Sucuri vs Wordfence : quel plugin de sécurité convient le mieux à votre site WordPress
Publié: 2022-04-22Wordfence et Sucuri sont tous deux les champions poids lourds des plugins de sécurité WordPress. Dans toute conversation, ils apparaissent inévitablement et les gens sont divisés sur le meilleur plugin de sécurité.
Sucuri dispose d'un scanner en ligne populaire, qui est largement utilisé par les administrateurs de sites Web pour détecter les logiciels malveillants. Leur plugin dispose également d'un scanner côté serveur, d'un pare-feu et de nombreuses autres fonctionnalités de sécurité. Sucuri offre une suppression illimitée des logiciels malveillants avec n'importe lequel de leurs plans.
Wordfence est le leader incontesté des plugins de sécurité WordPress. L'équipe complète son plugin de sécurité avec beaucoup de contenu éducatif, aidant l'administrateur à comprendre comment protéger son site Web contre les pirates. Le plugin dispose d'un scanner et d'un pare-feu, et peut également supprimer certains logiciels malveillants. Ils disposent également d'un service de suppression de logiciels malveillants, mais il s'agit d'une fonctionnalité premium à la demande.
Pour savoir lequel est le meilleur dans la bataille Sucuri vs Wordfence, nous avons testé les deux plugins de manière approfondie. Comme vous le verrez dans la suite de l'article, les tests ont été conçus pour faire déclencher les plugins afin que vous puissiez prendre la meilleure décision pour la sécurité de votre site Web.
5 plugins de sécurité, 3 sites Web, 45 jours et de nombreux logiciels malveillants. Les résultats ont été concluants.
VERDICT Sucuri vs Wordfence n'est pas une question simple. Les deux ont des scanners de logiciels malveillants et des pare-feu. Wordfence dispose d'un nettoyeur automatique et d'un service de suppression de logiciels malveillants coûteux, tandis que Sucuri n'a que des nettoyages illimités avec ses plans. Après avoir pesé tous les facteurs, Wordfence est certainement le gagnant. Poursuivez votre lecture pour en savoir plus.
Notre choix
Pour cette série, nous avons développé 3 sites de test : premièrement, un blog simple avec beaucoup d'images et de commentaires comme contrôle ; deuxièmement, un site avec de nombreux plugins vulnérables et des thèmes de différents niveaux d'obscurité ; et enfin, un site chargé de différents types de logiciels malveillants.
Les critères d'un plugin efficace sont multiples, mais nous voulions nous concentrer sur une question simple : le plugin protège-t-il correctement votre site Web contre les pirates et les logiciels malveillants ?
45 jours plus tard, nous avions notre réponse. Pour 4 plugins sur 5, la réponse était non. 1 plugin gagné sur tous les plans. Ce plugin est MalCare.
MalCare possède le meilleur scanner de logiciels malveillants que nous ayons vu, captant les logiciels malveillants des fichiers, de la base de données et des dossiers, quelle que soit la qualité de leur dissimulation. Il dispose d'un nettoyeur automatique qui fonctionne réellement, ne nettoyant que les logiciels malveillants avec une précision chirurgicale. Et enfin, un pare-feu avancé qui bloque les menaces susceptibles d'exploiter votre site Web.
Le meilleur plugin de sécurité pour votre site WordPress est sans équivoque MalCare.
Résumé de la comparaison entre Sucuri et Wordfence
Dans cette bataille rangée, Wordfence est le vainqueur. Nous devons admettre que c'était un appel serré, car Sucuri a aussi ses points.
Nous pouvons voir pourquoi les gens s'énervent autant pour savoir lequel est le meilleur, car les défauts de Wordfence sont les points forts de Sucuri, et vice versa. Ainsi, en fonction de l'expérience personnelle d'un individu, il plaidera pour le plugin qui a résolu son problème particulier.
Mais à cause de cela, il n'y a pas de réponse objective quant à savoir lequel est globalement le meilleur pour tous les sites WordPress. Et la réponse à cela est ni l'un ni l'autre. Vous ne devriez pas avoir à faire de compromis sur un aspect de la sécurité ou un autre. Obtenez tout cela en obtenant MalCare à la place.
Wordfence en quelques mots
Wordfence est le meilleur plugin de sécurité pour un site WordPress après MalCare. La version gratuite est robuste, avec d'excellentes fonctionnalités de sécurité. Le scanner détecte la plupart des logiciels malveillants basés sur des fichiers et est capable de nettoyer la plupart de ce qu'il détecte. Le pare-feu est l'un des plus mis à jour et bloque plusieurs menaces. Les inconvénients sont que les performances du site Web subissent un énorme coup avec Wordfence et que leur service de nettoyage des logiciels malveillants est coûteux.
Le scanner de Wordfence a pu détecter tous les logiciels malveillants basés sur des fichiers que nous avions insérés dans nos plugins et thèmes gratuits. Si cela semble étrangement spécifique, c'est parce que ça l'est. Il n'a pas pu détecter les logiciels malveillants qui se trouvaient dans la base de données, ni les logiciels malveillants insérés dans les plugins et les thèmes premium. En effet, le mécanisme de détection de correspondance de fichiers utilisé par Wordfence repose fortement sur du code accessible au public.
Les résultats de l'analyse ont signalé les logiciels malveillants et les vulnérabilités des thèmes et des plugins installés. Curieusement, Wordfence a également signalé certains de nos plugins premium comme des logiciels malveillants ou des erreurs. Ce sont des faux positifs, que nous pouvons voir car nous avons l'habitude de fouiller dans le code WordPress. Mais certains administrateurs de sites Web peuvent finir par supprimer des plugins parfaitement viables à cause de cela.
De plus, il y avait une option pour réparer automatiquement les fichiers infectés par des logiciels malveillants après l'affichage des résultats de l'analyse. Nous l'avons essayé, et cela a fonctionné. Tous les logiciels malveillants détectés ont été supprimés du site Web. Bien sûr, il ne peut pas réparer les logiciels malveillants qu'il n'a pas pu détecter en premier lieu.
Ensuite, nous avons essayé le pare-feu. C'était efficace, bloquant un grand nombre des menaces que nous lui avions lancées. Mais chaque fois que le pare-feu bloquait une menace, nous recevions une alerte. Il y a eu tellement d'alertes lors de nos tests, nous ne pouvons qu'imaginer ce qui se passera sur un site en direct. L'administrateur est sûr d'être submergé et de manquer les alertes critiques.
Outre ces trois critères principaux, de nombreuses autres options sont disponibles sur Wordfence. La protection contre la force brute est superbe et l'authentification à deux facteurs fonctionne comme un charme.
Ce qui a vraiment fait monter le plugin de plusieurs crans, c'est sa formidable convivialité. Wordfence est un plugin de sécurité complexe, mais il est également accessible aux novices. La façon dont le tableau de bord est agencé, avec les conseils et la documentation qui l'accompagne, n'importe qui peut configurer le plugin de sécurité, sans rendre accidentellement son site inutilisable. C'est un énorme plus à notre avis, surtout par rapport à Sucuri, comme vous le verrez plus tard.
Wordfence n'a étonnamment pas de journal d'activité, ce que nous avons trouvé très étrange. Mais le véritable inconvénient est qu'il s'agit d'un puits de ressources. Chaque analyse que nous avons exécutée sur notre site Web a entraîné un pic d'utilisation du disque et une chute des performances du site Web. C'est pour cette raison que de nombreux hébergeurs ont interdit Wordfence.
En résumé, Wordfence est un excellent plugin de sécurité, mais avec de sérieuses lacunes. Malgré tous ses avantages et aucun de ses défauts, MalCare est la voie à suivre.
Sucuri en quelques mots
Sucuri a un bon pare-feu et leur service de suppression de logiciels malveillants était excellent. Mais le scanner de logiciels malveillants n'a détecté aucun logiciel malveillant, même si son équipe l'a supprimé par la suite. Un plugin de sécurité sans scanner de logiciels malveillants fonctionnel est inefficace.
Sucuri est le seul autre plugin qui a une chance d'être considéré aux côtés de MalCare et Wordfence, car il fonctionne au moins parfois comme un plugin de sécurité. Jetpack et iThemes ont été radiés.
C'est sans doute l'un des plugins de sécurité les plus populaires, mais il échoue toujours dans un domaine fondamental : l'analyse des logiciels malveillants. Comme nous le verrons plus tard, leur service de suppression de logiciels malveillants est de premier ordre. Ils ont été efficaces et rapides, nous ont répondu avant notre attente et ont fait du bon travail pour nettoyer le site Web. Cependant, s'il ne s'agissait pas d'un site Web de test que nous avons créé et bourré de logiciels malveillants, nous n'aurions jamais su qu'il était infecté en premier lieu, car le scanner nous a donné un signalement propre pour les hacks. Donc, en effet, Sucuri est un cas classique de mettre la voiture avant les boeufs. Vous devez savoir que le site est piraté pour le nettoyer, mais il n'y a aucun moyen de savoir qu'il est piraté avec le scanner de Sucuri.
Passant à autre chose, le pare-feu a bien fonctionné. Il a empêché les attaques telles que les injections SQL et les attaques d'exécution de code à distance facilement et de manière cohérente. Mais c'était un cauchemar à mettre en place. Parce que nous utilisons des sites de test, il y a eu beaucoup de problèmes avec la modification des serveurs de noms pour qu'ils pointent vers les adresses IP du pare-feu de Sucuri au lieu de notre site Web de test. Si l'une de ces dernières phrases n'a pas de sens, ce n'est pas grave. Il nous a fallu des siècles pour le configurer aussi. Pour être juste, vous ne rencontrerez pas de telles difficultés sur vos sites en direct, mais si vous souhaitez le configurer sur un site intermédiaire ou local ? Attendez-vous à des problèmes.
Nous étions déjà frustrés par le pare-feu lorsque nous avons examiné les autres options de configuration. Pourquoi tout est si compliqué ? Le langage est déroutant et, dans certains cas, carrément condescendant. Et c'est avant que nous réalisions que chaque analyse de sécurité ralentissait nos sites Web de test. Lorsque nous avons vérifié l'utilisation du disque du serveur, il y a eu une augmentation alarmante.
Sucuri utilise les ressources du site pour rechercher les logiciels malveillants - un scanner qui ne fonctionne pas, rappelez-vous. Donc, il ne fait pas ce qu'il est censé faire et détruit toujours les performances du site. Pas un super look pour Sucuri.
Quel plugin de sécurité vaut votre argent ?
Les conseils de sécurité WordPress sont légion et bien intentionnés, mais ce sont souvent de mauvais conseils. Nous avons vu des gens défendre iThemes - l'un des pires plugins de sécurité que nous ayons jamais vus - parce que leurs sites Web n'ont jamais été piratés, ignorant complètement le fait qu'ils mettent régulièrement à jour les plugins, utilisent de bons mots de passe, n'utilisent pas de logiciel annulé et ont une bonne dose de chance. Si GoDaddy peut avoir une violation de données, il en va de même pour votre site Web.
Le nœud du problème est de savoir comment choisir un bon plugin de sécurité. Nous avons compilé une liste essentielle, en nous débarrassant des choses qui ne sont pas liées à la sécurité.
- Fonctions de sécurité essentielles
- Analyse des logiciels malveillants
- Nettoyage des logiciels malveillants
- Pare-feu
- Fonctions de sécurité utiles
- Détection de vulnérabilité
- Protection de connexion par force brute
- Journal d'activité
- Authentification à deux facteurs
- Problèmes potentiels
- Impact sur les ressources du serveur
Comme vous pouvez le voir, il n'y a que 3 fonctionnalités essentielles dont vous devez vous soucier. Un plug-in de sécurité devrait être excellent pour ces 3 choses : analyse des logiciels malveillants, nettoyage des logiciels malveillants et pare-feu. Tout le reste est sauce. Nous ne supprimons pas la protection contre la force brute ou l'authentification à deux facteurs, car ceux-ci sont également importants. Mais vous pouvez obtenir d'autres plugins pour cette fonctionnalité.
MalCare est le seul plug-in de sécurité doté d'excellentes capacités d'analyse et de nettoyage des logiciels malveillants, ainsi que d'un pare-feu avancé qui protège des menaces. Tous les autres plugins échouent à un endroit ou à l'autre.
Sucuri vs Wordfence : comparaison directe des fonctionnalités
Choisir le bon plugin de sécurité peut être une expérience déconcertante, surtout lorsque vous devez tester l'efficacité de chacun, en espérant tout le temps que cela fonctionne.
Dans cette section, nous avons présenté les résultats de nos tests organisés par fonctionnalité. La comparaison et le contraste des mêmes fonctionnalités entre les plugins donnent une image plus claire de l'efficacité du plugin de sécurité.
Nous avons présenté nos résultats de la manière la plus juste et la plus transparente possible, dans le but d'aider les gens à faire un meilleur choix pour leurs sites Web. Cependant, si vous souhaitez sécuriser rapidement vos sites Web, installez MalCare à la place et passez à la fin.
Analyse des logiciels malveillants
Sucuri dispose de 2 scanners : un en ligne appelé SiteCheck et un au niveau du serveur qui fait partie du plugin. Les deux n'ont pas détecté de malware. Wordfence dispose d'un scanner de logiciels malveillants décent, qui peut détecter les scripts malveillants dans les fichiers et dossiers principaux, ainsi que ceux des plugins et thèmes gratuits. Sinon, il a manqué des logiciels malveillants dans la base de données et des plugins et thèmes premium.
Nous recommandons souvent Sucuri SiteCheck comme diagnostic de premier niveau pour les logiciels malveillants, au cas où quelqu'un soupçonnerait que son WordPress a été piraté. Il ne peut pas analyser l'intégralité du site Web, mais il peut identifier rapidement les infections courantes par des logiciels malveillants et sans qu'il soit nécessaire d'installer un plug-in dans le but exprès.
Nous attendions davantage du scanner au niveau du serveur, étant donné qu'il aurait un accès complet au site Web. L'installation est un peu différente par rapport aux autres plugins, car le scanner doit être installé sur votre serveur Web. Cela peut être fait manuellement ou en mettant les détails FTP sur votre tableau de bord. Nous avons terminé l'installation et attendu la fin de l'analyse.
Un temps considérable plus tard, l'analyse était terminée et notre site Web infesté de logiciels malveillants était apparemment exempt de piratage. Exécutez le scan une deuxième fois pour voir s'il y avait une erreur la première fois. Non, toujours pas de malware selon Sucuri. Échec majeur.
Lors de l'installation, Sucuri est configuré pour s'exécuter une fois par jour, mais vous pouvez demander des analyses à la demande. Les demandes sont mises en file d'attente puis exécutées en fonction de la disponibilité. Le plugin lui-même vous avertira que l'analyse de votre site Web utilisera les ressources du serveur et affectera donc les performances de votre site Web. Honnêtement, c'est terrible car la sécurité ne doit pas se faire au détriment des performances et de l'expérience utilisateur. Nous y reviendrons plus en détail dans une autre section.
Wordfence exécute également une analyse automatiquement lors de l'installation. Il y avait cependant un peu de confusion ici, car nous avons supposé que le cercle de pourcentage sur le tableau de bord était la progression du scanner. Après avoir vu qu'il n'avait pas dépassé 60 % pendant quelques heures, nous avons regardé de plus près et réalisé qu'il s'agissait d'une mesure de l'efficacité du scanner. Pour atteindre 100%, vous devez mettre à jour le plugin.
Redémarré le scanner pour comparer le temps qu'il a fallu, et parce que nos sites de test sont petits, le scanner a été fait en moins d'une minute. C'est définitivement un plus. Les résultats de l'analyse n'étaient cependant que supérieurs à la moyenne, pas parfaits, car ils ont détecté la plupart des logiciels malveillants, pas tous.
La raison en est que Wordfence utilise la correspondance de signature pour détecter les logiciels malveillants. Cela signifie que le scanner Wordfence compare le code de votre site Web à une base de données de signatures de logiciels malveillants. S'il y a une correspondance, l'analyseur la signale comme un logiciel malveillant. Bien que Wordfence dispose d'une formidable base de données de logiciels malveillants, qu'ils mettent à jour régulièrement en fonction de leurs recherches sur la sécurité, elle ne peut jamais être complète à 100 % car l'équipe aurait besoin d'avoir vu le logiciel malveillant pour le mettre à jour dans la base de données, et indépendamment de la recherche approfondie, de nouveaux les logiciels malveillants apparaissent tout le temps
Par conséquent, Wordfence est apte à détecter les logiciels malveillants trouvés dans les fichiers et dossiers principaux de WordPress, ainsi que les scripts malveillants dans les plugins et thèmes gratuits. Mais il ne peut pas détecter les logiciels malveillants dans les logiciels premium, comme Elementor par exemple, car ils n'ont pas accès au code source pour analyse. Pour la même raison, Wordfence échoue également à détecter les logiciels malveillants dans la base de données, car cela nécessite un mécanisme au-delà de la correspondance des signatures pour être découvert.
Cela étant dit, Wordfence a détecté tous nos logiciels malveillants basés sur des fichiers. Selon notre estimation, il est capable de détecter 70 à 80% des malwares. Il est également sujet aux faux positifs et a tendance à générer une tonne d'alertes. Nous y reviendrons également dans une section distincte.
Nettoyage des logiciels malveillants
Wordfence dispose d'une fonction de réparation automatique pour nettoyer les logiciels malveillants, mais l'efficacité est discutable pour les logiciels malveillants plus complexes. Ils ont un service de suppression de logiciels malveillants premium, mais cela peut faire un trou dans la poche à 490 $ par site. Sucuri, d'autre part, propose un service de nettoyage manuel illimité des logiciels malveillants inclus dans tous leurs plans.
Même si le scanner de Sucuri a indiqué que notre site ne contenait pas de logiciels malveillants, ce qui était le cas, nous avons demandé un nettoyage, sans attendre grand-chose. Cependant, le site nous est revenu impeccable. Nous l'avons fait passer par MalCare pour vérifier. Curieusement, après que l'équipe de Sucuri a nettoyé notre site, le scanner a signalé des logiciels malveillants dessus. Clairement, un bug quelque part.
Le service de suppression des logiciels malveillants a été très rapide. Bien que notre plan garantisse une réponse en 30 heures, nous avons récupéré un site nettoyé en moins de 10 heures. C'est formidable. La seule mise en garde que nous voudrions souligner est que, lorsque vous avez un site piraté, le temps presse. Vous ne pouvez pas vous permettre d'avoir des logiciels malveillants qui languissent sur votre site Web pendant longtemps. Juste pour souligner à quel point il est important d'agir rapidement, la liste noire de Google mesure également votre temps de réponse aux notifications de logiciels malveillants.
Pour la suppression des logiciels malveillants, vous devez demander un nettoyage à Sucuri. Remplissez un formulaire avec toutes les informations que vous pouvez fournir, et l'équipe prend le relais à partir de là. Nous avons reçu un message de Sucuri avec une liste de contrôle post-piratage avec d'excellentes recommandations. Donc, dans l'ensemble, la fonction de nettoyage des logiciels malveillants avec Sucuri est un coup de pouce.
Wordfence propose 2 options pour traiter les fichiers piratés sur le tableau de bord : supprimer tous les fichiers supprimables et réparer tous les fichiers réparables. Ceci est mis à part un CTA suggérant que nous options pour leur service de nettoyage expert.
Nous avons essayé les deux options, et elles ont toutes deux réussi à supprimer les logiciels malveillants de notre site Web. Le problème est que la suppression automatique est précédée de terribles avertissements de rupture du site en raison de modifications.
Nos sites de test sont sauvegardés sur BlogVault, et franchement, nous n'étions pas si inquiets qu'ils se cassent. Bien que nous ayons pu avancer sans trop réfléchir, c'est parce que nous souhaitions tester la fonction de réparation. Cependant, le cas serait très différent pour, par exemple, le magasin de commerce électronique de quelqu'un ou un site Web à fort trafic.
Dans notre série de tests, nous nous sommes généralement arrêtés à ce stade car la plupart des autres plugins de sécurité ont échoué. Wordfence a nettoyé tous les logiciels malveillants basés sur des fichiers de notre site Web, nous avons donc essayé la fonctionnalité avec des logiciels malveillants de base de données et certains dans nos plugins premium. Le scanner n'a pas été en mesure de détecter ce lot de logiciels malveillants et, par conséquent, la réparation automatique n'était même pas une option.
L'autre alternative était de demander la suppression des logiciels malveillants. Le service prétend supprimer les logiciels malveillants, les portes dérobées et effectuer un audit de sécurité du site Web, en évaluant les vulnérabilités. Si votre site a atterri sur une liste noire, Wordfence vous aidera également à vous en débarrasser. Le service est garanti pendant un an, sous réserve que l'administrateur du site ait suivi à la lettre les recommandations post-piratage. Veuillez noter : Nous ne pouvons pas parler de l'efficacité du service de suppression des logiciels malveillants de Wordfence, car nous ne l'avons pas essayé.
D'autre part, nous avons utilisé MalCare pour supprimer automatiquement tous les logiciels malveillants, et nous avons pu le faire sans problème. Aucun avertissement catastrophique, aucun logiciel malveillant manqué, et notre site était parfaitement propre en quelques minutes. C'est le genre de nettoyage de logiciels malveillants que nous souhaitons pour notre site Web.
Pare-feu
Sucuri et Wordfence ont tous deux d'excellents pare-feu qui bloquent les menaces les plus courantes et les plus importantes. Mais le pare-feu de Sucuri était un cauchemar à installer, et le pare-feu gratuit de Wordfence reçoit des mises à jour inquiétantes plus tard que sa version premium.
Le pare-feu de Sucuri a empêché les attaques telles que les injections SQL, les injections à distance et les attaques de script intersite. Notre site Web de test présentait une tonne de vulnérabilités, comme les téléchargements de fichiers non sécurisés par exemple, et restait en sécurité derrière le pare-feu.
Notre problème avec le pare-feu de Sucuri était son installation. Pour utiliser le pare-feu, vous devez diriger votre trafic vers leurs serveurs de noms, afin que le mauvais trafic soit filtré et que seul le bon trafic soit transmis à votre site Web. Excellente idée, mais quel cauchemar à configurer. Nos sites Web de test n'étaient rattachés à aucun registraire de domaine, nous avons donc dû faire appel à l'équipe d'ingénieurs pour comprendre cela.
Le pare-feu de Wordfence fonctionne également hors de la boîte et empêche les attaques avec succès.
Juste après l'installation, le pare-feu est passé en mode d'apprentissage. Wordfence nous a recommandé de laisser le mode d'apprentissage activé pendant une semaine. C'est juste, car les pare-feu ont besoin de trafic en direct pour apprendre à être efficaces. Cependant, comme nous n'avons pas de trafic en direct sur nos sites Web de test, nous n'avons pas vu l'intérêt d'attendre une semaine et nous l'avons rendu tout de suite.
Avec Wordfence, le pare-feu gratuit n'est censé être efficace qu'à 35 %. Ce n'est pas une hypothèse de notre part, mais c'est en fait sur le tableau de bord. Nous avons creusé un peu plus pour comprendre pourquoi cela pourrait être le cas. Il y a 2 raisons :
Un : le pare-feu gratuit se charge comme un plugin, une fois que WordPress a terminé. L'ordre de chargement affecte considérablement la sécurité, car si le pare-feu se charge après le cœur de WordPress, cela signifie qu'il ne peut empêcher qu'une partie du trafic malveillant, pas tout.
Deux : bien que Wordfence dispose du pare-feu le plus à jour, la version premium reçoit ces mises à jour en temps réel. La version gratuite reçoit cependant des mises à jour après une durée indéterminée. Nous n'avons aucun moyen de savoir quel est le retard, mais c'est potentiellement problématique. Les pirates peuvent frapper à la fenêtre après tout.
Le plus gros cadeau est que Wordfence classe lui-même son pare-feu gratuit à 35 % d'efficacité par rapport à sa version premium. Pas génial.
Détection de vulnérabilité
Wordfence a fait un superbe travail de détection de toutes les vulnérabilités de notre site Web. Sucuri a complètement raté les obscurs.
Nous avons été impressionnés de voir que Wordfence nous a alertés sur tous les plugins obsolètes en tant que menaces moyennes. Les vulnérabilités ont été signalées correctement en tant que menaces critiques. D'autres plugins de sécurité ont trébuché sur les plugins et les thèmes les plus obscurs, ne nous alertant pas du tout de leurs graves vulnérabilités comme les scripts intersites dans un cas. Donc, Wordfence est venu ici.
Il n'est pas possible de corriger les vulnérabilités directement à partir du tableau de bord Wordfence, mais cela a du sens. La correction des vulnérabilités signifie essentiellement la mise à jour du plugin ou du thème, et cette fonctionnalité est déjà facilement disponible sur wp-admin. À moins que Wordfence n'ait une régression visuelle comme MalCare pour s'assurer que la mise à jour n'a pas cassé le site, il est inutile de répliquer une fonctionnalité existante.
Wordfence a également généré des erreurs pour iThemes et Backupbuddy. Cela indique leur tendance à signaler les faux positifs sur le site Web.
Sucuri a détecté toutes les vulnérabilités, sauf les plus obscures, sur nos sites Web de test. Vous pouvez cependant mettre à jour votre logiciel obsolète à partir du tableau de bord Sucuri, contrairement à Wordfence. Nous ne voyons pas vraiment l'utilité, car les mises à jour sont facilement possibles via wp-admin.
L'onglet post-hack répertorie les versions des plugins et thèmes installés, ainsi que leurs dernières versions. Sucuri met en garde contre l'utilisation de logiciels obsolètes, car ils peuvent entraîner des infections par des logiciels malveillants.
Fait intéressant, même le service de suppression des logiciels malveillants de Sucuri n'a pu détecter que certaines des vulnérabilités de notre site Web. Compte tenu de notre expérience avec le scanner, nous avons pensé que le service de suppression ferait un meilleur travail de détection des vulnérabilités. Cela ne semble pas être le cas.
Protection de connexion par force brute
Wordfence fait un excellent travail pour bloquer toutes les attaques par force brute. La fonction de protection de connexion de Sucuri ne semble pas fonctionner.
La protection contre la force brute est activée par défaut sur Wordfence. Cela fonctionne parfaitement à chaque fois, bloquant les utilisateurs avec trop de tentatives incorrectes, en fonction de la configuration que nous avons définie sur le tableau de bord.
Vous trouverez les paramètres dans la section pare-feu. Il y a beaucoup de choses à personnaliser dans le menu des options : définir des verrouillages pour les tentatives de connexion incorrectes ; combien de temps un utilisateur sera-t-il bloqué ; etc. Les options ne sont pas écrasantes et Wordfence explique chacune d'elles de manière convaincante et avec une excellente documentation.
Vous pouvez également définir des options de gestion des mots de passe ici, en vous assurant d'appliquer des mots de passe forts et en empêchant l'utilisation de mots de passe découverts lors d'une violation de données.
Il est possible de mettre des adresses IP sur liste blanche dans cette section, mais nous sommes ambivalents quant à leur efficacité. Les adresses IP des appareils sont dynamiques, donc avoir une liste d'autorisation ne garantit pas qu'un utilisateur légitime n'est pas bloqué.
La protection contre la force brute de Sucuri n'a pas fonctionné comme prévu. Nous n'avons pas connu de lock-out, ni de captcha pour nous assurer que nous étions des humains et non des robots. Nous n'avons pas reçu d'alertes, même si les attaques sont apparues dans les journaux d'audit. Dans l'ensemble, la fonctionnalité était un lavage.
Vous ne penseriez pas cela pour voir les options de configuration sur le tableau de bord. Il y avait tellement d'options, nous étions sous le choc après un point. Dans l'ensemble, nous préférerions moins d'options avec une fonctionnalité qui fonctionne, plutôt que l'inverse.
Journal d'activité
Sucuri a un journal d'audit, mais il peut être difficile à comprendre. Wordfence n'a pas de journal d'activité.
Sucuri dispose d'un journal d'audit qui suit toutes les actions de l'utilisateur et les changements de plugins et de thèmes. Les journaux afficheront toutes les modifications apportées aux fichiers et aux tables, ce qui est bien.
Les journaux contiennent des informations nécessaires telles que l'utilisateur, l'action, l'horodatage, etc. Mais dans certains cas, les entrées sont très difficiles à comprendre. Par exemple, pour tester les logs, nous avons installé un plugin de galerie. Les entrées résultantes dans le journal d'audit montrent 7 modifications différentes. D'après les entrées, il n'était pas clair quel était le changement, pourquoi il se produisait ou qui en était responsable. Par conséquent, le journal d'audit est pratiquement inutile pour quiconque ne parle pas le sucuri.
Nous avons été surpris de voir que Wordfence n'a pas de journal d'activité, étant donné qu'il s'agit de l'un des piliers de la sécurité des sites Web. Il existe une option pour activer le débogage dans la section Diagnostics du menu Outils, ce qui rend les journaux du pare-feu plus détaillés, mais ce n'est pas la même chose qu'un journal d'activité.
Après de nombreuses recherches, nous avons découvert un journal d'activité spécifiquement pour les événements Wordfence dans la section Analyse. Il s'agit cependant d'un journal brut, clairement destiné aux développeurs Wordfence uniquement.
Authentification à deux facteurs
Wordfence a une excellente fonctionnalité d'authentification à deux facteurs. Sucuri ne le supporte pas sur votre site Web.
L'authentification à deux facteurs Wordfence est prête à l'emploi, avec un ensemble d'options simples pour personnaliser l'expérience. Auparavant, il s'agissait d'une fonctionnalité premium, mais elle a depuis été ajoutée au plugin gratuit également.
Sucuri ne prend pas en charge l'authentification à deux facteurs pour votre site Web, mais vous pouvez sécuriser votre compte Sucuri avec.
Utilisation des ressources du serveur
Sucuri et Wordfence sont des porcs de ressources. Nous avons vu des blips indéniables dans l'utilisation du disque avec les analyses et à cause du pare-feu.
C'est un facteur où il n'y a rien à choisir entre Wordfence et Sucuri : ils ont tous les deux fait tout aussi mal.
Chaque action que ces plugins effectuent sur votre site Web consomme des ressources de serveur. Nos sites Web sont relativement petits et nous avons vu l'utilisation du disque doubler et parfois tripler lorsque nous configurions des analyses. Cela a eu un impact sur le temps de chargement, le temps de réponse et l'expérience globale sur le site Web.
Si vous avez un site Web WooCommerce ou un site Web à fort trafic, cet effet sera perceptible pour vos utilisateurs. Si vous êtes sur un hébergement partagé, votre hébergeur lèvera des drapeaux et vos dépenses d'hébergement peuvent potentiellement augmenter. En fait, de nombreux hébergeurs ont interdit Wordfence pour cette raison même.
Bien que les gens parlent rarement des ressources du serveur lorsqu'ils parlent de sécurité, c'est un facteur important. Personne ne devrait avoir à faire de compromis sur les performances ou la sécurité. Il est tout à fait possible d'optimiser les deux.
Pas avec Sucuri ou Wordfence, cependant. Pour cela, vous aurez besoin de MalCare.
Alertes
Sucuri et Wordfence sont connus pour leurs innombrables alertes et faux positifs.
Nous croyons fermement à alléger le fardeau de nos clients en ce qui concerne l'administration de WordPress. Les pare-feu doivent bloquer le trafic discrètement. La protection contre les bots devrait être prête à l'emploi. L'administrateur ne doit être alerté que s'il y a quelque chose qui nécessite son attention et son action. La sécurité WordPress doit être simple et sans stress, sinon à quoi sert un plugin de sécurité ?
Apparemment, ni Sucuri ni Wordfence ne souscrivent à cette école de pensée, car leurs alertes sont accablantes. Nos boîtes de réception ont été inondées en un rien de temps. Trop d'alertes est aussi mauvais que pas d'alertes, car en fin de compte, les deux conduisent à l'inaction lorsque cela est nécessaire.
Installation, configuration et convivialité
Wordfence est conçu pour être très simple pour un utilisateur novice. Sucuri ne l'est pas.
L'installation, la configuration et l'utilisation globale de Wordfence sont parmi les meilleures que nous ayons jamais vues. Il existe des procédures pas à pas dans chaque section principale, expliquant les paramètres et fonctionnalités les plus importants dans un langage simple et non menaçant.
Wordfence a d'excellentes recommandations pour la configuration. Leur documentation est accessible depuis les info-bulles du tableau de bord, ce qui la rend hautement contextuelle. Chaque fonctionnalité est clairement expliquée et les instructions pour la faire fonctionner sur votre site Web sont instantanément accessibles.
Cela peut sembler des choses étranges à signaler. Cependant, si vous avez déjà essayé Sucuri, vous vous rendez compte que la facilité de compréhension est une partie non négligeable de toute expérience utilisateur. En fait, si nous devions décrire Sucuri en un mot, ce mot serait déconcertant.
L'installation de Sucuri a été facile et tout s'est dégradé à partir de là. Pour utiliser l'analyseur et le pare-feu côté serveur, vous devez les configurer manuellement. Il y a tellement d'options que nous avons passé des heures à essayer de les comprendre, en plus de déterminer si elles avaient un impact réel sur la sécurité.
Dans l'ensemble, ces deux plugins sont aux extrémités opposées du spectre.
Wordfence : Suppléments
Wordfence est strictement sécuritaire. Il n'y a pas une seule fonctionnalité, option ou ligne qui soit même adjacente à la sécurité, comme les mises à jour ou les options de gestion des utilisateurs. Malgré cela, il y a plusieurs extras.
Il y avait une section de notifications pour les mises à jour du site, qui nous montrait quels plugins et thèmes devaient être mis à jour en priorité car ils étaient des menaces critiques ou moyennes.
Wordfence dispose d'un tableau de bord externe pour gérer plusieurs sites sur le même compte appelé Wordfence Central. Il comporte également une section d'accompagnement sur le wp-admin de chaque site connecté, probablement pour que vous ayez une vue d'ensemble de chaque site, quel que soit le site sur lequel vous travaillez actuellement. À notre avis, cela est d'une utilité limitée et ne fonctionnera pas pour les agences avec des centaines de sites gérés.
Ensuite, nous avons examiné la section Outils. Il y a une section pour le trafic en direct, qui semblait reproduire Google Analytics, mais c'était plus que cela. Ces journaux classent le trafic avec une clé pour voir quel type de trafic le site Web reçoit : humain, bot, avertissement, bloqué.
Il existe une option de recherche Whois, au cas où vous voudriez voir qui est l'attaquant sans quitter wp-admin. Encore une fois, il s'agit au mieux d'une caractéristique accessoire.
Nous avons pensé que Diagnostics était vraiment intéressant, car il contenait beaucoup d'informations sur le site Web. Tout y est très granulaire, des propriétaires de processus aux tables de base de données. Les développeurs trouveront ces informations très utiles, car elles ressemblent à une spécification du site Web au même endroit.
Sucuri : Extras
Sucuri a beaucoup de fioritures et de furbelows supplémentaires dans son plugin. Que l'un ou l'autre ait un impact sur la sécurité est une tout autre affaire.
La première chose que vous verrez lors de l'installation est la boîte d'information sur l'intégrité de WordPress. C'est vraiment une version sophistiquée d'un moniteur de changement de fichier de base WordPress. De toute évidence, il est quelque peu utile d'avoir un moniteur de changement de fichier pour les fichiers principaux de WordPress, mais l'efficacité n'est pas aussi efficace qu'on le prétend. Les pirates peuvent modifier et modifieront les métadonnées des fichiers, comme les horodatages de mise à jour, pour contourner ces mesures. Alors oui utile, mais pas tant que ça.
Il existe un utilitaire de comparaison d'intégrité pour comparer les fichiers principaux du site Web avec l'installation WordPress d'origine. C'est certainement plus facile que d'utiliser un logiciel en ligne, si vous nettoyez manuellement les logiciels malveillants, ce que nous ne recommandons pas du tout.
Sucuri possède de nombreuses fonctionnalités de durcissement WordPress. Le blocage de PHP dans le dossier de téléchargement protège contre une catégorie de hacks, et nous aimons la possibilité de changer rapidement les sels WordPress à partir du tableau de bord. Cela aurait pu être mieux fait cependant. Si la fonctionnalité était sur le tableau de bord externe de Sucuri plutôt que sur wp-admin, cela aurait été plus sûr. Imaginez qu'un pirate accède à wp-admin, les sels seraient facilement compromis car ils sont en clair.
Certaines des autres options sont d'une utilité limitée, comme la vérification de la version de WordPress, la suppression de la version de WordPress, la prévention des fuites d'informations et la vérification du compte administrateur par défaut. Ils n'ont aucun sens du point de vue de la sécurité.
D'autres caractéristiques de durcissement étaient déconcertantes. Par exemple, si nous devions désactiver l'éditeur de plugins et de thèmes, comment pourrions-nous mettre à jour les plugins et les thèmes avec des vulnérabilités ? Contre-productif pour le moins.
The password management feature held some promise, but the warning would terrify all but the most brave: “Select users from the list in order to change their passwords, terminate their sessions and email them a password reset link. Please be aware that the plugin will change the passwords before sending the emails, meaning that if your web server is unable to send emails, your users will be locked out of the site.”
What's missing from Wordfence and Sucuri
Sucuri doesn't have a good malware scanner. The brute force login protection doesn't work, and it takes up too much of server resources. There is no bot protection either, and you would need a separate plugin for two-factor authentication.
Wordfence misses out on bot protection and an activity log. The scanner is above average; definitely a cut above the other security plugins available apart from MalCare. Apart from these things, it is an exceptional security plugin.
Wordfence vs Sucuri: Pricing
Sucuri's plans start at $199.99 a year per site, which is a great deal for unlimited malware removal. The firewall works well, but the scanner is a let down. Wordfence premium plans are at $99 for the year per site, with attractive bulk pricing options. However, our opinion is that the free version is almost as good as the premium version.
Sucuri is a winner when it comes to the unlimited malware removal feature. The support team was great, with a quick turnaround time, helpful response and a proactive post-hack checklist. But the malware scanner was a complete failure, and that's not a small flaw to overlook.
The free version of Wordfence is strong enough to stand on its own. The premium version is not all that different, the efficiency percentages on the dashboard notwithstanding. The real expense to consider with Wordfence is the cleaning service at $490 a pop, over and above the site license. If you are considering Wordfence seriously, read the fine print. Although they say unlimited pages, there are additional charges for sites above 10 GB. They guarantee the service for a year, but there are terms and conditions. None of this is unreasonable, but it is important to be aware before taking the plunge.
Better alternative to Wordfence and Sucuri: MalCare
The best security plugin for your website isn't Wordfence or Sucuri, it is MalCare. It has an excellent scanner that detects malware in all parts of your website: core WordPress, files and the database. Additionally, the auto-clean feature removes all malware surgically, without breaking your website.
MalCare has an advanced firewall that proactively blocks bad traffic from reaching your website. The brute force protection makes sure that your login page is safe from malicious attacks, and the bot protection goes even further to make sure only bad bots are kept away from your website.
There is a formidable support team of WordPress security experts to help with any issues that come up. Any malware removal cleanups necessary beyond the auto-clean are covered with the site license.
Thus, in a feature-to-feature comparison, MalCare undoubtedly comes out on top. MalCare's $99 plan is vastly better than Sucuri's $199.99 Basic Platform plan, and includes unlimited malware removal, which is over and above Wordfence's $99 plan.
Conclusion
When choosing a WordPress security plugin for your website, make sure to evaluate the scanner, cleaner and firewall. All the other features can be implemented with other plugins, but these 3 features form the essence of a good plugin.
At MalCare, our goal is to make security stress-free and painless, so that you can focus on the more important aspects of your website. Leave the security to us, as you grow your business.
We hope this comparison was helpful, as we have presented all our findings transparently. Have further questions? Drop us a line. Nous aimerions avoir de vos nouvelles.