iThemes Security Vs Sucuri: Welches ist das bessere Sicherheits-Plugin?

Veröffentlicht: 2023-04-19

Auf den ersten Blick sieht iThemes Security wie ein großartiges und erschwingliches Sicherheits-Plugin für Ihre WordPress-Websites aus. Vor allem, wenn Sie bedenken, dass Sie für nur 199 US-Dollar unbegrenzt viele Websites schützen können.

Sucuri hingegen ist eines der beliebtesten verfügbaren WordPress-Sicherheits-Plugins. Es ist ein echter Hingucker mit einem Scanner und einer Firewall und bietet auch Malware-Entfernung. So hat es bereits in diesem Kopf-an-Kopf-Rennen einen Marsch auf iThemes gestohlen. Warum? Weil iThemes keine dieser Funktionen hat.

iThemes wurde komplett aus dem Rennen geworfen. In diesem Wettbewerb war Sucuri zweifellos der Gewinner. Trotzdem würden wir Sucuri den Schutz unserer Website immer noch nicht anvertrauen. Welches Sicherheits-Plugin schützt WordPress-Websites garantiert vor Hackern? Die Antwort ist eindeutig: MalCare.

Zusammenfassung des Vergleichs zwischen iThemes Security und Sucuri

iThemes Security ist das Placebo der WordPress-Sicherheits-Plugins. Sie denken, Ihre Website ist sicher vor Hackern, aber alles, was sie tatsächlich schützt, ist Wunschdenken und positive Stimmung. Sucuri ist zweifellos besser, aber besser ist schließlich ein relativer Begriff. Es ist kein großartiges Sicherheits-Plugin.

iThemes Sicherheit vs. Sucuri Vergleich

iThemes Sicherheit auf den Punkt gebracht

Das Fazit ist, dass iThemes Ihre Website nicht schützt. Wir empfehlen dringend, iThemes ganz zu überspringen, wenn Sie es für die WordPress-Sicherheit in Betracht ziehen. Und wenn Sie es bereits installiert haben, scannen Sie bitte sofort Ihre Website. Ihre Website hat keine Sicherheit.

Unsere ersten Eindrücke von iThemes waren eigentlich günstig. Die Website spricht ein großartiges Spiel und schafft Vertrauen aufgrund der maßgeblichen Art und Weise, wie sie über WordPress-Sicherheit sprechen. Der einzige Fehler, den wir sehen konnten, war, dass Sie das Plugin nicht zum Reinigen von Malware verwenden konnten. Das ist nicht ideal, aber es könnte immer noch als Scanner funktionieren.

Dachten wir jedenfalls.

Funktionen der ithemes-Website

Der iThemes-Scanner erkennt keine Malware. Überhaupt. Wir würden vermuten, dass Dateien und Daten nicht einmal gescannt werden, da der Scan in Sekunden abgeschlossen ist. Was der iThemes-Scanner tut, ist, den Transparenzbericht von Google zu überprüfen, um festzustellen, ob Ihre Website auf dieser Liste steht. Dazu benötigen wir kein Sicherheits-Plugin. Wir gingen zurück, um die Website zu überprüfen, und waren fassungslos, als wir feststellten, dass die Funktionen nicht ausdrücklich sagen, dass nach Malware gesucht wird. Es sagt nur, dass die Malware-Erkennung einer der wichtigsten Schritte in der WordPress-Sicherheit ist. Das ist Doppelzüngigkeit, falls wir es jemals gesehen haben.

Wir waren versucht, iThemes-Tests als nutzlos abzuschreiben, machten aber im Interesse der Fairness weiter.

Das Plugin verfügt über eine solide Zwei-Faktor-Authentifizierungsfunktion, die Sie auf Ihrer Anmeldeseite aktivieren können. Es hat auch einige anständige Härtungsfunktionen wie das Blockieren der PHP-Ausführung in Ordnern. Allerdings funktioniert der Brute-Force-Anmeldeschutz nur zeitweise. Ein weiterer schwarzer Fleck gegen das Plugin.

Unsere Erkenntnis aus der Verwendung von iThemes ist, dass die einzigen Funktionen mit Sicherheitswert die Zwei-Faktor-Authentifizierung und die einfache Implementierung von reCAPTCHA bei wp-login sind. Diese beiden Funktionen rechtfertigen jedoch keine 199-Dollar-Rechnung, da es bessere Sicherheits-Plugins gibt, die dieselben Funktionen zusätzlich zu tatsächlicher Sicherheit bieten.

Das Testen von iThemes war eine schreckliche Erfahrung, weil wir uns nicht vorstellen können, wie viele Websites glauben, dass sie durch nicht vorhandene Sicherheit geschützt sind. In der Tat, iThemes-Benutzer, Sie sollten Ihre Website jetzt sofort scannen.

Sucuri auf den Punkt gebracht

Sucuri hat eine anständige Firewall und großartige Malware-Entfernungsdienste, ist aber als Malware-Scanner spektakulär gescheitert. Wenn Sie nicht wissen, dass Ihre Website Malware enthält, gibt es keine Möglichkeit, sie loszuwerden. Dies ist ein nicht verhandelbarer Teil eines Sicherheits-Plugins.

Als wir anfingen, Sucuri zu testen, haben wir viel davon erwartet. Es ist eines der beliebtesten Sicherheits-Plugins für WordPress, und wir waren verblüfft zu sehen, dass der Scanner auf unserer gehackten Testseite keine Malware erkennen konnte. Wir werden in einem späteren Abschnitt näher darauf eingehen, aber dies gab den Ton für unseren gesamten Testprozess an.

Sucuri-Sicherheits-Plugin

Zusätzlich zu dem Fehler dauert der Scan selbst sehr lange und verbraucht dafür unsere Serverressourcen. Sucuri selbst raten von zu vielen Scans ab, da dies die Leistung der Website beeinträchtigt. Es ist ein schrecklicher Kompromiss zwischen Leistung und Sicherheit und sollte einfach nicht der Fall sein.

Weiter zu den Firewall- und Malware-Entfernungsdiensten schnitt Sucuri gut ab. Die Firewall war sehr schwierig zu konfigurieren und hat uns dafür übermäßig viel Zeit gekostet. Aber es blockierte die Angriffe, die wir versuchten, und wir konnten keine Schwachstellen ausnutzen.

Der Malware-Entfernungsdienst war jedoch das Highlight unserer Testerfahrung. Obwohl der Scanner unserer gehackten Website einen einwandfreien Gesundheitszustand bescheinigte, wussten wir, dass sie voller Malware war. Erstens haben wir die Malware dort abgelegt, zweitens bestätigten MalCare-Scans diese Diagnose. Das Sucuri-Team hat jede Spur von Malware von unserer Website entfernt und sie war dadurch blitzsauber. Fantastisch! Das Sahnehäubchen auf diesem Kuchen war, dass Sie im Rahmen Ihres Plans unbegrenzt Anfragen zum Entfernen von Malware haben können, was sehr viel ist.

Abgesehen von der Firewall sind die Einstellungen sehr undurchsichtig. Wir haben uns über eine Menge des verwendeten Jargons Gedanken gemacht, und das liegt an der Expertise in WordPress-Sicherheit. Die Benutzeroberfläche ist nicht benutzerfreundlich, und wir sind sicher, dass viele Leute sie unnötig beunruhigend finden werden. Minuspunkt für Sucuri dort.

Alles in allem halten wir Sucuri nicht für die beste Sicherheitslösung für eine WordPress-Website. Diese Ehre geht an MalCare, wegen eines Scanners, der jedes Mal funktioniert. MalCare bekommt auch Bonuspunkte, die uns nicht stumpf fühlen lassen.

So wählen Sie das richtige Sicherheits-Plugin für Ihre WordPress-Website aus

Sicherheit für Ihre WordPress-Website ist nicht verhandelbar. Malware kann unzählige Verluste für Unternehmen verursachen: Umsatzeinbußen, Klagen, Bereinigungskosten, Auswirkungen auf das Branding, Verlust von organischem Traffic und vieles mehr. Die Investition in das richtige Plug-in schützt Sie vor Hackern und Malware und den Problemen, die Malware hinterlässt.

Die Frage ist jedoch: Wie wählen Sie ein effektives Sicherheits-Plugin für Ihre Website aus?

Als wir unsere Tests aufgesetzt haben, gab es mehrere Faktoren zu berücksichtigen: Sicherheit natürlich, aber auch Benutzerfreundlichkeit und Preis-Leistungs-Verhältnis. Wir stellten jedoch schnell fest, dass alle Faktoren außer der Sicherheit bedeutungslos wurden, da die einzige Überlegung sein sollte, wie effektiv ein Plugin bei der Sicherheit ist.

Hier sind also die Faktoren, die bei der Auswahl eines Sicherheits-Plugins zu berücksichtigen sind.

  • Wesentliche Sicherheitsfunktionen
    • Malware-Scannen
    • Malware-Reinigung
    • Firewall
  • Gut zu habende Sicherheitsfunktionen
    • Schwachstellenerkennung
    • Brute-Force-Login-Schutz
    • Aktivitätsprotokoll
    • Zwei-Faktor-Authentifizierung
  • Potenzielle Probleme
    • Auswirkungen auf Serverressourcen

Wie Sie der Liste entnehmen können, sind nur 3 Faktoren absolut notwendig. MalCare-Asse in allen 3: Malware scannen und entfernen, die andere Plugins garantiert übersehen, und Ihre Website mit einer leistungsstarken Firewall vor bösartigem Datenverkehr schützen. Darüber hinaus ist MalCare besser als jedes andere derzeit verfügbare Sicherheits-Plugin.

iThemes Security vs. Sucuri: Kopf-an-Kopf-Vergleich der Funktionen

Die Art und Weise, wie wir diesen Vergleich angelegt haben, besteht darin, zuerst die wichtigsten Merkmale aufzunehmen und dann die anderen Beobachtungen zu diskutieren, die während des Tests auftauchten. Ziemlich oft sahen wir Funktionen und Einstellungen, die so gut wie nichts bewirkten (wir sprechen von iThemes) und dennoch eine ausgeklügelte Illusion von Sicherheit malten.

Es war nicht einfach, die Spreu zu durchtrennen, um zum Weizen zu gelangen, aber wir werden alle unsere Daten so klar und fair wie möglich präsentieren.

Wenn Sie diesen Teardown überspringen möchten, empfehlen wir die Installation von MalCare.

Malware-Scannen

Die Scanner von Sucuri haben keine Malware auf unserer Website entdeckt. Gemessen daran, wie schnell der Scan abgeschlossen war, hat iThemes unsere Website überhaupt nicht auf Malware gescannt.

Sowohl die kostenlose als auch die kostenpflichtige Version von Sucuri verfügen über Scanner, daher waren wir daran interessiert zu sehen, ob sie sich unterschiedlich verhalten. Die kostenlose Version wird von Sucuri SiteCheck unterstützt, einem Online-Dienstprogramm, das die öffentlich sichtbaren Teile Ihrer Website auf Malware scannt. Natürlich hat dies Einschränkungen, daher ist ein sauberer Chit von SiteCheck keine Garantie für eine Malware-freie Website.

Ergebnisse der Sucuri-Sitechecks

Der kostenpflichtige Plan beinhaltet einen Scanner auf Serverebene, den Sie auf Ihrem Webserver installieren müssen. Sie können dies entweder manuell tun oder Ihre FTP-Daten in Ihr Sucuri-Dashboard eingeben, um es automatisch zu installieren. Es war ein relativ schmerzloser Prozess.

Der Scanner ist so eingestellt, dass er jeden Tag ausgeführt wird, aber Sie können bei Bedarf scannen – bis zu einem gewissen Grad. Zusätzliche Scan-Anforderungen werden in eine Warteschlange gestellt und dann ausgeführt. Sucuri warnt davor, zu viele Scans zu verwenden, da Scans Serverressourcen verbrauchen.

Das gab uns zu denken, weil uns dann klar wurde, dass Sucuri die Ressourcen unserer Website nutzt, um Scans durchzuführen. Bei unseren Testseiten war die Belastung nicht allzu groß, da die Seiten klein sind und kein externer Datenverkehr vorhanden ist. Wir haben jedoch definitiv einen Einbruch in unserer CPU-Auslastung gesehen. Mehr dazu in einem späteren Abschnitt.

Die Pro-Version hat auch keine Malware auf unserer gehackten Website entdeckt. Dies war überraschend, da unsere MalCare-Scan-Ergebnisse die Malware eindeutig lokalisierten. Daher haben wir einen Antrag auf manuelle Entfernung gestellt. Nachdem die Anfrage von Sucuris Team bearbeitet wurde, wurde die Website auf MalCare sauber angezeigt. Aber dann hat der Sucuri-Scanner Malware auf der Website gemeldet. Es war sehr seltsam.

sucuri serverseitiger Scanner

Glücklicherweise gab es beim iThemes-Scanner keine Probleme. Es scannt schlicht und einfach nicht nach Malware. Der iThemes-Scanner überprüft lediglich, ob Ihre Website auf der Blacklist von Google steht. Das ist es. Wir waren nicht überrascht zu sehen, dass unsere Websites nicht auf der schwarzen Liste standen, da sie nicht indiziert sind.

Themen-Scanner

Malware-Reinigung

Malware-Reinigung steht nicht auf der iThemes-Funktionsliste, daher kann Malware offensichtlich nicht bereinigt werden. Sucuri bietet im Rahmen seiner kostenpflichtigen Pläne unbegrenzte Malware-Entfernungsdienste an. Abhängig von Ihrem Plan wird Ihre Website zwischen 6 und 30 Stunden bereinigt.

Obwohl die Scan-Ergebnisse von Sucuri besagten, dass unsere Website keine Malware enthielt, wussten wir offensichtlich, dass dies nicht der Fall war. Überall war Malware: in den Dateien und in der Datenbank. Wir hatten auch ein paar Hintertüren drin für ein gutes Maß. MalCare-Scanner bestätigten, dass unsere Testseiten tatsächlich von Malware befallen waren.

Deshalb haben wir bei Sucuri eine Anfrage zum Entfernen von Malware gestellt, die deutlich macht, dass wir vermuten, dass sich Malware auf der Website befindet. Um eine Anfrage zu stellen, müssen Sie ein Formular ausfüllen und FTP-Details für die Reinigung angeben. Und dann auf die Ergebnisse warten.

Nebenbemerkung: Es gab ein interessantes Dropdown-Menü im Antragsformular zum Entfernen, das mögliche Symptome auflistet, die Sie möglicherweise sehen. Zu unserer Belustigung mussten Sie auch Ihr technisches Niveau angeben, also haben wir ausgewählt: „ Keine Kenntnisse, bitte erklären Sie alles klar.

Danke an Sucuri, ihr Team hat die gesamte Malware von unserer Website entfernt. Auch wenn unsere Planbedingungen besagten, dass wir eine Lösung in 30 Stunden erwarten konnten, erhielten wir in weniger als 10 Stunden eine Antwort. Das war also ein großes Lob für den Malware-Entfernungsdienst von Sucuri.

sucuri-Malware entfernen

Wir bestätigten bei MalCare, dass die gesamte Malware entfernt wurde, und stellten dann überrascht fest, dass der Scanner von Sucuri die Website nun als infiziert markierte – nachdem ihr Team sie bereinigt hatte. Das war seltsam.

Andererseits kann iThemes keine Malware entfernen, also gab es nichts zu testen. Glücklicherweise behaupten sie dies nicht auf ihrer Website.

Ehrlich gesagt ist die Malware-Bereinigung der schwierigste Teil der WordPress-Sicherheit und oft der teuerste Aspekt. Die kostenpflichtigen Pläne von Sucuri haben unbegrenzte Bereinigungen, was großartig ist, denn wenn Schwachstellen nicht behoben werden, kann Malware erneut auftreten. Wenn wir beim Reinigungsservice einen Fehler finden müssten, müssten Sie eine Weile auf die Lösung warten. Im Fall von Malware haben wir gesehen, dass Infektionen in kurzen Zeitspannen exponentiell zunehmen, also gibt dies Anlass zur Sorge.

Mit MalCare konnten wir die Auto-Clean-Funktion nutzen, um Malware innerhalb von Minuten loszuwerden. Während wir darauf warteten, dass Sucuri sich bei uns meldete, erkannten wir den immensen Wert, den eine schnelle Bereinigung für eine geschäftskritische Website hat.

Firewall

Die Firewall von Sucuri funktioniert und hält unsere häufigsten Angriffe ab. iThemes hat keine Firewall.

Eine Firewall ist eine entscheidende Komponente der Website-Sicherheit, da sie schädlichen Datenverkehr abhält und Exploits verhindert. An dieser Stelle des Artikels wären Sie nicht überrascht zu hören, dass iThemes keine Firewall hat. Warum sollte es? Es versagt in jeder anderen Hinsicht als Sicherheits-Plugin.

Sucuri hingegen hat unsere Website vor WordPress-Angriffen geschützt. Wir haben es auf Schwachstellen wie uneingeschränktes Hochladen von Dateien, XSS und SQL-Injection getestet. Die Firewall blockierte alle unsere Versuche, diese Schwachstellen auszunutzen und Malware auf die Website hochzuladen. Komplexere Angriffe konnten wir in aller Transparenz nicht testen.

Sucuri-Firewall-Protokolle

Daher funktioniert die Firewall von Sucuri, aber wir müssen auch erwähnen, wie frustrierend es war, die Firewall zu konfigurieren. Die Firewall funktioniert so, dass sie wie eine Schicht zwischen eingehendem Datenverkehr und Ihrer Website fungiert. Daher trifft der gesamte Datenverkehr zuerst auf die Firewall von Sucuri und wird dann auf Ihre Website umgeleitet.

Wie Sie sich vorstellen können, erfordert dies einige Konfiguration. Die Domain, die Sie für Ihre Website verwenden, muss zuerst auf Sucuri zeigen, der Datenverkehr wird analysiert und dann wird der zulässige Datenverkehr an Ihre Website weitergeleitet. Das ist großartig, aber es ist mühsam, die Firewall einzurichten, wenn Sie keine Erfahrung mit Nameservern und DNS-Konfiguration haben.

Sucuri-Firewall-Konfiguration

Insgesamt ist es viel besser, eine Sicherheitslösung zu haben, die sofort einsatzbereit ist. Keine komplexe Konfiguration zum Schutz unserer Website. Weißt du, wie die Art, die du bei MalCare bekommst.

Schwachstellenerkennung

Sucuri hat die meisten Schwachstellen auf unserer Website entdeckt, wenn auch nicht alle. iThemes hat keine gefunden.

Nachdem wir den serverseitigen Scanner aktiviert hatten, stellte Sucuri fest, dass wir einige anfällige Plugins auf der Website installiert hatten. Es hat sie nicht alle erkannt, und die Empfehlung war, sie einfach zu aktualisieren.

Darüber hinaus gibt es eine Post-Hack-Ansicht auf wp-admin, die die aktuell installierten Plugins und Themes, ihre installierten Versionen und die neuesten verfügbaren Versionen auflistet. In der Beschreibung dieses Abschnitts erwähnt Sucuri, dass Schwachstellen mit der Website-Sicherheit verbunden sind und es sich bewährt hat, alles auf dem neuesten Stand zu halten. Es ist unwahrscheinlich, dass jemand bei einem routinemäßigen Blick durch das Plugin dort oben landet, daher sind wir nicht sicher, ob die Platzierung nützlich ist.

Als Teil des Antrags auf Entfernung der Malware hat uns Sucuri auch eine Nachricht geschickt, in der er uns empfiehlt, Maßnahmen zur Härtung anzuwenden und unsere (2 von 3) anfälligen Plugins zu aktualisieren. Dies ist Teil ihrer Post-Hack-Checkliste.

iThemes kennzeichnet keine Schwachstellen. Es hat jedoch einen äußerst nutzlosen Zähler auf dem Dashboard, der anzeigt, wie viele Updates seit der Installation des Plugins durchgeführt wurden. Wie diese Informationen nützlich sein können, können wir nicht ergründen.

Brute-Force-Login-Schutz

Sucuri soll Brute-Force-Angriffe blockieren und Sie warnen, tut es aber auch nicht. iThemes tut es manchmal, manchmal nicht. Schwer zu sagen, was schlimmer ist.

iThemes protokolliert jeden falschen Anmeldeversuch als Brute-Force-Angriff, was für einen Benutzer ehrlich gesagt erschreckend ist. In einem Fall haben wir das Passwort wirklich vergessen.

Als wir versuchten, die Anmeldeseite mit Brute-Force zu erzwingen, sahen wir uneinheitliche Ergebnisse. iThemes blockierte die Versuche auf einer Seite, aber nicht auf der anderen. Wir haben versucht herauszufinden, was diese Diskrepanz verursacht, aber der einzige Unterschied war Malware auf der Website. Da Malware normalerweise eine Folge erfolgreicher Brute-Force-Angriffe ist, glauben wir nicht, dass dies der Grund ist. Wahrscheinlicher scheint ein Fehler zu sein, der dazu führt, dass die Funktion sporadisch funktioniert. In der Tat ist es sinnlos.

Sucuri hat uns Hoffnung gemacht, weil es eine granulare Reihe von Optionen für Brute-Force-Angriffe gibt. Sie können die Anzahl der Fehlversuche festlegen, die als Brute-Force-Angriff zählen. Wir haben es auf sehr bescheidene 30 Versuche pro Stunde eingestellt, obwohl Anmeldeangriffe normalerweise mehrere 100 Versuche pro Minute sind.

sucuri rohe Gewalt

Nachdem wir alle Einstellungen für Sperren gesehen hatten, waren wir etwas besorgt, dass wir von der Website ausgeschlossen wurden. Wir hatten MalCare abgeschaltet, damit der Anmeldeschutz von MalCare den Versuch nicht blockierte. Es passierte jedoch nichts. Wir haben mehr als 40 falsche Anmeldungen in 3 Minuten versucht, und dennoch hat Sucuri keine Warnung ausgelöst. Überprüfte die Überwachungsprotokolle und die fehlgeschlagene Authentifizierung wird in Ordnung angezeigt. Aber keine Warnungen. Keine Aussperrungen. Nichts.

Aktivitätsprotokoll

iThemes hat eine unvollständige Aktivitätsprotokollfunktion. Sucuri hat eine gute, kann aber obskur sein.

Sucuri hat eine Funktion namens Audit Logs, die alle Aktionen von Benutzern, Plugins und Themen verfolgt. Die Funktion funktioniert wie erwartet, jedoch hat uns eine der Einstellungen innegehalten. Sie benötigen einen API-Schlüssel, um „Angreifer daran zu hindern, Protokolle zu löschen“. Dies ermächtigt Sucuri grundsätzlich, Daten über die Website außerhalb des Standorts zu sammeln und zu speichern, was in Ordnung ist, aber die Sprache, die sie verwenden, ist gelinde gesagt erschütternd. Mehr dazu im Abschnitt Usability.

Während die Protokolle wie Protokolle funktionieren und den Zeitstempel, den Benutzer und die Aktion erfassen, können sie sehr undurchsichtig sein. Beispielsweise haben wir ein neues Plugin installiert, das als aktiviertes Plugin angezeigt wird. So weit, ist es gut. Und es gibt 7 weitere Einträge im Protokoll, die zeigen, was die Installation beeinflusst hat. Aber es gibt wenig Erklärung dafür, was diese Einträge bedeuten. Sind das vielleicht geänderte Dateien oder Ordner? Nein, wir haben später festgestellt, dass dieses spezielle Plugin, das ein Galerie-Plugin ist, die Vorlage für Beiträge geändert hat. Das macht Sinn, aber die Offenbarung kam nicht von Sucuri.

Sucuri-Audit-Logs

Ein Aktivitätsprotokoll ist ein wichtiger Bestandteil Ihres Website-Sicherheits-Toolkits. Hacker nutzen unzureichende Protokollierung aus, um Websites anzugreifen, und daher sollten Sie auf ein zuverlässiges Protokoll warten, auf das Sie sich verlassen können, um korrekte Informationen über Ihre Website weiterzugeben.

Grundsätzlich nicht wie das, was iThemes hat. Das Aktivitätsprotokoll hier enthält einige nützliche Informationen, wie Benutzeraktivität, Versionsverwaltung, Site-Scans und Brute-Force-Angriffe. Nichts über Plugins oder Themes. Es gibt eine separate Funktion, die Ihnen auch jeden Tag einen Dateiänderungsbericht per E-Mail zusendet. Alles in allem sind die Protokolle unzureichend, da sie kein genaues Bild Ihrer Website zeichnen.

Themenprotokolle

Zwei-Faktor-Authentifizierung

iThemes verfügt über eine großartige Zwei-Faktor-Authentifizierungsfunktion, die sofort einsatzbereit ist. Sucuri nicht.

Nachdem wir iThemes in diesem und anderen ähnlichen Artikeln der Serie verworfen haben, freuen wir uns, Ihnen mitteilen zu können, dass dies eine der wenigen Sicherheitsfunktionen ist, die tatsächlich auf iThemes funktionieren – und dabei ziemlich gut funktioniert.

Die Zwei-Faktor-Authentifizierungsfunktion von iThemes ist sehr robust. Es hat eine Menge Anpassungen und funktioniert ohne Probleme sofort einsatzbereit. Das Plugin hilft auch dabei, starke Passwörter durchzusetzen, wofür wir uns stark einsetzen.

Themen 2fa

Unsere einzige Sorge hier ist, dass die Pro-Version von iThemes eine Menge Einstellungen hat, die Login-Tokens für eine einfachere Verwendung entfernen: passwortlose Anmeldung, vertrauenswürdige Geräte, magische Links und so weiter. Diese sind zwar nützlich, um den Anmeldeprozess zu vereinfachen, machen aber den Zweck der Zwei-Faktor-Authentifizierung zunichte.

Wir haben nach einer Zwei-Faktor-Authentifizierung gesucht, als wir Sucuri getestet haben. Wir haben festgestellt, dass es auf dem Sucuri-Dashboard existiert. Wir waren jedoch sowohl amüsiert als auch verwirrt über die Erkenntnis, dass die Zwei-Faktor-Authentifizierung für Ihr Sucuri-Konto verfügbar ist, nicht für Ihre WordPress-Website.

sucuri 2fa
Wäre schön, das auch für unsere Websites zu haben, finden Sie nicht?

Nutzung der Serverressourcen

iThemes wird Ihre Serverressourcen überhaupt nicht belasten, da es nichts bewirkt. Sucuri wird die Leistung Ihrer Website mit seinen Scans lahmlegen.

Interessanterweise werden wir im Zusammenhang mit der Sicherheit nicht oft nach Serverressourcen gefragt. Aber im Idealfall möchten Sie, dass Ihre Website geschützt ist und dabei nicht zu einem Crawling verlangsamt wird. Der Scanner von Sucuri erledigt das für Ihre Website.  

Sucuri-Scans behaupten, die Serverressourcen der Website vollständig zu nutzen. Tatsächlich scheinen sie aus diesem Grund von häufigen Scans abzuraten. Ehrlich gesagt ist das schrecklich. Warum sollte sich jemand zwischen Leistung und angemessenen Serverrechnungen auf der einen Seite und Sicherheit auf der anderen Seite entscheiden müssen? Sie scherzten aber nicht. Es gab einen enormen Anstieg der Serverressourcen, sobald wir Sucuri installiert und dann einen zweiten Scan durchgeführt haben. Wenn auf einer kleinen Seite der Unterschied so auffällig ist, wird es auf einer großen Seite deutlich mehr sein.

sucuri CPU-Auslastung

Darüber hinaus gibt es in den allgemeinen Einstellungen auf dem Dashboard eine Einstellung für die Datenspeicherung, die darauf hindeutet, dass Sucuri eine ganze Menge Daten (meistens Protokolle, wie es aussieht) auf der Website selbst speichert. Aus diesem Grund ist wahrscheinlich ein API-Schlüssel erforderlich, da sich standardmäßig alles im Uploads-Ordner befindet, der ein öffentlich zugänglicher Ordner ist. Es gibt eine Option, den Speicher in einen nicht öffentlich zugänglichen Ordner zu ändern, aber das sollte zunächst die Standardeinstellung gewesen sein.

iThemes werden Ihre Serverressourcen nicht belasten. Wie kann es, wenn es nichts tut?

Warnungen

iThemes warnt Sie nicht vor irgendetwas. Sucuri tut es, aber Sie müssen vorsichtig sein, welche Benachrichtigungen Sie erhalten möchten. Ihr Posteingang kann sich in Stunden füllen.

Mit Sucuri können Sie Benachrichtigungen einrichten, die an bestimmte Personen gesendet werden, das Format der Benachrichtigungen anpassen und vieles mehr. Sie können auch IP-Adressbereiche hinzufügen, damit diese Adressen nicht für Warnungen gekennzeichnet werden. Seien Sie jedoch vor mit Fachjargon gefüllten Beschreibungen gewarnt. Was ist „ klassenloses Interdomain-Routing “? Wir wollten es nicht wissen, wollten nur die Website schützen.

Nach den granularen Einstellungen für Warnungen zu urteilen, scheint sich Sucuri sehr bewusst zu sein, dass sie möglicherweise zu viele Warnungen senden. Es gibt eine Einstellung zum Konfigurieren der maximalen Benachrichtigungen, die in einer Stunde empfangen werden, z. B. bis zu 5 E-Mails. Das Problem dabei ist: Angenommen, die ersten 5 waren falsch positiv und der 6. nicht? Es gibt dort einen Haftungsausschluss – aber noch einmal – es ist besser, die tatsächlichen Informationen zu haben als eine nutzlose Funktion. Unser Fazit hier ist, dass kein Administrator den Wald vor lauter Bäumen sehen wird. Es gibt einfach viel zu viel Lärm.

sucuri-Warnungen
Dies ist übrigens nicht die vollständige Liste. Es gibt noch viel mehr.

Überraschenderweise überprüfen wir immer noch iThemes und geben es nicht für eine verlorene Sache auf. iThemes hat uns Benachrichtigungsberichte zu Dateiänderungen, Datenbanksicherungen und andere Bestätigungen unserer Einstellungen gesendet. Wir haben auch einen täglichen Sicherheitsauszug über unsere Website und einmal pro Woche einen Schwachstellenbericht abonniert, vermutlich damit wir diese mit unseren Websites abgleichen können. Mit einer Seite war es schlimm genug, mit mehr Seiten konnte es völlig außer Kontrolle geraten.

ithemes Security Digest

Installation, Konfiguration und Benutzerfreundlichkeit

Die Installation von iThemes war aufgrund der verwirrenden Konfigurationsoptionen überraschend schwierig. Sucuri war ziemlich einfach, aber die Konfigurationsoptionen im Plugin waren schrecklich entmutigend.

iThemes war das erste Plugin, das wir getestet haben, daher schien es zunächst einfach zu sein. Es hat auch die Messlatte für die nutzlosesten Einstellungen gesetzt. Sie müssen eine Konfiguration durchlaufen, um ein Sicherheits-Dashboard erstellen zu können. Wir sind alle Einstellungen durchgegangen, aber keine davon hat einen wirklichen Einfluss auf die Sicherheit, also haben wir sie zufällig eingestellt und es dabei belassen.

Einrichtung von Themen

Sucuri wurde ohne viel Aufhebens installiert und das Plugin meistens von selbst eingerichtet. Wir mussten ein Konto bei Sucuri erstellen, um auf die kostenpflichtigen Funktionen zugreifen zu können. Es sei auch darauf hingewiesen, dass Sie zur Installation des serverseitigen Scanners das externe Dashboard von Sucuri verwenden müssen. Es ist nicht schwer, wenn Sie FTP-Details zur Hand haben, obwohl wir nicht viel Sinn darin sehen, weil es keine Malware entdeckt hat.

Das iThemes-Dashboard auf Ihrem wp-admin ist Lärm. Es liegen keine sicherheitsrelevanten Informationen vor.

Das Dashboard und die Einstellungen von Sucuri sind wahnsinnig kompliziert. Wir haben Stunden damit verbracht, herauszufinden, was sie mit den von ihnen verwendeten Fachbegriffen meinen. In einigen Fällen teilt Ihnen das Plugin die empfohlene Einstellung mit, sodass der Benutzer im Wesentlichen auf blindes Vertrauen arbeitet. Das einzige Problem ist, dass Sucuri kein blindes Vertrauen weckt, weil ihr Malware-Scanner nicht funktioniert!

Wir wünschen uns, dass dieses Plugin einfacher zu verstehen wäre. Es sieht sehr kompliziert aus und scheint eine Menge Dinge zu tun, aber wir können uns nicht sicher sein, weil einige der Dinge, von denen wir wissen, dass sie wichtig sind, wie Brute-Force-Schutz, nicht zu funktionieren scheinen.

Die Firewall und der serverseitige Scanner müssen separat aktiviert werden. Wir haben über eine Woche gebraucht, um dieses Plugin mit 3 Websites herauszufinden. Wir schaudern, wenn wir daran denken, was passieren würde, wenn jemand mehr handhabt. Es ist so mühsam einzurichten.

Wir möchten noch einmal betonen, dass die Einstellungen für Laien schwer verständlich sind. Wir wussten nicht, dass es eine sogenannte Protokollanalysesoftware gibt. Wir haben auch interessante Nachrichten für den Reverse-Proxy gesehen, wo Sucuri uns hilfreich mitteilt, dass wir uns über diese Option keine Gedanken machen sollen, es sei denn, wir wissen, was es ist. Danke für die Verwirrung mit einer Seite der Herablassung.

sucuri-Mikrokopie

iThemes: Extras

Es gibt eine sehr ausgefeilte Whitelist-Funktion auf iThemes, was überraschend war, bis wir feststellten, dass es anscheinend eine übermäßige Anzahl von Beschwerden über die Sperrung von Websites gibt, die wir gesehen haben. Dabei gibt es zwei Probleme: Zum einen ändern sich die Geräte-IPs, sodass das Setzen Ihrer IP auf die Whitelist nicht so sicher ist, wie Sie denken. und zweitens haben wir alles Mögliche versucht, um eine Sperrung auszulösen. Aber es ist nicht passiert.

Der Dateiänderungsmonitor ist eine weitere Funktion, die nach einer guten Idee klingt, es sei denn, Sie wissen etwas über Sicherheit. Hacker können Dateizeitstempel ändern, sogar so weit, dass es so aussieht, als wäre die Datei seit Jahren nicht mehr bearbeitet worden. Zusätzlich gibt es für diesen Monitor eine Dateityp-Ausschlussliste. Ehrlich gesagt zeigt dies ein mangelndes Verständnis für Malware. Malware kann sich in jeder Datei verstecken, beispielsweise auch in .ico-Dateien.

ithemes-Datei ändern

iThemes hat ein gutes Passwortverwaltungssystem. Sie können sichere Passwörter erzwingen und kompromittierte Passwörter ablehnen. Es ist auch möglich, Anwendungskennwörter für XML-RPC festzulegen, wenn Sie dies wünschen.

ithemes Benutzersicherheitsprofile

Schließlich hat iThemes einige Härtungsfunktionen, von denen wir die meisten überhaupt nicht empfehlen. Das einzig Sinnvolle ist, die PHP-Ausführung im Uploads-Ordner zu blockieren. Dies verhindert eine bestimmte Art von Malware-Angriff. Die anderen empfehlen wir ganz zu ignorieren.

Sucuri: Extras

Sucuris Dashboard auf wp-admin sieht ziemlich beeindruckend aus, aber wir haben auf Anhieb gesehen, dass die größte Infobox die WordPress-Integrität ist. Hoffentlich gilt dies nur für die kostenlose Version, die wir derzeit verwenden, da dies im Wesentlichen eine aufgemotzte Version eines Dateiänderungsmonitors für WordPress-Kerndateien ist.

sucuri wp Dateiintegrität

In einigen Fällen könnten wir es als nützlich erachten, wenn man bedenkt, dass viel Malware in die Kerndateien gelangt. Umgekehrt können wir auch sehen, dass es sich um eine Sinekure handeln kann, weil unerfahrene Leute glauben könnten, dass dies das Ausmaß der Malware ist, was ein beängstigender Gedanke ist. Lustigerweise stammten 2 der 3 WordPress-Integritätsdateien, die markiert wurden, von MalCare: der Notfall-Connector und die Firewall.

Tiefer in den Einstellungen gibt es ein Integritäts-Diff-Dienstprogramm, um Kerndateien zu vergleichen und Unterschiede zu finden. Dies ist möglicherweise einfacher zu verwenden als ein Online-Diffchecker-Dienstprogramm.

sucuri diff checker

Es gab eine beträchtliche Anzahl von Härtungsoptionen: einige nützlich, andere nicht so sehr. Wir mochten die Möglichkeit, PHP im Upload-Ordner und in der Firewall zu blockieren und die automatische Aktualisierung der geheimen Schlüssel zu aktivieren, wodurch die WordPress-Salze geändert werden.

Das Überprüfen der WordPress-Version, das Entfernen der WordPress-Version, das Vermeiden von Informationslecks (entfernt die Readme-Datei, die WordPress gerade neu erstellt) und das Überprüfen des Standard-Administratorkontos sind jedoch alles dumme Funktionen mit minimalen Auswirkungen auf die Sicherheit. Ehrlich gesagt hat sich die gesamte Sicherheitsbranche von diesen Tricks verabschiedet.

Sucuri wp Härtung

Wenn Sie das Plugin und den Theme-Editor deaktivieren, wird die Aktualisierung schwierig. Es enthält eine Einschränkung bezüglich einiger Plugins und Themes, die Zugriff auf PHP-Dateien in diesen Ordnern benötigen. Dies ist unzureichend. Ein typisches Beispiel: Sucuri selbst speichern PHP-Dateien im Uploads-Ordner. Wollen sie keinen Zugriff auf ihre eigenen Dateien von ihrem externen Dashboard aus? Oder ist das eine Ausnahme von der Regel? In diesem Fall scheint die Regel in einer Weise flexibel zu sein, die dem Benutzer verborgen bleibt.

Wir waren daran interessiert, die Post-Hack-Funktion im wp-admin-Dashboard zu überprüfen. Nach der Reinigung möchten Sie sicherstellen, dass Sie alles tun, um Ihre Website vor zukünftigen Hacks zu schützen. Uns gefiel die Idee, bis wir ein wenig weiter schauten.

Sie können geheime Schlüssel über das Dashboard aktualisieren – WordPress-Salts ändern. Das einzige Problem dabei ist, dass es im Klartext ist und für jeden Admin sichtbar ist, der bei wp-admin angemeldet ist. Wenn ein Hacker ein Konto mit Administratorzugriff hat, ist dies lächerlich gefährlich. Diese Funktion ist nur sinnvoll, wenn ein Benutzer überprüft hat, dass keines der Administratorkonten kompromittiert ist, und dann die Salze ändert. Ein Punkt, der nirgends erwähnt wird.

Sie können Benutzerkennwörter zurücksetzen. Wieder eine scheinbar gute Funktion, bis Sie das Kleingedruckte gelesen haben: „Wählen Sie Benutzer aus der Liste aus, um ihre Passwörter zu ändern, beenden Sie ihre Sitzungen und senden Sie ihnen per E-Mail einen Link zum Zurücksetzen des Passworts. Bitte beachten Sie, dass das Plugin die Passwörter vor dem Senden der E-Mails ändert, was bedeutet, dass Ihre Benutzer von der Website ausgeschlossen werden, wenn Ihr Webserver keine E-Mails senden kann.“

Es gibt einen Ort, an dem verfügbare Plugin- und Design-Updates angezeigt werden, was eine grundlegende Versionsverwaltung ist. Es fügt der bestehenden Admin-Dashboard-Funktionalität nichts hinzu. Es kann jedoch dazu dienen, Menschen darüber aufzuklären, dass veraltete Plugins und Themes mit der Sicherheit verbunden sind.

Was in iThemes Security und Sucuri fehlt

iThemes hat keine Firewall, was eine ernsthafte Lücke für Ihre WordPress-Sicherheit darstellt. Firewalls schützen Websites vor bestimmten Arten von Angriffen und sind von unschätzbarem Wert, wenn Ihre Website Schwachstellen aufweist.

Der Malware-Scanner von Sucuri ist nicht ausreichend. Obwohl der Malware-Entfernungsdienst großartig ist, müssen Sie also vermuten, dass sich Malware auf Ihrer Website befindet, da der Scanner sie nicht kennzeichnen wird.

iThemes Security vs. Sucuri: Preise

Sucuris Basic Platform-Plan für 199,99 $ pro Jahr und Site ist ein gutes Angebot für unbegrenzte Malware-Entfernungsdienste. Wenn man jedoch bedenkt, dass es auch einen funktionierenden Scanner haben soll, ist das alles, was Ihr Sub für Sie bekommt. iThemes ist nichts wert. Mach dir einfach keine Mühe.

Wir haben unsere Meinung zu iThemes in diesem Artikel deutlich gemacht. Das einzige erwähnenswerte Feature in iThemes ist die Zwei-Faktor-Authentifizierung, die im kostenlosen Plan verfügbar ist. Wir empfehlen den Pro-Plan definitiv nicht.

iThemes-Preise
iThemes-Preise

Die Preise von Sucuri sind ein Schnäppchen für einen Malware-Entfernungsdienst, aber das Haar in der Suppe ist der Scanner. Wenn Sie nicht wissen, dass Sie Malware haben, können Sie keinen Antrag auf Entfernung stellen.

sucuri preise
Sucuri-Preise

Bessere Alternative zu iThemes Security und Sucuri: MalCare

Investieren Sie in ein gutes Sicherheits-Plugin, das Ihre Website scannt, bereinigt und vor Hackern schützt. Von allen Plugins, die wir für diese Serie getestet haben, ist MalCare die beste Option. MalCare übertrumpft iThemes in allem und scannt besser auf Malware als Sucuri.

Tatsächlich ist der 99-Dollar-Basisplan von MalCare besser als der 199,99-Dollar-Basisplattformplan von Sucuri, mit sofortiger Malware-Entfernung. Es enthält auch unbegrenzte Aufräumarbeiten

Abschluss

Die Sicherheit Ihrer Website ist von größter Bedeutung. Wir haben viele Kunden gesehen, die an einem Sicherheits-Plugin gespart haben, nur um nach einem Hack verheerende Verluste zu erleiden. Ein Kunde gab irgendwann auf und beschloss, seine Website von Grund auf neu aufzubauen. Malware ist teuer, MalCare nicht.

Hat Ihnen der Artikel bei der Entscheidung geholfen? Wir würden gerne wissen! Schreiben Sie uns.