدة عام ، رهنا بما إذا كان مسؤول الموقع قد اتبع توصيات ما بعد الاختراق حرفيا. يرجى ملاحظة ما يلي: لا يمكننا التحدث عن فعالية خدمة إزالة البرامج الضارة في Wordfence ، لأننا لم نجربها.
من ناحية أخرى ، استخدمنا MalCare لإزالة جميع البرامج الضارة تلقائيًا ، وتمكنا من القيام بذلك دون مشكلة. لا توجد تحذيرات رهيبة ، ولا برامج ضارة مفقودة ، وكان موقعنا نظيفًا للغاية في دقائق. هذا هو نوع تنظيف البرامج الضارة الذي نريده لموقعنا على الويب.
جدار الحماية
يتمتع كل من Sucuri و Wordfence بجدران حماية رائعة تحجب التهديدات الأكثر شيوعًا والأكبر. لكن جدار الحماية الخاص بـ Sucuri كان كابوسًا للتثبيت ، وجدار الحماية المجاني لـ Wordfence يحصل على تحديثات في وقت متأخر عن الإصدار المتميز بشكل مثير للقلق.
منع جدار الحماية Sucuri الهجمات مثل حقن SQL والحقن عن بعد وهجمات البرمجة النصية عبر المواقع. يحتوي موقع الويب التجريبي الخاص بنا على الكثير من نقاط الضعف ، مثل تحميلات الملفات غير الآمنة على سبيل المثال ، وظل آمنًا خلف جدار الحماية.
كانت مشكلتنا مع جدار الحماية Sucuri هي تثبيته. لاستخدام جدار الحماية ، تحتاج إلى توجيه حركة المرور الخاصة بك إلى خوادم الأسماء الخاصة بهم ، بحيث يتم تصفية حركة المرور السيئة ويتم إرسال حركة المرور الجيدة فقط إلى موقع الويب الخاص بك. فكرة ممتازة ، ولكن يا له من كابوس لتكوينه. لم تكن مواقع الاختبار الخاصة بنا مرتبطة بأي مسجلي نطاقات ، لذلك كان علينا الاستعانة بالفريق الهندسي لمعرفة ذلك.
يعمل جدار الحماية الخاص بـ Wordfence أيضًا خارج الصندوق ، ويمنع الهجمات بنجاح.
مباشرة بعد التثبيت ، انتقل جدار الحماية إلى وضع التعلم. أوصى Wordfence بأن نترك وضع التعلم قيد التشغيل لمدة أسبوع. هذا أمر عادل ، لأن جدران الحماية تحتاج إلى حركة مرور حية لتتعلم كيف تكون فعالة. ومع ذلك ، نظرًا لعدم وجود حركة مرور مباشرة إلى مواقع الويب التجريبية الخاصة بنا ، فقد رأينا جدوى صغيرة في الانتظار لمدة أسبوع وقمنا بإيقافها على الفور.
باستخدام Wordfence ، من المفترض أن يكون جدار الحماية المجاني فعالاً بنسبة 35٪ فقط. هذا ليس افتراضًا من جانبنا ، ولكنه موجود بالفعل على لوحة القيادة. لقد حفرنا أعمق قليلاً لمعرفة سبب حدوث ذلك. هناك سببان:
أولاً: يتم تحميل جدار الحماية المجاني مثل البرنامج المساعد ، بعد انتهاء WordPress. يؤثر ترتيب التحميل على الأمان بشكل كبير ، لأنه إذا تم تحميل جدار الحماية بعد نواة WordPress ، فهذا يعني أنه يمكنه استبعاد بعض حركة المرور الضارة فقط ، وليس كلها.
ثانيًا: بينما يحتوي Wordfence على أحدث جدار حماية ، يتلقى الإصدار المتميز هذه التحديثات في الوقت الفعلي. ومع ذلك ، يتلقى الإصدار المجاني تحديثات بعد فترة زمنية غير محددة. ليس لدينا طريقة لمعرفة ماهية التأخير ، لكنه قد يمثل مشكلة. يمكن للقراصنة أن يضربوا النافذة بعد كل شيء.
أكبر هدية هي أن Wordfence نفسها صنفت جدار الحماية المجاني بنسبة 35٪ مقارنة بالإصدار المتميز. ليس عظيما.
كشف الضعف
قام Wordfence بعمل رائع في اكتشاف جميع نقاط الضعف على موقعنا. أخطأ سوكوري الأشخاص الغامضين تمامًا.
لقد تأثرنا برؤية Wordfence ينبهنا إلى جميع المكونات الإضافية القديمة باعتبارها تهديدات متوسطة. تم وضع علامة على الثغرات الأمنية بشكل صحيح على أنها تهديدات خطيرة. تعثرت المكونات الإضافية الأمنية الأخرى في المكونات الإضافية والسمات الأكثر غموضًا ، ولم تنبهنا على الإطلاق إلى نقاط الضعف الخطيرة مثل البرمجة النصية عبر المواقع في حالة واحدة. لذلك جاء Wordfence ينسق هنا.
لا يمكن إصلاح الثغرات الأمنية مباشرة من لوحة معلومات Wordfence ، لكن هذا منطقي. يعني إصلاح الثغرات بشكل أساسي تحديث المكون الإضافي أو السمة ، وهذه الوظيفة متاحة بالفعل بسهولة على wp-admin. ما لم يكن لدى Wordfence انحدار مرئي مثل MalCare للتأكد من أن التحديث لا يكسر الموقع ، فلا فائدة من تكرار ميزة موجودة.
ألقى Wordfence أيضًا أخطاء في iThemes و Backupbuddy. هذا يدل على ميلهم إلى الإبلاغ عن الإيجابيات الكاذبة على الموقع.
اكتشف Sucuri جميع الثغرات الأمنية باستثناء أكثرها غموضًا على مواقع الاختبار الخاصة بنا. يمكنك تحديث برامجك القديمة من لوحة معلومات Sucuri ، على عكس Wordfence. لا نرى الأداة المساعدة حقًا ، نظرًا لأن التحديثات ممكنة بسهولة من خلال wp-admin.
تسرد علامة التبويب ما بعد الاختراق إصدارات المكونات الإضافية والسمات المثبتة ، إلى جانب أحدث إصداراتها. يحذر Sucuri من الاستمرار في استخدام البرامج القديمة لأنها قد تؤدي إلى الإصابة بالبرامج الضارة.
ومن المثير للاهتمام ، أنه حتى خدمة إزالة البرامج الضارة من Sucuri كانت قادرة فقط على اكتشاف بعض نقاط الضعف على موقعنا. نظرًا لتجربتنا مع الماسح الضوئي ، اعتقدنا أن خدمة الإزالة ستؤدي وظيفة أفضل في اكتشاف الثغرات الأمنية. لا يبدو أن هذا هو الحال.
حماية تسجيل الدخول باستخدام القوة الغاشمة
يقوم Wordfence بعمل ممتاز في منع جميع هجمات القوة الغاشمة. لا يبدو أن ميزة حماية تسجيل الدخول الخاصة بـ Sucuri تعمل.
يتم تمكين الحماية من القوة الغاشمة افتراضيًا في Wordfence. إنه يعمل بشكل مثالي في كل مرة ، ويقفل المستخدمين بعدد كبير جدًا من المحاولات غير الصحيحة ، بناءً على التكوين الذي قمنا بتعيينه على لوحة القيادة.
ستجد الإعدادات في قسم جدار الحماية. هناك الكثير من الأشياء التي يمكن تخصيصها في قائمة الخيارات: ضبط عمليات الإغلاق لمحاولات تسجيل الدخول غير الصحيحة ؛ كم من الوقت سيختبر المستخدم الإغلاق ؛ وهلم جرا. الخيارات ليست مربكة ، ويشرح Wordfence كل منها بشكل مقنع وبتوثيق رائع.
يمكنك تعيين خيارات إدارة كلمات المرور هنا أيضًا ، مع التأكد من فرض كلمات مرور قوية ، ومنع استخدام كلمات المرور المكتشفة في خرق البيانات.
من الممكن إضافة عناوين IP إلى القائمة البيضاء في هذا القسم ، لكننا متناقضون بشأن فعاليتها. تتميز عناوين IP الخاصة بالجهاز بأنها ديناميكية ، لذا فإن وجود قائمة السماح لا يضمن عدم قفل المستخدم الشرعي.
لم تنجح حماية القوة الغاشمة لـ Sucuri كما هو متوقع. لم نواجه أي إغلاق ، ولم يكن هناك اختبار captcha للتأكد من أننا بشر ولسنا روبوتات. لم نحصل على تنبيهات ، على الرغم من ظهور الهجمات في سجلات التدقيق. بشكل عام ، كانت الميزة باهتة.
لا تعتقد أن رؤية خيارات التكوين على لوحة القيادة بالرغم من ذلك. كان هناك الكثير من الخيارات ، كنا نترنح بعد نقطة. بشكل عام ، نفضل خيارات أقل بميزة تعمل ، بدلاً من العكس.
سجل النشاطات
لدى Sucuri سجل تدقيق ، ولكن قد يكون من الصعب فهمه. لا يحتوي Wordfence على سجل نشاط.
لدى Sucuri سجل تدقيق يتتبع جميع إجراءات المستخدم ، وتغييرات المكون الإضافي والقالب. ستعرض السجلات جميع التغييرات التي تم إجراؤها على الملفات والجداول ، وهذا أمر جيد.
تحتوي السجلات على معلومات ضرورية مثل المستخدم ، والإجراء ، والطابع الزمني ، وما إلى ذلك. ولكن في بعض الحالات ، يصعب فهم الإدخالات. على سبيل المثال ، لاختبار السجلات ، قمنا بتثبيت مكون إضافي للمعرض. تظهر الإدخالات الناتجة في سجل التدقيق 7 تغييرات مختلفة. لم يكن واضحًا من الإدخالات ماهية التغيير ، أو سبب حدوثه ، أو من المسؤول. لذلك ، يكون سجل التدقيق بجوار أي شخص لا يتحدث لغة السوكوري عديم الفائدة.
لقد فوجئنا برؤية أن Wordfence ليس لديه سجل نشاط ، مع الأخذ في الاعتبار أنه أحد ركائز أمان موقع الويب. هناك خيار لتمكين تصحيح الأخطاء في قسم التشخيص من قائمة الأدوات ، والذي يتسبب في أن تصبح سجلات جدار الحماية أكثر تفصيلاً ، ولكن هذا ليس نفس الشيء مثل سجل النشاط.
بعد الكثير من البحث ، اكتشفنا سجل نشاط مخصصًا لأحداث Wordfence في قسم الفحص. إنه سجل خام ، من الواضح أنه مخصص لمطوري Wordfence فقط.
توثيق ذو عاملين
يحتوي Wordfence على ميزة مصادقة ثنائية رائعة. لا يدعمها Sucuri على موقع الويب الخاص بك.
تعمل مصادقة Wordfence ذات العاملين خارج الصندوق ، مع مجموعة سهلة من الخيارات لتخصيص التجربة. اعتادت أن تكون ميزة متميزة ، ولكن تمت إضافتها منذ ذلك الحين إلى المكون الإضافي المجاني أيضًا.
لا يدعم Sucuri المصادقة ذات العاملين لموقع الويب الخاص بك ، ولكن يمكنك تأمين حساب Sucuri الخاص بك به.
استخدام موارد الخادم
يعتبر كل من Sucuri و Wordfence خنازير للموارد. لقد رأينا إشارات ضوئية واضحة في استخدام القرص مع عمليات الفحص وبسبب جدار الحماية.
هذا أحد العوامل حيث لا يوجد شيء للاختيار بين Wordfence و Sucuri: كلاهما قاما بنفس السوء.
كل إجراء منفرد تؤديه هذه المكونات الإضافية على موقع الويب الخاص بك يستهلك موارد الخادم. مواقع الويب الخاصة بنا صغيرة نسبيًا ، وقد رأينا استخدام القرص يتضاعف وأحيانًا يتضاعف ثلاث مرات عند إعداد عمليات الفحص. وقد أثر ذلك على وقت التحميل ووقت الاستجابة والتجربة الكلية على الموقع.
إذا كان لديك موقع ويب WooCommerce ، أو موقع به حركة مرور عالية ، فسيكون هذا التأثير ملحوظًا لمستخدميك. إذا كنت تستخدم استضافة مشتركة ، فسيقوم مضيف الويب الخاص بك برفع الأعلام ومن المحتمل أن تزيد نفقات الاستضافة الخاصة بك. في الواقع ، حظر العديد من مضيفي الويب Wordfence لهذا السبب بالذات.
بينما نادرًا ما يتحدث الناس عن موارد الخادم عند مناقشة الأمان ، إلا أنه عامل مهم. لا ينبغي لأحد أن يتنازل عن الأداء أو الأمن. من الممكن تمامًا تحسين كليهما.
لكن ليس مع Sucuri أو Wordfence. لذلك ، ستحتاج إلى MalCare.
تنبيهات
تشتهر كل من Sucuri و Wordfence بتنبيهات لا حصر لها وإيجابيات كاذبة.
نحن نؤمن إيمانا راسخا بأخذ العبء عن عملائنا عندما يتعلق الأمر بإدارة WordPress. يجب أن تمنع جدران الحماية حركة المرور بهدوء. يجب أن تعمل الحماية من الروبوتات خارج منطقة الجزاء. يجب تنبيه المسؤول فقط إذا كان هناك شيء يحتاج إلى اهتمامه وعمله. يجب أن يكون أمان WordPress خاليًا من الإجهاد وسهلاً ، وإلا ما الهدف من المكون الإضافي للأمان؟
يبدو أن لا Sucuri ولا Wordfence يشتركان في هذه المدرسة الفكرية ، لأن تنبيهاتهما ساحقة. غمرت صناديق البريد الوارد الخاصة بنا في أي وقت من الأوقات على الإطلاق. يعد وجود عدد كبير جدًا من التنبيهات أمرًا سيئًا مثل عدم وجود تنبيهات ، لأن كلاهما يؤدي في النهاية إلى عدم اتخاذ أي إجراء عند الضرورة.
التثبيت والتكوين وسهولة الاستخدام
تم تصميم Wordfence ليكون مباشرًا جدًا للمستخدم المبتدئ. سوكوري ليس كذلك.
يعد تثبيت Wordfence وتكوينه واستخدامه بشكل عام من أفضل ما رأيناه على الإطلاق. هناك إرشادات حول كل قسم رئيسي ، تشرح أهم الإعدادات والميزات بلغة بسيطة غير مهددة.
يحتوي Wordfence على توصيات رائعة للتكوين. يمكن الوصول إلى وثائقهم من تلميحات الأدوات الموجودة على لوحة القيادة ، مما يجعلها سياقية للغاية. يتم شرح كل ميزة بوضوح ، ويمكن الوصول على الفور إلى إرشادات حول كيفية جعلها تعمل على موقع الويب الخاص بك.
قد تبدو هذه أشياء غريبة للإشارة إليها. ومع ذلك ، إذا كنت قد جربت Sucuri من قبل ، فأنت تدرك أن سهولة الفهم جزء غير تافه من أي تجربة مستخدم. في الواقع ، إذا كان علينا وصف سوكوري بكلمة واحدة ، فإن هذه الكلمة ستكون محيرة.
كان تثبيت Sucuri سهلاً ، وانحدر من هناك. لاستخدام الماسح الضوئي من جانب الخادم وجدار الحماية ، يجب عليك تكوينهما يدويًا. هناك العديد من الخيارات التي قضيناها ساعات في محاولة فهمها ، بالإضافة إلى معرفة ما إذا كان لها أي تأثير حقيقي على الأمن.
بشكل عام ، هذان الملحقان موجودان على طرفي نقيض من الطيف.
Wordfence: إضافات
Wordfence هو أمان صارم. لا توجد ميزة أو خيار أو خط واحد مجاور للأمان ، مثل التحديثات أو خيارات إدارة المستخدم. على الرغم من ذلك ، هناك العديد من الإضافات.
كان هناك قسم إشعارات لتحديثات الموقع ، والذي أظهر لنا المكونات الإضافية والسمات التي يجب تحديثها حسب الأولوية لأنها كانت إما تهديدات خطيرة أو متوسطة.
يحتوي Wordfence على لوحة تحكم خارجية لإدارة مواقع متعددة على نفس الحساب تسمى Wordfence Central. يحتوي أيضًا على قسم مصاحب في wp-admin لكل موقع متصل أيضًا ، ومن المفترض أن يكون لديك نظرة شاملة لكل موقع بغض النظر عن الموقع الذي تعمل عليه حاليًا. في رأينا ، هذا ذو فائدة محدودة ولن يعمل مع الوكالات التي لديها مئات المواقع المدارة.
بعد ذلك نظرنا إلى قسم الأدوات. هناك قسم لحركة المرور المباشرة ، والذي يبدو أنه يكرر Google Analytics ، ولكنه كان أكثر من ذلك. تصنف هذه السجلات حركة المرور باستخدام مفتاح لمعرفة نوع حركة المرور التي يتلقاها موقع الويب: إنسان ، روبوت ، تحذير ، محظور.
يوجد خيار بحث Whois ، في حالة رغبتك في معرفة من هو المهاجم دون مغادرة wp-admin. مرة أخرى ، هذه ميزة عرضية في أحسن الأحوال.
كنا نظن أن التشخيصات كانت ممتعة حقًا ، حيث تحتوي على الكثير من المعلومات حول موقع الويب. كل شيء دقيق للغاية هناك ، من مالكي العمليات إلى جداول قاعدة البيانات. سيجد المطورون هذه المعلومات مفيدة إلى حد كبير ، لأنها تشبه مواصفات موقع الويب كلها في مكان واحد.
سوكوري: إضافات
لدى Sucuri الكثير من الرتوش والأشكال الإضافية في البرنامج المساعد الخاص بهم. ما إذا كان لأي منها تأثير على الأمن هو أمر آخر تمامًا.
أول شيء ستراه عند التثبيت هو صندوق معلومات تكامل WordPress. إنها حقًا نسخة خيالية من مراقب تغيير ملف WordPress الأساسي. من الواضح أنه من المفيد إلى حد ما أن يكون لديك جهاز مراقبة لتغيير الملفات لملفات WordPress الأساسية ، لكن الفعالية ليست بالقدر الذي تم التوصل إليه. يمكن للقراصنة تغيير البيانات الوصفية للملفات ، مثل تحديث الطوابع الزمنية ، للتغلب على هذه الإجراءات. لذا نعم مفيد ، لكن ليس كثيرًا.
هناك أداة مساعدة لمقارنة النزاهة لمقارنة الملفات الأساسية على موقع الويب مع تثبيت WordPress الأصلي. إنه بالتأكيد أسهل من استخدام برنامج عبر الإنترنت ، إذا كنت تنظف البرامج الضارة يدويًا - وهو ما لا نوصي به على الإطلاق.
يحتوي Sucuri على الكثير من ميزات تقوية WordPress. يحمي حظر PHP في مجلد التحميلات من فئة واحدة من الاختراقات ، ونحب القدرة على تغيير أملاح WordPress بسرعة من لوحة القيادة. كان يمكن القيام به بشكل أفضل بالرغم من ذلك. إذا كانت الميزة موجودة على لوحة القيادة الخارجية لـ Sucuri بدلاً من wp-admin ، لكانت أكثر أمانًا. تخيل أن أحد المتسللين قد تمكن من الوصول إلى wp-admin ، فسيتم اختراق الأملاح بسهولة لأنها في نص عادي.
بعض الخيارات الأخرى ذات فائدة محدودة ، مثل التحقق من إصدار WordPress ، وإزالة إصدار WordPress ، وتجنب تسرب المعلومات ، والتحقق من حساب المسؤول الافتراضي. لا معنى لها من منظور أمني.
كانت ميزات تصلب أخرى مربكة. على سبيل المثال ، إذا أردنا تعطيل البرنامج المساعد ومحرر القوالب ، فكيف يمكننا تحديث المكونات الإضافية والسمات التي بها نقاط ضعف؟ نتائج عكسية على أقل تقدير.
The password management feature held some promise, but the warning would terrify all but the most brave: “Select users from the list in order to change their passwords, terminate their sessions and email them a password reset link. Please be aware that the plugin will change the passwords before sending the emails, meaning that if your web server is unable to send emails, your users will be locked out of the site.”
What's missing from Wordfence and Sucuri
Sucuri doesn't have a good malware scanner. The brute force login protection doesn't work, and it takes up too much of server resources. There is no bot protection either, and you would need a separate plugin for two-factor authentication.
Wordfence misses out on bot protection and an activity log. The scanner is above average; definitely a cut above the other security plugins available apart from MalCare. Apart from these things, it is an exceptional security plugin.
Wordfence vs Sucuri: Pricing
Sucuri's plans start at $199.99 a year per site, which is a great deal for unlimited malware removal. The firewall works well, but the scanner is a let down. Wordfence premium plans are at $99 for the year per site, with attractive bulk pricing options. However, our opinion is that the free version is almost as good as the premium version.
Sucuri is a winner when it comes to the unlimited malware removal feature. The support team was great, with a quick turnaround time, helpful response and a proactive post-hack checklist. But the malware scanner was a complete failure, and that's not a small flaw to overlook.
The free version of Wordfence is strong enough to stand on its own. The premium version is not all that different, the efficiency percentages on the dashboard notwithstanding. The real expense to consider with Wordfence is the cleaning service at $490 a pop, over and above the site license. If you are considering Wordfence seriously, read the fine print. Although they say unlimited pages, there are additional charges for sites above 10 GB. They guarantee the service for a year, but there are terms and conditions. None of this is unreasonable, but it is important to be aware before taking the plunge.
Better alternative to Wordfence and Sucuri: MalCare
The best security plugin for your website isn't Wordfence or Sucuri, it is MalCare. It has an excellent scanner that detects malware in all parts of your website: core WordPress, files and the database. Additionally, the auto-clean feature removes all malware surgically, without breaking your website.
MalCare has an advanced firewall that proactively blocks bad traffic from reaching your website. The brute force protection makes sure that your login page is safe from malicious attacks, and the bot protection goes even further to make sure only bad bots are kept away from your website.
There is a formidable support team of WordPress security experts to help with any issues that come up. Any malware removal cleanups necessary beyond the auto-clean are covered with the site license.
Thus, in a feature-to-feature comparison, MalCare undoubtedly comes out on top. MalCare's $99 plan is vastly better than Sucuri's $199.99 Basic Platform plan, and includes unlimited malware removal, which is over and above Wordfence's $99 plan.
خاتمة
When choosing a WordPress security plugin for your website, make sure to evaluate the scanner, cleaner and firewall. All the other features can be implemented with other plugins, but these 3 features form the essence of a good plugin.
At MalCare, our goal is to make security stress-free and painless, so that you can focus on the more important aspects of your website. Leave the security to us, as you grow your business.
We hope this comparison was helpful, as we have presented all our findings transparently. Have further questions? Drop us a line. كنا نحب أن نسمع منك.