Sucuri vs. Wordfence: Welches Sicherheits-Plugin ist das Beste für Ihre WordPress-Website
Veröffentlicht: 2022-04-22Wordfence und Sucuri sind beide die Schwergewichts-Champions von WordPress-Sicherheits-Plugins. In jedem Gespräch tauchen sie unweigerlich auf und die Leute sind sich uneins darüber, welches das beste Sicherheits-Plugin ist.
Sucuri verfügt über einen beliebten Online-Scanner, der häufig von Website-Administratoren zum Erkennen von Malware verwendet wird. Ihr Plugin hat auch einen serverseitigen Scanner, eine Firewall und viele andere Sicherheitsfunktionen. Sucuri bietet unbegrenzte Malware-Entfernung mit jedem ihrer Pläne.
Wordfence ist der unbestrittene Marktführer für WordPress-Sicherheits-Plugins. Das Team ergänzt sein Sicherheits-Plugin mit vielen lehrreichen Inhalten und hilft dem Administrator zu verstehen, wie er seine Website vor Hackern schützen kann. Das Plugin verfügt über einen Scanner und eine Firewall und kann auch einige Malware entfernen. Sie haben auch einen Malware-Entfernungsdienst, aber das ist eine Premium-Funktion auf Abruf.
Um zu beantworten, welches im Kampf zwischen Sucuri und Wordfence besser ist, haben wir beide Plugins ausgiebig getestet. Wie Sie im Rest des Artikels sehen werden, wurden die Tests entwickelt, um die Plugins zum Stolpern zu bringen, damit Sie die beste Entscheidung für die Sicherheit Ihrer Website treffen können.
5 Sicherheits-Plugins, 3 Websites, 45 Tage und jede Menge Malware. Die Ergebnisse waren schlüssig.
URTEIL Sucuri vs. Wordfence ist keine einfache Frage. Beide haben Malware-Scanner und Firewalls. Wordfence hat einen automatischen Cleaner und einen teuren Dienst zum Entfernen von Malware, während Sucuri nur unbegrenzte Cleanups mit seinen Plänen hat. Nach Abwägen aller Faktoren ist Wordfence mit Sicherheit der Gewinner. Lesen Sie weiter, um mehr zu erfahren.
Unsere Wahl
Für diese Serie haben wir 3 Test-Websites entwickelt: erstens einen einfachen Blog mit vielen Bildern und Kommentaren als Kontrolle; zweitens eine Website mit vielen anfälligen Plugins und Themen mit unterschiedlichem Grad an Unklarheit; und schließlich eine Website, die mit verschiedenen Arten von Malware beladen ist.
Die Kriterien für ein effektives Plugin sind vielfältig, aber wir wollten uns auf eine einfache Frage konzentrieren: Schützt das Plugin Ihre Website gut vor Hackern und Malware?
45 Tage später hatten wir unsere Antwort. Bei 4 von 5 Plugins war die Antwort nein. 1 Plugin hat in jeder Hinsicht gewonnen. Dieses Plugin ist MalCare.
MalCare hat den besten Malware-Scanner, den wir je gesehen haben, und erkennt Malware aus Dateien, der Datenbank und Ordnern, unabhängig davon, wie gut sie versteckt ist. Es verfügt über einen automatischen Reiniger, der tatsächlich funktioniert und nur Malware mit chirurgischer Präzision reinigt. Und schließlich eine fortschrittliche Firewall, die Bedrohungen blockiert, die Ihre Website ausnutzen können.
Das beste Sicherheits-Plugin für deine WordPress-Seite ist eindeutig MalCare.
Zusammenfassung des Vergleichs zwischen Sucuri und Wordfence
In diesem Feldkampf ist Wordfence der Gewinner. Wir müssen zugeben, dass es knapp war, denn auch Sucuri hat seine Punkte.
Wir können sehen, warum sich die Leute so darüber aufregen, welches besser ist, weil die Fehler von Wordfence die Stärken von Sucuri sind und umgekehrt. Abhängig von der persönlichen Erfahrung einer Person werden sie sich also für das Plugin einsetzen, das ihr spezielles Problem gelöst hat.
Aber aus diesem Grund gibt es keine objektive Antwort darauf, welche für alle WordPress-Sites ganzheitlich besser ist. Und die Antwort darauf ist weder noch. Sie sollten bei dem einen oder anderen Sicherheitsaspekt keine Kompromisse eingehen müssen. Haben Sie alles, indem Sie stattdessen MalCare kaufen.
Wordfence auf den Punkt gebracht
Wordfence ist nach MalCare das beste Sicherheits-Plugin für eine WordPress-Seite. Die kostenlose Version ist robust und bietet großartige Sicherheitsfunktionen. Der Scanner erkennt die meisten dateibasierten Malware und ist in der Lage, das meiste von dem, was er erkennt, zu bereinigen. Die Firewall ist eine der aktuellsten und blockiert mehrere Bedrohungen. Die Nachteile sind, dass die Leistung der Website mit Wordfence stark beeinträchtigt wird und der Malware-Bereinigungsdienst teuer ist.
Der Scanner von Wordfence konnte die gesamte dateibasierte Malware erkennen, die wir in unsere kostenlosen Plugins und Designs eingefügt hatten. Wenn das seltsam spezifisch klingt, liegt das daran, dass es so ist. Es konnte keine Malware erkennen, die sich in der Datenbank befand, noch Malware, die in Premium-Plugins und -Designs eingefügt wurde. Dies liegt daran, dass der von Wordfence verwendete Mechanismus zur Erkennung von Dateiübereinstimmungen stark auf öffentlich verfügbaren Code angewiesen ist.
Die Scan-Ergebnisse haben Malware und die Schwachstellen in den installierten Designs und Plugins markiert. Witzigerweise hat Wordfence auch einige unserer Premium-Plugins als Malware oder Fehler gekennzeichnet. Dies sind Fehlalarme, die wir sehen können, weil wir es gewohnt sind, im WordPress-Code herumzuwühlen. Aber einige Website-Administratoren können aus diesem Grund möglicherweise perfekt funktionierende Plugins entfernen.
Außerdem gab es eine Option zum automatischen Reparieren von Malware-verseuchten Dateien, nachdem die Scan-Ergebnisse angezeigt wurden. Wir haben es versucht, und es hat funktioniert. Die gesamte erkannte Malware wurde von der Website entfernt. Natürlich kann es keine Malware reparieren, die es überhaupt nicht erkennen konnte.
Als nächstes haben wir die Firewall ausprobiert. Es war effektiv und blockierte viele der Bedrohungen, die wir ihm entgegenschlugen. Aber jedes Mal, wenn die Firewall eine Bedrohung blockierte, erhielten wir eine Warnung. Während unserer Tests gab es so viele Warnungen, dass wir uns nur vorstellen können, was auf einer Live-Site passieren wird. Der Administrator wird sicher überfordert sein und die kritischen Warnungen verpassen.
Abgesehen von diesen drei Hauptkriterien gibt es bei Wordfence eine Reihe weiterer Optionen. Der Brute-Force-Schutz ist hervorragend und die Zwei-Faktor-Authentifizierung funktioniert wie ein Zauber.
Was das Plugin wirklich um mehrere Stufen nach oben brachte, war seine hervorragende Benutzerfreundlichkeit. Wordfence ist ein komplexes Sicherheits-Plugin, aber es ist auch für Anfänger zugänglich. So wie das Dashboard aufgebaut ist, mit den Tipps und der begleitenden Dokumentation, kann jeder das Sicherheits-Plugin konfigurieren, ohne seine Seite versehentlich unbrauchbar zu machen. Dies ist unserer Meinung nach ein riesiges Plus, insbesondere im Vergleich zu Sucuri, wie Sie später sehen werden.
Wordfence hat überraschenderweise kein Aktivitätsprotokoll, was wir für sehr seltsam hielten. Aber der eigentliche Wermutstropfen ist, dass es sich um eine Ressourcensenke handelt. Jeder Scan, den wir auf unserer Website durchgeführt haben, führte zu einem Anstieg der Festplattennutzung und einem Einbruch der Website-Leistung. Aus diesem Grund haben viele Webhoster Wordfence verboten.
Zusammenfassend lässt sich sagen, dass Wordfence ein ausgezeichnetes Sicherheits-Plugin ist, aber mit ernsthaften Lücken. Trotz all der Vorteile, die es hat, und keinem der Mängel, ist MalCare der richtige Weg.
Sucuri auf den Punkt gebracht
Sucuri hat eine gute Firewall und ihr Malware-Entfernungsservice war großartig. Aber der Malware-Scanner konnte keine Malware erkennen, obwohl ihr Team sie später entfernte. Ein Sicherheits-Plugin ohne funktionierenden Malware-Scanner ist wirkungslos.
Sucuri ist das einzige andere Plugin, das neben MalCare und Wordfence Chancen hat, in Betracht gezogen zu werden, da es zumindest manchmal als Sicherheits-Plugin fungiert. Jetpack und iThemes waren Abschreibungen.
Es ist wohl eines der beliebtesten Sicherheits-Plugins da draußen, aber es versagt immer noch in einem grundlegenden Bereich: dem Malware-Scannen. Wie wir später sehen werden, ist ihr Malware-Entfernungsdienst erstklassig. Sie waren effizient und schnell, meldeten sich früher als erwartet und leisteten gute Arbeit bei der Reinigung der Website. Wenn es sich jedoch nicht um eine von uns erstellte und mit Malware vollgestopfte Testwebsite gehandelt hätte, hätten wir nie gewusst, dass sie infiziert war, da der Scanner uns einen sauberen Zettel für Hacks lieferte. Sucuri ist also ein klassischer Fall, bei dem die Kutsche vor das Pferd gestellt wird. Sie müssen wissen, dass die Website gehackt wurde, um sie zu bereinigen, aber es gibt keine Möglichkeit zu wissen, dass sie mit dem Scanner von Sucuri gehackt wurde.
Im weiteren Verlauf hat die Firewall gut funktioniert. Es hat Angriffe wie SQL-Injections und Remote-Code-Execution-Angriffe einfach und konsistent abgewehrt. Aber es war ein Albtraum, es einzurichten. Da wir Testseiten verwenden, gab es viele Probleme, die Nameserver so zu ändern, dass sie auf die Firewall-IPs von Sucuri statt auf unsere Testwebsite verweisen. Wenn einer der letzten Sätze keinen Sinn ergab, ist es in Ordnung. Wir haben ewig gebraucht, um es zu konfigurieren. Um fair zu sein, Sie werden auf Ihren Live-Sites nicht auf solche Schwierigkeiten stoßen, aber wenn Sie sie für eine Staging- oder lokale Site konfigurieren möchten? Erwarten Sie Probleme.
Wir waren schon frustriert über die Firewall, als wir uns die anderen Konfigurationsoptionen ansahen. Warum ist alles so kompliziert? Die Sprache ist verwirrend und in einigen Fällen geradezu herablassend. Und das war, bevor wir feststellten, dass jeder Sicherheitsscan unsere Test-Websites verlangsamte. Als wir die Festplattennutzung des Servers überprüften, gab es einen alarmierenden Anstieg.
Sucuri verwendet Site-Ressourcen, um nach Malware zu scannen – ein Scanner, der nicht funktioniert, denken Sie daran. Es tut also nicht das, was es soll, und beeinträchtigt dennoch die Leistung der Website. Kein toller Look für Sucuri.
Welches Sicherheits-Plugin ist Ihr Geld wert?
WordPress-Sicherheitsratschläge sind Legion und gut gemeint, aber es sind oft schlechte Ratschläge. Wir haben Leute gesehen, die für iThemes plädiert haben – eines der schlechtesten Sicherheits-Plugins, die wir je gesehen haben – weil ihre Websites noch nie gehackt wurden, und die Tatsache völlig außer Acht lassen, dass sie Plugins regelmäßig aktualisieren, gute Passwörter verwenden, keine nulled Software verwenden und haben eine gehörige Portion Glück. Wenn bei GoDaddy eine Datenschutzverletzung vorliegen kann, kann dies auch bei Ihrer Website der Fall sein.
Der springende Punkt ist, wie man ein gutes Sicherheits-Plugin auswählt. Wir haben eine wichtige Liste zusammengestellt, um Dinge loszuwerden, die nichts mit Sicherheit zu tun haben.
- Wesentliche Sicherheitsfunktionen
- Malware-Scannen
- Malware-Reinigung
- Firewall
- Gut zu habende Sicherheitsfunktionen
- Schwachstellenerkennung
- Brute-Force-Login-Schutz
- Aktivitätsprotokoll
- Zwei-Faktor-Authentifizierung
- Potenzielle Probleme
- Auswirkungen auf Serverressourcen
Wie Sie sehen können, gibt es nur 3 wesentliche Funktionen, um die Sie sich kümmern müssen. Ein Sicherheits-Plugin sollte in diesen drei Dingen großartig sein: Malware-Scannen, Malware-Reinigung und Firewall. Alles andere ist Soße. Wir verzichten nicht auf Brute-Force-Schutz oder Zwei-Faktor-Authentifizierung, denn auch diese sind wichtig. Sie können jedoch andere Plugins für diese Funktionalität erhalten.
MalCare ist das einzige Sicherheits-Plug-in, das über hervorragende Malware-Scan- und -Bereinigungsfunktionen sowie eine fortschrittliche Firewall verfügt, die Bedrohungen abwehrt. Jedes andere Plugin schlägt an der einen oder anderen Stelle fehl.
Sucuri vs. Wordfence: Kopf-an-Kopf-Vergleich der Funktionen
Die Wahl des richtigen Sicherheits-Plugins kann eine verwirrende Erfahrung sein, besonders wenn Sie jedes auf seine Wirksamkeit testen müssen und die ganze Zeit hoffen, dass es funktioniert.
In diesem Abschnitt haben wir unsere Testergebnisse nach Merkmalen geordnet präsentiert. Das Vergleichen und Gegenüberstellen der gleichen Funktionen über Plugins hinweg gibt ein klareres Bild von der Effektivität des Sicherheits-Plugins.
Wir haben unsere Ergebnisse so fair und transparent wie möglich formuliert, um den Menschen zu helfen, eine bessere Wahl für ihre Websites zu treffen. Wenn Sie Ihre Websites jedoch schnell sichern möchten, installieren Sie stattdessen MalCare und fahren Sie mit dem Ende fort.
Malware-Scannen
Sucuri hat 2 Scanner: einen Online-Scanner namens SiteCheck und einen auf Serverebene, der Teil des Plugins ist. Beide haben keine Malware erkannt. Wordfence verfügt über einen anständigen Malware-Scanner, der bösartige Skripte in Kerndateien und -ordnern sowie in kostenlosen Plugins und Designs erkennen kann. Ansonsten vermisste es Malware in der Datenbank und Premium-Plugins und -Designs.
Wir empfehlen Sucuri SiteCheck oft als First-Level-Diagnose für Malware, falls jemand vermutet, dass sein WordPress gehackt wurde. Es kann nicht die gesamte Website scannen, aber es kann häufige Malware-Infektionen schnell und ohne die Notwendigkeit der Installation eines Plugins für den ausdrücklichen Zweck identifizieren.
Wir hatten größere Erwartungen an den Scanner auf Serverebene, da er vollen Zugriff auf die Website haben würde. Die Installation ist etwas anders als bei anderen Plugins, da der Scanner auf Ihrem Webserver installiert werden muss. Dies kann manuell erfolgen oder indem Sie FTP-Details in Ihr Dashboard eingeben. Wir haben die Installation abgeschlossen und auf den Abschluss des Scans gewartet.
Nach geraumer Zeit war der Scan abgeschlossen und unsere mit Malware verseuchte Website war anscheinend frei von Hacks. Führen Sie den Scan ein zweites Mal durch, um zu sehen, ob beim ersten Mal ein Fehler aufgetreten ist. Nein, laut Sucuri immer noch keine Malware. Großer Fehler.
Bei der Installation wird Sucuri so eingerichtet, dass es einmal täglich ausgeführt wird, aber Sie können On-Demand-Scans anfordern. Die Anfragen werden in eine Warteschlange gestellt und dann je nach Verfügbarkeit ausgeführt. Das Plugin selbst warnt Sie, dass das Scannen Ihrer Website Serverressourcen verbraucht und daher die Leistung Ihrer Website beeinträchtigt. Ehrlich gesagt ist das schrecklich, denn die Sicherheit sollte nicht auf Kosten der Leistung und des Benutzererlebnisses gehen. Darauf gehen wir in einem anderen Abschnitt näher ein.
Wordfence führt auch bei der Installation automatisch einen Scan durch. Hier gab es jedoch ein wenig Verwirrung, da wir davon ausgegangen sind, dass der Prozentkreis auf dem Dashboard den Fortschritt des Scanners darstellt. Nachdem wir sahen, dass er sich einige Stunden lang nicht über 60 % bewegt hatte, schauten wir genauer hin und stellten fest, dass es sich um ein Maß für die Effizienz des Scanners handelte. Um 100% zu erreichen, müssen Sie das Plugin aktualisieren.
Der Scanner wurde neu gestartet, um zu messen, wie viel Zeit es gedauert hat, und da unsere Testseiten klein sind, war der Scanner in weniger als einer Minute fertig. Das ist definitiv ein Pluspunkt. Die Scan-Ergebnisse waren allerdings nur überdurchschnittlich, nicht perfekt, da der Großteil der Malware erkannt wurde, nicht alles.
Der Grund dafür ist, dass Wordfence den Signaturabgleich verwendet, um Malware zu erkennen. Das bedeutet, dass der Wordfence-Scanner den Code Ihrer Website mit einer Datenbank mit Malware-Signaturen vergleicht. Wenn es eine Übereinstimmung gibt, markiert der Scanner sie als Malware. Während Wordfence über eine beeindruckende Malware-Datenbank verfügt, die sie regelmäßig auf der Grundlage ihrer Sicherheitsforschung aktualisieren, kann sie niemals zu 100 % vollständig sein, da das Team die Malware gesehen haben müsste, um sie in der Datenbank zu aktualisieren, und unabhängig von umfassender Forschung neu Malware taucht ständig auf
Daher ist Wordfence geschickt darin, Malware aufzuspüren, die in WordPress-Kerndateien und -ordnern gefunden wird, sowie schädliche Skripte in kostenlosen Plugins und Designs. Es kann jedoch keine Malware in Premium-Software wie beispielsweise Elementor erkennen, da diese keinen Zugriff auf den Quellcode zur Analyse haben. Aus dem gleichen Grund scheitert Wordfence auch daran, Malware in der Datenbank zu erkennen, da dies einen Mechanismus erfordert, der über den Signaturabgleich hinausgeht, um entdeckt zu werden.
Davon abgesehen hat Wordfence all unsere dateibasierte Malware erkannt. Nach unserer Schätzung ist es in der Lage, 70 bis 80 % der Malware zu erkennen. Es ist auch anfällig für Fehlalarme und neigt dazu, eine Menge Warnungen zu generieren. Auch dazu kommen wir in einem gesonderten Abschnitt.
Malware-Reinigung
Wordfence verfügt über eine automatische Reparaturfunktion zum Reinigen von Malware, aber die Wirksamkeit ist bei komplexerer Malware umstritten. Sie haben einen erstklassigen Malware-Entfernungsdienst, aber er kann für 490 US-Dollar pro Website ein Loch in die Tasche reißen. Sucuri hingegen hat einen unbegrenzten manuellen Malware-Reinigungsdienst, der in all seinen Plänen enthalten ist.
Obwohl der Scanner von Sucuri anzeigte, dass unsere Website keine Malware enthielt – was definitiv der Fall war –, forderten wir eine Bereinigung an, ohne viel zu erwarten. Die Seite kam jedoch makellos zu uns zurück. Wir haben es zur Überprüfung durch MalCare laufen lassen. Seltsamerweise hat der Scanner nach der Säuberung unserer Website durch das Sucuri-Team Malware darauf markiert. Ganz klar, irgendwo ein Bug.
Der Malware-Entfernungsservice war sehr schnell. Obwohl unser Plan eine Antwort innerhalb von 30 Stunden garantierte, erhielten wir eine bereinigte Website in weniger als 10 Stunden zurück. Das ist großartig. Die einzige Warnung, auf die wir hinweisen möchten, ist, dass Zeit von entscheidender Bedeutung ist, wenn Sie eine gehackte Website haben. Sie können es sich nicht leisten, Malware lange auf Ihrer Website zu haben. Um zu unterstreichen, wie wichtig es ist, schnell zu handeln, misst die Google Blacklist auch Ihre Reaktionszeit auf Benachrichtigungen über Malware.
Zum Entfernen von Malware müssen Sie eine Bereinigung von Sucuri anfordern. Füllen Sie ein Formular mit allen Informationen aus, die Sie bereitstellen können, und das Team übernimmt von dort aus. Wir haben eine Nachricht von Sucuri mit einer Post-Hack-Checkliste mit großartigen Empfehlungen erhalten. Insgesamt ist die Malware-Reinigungsfunktion mit Sucuri also ein Daumen hoch.
Wordfence hat 2 Optionen für den Umgang mit gehackten Dateien auf dem Dashboard: alle löschbaren Dateien löschen und alle reparierbaren Dateien reparieren. Dies ist abgesehen von einem CTA, der vorschlägt, dass wir uns für ihren fachmännischen Reinigungsservice entscheiden.
Wir haben beide Optionen ausprobiert und beide waren ziemlich erfolgreich darin, die Malware von unserer Website zu entfernen. Das Problem ist, dass der automatischen Entfernung dringende Warnungen vorausgehen, dass die Website aufgrund von Änderungen beschädigt wird.
Unsere Test-Sites werden auf BlogVault gesichert, und ehrlich gesagt waren wir nicht besonders besorgt darüber, dass sie kaputt gehen. Obwohl wir ohne allzu viel Nachdenken durchkommen konnten, lag das daran, dass wir daran interessiert waren, die Reparaturfunktion zu testen. Bei einem E-Commerce-Shop oder einer stark frequentierten Website wäre der Fall jedoch ganz anders.
In unseren Testreihen haben wir normalerweise an diesem Punkt aufgehört, weil die meisten anderen Sicherheits-Plugins versagten. Wordfence hat die gesamte dateibasierte Malware von unserer Website entfernt, also haben wir die Funktion mit Datenbank-Malware und einigen unserer Premium-Plugins ausprobiert. Der Scanner war nicht in der Lage, so viel Malware zu erkennen, und daher war eine automatische Reparatur nicht einmal eine Option.
Die andere Alternative bestand darin, die Entfernung der Malware anzufordern. Der Dienst gibt vor, Malware und Hintertüren zu entfernen und eine Sicherheitsüberprüfung der Website durchzuführen, um Schwachstellen zu bewerten. Falls Ihre Website auf einer schwarzen Liste gelandet ist, hilft Wordfence auch dabei, diese loszuwerden. Der Service ist für ein Jahr garantiert, abhängig davon, ob der Site-Administrator die Post-Hack-Empfehlungen buchstabengetreu befolgt hat. Bitte beachten Sie: Wir können nicht über die Wirksamkeit des Malware-Entfernungsdienstes von Wordfence sprechen, da wir ihn nicht ausprobiert haben.
Andererseits haben wir MalCare verwendet, um die gesamte Malware automatisch zu entfernen, und wir konnten dies ohne Probleme tun. Keine dringenden Warnungen, keine übersehene Malware, und unsere Website war innerhalb von Minuten blitzsauber. Das ist die Art von Malware-Bereinigung, die wir für unsere Website wollen.
Firewall
Sowohl Sucuri als auch Wordfence haben großartige Firewalls, die die häufigsten und größten Bedrohungen blockieren. Aber die Installation der Firewall von Sucuri war ein Albtraum, und die kostenlose Firewall von Wordfence erhält besorgniserregende Updates später als ihre Premium-Version.
Die Firewall von Sucuri hielt Angriffe wie SQL-Injections, Remote-Injections und Cross-Site-Scripting-Angriffe ab. Unsere Test-Website hatte eine Menge Schwachstellen, wie zum Beispiel ungesicherte Datei-Uploads, und blieb hinter der Firewall sicher.
Unser Problem mit der Firewall von Sucuri war ihre Installation. Um die Firewall zu verwenden, müssen Sie Ihren Datenverkehr auf ihre Nameserver leiten, damit der schlechte Datenverkehr herausgefiltert wird und nur guter Datenverkehr an Ihre Website weitergeleitet wird. Ausgezeichnete Idee, aber was für ein Albtraum zu konfigurieren. Unsere Test-Websites waren keinem Domain-Registrar zugeordnet, also mussten wir das Engineering-Team hinzuziehen, um das herauszufinden.
Auch die Firewall von Wordfence funktioniert out of the box und wehrt Angriffe erfolgreich ab.
Direkt nach der Installation ging die Firewall in den Lernmodus. Wordfence hat empfohlen, den Lernmodus eine Woche lang eingeschaltet zu lassen. Das ist fair, denn Firewalls brauchen Live-Traffic, um zu lernen, wie sie effektiv sind. Da wir jedoch keinen Live-Verkehr zu unseren Test-Websites haben, sahen wir wenig Sinn darin, eine Woche zu warten, und stellten es sofort um.
Bei Wordfence ist die kostenlose Firewall angeblich nur zu 35% effektiv. Dies ist keine Vermutung unsererseits, sondern steht tatsächlich auf dem Dashboard. Wir haben ein wenig tiefer gegraben, um herauszufinden, warum das der Fall sein könnte. Es gibt 2 Gründe:
Erstens: Die kostenlose Firewall lädt sich wie ein Plugin, nachdem WordPress fertig ist. Die Ladereihenfolge wirkt sich erheblich auf die Sicherheit aus, denn wenn die Firewall nach dem WordPress-Kern lädt, bedeutet dies, dass sie nur einen Teil des schädlichen Datenverkehrs abhalten kann, nicht den gesamten.
Zweitens: Während Wordfence die aktuellste Firewall hat, erhält die Premium-Version diese Updates in Echtzeit. Die kostenlose Version erhält jedoch Updates nach einer unbestimmten Zeit. Wir haben keine Möglichkeit zu wissen, was die Verzögerung ist, aber es ist potenziell problematisch. Hacker können doch im Fenster zuschlagen.
Das größte Werbegeschenk ist, dass Wordfence selbst seine kostenlose Firewall mit 35 % Effektivität im Vergleich zu seiner Premium-Version einstuft. Nicht gut.
Schwachstellenerkennung
Wordfence hat hervorragende Arbeit geleistet, um alle Schwachstellen auf unserer Website zu erkennen. Sucuri vermisste die obskuren überhaupt.
Wir waren beeindruckt zu sehen, dass Wordfence uns auf alle veralteten Plugins als mittlere Bedrohungen aufmerksam gemacht hat. Die Sicherheitslücken wurden korrekt als kritische Bedrohungen gekennzeichnet. Andere Sicherheits-Plugins stolperten über die obskureren Plugins und Themen und machten uns überhaupt nicht auf ihre schwerwiegenden Schwachstellen wie Cross-Site-Scripting in einem Fall aufmerksam. Wordfence hat hier also Trümpfe aufgewiesen.
Es ist nicht möglich, Schwachstellen direkt aus dem Wordfence-Dashboard zu beheben, aber das macht Sinn. Das Beheben von Schwachstellen bedeutet im Wesentlichen, das Plugin oder Design zu aktualisieren, und diese Funktionalität ist bereits leicht auf wp-admin verfügbar. Wenn Wordfence nicht über eine visuelle Regression wie MalCare verfügt, um sicherzustellen, dass das Update die Website nicht beschädigt, hat es keinen Sinn, eine vorhandene Funktion zu replizieren.
Wordfence hat auch Fehler für iThemes und Backupbuddy ausgegeben. Dies weist auf ihre Tendenz hin, Fehlalarme auf der Website zu kennzeichnen.
Sucuri hat auf unseren Test-Websites alle bis auf die undurchsichtigsten Sicherheitslücken entdeckt. Im Gegensatz zu Wordfence können Sie Ihre veraltete Software jedoch über das Sucuri-Dashboard aktualisieren. Wir sehen das Dienstprogramm nicht wirklich, da Updates problemlos über wp-admin möglich sind.
Die Post-Hack-Registerkarte listet Versionen der installierten Plugins und Designs zusammen mit ihren neuesten Versionen auf. Sucuri warnt davor, mit veralteter Software fortzufahren, da diese zu Malware-Infektionen führen kann.
Interessanterweise konnte sogar der Malware-Entfernungsdienst von Sucuri nur einige der Schwachstellen auf unserer Website erkennen. Aufgrund unserer Erfahrung mit dem Scanner dachten wir, dass der Entfernungsdienst Schwachstellen besser erkennen würde. Das scheint nicht der Fall zu sein.
Brute-Force-Login-Schutz
Wordfence leistet hervorragende Arbeit beim Blockieren aller Brute-Force-Angriffe. Die Anmeldeschutzfunktion von Sucuri scheint nicht zu funktionieren.
Der Brute-Force-Schutz ist standardmäßig auf Wordfence aktiviert. Es funktioniert jedes Mal perfekt und sperrt Benutzer mit zu vielen falschen Versuchen, basierend auf der Konfiguration, die wir auf dem Dashboard festgelegt haben.
Sie finden die Einstellungen im Firewall-Bereich. Im Optionsmenü gibt es viele Dinge, die angepasst werden können: Sperren für falsche Anmeldeversuche festlegen; wie lange ein Benutzer gesperrt wird; und so weiter. Die Optionen sind nicht überwältigend, und Wordfence erklärt jede überzeugend und mit großartiger Dokumentation.
Sie können hier auch Passwortverwaltungsoptionen festlegen, um sichere Passwörter durchzusetzen und die Verwendung von Passwörtern zu verhindern, die bei einer Datenpanne entdeckt wurden.
Es ist möglich, IPs in diesem Abschnitt auf die Whitelist zu setzen, aber wir sind hinsichtlich ihrer Wirksamkeit ambivalent. Geräte-IPs sind dynamisch, sodass eine Zulassungsliste nicht garantiert, dass ein legitimer Benutzer nicht gesperrt wird.
Der Brute-Force-Schutz von Sucuri funktionierte nicht wie erwartet. Wir erlebten weder einen Lockout, noch gab es ein Captcha, um sicherzustellen, dass wir Menschen und keine Bots waren. Wir haben keine Warnungen erhalten, obwohl die Angriffe in den Überwachungsprotokollen auftauchten. Insgesamt war das Feature eine Auswaschung.
Sie würden das jedoch nicht denken, um die Konfigurationsoptionen auf dem Dashboard zu sehen. Es gab so viele Möglichkeiten, dass wir nach einem Punkt taumelten. Alles in allem würden wir weniger Optionen mit einer funktionierenden Funktion bevorzugen als das Gegenteil.
Aktivitätsprotokoll
Sucuri hat ein Audit-Protokoll, aber es kann schwer zu verstehen sein. Wordfence hat kein Aktivitätsprotokoll.
Sucuri verfügt über ein Audit-Protokoll, das alle Benutzeraktionen sowie Plugin- und Designänderungen verfolgt. Die Protokolle zeigen alle Änderungen an Dateien und Tabellen, was gut ist.
Die Protokolle enthalten notwendige Informationen wie Benutzer, Aktion, Zeitstempel usw. In einigen Fällen sind die Einträge jedoch sehr schwer zu verstehen. Um beispielsweise die Logs zu testen, haben wir ein Galerie-Plugin installiert. Die resultierenden Einträge im Prüfprotokoll zeigen 7 verschiedene Änderungen. Aus den Einträgen ging nicht hervor, was die Änderung war, warum sie geschah oder wer dafür verantwortlich war. Daher ist das Audit-Protokoll für jeden, der kein Sucuri spricht, so gut wie nutzlos.
Wir waren überrascht zu sehen, dass Wordfence kein Aktivitätsprotokoll hat, da es eine der Säulen der Website-Sicherheit ist. Es gibt eine Option zum Aktivieren des Debugging im Abschnitt „Diagnose“ des Menüs „Extras“, wodurch die Firewall-Protokolle ausführlicher werden, aber das ist nicht dasselbe wie ein Aktivitätsprotokoll.
Nach langem Suchen haben wir im Scan-Bereich ein Aktivitätsprotokoll speziell für Wordfence-Ereignisse entdeckt. Es ist jedoch ein rohes Protokoll, das eindeutig nur für Wordfence-Entwickler bestimmt ist.
Zwei-Faktor-Authentifizierung
Wordfence hat eine großartige Zwei-Faktor-Authentifizierungsfunktion. Sucuri unterstützt es auf Ihrer Website nicht.
Die Zwei-Faktor-Authentifizierung von Wordfence ist sofort einsatzbereit und bietet eine einfache Reihe von Optionen zum Anpassen der Erfahrung. Früher war es eine Premium-Funktion, wurde aber inzwischen auch zum kostenlosen Plugin hinzugefügt.
Sucuri unterstützt keine Zwei-Faktor-Authentifizierung für Ihre Website, aber Sie können Ihr Sucuri-Konto damit sichern.
Nutzung der Serverressourcen
Sowohl Sucuri als auch Wordfence sind Ressourcenfresser. Wir haben bei Scans und wegen der Firewall unverkennbare Aussetzer in der Festplattennutzung gesehen.
Dies ist ein Faktor, bei dem es keine Wahl zwischen Wordfence und Sucuri gibt: Beide haben gleich schlecht abgeschnitten.
Jede einzelne Aktion, die diese Plugins auf Ihrer Website ausführen, verbraucht Serverressourcen. Unsere Websites sind relativ klein, und wir haben festgestellt, dass sich die Festplattennutzung verdoppelt und manchmal verdreifacht, wenn wir Scans eingerichtet haben. Dies wirkte sich auf die Ladezeit, die Reaktionszeit und das Gesamterlebnis auf der Website aus.
Wenn Sie eine WooCommerce-Website oder eine mit hohem Traffic haben, wird dieser Effekt für Ihre Benutzer spürbar sein. Wenn Sie Shared Hosting verwenden, wird Ihr Webhost Flaggen setzen und Ihre Hosting-Kosten können möglicherweise steigen. Tatsächlich haben viele Webhoster Wordfence aus genau diesem Grund verboten.
Während über Serverressourcen selten gesprochen wird, wenn es um Sicherheit geht, ist dies ein wichtiger Faktor. Niemand sollte Kompromisse bei Leistung oder Sicherheit eingehen müssen. Es ist durchaus möglich, beides zu optimieren.
Allerdings nicht mit Sucuri oder Wordfence. Dafür benötigen Sie MalCare.
Warnungen
Sowohl Sucuri als auch Wordfence sind berüchtigt für unzählige Warnungen und Fehlalarme.
Wir glauben fest daran, unsere Kunden bei der WordPress-Administration zu entlasten. Firewalls sollten den Datenverkehr leise blockieren. Der Bot-Schutz sollte sofort einsatzbereit sein. Der Administrator sollte nur benachrichtigt werden, wenn es etwas gibt, das seine Aufmerksamkeit und Aktion erfordert. WordPress-Sicherheit sollte stressfrei und einfach sein, was ist sonst der Sinn eines Sicherheits-Plugins?
Anscheinend schließen sich weder Sucuri noch Wordfence dieser Denkschule an, denn ihre Warnungen sind überwältigend. Unsere Postfächer waren innerhalb kürzester Zeit überflutet. Zu viele Warnungen sind genauso schlecht wie keine Warnungen, denn beides führt letztendlich zu Untätigkeit, wenn dies erforderlich ist.
Installation, Konfiguration und Benutzerfreundlichkeit
Wordfence ist so konzipiert, dass es für Anfänger sehr einfach ist. Sucuri ist es nicht.
Die Installation, Konfiguration und Gesamtnutzung von Wordfence ist eine der besten, die wir je gesehen haben. Zu jedem Hauptabschnitt gibt es exemplarische Vorgehensweisen, in denen die wichtigsten Einstellungen und Funktionen in einfacher, nicht bedrohlicher Sprache erklärt werden.
Wordfence hat großartige Empfehlungen für die Konfiguration. Ihre Dokumentation ist über die QuickInfos auf dem Dashboard zugänglich, wodurch sie sehr kontextbezogen ist. Jede Funktion wird klar erklärt und Anweisungen, wie Sie sie auf Ihrer Website zum Laufen bringen, sind sofort verfügbar.
Das mag seltsam erscheinen, darauf hinzuweisen. Wenn Sie Sucuri jedoch jemals ausprobiert haben, stellen Sie fest, dass die einfache Verständlichkeit ein nicht trivialer Teil jeder Benutzererfahrung ist. Wenn wir Sucuri in einem Wort beschreiben müssten, wäre dieses Wort verwirrend.
Die Installation von Sucuri war einfach und von da an ging es bergab. Um den serverseitigen Scanner und die Firewall zu verwenden, müssen Sie diese manuell konfigurieren. Es gibt so viele Optionen, dass wir Stunden damit verbracht haben, sie zu verstehen und herauszufinden, ob sie wirkliche Auswirkungen auf die Sicherheit haben.
Insgesamt befinden sich diese beiden Plugins an entgegengesetzten Enden des Spektrums.
Wordfence: Extras
Wordfence ist streng auf Sicherheit ausgelegt. Es gibt keine einzige Funktion, Option oder Zeile, die auch nur an die Sicherheit angrenzt, wie Updates oder Benutzerverwaltungsoptionen. Trotzdem gibt es einige Extras.
Es gab einen Benachrichtigungsbereich für Site-Updates, der uns zeigte, welche Plugins und Themes vorrangig aktualisiert werden mussten, da sie entweder kritische oder mittlere Bedrohungen darstellten.
Wordfence verfügt über ein externes Dashboard zur Verwaltung mehrerer Websites auf demselben Konto namens Wordfence Central. Es hat auch einen begleitenden Abschnitt über den wp-admin jeder verbundenen Site, vermutlich damit Sie jede Site aus der Vogelperspektive sehen können, unabhängig davon, an welcher Site Sie gerade arbeiten. Unserer Meinung nach ist dies von begrenztem Nutzen und funktioniert nicht für Agenturen mit Hunderten von verwalteten Websites.
Als nächstes haben wir uns den Abschnitt Tools angesehen. Es gibt einen Abschnitt für Live-Traffic, der Google Analytics zu replizieren schien, aber mehr als das war. Diese Protokolle klassifizieren den Verkehr mit einem Schlüssel, um zu sehen, welche Art von Verkehr die Website erhält: Mensch, Bot, Warnung, Blockiert.
Es gibt eine Whois-Lookup-Option, falls Sie sehen möchten, wer der Angreifer ist, ohne wp-admin zu verlassen. Auch dies ist bestenfalls ein zufälliges Merkmal.
Wir fanden Diagnostics wirklich interessant, da es viele Informationen über die Website enthielt. Dort ist alles sehr granular, von Prozessbesitzern bis hin zu Datenbanktabellen. Entwickler werden diese Informationen äußerst nützlich finden, da sie wie eine Spezifikation der Website an einem Ort sind.
Sucuri: Extras
Sucuri hat viele zusätzliche Schnickschnack und Furbelows in ihrem Plugin. Ob sich dies auf die Sicherheit auswirkt, ist eine ganz andere Sache.
Das erste, was Sie bei der Installation sehen werden, ist die WordPress-Integritäts-Infobox. Es ist wirklich eine schicke Version eines WordPress-Core-Dateiänderungsmonitors. Offensichtlich ist es einigermaßen nützlich, einen Dateiänderungsmonitor für WordPress-Kerndateien zu haben, aber die Wirksamkeit ist nicht so groß, wie es behauptet wird. Hacker können und werden Dateimetadaten ändern, z. B. Zeitstempel aktualisieren, um diese Maßnahmen zu umgehen. Also ja nützlich, aber nicht so sehr.
Es gibt ein Integritäts-Diff-Dienstprogramm, um Kerndateien auf der Website mit der ursprünglichen WordPress-Installation zu vergleichen. Es ist sicherlich einfacher als die Verwendung eines Online-Programms, wenn Sie Malware manuell entfernen – was wir überhaupt nicht empfehlen.
Sucuri hat viele WordPress-Härtungsfunktionen. Das Blockieren von PHP im Upload-Ordner schützt vor einer Kategorie von Hacks, und wir mögen die Möglichkeit, WordPress-Salts schnell vom Dashboard aus zu ändern. Hätte man aber besser machen können. Wenn sich die Funktion auf dem externen Dashboard von Sucuri und nicht auf wp-admin befände, wäre es sicherer gewesen. Stellen Sie sich vor, ein Hacker erhält Zugriff auf wp-admin, die Salze wären leicht zu kompromittieren, da sie im Klartext vorliegen.
Einige der anderen Optionen sind von begrenztem Nutzen, wie das Überprüfen der WordPress-Version, das Entfernen der WordPress-Version, das Vermeiden von Informationslecks und das Überprüfen des Standard-Administratorkontos. Aus sicherheitstechnischer Sicht sind sie bedeutungslos.
Andere Härtungsmerkmale waren verwirrend. Wenn wir zum Beispiel Plugin- und Theme-Editor deaktivieren würden, wie könnten wir Plugins und Themes mit Schwachstellen aktualisieren? Zumindest kontraproduktiv.
The password management feature held some promise, but the warning would terrify all but the most brave: “Select users from the list in order to change their passwords, terminate their sessions and email them a password reset link. Please be aware that the plugin will change the passwords before sending the emails, meaning that if your web server is unable to send emails, your users will be locked out of the site.”
What's missing from Wordfence and Sucuri
Sucuri doesn't have a good malware scanner. The brute force login protection doesn't work, and it takes up too much of server resources. There is no bot protection either, and you would need a separate plugin for two-factor authentication.
Wordfence misses out on bot protection and an activity log. The scanner is above average; definitely a cut above the other security plugins available apart from MalCare. Apart from these things, it is an exceptional security plugin.
Wordfence vs Sucuri: Pricing
Sucuri's plans start at $199.99 a year per site, which is a great deal for unlimited malware removal. The firewall works well, but the scanner is a let down. Wordfence premium plans are at $99 for the year per site, with attractive bulk pricing options. However, our opinion is that the free version is almost as good as the premium version.
Sucuri is a winner when it comes to the unlimited malware removal feature. The support team was great, with a quick turnaround time, helpful response and a proactive post-hack checklist. But the malware scanner was a complete failure, and that's not a small flaw to overlook.
The free version of Wordfence is strong enough to stand on its own. The premium version is not all that different, the efficiency percentages on the dashboard notwithstanding. The real expense to consider with Wordfence is the cleaning service at $490 a pop, over and above the site license. If you are considering Wordfence seriously, read the fine print. Although they say unlimited pages, there are additional charges for sites above 10 GB. They guarantee the service for a year, but there are terms and conditions. None of this is unreasonable, but it is important to be aware before taking the plunge.
Better alternative to Wordfence and Sucuri: MalCare
The best security plugin for your website isn't Wordfence or Sucuri, it is MalCare. It has an excellent scanner that detects malware in all parts of your website: core WordPress, files and the database. Additionally, the auto-clean feature removes all malware surgically, without breaking your website.
MalCare has an advanced firewall that proactively blocks bad traffic from reaching your website. The brute force protection makes sure that your login page is safe from malicious attacks, and the bot protection goes even further to make sure only bad bots are kept away from your website.
There is a formidable support team of WordPress security experts to help with any issues that come up. Any malware removal cleanups necessary beyond the auto-clean are covered with the site license.
Thus, in a feature-to-feature comparison, MalCare undoubtedly comes out on top. MalCare's $99 plan is vastly better than Sucuri's $199.99 Basic Platform plan, and includes unlimited malware removal, which is over and above Wordfence's $99 plan.
Fazit
When choosing a WordPress security plugin for your website, make sure to evaluate the scanner, cleaner and firewall. All the other features can be implemented with other plugins, but these 3 features form the essence of a good plugin.
At MalCare, our goal is to make security stress-free and painless, so that you can focus on the more important aspects of your website. Leave the security to us, as you grow your business.
We hope this comparison was helpful, as we have presented all our findings transparently. Have further questions? Drop us a line. Wir würden uns freuen, von Ihnen zu hören.