Sucuri Vs Jetpack: Welches ist das bessere Sicherheits-Plugin?

Veröffentlicht: 2023-04-19

In einer Diskussion über WordPress-Sicherheit taucht unweigerlich Sucuri auf. Es ist eines der beliebtesten Sicherheits-Plugins, die heute verfügbar sind. Die Pro-Pläne beinhalten einen serverseitigen Scanner, eine Firewall und unbegrenzte manuelle Malware-Entfernung.

Jetpack ist eine All-in-One-Lösung für viele WordPress-Funktionen; nicht überraschend, da es von Automattic gebaut wird. Außerdem ist es eine attraktive Option, dass ein Plugin die Arbeit vieler erledigt, daher ist Jetpack ein starker Konkurrent in unserer Testreihe für Sicherheits-Plugins.

Aber wenn wir den Schnickschnack außer Acht lassen, welches Sicherheits-Plugin schützt deine WordPress-Seite besser?

Wir haben die Top-5-Sicherheits-Plugins getestet, um diese Antwort zu erhalten. Über 45 Tage haben wir die Plugins gegen Malware, Schwachstellen, Angriffe und vieles mehr getestet. Lesen Sie weiter, um mehr über unsere Ergebnisse zu erfahren, und vor allem: unsere Wahl für ein WordPress-Sicherheits-Plugin, das tatsächlich funktioniert.

URTEIL : Sucuri vs. Jetpack war schwer zu entscheiden, da beide auf unterschiedliche Weise versagten. Letztendlich glauben wir, dass Sucuri sich gegen Jetpack durchsetzt. Der Malware-Scanner von Jetpack konnte einen Teil der Malware erkennen, im Gegensatz zu dem von Sucuri, der nichts entdeckte. Aber der Malware-Entfernungsdienst von Sucuri hat seine Arbeit gut gemacht, während Jetpack überhaupt keine Reinigungsoptionen hatte. Ehrlich gesagt, obwohl keiner von ihnen gut genug war, ist unsere Empfehlung MalCare.

Unsere Wahl

Wir haben jedes der Top-5-Sicherheits-Plugins 45 Tagen lang getestet. Wir haben 3 Websites verwendet: 1) einen gewöhnlichen Blog als Kontrolle; 2) ein Blog mit anfälligen Plugins und 3) eine Website mit Malware in den Dateien und der Datenbank als Chefebene.

Es gibt später in diesem Artikel eine Liste von Faktoren, die zeigen, wie wir jedes Plugin eingestuft haben, aber kurz gesagt, wir haben den Scanner, den Reiniger und die Firewall (falls das Plugin eine hatte) getestet, um zu unseren Ergebnissen zu gelangen.

Es ist wichtig, ein Sicherheits-Plugin auszuwählen, von dem Sie sicher sein können, dass es Ihre Website vor Hackern und deren Malware schützt. Dieses Plugin ist ohne Zweifel MalCare.

Zusammenfassung des Vergleichs zwischen Sucuri und Jetpack

In diesem „Winner-Takes-All“-Wettbewerb setzt sich Sucuri vor Jetpack durch die hervorragenden Malware-Entfernungsdienste durch, die sie anbieten. Allerdings ist es ein hohler Sieg, denn Sucuris Scanner ist einer der schlechtesten, die wir bisher gesehen haben.

Vergleich zwischen Jetpack und Sucuri

Jetpack kurz zusammengefasst

Die kostenpflichtigen Pläne von Jetpack verfügen über einen durchschnittlichen Malware-Scanner, der einen Teil der Malware auf Ihrer Website erkennt. Die restlichen Sicherheitsfeatures sind einigermaßen gut, kompensieren aber weder den Scanner noch die fehlende Malware-Bereinigung und Firewall. Insgesamt ist Jetpack ein Fehlschlag.

Jetpack war das zweite Plugin, das wir direkt nach iThemes getestet haben, und wir waren positiv beeindruckt, weil es zumindest etwas bewirkte. Das macht es natürlich nicht zu einem guten Sicherheits-Plugin.

Auf der positiven Seite ist das Aktivitätsprotokoll von Jetpack großartig. Ein Aktivitätsprotokoll ist ein wichtiges Tool für das Debugging und die Website-Sicherheit. Wir denken auch, dass das externe Dashboard auf WordPress.com gut ist und eine vertraute Oberfläche ist, mit der man arbeiten kann. Da wir große Befürworter von Backups sind, gefällt uns dieser Teil der Funktionen von Jetpack.

Keiner der oben genannten Gründe ist jedoch Grund genug, sich für einen kostenpflichtigen Plan zu entscheiden, da Jetpack viele Schecks ausstellt, die es nicht einlösen kann. Wir haben bereits erwähnt, dass der Scanner nicht gut funktioniert. Es hat etwa 30 % der Malware auf der Website erkannt. Der Brute-Force-Schutz ist bestenfalls mittelmäßig. Wir haben versucht, die Anmeldeseite anzugreifen, und nach einigen fehlgeschlagenen Anmeldungen sahen wir ein Captcha. Aber unsere IP wurde nicht markiert und wir haben auch keine E-Mail-Benachrichtigung erhalten. Als wir die Protokolle überprüften, wurde der Angriff jedoch aufgezeichnet.

Außerdem erkennt Jetpack nur einige der Schwachstellen der Website. Von den 3, die wir installiert hatten, wurde 2 angezeigt. In Fällen, in denen Websites viel mehr Schwachstellen aufweisen, ist das Verhältnis sicherlich viel schlechter.

Kein Sicherheits-Plugin ist perfekt, aber wir möchten eines, das der Perfektion so nahe wie möglich kommt. Jetpack ist nicht dieses Plugin.

Sucuri auf den Punkt gebracht

Sucuri hat eine gemischte Bewertung von uns, weil seine Firewall- und Malware-Reinigungsfunktionen gut funktionierten, aber der Scanner überhaupt nicht funktionierte. Das Malware-Scannen muss 100%ig sein, und kein Sicherheits-Plugin lohnt sich ohne einen funktionierenden Scanner.

Sucuri-Sicherheits-Plugin

Sucuri ist eines der beliebtesten WordPress-Sicherheits-Plugins, die heute erhältlich sind, und doch bleibt es in einem kritischen Bereich zurück: dem Malware-Scannen. Wenn der Scanner nicht funktioniert, gibt es keine Möglichkeit zu wissen, dass Ihre Website mit Malware infiziert ist. Und wenn Sie nicht wissen, dass dies der Fall ist, können Sie es nicht ansprechen.

Bei den anderen beiden Aspekten, Firewall und Malware-Reinigung, schnitt Sucuri gut ab. Die Firewall blockierte die meisten Angriffe und der Malware-Entfernungsdienst war erstklassig. Es gibt auch einige nützliche Härtungsoptionen auf dem Dashboard. Unbegrenzte Anfragen zum Entfernen von Malware sind ebenfalls sehr viel, insbesondere im Vergleich zu einigen anderen verfügbaren Diensten.

Auf der anderen Seite waren die Konfiguration und Einstellungen ein Albtraum, insbesondere die Firewall. Wir hatten Probleme damit, die Firewall ohne Domain-Registrar zu installieren, und ehrlich gesagt war es ein frustrierender Prozess. Die Sicherheitsscans haben auch unsere Serverressourcen in dem Maße belastet, dass wir den Unterschied auf unserer Website gesehen haben. Glücklicherweise war unsere Website dediziert gehostet, sonst hätten uns Shared-Hosting-Unternehmen ziemlich schnell mit einer Verstoß-E-Mail erreicht.

Das Wichtigste dabei ist, dass Sie sich bei Sucuri zwischen Sicherheit und Leistung entscheiden müssen. Das ist ein schrecklicher Kompromiss. Insgesamt ist Sucuri sowohl ein gutes als auch ein schlechtes Sicherheits-Plugin und daher ein Widerspruch. Einen Widerspruch empfehlen wir als Sicherheitsmaßnahme nicht. Sag nur.

So wählen Sie das richtige Sicherheits-Plugin für WordPress aus

In einer sich ständig ändernden Bedrohungslandschaft ist ein Sicherheits-Plugin die einzige Möglichkeit, Ihre Website, Daten, Besucher und Ihr Unternehmen zu schützen. Hacker richten mit Malware enormen Schaden an, indem sie Geld, Daten und Identitäten von Menschen stehlen. Als Website-Eigentümer ist ein Sicherheits-Plugin ein wesentlicher Bestandteil Ihres Verwaltungs-Toolkits.

Die Wahl des richtigen Sicherheits-Plugins ist jedoch nicht einfach. Es gibt so viele Plugins, von denen jedes behauptet, besser als das andere zu sein. Wie wählen Sie also die richtige aus?

In Bezug auf die Sicherheit gibt es nur 3 wesentliche Funktionen eines Sicherheits-Plugins: Malware-Scannen, Malware-Bereinigung und Firewall. Alles andere ist Bonus. Das soll nicht heißen, dass Brute-Force-Schutz nicht wichtig ist, denn das ist er mit Sicherheit. Aber wenn Sie die wesentlichen 3 nicht haben, können Sie die anderen auch nicht haben.

Bei der Bewertung eines Sicherheits-Plugins sollten Sie auf folgende Faktoren achten:

  • Wesentliche Sicherheitsfunktionen
    • Malware-Scannen
    • Malware-Reinigung
    • Firewall
  • Gut zu habende Sicherheitsfunktionen
    • Schwachstellenerkennung
    • Brute-Force-Login-Schutz
    • Aktivitätsprotokoll
    • Zwei-Faktor-Authentifizierung
  • Potenzielle Probleme
    • Auswirkungen auf Serverressourcen

Das einzige Plugin, das über alle Funktionen verfügt, die zum Schutz von WordPress-Websites erforderlich sind, ist MalCare. Wie wir in diesem Artikel weiter besprechen, hat jeder der anderen auf die eine oder andere Weise versagt, insbesondere hat er uns in den 3 wesentlichen Bereichen im Stich gelassen.

Sucuri vs Jetpack: Kopf-an-Kopf-Vergleich der Funktionen

Um diesen Vergleich so nützlich wie möglich zu gestalten, haben wir die Abschnitte basierend auf unseren oben aufgeführten Kriterien organisiert. Dies sind die wichtigsten Aspekte eines Sicherheits-Plugins, aber wir möchten auch unsere anderen Erfahrungen wie die einfache Konfiguration, das Preis-Leistungs-Verhältnis und so weiter ansprechen.

Wir haben unsere Ergebnisse fair und so prägnant wie möglich präsentiert, um Ihnen zu helfen, die richtige Entscheidung für die Sicherheit Ihrer Website zu treffen. Wenn Sie jedoch schnell eine Sicherheitslösung benötigen, empfehlen wir Ihnen, MalCare für beispiellose WordPress-Sicherheit zu installieren.

Malware-Scannen

Weder SiteCheck noch der Scanner auf Serverebene von Sucuri haben die Malware auf unserer Website erkannt. Der Jetpack-Scanner hat einen Teil der Malware entdeckt.

Sucuri verfügt über zwei Malware-Scanner: SiteCheck und einen Scanner auf Serverebene, den Sie von Ihrem Sucuri-Dashboard installieren müssen. Wir wollten beides testen, weil wir oft SiteCheck, einen kostenlosen Scanner, als erste Diagnose für Websites empfehlen. SiteCheck scannt die öffentlich sichtbaren Teile Ihrer Website. Wenn also keine Malware gefunden wird, ist dies keine Garantie für eine saubere Website. Sie müssen SiteCheck jedoch nicht installieren, um es zu verwenden. So viele Administratoren finden es einfacher zu verwenden, falls ein Webhost ihre Website gesperrt hat oder Google sie auf die schwarze Liste gesetzt hat.

Ergebnisse der Sucuri-Sitechecks

Wenn Sie zum Scanner auf Serverebene wechseln, der in den Premium-Plänen von Sucuri enthalten ist, müssen Sie ihn auf Ihrem Webserver installieren. Sie haben die Wahl, dies manuell zu tun oder Ihre FTP-Details über Ihr Dashboard einzugeben. Nachdem wir es installiert hatten, brauchte der Scanner lange, um unsere Website auf Malware zu überprüfen.

sucuri serverseitiger Scanner

Als der Scan abgeschlossen war, zeigten die Ergebnisse, dass unsere Website frei von Malware war. Die Ergebnisse waren falsch, denn unsere Website war voller Malware, sowohl in den Dateien als auch in der Datenbank. Wir haben dann versucht, den Scan einige Stunden später erneut durchzuführen, aber die Ergebnisse waren die gleichen. Auf unserer stark gehackten Website befand sich offenbar keine Malware.

Der Scanner ist so eingestellt, dass er einmal täglich ausgeführt wird, aber Sie können Ad-hoc-Scans anfordern. Die Anfragen werden in eine Warteschlange gestellt und dann ausgeführt. Die einzige Sache hier ist, dass Sucuri Sie davor warnt, zu viele Scans auszuführen, da Scans Serverressourcen verbrauchen. Das ist nicht gut. Scans sollten keine Ressourcen einer Website beanspruchen, da sich dies auf die Leistung der Website auswirkt. Wir werden später in diesem Artikel auf diesen Punkt zurückkommen.

Jetpack hat einen Malware-Scanner in seinen bezahlten Plänen, und nachdem wir gesehen hatten, wie Sucuri beim Scannen ausfiel, waren wir angenehm überrascht zu sehen, dass Jetpack tatsächlich einen Teil der Malware markierte.

Jetpack-Scan

Die Aufregung war jedoch nur von kurzer Dauer, da Jetpack nicht die gesamte Malware markierte. Tatsächlich hat es keinen großen Teil der Malware erkannt. Obwohl es in dieser Hinsicht besser als Sucuri war, ist das Erkennen von Malware so gut wie das Erkennen von keiner Malware. Die Website wird daher wahrscheinlich gehackt bleiben. Für einen gründlichen Scan Ihrer Website ist der MalCare-Malware-Scanner genau das Richtige.

Malware-Reinigung

Jetpack hat keine Malware-Bereinigung. Sucuri hat einen großartigen manuellen Malware-Reinigungsdienst, der die Malware innerhalb von 12 Stunden von unserer Website entfernt hat.

Wir sind an dieser Stelle über Sucuri zwiegespalten, denn obwohl wir von ihrem Reinigungsservice ernsthaft beeindruckt waren, hatte der Scanner unserer gehackten Website ein sauberes Stück gegeben. Basierend auf diesen Ergebnissen hätten wir theoretisch nicht gewusst, dass unsere Website Malware enthält. Da dies jedoch eine Testaktivität war, haben wir eine manuelle Bereinigung angefordert, da wir wussten, dass unsere Website definitiv Malware enthielt.

Gemäß unserem Plan konnten wir damit rechnen, dass unsere Aufräumarbeiten innerhalb von 30 Stunden abgeschlossen waren. Auf den ersten Blick ist das eine lange Wartezeit, wenn Ihre Website gehackt wird. Wenn Ihre Website zum Beispiel auf der schwarzen Liste von Google steht, bedeutet die verstrichene Zeit entgangenen Umsatz. Wir haben jedoch eine gereinigte Website in weniger als 10 Stunden zurückbekommen. Wir waren super beeindruckt.

Sucuri-Malware-Reinigung

Um eine Malware-Bereinigung von Sucuri anzufordern, müssen Sie ein Formular mit allen Details ausfüllen, die Sie eingeben können. Geben Sie Ihre technischen Fähigkeiten an, geben Sie Ihre FTP-Anmeldeinformationen ein und Sie erhalten eine bereinigte Website zurück. Wir haben die gereinigte Seite mit MalCare überprüft und sie war blitzsauber. Fantastisch! Das Team gab uns eine Checkliste nach der Bereinigung, warnte uns vor Schwachstellen auf der Website und wir konnten loslegen.

Bis auf eine Kleinigkeit: Nachdem Sucuris Team die Malware entfernt und MalCare dies bestätigt hatte, meldete der Scanner von Sucuri, dass die Seite gehackt wurde. Nachdem es von ihrem Team gereinigt wurde? Stelle dir das vor.

Die Sicherheitspläne von Jetpack beinhalten keine Malware-Entfernung, obwohl sie sagen, dass sie einige Infektionen beseitigen können. Nachdem wir den Malware-Scanner ausgeführt hatten, sahen wir, dass ein Teil der Malware markiert wurde, aber nichts davon behoben werden konnte. Tatsächlich empfiehlt Jetpack bei allen gekennzeichneten Instanzen von Malware freundlicherweise, dass wir uns an einen Malware-Entfernungsdienst wenden.

Jetpack-Malware-Scan

Unsere Sorge bei Jetpack ist, dass es durch das Markieren des Ortes der Malware und des Codes selbst eine manuelle Bereinigung als Option zu befürworten scheint. Das ist keine kluge Entscheidung. Gehackte Webseiten sind Minenfelder, zumal sich Malware überall verstecken kann. Die manuelle Bereinigung von Malware ist anfällig für menschliche Fehler und birgt die Gefahr, dass die Website vollständig zerstört wird.

Ein Malware-Entfernungsdienst ist eine teure Angelegenheit, und es gibt keine Garantie dafür, dass Ihre Website nicht erneut gehackt wird. Die Kosten können sich in diesem Fall erheblich summieren. Sucuris Pläne sehen unbegrenzte Aufräumarbeiten vor, was großartig ist. Unser einziges Problem mit Sucuri ist, dass der Scanner Sie nicht auf die meisten Malware aufmerksam macht. Woher wissen Sie also, wann Sie eine Bereinigung anfordern müssen?

Wir haben MalCare verwendet, um nach Malware zu suchen und unsere Website in wenigen Minuten zu bereinigen. Die automatische Bereinigungsfunktion hat die Malware von unserer Website entfernt, ohne dass FTP-Anmeldeinformationen erforderlich waren oder eine Entfernung angefordert wurde. Es war schmerzlos und nahtlos und fast augenblicklich. Das ist schwer zu überbieten.

Firewall

Die Firewall von Sucuri hat die meisten gängigen Angriffe gut bewältigt, aber die Installation war ein Alptraum. Jetpack hat keine Firewall.

Sucuri hat eine Firewall in seinen Sicherheitsplänen enthalten, hat aber auch eigenständige Firewall-Pläne. Wir wollten die Wirksamkeit der Firewall testen, also haben wir versucht, sie für unsere Website zu konfigurieren.

Bevor wir überhaupt darüber sprechen, wie die Firewall funktioniert, müssen wir uns die Zeit nehmen, um auszudrücken, wie schrecklich die Erfahrung mit der Installation der Firewall von Sucuri ist. Wir hatten einen bestehenden Premium-Plan und es gab bereits eine für die Firewall konfigurierte Website. Als wir also versuchten, diese Website durch unsere Test-Website zu ersetzen, weigerte sich Sucuri einfach, sich zu rühren.

Sucuri-Firewall-Konfiguration

Das Problem hierbei ist, dass Sie zur Verwendung der Firewall das DNS Ihrer Website auf die Nameserver der Firewall verweisen müssen. Das bedeutet, dass der gesamte Datenverkehr, der auf Ihre Website trifft, zuerst die Firewall von Sucuri passiert und dann auf Ihre Website umgeleitet wird. Wenn das kompliziert klingt, liegt das daran, dass es wahnsinnig kompliziert ist.

Jedenfalls konnten wir nach wenigen Tagen eine Testseite mit Schwachstellen wie uneingeschränktem Datei-Upload, XSS und SQL-Injection konfigurieren. Die Firewall blockierte alle unsere Versuche, diese Schwachstellen auszunutzen und bösartige Dateien hochzuladen.

Bei aller Transparenz konnten wir in unserem gegebenen Zeitrahmen keine komplexeren Angriffe testen. Was auch immer wir auf die Firewall von Sucuri geworfen haben, wurde jedoch gestoppt.

Sucuri-Firewall-Protokolle

Firewalls sind ein wesentlicher Bestandteil der Sicherheit Ihrer Website. Sie halten Malware fern, indem sie verhindern, dass Hacker Schwachstellen auf der Website ausnutzen. Jetpack hat keine, und das ist eine klaffende Lücke in ihrem Sicherheits-Plugin.

MalCare leistet hervorragende Arbeit beim Schutz Ihrer Website vor verschiedenen Arten von Angriffen. Und es ist im Gegensatz zu Sucuri einfach zu konfigurieren.

Schwachstellenerkennung

Sowohl Jetpack als auch Sucuri haben nur einige der Schwachstellen auf unseren Websites entdeckt.

Nachdem wir den serverseitigen Scanner von Sucuri installiert hatten, teilte uns der Scan mit, dass unsere Website einige Schwachstellen aufweist. Der Scanner hat einige der obskureren nicht erkannt und grundsätzlich empfohlen, dass wir die veralteten Plugins und Themes aktualisieren.

Interessanterweise gibt es einen Post-Hack-Tab für das Sucuri-Plugin auf wp-admin. Es enthält eine Liste der Versionen der installierten Plugins und Designs sowie die neuesten Versionen. Im Kleingedruckten auf dieser Seite erwähnt Sucuri, dass veraltete Software ein Sicherheitsrisiko darstellt und häufig zu Malware-Infektionen führt.

Das Team von Sucuri hat uns auch eine Liste mit Empfehlungen zur Aktualisierung der veralteten Plugins und Themes geschickt, um die Schwachstellen zu beheben. Auch hier konnten sie nur einige der Schwachstellen erkennen, nicht alle.

Der Jetpack-Scanner erkannte auch einige der Schwachstellen und gab uns eine Auto-Fix-Option; Im Wesentlichen könnten wir sie aktualisieren. In diesem Fall gibt es wenig Unterschiede zwischen Sucuri und Jetpack. Die Jetpack-Oberfläche war einfacher zu verwalten, aber andererseits ist Sucuri im Allgemeinen ein viel komplizierteres Plugin.

Jetpack-Schwachstellenscan

Brute-Force-Login-Schutz

Jetpack fügt der Anmeldeseite nach mehreren fehlgeschlagenen Anmeldeversuchen ein Captcha hinzu, blockiert die IP jedoch nicht. Sucuri scheint keinen funktionierenden Anmeldeschutz zu haben.

Jetpack verfügt über einen Brute-Force-Anmeldeschutz für seine kostenlosen und kostenpflichtigen Pläne. Als wir versuchten, die Anmeldeseite brutal zu erzwingen, sahen wir, dass nach 10 fehlgeschlagenen Versuchen ein numerisches Captcha hinzugefügt wurde. Die Protokolle zeigen alle fehlgeschlagenen Anmeldeversuche nach den ersten 3 als Brute-Force-Angriff.

Jetpack-Anmeldeschutz

Jetpack hat auch eine ausgeklügelte IP-Whitelisting-Funktion, daher gingen wir davon aus, dass wir irgendwann ganz von der Website ausgeschlossen werden könnten. Allerdings ist das überhaupt nicht passiert. Wir haben in weniger als einer Minute mehr als 50 falsche Passwörter für das Administratorkonto ausprobiert, und nichts ist passiert.

Jetpack-Sperre

Ehrlich gesagt ist IP-Whitelisting ein bisschen wie eine Augenwischerei. Geräte-IPs können sich ändern, daher ist das Whitelisting der IP eines Administrators keine Garantie gegen eine mögliche Sperrung. Wenn die Funktion jedoch vorhanden ist, sollte sie funktionieren. Aber das tat es nicht.

Wir dachten, dass Sucuri in diesem Punkt viel besser abschneiden würde als Jetpack, weil es eine ausgeklügelte Reihe von Optionen zum Konfigurieren von Brute-Force-Warnungen hat. Sie können den Schwellenwert festlegen, ab dem ein Angriff als Brute Force betrachtet wird. Die Grenzen sind jedoch unrealistisch, da es die Möglichkeit gibt, 30 Fehlversuche pro Stunde als Angriff zu werten, während in Wirklichkeit ein Brute-Force-Angriff die Anmeldeseite mit mehr als 100 Anfragen pro Minute schlägt. Tatsächlich gibt es normalerweise so viele Anmeldeanforderungen, dass der Server sie nicht verarbeiten kann.

sucuri rohe Gewalt

Um es kurz zu machen, Sucuri hat uns nicht vor Login-Angriffen gewarnt. Die Angriffe tauchten zwar in den Prüfprotokollen auf, aber wir erhielten keine Warnungen.

Aktivitätsprotokoll

Die Protokolle von Jetpack sind großartig. Sie verfolgen jede Benutzer- und Plugin-Aktion. Sucuri-Audit-Logs funktionieren auch, können aber völlig unverständlich sein.

Die Überwachungsprotokolle von Sucuri verfolgen alle Benutzeraktionen sowie Plugin- und Designänderungen. Alle an Dateien und Tabellen vorgenommenen Änderungen werden in den Überwachungsprotokollen angezeigt. So weit, ist es gut. Es besteht auch die Möglichkeit, einen API-Schlüssel festzulegen, um Angreifer daran zu hindern, Protokolle zu löschen, indem Sie Sucuri erlauben, Ihre Website-Protokolle extern zu speichern.

Die Protokolle sammeln die erforderlichen Informationen wie Benutzer, Aktion, Zeitstempel usw. Wir haben jedoch festgestellt, dass sie in einigen Fällen sehr schwer zu verstehen sind. Ein typisches Beispiel: Wir haben auf unserer Website ein Galerie-Plugin installiert. Die Protokolle registrierten 7 verschiedene Einträge für das Plugin, was darauf hinweist, dass 7 Dateien geändert wurden. Dachten wir jedenfalls. Es wurden tatsächlich Änderungen an der Beitragsvorlage protokolliert, aber wir konnten nichts davon aus den Protokollen herausfinden.

Sucuri-Audit-Logs

Jetpack verfügt über eine großartige Aktivitätsprotokollfunktion, die in den kostenlosen Plänen als Vorschau verfügbar ist. Die Protokolle zeigen alle Benutzer-, Plugin- und Themenaktivitäten sowie Dinge, die sofortige Aufmerksamkeit erfordern, wie erkannte Malware oder Schwachstellen.

Jetpack-Aktivitätsprotokoll

Die Daten von Jetpack reichen jedoch nur bis zu 30 Tagen. Idealerweise sollten Protokolle für einen viel längeren Zeitraum gespeichert werden.

Zwei-Faktor-Authentifizierung

Keines der Sicherheits-Plugins verfügt über eine Zwei-Faktor-Authentifizierung.

In diesem Abschnitt gibt es nicht viel zu besprechen, da weder Jetpack noch Sucuri eine Zwei-Faktor-Authentifizierung für Ihre Websites haben.

Als wir die Plugins getestet haben, haben wir jedoch nach einer Zwei-Faktor-Authentifizierung auf Sucuri gesucht. Es gibt tatsächlich eine Zwei-Faktor-Authentifizierung auf dem Sucuri-Dashboard, aber sie war für Ihr Sucuri-Konto verfügbar. Nicht Ihre Website.

Sucuri 2FA
Wohlgemerkt nur für Ihr Sucuri-Konto.

Nutzung der Serverressourcen

Beide Plugins verbrauchen Serverressourcen, um Scans auf Ihrer Website durchzuführen. Der Scanner von Sucuri hat unsere Website merklich verlangsamt.

Wir geben Sucuri Punkte für Ehrlichkeit, weil sie behaupten, Serverressourcen für Scans direkt auf dem Dashboard zu verwenden. Abgesehen davon ist es schrecklich, dass sie es tun.

Sucuri-Scans zeigten einen merklichen Einbruch in unserer Server-CPU-Auslastung. Und unsere Testseiten sind klein; kaum mehr als 100 MB für den größten. Wenn wir eine WooCommerce-Site oder eine mit einer großen Datenbank hätten, würde die Leistung der Website ernsthaft beeinträchtigt werden. Außerdem nehmen Sucuri-Scans auch viel Zeit in Anspruch. Die Wirkung würde also noch eine Weile anhalten.

sucuri CPU-Auslastung
Autsch, Sucuri.

Abgesehen von der CPU-Auslastung siehst du in den allgemeinen Einstellungen auf wp-admin, dass Sucuri deinen Server zum Speichern von Daten verwendet. Auch wenn der Speicherplatz vernachlässigbar ist, bleibt der Punkt, dass der Serverplatz Ihrer Website verwendet wird.

Jetpack hatte auch Auswirkungen auf die Serverressourcen. Zugegeben, es war nicht so auffällig wie die Scans von Sucuri, aber es ist immer noch nicht ideal.

Ehrlich gesagt sind wir von diesem Zustand nicht beeindruckt. Kein Website-Administrator sollte sich zwischen Sicherheit und Leistung entscheiden müssen. Ein Mangel an beidem kann den Umsatz erheblich beeinträchtigen, daher sollte es kein Kompromiss sein.

Warnungen

Die Benachrichtigungen von Sucuri können Ihren Posteingang in einer Stunde füllen, daher müssen Sie sich absolut sicher sein, worüber Sie benachrichtigt werden möchten. Jetpack sendet nur Benachrichtigungen über die kritischen Dinge.

Mit Sucuri können Sie das Format der Benachrichtigungen anpassen, sie für bestimmte Aktionen senden, sie an bestimmte Personen senden und so weiter. Sie können auch eine Einstellung konfigurieren, um bestimmte IPs zu ignorieren, damit sie keine Warnung auslösen.

sucuri-Warnungen
Dies sind noch nicht einmal alle Optionen; genau das, was in unseren Screenshot passte.

Die schiere Anzahl an Optionen für Sucuris Warnungen ist überwältigend. Natürlich müssen Sie es wirklich nur einmal konfigurieren und dann vergessen. Aber wirklich, die Optionen selbst verdienen eine besondere Erwähnung. Und als wäre die Zahl nicht erschreckend genug, war die Fachsprache völlig abstoßend.

Letztendlich sind die Warnungen zu detailliert, um nützlich zu sein. Ein Administrator sollte sich auf sein Sicherheits-Plugin verlassen können, um ihn auf Dinge aufmerksam zu machen, die behandelt werden müssen, und alle Geräusche herauszufiltern. Im Fall von Sucuri sind wir uns ziemlich sicher, dass die Wahrscheinlichkeit groß ist, dass das Signal in all dem Rauschen übersehen wird.

Jetpack behandelt Warnungen elegant. Es gibt nicht eine Million Optionen zum Durchsuchen, und das Plugin sendet Ihnen Benachrichtigungen über Dinge, die Ihre Aufmerksamkeit erfordern. Wie zum Beispiel Schwachstellen und Malware.

Jetpack-Alarm

Nebenbei haben wir auch die Downtime-Monitoring-Funktion von Jetpack getestet. Es sollte uns warnen, wenn die Seite ausfällt, aber das tat es nicht. Wir haben die Website auf verschiedene Weise zum Absturz gebracht und festgestellt, dass Jetpack diese Abstürze überhaupt nicht registriert hat.

Jetpack-Ausfallzeitüberwachung

Obwohl die Ausfallzeitüberwachung keine Sicherheitsfunktion als solche ist, ist sie eine wichtige Metrik für Ihre Website. Ausgefallene oder abgestürzte Websites sind oft ein Hinweis auf Hackeraktivitäten oder Malware. Die Downtime-Funktion von Jetpack funktioniert nicht.

Installation, Konfiguration und Benutzerfreundlichkeit

Sucuri war am Anfang einfach, wurde aber immer schwieriger. Jetpack war einfach zu konfigurieren, aber die Benutzeroberfläche drängt Sie ständig zu einem Upgrade.

Jetpack-Installation war mühsam. Obwohl Ihr Plugin installiert ist, gibt es keine Möglichkeit, voranzukommen, ohne ein WordPress.com-Dashboard zu erstellen. Es dient jedoch als Ihr externes Dashboard, daher benötigen Sie das Konto. Es ist nur etwas beunruhigend, von Ihrem eigenen Dashboard zu Jetpack hin- und hergeführt zu werden, ohne ein klares Verständnis dafür zu haben, wann und warum dies erforderlich ist.

Jetpack-Installation

Die Installation von Sucuri war einfach und der Frontend-Scanner begann sofort zu laufen. Um auf die kostenpflichtigen Funktionen wie die Firewall und den serverseitigen Scanner zugreifen zu können, müssen Sie ein Konto bei Sucuri erstellen. Die kostenlose Version ist jedoch autark.

Das externe Dashboard von Jetpack ist komfortabel zu verwenden, da es wp-admin nachahmt. Abhängig von Ihrem Plan gibt es jedoch eine Menge gesperrter Funktionen, sodass es nicht die beste Benutzererfahrung ist, überall „Upgrade“ zu sehen. Einige der Metriken sind aus Sicherheitssicht nutzlos, daher sind wir insgesamt nicht begeistert von der Benutzeroberfläche von Jetpack.

Allerdings würden wir die Schnittstelle von Jetpack der von Sucuri vorziehen. Wenn wir Sucuri mit einem Wort beschreiben müssten, wäre dieses Wort Verwirrung. Es gibt einfach so viel Tech-Jargon in der Konfiguration und den Einstellungen. Wir haben tatsächlich Stunden damit verbracht, herauszufinden, was einige der Begriffe überhaupt bedeuten. Außerdem sind die Beschreibungen nicht hilfreich und in einigen Fällen herablassend. Ich bin mir nicht sicher, warum jemand dachte, es sei eine gute Idee, Beschreibungen zu schreiben, die effektiv sagen: Wenn Sie nicht wissen, was das bedeutet, lassen Sie es am besten in Ruhe.

sucuri-Mikrokopie
Nachricht erhalten.

Das Einrichten der Firewall von Sucuri war ein Albtraum. Es mag einfach erscheinen, wenn Sie Zugang zu einem Domain-Registrar haben und das Know-how haben, mit Nameservern herumzuspielen (deren Aktualisierung übrigens einige Stunden dauert). Unsere Testseite hat keine Domain, weil wir nicht wollen, dass Google sie indexiert oder dass Leute versehentlich darauf landen, daher war das Ändern der Nameserver keine einfache Aufgabe. Wenn jemand die Firewall auf einer Staging-Site einrichten wollte, wäre es schwierig, ohne technische Unterstützung auszukommen.

Sucuri-Firewall-Einstellungen

Jetpack: Extras

Jetpack kombiniert mehrere WordPress-Administrationsaufgaben in einem Plugin, daher gibt es viele Extras. Uns gefällt, dass es Backups gibt, denn Backups sind für jede Website sehr wichtig. Abgesehen davon ist die Verwendung des WordPress.com-Kontos vertraut, obwohl es mühsam ist, zur Verwaltung zwischen ihnen hin und her zu wechseln, wenn Sie mehrere Websites in einem Konto haben.

Sucuri: Extras

Sucuri hat eine Menge zusätzlichen Schnickschnack in ihrem Plugin. Im Gegensatz zu Jetpack, das mehr als Sicherheit bietet, geht es bei Sucuri nur um Sicherheit. Also haben wir versucht, in den Funktionen herumzustöbern, um zu sehen, was sich auf die Sicherheit auswirken könnte.

Wenn Sie das Plugin installieren, sehen Sie als Erstes und Größtes die WordPress-Integritäts-Infobox. Es sieht wirklich beeindruckend aus, aber es ist tatsächlich eine sehr auffällige Version eines WordPress-Core-Dateiänderungsmonitors. Ein Dateiänderungsmonitor für Kerndateien hat offensichtlich einen gewissen Nutzen, zumal bekannt ist, dass Malware regelmäßig Kerndateien befällt. Die Hervorhebung und Platzierung ist unserer Meinung nach jedoch irreführend. Ein Dateiänderungsmonitor ist nicht der Umfang der WordPress-Sicherheit. Ehrlich gesagt ist es noch nicht einmal der Anfang.

sucuri WordPress Integrität

Es gibt auch ein Integritäts-Diff-Dienstprogramm, um Kerndateien auf der Website mit dem ursprünglichen Build zu vergleichen. Es ist einfacher als die Verwendung eines Online-Diffcheckers für Kerndateien, wenn Sie Malware manuell entfernen.

Sucuri wp Integrity Diff-Dienstprogramm

Sucuri hat eine Menge WordPress-Härtungsoptionen. Einige von ihnen sind nützlich, während die anderen ältere Hacks sind, die inzwischen aus Sicherheitsgründen nicht mehr nützlich sind.

Sucuri-Härtungsfunktionen

Zum Beispiel ist das Blockieren von PHP im Upload-Ordner eine gute Idee, ebenso wie die Möglichkeit, die WordPress-Salts einfach über das Dashboard zu ändern. Dies ist jedoch keine eindeutige Bestätigung. Es wäre viel sicherer gewesen, die Funktion auf dem Sucuri-Dashboard statt auf wp-admin zu haben. Wenn ein Hacker Zugriff auf das Website-Backend erhält, werden die Salts kompromittiert, da sie im Klartext angezeigt werden.

Sucuri wp-Härtungsoptionen

Dinge wie das Überprüfen der WordPress-Version, das Entfernen der WordPress-Version, das Vermeiden von Informationslecks und das Überprüfen des Standard-Admin-Kontos sind bedeutungslose Sicherheitsfunktionen. Sie tun sehr wenig, um die Website konkret zu sichern. Vergessen Sie die Sicherheitsbranche, selbst Hacker haben sich von diesen Tricks verabschiedet.

Einige der Härtungsfunktionen haben uns verwirrt. Wenn wir den Plugin- und Theme-Editor deaktivieren würden, wie würden wir unsere Plugins und Themes aktualisieren, wenn Schwachstellen entdeckt werden? Außerdem speichert Sucuri PHP-Dateien im Uploads-Ordner, sodass das Abschalten des gesamten externen Zugriffs bedeutet, dass sie nicht auf ihre eigenen Dateien zugreifen können. Vielleicht gibt es eine Regel, die ihnen diesen Zugriff erlaubt, aber das ist einem Endbenutzer überhaupt nicht klar.

Es gibt eine Passwortverwaltungsfunktion, aber die begleitende Warnung würde die meisten Leute davon abschrecken, sie jemals zu verwenden: „Wählen Sie Benutzer aus der Liste aus, um ihre Passwörter zu ändern, beenden Sie ihre Sitzungen und senden Sie ihnen einen Link zum Zurücksetzen des Passworts per E-Mail. Bitte beachten Sie, dass das Plugin die Passwörter vor dem Senden der E-Mails ändert, was bedeutet, dass Ihre Benutzer von der Website ausgeschlossen werden, wenn Ihr Webserver keine E-Mails senden kann.“

Was bei Jetpack und Sucuri fehlt

Unser größtes Problem mit Sucuri ist die Tatsache, dass der Malware-Scanner nicht funktioniert. Wir hätten erwartet, dass es einen Teil der Malware erkennen würde, wenn man bedenkt, wie häufig Sucuri auf Websites verwendet wird. Aber es hat nichts erkannt! Aus unserer Sicht unverzeihlich.

Jetpack hat weder eine Firewall noch Malware-Reinigung, automatisiert oder anderweitig. Es macht die halbe Arbeit, die Malware zu finden, die sich bereits auf der Website befindet, aber nichts, um sie zu entfernen oder zu schützen. In Bezug auf die Sicherheit bei weitem nicht ausreichend.

Sucuri vs. Jetpack: Preise

Sucuris niedrigster Prämienplan liegt bei 199,99 $ pro Jahr und Standort. Es ist ein gutes Geschäft für die unbegrenzten Anfragen zum Entfernen von Malware, die Sie haben können. Die Firewall ist auch anständig, aber der Scanner ist schrecklich. Es ist nicht ganz sein Geld wert. Jetpack ist kein gutes Sicherheits-Plugin für den Preis von 300 $.

Wenn wir 300 US-Dollar für ein Sicherheits-Plugin bezahlen würden, würden wir viel von diesem Plugin verlangen: einen treffsicheren Malware-Scanner, eine Firewall und Reinigungsoptionen. Jetpack hat nichts davon. Es half dabei, einen Teil der Malware zu identifizieren, einige der Schwachstellen zu erkennen und einen durchschnittlichen Brute-Force-Schutz zu bieten.

Jetpack-Preise
Jetpack-Preise für Sicherheitspläne

Die unbegrenzte Malware-Entfernung ist ein großer Vorteil für Sucuri. Die Reaktionszeit war großartig, es gab eine Post-Hack-Checkliste, die mit uns geteilt wurde, und die gesamte Malware wurde bereinigt. Aber – und das ist ein großes Aber – der Malware-Scanner war ein kompletter Fehlschlag. Wir waren so enttäuscht, dass es nicht ein Aufflackern von Malware erkannt hat. Und doch hat das Team alles aufgeräumt. Wenn Sucuri etwas von der manuellen Malware-Reinigungsenergie in den Scanner einbringen könnte, würde es ein beeindruckendes Plugin werden. Bis dahin aber nicht so sehr.

Sucuri-Preise
Sucuri-Preise

Bessere Alternative zu Jetpack und Sucuri: MalCare

In diesem Artikel haben wir alle unsere Erkenntnisse aus intensiven Testsitzungen präsentiert. Weder Jetpack noch Sucuri schützen WordPress-Websites effektiv vor Hackern und ihrer Malware. Wenn Sie den Artikel bis hierhin gelesen haben, wissen Sie, dass Sicherheit nicht verhandelbar ist. Die Investition in ein solides und zuverlässiges Sicherheits-Plugin ist also der richtige Weg.

Das beste derzeit verfügbare WordPress-Sicherheits-Plugin ist MalCare. MalCare verfügt über einen erstklassigen Malware-Scanner, eine automatisierte Malware-Bereinigung und eine fortschrittliche Firewall, um Ihre Website vor Angriffen zu schützen.

Im Feature-zu-Feature-Vergleich aller anderen Security-Plugins schneidet MalCare zudem deutlich sparsamer ab. Gegen die satten 300 US-Dollar von Jetpack ist der 150-Dollar-Plan von MalCare ein viel besseres Angebot für viele weitere Funktionen. In ähnlicher Weise ist für Sucuri der 99-Dollar-Plan von MalCare weitaus besser als der 199,99-Dollar-Basisplattformplan.

Abschluss

Ein Sicherheits-Plug-in ist ein wesentlicher Bestandteil Ihres Verwaltungs-Toolkits. Es ist eines dieser Dinge, die ein Minimum an Eingriffen erfordern und sofort einsatzbereit sein sollten. MalCare bietet die beste Sicherheit, ohne den unnötigen Lärm, den die meisten anderen Plugins mit sich bringen. Es ist eine lohnende Investition, um Ihre Einnahmen vor Hackern zu schützen.

Hat dieser Artikel geholfen? Schreiben Sie uns und lassen Sie es uns wissen. Wir würden uns freuen, von Ihnen zu hören!