iThemesセキュリティとWordfence:どちらのセキュリティプラグインを選択する必要がありますか?
公開: 2022-04-22iThemes Securityは、無制限のWebサイトでたったの199ドルというお得な価格のように見えます。また、その無敵の価格のために、WordPressセキュリティプラグインの競争で真剣な競争相手となっています。
もう一方のコーナーには、このカテゴリーで誰もが認めるヘビー級のワードフェンスがあります。 Wordfenceは、機能を多用する無料のプラグインと、そのセキュリティの研究とリソースで知られています。 プレミアムバージョンの場合、各サイトで年間最低99ドルの割引が受けられます。 それはまだお得です。
この段階でさえ、2つの間の実際の比較はありません。 ただし、両方を一連のテストで実行しました。
このシリーズでは、上位5つのセキュリティプラグインが、マルウェア、攻撃、および脆弱性との剣闘士スタイルの戦いを経験しました。 どちらが勝者になりましたか? 調べるために読んでください。
VERDICT iThemes SecurityvsWordfenceは不平等な競争です。 Wordfenceの無料プラグインは、iThemesSecurityのプレミアムプラグインよりも桁違いに優れています。 Wordfenceには欠点がありますが、少なくともWebサイトをある程度保護します。 iThemes、それほど多くはありません。
私たちのピック
このシリーズでは、上位のWordPressセキュリティプラグインをテストして、実際に機能するプラグインを見つけたいと思いました。 そのために、3つのWebサイトを作成しました。1つは、コントロールとしていくつかのプラグインとテーマを備えた単純なブログでした。 2番目のWebサイトには、脆弱性のある3つの古いプラグインがありました。 人気のあるものからあいまいなものまでさまざまなプラグインを選び、一連の脆弱性がありました。 そして最後に、マルウェアでいっぱいのWebサイトができました。
3つのWebサイト、5つのプラグイン、45日。 プラグインスキャナー、クリーナー、ファイアウォール、ボット保護、ファイアウォール、アクティビティログなどをテストしました。 新しいマルウェア、古いマルウェア、ファイルベースのマルウェア、データベースマルウェア、リダイレクトハック、製薬ハック、SQLインジェクション、ブルートフォース攻撃などを考慮しました。
結果は明らかでした。MalCareだけがテストWebサイトをスキャン、クリーンアップ、保護できました。 WordPressのセキュリティで安心をお探しの場合は、MalCareが最適です。
iThemesセキュリティとWordfenceの比較の概要
iThemesのセキュリティとWordfenceは非常に簡単です。Wordfenceはずっとそうです。
WordPressのセキュリティを、保護なしと誤った安心感、そして誤検知と悲惨な警告という2つの極端な状況の間のスペクトルであると考えてみましょう。 iThemes Securityはあなたに誤った安心感を与え、Wordfenceはあなたをほぼ絶え間ない恐怖の状態に保つものです。
私たちの考えでは、どちらも良い選択肢ではありません。 ただし、Wordfenceには、Webサイトを大幅に保護する優れた無料バージョンがありますが、プレミアムバージョンのiThemes Securityでさえ、Webサイトを保護するために何もしません。 両方の極端な問題を回避し、優れたセキュリティプラグインを選択するためのアドバイス。
一言で言えばiThemesセキュリティ
iThemes Securityは、これまでに見た中で最悪のWordPressセキュリティプラグインです。 2要素認証や強力なパスワードサポートなど、いくつかの優れた機能がありますが、それだけです。 マルウェアスキャナーはなく、マルウェアを駆除することもできず、ファイアウォールについて議論する意味もありません。 実際、現在iThemesを使用している場合は、すぐにWebサイトをスキャンしてください。
おもしろい事実:iThemesは私たちがテストした最初のセキュリティプラグインでした。 ウェブサイトとセットアッププロセス全体は、そうです、これらの人たちはWordPressのセキュリティが何であるかを知っているという印象を私たちに与えました。 残念ながら、そのノウハウのどれも実際のプラグインに組み込まれていないようです。
iThemes Securityは、マルウェアを駆除するメカニズムがないため、事実上マルウェアスキャナーです。 また、ウェブサイトにはファイアウォールがあるとは書かれていません。 スキャンはWordPressのセキュリティの柱の1つですが、唯一の柱ではないため、これは素晴らしいことではありません。 ただし、そもそもまともなスキャナーを使用している場合は、さまざまなプラグインを組み合わせてその機能を提供することができます。
ああ、でもそれが問題だった。 iThemesはマルウェアスキャナーではありません。 脆弱性スキャナーではありません。 それはあなたのウェブサイトのためにグーグルブラックリストをスキャンします。 プラグインをインストールしなくても、透明性レポートページから実行できるのと同じことがわかります。 最大の景品は、スキャンが数秒続いたことです。 スキャナーが文字通り数秒ですべてのWebサイトのファイルとフォルダーを通過できる方法はありません。
ログインページのブルートフォース保護はパッチがあり、一貫性がなく、アクティビティログは役に立ちませんでした。 これについては後で詳しく説明します。
プラス面として、iThemesSecurityには優れた2要素認証機能があります。 また、wp-loginにreCAPTCHAを実装するのがいかに簡単であるかが気に入りました。 そして最後に、ユーザーのパスワード管理設定は非常にきめ細かく詳細でした。 さらに、フォルダーでのPHPの実行をブロックするなど、いくつかの適切なWordPress強化機能があります。
全体として、iThemesSecurityのテストは驚くべき経験でした。 私たちはセキュリティを非常に真剣に受け止めており、巧妙な言い回しと誤解を招く機能セットによって、管理者が自分のサイトが保護されていると思わせることができることにショックを受けました。 実際、iThemesユーザーには、セキュリティを完全に再考し、すぐにWebサイトをスキャンすることを強くお勧めします。
一言で言えばワードフェンス
Wordfenceは、MalCareの後に出会った最高の無料セキュリティプラグインです。 セキュリティの予算がまったくないWebサイトに強くお勧めします。 ファイアウォールはほとんどの攻撃をブロックし、スキャナーはほとんどのファイルベースのマルウェアを検出します。マルウェア修復機能は、ほとんどの攻撃を取り除くのに役立ちます。 欠点は、大量の誤検知、一部のマルウェアの見逃し、緊急ハッキングのクリーンアップサービスが途方もないことです。
Wordfenceは最も広く使用されているセキュリティプラグインであるため、試してみることに興奮しました。 そして、いくつかの恐ろしい経験(読んでください:iThemes)の後、プラグインがWordPressのセキュリティをどのように処理したかを見るのは素晴らしいことです。
これについては後のセクションで詳しく説明しますが、最初にここでセキュリティの主要な側面について説明します。
Wordfenceにはまともなスキャナーがあり、無料のプラグインとテーマに含まれるすべてのファイルベースのマルウェアを検出しました。 ただし、その有効性についてはいくつかの大きな注意点があります。 スキャナーは、データベースベースのマルウェアも、プレミアムプラグインやテーマのマルウェアも検出できません。 さらに、スキャンを実行することさえ、私たちのウェブサイトで顕著な犠牲を払った。
次に、マルウェアの自動修復を試みました。 嬉しいことに、Webサイトからすべてのファイルベースのマルウェアをほぼ即座に修復しました。 ただし、データベースベースのマルウェアではありません。 考えてみると、これはクリーナーとしては素晴らしいパフォーマンスではありませんが、このテストシリーズの他の製品よりも明らかに優れていて、違いを確認できて本当に嬉しかったです。
ファイアウォールは非常に効果的で、ウェブサイトを悩ませている主要で一般的なWordPress攻撃のほとんどをブロックしました。 ここでの1つの問題は、ファイアウォールが大量のアラートを生成することです。 ドイツの誰かが過去5分間に20回の個別の通知でWebサイトをハッキングしようとしたことを本当に知る必要がありますか? いいえ、しません。 私たちの受信箱は数日でWordfenceアラートに溺れ、もみ殻から小麦を選別することは不可能でした。 また、無料のユーザーはプレミアムユーザーよりも遅くファイアウォールの更新を取得するため、ハッカーが保護されていないWebサイトに侵入する機会があります。
それ以外の場合も、かなりの数のセキュリティ機能があります。 Wordfenceは無駄のない船を実行し、脆弱性が検出されたときにプラグインを更新するなど、他のすべての機能はwp-adminに任されています。 なぜ同じダッシュボードに複製するので、理にかなっていますか? かなり優れたブルートフォース保護があり、2要素認証は堅牢です。
プラグインの使いやすさにも夢中になりました。 言語は、過度の専門用語を使用せずに、親しみやすく簡単です。 パワーユーザー向けのより高度な機能も、設定に組み込まれています。
ただし、Wordfence開発者向けの最も読みにくいリストを除いて、アクティビティログ自体がないことに驚いた。 また、Webサイトのボット保護はまったくありません。 最後に、そしてこのプラグインにとって最もひどいことに、機能するには膨大な量のサーバーリソースが必要です。 WebホストがWordfenceの使用を完全に禁止しているほどです。
全体として、Wordfenceは優れたセキュリティプラグインですが、Webサイトに最適なプラグインではありません。 MalCareは、優れたスキャナー、効果的なマルウェアクリーニング、およびリアルタイム更新を備えた高度なファイアウォールを使用する方法です。
セキュリティプラグインで何を探すべきか
WordPressのセキュリティは、特にオンラインで入手できるかなりの誤った情報に対処するのに混乱する獣になる可能性があります。 1つ確かなことは、ハッカーは収益、ビジネス、訴訟、自己負担費用、ブランディング、オーガニックトラフィックなどを犠牲にする可能性があるということです。 適切なセキュリティプラグインは、ビジネスの他の領域に投資するための時間とお金を節約することに加えて、それらすべてを打ち消します。
私たちはよく質問に出くわします:WordPressのウェブサイトに適切なセキュリティプラグインをどのように選択しますか?
答えは通常、機能の洗濯物のリストです。 重要なものもあれば、それほど多くないものもあります。 しかし、すべてのプラグインは100以上の機能を売りたいと考えており、そのほとんどはWebサイトのセキュリティにほとんどまたはまったく影響を与えません。 しかし、リストは、WordPressのセキュリティを再び頭痛の種にするのに十分長い間問題を混乱させるでしょう。
そこで、この重要な、そして短い!セキュリティ機能のリストをまとめました。 このリストのほとんどすべてをチェックするセキュリティプラグインを探し、それが持っていない機能のための他のソリューションを入手する必要があります。
- 重要なセキュリティ機能
- マルウェアスキャン
- マルウェアのクリーニング
- ファイアウォール
- 優れたセキュリティ機能
- 脆弱性の検出
- ブルートフォースログイン保護
- 活動記録
- 二要素認証
- 潜在的な問題
- サーバーリソースへの影響
すべてのボックスをヒットすることに近い唯一のプラグインはMalCareです。 MalCareを選択することにより、Webサイトがハッカーとそのマルウェアから利用可能な最高のセキュリティを確実に取得できるようになります。
iThemesセキュリティとワードフェンス:機能の直接比較
このセクションでは、特定の機能について詳しく知りたい場合に備えて、調査結果について詳しく説明します。 45日間のテストの後、大量の情報と多くの調査結果が得られました。 あなたの読書の喜びのためにここにカプセル化されているすべてのもの。
機能は重要度の高いものから低いものの順に並べられており、各要素について両方のプラグインを評価します。 私たちの目標は、私たちが見つけたすべてのものを可能な限り公平に提示することでした。
ただし、この演習の核心にたどり着きたい場合は、MalCareをインストールすれば、私たちが発見した恐怖のいくつかについて聞く必要はありません。
マルウェアスキャン
Wordfenceのスキャナーは、テストWebサイトでファイルベースのマルウェアを検出しましたが、データベースではマルウェアを検出しませんでした。 また、プレミアムプラグインとテーマのマルウェアも見逃していました。 iThemes Securityはそもそも当社のWebサイトをスキャンしなかったため、明らかにマルウェアは検出されませんでした。
Wordfenceをインストールすると、最初のスキャンが自動的に設定されます。 これまでのところ、とても素晴らしい。 スキャナーを離れて終了し、他の機能を数時間調べました。 それがまだ60%で立ち往生していることを確認するためだけに。 サイトがかなり小さかったことを考えると、何が得られますか?
結局のところ、60%はプログレスバーではなく、無料のスキャナーの有効性を示すパーセンテージです。 完全に100%取得するには、プラグインのプロバージョンにアップグレードする必要があります。 十分に公平ですが、ダッシュボードでの表示方法は非常に混乱していました。
スキャンを再開し、非常に迅速に終了したことを嬉しく思います。 スキャナーは、すべてではありませんが、ほとんどのマルウェアにフラグを立てました。 簡単に検出できたマルウェアは、コアのWordPressファイルと、無料のプラグインとテーマのファイルとフォルダーにありました。 データベース内のハッキングされたリダイレクトマルウェア、およびプレミアムプラグインとテーマに含まれるファイルを見逃していました。
Wordfenceで多くのファイルベースのマルウェアを投げましたが、ほとんどすべてが検出されました。 シグニチャマッチングアルゴリズム用の広範なマルウェアデータベースがあるため、マルウェアの約70〜80%が検出されると予想されます。 MalCareのように95%ほど良くはありませんが、他のすべてのセキュリティプラグインよりもはるかに優れています。 結局のところ、検出は戦いの半分です。
Wordfenceに関する注意点は、大量のアラートと多数の誤検知があることです。 これらの要因は両方とも、アラートが時間の経過とともに影響を失うことにつながる可能性があり、その後、本物のアラートが気付かれずにすり抜けてしまう可能性があるという本当の危険があります。 また、スキャンの実行には多くのサーバーリソースが必要です。 これについては、後のセクションで詳しく説明します。
iThemesスキャナーはマルウェアをまったくスキャンしません。 それはあなたのウェブサイトがブラックリストに載っているかどうか、そしてそれもただ一つのブラックリストにあるかどうかをチェックします。 Sucuriにもこのチェックがありますが、まず、スキャナーとしてラベルを付けないこと、そして次に、Googleのブラックリスト以上のものをチェックする良識がありました。 テストサイトはインデックスに登録されていないため、明らかにブラックリストに含まれていませんでした。 では、iThemesのマルウェアスキャンレポートが、マルウェアでいっぱいのサイトのクリーンチットを私たちに与えたのはいつですか? 感心しません。
マルウェアのクリーニング
iThemes Securityには、自動またはその他のマルウェアクリーニングはありません。 Wordfenceはマルウェアファイルを修復できますが、効果は検出されたマルウェアによって異なります。 Wordfenceには、サイトあたり490ドルの高額なマルウェア除去サービスがあります。
スキャンが完了すると、Wordfenceは、ハッキングされたファイルを処理するための2つのオプションを一覧表示します。専門家の助けを得るためのCTAは別として、すべての削除可能なファイルを削除し、すべての修復可能なファイルを修復します。
削除オプションは、ファイルを削除するとWebサイトが破損する可能性があるという恐ろしいメッセージを表示した後、エラーなしで1つのファイルを正常に削除しました。 それは本当ですが、マルウェアも怖いです! とにかく、オプションは湿ったスクイブのようなものだったので、代わりに修理オプションに移りました。 修復オプションにも同様の警告がありましたが、電源を入れて、ほとんどのファイルを修復することができました。 MalCareのスキャナーを使用してサイトを実行したところ、サイトにマルウェアは含まれていませんでした。
他のセキュリティプラグインのほとんどはこの時点で失敗したため、これ以上テストする必要はありませんでした。 結果が出ました。 ただし、Wordfenceのマルウェアシグネチャデータベースは包括的であるため、ネットを拡大しました。
ハッキングされたリダイレクトマルウェアをWebサイトのデータベースに追加しましたが、日本語のキーワードハッキングの事例がいくつかあります。 また、プレミアムプラグインとテーマにマルウェアのチャンクを隠し、これらがスキャナーとクリーナーを作動させるのではないかと疑っています。 そして彼らはそうしました。
明らかになった結論は、Wordfenceチームがマルウェアを検出した場合、ファイルの修復は機能するというものでした。 そうでなければ、そうではありません。 データベースにマルウェアがある場合も、Wordfenceは失敗します。 したがって、リダイレクトハッキングのようなマルウェアや、さらに新しいマルウェアは間違いなく見逃されます。 また、非コアのWordPressファイルや非公開のプラグインやテーマのマルウェアも見逃します。 Wordfenceは、プレミアムプラグインとテーマでマルウェアを見つけることができません。
自動修復が機能しない場合は、Wordfenceのマルウェア除去サービスを選択できます。 このサービスはマルウェアやバックドアを削除し、サイトの脆弱性を評価します。 Wordfenceは、マルウェアに感染したサイトを、上場した可能性のあるブラックリストから除外するのにも役立ちます。 サイト管理者が手紙のハッキング後の指示に従った場合にのみ、サイトのクリーンアップが1年間保証されます。 マルウェア除去サービスを試していなかったため、その有効性についてコメントすることはできません。
前に述べたように、iThemes Securityはマルウェアを駆除できないため、その面でこれ以上言うことはありません。
私たちの経験では、マルウェアのクリーニングはWordPressのセキュリティの最も重要な側面です。 物事がひどくうまくいかない可能性が非常に高いため、これはセキュリティの専門家によってのみ行われるべきです。 MalCareには、マルウェアを自動的にクリアし、セキュリティの専門家にアクセスして、発生する可能性のある問題を解決するオプションがあります。
ファイアウォール
iThemesSecurityにはファイアウォールがありません。 Wordfenceには、ほとんどの主要で一般的な脅威から効果的に保護するWebアプリケーションファイアウォールがあります。 ただし、無料バージョンはプレミアムバージョンよりも遅く更新されます。
WordPressファイアウォールは、ルールを使用して攻撃や悪意のあるトラフィックを防ぐため、セキュリティの武器の重要な部分です。 私たちがレビューしたほとんどのセキュリティプラグインでは、ファイアウォールがひどいまたは存在しないために意味がなかったため、より技術的な詳細を説明することを避けました。 しかし、Wordfenceを使用すると、状況は少し複雑になります。
Wordfenceをインストールすると、ファイアウォールは直接学習モードになりました。 これは、ファイアウォールがサイトの通常のトラフィックを理解し、脅威をより効果的にブロックできるようにするために必要な手順です。 ウェブサイトへのトラフィックがないため、学習モードをすぐにオフにしましたが、少なくとも1週間はオンにしておくことをお勧めします。
Wordfenceファイアウォールを管理するための別のセクションがあるので、次にそれを検討しました。 初めて見ると、ファイアウォールとは何か、そしてファイアウォールがWebサイトを保護するために何をするのかが説明されています。 また、ここでは「Webアプリケーションファイアウォール」という用語を簡単な説明とともに紹介します。
無料ファイアウォールとプレミアムファイアウォールの両方をテストした後、Wordfenceが両方のバージョンで優れたファイアウォールを備えていることは明らかです。 どちらも、一連のSQLインジェクション攻撃、クロスサイトリクエストフォージェリ、リモートコードインジェクション、およびクロスサイトスクリプティング攻撃を阻止しました。 プラグインとテーマの脆弱性を悪用することはできませんでした。
そのとき、もっと深く掘り下げる必要があると考えました。無料バージョンとプレミアムバージョンの違いは何ですか?
ファイアウォールオプションでは、Wordfenceが違いを説明しています。WordPressが読み込まれた後、無料バージョンが通常のプラグインとして読み込まれます。 さらに、プレミアムバージョンはリアルタイムのルール更新を受け取りますが、無料バージョンは不特定の期間の後に更新を受け取ります。
これらの両方が私たちに一時停止を与えました。
まず、最高の保護のためにファイアウォールを最初にロードする必要がありますが、ファイアウォールを備えたほとんどのセキュリティプラグインは、通常のプラグインのようにWordPressの後にロードされることがよくあります。 この場合、Wordfenceファイアウォールは悪意のあるトラフィックのほとんどを防ぐことができますが、すべてではありません。
次に、Wordfenceには最新のファイアウォールがありますが、プレミアム以外のユーザーは後で更新を取得します。 そのウィンドウでさえ、ハッカーがその間に攻撃する可能性があるため、問題があります。 無料のファイアウォールはいつルールの更新を取得しますか:数日、数週間、または数か月後ですか? 知るか。
当然のことながら、iThemesにはファイアウォールがありません。
脆弱性の検出
iThemes Securityは脆弱性を検出できず、ましてや脆弱性の解決に役立ちます。 Wordfenceは、人気があるかあいまいであるかに関係なく、Webサイトに詰め込んだすべての脆弱性を検出しました。
Wordfenceは、発見された脆弱性を持つすべての古いプラグインに重大な脅威として正しくフラグを立てました。 あいまいなプラグインもリストに含めましたが、ユーザー数が200人未満のプラグインもあります。 他のプラグインはこれらの脆弱性を検出できなかったため、Wordfenceが検出したことを確認するのは新鮮です。 スキャナーは、古いプラグインに中程度の脅威のフラグを立てました。これは、すべてを常に最新の状態に保つことが常に優れているため、優れています。
Wordfenceダッシュボードから直接脆弱性を修正することはできません。 JetpackやSucuriなどの他のプラグインのほとんどは、更新を推奨し、同じパネルからそれらを実行できるようにしました。 しかし、Wordfenceを見回すと、それを行う方法はありません。 ただし、更新ダッシュボードに移動します。これで十分です。 wp-adminにすでに存在する既存の機能を複製する論理的な理由はありません。
興味深いことに、スキャナーは、テストサイトの1つにインストールしたiThemesおよびBackupBuddyプラグインのエラーも示しました。 プラグインにコーディングの異常があるようです。
iThemesスキャナーは、マルウェアスキャナーとしての重大な障害を考慮して、少なくとも脆弱性をチェックすることを望んでいました。 ええ、違います。
さらに、iThemesダッシュボードには、プラグインがインストールされてから行われた更新の数を示すカウンターがあります。 メトリックのこの不十分な言い訳は、プラグインとテーマの更新を追跡するのに役立つと思われます。 しかし、実際にはそうではありません。
ブルートフォースログイン保護
iThemesは、ブルートフォース攻撃をブロックする場合とブロックしない場合があります。 Wordfenceは、すべてのブルートフォース攻撃を確実にブロックします。
iThemesでは、一貫性のないブルートフォースブロックが見られました。 ログインページに一連の不正なクレデンシャルを入力しようとすると、iThemesは1つのサイトでの試行のみをブロックし、他のサイトではブロックしませんでした。 両方のサイトの唯一の違いは、最初のサイトにはマルウェアがあり、2番目のサイトにはマルウェアがなかったことです。 マルウェアは通常、ログイン攻撃が成功した結果であるため、この違いが原因である可能性はほとんどありません。 テストを数時間繰り返し試みた後、結果は決定的ではありませんでした。 私たちはついに、何がバグのように見えるかを理解しようとするのをあきらめました。
深い欲求不満のこの演習の後、iThemesログをチェックしました。 誤ったログイン試行はそれぞれ、パスワードを本当に忘れた場合でも、ブルートフォース攻撃として登録されました。 それでも、プラグインはそれらすべてをブロックしませんでした。 非常に奇妙で、したがって信頼できません。
Wordfenceでは、最初に設定を確認しました。 ブルートフォース保護はデフォルトで有効になっており、ファイアウォールセクションに移動してオプションをカスタマイズできます。
誤ったログイン試行に対してロックアウトを設定できます。また、特定の回数の誤ったログイン試行後にユーザーがロックアウトを経験する時間も設定できます。 特に素晴らしいのは、各オプションが優れたドキュメントで何をするのか、そしてサイトを保護するためにそれを最も効果的に使用する方法を説明していることです。
ファイアウォールでテストされないIPの許可リストを設定できます。 この機能は多くのプラグインで見られますが、デバイスのIPを変更すると、あまり意味がありません。
強力なパスワードオプションもここにあります。 強力なパスワードを適用したり、データ侵害で見つかったパスワードの使用を防止したりすることができます。
最後に、テストに取り掛かりました。ブルートフォース保護は、選択した設定とまったく同じように機能します。 毎回完璧です。
活動記録
iThemesアクティビティログはすべてのイベントをログに記録するわけではないため、役に立ちません。 Wordfenceにはアクティビティログがまったくありません。
私たちは、謙虚な活動ログの大いなる支持者です。 ハッカーは不十分なロギングを利用してサイトを攻撃するため、これは必要なセキュリティツールです。 理想的には、Webサイトの進行状況に関する正しい情報を含む信頼できるログが必要です。
したがって、iThemesが持っているものとは異なります。 iThemesアクティビティログには、ユーザーアクティビティ、バージョン管理、サイトスキャン、ブルートフォース攻撃などの適切な情報が含まれています。 しかし、これらは正確に記録されていないため、正しい画像を提示することを信頼することはできません。 それを除けば、プラグインやテーマについては何もありません。
驚くべきことに、Wordfenceにはアクティビティログがありません。 [ツール]の下の[診断]セクションからデバッグを有効にするオプションがあります。これにより、ファイアウォールログをより詳細にすることができます。 スキャンセクションにのみWordfenceイベントの完全なアクティビティログがありますが、それはアクティビティログと同じではありません。 また、Wordfence開発者のみを対象とした生のログです。 デバッグモードを有効にすると、サーバーリソースもより多く消費されます。 そのセクションで非常に明確に述べられています。
二要素認証
iThemesは、箱から出してシームレスに機能する優れた2要素認証を備えています。 Wordfenceと同じです。
二要素認証は、両方のプラグインで完全に機能します。 どちらにも優れたオプションのセットと最小限のセットアップがあります。 Wordfenceでは、2要素認証は以前はプレミアム機能でしたが、現在は無料ユーザーにも有効になっています。
iThemesproバージョンでの小さな観察は1つだけです。 プロバージョンではログイントークンを削除する設定がたくさんあります:パスワードなしのログイン、信頼できるデバイス、魔法のリンクなど。 私たちの意見では、彼らはログインプロセスを容易にすることにより、2要素認証の原則に直接反対しています。
サーバーリソースの使用
iThemesは何もしないので、サーバーリソースにとても親切です。 Wordfenceは、サーバーリソースに莫大なコストがかかるため、特定のWebホストによって実際に禁止されています。
私たちはWordfenceをそのペースに乗せることにかなり興奮していました。 しかし、ウェブサイトのパフォーマンスをチェックしたとき、本当に驚きました。 Wordfenceスキャンが行われると、スキャンは2倍になり、場合によっては3倍になりました。 テストサイトは非常に小さいため、そもそも多くのリソースを消費することはありませんが、それでも大きな飛躍です。 大規模なサイトでは、ペナルティはかなりのものになります。
実際、デフォルト設定を変更すると、サーバーリソースがさらに消費されるという警告が表示されます。 その場合、Wordfenceがサイトサーバーリソースを使用してすべてのタスクを実行すると想定しても安全です。
これは十分に悪いことですが、ファイアウォールを使用するとさらに悪化します。 これらのエクスプロイトから保護されている場合でも、持続的な攻撃はWebサイトを圧倒します。
サーバーリソースの使用がWebサイトのセキュリティの論点になることはめったにありませんが、多くの場合、セキュリティプラグインはWebサイトのパフォーマンスに顕著な悪影響を及ぼします。 管理者がセキュリティと使いやすさの間でトレードオフを行わなければならないほどです。 これが当てはまるとは思わないので、MalCareでケーキを食べて食べることもできます。
iThemesはサーバーリソースに最適です。 あなたのサイトのセキュリティについて同じことを言うことはできません。
アラート
iThemesはアラートを送信しません。 Wordfenceはあまりにも多くを送信します。
アラートは、なしと多すぎる間のスイートスポットを打つ必要があります。 最終的な結果として、Webサイトのセキュリティが実際に何であるかがわからないため、どちらも同じように極端な結果になります。
Wordfenceのスキャナーは多くの誤検知を生成する可能性があるため、Webサイトが実際にハッキングされた時期はわかりません。 ある時点で、それはオオカミを泣いた少年のようになることができます。 ファイアウォールと同じです。 ファイアウォールは目的を果たさないため、毎回アラームを発生させることなく攻撃をブロックする必要があります。 したがって、私たちの意見では、Wordfenceは非常に多くのアラームを生成するため、まったく役に立ちません。
iThemesは、ファイル変更通知レポート、データベースバックアップ、およびその他の設定の確認など、まったく平凡で役に立たない電子メールを大量に送信します。 また、当社のWebサイトに関する毎日のセキュリティダイジェストと、毎週の脆弱性レポートがあります。 これは私たちの知識のためであると想像しているので、1つまたは複数のWebサイトで問題のあるプラグインとテーマを手動で更新できます。
インストール、構成、および使いやすさ
Wordfenceは魅力のようにインストールされます。 複雑な設定やあいまいな構成はありません。 一方、iThemesは本当に大変でした。
iThemesは一見簡単に始められ、その後ゆっくりと多くの役に立たない設定に発展します。 ダッシュボードが作成される前に、通り抜けるのに長い構成があります。 正直なところ、私たちはその兆候を読み、これを失われた原因としてあきらめるべきでした。 しかし、私たちは、より大きな利益のために力を発揮する罰の大食いです。
Wordfenceのインストールは非常に簡単で、事前に構成オプションはありません。 ポップアップ表示される最初の画面は電子メールサブスクリプションです。これは、受信トレイにセキュリティニュースが届いていることを明確に示しています。 次の画面は、プレミアムにアップグレードするためのプロンプトです。 この時点では、無料のプラグインにどのような機能があるのかわからなかったため、すぐにプレミアムライセンスを導入しませんでした。
wp-adminのダッシュボードに初めてアクセスするときに、3つのツールチップのウォークスルーがあります。 使いやすさと言語はWordfenceで素晴らしいです。 機能と、それらがセキュリティにどのように影響するかについて明確な説明があります。 それは圧倒的ではなく、愚かなことでもありません。
ダッシュボードのデザインは非常に直感的で、Webサイトに関連するセキュリティの重要な側面をすべて一目で確認できます。 全体として、Wordfenceの第一印象は素晴らしかった。
さらに、Wordfenceは、構成に関する有用な推奨事項を提供します。 ダッシュボードのツールチップからアクセスできるドキュメントは、非常に状況に応じたものです。 Webサイトで機能するように最適に設定する方法に加えて、各機能の機能と理由を明確に示しています。 繰り返しになりますが、使用されている言語がいかに親しみやすいかは注目に値します。
iThemes:エクストラ
セキュリティの重要な側面を確認し、iThemesが大幅に不足していることを発見した後、このセクションはほとんど笑えるようです。
iThemesはプラグインに多くの機能を詰め込んでおり、セキュリティにほとんどまたはまったく影響を与えません。 適切な例:ホワイトリストIP機能。 私たちのデバイスのIPは常に変化するため、これは特定の人がサイトにアクセスできることを保証するものではありません。これがおそらくポイントです。
24時間ごとにあなたのメールアドレスにレポートを送信するファイル変更モニターもあります。 レポートには、変更されたすべてのファイルのリストが含まれています。 変化が何であったか、誰がそれをしたか、または正確にいつ起こったかではありません。 いいえ、次のようなメールだけです。 あなたのサイトのこれはすべて、昨日とは異なります。 さよなら!"
イライラを乗り越えたら、iThemesには優れたパスワード管理システムがあることを認めたいと思いました。 強力なパスワードを適用し、侵害されたパスワードをサイトで使用することを拒否することができます。 これを最終的にテストすることはできませんでしたが、結果はまだらでした。
便利な強化機能が1つあります。それは、uploadsフォルダーでのPHPの実行をブロックすることです。 他はナンセンスです。
ワードフェンス:エクストラ
Wordfenceエクストラはすべて厳密にセキュリティに関連しています。 更新やユーザー管理オプションなど、隣接する便利な機能はありません。 そうは言っても、たくさんのエキストラがあります。
最初のインストール後、サイトの更新に関する通知セクションが表示されました。 私たちのテストサイトでは、5つのプラグインを更新する必要があることがわかりました。
各サイトのwp-adminから複数のサイトを管理できるWordfenceCentralステータスがあります。 同じアカウントにいくつかのサイトがある場合、これは理にかなっていますが、スペースが限られており、数百のサイトを持つ代理店では機能しません。 外部ダッシュボードがあるのは良いことです。 Wordfence Centralにアクセスするには、WordfenceWebサイトでアカウントを作成する必要があります。 私たちの意見では、サイトダッシュボードに中央のボックスを配置することは意味がありません。
すべてのテストサイトをWordfenceCentralに追加し、それらすべての鳥瞰図を取得しました。 20を超えるサイトには最適なレイアウトではありません。 アイデアは良いです、実行は欠けています。
次に、[ツール]セクションを確認しました。 ライブトラフィック用のパネルがあり、一見するとGoogle Analyticsのバージョンのように見えましたが、それ以上のものであることがわかりました。 トラフィックログを設定して、すべてのトラフィックまたはセキュリティ関連のトラフィックのみを含めることができます。 ウェブサイトが取得しているトラフィックの種類(人間、ボット、警告、ブロック)を示す明確な凡例があるため、ログは素晴らしいです。
誰があなたのウェブサイトを攻撃しているかを見たい場合に備えて、Whoisルックアップもあります。 この機能はオンラインでも簡単に利用できるため、これはせいぜいフリルです。
Diagnosticsの1つは興味深い機能です。 プロセス所有者からデータベーステーブルなど、Webサイトに関する多くの情報が含まれています。 それは、それらのそれぞれのステータスとともに、1つの場所にあるWebサイトの仕様のようなものです。 通常のユーザー(開発者以外)がこの情報をどのように使用するか想像するのは難しいですが、開発者にとっては間違いなく役立ちます。
iThemesのセキュリティとWordfenceに欠けているもの
iThemesには、スキャナー、クリーナー、ファイアウォールがありません。 また、ブルートフォース保護とアクティビティログが機能し、脆弱性が検出されることがあれば便利です。 希望することができます。
Wordfence doesn't have bot protection nor an activity log. Other than that, it is a comprehensive and well-rounded security plugin.
Wordfence vs iThemes Security: Pricing
It is not worth buying iThemes Security, because its only worthwhile feature is two-factor authentication, which is available for free. Wordfence premium is available for $99 for the year, but the free version is strong enough on its own.
Wordfence's free plugin is really great, considering it is free. The premium licenses are at a max of $99 per site, and get progressively lower with the more licenses you purchase.
The real kicker is the site cleaning service which is a hefty $490 per site, and although they say unlimited pages in the features, additional charges may apply for sites above 10 GB—which, fair enough. They do have a malware removal guarantee for 1 year, but there are caveats in the small print. So read those carefully.
After reading this article, you know that iThemes isn't worth your money. Use it for two-factor authentication or get a dedicated plugin for that feature.
Better alternative to iThemes Security and Wordfence: MalCare
The best thing you can do for your website is to invest in a good security plugin. The plugin should scan, clean and protect your website from all manner of threats. During our testing series, only one plugin stood out: MalCare. It outshines iThemes in every way, and has a much better scanning, auto-cleaning, firewall, and notifications compared to Wordfence. It is a no-brainer.
MalCare's $99 Basic plan includes unlimited cleanups, which is equivalent to Wordfence's $99 plan and $490 per cleanup needed thereafter.
結論
We hope this article helped you decide on a way forward for your website security. If you have any questions or thoughts, do drop us a line. ご連絡をお待ちしております。