Jetpack vs Wordfence : quel est le meilleur ?

Jetpack est un plug-in d'administration polyvalent qui regroupe les sauvegardes, la sécurité, la croissance et la vitesse dans un plug-in pratique et pratique. De plus, il a le cachet d'être de l'écurie Automattic, donc il a évidemment du poids dans le domaine WordPress.

Notre autre concurrent est Wordfence, sans doute le plugin de sécurité WordPress le plus populaire aujourd'hui. Ils sont connus pour leur approche sans prisonnier de la sécurité et les formidables ressources de sécurité qu'ils développent constamment.

Nous avons mis 5 plugins de sécurité WordPress à l'épreuve dans une série de tests qui a duré 1,5 mois. Nous voulions savoir comment chaque plugin résiste aux logiciels malveillants, aux attaques, aux vulnérabilités, etc.

VERDICT Peut-être vaut-il mieux faire une chose vraiment bien, que faire beaucoup de choses mais être moyen. Entre Jetpack vs Wordfence , car quel que soit son pedigree WordPress, Jetpack a perdu dans cette bataille rangée. Wordfence est un excellent plugin de sécurité gratuit, avec quelques inconvénients, mais toujours une meilleure option pour Jetpack.

Notre choix

L'idée centrale derrière cette série de tests était de trouver le meilleur plugin de sécurité WordPress pour votre site Web. À cette fin, nous avons pris les 5 meilleurs plugins, 3 sites de test et réservé 45 jours pour déterminer tous les avantages et les inconvénients de chaque plugin.

Nos 3 sites de test ont été configurés comme suit : un blog simple avec environ 500 articles, images et commentaires comme témoin ; un site avec des plugins et des thèmes vulnérables ; et enfin un site plein de différents types de logiciels malveillants. Nous avons soumis les plugins à des attaques par injection SQL, des attaques RCE et des attaques par force brute, tout en les opposant également aux logiciels malveillants de redirection, au piratage pharmaceutique, aux logiciels malveillants de mots clés japonais et bien plus encore.

Chaque plugin possède un ensemble de fonctionnalités différent, mais pour la sécurité de WordPress, les plus importantes sont le scanner, le nettoyeur et le pare-feu. Il y a aussi d'autres bons à avoir, mais ceux-ci sont essentiels.

Au bout de 45 jours, un grand gagnant a émergé : MalCare. Avec un scanner sophistiqué, un nettoyeur automatique de logiciels malveillants et un pare-feu avancé, il était impossible de battre. Vous recherchez le meilleur plugin de sécurité pour votre site WordPress ? Choisissez MalCare.

Résumé de la comparaison Jetpack vs Wordfence

Si vous vous demandiez, Jetpack vs Wordfence, lequel choisir ? Choisissez Wordfence. C'est mieux comme plugin de sécurité.

Nous aimons l'approche tout-en-un de Jetpack pour l'administration de WordPress, mais cela prend vraiment un coup sur le front de la sécurité, surtout par rapport à Wordfence. Cela ne signifie pas que Wordfence n'a pas ses propres problèmes ; juste qu'il est contextuellement meilleur que Jetpack.

En fin de compte, ni Jetpack ni Wordfence ne sont la meilleure option pour la sécurité de votre site Web. Nous entrerons plus en détail plus loin dans l'article, mais si vous voulez aller droit au but, téléchargez le meilleur plugin de sécurité de sa catégorie : MalCare.

Jetpack en quelques mots

Le scanner de logiciels malveillants de Jetpack est au mieux médiocre. Il sera capable de détecter certains des logiciels malveillants sur votre site. Cependant, il n'y a pas d'option de nettoyage ni de pare-feu. Bien qu'il existe des fonctionnalités de sécurité décentes, elles ont moins d'impact sur la sécurité du site Web. Dans l'ensemble, Jetpack n'est pas une bonne option.

Avec n'importe quel plug-in de sécurité, nous recherchons 3 facteurs importants à l'avance : le scanner de logiciels malveillants, le nettoyeur de logiciels malveillants et le pare-feu. Jetpack a déjà échoué 2 sur 3 de cette liste, nous avons donc commencé par vérifier le scanner de logiciels malveillants.

Jetpack était le deuxième plugin que nous avons testé, après iThemes, et franchement, nous étions heureux de voir que quelque chose fonctionnait comme il était censé le faire. Évidemment, ce n'est pas une bonne approche lorsque l'on essaie d'être objectif, nous avons donc jeté beaucoup de logiciels malveillants sur Jetpack pour voir comment il réagirait. Malheureusement, le scanner de logiciels malveillants a détecté environ 30 % des fichiers et dossiers infectés sur notre site Web WordPress piraté.

Lorsque nous avons essayé les autres fonctionnalités, comme la protection contre la force brute, cela a fonctionné de manière incohérente. Parfois, les attaques ont été arrêtées, et à d'autres moments, nous n'avons pas pu obtenir de réponse. Le plugin n'a pas non plus détecté toutes les vulnérabilités du site Web. Les plus obscurs sont restés non détectés, même s'ils contenaient de graves failles de sécurité. Notre site de test n'avait que quelques thèmes et plugins vulnérables, donc le résultat de 2 sur 3 n'était pas mauvais. Cependant, avec un site plus grand avec plus de logiciels, ce ratio sera certainement bien pire.

Tout n'était pourtant pas si mal. Le journal d'activité de Jetpack est vraiment génial et convivial. Pas de jargon technologique obscur que les gens ne peuvent pas comprendre facilement. Nous avons également aimé la fonctionnalité de sauvegardes intégrées, car les sauvegardes peuvent être la dernière grâce salvatrice avec un site infecté. Cependant, nous n'avons pas pu tester les sauvegardes, car cela sortait du cadre de cette expérience.

Dans l'ensemble, Jetpack est un plugin de sécurité inférieur à la moyenne. Nous nous serions attendus à beaucoup plus, compte tenu du prix énorme, mais ce n'est toujours pas le fond du baril pour nous. Cet honneur douteux revient à iThemes.

Wordfence en quelques mots

Après MalCare, Wordfence est le meilleur plugin de sécurité gratuit que nous ayons testé. Si vous n'avez aucun budget pour la sécurité de votre site Web, Wordfence vous offrira la meilleure sécurité de site Web. Le scanner détecte la plupart des logiciels malveillants basés sur des fichiers et la réparation automatique en éliminera la plupart. Le pare-feu est l'un des plus mis à jour disponibles, mais si vous optez pour la version gratuite, vous devez savoir qu'il ne reçoit pas de mises à jour en temps réel. Wordfence dispose également d'un service de suppression de logiciels malveillants, mais il est coûteux.

Nous avons laissé Wordfence pour le dernier de notre série de tests, car nous étions très enthousiastes à l'idée d'essayer le poids lourd reconnu des plugins de sécurité WordPress. À l'exception de MalCare, les autres plugins étaient au mieux décevants, au pire horrifiants.

Le scanner de Wordfence a détecté tous les logiciels malveillants basés sur des fichiers dans les fichiers principaux de WordPress, la racine du site Web et dans les fichiers et dossiers du plugin et du thème. À première vue, cela peut ressembler à un excellent scanner et, à bien des égards, il est nettement supérieur à la moyenne. Cependant, Wordfence n'a pas réussi à détecter les logiciels malveillants qui ont été cachés dans les plugins et les thèmes premium, et dans certains cas, dans la base de données également.

Le principal inconvénient du scanner, mis à part le fait qu'il ne peut pas vérifier tous les coins et recoins de votre site Web, est que nos sites Web ont subi une baisse de performance. Wordfence utilise les ressources du serveur pour faire quoi que ce soit sur le site Web. Ce n'est pas bon.

À ce stade, Wordfence est toujours meilleur que tous les autres plugins de sécurité que nous avons testés. Notre opinion a augmenté de plusieurs crans lorsque nous avons essayé la fonction de réparation automatique, et elle a supprimé tous les logiciels malveillants qu'elle a détectés. Bien sûr, il n'a pas été en mesure de supprimer les logiciels malveillants qu'il n'a pas détectés, mais la suppression automatique des logiciels malveillants est beaucoup plus rapide que d'attendre qu'un expert en sécurité nettoie le site Web. Encore une fois, c'est bien mieux que les autres plugins que nous avons testés, à l'exception de MalCare.

Enfin, nous avons testé le pare-feu, qui a été efficace pour bloquer plusieurs exploits, comme l'injection SQL, les attaques XSS et les injections de code à distance.

Wordfence est un excellent plugin de sécurité gratuit, mais il est sujet aux faux positifs et à l'envoi d'alertes pour chaque petite chose que le pare-feu bloque. Après quelques jours, nous n'avons pas pu trouver le signal à cause de tout le bruit. Franchement, trop d'alertes sont tout aussi mauvaises que pas d'alertes, car elles conduisent au même résultat : aucune action.

Une fois que nous avons vérifié les 3 principales fonctionnalités de sécurité, nous avons essayé l'authentification à deux facteurs et la protection contre la force brute. Les deux fonctionnent très bien. Wordfence a également détecté toutes les vulnérabilités sur nos sites Web, même une dans un plugin obscur que la plupart des autres plugins n'ont pas réussi à détecter.

Ce que nous avons absolument adoré chez Wordfence, c'est l'expérience utilisateur exceptionnelle. Pas de jargon inutile et terrifiant ni de termes de sécurité complexes sur le tableau de bord. Langage simple, avec des recommandations claires pour les administrateurs débutants.

Nous avons été surpris que Wordfence n'ait pas de journal d'activité, à l'exception d'un journal brut évidemment destiné aux développeurs de Wordfence. Il ne protège pas non plus les sites Web des mauvais robots, ce qui est étrange.

En résumé, Wordfence est fortement recommandé pour les sites Web qui n'ont pas de budget pour la sécurité. C'est la meilleure option gratuite, mais même ainsi, elle n'offre pas une sécurité complète. Pour cette tranquillité d'esprit, vous devriez plutôt opter pour MalCare.

Comment choisir le meilleur plugin de sécurité

Avec tous les conseils d'experts erronés disponibles en ligne, la sécurité de WordPress peut être une boîte noire dans le meilleur des cas. De nombreux administrateurs veulent être certains que leurs sites sont protégés, mais ne comprennent pas les détails et ne savent donc pas comment choisir la meilleure option pour leurs sites Web.

Dans le cadre de cette série de tests, nous voulions nous assurer que nous présentions toutes nos données de manière impartiale et accessible. Cela signifiait que nous devions expliquer comment et pourquoi nous sommes arrivés à nos conclusions.

Les plugins de sécurité peuvent avoir une tonne de fonctionnalités, et parfois ces fonctionnalités servent à masquer l'inefficacité qui se cache derrière tout ce battage médiatique. Si une énorme liste de fonctionnalités n'est pas une bonne mesure pour choisir un plugin, qu'est-ce que c'est ? Eh bien, ces facteurs :

• Fonctions de sécurité essentielles
  • Analyse des logiciels malveillants
  • Nettoyage des logiciels malveillants
  • Pare-feu
• Fonctions de sécurité utiles
  • Détection de vulnérabilité
  • Protection de connexion par force brute
  • Journal d'activité
  • Authentification à deux facteurs
• Problèmes potentiels
  • Impact sur les ressources du serveur

Comme vous pouvez le constater, cette liste est très courte. Mais ce sont les facteurs qui empêcheront les pirates d'exploiter votre site Web et les logiciels malveillants de bouleverser votre site Web et votre tranquillité d'esprit. De tous les plugins que nous avons testés, aucun n'a réussi pour nous.

En fait, le seul plugin qui figure sur cette liste est MalCare. Avec MalCare, votre site Web est assuré d'un excellent scanner de logiciels malveillants, d'un nettoyeur qui supprime automatiquement les logiciels malveillants sans endommager votre site et d'un pare-feu qui empêche les pirates d'exploiter les vulnérabilités. Vous ne pouvez absolument pas vous tromper avec MalCare.

Worfence vs Jetpack Security : comparaison directe des fonctionnalités

Pour présenter les résultats de notre processus de test de manière juste et concise, nous avons organisé les données par fonctionnalité. Chaque plugin a ses avantages et ses inconvénients, et selon ce que vous recherchez, cette section vous aidera à évaluer à la fois Wordfence et Jetpack sur les mérites de cette fonctionnalité particulière.

Nous avons organisé la liste du plus important au moins important et résumé nos expériences avec les paramètres, l'installation et d'autres aspects des plugins.

Cependant, si vous préférez passer à la conclusion, nous vous recommandons d'installer MalCare sur votre site Web WordPress et de l'appeler un jour.

Analyse des logiciels malveillants

Le scanner Wordfence a trouvé tous les logiciels malveillants basés sur des fichiers dans les fichiers et dossiers principaux de WordPress, ainsi que des plugins et des thèmes gratuits. Mais il n'a pas pu détecter les logiciels malveillants dans la base de données de notre site Web, ni dans certains plugins et thèmes premium. Jetpack a trouvé environ 30 % des logiciels malveillants sur notre site Web.

Une fois que vous avez activé Wordfence, deux choses se produisent immédiatement : la première analyse du site démarre et le pare-feu passe en mode d'apprentissage. Nous couvrirons le pare-feu plus en détail plus tard. Nous avons vu que le scanner fonctionnait et il a rapidement atteint 60 %. Et puis il y est resté un moment. Ok, nous avons pensé qu'il avait besoin de plus de temps pour fonctionner, nous l'avons donc laissé seul pendant quelques heures et nous sommes revenus pour constater qu'il était toujours à 60 %.

En l'occurrence, les 60 % ne sont pas une barre de progression pour le scanner, mais un indicateur de l'efficacité du scanner gratuit. Pour atteindre 100%, vous devez passer à la version pro. C'était le premier et le dernier cas de dissonance cognitive avec Wordfence, nous avons donc laissé tomber.

Nous avons configuré Wordfence pour analyser à nouveau le site Web et avons été agréablement surpris de le voir se terminer très rapidement. 37 secondes, pour être précis, pour notre petit site Web infesté de logiciels malveillants. Le scanner a détecté tous les logiciels malveillants dans les fichiers principaux de WordPress et dans les plugins et thèmes gratuits, mais rien des premium ni de la base de données. Ainsi, bien que Wordfence soit une excellente alternative à presque tous nos plugins (à l'exception de MalCare bien sûr), le scanner est uniquement strictement supérieur à la moyenne.

Notre conclusion est que la base de données de logiciels malveillants de Wordfence est vaste et relativement à jour. Cependant, si l'équipe Wordfence n'a pas rencontré de malware, il ne sera pas dans la base de données. Par conséquent, il ne peut pas protéger les sites Web contre les nouvelles menaces.

Un autre inconvénient du scanner est qu'il génère beaucoup de faux positifs. Les faux positifs sont aussi bons que l'absence d'alertes, car ils conduisent à la méfiance vis-à-vis des alertes et à la complaisance.

Jetpack inclut un scanner de logiciels malveillants dans le cadre de ses forfaits payants. Bien qu'il ne s'agisse pas d'un correctif sur Wordfence, nous avons noté que Jetpack a détecté certains logiciels malveillants. Le pourcentage est cependant considérablement inférieur à celui de Wordfence, avec une efficacité d'environ 30 à 50 %, par rapport à l'efficacité de 70 à 80 % de Wordfence.

Nettoyage des logiciels malveillants

Jetpack n'a pas de nettoyage des logiciels malveillants, automatique ou autre. Wordfence a une option pour réparer les fichiers infectés, mais uniquement les logiciels malveillants qu'il détecte réellement en premier lieu. D'autre part, Wordfence dispose d'un service de suppression de logiciels malveillants premium, qui coûte 490 $ par site.

Après l'analyse, Wordfence répertorie les fichiers piratés avec une recommandation pour faire nettoyer les fichiers par leurs experts WordPress professionnels. Vous pouvez également essayer d'utiliser les deux options de nettoyage automatique du tableau de bord : supprimer tous les fichiers supprimables et réparer tous les fichiers réparables.

Lors de nos tests, l'option de suppression s'est débarrassée de 1 fichier avec succès sans erreur, laissant de nombreux autres fichiers encore piratés. Ensuite, essayez l'option de réparation, qui corrige tous les fichiers affichés dans la liste. C'est formidable, car cela signifiait que nous n'avions pas besoin de supprimer les logiciels malveillants séparément.

Notre seul reproche avec tout cet épisode était qu'il y avait des avertissements terrifiants indiquant que notre site pourrait se casser si nous utilisions l'option de suppression ou de réparation. Nous nous sommes assurés d'avoir des sauvegardes et de les alimenter. Le logiciel malveillant que nous avons trouvé devait encore être supprimé. Les avertissements nous ont donc amenés à nous demander brièvement s'il valait mieux vivre avec un logiciel malveillant que de casser le site. Non, ce n'est pas du tout le cas.

Étant donné que les autres plugins de sécurité que nous avons testés n'ont même pas atteint ce stade des festivités avec succès, nous n'avons pas pris la peine de les comparer à d'autres types de logiciels malveillants. Cependant, étant donné que Wordfence n'a fait qu'une bouchée des logiciels malveillants basés sur des fichiers, nous avons ajouté quelques courbes à notre répertoire de tests.

Tout d'abord, certains logiciels malveillants de redirection piratés sont entrés dans la base de données de notre site Web. Ensuite, nous avons également ajouté plusieurs pages de spam de piratage de mots clés japonais. De plus, nous avons inséré des scripts malveillants dans des plugins premium et installé un plugin annulé sur les sites Web de test. Nous avons supposé que ceux-ci déclencheraient le scanner, et ils l'ont absolument fait. Le scanner n'a enregistré aucun des logiciels malveillants dans les dossiers premium non essentiels.

La base de données de logiciels malveillants de Wordfence est complète, mais semble s'appuyer fortement sur ce que leur équipe a vu auparavant. C'est alors que la réparation automatique fonctionne. Wordfence est incapable de détecter des logiciels malveillants obscurs ou des logiciels malveillants dans des plugins et des thèmes premium. Le résultat net est que le nettoyeur n'est vraiment aussi efficace que le scanner, qui est d'environ 70 à 80 % efficace en soi.

La prochaine étape consiste à opter pour le service de suppression des logiciels malveillants de Wordfence, qui prétend supprimer toutes les instances de logiciels malveillants, les portes dérobées et évalue en outre le site pour détecter les vulnérabilités et les failles de sécurité. Dans le cadre du package, Wordfence vous aidera à retirer votre site Web de toute liste noire, comme celle de Google par exemple. Il y a une garantie de 1 an pour le nettoyage, à condition de suivre assidûment à la lettre la check-list post-hack.

Veuillez noter que nous ne sommes pas en mesure de commenter l'efficacité du service de suppression des logiciels malveillants, car nous ne l'avons pas essayé.

Jetpack couvre un peu le sujet du nettoyage des logiciels malveillants sur leur site Web. Cela, en soi, est un cadeau mort qu'ils ne peuvent pas le faire. Le nettoyage des logiciels malveillants est sans doute la partie la plus critique et la plus difficile de la sécurité de WordPress, car une suppression maladroite peut endommager un site Web au-delà de toute réparation. Si un plugin peut nettoyer les logiciels malveillants en toute confiance, ils en parleront à coup sûr.

Nos attentes vis-à-vis de Jetpack n'étaient pas élevées, surtout après avoir constaté que le scanner ne pouvait pas signaler tous les logiciels malveillants. Nous étions justifiés car même avec le malware signalé, Jetpack était incapable de faire quoi que ce soit avec. Les résultats de l'analyse montrent le code réel qui a été marqué comme logiciel malveillant, et la suggestion sur chaque balise est de demander à un expert de le supprimer. Il n'est donc ni exhaustif ni utile.

Pare-feu

Jetpack n'a pas de pare-feu. Le pare-feu d'application Web de Wordfence protégera efficacement les sites Web contre la plupart des attaques majeures et courantes. Un point préoccupant est que la version gratuite reçoit des mises à jour après la version premium.

Un pare-feu fait partie intégrante de votre sécurité WordPress, car il empêche les attaques WordPress et le trafic malveillant d'atteindre votre site Web. Si les acteurs malveillants ne peuvent pas accéder à votre site Web, ils ne peuvent pas exploiter les vulnérabilités et ne peuvent donc pas installer de logiciels malveillants. Considérez un pare-feu comme un périmètre de sécurité autour de votre site Web. Jetpack n'a pas de pare-feu, donc cette section ne concerne vraiment que Wordfence.

Le pare-feu Wordfence passe directement en mode apprentissage lorsque vous installez le plugin pour la première fois. Il est recommandé de laisser le mode d'apprentissage pendant au moins une semaine pour de meilleurs résultats. C'est correct, car les pare-feu nécessitent que le trafic en direct soit bloqué efficacement à l'avenir. Dans notre cas, nos sites de test ne reçoivent aucun trafic, nous avons donc immédiatement désactivé le mode d'apprentissage et nous nous sommes mis au test.

Les versions gratuite et premium du pare-feu Wordfence ont réussi à empêcher les attaques. Nous avons essayé des injections SQL, des attaques de scripts intersites, des falsifications de requêtes intersites et des injections de code à distance. Nous n'avons pu exploiter aucune des vulnérabilités du site.

Il y avait une question cependant. Le tableau de bord Wordfence montre l'efficacité du pare-feu gratuit à 35%, par opposition aux 100% proposés du pare-feu premium. Alors, quelle est la différence entre les versions gratuite et premium ?

La différence est double : la première est lorsque le pare-feu se charge sur votre site Web ; et le second est lorsque votre pare-feu reçoit des mises à jour.

Ces deux facteurs sont des différences non négligeables et sont cruciaux pour la façon dont le même plugin peut avoir une différence d'efficacité de 65% entre leurs versions gratuites et premium. Nous allons décomposer les deux différences pour expliquer ce qui se passe ici.

Tout d'abord, votre site Web se charge dans un ordre séquentiel. WordPress est généralement le premier, avec les fichiers et dossiers principaux, puis les plugins et thèmes, et la base de données. C'est ce qu'on appelle l'ordre de chargement, et les fichiers les plus importants se chargent toujours en premier car ils jouent un rôle déterminant dans le reste du site. Par exemple, sans wp-config, vous ne pouvez pas vous connecter à la base de données. Ceci est un petit exemple, mais il montre à quel point l'ordre de chargement est important lorsqu'il s'agit de sécurité.

Le pare-feu gratuit Wordfence se charge comme un plugin ordinaire, ce qui signifie qu'il se charge après WordPress, tous les fichiers principaux et peut-être à côté des autres plugins. Cela signifie que le pare-feu ne peut pas éloigner tout le trafic malveillant du site, mais seulement une partie.

Deuxièmement, les pare-feu sont efficaces en raison des règles qu'ils contiennent pour filtrer le mauvais trafic. Ces règles doivent être mises à jour régulièrement pour tenir compte de l'évolution des menaces.

Le pare-feu de MalCare, par exemple, apprend de tous les sites Web qu'il protège. Ainsi, si le pare-feu bloque une menace sur quelques sites Web, il apprend qu'il devrait y avoir une règle pour cette menace et met à jour les règles du pare-feu sur tous les 100 000 autres sites Web sur lesquels il est installé, avant même que la menace n'atteigne ces sites Web. . C'est le pouvoir de la protection préventive.

Ainsi, alors que Wordfence dispose du pare-feu le plus à jour, les utilisateurs de pare-feu gratuits obtiennent des mises à jour plus tard que leurs homologues premium. S'il y avait une indication de la durée du retard, nous serions en mesure de dire à quel point il s'agit d'un risque calculé, car même une petite fenêtre est problématique. Cependant, il n'y en a pas, nous ne pouvons donc que supposer qu'il est considérable. Qui sait.

Détection de vulnérabilité

Wordfence s'est concentré sur toutes les vulnérabilités de nos sites Web de test, tandis que Jetpack a complètement raté certaines des moins connues.

Lors de l'analyse initiale, Wordfence nous a alertés de toutes les vulnérabilités, les signalant comme des menaces critiques. Nous avons inclus de nombreux plugins et thèmes obscurs, car ceux-ci ont déclenché les autres plugins de sécurité lors de leurs analyses. Certains d'entre eux comptent moins de 200 utilisateurs et sont très spécialisés. Donc, plein de points à Wordfence sur ce front.

Un point supplémentaire que nous avons vraiment apprécié est que WordFence a signalé les plugins et les thèmes obsolètes comme des menaces moyennes. Ceci est vraiment important, car les vulnérabilités des logiciels obsolètes sont une cause majeure de piratage réussi sur les sites Web WordPress.

Fait intéressant, vous ne pouvez pas corriger les vulnérabilités à partir du tableau de bord WordFence. Plusieurs plugins de sécurité moindres ajoutent cela en tant que fonctionnalité bonus, mais à la base, la "fonctionnalité" met simplement à jour le logiciel obsolète - une fonctionnalité qui existe déjà sur le tableau de bord wp-admin. Il n'y a aucune raison réelle de reproduire cela, à moins que le plugin n'ait géré les mises à jour comme le fait MalCare.

Jetpack s'est effondré sur nous et a complètement raté l'obscur logiciel obsolète. Pas étonnant du tout, mais décevant quand même.

Protection de connexion par force brute

Wordfence fait un excellent travail pour protéger la page de connexion contre les attaques par force brute. Jetpack ajoute un captcha à wp-login, lorsqu'il y a plusieurs échecs de connexion, mais il ne bloque pas l'IP même temporairement.

Pour mémoire, le blocage IP est une fonctionnalité imprécise pour commencer. Alors pourquoi soulignons-nous l'insuffisance de Jetpack à cet égard ? Principalement parce qu'ils ont tellement de paramètres dédiés à la liste blanche des adresses IP, dans la mesure où nous avons pensé que nous étions en danger imminent de nous bloquer. Mais rien. Si vous allez parler autant d'une fonctionnalité, vous devez avoir un bon suivi. C'est tout.

Nous avons forcé brutalement la page de connexion plusieurs fois, et bien au-delà de notre limite fixée. La seule différence que nous avons vue était un captcha numérique qui n'existait pas auparavant. C'était moins toute marque, donc nous allons sortir sur une branche et supposer que c'était Jetpack.

Dans l'ensemble, le captcha est une solution élégante mais inadéquate aux attaques par force brute sur la page de connexion. Les attaques par force brute peuvent submerger un site Web en utilisant les ressources du serveur, elles doivent donc être maintenues à l'écart avec plus qu'un simple captcha.

Wordfence, d'autre part, a fonctionné comme un champion. Nous sommes quelque peu effrayés par un grand nombre de paramètres pour chaque plugin, et cela peut parfois signifier que le plugin ne fonctionne pas, il était donc rafraîchissant de ne voir que quelques options.

Bien que la protection contre la force brute soit activée par défaut, vous pouvez personnaliser les paramètres à partir de la section pare-feu. Il existe des options pour définir le nombre de tentatives de connexion infructueuses qui conduisent à un verrouillage temporaire, et même la durée de ce verrouillage. Inévitablement, nous voyons l'option de liste blanche, même si nous savons que les adresses IP des appareils sont dynamiques, c'est donc au mieux indicatif, au pire inutile.

Vous trouverez également les options de mot de passe fort ici. Bien que ceux-ci soient formidables, dans la section pare-feu, la protection contre la force brute n'est pas l'endroit logique pour avoir ces paramètres. Oui, ils sont tous deux liés à la sécurité de connexion, mais cela nécessite toujours un saut pour se connecter. Nous doutons que les gens trouvent ces paramètres très utiles dans cet endroit éloigné.

Journal d'activité

Nous avons vraiment aimé le journal d'activité de Jetpack, car c'est l'une des meilleures versions que nous ayons vues. Étonnamment, Wordfence n'a pas de journal d'activité.

Nous sommes vraiment surpris que Wordfence n'ait pas de journal d'activité car c'est un élément très important de la sécurité du site Web. Les pirates profitent d'une journalisation insuffisante pour attaquer les sites. Vous voulez absolument avoir un journal d'activité fiable contenant les informations correctes sur les activités de votre site Web.

Sur Wordfence, il existe une option pour activer le débogage, en cas de problème. L'option est enfouie profondément dans la section Diagnostics sous Outils. Il est destiné à rendre les journaux de pare-feu plus détaillés. Nous avons également trouvé un journal d'activité complet spécifiquement pour les événements Wordfence dans la section Analyse, mais ce n'est pas ce que nous entendons par journal d'activité. Cela ressemble également à un journal brut destiné aux développeurs de Wordfence.

La fonction de journal d'activité de Jetpack est excellente et permet de comprendre très facilement ce qui s'est passé sur le site Web. Il est disponible en avant-première sur les plans gratuits, mais nécessite un abonnement premium pour être vraiment utile. Les journaux contiennent toutes les informations sur l'activité des utilisateurs, des plug-ins et des thèmes, avec la fonctionnalité supplémentaire d'alertes pour les éléments nécessitant une attention particulière, tels que les logiciels malveillants ou les vulnérabilités.

Notre mise en garde ici est que les données du journal d'activité ne sont disponibles que pendant 30 jours. Nous aurions préféré voir un délai beaucoup plus long pour que cela soit vraiment utile.

Authentification à deux facteurs

Wordfence a une excellente authentification à deux facteurs, qui fonctionne immédiatement. Jetpack n'a pas cette fonctionnalité.

L'authentification à deux facteurs n'est pas un facteur décisif pour un plugin de sécurité, car il existe des plugins dédiés disponibles pour la fonctionnalité. Donc, nous ne blâmons pas trop Jetpack pour ne pas l'avoir inclus.

Sur Wordfence, l'authentification à deux facteurs fonctionne parfaitement. Mieux encore, il est simple à utiliser, sans tout un tas d'options déroutantes. En fait, il s'agissait auparavant d'une fonctionnalité premium, qui est désormais également disponible pour les utilisateurs gratuits.

Utilisation des ressources du serveur

Jetpack utilisera certaines ressources du serveur pour ses analyses, mais n'affectera pas sensiblement les performances. Wordfence, en revanche, est interdit par certains hébergeurs en raison de la pression qu'il exerce sur les ressources du serveur.

Nous avons réalisé que Jetpack est en quelque sorte un poids plume en termes de sécurité et a un impact similaire sur les ressources du serveur. Il y a une baisse notable de l'utilisation du disque, mais nous n'avons pas vu trop d'impact sur les performances du site Web.

Wordfence était un vampire de ressources de serveur. Certes, nous avons scanné le site Web à plusieurs reprises et effectué de nombreux tests sur les logiciels malveillants, mais nous ne nous attendions pas à ce que l'utilisation du disque monte en flèche de 2 à 3 fois. Franchement, nos sites de test sont petits, donc la sanction n'était pas grave. Mais nous frémissons de penser à ce qui se passerait sur un site de commerce électronique ou un site avec beaucoup de contenu. Ouais.

Après avoir vu un tas de messages sur son tableau de bord, il est juste de conclure que Wordfence utilise les ressources du site pour tout faire : de la numérisation au nettoyage, et tout le reste. Le problème avec cela est que les performances et la sécurité ne doivent pas être opposées dans une sorte de compromis. Vous ne devriez pas avoir à faire de compromis sur l'un ou l'autre.

Alertes

Jetpack vous envoie une alerte de temps en temps, tandis que Wordfence peut noyer votre boîte de réception en une heure.

À notre avis, les alertes doivent être équilibrées. Vous voulez savoir si quelque chose s'est passé en forme de poire avec votre site Web dès que possible. Mais vous n'avez pas besoin d'une alerte si quelqu'un éternue à proximité de votre site Web. L'équilibre est la clé.

Wordfence échoue lamentablement dans ce département. Les alertes provenant des résultats d'analyse, des faux positifs, des verrouillages de pare-feu et bien plus encore sont trop nombreuses pour être comptées. Franchement, un bon pare-feu doit bloquer directement les attaques, sans créer d'alerte à chaque fois.

Dans ce cas, Jetpack s'en sort très bien. Vous ne recevez des alertes que pour les éléments importants, comme les vulnérabilités découvertes ou les logiciels malveillants détectés ; c'est-à-dire des choses qui nécessitent votre attention immédiate.

Installation, configuration et convivialité

Wordfence a été l'installation la plus simple de tous les temps. Je ne peux pas en dire autant de Jetpack.

Wordfence était si génial à cet égard. Commencez à utiliser le plugin, et il vous montrera la voie à suivre. Aucune configuration compliquée du tout. Le langage utilisé est simple et accessible.

Nous avons particulièrement aimé la façon dont il y a de courtes procédures pas à pas lorsque vous visitez chaque section du tableau de bord pour la première fois. Les explications claires sont faciles à comprendre, et il n'y a rien de ce charabia technologique qui accompagne généralement ces choses.

La conception générale est très intuitive et conçue pour vous donner une vue d'ensemble de la sécurité de votre site Web. Si quelque chose vous semble déroutant, cliquez sur une info-bulle et accédez à leur excellente documentation.

Si Wordfence était facile, Jetpack était étonnamment délicat. L'installation s'appuie fortement sur la nécessité d'une mise à niveau. Vous devez même choisir un plan, gratuit ou non, pour continuer. Cela aurait pu être bien mieux que ça ne l'est.

Jetpack : Suppléments

La bonne chose à propos de Jetpack est qu'il combine plusieurs tâches d'administration WordPress en un seul plugin. Il contient des sauvegardes qui, nous le savons, sont extrêmement importantes pour tout site Web. Le tableau de bord externe se trouve sur WordPress.com, il est donc très familier à utiliser.

Cela dit, nous aurions donné à Jetpack un coup de pouce sans équivoque en tant que plugin de sécurité sans les fioritures et les furbelows, s'il avait fait du bon travail pour protéger nos sites Web. Il n'en a rien été si finalement aucun de ces bons à avoir n'a de valeur.

Wordfence : Suppléments

Wordfence est tout au sujet de la sécurité. Il n'y a rien dans le plugin qui soit même adjacent à la sécurité, comme la possibilité de mettre à jour les plugins comme nous l'avons mentionné précédemment. Mais il y a encore une tonne d'extras.

À partir de l'installation, la première chose que nous avons remarquée est une section de notifications pour les mises à jour du site. Par exemple, il nous a montré que 5 des plugins de notre site de test devaient être mis à jour.

À l'avenir, il y a un panneau appelé État de Wordfence Central. Cela vous permet de connecter votre compte à plusieurs sites Web et de voir l'état de tous vos sites Web dans le wp-admin de ce site Web. Si cela semble déroutant, c'est parce que c'est déroutant et pas du tout intuitif. Vous ne voulez vraiment pas gérer plusieurs sites Web à partir du tableau de bord d'un site Web. Vous avez besoin d'un tableau de bord externe pour cela, ce qu'est réellement Wordfence Central. Mais il fait un mauvais travail pour faire passer cela.

Wordfence Central est bien, loin d'être complet cependant. Peut-être sommes-nous gâtés à cause du tableau de bord de MalCare, qui ressemble à un panneau de commande d'avion pour les sites Web. Wordfence Central semble peu maniable pour plus de 10 ou 20 sites, et pourrait être bien meilleur.

Dans la section Outils, il y a un panneau pour le trafic en direct. Il semble d'abord qu'il s'agisse d'un skin pour Google Analytics, mais il s'est avéré être plus que cela. Il enregistre les journaux de trafic vers votre site Web et vous pouvez voir exactement quel type de trafic votre site Web reçoit : humain, bot, avertissement, bloqué.

Nous avons pensé que Diagnostics était assez intéressant, car il contenait beaucoup d'informations sur le site Web. things like process owners and database tables, for instance. It is like a blueprint of the website, which the status of each of the specifications alongside. It doesn't look like something a normal user would need, but definitely could help out a developer.

What's missing from Jetpack and Wordfence

Ultimately, there is a lot missing from Jetpack: the scanner is below-average, there is no cleaner or firewall. The rest of the stuff is alright, but these three factors are non-negotiable for security.

Wordfence doesn't have bot protection, and surprisingly no activity log. Although it is a comprehensive security plugin, the drain on server resources and the tendency to cry wolf at the drop of a hat is off-putting.

Jetpack vs Wordfence: Pricing

Jetpack is exorbitant at $300 per year for the security suite. Wordfence premium is far more reasonable at $99 for the year, but the premium version isn't a significant upgrade on the free version.

Wordfence has a really great free version, and in our opinion the upgrade to premium doesn't add much more. The site license is still competitive at $99 a pop, and gets better with more websites.

The knockout punch from the Wordfence corner is their malware removal service. That will set you back a cool $490 per site cleanup. The 1-year guarantee is also subject to terms and conditions, so you shouldn't consider that a one-time expense.

Jetpack is really not worthy of that fancy price tag. There is little to say beyond that.

Better alternative to Jetpack and Wordfence: MalCare

The best investment you can make in your website is to invest in a good security plugin. By this point, you know what to look for in a security plugin. And you will find all those things and more in MalCare. MalCare scans, cleans and protects your website from exploits in a major way. It far outperforms all other plugins.

Plans for MalCare start at $99 for the Basic plan, which includes unlimited cleanups. Contrast that to Wordfence's $99 plan and $490 per cleanup needed thereafter and the choice becomes clear. MalCare all the way.

Conclusion

We really hope this article helps to clear any confusion with respect to WordPress security. It is admittedly hard to wade through all the misinformation available online to arrive at a good decision.

If you have any questions, please write to us. We would be happy to help, and thrilled to hear from you!