iThemes-Sicherheit vs. Wordfence: Welches Sicherheits-Plugin sollten Sie wählen?

Veröffentlicht: 2022-04-22

iThemes Security sieht für nur 199 US-Dollar für unbegrenzte Websites wie ein tolles Angebot aus, und aufgrund seines unschlagbaren Preises war es ein ernsthafter Konkurrent im Rennen um WordPress-Sicherheits-Plugins.

In der anderen Ecke haben wir Wordfence, das unbestrittene Schwergewicht in dieser Kategorie. Wordfence ist bekannt für das funktionsreiche kostenlose Plugin und seine Sicherheitsforschung und -ressourcen. Für die Premium-Version kostet jede Seite mindestens 99 US-Dollar pro Jahr; was immer noch ein gutes Geschäft ist.

Selbst in diesem Stadium gibt es keinen wirklichen Vergleich zwischen den beiden. Wir haben jedoch beide durch eine Reihe von Tests geführt.

In dieser Serie haben die Top-5-Sicherheits-Plug-ins Gladiatorenkämpfe mit Malware, Angriffen und Schwachstellen durchgemacht. Welcher ging als Sieger hervor? Lesen Sie weiter, um es herauszufinden.

URTEIL iThemes Security vs. Wordfence ist ein ungleicher Wettbewerb. Das kostenlose Plugin von Wordfence ist um Größenordnungen besser als das Premium-Plugin von iThemes Security. Wordfence hat seine Schattenseiten, aber zumindest schützt es die Website bis zu einem gewissen Grad. iThemes, nicht so sehr.

Unsere Wahl

In dieser Serie wollten wir die besten WordPress-Sicherheits-Plugins testen, um herauszufinden, welches wirklich funktioniert. Dafür haben wir 3 Websites erstellt: Eine war ein einfacher Blog mit einigen Plugins und Themes als Steuerung. Die zweite Website hatte 3 veraltete Plugins mit Schwachstellen. Wir haben Plugins ausgewählt, die von beliebt bis obskur reichen und eine Reihe von Schwachstellen aufweisen. Und schließlich hatten wir eine mit Malware übersäte Website.

3 Websites, 5 Plugins, 45 Tage. Wir haben Plugin-Scanner, Cleaner, Firewalls, Bot-Schutz, Firewalls, Aktivitätsprotokolle und vieles mehr getestet. Wir haben neue Malware, alte Malware, dateibasierte Malware, Datenbank-Malware, Redirect-Hacks, Pharma-Hacks, SQL-Injections, Brute-Force-Angriffe und vieles mehr berücksichtigt.

Das Ergebnis war eindeutig: Nur MalCare konnte die Test-Websites scannen, bereinigen und schützen. Wenn Sie mit Ihrer WordPress-Sicherheit Ruhe suchen, ist MalCare der richtige Weg.

Zusammenfassung des Vergleichs zwischen iThemes Security und Wordfence

iThemes Security vs. Wordfence ist ein Kinderspiel: Wordfence auf ganzer Linie.

Betrachten wir die WordPress-Sicherheit als ein Spektrum zwischen zwei Extremen: kein Schutz und ein falsches Sicherheitsgefühl auf der einen Seite und falsche Positive und düstere Warnungen auf der anderen Seite. iThemes Security gibt Ihnen ein falsches Sicherheitsgefühl, und Wordfence ist derjenige, der Sie in einem Zustand nahezu konstanter Angst hält.

Vergleich von iThemes-Sicherheit und Wordfence

Beides sind unserer Meinung nach keine guten Optionen. Wordfence hat jedoch eine ausgezeichnete kostenlose Version, die Ihre Website weitgehend schützt, während selbst die Premium-Version von iThemes Security nichts zum Schutz Ihrer Website beiträgt. Unser Rat, beide Extreme zu vermeiden und sich für ein gutes Sicherheits-Plugin zu entscheiden.

iThemes Sicherheit auf den Punkt gebracht

iThemes Security ist bei weitem das schlechteste WordPress-Sicherheits-Plugin, das wir je gesehen haben. Es hat ein paar gute Funktionen, wie die Zwei-Faktor-Authentifizierung und die Unterstützung starker Passwörter, aber das war es auch schon. Es gibt keinen Malware-Scanner, er kann keine Malware entfernen, und es macht keinen Sinn, über eine Firewall zu diskutieren. Wenn Sie iThemes gerade verwenden, scannen Sie bitte sofort Ihre Website.

Fun Fact: iThemes war das erste Sicherheits-Plugin, das wir getestet haben. Die Website und der gesamte Einrichtungsprozess vermittelten uns den Eindruck, dass diese Leute wissen, worum es bei WordPress-Sicherheit geht. Leider scheint es jedoch nichts von diesem Know-how in das eigentliche Plugin geschafft zu haben.

Funktionen der ithemes-Website

iThemes Security ist praktisch ein Malware-Scanner, da es keinen Mechanismus zum Reinigen von Malware gibt. Die Website sagt auch nicht, dass es eine Firewall gibt. Das ist nicht so toll, denn das Scannen ist eine der Säulen der WordPress-Sicherheit, aber nicht die einzige. Sie können jedoch eine Mischung aus verschiedenen Plugins zusammenschustern, um Ihnen diese Funktionalität zu bieten, wenn Sie überhaupt einen anständigen Scanner haben.

Ah, aber das war das Problem. iThemes ist kein Malware-Scanner. Es ist kein Schwachstellenscanner. Es scannt die Google-Blacklist für Ihre Website. Sie wissen, dass Sie dasselbe auf der Seite Transparenzbericht tun können, ohne ein Plug-in installieren zu müssen. Das größte Werbegeschenk war, dass der Scan Sekunden dauerte. Es gibt keine Möglichkeit, dass ein Scanner alle Dateien und Ordner der Website in buchstäblichen Sekunden durchgehen kann.

Der Brute-Force-Schutz für die Anmeldeseite war lückenhaft und inkonsistent, und das Aktivitätsprotokoll war nutzlos. Dazu später mehr.

Auf der positiven Seite hat iThemes Security eine hervorragende Zwei-Faktor-Authentifizierungsfunktion. Uns gefiel auch, wie einfach es war, reCAPTCHA auf wp-login zu implementieren. Und schließlich waren die Einstellungen für die Benutzerkennwortverwaltung wirklich granular und detailliert. Darüber hinaus gibt es ein paar anständige WordPress-Härtungsfunktionen, wie das Blockieren der PHP-Ausführung in Ordnern.

Insgesamt war das Testen von iThemes Security eine aufschlussreiche Erfahrung. Wir nehmen Sicherheit sehr ernst und waren schockiert, als wir sahen, wie clevere Worte und ein irreführendes Feature-Set Administratoren dazu verleiten können, zu glauben, dass ihre Websites geschützt sind. Tatsächlich empfehlen wir allen iThemes-Benutzern dringend, ihre Sicherheit komplett zu überdenken und ihre Website sofort zu scannen.

Wordfence auf den Punkt gebracht

Wordfence ist das beste kostenlose Sicherheits-Plugin, das uns nach MalCare begegnet ist. Wir empfehlen es dringend für Websites, die absolut kein Sicherheitsbudget haben. Die Firewall blockiert die meisten Angriffe, der Scanner erkennt die meiste dateibasierte Malware und die Malware-Reparaturfunktion hilft Ihnen dabei, das meiste davon loszuwerden. Der Nachteil ist, dass es eine Menge Fehlalarme und einige übersehene Malware geben wird und die Notfall-Hack-Bereinigungsdienste exorbitant sind.

Wir waren begeistert, Wordfence auszuprobieren, da es das am weitesten verbreitete Sicherheits-Plugin ist. Und nach einigen schrecklichen Erfahrungen (sprich: iThemes) wäre es großartig zu sehen, wie das Plugin mit der WordPress-Sicherheit umgeht.

Wordfence-Sicherheits-Plugin

Wir werden in späteren Abschnitten mehr ins Detail gehen, aber wir wollen hier zuerst über die wichtigsten Aspekte der Sicherheit sprechen.

Wordfence hat einen anständigen Scanner, der die gesamte dateibasierte Malware erfasst hat, die wir in unseren kostenlosen Plugins und Designs hatten. Aber es gibt einige große Vorbehalte bezüglich seiner Wirksamkeit. Der Scanner kann weder datenbankbasierte Malware noch Malware in Premium-Plugins und -Designs erkennen. Darüber hinaus hat es auf unserer Website einen merklichen Tribut gekostet, um den Scan überhaupt durchzuführen.

Als nächstes haben wir die automatische Reparatur von Malware ausprobiert. Zu unserer Freude wurde die gesamte dateibasierte Malware von der Website fast sofort repariert; nicht jedoch die datenbankbasierte Malware. Wenn ich darüber nachdenke, ist dies keine großartige Leistung für einen Reiniger, aber es war offensichtlich besser als die anderen in dieser Testreihe, dass wir uns wirklich über den Unterschied gefreut haben.

Die Firewall war ziemlich effektiv und blockierte die meisten der wichtigsten und häufigsten WordPress-Angriffe, die die Website plagen. Ein Ärgernis, das wir hier haben, ist, dass die Firewall eine Menge Warnungen für uns generiert. Müssen wir wirklich wissen, dass jemand aus Deutschland in den letzten 5 Minuten in 20 separaten Benachrichtigungen 20 Mal versucht hat, unsere Website zu hacken? Nein, tun wir nicht. Unser Posteingang war innerhalb weniger Tage von Wordfence-Benachrichtigungen überschwemmt, und es war unmöglich, die Spreu vom Weizen zu trennen. Außerdem erhalten kostenlose Benutzer Firewall-Updates später als Premium-Benutzer, sodass Hacker Gelegenheit haben, in ungeschützte Websites einzudringen.

Es gibt auch sonst ein paar Sicherheitsfunktionen. Wordfence betreibt ein schlankes Schiff, und alle anderen Funktionen, wie das Aktualisieren von Plugins, wenn Schwachstellen erkannt werden, werden wp-admin überlassen. Macht Sinn, denn warum duplizieren Sie es auf demselben Dashboard? Es hat einen ziemlich guten Brute-Force-Schutz und die Zwei-Faktor-Authentifizierung ist robust.

Wir waren auch von der immensen Benutzerfreundlichkeit des Plugins begeistert. Die Sprache ist zugänglich und direkt, ohne übermäßigen Jargon. Erweiterte Funktionen für Power-User sind ebenfalls in den Einstellungen versteckt.

Wir waren jedoch überrascht festzustellen, dass es kein Aktivitätsprotokoll als solches gibt, abgesehen von einer höchst unlesbaren Liste, die für Wordfence-Entwickler gedacht ist. Außerdem gibt es überhaupt keinen Bot-Schutz für die Website. Schließlich, und am schlimmsten für dieses Plugin, benötigt es eine riesige Menge an Serverressourcen, um zu funktionieren. So sehr, dass Webhoster die Verwendung von Wordfence komplett verboten haben.

Alles in allem ist Wordfence ein hervorragendes Sicherheits-Plugin, aber nicht das beste für Ihre Website. MalCare ist der richtige Weg mit einem hervorragenden Scanner, effektiver Malware-Bereinigung und einer fortschrittlichen Firewall mit Echtzeit-Updates.

Worauf Sie bei einem Sicherheits-Plugin achten sollten

Die WordPress-Sicherheit kann ein verwirrendes Biest sein, insbesondere mit den beträchtlichen Fehlinformationen, die online verfügbar sind. Eines ist sicher, Hacker können Sie Einnahmen, Geschäfte, Klagen, Auslagen, Branding, organischen Traffic und vieles mehr kosten. Das richtige Sicherheits-Plugin wirkt all dem entgegen und spart Ihnen zusätzlich Zeit und Geld, um in andere Bereiche Ihres Unternehmens zu investieren.

Wir stoßen oft auf die Frage: Wie wählen Sie das richtige Sicherheits-Plugin für Ihre WordPress-Website aus?

Die Antwort ist normalerweise eine Wäscheliste mit Funktionen. Einige sind lebenswichtig, andere nicht so sehr. Aber jedes Plugin möchte Ihnen seine über 100 Funktionen verkaufen, von denen die meisten wenig bis gar keine Auswirkungen auf die Sicherheit Ihrer Website haben. Aber die Liste wird das Problem lange genug verwirren, um der WordPress-Sicherheit wieder Kopfschmerzen zu bereiten.

Also haben wir diese wichtige – und kurze! – Liste von Sicherheitsfunktionen zusammengestellt. Sie sollten nach einem Sicherheits-Plugin suchen, das fast alles auf dieser Liste ankreuzt, und andere Lösungen für die Funktionen erhalten, die es nicht hat.

  • Wesentliche Sicherheitsfunktionen
    • Malware-Scannen
    • Malware-Reinigung
    • Firewall
  • Gut zu habende Sicherheitsfunktionen
    • Schwachstellenerkennung
    • Brute-Force-Login-Schutz
    • Aktivitätsprotokoll
    • Zwei-Faktor-Authentifizierung
  • Potenzielle Probleme
    • Auswirkungen auf Serverressourcen

Das einzige Plugin, das fast alle Kriterien erfüllt, ist MalCare. Indem Sie sich für MalCare entscheiden, stellen Sie sicher, dass Ihre Website die bestmögliche Sicherheit vor Hackern und ihrer Malware erhält.

iThemes Security vs. Wordfence: Kopf-an-Kopf-Vergleich der Funktionen

In diesem Abschnitt haben wir unsere Ergebnisse detailliert aufgeführt, falls Sie daran interessiert sind, mehr über eine bestimmte Funktion zu erfahren. Nach 45 Testtagen hatten wir eine Menge Informationen und viele Erkenntnisse. All das ist hier für Ihr Lesevergnügen gekapselt.

Die Funktionen sind von den wichtigsten bis zu den unwichtigsten geordnet, und wir bewerten beide Plugins nach jedem Faktor. Unser Ziel war es, alles, was wir gefunden haben, so fair wie möglich zu präsentieren, also haben wir uns nirgendwo zurückgehalten.

Wenn Sie jedoch nur zum Kern dieser Übung kommen wollen, installieren Sie MalCare und Sie müssten nicht von einigen der Schrecken hören, die wir aufgedeckt haben.

Malware-Scannen

Der Scanner von Wordfence hat dateibasierte Malware auf unserer Testwebsite erkannt, aber nicht die Malware in unserer Datenbank. Es übersah auch Malware in Premium-Plugins und -Designs. iThemes Security hat unsere Website überhaupt nicht gescannt, also würde es offensichtlich keine Malware finden.

Nach der Installation von Wordfence richtet es den ersten Scan automatisch ein. So weit so gut. Verlassen Sie den Scanner, um ihn fertigzustellen, und erkundeten die anderen Funktionen für ein paar Stunden. Nur um zu sehen, dass es immer noch bei 60% hängen blieb. Wenn man bedenkt, dass die Seite ziemlich klein war, was gibt es?

Es stellt sich heraus, dass die 60 % kein Fortschrittsbalken sind, sondern ein Prozentsatz, der die Effizienz des kostenlosen Scanners angibt. Um volle 100% zu erhalten, müssten Sie auf die Pro-Version des Plugins upgraden. Fair genug, aber die Art und Weise, wie es auf dem Dashboard angezeigt wurde, war sehr verwirrend.

Status des Wordfence-Malware-Scans

Wir haben den Scan neu gestartet und waren erfreut, dass er sehr schnell fertig war. Der Scanner hat den größten Teil der Malware erkannt, wenn auch nicht alles. Die Malware, die es leicht erkennen konnte, befand sich in den WordPress-Kerndateien sowie in den Dateien und Ordnern kostenloser Plugins und Themes. Es übersah die gehackte Umleitungs-Malware in der Datenbank und alle Dateien, die sich in Premium-Plugins und -Designs befanden.

Wir haben eine Menge dateibasierter Malware auf Wordfence geworfen, und es hat fast alles davon erkannt. Es verfügt über eine umfangreiche Malware-Datenbank für den Signaturabgleichsalgorithmus, daher erwarten wir, dass es etwa 70 bis 80 % der Malware erkennen wird. Das ist nicht so gut wie 95 %, wie bei MalCare, aber es ist weitaus besser als alle anderen Sicherheits-Plugins da draußen. Erkennung ist schließlich die halbe Miete.

Wordfence Malware-Scan-Dashboard

Die Vorbehalte, die wir bei Wordfence haben, sind, dass es eine Menge Warnungen und eine hohe Anzahl von Fehlalarmen gibt. Beide Faktoren können dazu führen, dass Warnungen mit der Zeit ihre Wirkung verlieren, und dann besteht die reale Gefahr, dass eine echte Warnung unbemerkt durchgeht. Außerdem nehmen die Scans viele Serverressourcen in Anspruch, um ausgeführt zu werden. Wir werden in einem späteren Abschnitt mehr darüber sprechen.

Der iThemes-Scanner scannt überhaupt nicht nach Malware. Es prüft, ob Ihre Website auf einer schwarzen Liste steht, und das auch nur auf der einen schwarzen Liste. Sucuri hat diesen Check auch, aber sie hatten den Anstand, ihn erstens nicht als Scanner zu kennzeichnen und zweitens mehr als nur die schwarze Liste von Google zu überprüfen. Unsere Testseiten waren offensichtlich nicht auf der Blacklist, da sie nicht indexiert sind. Als uns der Malware-Scan-Bericht von iThemes also einen sauberen Zettel für eine Website voller Malware lieferte? Nicht beeindruckt.

Themen-Scanner

Malware-Reinigung

iThemes Security hat keine Malware-Reinigung, weder automatisch noch anderweitig. Wordfence kann Malware-Dateien reparieren, aber die Wirksamkeit hängt von der erkannten Malware ab. Wordfence hat einen erstklassigen Malware-Entfernungsdienst, der stolze 490 US-Dollar pro Seite kostet.

Nach dem Scannen listet Wordfence 2 Optionen für den Umgang mit gehackten Dateien auf – abgesehen von einem CTA, um professionelle Hilfe zu erhalten: Alle löschbaren Dateien löschen und alle reparierbaren Dateien reparieren.

Die Löschoption hat 1 Datei erfolgreich und fehlerfrei entfernt, nachdem eine erschreckende Meldung darüber angezeigt wurde, wie das Löschen von Dateien Ihre Website beschädigen kann. Es ist wahr, aber Malware ist auch beängstigend! Wie auch immer, die Option war so etwas wie eine feuchte Zündpille, also ging man stattdessen zur Reparaturoption über. Die Reparaturoption hatte eine ähnliche Warnung, aber wir haben durchgeschaltet und konnten die meisten Dateien reparieren. Als wir die Seite durch den MalCare-Scanner laufen ließen, war die Seite frei von Malware.

Benachrichtigung zum Löschen von Dateien in Wordfence

Die meisten anderen Sicherheits-Plugins versagten an dieser Stelle, sodass wir nicht viel weiter testen mussten. Wir hatten unsere Ergebnisse. Die Malware-Signaturdatenbank von Wordfence ist jedoch umfassend, also haben wir das Netz erweitert.

Wir haben die gehackte Weiterleitungs-Malware zu unserer Website-Datenbank hinzugefügt, mit ein paar Instanzen des japanischen Keyword-Hacks für ein gutes Maß. Wir haben auch Teile von Malware in unseren Premium-Plug-ins und -Themen versteckt, weil wir vermuteten, dass diese Dinge den Scanner und den Reiniger zum Stolpern bringen würden. Und das taten sie.

Die Schlussfolgerung war, dass, wenn das Wordfence-Team die Malware gesehen hat, die Reparatur der Dateien funktioniert. Sonst geht es nicht. Wordfence schlägt auch fehl, wenn Malware in der Datenbank vorhanden ist. Malware wie die des Redirect-Hacks oder auch nur neuere Malware wird also definitiv übersehen. Es wird auch Malware in Nicht-Kern-WordPress-Dateien oder nicht öffentlichen Plugins und Themen übersehen. Wordfence ist nicht in der Lage, Malware in Premium-Plugins und -Designs zu finden.

Falls die automatische Reparatur nicht funktioniert, können Sie sich für den Malware-Entfernungsdienst von Wordfence entscheiden. Der Dienst entfernt Malware, Backdoors und bewertet die Website auf Schwachstellen. Wordfence hilft auch dabei, die von Malware befallene Website von allen Blacklists zu entfernen, auf denen sie möglicherweise gelandet ist. Die Site-Bereinigung wird für ein Jahr garantiert, nur wenn der Site-Administrator die Post-Hack-Anweisungen buchstabengetreu befolgt. Wir können die Wirksamkeit des Malware-Entfernungsdienstes nicht kommentieren, da wir ihn nicht ausprobiert haben.

Wie wir bereits gesagt haben, kann iThemes Security keine Malware bereinigen, also gibt es dazu nichts weiter zu sagen.

Unserer Erfahrung nach ist die Malware-Bereinigung der kritischste Aspekt der WordPress-Sicherheit. Es sollte auf jeden Fall immer nur von Sicherheitsexperten durchgeführt werden, da die Gefahr besteht, dass die Dinge schrecklich schief gehen. MalCare bietet Ihnen die Möglichkeit, Malware automatisch zu löschen und auf Sicherheitsexperten zuzugreifen, um bei eventuell auftretenden Problemen zu helfen.

Firewall

iThemes Security hat keine Firewall. Wordfence verfügt über eine Webanwendungs-Firewall, die effektiv vor den meisten großen und verbreiteten Bedrohungen schützt. Die kostenlose Version erhält jedoch später Updates als die Premium-Version.

Eine WordPress-Firewall ist ein wichtiger Teil Ihres Sicherheitsarsenals, da sie Angriffe und schädlichen Datenverkehr durch die Verwendung von Regeln abhält. Bei den meisten der von uns überprüften Sicherheits-Plugins haben wir es vermieden, die eher technischen Details zu erklären, da es keinen Sinn machte, weil die Firewalls entweder schrecklich oder nicht vorhanden waren. Aber mit Wordfence wurden die Dinge etwas komplizierter.

Als wir Wordfence installiert haben, ging die Firewall direkt in den Lernmodus. Dies ist ein erforderlicher Schritt, damit die Firewall den normalen Datenverkehr der Website verstehen und somit Bedrohungen effektiver blockieren kann. Da wir keine Zugriffe auf unsere Websites erhalten, haben wir den Lernmodus sofort deaktiviert, obwohl empfohlen wird, ihn mindestens eine Woche lang eingeschaltet zu lassen.

Wordfence-Firewall-Lernmodus

Es gibt einen separaten Abschnitt zum Verwalten der Wordfence-Firewall, also haben wir das als nächstes untersucht. Wenn Sie es zum ersten Mal sehen, wird erklärt, was eine Firewall ist und was sie tut, um Ihre Website zu schützen. Außerdem wird hier der Begriff „Web Application Firewall“ mit einer kurzen Beschreibung eingeführt.

Nachdem wir sowohl die kostenlose als auch die Premium-Firewall getestet haben, ist klar, dass Wordfence in beiden Versionen eine hervorragende Firewall hat. Beide hielten eine Reihe von SQL-Injection-Angriffen, Cross-Site-Request-Fälschungen, Remote-Code-Injections und Cross-Site-Scripting-Angriffen ab. Wir waren nicht in der Lage, Plugin- und Theme-Schwachstellen auszunutzen.

Da dachten wir, wir sollten tiefer graben: Was ist der Unterschied zwischen der kostenlosen und der Premium-Version?

Bei den Firewall-Optionen erklärt Wordfence den Unterschied: Die kostenlose Version lädt als reguläres Plugin, nachdem WordPress geladen wurde. Außerdem erhält die Premium-Version Regelaktualisierungen in Echtzeit, während die kostenlose Version Aktualisierungen nach einer unbestimmten Zeit erhält.

Beides hat uns zu denken gegeben.

Erstens sollte eine Firewall für den besten Schutz zuerst geladen werden, aber die meisten Sicherheits-Plugins mit Firewalls werden oft wie ein normales Plugin nach WordPress geladen. Wenn dies der Fall ist, kann die Wordfence-Firewall den größten Teil des schädlichen Datenverkehrs abwehren, aber sicherlich nicht den gesamten.

Zweitens hat Wordfence die aktuellste Firewall, aber Nicht-Premium-Benutzer erhalten später Updates. Auch dieses Fenster ist problematisch, da Hacker währenddessen angreifen können. Wann erhält die kostenlose Firewall Regelaktualisierungen: Tage, Wochen oder Monate später? Wer weiß.

Es überrascht nicht, dass iThemes keine Firewall hat.

Schwachstellenerkennung

iThemes Security kann Schwachstellen nicht erkennen, geschweige denn helfen, sie zu beheben. Wordfence hat alle Schwachstellen aufgegriffen, die wir in die Website gestopft haben, unabhängig davon, ob sie beliebt oder obskur sind.

Wordfence hat alle veralteten Plugins mit entdeckten Schwachstellen korrekt als kritische Bedrohungen gekennzeichnet. Wir haben auch eine Reihe obskurer Plugins in die Liste aufgenommen, einige mit weniger als 200 Benutzern. Die anderen Plugins konnten diese Schwachstellen nicht erkennen, daher ist es erfrischend zu sehen, dass Wordfence dies tat. Der Scanner hat sogar veraltete Plugins als mittlere Bedrohung gekennzeichnet, was hervorragend ist, da es immer gut ist, alles auf dem neuesten Stand zu halten.

Wordfence-Schwachstellenerkennung

Sie können Schwachstellen nicht direkt über das Wordfence-Dashboard beheben. Die meisten anderen Plugins, wie Jetpack und Sucuri, empfahlen Updates und ermöglichten es Ihnen, diese über dasselbe Panel durchzuführen. Aber wenn man sich in Wordfence umsieht, gibt es dafür keine Möglichkeit. Es bringt Sie jedoch zum Update-Dashboard, was gut genug ist. Es gibt keinen logischen Grund, vorhandene Funktionen zu replizieren, die bereits auf wp-admin vorhanden sind.

Interessanterweise zeigte uns der Scanner auch Fehler mit den iThemes- und BackupBuddy-Plugins, die wir auf einer der Testseiten installiert hatten. Es scheint Codierungsanomalien in den Plugins zu geben.

Wir hatten gehofft, dass der iThemes-Scanner zumindest nach Schwachstellen sucht, wenn man bedenkt, dass er als Malware-Scanner versagt hat. Yeah Nein.

Darüber hinaus verfügt das iThemes-Dashboard über einen Zähler, der anzeigt, wie viele Updates seit der Installation des Plugins vorgenommen wurden. Wir stellen uns vor, dass diese schlechte Entschuldigung für eine Metrik hilfreich sein soll, um Plugin- und Theme-Updates im Auge zu behalten. Das ist es aber wirklich nicht.

Brute-Force-Login-Schutz

iThemes blockiert manchmal Brute-Force-Angriffe, manchmal nicht. Wordfence blockiert zielsicher alle Brute-Force-Angriffe.

Bei iThemes haben wir inkonsistente Brute-Force-Blöcke gesehen. Als wir versuchten, eine Reihe schlechter Anmeldeinformationen auf der Anmeldeseite einzugeben, blockierte iThemes nur die Versuche auf einer Seite, aber nicht auf der anderen. Der einzige Unterschied zwischen beiden Seiten bestand darin, dass die erste Malware enthielt, die zweite nicht. Malware ist normalerweise das Ergebnis eines erfolgreichen Login-Angriffs, daher ist dieser Unterschied wahrscheinlich nicht der Grund. Nachdem die Tests mehrere Stunden wiederholt wurden, waren die Ergebnisse nicht schlüssig. Wir haben es schließlich aufgegeben, herauszufinden, was ein Fehler zu sein scheint.

Nach dieser Übung in tiefer Frustration haben wir die iThemes-Protokolle überprüft. Jeder falsche Login-Versuch wurde dort als Brute-Force-Attacke registriert, auch wenn wir unser Passwort wirklich vergessen haben. Und doch hat das Plugin nicht alle blockiert. Sehr seltsam und daher unzuverlässig.

Bei Wordfence haben wir uns zunächst die Einstellungen angeschaut. Der Brute-Force-Schutz ist standardmäßig aktiviert, und Sie können in den Firewall-Bereich gehen, um die Optionen anzupassen.

Sie können Sperren für falsche Anmeldeversuche festlegen und sogar festlegen, wie lange ein Benutzer nach einer bestimmten Anzahl falscher Anmeldeversuche gesperrt wird. Besonders toll ist, dass sie in einer großartigen Dokumentation erklären, was jede Option bewirkt und wie man sie am effektivsten zum Schutz der Website einsetzt.

Sie können eine Zulassungsliste für IPs festlegen, die nicht von der Firewall getestet werden sollen. Wir haben diese Funktion in vielen Plugins gesehen, aber mit sich ändernden Geräte-IPs macht es nicht viel Sinn.

Die starken Passwortoptionen sind auch hier. Sie können starke Passwörter erzwingen, die Verwendung von Passwörtern verhindern, die bei Datenschutzverletzungen gefunden wurden, und vieles mehr.

Wordfence Brute-Force-Schutz

Schließlich sind wir zum Testen gekommen, und der Brute-Force-Schutz funktioniert genau gemäß den von uns gewählten Einstellungen. Jedes Mal perfekt.

Ihr Zugriff auf diese Website wurde vorübergehend eingeschränkt

Aktivitätsprotokoll

iThemes-Aktivitätsprotokoll protokolliert nicht alle Ereignisse, daher ist es nutzlos. Wordfence hat überhaupt kein Aktivitätsprotokoll.

Wir sind große Befürworter des bescheidenen Aktivitätsprotokolls. Es ist ein notwendiges Sicherheitstool, da Hacker die unzureichende Protokollierung ausnutzen, um Websites anzugreifen. Idealerweise möchten Sie ein zuverlässiges Protokoll, das die richtigen Informationen über das Geschehen auf Ihrer Website enthält.

Also nicht wie das, was iThemes hat. Das iThemes-Aktivitätsprotokoll verspricht gute Informationen, wie Benutzeraktivität, Versionsverwaltung, Site-Scans und Brute-Force-Angriffe. Diese werden jedoch nicht genau protokolliert, sodass nicht darauf vertraut werden kann, dass sie das richtige Bild anzeigen. Abgesehen davon gibt es nichts über Plugins oder Themes.

Themenprotokolle

Wordfence hat überraschenderweise kein Aktivitätsprotokoll. Es gibt eine Option zum Aktivieren des Debuggens im Abschnitt „Diagnose“ unter „Tools“, wodurch Firewall-Protokolle ausführlicher werden. Es gibt ein vollständiges Aktivitätsprotokoll für Wordfence-Ereignisse nur im Scan-Bereich, aber das ist nicht dasselbe wie ein Aktivitätsprotokoll. Außerdem ist es ein Rohprotokoll, das ausschließlich für Wordfence-Entwickler bestimmt ist. Durch die Aktivierung des Debugging-Modus verbrauchen Sie auch mehr Serverressourcen. Es wird in diesem Abschnitt sehr deutlich gesagt.

Wordfence-Aktivitätsprotokoll

Zwei-Faktor-Authentifizierung

iThemes verfügt über eine hervorragende Zwei-Faktor-Authentifizierung, die sofort einsatzbereit ist. Dasselbe gilt für Wordfence.

Die Zwei-Faktor-Authentifizierung funktioniert bei beiden Plugins einwandfrei. Beide haben eine große Auswahl an Optionen und eine minimale Einrichtung. Bei Wordfence war die Zwei-Faktor-Authentifizierung früher ein Premium-Feature, das sie jetzt auch für kostenlose Benutzer aktiviert haben.

Wordfence Zwei-Faktor-Authentifizierung
Wordfence
Themen 2fa
iThemes

Wir haben nur eine kleine Beobachtung mit der Pro-Version von iThemes. Es gibt viele Einstellungen, die Anmeldetoken in der Pro-Version entfernen: passwortlose Anmeldung, vertrauenswürdige Geräte, magische Links und so weiter. Sie stellen sich unserer Meinung nach direkt gegen das Prinzip der Zwei-Faktor-Authentifizierung, indem sie den Login-Prozess erleichtern.

Nutzung der Serverressourcen

iThemes ist sehr freundlich zu Ihren Serverressourcen, da es überhaupt nichts tut. Wordfence wird von bestimmten Webhostern aufgrund seiner immensen Kosten für Serverressourcen tatsächlich verboten.

Wir waren ziemlich aufgeregt, Wordfence auf Herz und Nieren zu prüfen. Die eigentliche Überraschung kam jedoch, als wir die Leistung der Website überprüften. Die Scans verdoppelten und verdreifachten in einigen Fällen die Festplattennutzung unserer Website, während die Wordfence-Scans stattfanden. Wir erkennen an, dass unsere Testseiten sehr klein sind, sodass sie zunächst nicht zu viele Ressourcen verbrauchen, aber es ist dennoch ein bedeutender Sprung. Auf größeren Websites wäre die Strafe beträchtlich.

Tatsächlich werden alle Änderungen an den Standardeinstellungen mit einer Warnung versehen, dass mehr Serverressourcen verbraucht werden. Es kann dann davon ausgegangen werden, dass Wordfence Siteserver-Ressourcen verwendet, um alle seine Aufgaben auszuführen.

Diagramm zum Ressourcenverbrauch des Wordfence-Servers

Was schon schlimm genug ist, aber mit der Firewall noch viel schlimmer wird. Jeder anhaltende Angriff wird die Website überwältigen, selbst wenn sie gegen diese Exploits geschützt ist.

Die Nutzung von Serverressourcen ist selten ein Thema in der Website-Sicherheit, aber oft beeinträchtigen Sicherheits-Plugins die Website-Leistung spürbar. So sehr, dass der Administrator einen Kompromiss zwischen Sicherheit und Benutzerfreundlichkeit eingehen muss. Wir glauben nicht, dass dies jemals der Fall sein sollte, und Sie können Ihren Kuchen haben und ihn auch mit MalCare essen.

iThemes ist großartig für Ihre Serverressourcen. Dasselbe gilt für die Sicherheit Ihrer Website.

Warnungen

iThemes sendet Ihnen keine Benachrichtigungen. Wordfence sendet viel zu viele.

Warnungen müssen den idealen Punkt zwischen keiner und zu vielen treffen. Beides sind gleich schlechte Extreme, denn das Endergebnis ist, dass Sie keine Ahnung haben, wie die Sicherheit Ihrer Website tatsächlich ist.

Der Scanner von Wordfence kann viele Fehlalarme generieren, sodass Sie nicht wirklich wissen, wann Ihre Website wirklich gehackt wurde. Nach einem gewissen Punkt kann es wie der Junge werden, der Wolf rief. Dasselbe mit der Firewall. Die Firewall sollte nur Angriffe blockieren, ohne jedes Mal einen Alarm auszulösen, da sie keinen Zweck erfüllt. Daher sind wir der Meinung, dass Wordfence zu viele Alarme generiert, um überhaupt nützlich zu sein.

iThemes sendet eine Reihe völlig banaler, nutzloser E-Mails: Benachrichtigungsberichte über Dateiänderungen, Datenbanksicherungen und andere Bestätigungen unserer Einstellungen. Es gibt auch einen täglichen Sicherheitsüberblick über unsere Website und einen wöchentlichen Schwachstellenbericht. Wir stellen uns vor, dass dies nach unserem Wissen ist, damit wir die anstößigen Plugins und Themes auf unserer einen oder vielen Websites manuell aktualisieren können.

ithemes Security Digest

Installation, Konfiguration und Benutzerfreundlichkeit

Wordfence lässt sich wie ein Zauber installieren. Keine komplexen Einstellungen und obskuren Konfigurationen. iThemes hingegen war wirklich schwierig.

iThemes ist täuschend einfach zu beginnen und entwickelt sich dann langsam zu vielen nutzlosen Einstellungen. Es gibt eine langwierige Konfiguration, durch die man waten muss, bevor das Dashboard überhaupt erstellt wird. Um ehrlich zu sein, hätten wir die Zeichen lesen und diese als verlorene Sache aufgeben sollen. Aber wir sind Fresser für die Bestrafung, die sich zum Wohle der Allgemeinheit durchsetzen.

Einrichtung von Themen

Die Installation von Wordfence war sehr einfach und es gibt keine Konfigurationsoptionen im Voraus. Der erste Bildschirm, der angezeigt wird, ist das E-Mail-Abonnement, das eindeutig besagt, dass Sie Sicherheitsnachrichten in Ihrem Posteingang erhalten. Der nächste Bildschirm ist eine Aufforderung zum Upgrade auf Premium. Zu diesem Zeitpunkt wussten wir nicht, welche Funktionen das kostenlose Plugin hatte, also haben wir unsere Premium-Lizenz nicht sofort hinzugefügt.

Es gibt eine 3-Tooltip-Komplettlösung, wenn Sie das Dashboard zum ersten Mal auf wp-admin besuchen. Die Benutzerfreundlichkeit und Sprache von Wordfence ist großartig. Es gibt klare Erklärungen für die Funktionen und wie sie sich auf die Sicherheit auswirken. Es ist nicht überwältigend, noch macht es dummes Zeug.

Das Dashboard-Design ist sehr intuitiv und Sie sehen auf einen Blick alle wichtigen Sicherheitsaspekte Ihrer Website. Insgesamt war unser erster Eindruck von Wordfence grandios.

Zusätzlich gibt Ihnen Wordfence nützliche Empfehlungen zur Konfiguration. Die Dokumentation, auf die Sie über die QuickInfos im Dashboard zugreifen können, ist stark kontextbezogen. Es legt klar dar, was jede Funktion tut und warum, und erklärt, wie Sie sie optimal einstellen, damit sie auf Ihrer Website funktioniert. Auch hier ist bemerkenswert, wie zugänglich die verwendete Sprache ist.

iThemes: Extras

Nachdem ich die kritischen Aspekte der Sicherheit überprüft und festgestellt habe, dass iThemes stark fehlen, scheint dieser Abschnitt fast lächerlich zu sein.

iThemes hat das Plugin mit vielen Funktionen vollgestopft, die wenig bis gar keine Auswirkungen auf die Sicherheit haben. Ein typisches Beispiel: die Whitelist-IP-Funktion. Unsere Geräte-IPs ändern sich ständig, daher ist dies keine Garantie dafür, dass bestimmte Personen auf die Website durchgelassen werden, was vermutlich der Punkt ist.

Es gibt auch einen Dateiänderungsmonitor, der alle 24 Stunden einen Bericht an Ihre E-Mail-Adresse sendet. Der Bericht enthält eine Liste aller geänderten Dateien. Nicht was die Änderung war, wer sie gemacht hat oder wann genau sie passiert ist. Nein, nur eine E-Mail mit der Aufschrift: „Hallo! All dies auf Ihrer Website ist jetzt anders als gestern. Wiedersehen!"

ithemes-Datei ändern

Nachdem wir unsere Verärgerung überwunden hatten, wollten wir anerkennen, dass iThemes ein gutes Passwortverwaltungssystem hat. Sie können sichere Passwörter erzwingen und die Verwendung kompromittierter Passwörter auf der Website verweigern. Wir konnten dies nicht abschließend testen, aber auch hier waren die Ergebnisse lückenhaft.

ithemes Benutzersicherheitsprofile

Es gibt eine nützliche Härtungsfunktion: das Blockieren der PHP-Ausführung im Uploads-Ordner. Die anderen sind Unsinn.

Wordfence: Extras

Wordfence-Extras sind alle streng sicherheitsrelevant. Keine angrenzenden hilfreichen Funktionen wie Updates oder Benutzerverwaltungsoptionen. Allerdings gibt es viele Extras.

Nach der Erstinstallation sahen wir einen Benachrichtigungsbereich für Site-Updates. Auf unserer Testseite zeigte es uns, dass 5 Plugins aktualisiert werden mussten.

Es gibt einen Wordfence Central-Status, mit dem Sie mehrere Sites vom wp-Admin jeder Site aus verwalten können. Dies ist sinnvoll, wenn Sie mehrere Websites in demselben Konto haben, der Speicherplatz jedoch begrenzt ist und für Agenturen mit Hunderten von Websites nicht funktioniert. Gut, dass es ein externes Dashboard gibt. Sie müssen ein Konto auf der Wordfence-Website erstellen, um auf Wordfence Central zugreifen zu können. Unserer Meinung nach macht es keinen Sinn, die zentrale Box auf dem Site-Dashboard zu haben.

Wir haben alle Testseiten zu Wordfence Central hinzugefügt und alle aus der Vogelperspektive betrachtet. Es ist nicht das beste Layout für mehr als 20 Seiten. Die Idee ist gut, die Umsetzung mangelhaft.

Wordfence-Zentrale

Als nächstes haben wir uns den Abschnitt Tools angesehen. Es gibt ein Panel für Live-Traffic, das auf den ersten Blick wie eine Version von Google Analytics aussah, sich aber als mehr als das herausstellte. Sie können die Verkehrsprotokolle so einstellen, dass sie den gesamten Datenverkehr oder nur sicherheitsrelevanten Datenverkehr enthalten. Die Protokolle sind großartig, denn es gibt eine klare Legende, die angibt, welche Art von Verkehr die Website erhält: Mensch, Bot, Warnung, Blockiert.

Live-Traffic in Wordfence

Es gibt auch eine Whois-Suche, falls Sie sehen möchten, wer Ihre Website angreift. Dies ist bestenfalls ein Schnickschnack, da diese Funktion auch online leicht verfügbar ist.

Die Diagnose ist ein interessantes Feature. Es enthält eine ganze Reihe von Informationen über die Website, von Prozessbesitzern bis hin zu Datenbanktabellen und mehr. Es ist wie eine Spezifikation der Website an einem Ort, zusammen mit dem Status jedes dieser Dinge. Schwer vorstellbar, wie ein gewöhnlicher Benutzer (Nicht-Entwickler) diese Informationen verwenden würde, aber definitiv nützlich für einen Entwickler.

Diagnose in wordfence

Was in iThemes Security und Wordfence fehlt

iThemes fehlt ein Scanner, Cleaner und eine Firewall. Also, it would be nice if it had functional brute force protection and activity log, and detected a vulnerability on occasion. One can hope.

Wordfence doesn't have bot protection nor an activity log. Other than that, it is a comprehensive and well-rounded security plugin.

Wordfence vs iThemes Security: Pricing

It is not worth buying iThemes Security, because its only worthwhile feature is two-factor authentication, which is available for free. Wordfence premium is available for $99 for the year, but the free version is strong enough on its own.

Wordfence's free plugin is really great, considering it is free. The premium licenses are at a max of $99 per site, and get progressively lower with the more licenses you purchase.

wordfence premium license details

The real kicker is the site cleaning service which is a hefty $490 per site, and although they say unlimited pages in the features, additional charges may apply for sites above 10 GB—which, fair enough. They do have a malware removal guarantee for 1 year, but there are caveats in the small print. So read those carefully.

After reading this article, you know that iThemes isn't worth your money. Use it for two-factor authentication or get a dedicated plugin for that feature.

iThemes pricing

Better alternative to iThemes Security and Wordfence: MalCare

The best thing you can do for your website is to invest in a good security plugin. The plugin should scan, clean and protect your website from all manner of threats. During our testing series, only one plugin stood out: MalCare. It outshines iThemes in every way, and has a much better scanning, auto-cleaning, firewall, and notifications compared to Wordfence. It is a no-brainer.

MalCare's $99 Basic plan includes unlimited cleanups, which is equivalent to Wordfence's $99 plan and $490 per cleanup needed thereafter.

Fazit

We hope this article helped you decide on a way forward for your website security. If you have any questions or thoughts, do drop us a line. We would love to hear from you!