Jetpack oder Wordfence: Was ist besser?

Veröffentlicht: 2022-04-22

Jetpack ist ein Mehrzweck-Verwaltungs-Plugin und verpackt Backups, Sicherheit, Wachstum und Geschwindigkeit in einem praktischen Dandy-Plugin. Außerdem hat es das Gütesiegel, aus dem Automattic-Stall zu stammen, also hat es offensichtlich Gewicht in der WordPress-Domäne.

Unser anderer Konkurrent ist Wordfence, heute wohl das beliebteste WordPress-Sicherheits-Plugin. Sie sind bekannt für ihren kompromisslosen Sicherheitsansatz und die hervorragenden Sicherheitsressourcen, die sie konsequent entwickeln.

Wir haben 5 WordPress-Sicherheits-Plugins in einer 1,5-monatigen Testreihe auf Herz und Nieren geprüft. Wir wollten herausfinden, wie jedes Plugin mit Malware, Angriffen, Schwachstellen und mehr fertig wird.

URTEIL Vielleicht ist es besser, eine Sache wirklich gut zu machen, als viele Dinge zu tun, aber durchschnittlich zu sein. Zwischen Jetpack vs. Wordfence , Denn Jetpack hat unabhängig von seinem WordPress-Stammbaum in diesem heftigen Kampf verloren. Wordfence ist ein großartiges kostenloses Sicherheits-Plugin mit einigen Nachteilen, aber immer noch eine bessere Option für Jetpack.

Unsere Wahl

Die zentrale Idee hinter dieser Testreihe war es, das beste WordPress-Sicherheits-Plugin für Ihre Website zu finden. Zu diesem Zweck haben wir die 5 besten Plugins und 3 Testseiten genommen und uns 45 Tage Zeit genommen, um alle Vor- und Nachteile jedes Plugins herauszufinden.

Unsere 3 Testseiten waren wie folgt aufgebaut: ein einfacher Blog mit rund 500 Beiträgen, Bildern und Kommentaren als Kontrolle; eine Website mit anfälligen Plugins und Designs; und schließlich eine Website voller verschiedener Arten von Malware. Wir haben die Plugins SQL-Injection-Angriffen, RCE-Angriffen und Brute-Force-Angriffen ausgesetzt und sie gleichzeitig gegen Redirect-Malware, Pharma-Hack, japanische Keyword-Malware und vieles mehr getestet.

Jedes Plugin verfügt über unterschiedliche Funktionen, aber für die Sicherheit von WordPress sind die wichtigsten der Scanner, der Cleaner und die Firewall. Es gibt auch andere Good-to-Haves, aber diese sind kritisch.

Am Ende von 45 Tagen kristallisierte sich ein klarer Gewinner heraus: MalCare. Mit einem ausgeklügelten Scanner, einem automatischen Malware-Reiniger und einer fortschrittlichen Firewall war es unschlagbar. Suchen Sie nach dem besten Sicherheits-Plugin für Ihre WordPress-Website? Wählen Sie MalCare.

Inhalt verstecken
1 Zusammenfassung des Vergleichs zwischen Jetpack und Wordfence
1.1 Jetpack auf den Punkt gebracht
1.2 Wordfence auf den Punkt gebracht
2 So wählen Sie das beste Sicherheits-Plugin aus
3 Worfence vs. Jetpack Security: Direkter Vergleich der Funktionen
3.1 Malware-Scannen
3.2 Malware-Bereinigung
3.3 Firewall
3.4 Schwachstellenerkennung
3.5 Brute-Force-Login-Schutz
3.6 Aktivitätsprotokoll
3.7 Zwei-Faktor-Authentifizierung
3.8 Nutzung der Serverressourcen
3.9 Warnungen
3.10 Installation, Konfiguration und Benutzerfreundlichkeit
3.11 Jetpack: Extras
3.12 Wordfence: Extras
4 Was in Jetpack und Wordfence fehlt
5 Jetpack vs. Wordfence: Preise
6 Bessere Alternative zu Jetpack und Wordfence: MalCare
7 Fazit

Zusammenfassung des Vergleichs zwischen Jetpack und Wordfence

Wenn Sie sich gefragt haben, Jetpack vs. Wordfence – was soll man wählen? Wählen Sie Wordfence. Als Sicherheits-Plugin ist es um Größenordnungen besser.

Wir mögen den All-in-One-Ansatz von Jetpack für die WordPress-Administration, aber an der Sicherheitsfront muss es wirklich schlagen, besonders im Vergleich zu Wordfence. Das bedeutet nicht, dass Wordfence keine eigenen Probleme hat; nur dass es kontextuell besser ist als Jetpack.

Vergleich zwischen Jetpack und Wordfence

Letztendlich sind weder Jetpack noch Wordfence die beste Option für die Sicherheit Ihrer Website. Wir werden später in diesem Artikel mehr ins Detail gehen, aber wenn Sie auf den Punkt kommen wollen, laden Sie das beste Sicherheits-Plugin seiner Klasse herunter: MalCare.

Jetpack kurz zusammengefasst

Der Malware-Scanner von Jetpack ist bestenfalls mittelmäßig. Es wird in der Lage sein, einen Teil der Malware auf Ihrer Website zu erkennen. Allerdings gibt es weder eine Reinigungsoption noch eine Firewall. Obwohl es einige anständige Sicherheitsfunktionen gibt, haben sie weniger Einfluss auf die Sicherheit der Website. Insgesamt ist Jetpack keine gute Option.

Bei jedem Sicherheits-Plugin suchen wir im Voraus nach drei wichtigen Faktoren: Malware-Scanner, Malware-Reiniger und Firewall. Jetpack ist bereits 2 von 3 dieser Liste durchgefallen, also haben wir uns zunächst den Malware-Scanner angesehen.

Jetpack war nach iThemes das zweite Plugin, das wir getestet haben, und ehrlich gesagt waren wir froh, dass etwas so funktionierte, wie es sollte. Offensichtlich ist dies kein guter Ansatz, wenn man versucht, objektiv zu sein, also haben wir viel Malware auf Jetpack geworfen, um zu sehen, wie es reagieren würde. Enttäuschenderweise hat der Malware-Scanner etwa 30 % der infizierten Dateien und Ordner auf unserer gehackten WordPress-Website entdeckt.

Als wir die anderen Funktionen, wie den Brute-Force-Schutz, ausprobierten, funktionierte es uneinheitlich. Manchmal wurden die Angriffe gestoppt, manchmal konnten wir keine Reaktion hervorrufen. Das Plugin hat auch nicht alle Schwachstellen auf der Website erkannt. Die undurchsichtigeren blieben unentdeckt, obwohl sie schwerwiegende Sicherheitslücken enthielten. Unsere Testseite hatte nur wenige anfällige Themes und Plugins, also war das Ergebnis von 2 von 3 nicht schlecht. Bei einer größeren Website mit mehr Software ist dieses Verhältnis jedoch sicherlich viel schlechter.

Es war aber nicht alles schlecht. Das Aktivitätsprotokoll von Jetpack ist wirklich großartig und benutzerfreundlich. Kein obskurer Tech-Jargon, den die Menschen nicht leicht verstehen können. Gut gefallen hat uns auch die integrierte Backup-Funktion, denn Backups können bei einer infizierten Seite die letzte Rettung sein. Wir konnten die Sicherungen jedoch nicht testen, da dies den Rahmen dieses Experiments sprengen würde.

Insgesamt ist Jetpack ein unterdurchschnittliches Sicherheits-Plugin. Wir hätten angesichts des enormen Preises viel mehr erwartet, aber es ist immer noch nicht der Boden des Fasses für uns. Diese zweifelhafte Ehre geht an iThemes.

Wordfence auf den Punkt gebracht

Nach MalCare ist Wordfence das beste kostenlose Sicherheits-Plugin, das wir getestet haben. Wenn Sie kein Budget für Website-Sicherheit haben, bietet Ihnen Wordfence die beste Website-Sicherheit. Der Scanner erkennt die meisten dateibasierten Malware, und die automatische Reparatur wird das meiste davon entfernen. Die Firewall ist eine der aktuellsten verfügbaren, aber wenn Sie sich für die kostenlose Version entscheiden, sollten Sie sich darüber im Klaren sein, dass sie keine Echtzeit-Updates erhält. Wordfence hat auch einen Malware-Entfernungsdienst, aber es ist teuer.

Wir haben Wordfence zum letzten Mal in unserer Testreihe verlassen, weil wir uns sehr darauf gefreut haben, das anerkannte Schwergewicht der WordPress-Sicherheits-Plugins auszuprobieren. Mit Ausnahme von MalCare waren die anderen Plugins bestenfalls enttäuschend, schlimmstenfalls erschreckend.

Wordfence-Installation

Der Scanner von Wordfence hat die gesamte dateibasierte Malware in den WordPress-Kerndateien, dem Website-Root und in den Plug-in- und Theme-Dateien und -Ordnern erkannt. Oberflächlich betrachtet mag dies wie ein großartiger Scanner aussehen, und in vielerlei Hinsicht ist er definitiv überdurchschnittlich. Wordfence konnte jedoch keine Malware erkennen, die in Premium-Plugins und -Designs und in einigen Fällen auch in der Datenbank versteckt war.

Abgesehen davon, dass er nicht jeden Winkel Ihrer Website überprüfen kann, besteht der größte Nachteil des Scanners darin, dass unsere Websites einen Leistungseinbruch erlitten haben. Wordfence verwendet Serverressourcen, um alles auf der Website zu tun. Das ist nicht gut.

An dieser Stelle ist Wordfence immer noch besser als alle anderen von uns getesteten Sicherheits-Plugins. Unsere Meinung stieg um einige Stufen, als wir die automatische Reparaturfunktion ausprobierten, und sie entfernte alle erkannte Malware. Natürlich war es nicht möglich, die nicht erkannte Malware zu entfernen, aber die automatische Malware-Entfernung geht viel schneller, als darauf zu warten, dass ein Sicherheitsexperte die Website säubert. Auch dies ist viel besser als die anderen von uns getesteten Plugins, mit Ausnahme von MalCare.

Zuletzt haben wir die Firewall ausprobiert, die mehrere Exploits wie SQL-Injection, XSS-Angriffe und Remote-Code-Injections effektiv blockierte.

Wordfence ist ein großartiges kostenloses Sicherheits-Plugin, aber es ist anfällig für Fehlalarme und sendet Warnungen für jede kleine Sache, die die Firewall blockiert. Nach ein paar Tagen konnten wir das Signal wegen des ganzen Lärms nicht finden. Ehrlich gesagt sind zu viele Warnungen genauso schlecht wie keine Warnungen, weil sie zum gleichen Ergebnis führen: keine Aktion.

Nachdem wir die 3 wichtigsten Sicherheitsfunktionen überprüft hatten, probierten wir die Zwei-Faktor-Authentifizierung und den Brute-Force-Schutz aus. Beide funktionieren wirklich gut. Wordfence hat auch alle Schwachstellen auf unseren Websites entdeckt, sogar eine in einem obskuren Plugin, die die meisten anderen Plugins nicht erkannt haben.

Was wir an Wordfence absolut geliebt haben, war die großartige Benutzererfahrung. Kein unnötiger, erschreckender Jargon und komplexe Sicherheitsbegriffe auf dem Dashboard. Einfache Sprache, mit klaren Empfehlungen für neue Administratoren.

Wir waren überrascht, dass Wordfence kein Aktivitätsprotokoll hat, außer einem Rohprotokoll, das offensichtlich für Wordfence-Entwickler bestimmt ist. Es schützt auch Websites nicht vor bösartigen Bots, was seltsam ist.

Wordfence-Dashboard

Zusammenfassend ist Wordfence sehr empfehlenswert für Websites, die kein Budget für Sicherheit haben. Es ist die beste kostenlose Option, bietet aber dennoch keine vollständige Sicherheit. Für diese Sicherheit sollten Sie sich stattdessen für MalCare entscheiden.

So wählen Sie das beste Sicherheits-Plugin aus

Mit all den fehlgeleiteten Expertenratschlägen, die online verfügbar sind, kann die WordPress-Sicherheit in den besten Zeiten eine Black Box sein. Viele Administratoren möchten sicher sein, dass ihre Websites geschützt sind, verstehen aber die Details nicht und wissen daher nicht, wie sie die beste Option für ihre Websites auswählen sollen.

Als Teil dieser Testreihe wollten wir sicherstellen, dass wir alle unsere Daten unvoreingenommen und zugänglich präsentieren. Das bedeutete, dass wir erklären mussten, wie und warum wir zu unseren Schlussfolgerungen gelangten.

Sicherheits-Plugins können eine Menge Funktionen haben, und manchmal dienen diese Funktionen dazu, die Ineffektivität zu verschleiern, die hinter all diesem Hype steckt. Wenn eine riesige Funktionsliste keine gute Metrik für die Auswahl eines Plugins ist, was dann? Nun, diese Faktoren:

  • Wesentliche Sicherheitsfunktionen
    • Malware-Scannen
    • Malware-Reinigung
    • Firewall
  • Gut zu habende Sicherheitsfunktionen
    • Schwachstellenerkennung
    • Brute-Force-Login-Schutz
    • Aktivitätsprotokoll
    • Zwei-Faktor-Authentifizierung
  • Potenzielle Probleme
    • Auswirkungen auf Serverressourcen

Wie Sie sehen können, ist dies eine sehr kurze Liste. Aber dies sind die Faktoren, die Hacker daran hindern, Ihre Website auszunutzen, und Malware daran hindert, Ihre Website zu stören, und Sie können beruhigt sein. Von allen Plugins, die wir getestet haben, war keines für uns das Richtige.

Tatsächlich ist das einzige Plugin, das diese Liste übertrifft, MalCare. Mit MalCare verfügt Ihre Website über einen hervorragenden Malware-Scanner, einen Cleaner, der Malware automatisch entfernt, ohne Ihre Website zu beschädigen, und eine Firewall, die Hacker daran hindert, Schwachstellen auszunutzen. Mit MalCare können Sie absolut nichts falsch machen.

Worfence vs. Jetpack Security: Direkter Vergleich der Funktionen

Um die Ergebnisse unseres Testprozesses fair und prägnant darzustellen, haben wir die Daten nach Merkmalen organisiert. Jedes Plugin hat seine Vor- und Nachteile, und je nachdem, wonach Sie suchen, hilft Ihnen dieser Abschnitt dabei, sowohl Wordfence als auch Jetpack anhand der Vorzüge dieser bestimmten Funktion zu beurteilen.

Wir haben die Liste vom Wichtigsten zum Unwichtigsten geordnet und unsere Erfahrungen mit Einstellungen, Installation und anderen Aspekten der Plugins zusammengefasst.

Wenn Sie es jedoch vorziehen, zum Schluss zu springen, empfehlen wir Ihnen, MalCare auf Ihrer WordPress-Website zu installieren und damit Schluss zu machen.

Malware-Scannen

Der Wordfence-Scanner hat die gesamte dateibasierte Malware in den wichtigsten WordPress-Dateien und -Ordnern sowie in kostenlosen Plugins und Designs gefunden. Aber es konnte keine Malware in unserer Website-Datenbank erkennen und einige Premium-Plugins und -Designs einfügen. Jetpack hat ungefähr 30 % der Malware auf unserer Website gefunden.

Sobald Sie Wordfence aktivieren, passieren sofort zwei Dinge: Der erste Site-Scan beginnt und die Firewall geht in den Lernmodus. Wir werden die Firewall später ausführlicher behandeln. Wir sahen, dass der Scanner lief und bald 60 % erreichte. Und dann blieb es eine Weile dort. Ok, wir dachten, dass es mehr Zeit braucht, um zu laufen, also ließen wir es für ein paar Stunden in Ruhe und stellten zurück, dass es immer noch bei 60 % war.

Die 60% sind übrigens kein Fortschrittsbalken für den Scanner, sondern ein Indikator für die Leistungsfähigkeit des kostenlosen Scanners. Um 100% zu erreichen, müssen Sie auf die Pro-Version upgraden. Dies war der erste und letzte Fall von kognitiver Dissonanz mit Wordfence, also haben wir es gelassen.

Wordfence kostenlos vs. Premium-Scanner

Wir haben Wordfence so eingestellt, dass es die Website erneut scannt, und waren angenehm überrascht, dass es wirklich schnell fertig war. 37 Sekunden, um genau zu sein, für unsere winzige Malware-verseuchte Website. Der Scanner hat die gesamte Malware in den WordPress-Kerndateien und in kostenlosen Plugins und Themes erkannt, aber weder in den Premium-Plugins noch in der Datenbank. Obwohl Wordfence eine großartige Alternative zu fast allen unseren Plugins da draußen ist (mit Ausnahme von MalCare natürlich), ist der Scanner nur absolut überdurchschnittlich.

Unser Fazit ist, dass die Malware-Datenbank von Wordfence umfangreich und relativ aktuell ist. Wenn das Wordfence-Team jedoch nicht auf Malware gestoßen ist, wird sie nicht in der Datenbank sein. Daher kann es Websites nicht vor neueren Bedrohungen schützen.

Wordfence-Scanner

Ein weiterer Nachteil des Scanners ist, dass er viele Fehlalarme erzeugt. Fehlalarme sind so gut wie keine Warnungen, weil sie zu Misstrauen gegenüber Warnungen und Selbstgefälligkeit führen.

Jetpack enthält einen Malware-Scanner als Teil seiner kostenpflichtigen Pläne. Obwohl es sich nicht um einen Patch für Wordfence handelt, haben wir festgestellt, dass Jetpack einige Malware entdeckt hat. Der Prozentsatz ist jedoch erheblich geringer als der von Wordfence und liegt bei etwa 30-50% Wirksamkeit, verglichen mit der 70-80%igen Wirksamkeit von Wordfence.

Jetpack-Scannen

Malware-Reinigung

Jetpack hat keine Malware-Reinigung, weder automatisch noch anderweitig. Wordfence hat zwar eine Option, infizierte Dateien zu reparieren, aber nur die Malware, die es überhaupt erkennt. Auf der anderen Seite bietet Wordfence einen erstklassigen Malware-Entfernungsdienst, der unglaubliche 490 US-Dollar pro Website kostet.

Nach dem Scan listet Wordfence die gehackten Dateien mit einer Empfehlung auf, die Dateien von ihren professionellen WordPress-Experten bereinigen zu lassen. Alternativ können Sie versuchen, die beiden automatischen Bereinigungsoptionen auf dem Dashboard zu verwenden: Alle löschbaren Dateien löschen und alle reparierbaren Dateien reparieren.

In unseren Tests hat die Löschoption 1 Datei erfolgreich und fehlerfrei entfernt, wodurch viele andere Dateien immer noch gehackt wurden. Versuchen Sie dann die Reparaturoption, die alle in der Liste angezeigten Dateien repariert. Das ist großartig, denn das bedeutete, dass wir nicht separat für die Malware-Entfernung vorspringen mussten.

Unser einziger Kritikpunkt an dieser ganzen Episode war, dass es erschreckende Warnungen gab, dass unsere Website möglicherweise beschädigt wird, wenn wir die Lösch- oder Reparaturoption verwenden. Wir stellten jedoch sicher, dass wir Backups hatten, und machten durch. Die Malware, die wir gefunden haben, musste noch entfernt werden, also ließen uns die Warnungen kurz darüber diskutieren, ob es besser sei, mit Malware zu leben, als die Seite zu beschädigen. Nein, das ist überhaupt nicht der Fall.

Wordfence Auto-Clean-Warnung

Da die anderen von uns getesteten Sicherheits-Plugins nicht einmal diesen Punkt der Feierlichkeiten erfolgreich erreichten, machten wir uns nicht die Mühe, sie auf andere Arten von Malware zu überprüfen. Da Wordfence jedoch kurzen Prozess mit der dateibasierten Malware gemacht hat, haben wir unser Testrepertoire um einige Curveballs erweitert.

Zuerst gelangte einige gehackte Weiterleitungs-Malware in unsere Website-Datenbank. Dann haben wir auch mehrere japanische Keyword-Hack-Spam-Seiten hinzugefügt. Außerdem haben wir bösartige Skripte in Premium-Plug-ins eingefügt und auf den Test-Websites ein nulled-Plug-in installiert. Wir gingen davon aus, dass diese den Scanner zum Stolpern bringen würden, und das taten sie absolut. Der Scanner hat keine der Malware in Nicht-Kern-Premium-Ordnern registriert.

Die Malware-Datenbank von Wordfence ist umfassend, scheint sich jedoch stark auf das zu verlassen, was ihr Team zuvor gesehen hat. Dann funktioniert die automatische Reparatur. Wordfence ist nicht in der Lage, obskure Malware oder Malware in Premium-Plugins und -Designs zu erkennen. Das Endergebnis ist, dass der Reiniger wirklich nur so effektiv ist wie der Scanner, der für sich genommen etwa 70-80 % effektiv ist.

Der nächste Schritt ist die Entscheidung für den Malware-Entfernungsdienst von Wordfence, der behauptet, alle Instanzen von Malware und Hintertüren zu entfernen und die Website außerdem auf Schwachstellen und Sicherheitslücken zu untersuchen. Als Teil des Pakets hilft Ihnen Wordfence dabei, Ihre Website von allen Blacklists, wie zum Beispiel der von Google, zu streichen. Es gibt eine 1-Jahres-Garantie auf die Bereinigung, vorausgesetzt, Sie befolgen die Post-Hack-Checkliste gewissenhaft und buchstabengetreu.

Bitte beachten Sie, dass wir die Wirksamkeit des Malware-Entfernungsdienstes nicht kommentieren können, da wir ihn nicht ausprobiert haben.

Jetpack hebt sich auf ihrer Website ein wenig zum Thema Malware-Reinigung ab. Das an sich ist ein totes Zeichen dafür, dass sie es nicht können. Die Malware-Bereinigung ist wohl der kritischste und schwierigste Teil der WordPress-Sicherheit, da eine ungeschickte Entfernung eine Website irreparabel beschädigen kann. Wenn ein Plugin Malware sicher entfernen kann, werden sie mit Sicherheit darüber sprechen.

Unsere Erwartungen an Jetpack waren nicht hoch, insbesondere nachdem wir gesehen haben, dass der Scanner nicht alle Malware kennzeichnen kann. Wir waren berechtigt, weil Jetpack selbst mit der markierten Malware nichts damit anfangen konnte. Die Scan-Ergebnisse zeigen den tatsächlichen Code, der als Malware markiert wurde, und der Vorschlag für jedes Tag lautet, einen Experten mit der Entfernung zu beauftragen. Es ist also weder umfassend noch hilfreich.

Jetpack-Malware-Scan

Firewall

Jetpack hat keine Firewall. Die Webanwendungs-Firewall von Wordfence schützt Websites effektiv vor den meisten größeren und häufigsten Angriffen. Ein bedenklicher Punkt ist, dass die kostenlose Version nach der Premium-Version Updates erhält.

Eine Firewall ist ein wesentlicher Bestandteil Ihrer WordPress-Sicherheit, da sie WordPress-Angriffe und schädlichen Datenverkehr davon abhält, Ihre Website zu erreichen. Wenn Angreifer Ihre Website nicht erreichen können, können sie Schwachstellen nicht ausnutzen und daher keine Malware installieren. Stellen Sie sich eine Firewall als Sicherheitsperimeter um Ihre Website vor. Jetpack hat keine Firewall, daher geht es in diesem Abschnitt wirklich nur um Wordfence.

Die Wordfence-Firewall geht bei der Erstinstallation des Plugins direkt in den Lernmodus. Es wird empfohlen, den Lernmodus mindestens eine Woche lang zu belassen, um die besten Ergebnisse zu erzielen. Das ist richtig, denn Firewalls benötigen Live-Datenverkehr, um ihn in Zukunft effektiv blockieren zu können. In unserem Fall bekommen unsere Testseiten keinen Traffic, also haben wir den Lernmodus sofort abgeschaltet und uns ans Testen gemacht.

Wordfence-Firewall-Lernmodus

Sowohl die kostenlose als auch die Premium-Version der Wordfence-Firewall haben Angriffe erfolgreich abgewehrt. Wir haben SQL-Injections, Cross-Site-Scripting-Angriffe, Cross-Site-Request-Fälschungen und Remote-Code-Injections ausprobiert. Wir konnten keine der Schwachstellen auf der Website ausnutzen.

Es gab jedoch eine Frage. Das Wordfence-Dashboard zeigt die Wirksamkeit der kostenlosen Firewall bei 35 %, im Gegensatz zu den vorgeschlagenen 100 % der Premium-Firewall. Was ist dann der Unterschied zwischen der kostenlosen und der Premium-Version?

Der Unterschied ist zweifach: Der erste ist, wenn die Firewall auf Ihrer Website geladen wird; und der zweite ist, wenn Ihre Firewall Updates erhält.

Diese beiden Faktoren sind nicht triviale Unterschiede und entscheidend dafür, dass das gleiche Plugin einen 65%igen Unterschied in der Wirksamkeit zwischen seiner kostenlosen und seiner Premium-Version haben kann. Wir werden beide Unterschiede aufschlüsseln, um zu erklären, was hier vor sich geht.

Zunächst wird Ihre Website in einer sequentiellen Reihenfolge geladen. WordPress ist im Allgemeinen zuerst mit den Kerndateien und -ordnern, dann den Plugins und Themes und der Datenbank. Dies wird als Ladereihenfolge bezeichnet, und die wichtigsten Dateien werden immer zuerst geladen, da sie für den Rest der Website von entscheidender Bedeutung sind. Ohne wp-config können Sie beispielsweise keine Verbindung zur Datenbank herstellen. Dies ist ein kleines Beispiel, zeigt aber, wie wichtig die Ladereihenfolge beim Umgang mit Sicherheit ist.

Die kostenlose Wordfence-Firewall wird wie ein gewöhnliches Plugin geladen, was bedeutet, dass sie nach WordPress, allen Kerndateien und vielleicht neben den anderen Plugins geladen wird. Das bedeutet, dass die Firewall nicht den gesamten schädlichen Datenverkehr von der Website fernhalten kann, sondern nur einen Teil davon.

Zweitens sind Firewalls aufgrund der darin enthaltenen Regeln effektiv, um schädlichen Datenverkehr herauszufiltern. Diese Regeln müssen regelmäßig aktualisiert werden, um den sich ändernden Bedrohungen Rechnung zu tragen.

Die Firewall von MalCare lernt beispielsweise von allen Websites, die sie schützt. Wenn die Firewall also eine Bedrohung auf einigen Websites blockiert, lernt sie, dass es eine Regel für diese Bedrohung geben sollte, und aktualisiert die Firewall-Regeln auf allen anderen über 100.000 Websites, auf denen sie installiert ist – noch bevor die Bedrohung diese Websites überhaupt trifft . Das ist die Macht des präventiven Schutzes.

Während Wordfence also die aktuellste Firewall hat, erhalten Benutzer der kostenlosen Firewall Updates später als ihre Premium-Pendants. Wenn es einen Hinweis auf die Dauer der Verzögerung gäbe, könnten wir sagen, wie hoch das kalkulierte Risiko ist, denn selbst ein kleines Fenster ist problematisch. Gibt es jedoch nicht, also können wir nur spekulieren, dass es beträchtlich ist. Wer weiß.

Schwachstellenerkennung

Wordfence konzentrierte sich auf alle Schwachstellen auf unseren Test-Websites, während Jetpack einige der weniger bekannten vollständig übersah.

Während des ersten Scans hat uns Wordfence vor allen Schwachstellen gewarnt und sie als kritische Bedrohungen gekennzeichnet. Wir haben viele obskure Plugins und Themes aufgenommen, weil diese die anderen Sicherheits-Plugins während ihrer Scans zum Stolpern brachten. Einige von ihnen haben weniger als 200 Benutzer und sind sehr Nischen. Volle Punkte an dieser Front also für Wordfence.

Wordfence-Schwachstellenscanner

Ein zusätzlicher Punkt, der uns sehr gut gefallen hat, ist, dass WordFence veraltete Plugins und Themes als mittlere Bedrohung gekennzeichnet hat. Das ist wirklich wichtig, denn Schwachstellen in veralteter Software sind eine Hauptursache für erfolgreiche Hacks auf WordPress-Websites.

Interessanterweise können Sie Schwachstellen nicht über das WordFence-Dashboard beheben. Mehrere kleinere Sicherheits-Plugins fügen dies als Bonusfunktion hinzu, aber im Kern aktualisiert die „Funktion“ lediglich die veraltete Software – eine Funktionalität, die bereits auf dem wp-admin-Dashboard vorhanden ist. Es gibt keinen wirklichen Grund, das zu replizieren, es sei denn, das Plugin hat Updates wie MalCare verwaltet.

Jetpack ist uns auf den Leim gegangen und hat die obskure veraltete Software komplett übersehen. Nicht allzu überraschend, aber dennoch enttäuschend.

Jetpack-Schwachstellenscan

Brute-Force-Login-Schutz

Wordfence leistet hervorragende Arbeit beim Schutz der Anmeldeseite vor Brute-Force-Angriffen. Jetpack fügt wp-login ein Captcha hinzu, wenn es mehrere Anmeldefehler gibt, aber es blockiert die IP nicht einmal vorübergehend.

Nur fürs Protokoll, IP-Blockierung ist zunächst eine ungenaue Funktion. Warum weisen wir also auf die Unzulänglichkeit von Jetpack in dieser Hinsicht hin? Hauptsächlich, weil sie so viele Einstellungen für das Whitelisting von IPs haben, dass wir dachten, wir wären in unmittelbarer Gefahr, uns selbst zu blockieren. Aber nichts. Wenn Sie so viel über eine Funktion sprechen möchten, müssen Sie eine gute Nachverfolgung haben. Das ist alles.

Wir haben die Anmeldeseite viele Male brutal erzwungen und weit über unser festgelegtes Limit hinaus. Der einzige Unterschied, den wir sahen, war ein numerisches Captcha, das vorher nicht da war. Es war ohne jegliches Branding, also werden wir uns auf die Beine stellen und annehmen, dass es Jetpack war.

Jetpack-Anmeldeschutz

Insgesamt ist das Captcha eine elegante, aber unzureichende Lösung für Brute-Force-Angriffe auf die Login-Seite. Brute-Force-Angriffe können eine Website überwältigen, indem sie Serverressourcen verbrauchen, sodass sie mit mehr als nur einem Captcha abgewehrt werden müssen.

Wordfence hingegen funktionierte wie ein Weltmeister. Wir sind etwas erschrocken über eine große Anzahl von Einstellungen für jedes Plugin, und es kann manchmal bedeuten, dass das Plugin nicht funktioniert, daher war es erfrischend, nur ein paar Optionen zu sehen.

Wordfence Brute-Force-Schutz

Obwohl der Brute-Force-Schutz standardmäßig aktiviert ist, können Sie die Einstellungen im Firewall-Bereich anpassen. Es gibt Optionen, um die Anzahl der fehlgeschlagenen Anmeldeversuche festzulegen, die zu einer vorübergehenden Sperrung führen, und sogar, wie lange diese Sperrung dauern soll. Unweigerlich sehen wir die Positivlistenoption, obwohl wir wissen, dass Geräte-IPs dynamisch sind, also ist dies bestenfalls ein Hinweis, schlimmstenfalls sinnlos.

Hier finden Sie auch die Optionen für starke Passwörter. Während diese großartig zu haben sind, ist im Firewall-Bereich der Brute-Force-Schutz nicht der logische Ort, um diese Einstellungen zu haben. Ja, sie beziehen sich beide auf die Anmeldesicherheit, aber das erfordert immer noch einen Sprung, um eine Verbindung herzustellen. Wir bezweifeln, dass die Leute diese sehr nützlichen Einstellungen an diesem abgelegenen Ort finden.

Wordfence-Brute-Force-Optionen

Aktivitätsprotokoll

Das Aktivitätsprotokoll von Jetpack hat uns sehr gut gefallen, da es eine der besten Versionen ist, die wir je gesehen haben. Überraschenderweise hat Wordfence kein Aktivitätsprotokoll.

Wir sind wirklich überrascht, dass Wordfence kein Aktivitätsprotokoll hat, weil es ein wirklich wichtiger Teil der Website-Sicherheit ist. Hacker nutzen unzureichende Protokollierung, um Websites anzugreifen. Sie möchten auf jeden Fall ein zuverlässiges Aktivitätsprotokoll haben, das die richtigen Informationen über das Geschehen auf Ihrer Website enthält.

Auf Wordfence gibt es eine Option zum Aktivieren des Debugging, falls etwas schief geht. Die Option ist tief im Abschnitt Diagnose unter Tools vergraben. Es soll Firewall-Protokolle ausführlicher machen. Wir haben auch ein vollständiges Aktivitätsprotokoll speziell für Wordfence-Ereignisse im Scan-Bereich gefunden, aber das meinen wir nicht mit Aktivitätsprotokoll. Es sieht auch aus wie ein rohes Protokoll, das für Wordfence-Entwickler gedacht ist.

Wordfence-Aktivitätsprotokoll

Die Aktivitätsprotokollfunktion von Jetpack ist ausgezeichnet und macht es super einfach zu verstehen, was auf der Website passiert ist. Es ist für die Vorschau in den kostenlosen Plänen verfügbar, benötigt jedoch ein Premium-Abonnement, um wirklich von Nutzen zu sein. Die Protokolle enthalten alle Informationen zu Benutzer-, Plugin- und Themenaktivitäten, mit der zusätzlichen Funktion von Warnungen für Dinge, die Aufmerksamkeit erfordern, wie Malware oder Schwachstellen.

Jetpack-Aktivitätsprotokoll

Unser Vorbehalt hier ist, dass die Aktivitätsprotokolldaten nur 30 Tage lang verfügbar sind. Wir hätten es vorgezogen, einen viel längeren Zeitrahmen zu sehen, damit es wirklich nützlich ist.

Zwei-Faktor-Authentifizierung

Wordfence hat eine großartige Zwei-Faktor-Authentifizierung, die sofort einsatzbereit ist. Jetpack hat diese Funktion nicht.

Die Zwei-Faktor-Authentifizierung ist kein Deal Breaker für ein Sicherheits-Plugin, da für die Funktionalität dedizierte Plugins verfügbar sind. Wir gehen also nicht zu hart auf Jetpack ein, weil wir es nicht aufgenommen haben.

Auf Wordfence funktioniert die Zwei-Faktor-Authentifizierung einwandfrei. Das Beste ist, dass es einfach zu bedienen ist, ohne eine ganze Reihe verwirrender Optionen. Tatsächlich war es früher eine Premium-Funktion, die jetzt auch für kostenlose Benutzer verfügbar ist.

Wordfence 2FA

Nutzung der Serverressourcen

Jetpack verwendet einige Serverressourcen für seine Scans, wirkt sich jedoch nicht merklich auf die Leistung aus. Wordfence hingegen wird von bestimmten Webhostern verboten, weil es die Serverressourcen stark belastet.

Wir haben festgestellt, dass Jetpack in Bezug auf die Sicherheit ein Leichtgewicht ist und ähnliche Auswirkungen auf die Serverressourcen hat. Es gibt einen merklichen Einbruch bei der Festplattennutzung, aber wir haben keine allzu großen Auswirkungen auf die Leistung der Website festgestellt.

Wordfence war ein Server-Ressourcen-Vampir. Zugegeben, wir haben die Website viele Male gescannt und eine Reihe von Tests auf die Malware geworfen, aber wir hatten nicht erwartet, dass die Festplattennutzung um das 2-3-fache in die Höhe schießt. Ehrlich gesagt sind unsere Teststandorte klein, daher war die Strafe nicht schwerwiegend. Aber wir schaudern, wenn wir daran denken, was auf einer E-Commerce-Site oder einer mit vielen Inhalten passieren würde. Huch.

Wordfence-Festplattennutzung

Nachdem man eine Reihe von Nachrichten auf seinem Dashboard gesehen hat, kann man zu dem Schluss kommen, dass Wordfence die Site-Ressourcen für alles nutzt: vom Scannen bis zum Säubern und alles dazwischen. Das Problem dabei ist, dass Leistung und Sicherheit nicht in einer Art Kompromiss gegeneinander ausgespielt werden sollten. Bei beiden sollten Sie keine Kompromisse eingehen müssen.

Warnungen

Jetpack sendet Ihnen ab und zu die eine oder andere Benachrichtigung, während Wordfence Ihren Posteingang in einer Stunde ertränken kann.

Unserer Meinung nach müssen Warnungen ausgewogen sein. Sie möchten so schnell wie möglich wissen, ob mit Ihrer Website etwas schief gelaufen ist. Aber Sie brauchen keine Benachrichtigung, wenn jemand in der allgemeinen Umgebung Ihrer Website niest. Gleichgewicht ist der Schlüssel.

Wordfence versagt kläglich in dieser Abteilung. Die Warnungen von Scanergebnissen, Fehlalarmen, Firewall-Sperren und vielem mehr sind zu zahlreich, um sie zu zählen. Ehrlich gesagt sollte eine gute Firewall Angriffe direkt blockieren, ohne jedes Mal eine Warnung zu erstellen.

In diesem Fall schneidet Jetpack wirklich gut ab. Sie erhalten nur Warnungen für Dinge, die wichtig sind, wie entdeckte Schwachstellen oder erkannte Malware; das heißt, Dinge, die Ihre sofortige Aufmerksamkeit erfordern.

Jetpack-Alarm

Installation, Konfiguration und Benutzerfreundlichkeit

Wordfence war die einfachste Installation aller Zeiten. Über Jetpack kann ich das nicht sagen.

Wordfence war in dieser Hinsicht so großartig. Beginnen Sie mit der Verwendung des Plugins und es zeigt Ihnen den Weg nach vorne. Ganz ohne komplizierte Konfigurationen. Die verwendete Sprache ist einfach und zugänglich.

Uns hat besonders gefallen, dass es kurze exemplarische Vorgehensweisen gibt, wenn Sie jeden Abschnitt auf dem Dashboard zum ersten Mal besuchen. Die klaren Erklärungen sind leicht verständlich, und es gibt nichts von diesem technischen Kauderwelsch, das diese Dinge normalerweise begleitet.

Wordfence-Komplettlösung

Das Gesamtdesign ist sehr intuitiv und so konzipiert, dass Sie die Sicherheit Ihrer Website aus der Vogelperspektive sehen können. Wenn sich etwas verwirrend anfühlt, klicken Sie auf einen Tooltip und gelangen Sie zu ihrer hervorragenden Dokumentation.

Wenn Wordfence einfach war, war Jetpack überraschend knifflig. Die Installation hängt stark von der Notwendigkeit eines Upgrades ab. Sie müssen sogar einen kostenlosen oder anderen Plan auswählen, um überhaupt fortzufahren. Es hätte viel besser sein können als es ist.

Jetpack-Installation

Jetpack: Extras

Das Gute an Jetpack ist, dass es mehrere WordPress-Administrationsaufgaben in einem Plugin kombiniert. Es hat Backups, von denen wir wissen, dass sie für jede Website sehr wichtig sind. Das externe Dashboard befindet sich auf WordPress.com, daher ist es sehr vertraut zu verwenden.

Trotzdem hätten wir Jetpack als Sicherheits-Plugin ohne Schnickschnack eindeutig die Daumen hoch gegeben, wenn es beim Schutz unserer Websites gute Arbeit geleistet hätte. Es war nicht so, dass letztendlich keines dieser Good-to-Haves von Wert ist.

Wordfence: Extras

Bei Wordfence dreht sich alles um die Sicherheit. Es gibt nichts im Plugin, das auch nur an die Sicherheit angrenzt, wie die Möglichkeit, Plugins zu aktualisieren, wie wir bereits erwähnt haben. Aber es gibt noch jede Menge Extras.

Ab der Installation ist uns als erstes ein Benachrichtigungsbereich für Site-Updates aufgefallen. Zum Beispiel zeigte es uns, dass 5 der Plugins unserer Testseite aktualisiert werden mussten.

In Zukunft gibt es ein Panel namens Wordfence Central Status. Auf diese Weise können Sie Ihr Konto mit mehreren Websites verbinden und den Status aller Ihrer Websites im wp-admin dieser Website anzeigen. Wenn das verwirrend klingt, liegt es daran, dass es verwirrend und überhaupt nicht intuitiv ist. Sie möchten wirklich nicht mehrere Websites über das Dashboard einer Website verwalten. Dafür benötigen Sie ein externes Dashboard, das eigentlich Wordfence Central ist. Aber es macht einen schlechten Job, das rüberzubringen.

Wordfence zentral

Wordfence Central ist in Ordnung, aber bei weitem nicht voll ausgestattet. Vielleicht sind wir wegen des Dashboards von MalCare verwöhnt, das sich wie ein Flugzeug-Bedienfeld für Websites anfühlt. Wordfence Central sieht für mehr als 10 oder 20 Sites unhandlich aus und könnte viel besser sein.

Im Abschnitt Tools gibt es ein Panel für Live-Traffic. Es sieht zunächst so aus, als wäre es ein Skin für Google Analytics, aber es stellte sich als mehr heraus. Es zeichnet Verkehrsprotokolle zu Ihrer Website auf, und Sie können genau sehen, welche Art von Verkehr Ihre Website erhält: Mensch, Bot, Warnung, blockiert.

Wordfence Live-Traffic

Wir fanden Diagnostics ziemlich interessant, da es viele Informationen über die Website enthielt; things like process owners and database tables, for instance. It is like a blueprint of the website, which the status of each of the specifications alongside. It doesn't look like something a normal user would need, but definitely could help out a developer.

Wordfence diagnostics

What's missing from Jetpack and Wordfence

Ultimately, there is a lot missing from Jetpack: the scanner is below-average, there is no cleaner or firewall. The rest of the stuff is alright, but these three factors are non-negotiable for security.

Wordfence doesn't have bot protection, and surprisingly no activity log. Although it is a comprehensive security plugin, the drain on server resources and the tendency to cry wolf at the drop of a hat is off-putting.

Jetpack vs Wordfence: Pricing

Jetpack is exorbitant at $300 per year for the security suite. Wordfence premium is far more reasonable at $99 for the year, but the premium version isn't a significant upgrade on the free version.

Wordfence has a really great free version, and in our opinion the upgrade to premium doesn't add much more. The site license is still competitive at $99 a pop, and gets better with more websites.

Wordfence pricing

The knockout punch from the Wordfence corner is their malware removal service. That will set you back a cool $490 per site cleanup. The 1-year guarantee is also subject to terms and conditions, so you shouldn't consider that a one-time expense.

Wordfence malware removal service

Jetpack is really not worthy of that fancy price tag. There is little to say beyond that.

jetpack pricing

Better alternative to Jetpack and Wordfence: MalCare

The best investment you can make in your website is to invest in a good security plugin. By this point, you know what to look for in a security plugin. And you will find all those things and more in MalCare. MalCare scans, cleans and protects your website from exploits in a major way. It far outperforms all other plugins.

Plans for MalCare start at $99 for the Basic plan, which includes unlimited cleanups. Contrast that to Wordfence's $99 plan and $490 per cleanup needed thereafter and the choice becomes clear. MalCare all the way.

Fazit

We really hope this article helps to clear any confusion with respect to WordPress security. It is admittedly hard to wade through all the misinformation available online to arrive at a good decision.

If you have any questions, please write to us. We would be happy to help, and thrilled to hear from you!