Keamanan iThemes Vs Sucuri: Plugin Keamanan Mana yang Lebih Baik?

Diterbitkan: 2023-04-19

Sekilas, Keamanan iThemes terlihat seperti plugin keamanan yang bagus dan terjangkau untuk situs web WordPress Anda. Terutama jika Anda menganggap bahwa Anda dapat melindungi situs web tanpa batas hanya dengan $199.

Sucuri, di sisi lain, adalah salah satu plugin keamanan WordPress paling populer yang tersedia. Itu mengemas pukulan dengan pemindai dan firewall, dan menawarkan penghapusan malware juga. Jadi sudah di head-to-head ini, itu telah mencuri pawai di iThemes. Mengapa? Karena iThemes tidak memiliki fitur tersebut.

iThemes tersingkir dari balapan sama sekali. Dalam kontes ini, Sucuri tidak diragukan lagi adalah pemenangnya. Karena itu, kami tetap tidak akan mempercayai Sucuri untuk melindungi situs web kami. Plugin keamanan mana yang dijamin melindungi situs web WordPress dari peretas? Jawabannya tegas: MalCare.

Ringkasan perbandingan iThemes Security vs Sucuri

Keamanan iThemes adalah plasebo dari plugin keamanan WordPress. Anda mengira situs web Anda aman dari peretas, tetapi sebenarnya yang melindunginya hanyalah angan-angan dan getaran positif. Sucuri tidak diragukan lagi lebih baik, tetapi lebih baik adalah istilah yang relatif. Ini bukan plugin keamanan yang bagus.

Perbandingan Keamanan iThemes vs Sucuri

Keamanan iThemes singkatnya

Intinya adalah iThemes tidak melindungi situs web Anda. Kami sangat menyarankan untuk melewatkan iThemes sama sekali jika Anda mempertimbangkannya untuk keamanan WordPress. Dan jika Anda sudah menginstalnya, harap segera scan website Anda. Situs web Anda tidak memiliki keamanan.

Kesan pertama kami terhadap iThemes sebenarnya baik. Situs web berbicara tentang permainan yang hebat, dan menanamkan kepercayaan karena cara resmi mereka berbicara tentang keamanan WordPress. Satu-satunya kelemahan yang kami lihat adalah Anda tidak dapat menggunakan plugin untuk membersihkan malware. Itu tidak ideal, tetapi masih bisa berfungsi sebagai pemindai.

Atau begitulah yang kami pikirkan.

fitur situs web ithemes

Pemindai iThemes tidak mendeteksi malware. Sama sekali. Kami akan menebak bahwa itu bahkan tidak memindai file dan data, karena pemindaian selesai dalam hitungan detik. Apa yang dilakukan 'pemindai' iThemes adalah memeriksa Laporan Transparansi Google untuk melihat apakah situs web Anda ada dalam daftar itu. Kami tidak memerlukan plugin keamanan untuk melakukan itu. Kami kembali untuk memeriksa situs web, dan tercengang saat mengetahui bahwa fitur tersebut tidak secara eksplisit mengatakan pindai malware. Dikatakan bahwa deteksi malware adalah salah satu langkah kunci dalam keamanan WordPress. Itu doublespeak, jika kita pernah melihatnya.

Kami tergoda untuk menghapus tes iThemes sebagai tidak berguna, tetapi melanjutkan demi keadilan.

Plugin ini memang memiliki fitur autentikasi dua faktor yang solid, yang dapat Anda aktifkan di halaman login Anda. Ini juga memiliki beberapa fitur pengerasan yang layak seperti memblokir eksekusi PHP di folder. Karena itu, perlindungan login brute force hanya berfungsi beberapa saat. Tanda hitam lain pada plugin.

Kesimpulan kami dari menggunakan iThemes adalah bahwa satu-satunya fitur dari nilai keamanan apa pun adalah otentikasi dua faktor dan implementasi reCAPTCHA yang mudah di wp-login. Kedua fitur ini tidak menjamin tagihan $199, karena ada plugin keamanan yang lebih baik yang akan menawarkan fitur yang sama, selain beberapa keamanan yang sebenarnya.

Menguji iThemes adalah pengalaman yang mengerikan karena kami tidak dapat membayangkan jumlah situs web yang percaya bahwa mereka dilindungi oleh keamanan yang tidak ada. Faktanya, pengguna iThemes, Anda harus memindai situs web Anda sekarang juga.

Singkatnya, Sucuri

Sucuri memiliki firewall yang layak dan layanan penghapus malware yang hebat, tetapi gagal secara spektakuler sebagai pemindai malware. Jika Anda tidak tahu bahwa situs web Anda memiliki malware, tidak ada cara untuk menghilangkannya. Ini adalah bagian plugin keamanan yang tidak dapat dinegosiasikan.

Saat kami mulai menguji Sucuri, kami berharap banyak darinya. Ini adalah salah satu plugin keamanan paling populer untuk WordPress, dan kami terkejut melihat pemindai gagal mendeteksi malware apa pun di situs pengujian kami yang diretas. Kami akan membahas lebih detail di bagian selanjutnya, tetapi ini menentukan nada untuk seluruh proses pengujian kami.

Plugin keamanan Sucuri

Selain kegagalan tersebut, pemindaian itu sendiri membutuhkan waktu lama untuk diselesaikan dan menghabiskan sumber daya server kami untuk melakukannya. Sucuri sendiri tidak menganjurkan terlalu banyak scan karena berdampak pada performa website. Ini adalah trade-off yang mengerikan antara kinerja dan keamanan, dan seharusnya tidak demikian.

Pindah ke layanan penghapusan firewall dan malware, Sucuri melakukannya dengan baik. Firewall sangat sulit untuk dikonfigurasi, dan kami membutuhkan banyak waktu untuk melakukannya. Tapi itu memblokir serangan yang kami coba, dan kami tidak dapat mengeksploitasi kerentanan apa pun.

Layanan penghapusan malware adalah puncak dari pengalaman pengujian kami. Meskipun pemindai membuat situs web kami yang diretas bersih, kami tahu itu penuh dengan malware. Pertama-tama, kami menempatkan malware di sana, dan kedua pemindaian MalCare mengonfirmasi diagnosis ini. Tim Sucuri menghapus setiap jejak malware dari situs kami, dan hasilnya sangat bersih. Fantastis! Ceri pada kue ini adalah Anda dapat memiliki permintaan penghapusan malware tanpa batas sebagai bagian dari rencana Anda, yang sangat bagus.

Selain firewall, pengaturannya sangat tidak jelas. Kami menemukan diri kami bingung dengan banyak jargon yang digunakan, dan itu dengan keahlian dalam keamanan WordPress. Antarmukanya tidak ramah pengguna, dan kami yakin banyak orang akan menganggapnya sebagai hal yang mengkhawatirkan. Poin minus untuk Sucuri di sana.

Secara keseluruhan, menurut kami Sucuri bukanlah solusi keamanan terbaik untuk situs web WordPress. Kehormatan itu diberikan kepada MalCare, karena pemindai yang berfungsi setiap saat. MalCare juga mendapatkan poin bonus yang tidak membuat kita merasa tumpul.

Bagaimana memilih plugin keamanan yang tepat untuk situs web WordPress Anda

Keamanan untuk situs web WordPress Anda tidak dapat dinegosiasikan. Malware dapat menyebabkan kerugian yang tak terhitung jumlahnya untuk bisnis: kehilangan pendapatan, tuntutan hukum, biaya pembersihan, dampak pada branding, hilangnya lalu lintas organik, dan banyak lagi. Berinvestasi pada plugin yang tepat akan menyelamatkan Anda dari peretas dan malware, serta masalah yang ditimbulkan oleh malware.

Pertanyaannya adalah: bagaimana Anda memilih plugin keamanan yang efektif untuk situs web Anda?

Saat kami menyiapkan pengujian, ada beberapa faktor yang perlu dipertimbangkan: keamanan, tentu saja, tetapi juga kemudahan penggunaan dan nilai uang juga. Namun, kami segera menyadari bahwa semua faktor selain keamanan menjadi tidak berarti, karena seberapa efektif sebuah plugin dalam keamanan harus menjadi satu-satunya pertimbangan.

Jadi, inilah faktor yang perlu dipertimbangkan saat memilih plugin keamanan.

  • Fitur keamanan penting
    • Pemindaian malware
    • Pembersihan malware
    • Tembok api
  • Fitur keamanan yang bagus untuk dimiliki
    • Deteksi kerentanan
    • Perlindungan login paksa
    • Log aktivitas
    • Otentikasi dua faktor
  • Potensi masalah
    • Dampak pada sumber daya server

Seperti yang Anda lihat dari daftar, hanya 3 faktor yang sangat penting. MalCare ace di semua 3: memindai dan membersihkan malware yang dijamin akan dilewatkan oleh plugin lain, dan melindungi situs web Anda dari lalu lintas jahat dengan firewall yang kuat. Selain itu, MalCare melakukannya lebih baik daripada plugin keamanan lain yang tersedia saat ini.

iThemes Security vs Sucuri: Perbandingan fitur head-to-head

Cara kami menyusun perbandingan ini adalah dengan mengambil fitur yang paling penting terlebih dahulu, lalu mendiskusikan pengamatan lain yang muncul selama pengujian. Cukup sering, kami melihat fitur dan pengaturan yang tidak melakukan apa-apa (kami berbicara tentang iThemes) namun menggambarkan ilusi keamanan yang rumit.

Memotong sekam untuk mendapatkan gandum tidaklah mudah, tetapi kami akan menyajikan semua data kami sejelas dan seadil mungkin.

Jika Anda ingin melewati teardown ini, kami sarankan untuk menginstal MalCare.

Pemindaian malware

Pemindai Sucuri tidak mendeteksi malware apa pun di situs web kami. Dilihat dari seberapa cepat pemindaian selesai, iThemes bahkan tidak memindai situs web kami dari malware sama sekali.

Versi gratis dan berbayar Sucuri sama-sama memiliki pemindai, jadi kami tertarik untuk melihat apakah kinerjanya berbeda. Versi gratis ini diberdayakan oleh Sucuri SiteCheck, sebuah utilitas online yang memindai bagian situs web Anda yang terlihat secara publik untuk malware. Tentu saja, ini memiliki batasan, jadi chit bersih dari SiteCheck bukanlah jaminan situs web bebas malware.

Hasil pemeriksaan situs Sucuri

Paket berbayar mencakup pemindai tingkat server yang harus Anda instal ke server web Anda. Anda dapat melakukannya secara manual, atau memasukkan detail FTP Anda ke dasbor Sucuri untuk menginstalnya secara otomatis. Itu adalah proses yang relatif tidak menyakitkan.

Pemindai diatur untuk berjalan setiap hari, tetapi Anda dapat memindai sesuai permintaan—sampai batas tertentu. Permintaan pemindaian tambahan dimasukkan ke dalam antrean dan kemudian dijalankan. Sucuri memperingatkan agar tidak menggunakan terlalu banyak pemindaian karena pemindaian menghabiskan sumber daya server.

Itu membuat kami terdiam, karena kami kemudian menyadari bahwa Sucuri menggunakan sumber daya situs web kami untuk menjalankan pemindaian. Dengan situs pengujian kami, pengurasan tidak terlalu parah karena situsnya kecil dan tidak ada lalu lintas eksternal. Namun, kami benar-benar melihat blip dalam penggunaan CPU kami. Lebih lanjut tentang itu di bagian selanjutnya.

Versi pro juga tidak mendeteksi malware apa pun di situs web kami yang diretas. Ini mengejutkan, karena hasil pemindaian MalCare kami dengan jelas menunjukkan malware tersebut. Jadi kami mengajukan permintaan penghapusan manual. Setelah permintaan ditangani oleh tim Sucuri, situs tersebut muncul bersih di MalCare. Tapi saat itulah pemindai Sucuri menandai malware di situs web. Itu sangat aneh.

pemindai sisi server sucuri

Untungnya, tidak ada teka-teki dengan pemindai iThemes. Itu tidak memindai malware, murni dan sederhana. Pemindai iThemes hanya memeriksa apakah situs web Anda ada di daftar hitam Google. Itu dia. Kami tidak terkejut melihat bahwa situs kami sebenarnya tidak ada dalam daftar hitam, mengingat mereka tidak diindeks.

pemindai tema

Pembersihan malware

Pembersihan malware tidak ada dalam daftar fitur iThemes, jadi jelas tidak dapat membersihkan malware. Sucuri memiliki layanan penghapusan malware tanpa batas sebagai bagian dari paket berbayar mereka. Bergantung pada paket Anda, situs web Anda akan dibersihkan antara 6 hingga 30 jam.

Meskipun hasil pemindaian Sucuri mengatakan bahwa situs web kami tidak mengandung malware, kami jelas tahu bukan itu masalahnya. Ada malware di mana-mana: di file dan di database. Kami juga memiliki banyak pintu belakang di sana untuk ukuran yang baik. Pemindai MalCare mengonfirmasi bahwa situs pengujian kami memang penuh dengan malware.

Jadi kami mengajukan permintaan penghapusan malware dengan Sucuri, yang menunjukkan dengan jelas bahwa kami mencurigai adanya malware di situs tersebut. Untuk mengajukan permintaan, Anda perlu mengisi formulir dan memberikan detail FTP untuk pembersihan. Dan kemudian menunggu hasilnya.

Catatan tambahan: Ada dropdown yang menarik di formulir permintaan penghapusan yang mencantumkan gejala potensial yang mungkin Anda lihat. Juga, untuk menghibur kami, Anda harus menunjukkan tingkat kemahiran teknis Anda, jadi kami memilih: “ Tidak ada kemahiran, tolong jelaskan semuanya dengan jelas.

Penghargaan untuk Sucuri, tim mereka menghapus semua malware dari situs kami. Juga, meskipun persyaratan rencana kami mengatakan kami dapat mengharapkan resolusi dalam 30 jam, kami mendengar kembali dalam waktu kurang dari 10. Jadi itu adalah jempol besar untuk layanan penghapusan malware Sucuri.

penghapusan sucuri malware

Kami mengonfirmasi dengan MalCare bahwa semua malware telah dihapus, dan kemudian terkejut melihat bahwa pemindai Sucuri sekarang menandai situs tersebut sebagai terinfeksi—setelah tim mereka membersihkannya. Itu aneh.

Di sisi lain, iThemes tidak dapat membersihkan malware, jadi tidak ada yang perlu diuji. Untungnya, mereka tidak mengklaim melakukannya di situs web mereka.

Terus terang, pembersihan malware adalah bagian terberat dari keamanan WordPress, dan seringkali merupakan aspek yang paling mahal. Paket berbayar Sucuri memiliki pembersihan tak terbatas, yang hebat karena jika kerentanan tidak ditangani, malware dapat muncul kembali. Jika kami menemukan kesalahan dengan layanan kebersihan, Anda harus menunggu beberapa saat untuk mendapatkan penyelesaian. Dalam kasus malware, kami telah melihat infeksi tumbuh secara eksponensial dalam waktu singkat, jadi ini memprihatinkan.

Dengan MalCare, kami dapat menggunakan fungsi pembersihan otomatis untuk menghapus malware dalam hitungan menit. Sementara kami menunggu Sucuri menghubungi kami kembali, kami menyadari nilai besar yang dimiliki pembersihan cepat untuk situs web penting bisnis.

Tembok api

Firewall Sucuri berfungsi, dan menahan serangan kami yang paling umum. iThemes tidak memiliki firewall.

Firewall adalah komponen penting dalam keamanan situs web, karena firewall mencegah lalu lintas berbahaya dan mencegah eksploitasi. Pada poin artikel ini, Anda tidak akan terkejut mendengar bahwa iThemes tidak memiliki firewall. Mengapa itu? Itu gagal dalam segala hal sebagai plugin keamanan.

Sucuri, sebaliknya, melindungi situs web kami dari serangan wordpress. Kami mengujinya terhadap kerentanan seperti unggahan file tak terbatas, XSS, dan injeksi SQL. Firewall memblokir semua upaya kami untuk mengeksploitasi kerentanan ini dan mengunggah malware ke situs web. Kami tidak dapat menguji serangan yang lebih kompleks, dalam semua transparansi.

log firewall sucuri

Oleh karena itu, firewall Sucuri berfungsi, tetapi kami juga harus menyebutkan betapa frustrasinya mengonfigurasi firewall. Cara kerja firewall adalah bertindak seperti lapisan antara lalu lintas masuk dan situs web Anda. Oleh karena itu, semua lalu lintas pertama kali mengenai firewall Sucuri dan kemudian dialihkan ke situs web Anda.

Seperti yang dapat Anda bayangkan, ini membutuhkan beberapa konfigurasi. Domain yang Anda gunakan untuk situs web Anda harus mengarah ke Sucuri terlebih dahulu, lalu lintas dianalisis, lalu lalu lintas yang diizinkan diteruskan ke situs web Anda. Itu bagus, tetapi menyusahkan untuk menyiapkan firewall jika Anda tidak memiliki keahlian dengan server nama dan konfigurasi DNS.

konfigurasi firewall sucuri

Secara keseluruhan, jauh lebih baik untuk memiliki solusi keamanan yang bekerja di luar kotak. Tidak ada konfigurasi yang rumit untuk melindungi situs web kami. Anda tahu, seperti yang Anda dapatkan dengan MalCare.

Deteksi kerentanan

Sucuri mendeteksi sebagian besar kerentanan di situs web kami, meskipun tidak semuanya. iThemes tidak menemukannya.

Setelah kami mengaktifkan pemindai sisi server, Sucuri mendeteksi bahwa kami memasang beberapa plugin rentan di situs web. Itu tidak mendeteksi semuanya, dan rekomendasinya hanya untuk memperbaruinya.

Selain itu, ada tampilan post-hack di wp-admin yang mencantumkan plugin dan tema yang terinstal saat ini, versi terinstalnya, dan versi terbaru yang tersedia. Dalam uraian bagian ini, Sucuri menyebutkan bahwa kerentanan terkait dengan keamanan situs web, dan merupakan praktik yang baik untuk selalu memperbarui semuanya. Tidak mungkin ada orang yang tiba di sana untuk melihat plugin secara rutin, jadi kami tidak yakin penempatannya berguna.

Sebagai bagian dari permintaan penghapusan malware, Sucuri juga mengirimkan pesan kepada kami untuk merekomendasikan agar kami menerapkan langkah-langkah pengerasan dan memperbarui (2 dari 3) plugin kami yang rentan. Ini adalah bagian dari daftar periksa pasca-peretasan mereka.

iThemes tidak menandai kerentanan. Namun itu memiliki penghitung yang sangat tidak berguna di dasbor, yang menunjukkan berapa banyak pembaruan yang telah dilakukan sejak plugin diinstal. Bagaimana informasi ini dapat bermanfaat, kami tidak dapat memahaminya.

Perlindungan login paksa

Sucuri seharusnya memblokir serangan brute force dan mengingatkan Anda, tetapi tidak melakukan keduanya. iThemes terkadang melakukannya, terkadang tidak. Sulit untuk mengatakan mana yang lebih buruk.

iThemes mencatat setiap upaya login yang salah sebagai serangan brute force, yang sejujurnya menakutkan bagi pengguna untuk melihatnya. Dalam satu kasus, kami benar-benar lupa kata sandinya.

Ketika kami mencoba memaksa paksa halaman login, kami melihat hasil yang tidak rata. iThemes memblokir upaya di 1 situs tetapi tidak di situs lainnya. Kami mencoba mencari tahu apa yang menyebabkan perbedaan ini, tetapi satu-satunya perbedaan adalah malware di situs web. Karena malware biasanya merupakan konsekuensi dari serangan brute force yang berhasil, menurut kami bukan itu alasannya. Kemungkinan besar, ada bug yang membuat fitur bekerja secara sporadis. Akibatnya, itu tidak ada gunanya.

Sucuri mengulurkan harapan untuk kami, karena ada serangkaian opsi granular untuk serangan brute force. Anda dapat mengatur jumlah upaya gagal yang dihitung sebagai serangan brute force. Kami menyetelnya ke 30 upaya per jam yang sangat sederhana, meskipun serangan masuk biasanya beberapa kali 100 upaya per menit.

sucuri kekerasan

Setelah melihat semua pengaturan untuk penguncian, kami sedikit khawatir akan dikunci dari situs. Kami telah menonaktifkan MalCare, sehingga perlindungan masuk MalCare tidak memblokir upaya tersebut. Namun, tidak ada yang terjadi. Kami mencoba 40+ login yang salah dalam 3 menit, namun Sucuri tidak memberikan peringatan. Memeriksa log audit dan autentikasi yang gagal muncul. Tapi, tidak ada peringatan. Tidak ada penguncian. Tidak ada apa-apa.

Log aktivitas

iThemes memiliki fitur log aktivitas yang tidak lengkap. Sucuri punya yang bagus, tapi bisa jadi tidak jelas.

Sucuri memiliki fitur yang disebut Log Audit, yang melacak semua tindakan dari pengguna, plugin, dan tema. Fitur berfungsi seperti yang diharapkan, namun salah satu pengaturan membuat kami berhenti. Anda memerlukan kunci API untuk "mencegah penyerang menghapus log". Ini pada dasarnya memberi wewenang kepada Sucuri untuk mengumpulkan dan menyimpan data tentang situs web di luar situs, yang baik-baik saja, tetapi bahasa yang mereka gunakan sangat mengejutkan. Lebih lanjut tentang itu di bagian kegunaan.

Meskipun log berfungsi seperti, yah, mencatat, dan mengumpulkan stempel waktu, pengguna, dan tindakan, mereka bisa sangat tidak jelas. Misalnya, kami memasang plugin baru yang muncul saat plugin diaktifkan. Sejauh ini bagus. Dan ada 7 entri lagi di log yang menunjukkan pengaruh penginstalan. Tetapi ada sedikit penjelasan tentang arti entri-entri ini. Apakah ini file atau folder yang diubah, mungkin? Tidak, kami kemudian menyadari bahwa plugin khusus ini, yang merupakan plugin galeri, mengubah template untuk postingan. Masuk akal, tapi wahyu itu tidak datang dari Sucuri.

log audit sucuri

Log aktivitas adalah bagian penting dari perangkat keamanan situs web Anda. Peretas memanfaatkan pencatatan yang tidak memadai untuk menyerang situs, jadi Anda harus mencari log yang andal yang dapat Anda percayai untuk membagikan informasi yang benar tentang situs web Anda.

Pada dasarnya, tidak seperti yang dimiliki iThemes. Log aktivitas di sini memiliki beberapa informasi berguna, seperti aktivitas pengguna, manajemen versi, pemindaian situs, dan serangan brute force. Tidak ada apa-apa tentang plugin atau tema. Ada fitur terpisah yang juga mengirimkan email laporan perubahan file kepada Anda setiap hari. Secara keseluruhan, log tidak memadai karena tidak memberikan gambaran yang akurat tentang situs web Anda.

log tema

Otentikasi dua faktor

iThemes memiliki fitur otentikasi dua faktor hebat yang berfungsi di luar kotak. Sucuri tidak.

Setelah membuang iThemes dalam artikel ini, dan artikel serupa lainnya dalam seri ini, dengan senang hati kami laporkan bahwa ini adalah satu-satunya fitur keamanan yang benar-benar berfungsi di iThemes—dan berfungsi cukup baik.

Fitur autentikasi dua faktor di iThemes sangat kuat. Ini memiliki banyak penyesuaian, dan bekerja di luar kotak tanpa kerumitan. Plugin ini juga membantu menerapkan kata sandi yang kuat, yang sangat kami anjurkan.

itu tema 2fa

Satu-satunya perhatian kami di sini adalah bahwa versi pro iThemes memiliki banyak pengaturan yang menghapus token login untuk kemudahan penggunaan: login tanpa kata sandi, perangkat tepercaya, tautan ajaib, dan sebagainya. Meskipun ini berguna untuk memuluskan proses masuk, mereka mengalahkan tujuan autentikasi dua faktor.

Kami mencari autentikasi dua faktor saat menguji Sucuri. Kami menemukannya ada di dasbor Sucuri. Namun, kami terhibur sekaligus bingung dengan kesadaran bahwa autentikasi dua faktor tersedia untuk akun Sucuri Anda, bukan untuk situs web WordPress Anda.

sucuri 2fa
Mungkin menyenangkan memiliki ini untuk situs web kita juga, bukan begitu?

Penggunaan sumber daya server

iThemes tidak akan menguras sumber daya server Anda sama sekali, karena tidak melakukan apa-apa. Sucuri akan melumpuhkan kinerja situs web Anda dengan pemindaiannya.

Menariknya, orang tidak sering bertanya kepada kami tentang sumber daya server dalam konteks keamanan. Tapi idealnya, Anda ingin situs web Anda terlindungi dan tidak lambat merayapi prosesnya. Pemindai Sucuri akan melakukan itu ke situs Anda.  

Pemindaian Sucuri mengklaim menggunakan sumber daya server situs web secara langsung. Faktanya, mereka tampaknya tidak menganjurkan pemindaian yang sering karena alasan itu. Terus terang, ini mengerikan. Mengapa seseorang harus memilih antara kinerja dan tagihan server yang masuk akal di satu sisi dan keamanan di sisi lain? Padahal mereka tidak bercanda. Terjadi lonjakan besar dalam sumber daya server segera setelah kami menginstal Sucuri, lalu menjalankan pemindaian kedua. Jika di situs kecil perbedaannya begitu mencolok, di situs besar akan jauh lebih banyak.

penggunaan cpu sucuri

Selain itu, di Pengaturan Umum di dasbor, ada pengaturan untuk Penyimpanan Data yang menunjukkan bahwa Sucuri menyimpan banyak sekali data (kebanyakan dari tampilannya) di situs web itu sendiri. Ini mungkin mengapa kunci API diperlukan, karena semuanya ada di folder unggahan secara default, yang merupakan folder yang dapat diakses publik. Ada opsi untuk mengubah penyimpanan ke folder yang tidak dapat diakses publik, tetapi itu seharusnya menjadi default untuk memulai.

iThemes tidak akan menguras sumber daya server Anda. Bagaimana bisa, ketika tidak melakukan apa-apa?

Lansiran

iThemes tidak mengingatkan Anda untuk apa pun. Sucuri melakukannya, tetapi Anda harus berhati-hati tentang peringatan apa yang ingin Anda terima. Kotak masuk Anda bisa terisi dalam beberapa jam.

Sucuri memungkinkan Anda mengatur peringatan untuk dikirim ke orang tertentu, menyesuaikan format peringatan, dan banyak lagi. Anda juga dapat menambahkan rentang alamat IP sehingga alamat tersebut tidak ditandai untuk peringatan. Berhati-hatilah untuk deskripsi yang berisi jargon. Apa itu ' perutean antar domain tanpa kelas '? Kami tidak ingin tahu, hanya ingin melindungi situs web.

Dilihat dari pengaturan lansiran terperinci, Sucuri tampaknya sangat sadar bahwa mereka berpotensi mengirimkan terlalu banyak lansiran. Ada pengaturan untuk mengonfigurasi peringatan maksimal yang diterima dalam satu jam, katakanlah hingga 5 email. Masalahnya adalah: misalkan 5 yang pertama adalah positif palsu, dan yang ke-6 bukan? Ada penafian di sana — tetapi sekali lagi — lebih baik memiliki informasi aktual vs fitur yang tidak berguna. Kesimpulan kami di sini adalah bahwa admin mana pun tidak akan melihat hutan untuk pepohonan. Ada terlalu banyak kebisingan.

peringatan sucuri
Ini bukan daftar lengkap, kebetulan. Masih banyak lagi.

Anehnya, kami masih meninjau iThemes, tidak menyerah begitu saja. iThemes mengirimi kami laporan pemberitahuan perubahan file, cadangan basis data, dan konfirmasi lain dari pengaturan kami. Kami juga berlangganan intisari keamanan harian tentang situs web kami, dan laporan kerentanan seminggu sekali, mungkin agar kami dapat memeriksanya di situs web kami. Sudah cukup buruk dengan satu situs, dengan lebih banyak situs itu bisa benar-benar lepas kendali.

intisari keamanan tema

Instalasi, konfigurasi, dan kegunaan

Instalasi iThemes sangat sulit, karena opsi konfigurasi yang membingungkan. Sucuri cukup mudah, tetapi opsi konfigurasi di plugin sangat menakutkan.

iThemes adalah plugin pertama yang kami uji, jadi awalnya tampak mudah. Itu juga mengatur bilah untuk pengaturan yang paling tidak berguna. Anda harus melalui konfigurasi untuk dapat membuat dasbor keamanan. Kami melewati setiap pengaturan, tetapi tidak satupun dari mereka memiliki dampak nyata pada keamanan, jadi kami mengaturnya secara acak dan membiarkannya begitu saja.

pengaturan tema

Sucuri diinstal tanpa masalah, dan sebagian besar plugin diatur sendiri. Kami memang harus membuat akun dengan Sucuri untuk mengakses fitur berbayar. Juga, perlu diperhatikan bahwa untuk memasang pemindai sisi server, Anda perlu menggunakan dasbor eksternal Sucuri. Ini tidak sulit dilakukan jika Anda memiliki detail FTP yang tersedia, meskipun kami tidak melihat banyak gunanya karena tidak mendeteksi malware apa pun.

Dasbor iThemes di wp-admin Anda berisik. Tidak ada informasi terkait keamanan yang relevan.

Dasbor dan pengaturan Sucuri sangat rumit. Kami menghabiskan waktu berjam-jam untuk mencari tahu apa yang mereka maksud dengan istilah teknis yang mereka gunakan. Dalam beberapa kasus, plugin memberi tahu Anda pengaturan yang disarankan, sehingga pengguna pada dasarnya bekerja dengan kepercayaan buta. Satu-satunya masalah adalah Sucuri tidak menginspirasi keyakinan buta, karena pemindai malware mereka tidak berfungsi!

Kami berharap plugin ini lebih mudah dipahami. Ini terlihat sangat rumit dan tampaknya melakukan banyak hal, tetapi kami tidak dapat memastikan karena beberapa hal yang kami tahu penting, seperti perlindungan kekerasan, tampaknya tidak berfungsi.

Firewall dan pemindai sisi server harus diaktifkan secara terpisah. Kami membutuhkan waktu lebih dari seminggu untuk mengetahui plugin ini dengan 3 situs web. Kami ngeri memikirkan apa yang akan terjadi pada seseorang yang menangani lebih banyak. Sangat membosankan untuk mengaturnya.

Kami ingin menegaskan kembali bahwa pengaturannya sulit dipahami oleh pengguna non-teknis. Kami tidak tahu ada sesuatu yang disebut perangkat lunak analisis log. Kami juga melihat perpesanan yang menarik untuk proxy terbalik, di mana Sucuri memberi tahu kami untuk tidak khawatir tentang opsi ini kecuali kami tahu apa itu. Terima kasih atas kebingungan dengan sisi merendahkan.

mikrokopi sucuri

iTema: Ekstra

Ada fitur daftar putih yang sangat rumit di iThemes, yang mengejutkan sampai kami menyadari bahwa tampaknya ada banyak sekali keluhan penguncian situs yang kami lihat. Ada dua masalah dengan hal ini: pertama adalah perubahan IP perangkat, jadi memasukkan IP Anda ke dalam daftar putih bukanlah perlindungan sebanyak yang Anda kira; dan kedua, kami mencoba segala kemungkinan untuk memicu penguncian. Tapi itu tidak terjadi.

Monitor perubahan file adalah fitur lain yang terdengar seperti ide bagus, kecuali jika Anda tahu apa-apa tentang keamanan. Peretas dapat mengubah stempel waktu file, bahkan hingga membuatnya tampak seperti file tersebut belum diedit selama bertahun-tahun. Selain itu ada daftar pengecualian tipe file untuk monitor ini. Terus terang, ini menunjukkan kurangnya pemahaman tentang malware. Malware dapat bersembunyi di file apa pun, termasuk file .ico misalnya.

perubahan file tema

iThemes memang memiliki sistem manajemen kata sandi yang baik. Anda dapat menerapkan kata sandi yang kuat dan menolak untuk mengizinkan kata sandi yang disusupi. Dimungkinkan juga untuk mengatur kata sandi aplikasi untuk XML-RPC jika Anda mau.

profil keamanan pengguna ithemes

Terakhir, iThemes memiliki beberapa fitur pengerasan, yang sebagian besar tidak kami rekomendasikan sama sekali. Satu-satunya yang masuk akal adalah memblokir eksekusi PHP di folder unggahan. Ini mencegah jenis serangan malware tertentu. Yang lainnya, kami sarankan untuk diabaikan sama sekali.

Sucuri: Ekstra

Dasbor Sucuri di wp-admin terlihat cukup mengesankan, tetapi langsung saja kami melihat bahwa kotak info terbesar adalah integritas WordPress. Mudah-mudahan ini hanya untuk versi gratis yang kami gunakan saat ini, karena ini pada dasarnya adalah versi modifikasi dari monitor perubahan file untuk file inti WordPress.

sucuri integritas file wp

Dalam beberapa kasus, kami dapat melihatnya berguna, mengingat banyak malware yang masuk ke file inti. Sebaliknya, kita juga dapat melihat bahwa itu bisa menjadi tindakan yang tidak aman karena orang yang tidak berpengalaman mungkin percaya sejauh mana malware tersebut merupakan pemikiran yang menakutkan. Lucunya, 2 dari 3 file integritas wordpress yang ditandai berasal dari MalCare: konektor darurat dan firewall.

Lebih dalam di pengaturan, terdapat utilitas diff integritas untuk membandingkan file inti dan menemukan perbedaan. Ini mungkin lebih mudah digunakan daripada utilitas diffchecker online.

pemeriksa perbedaan sucuri

Ada banyak opsi pengerasan: beberapa berguna, yang lain tidak begitu banyak. Kami senang bisa memblokir PHP di folder unggahan, firewall, dan mengaktifkan pembaruan kunci rahasia otomatis, yang mengubah garam wordpress.

Namun, memverifikasi versi WordPress, menghapus versi WordPress, menghindari kebocoran informasi (menghapus file readme yang baru saja dibuat ulang oleh WordPress), dan memverifikasi akun admin default adalah semua fitur konyol dengan dampak keamanan yang sangat kecil. Terus terang, seluruh industri keamanan telah beralih dari trik ini.

sucuri wp pengerasan

Jika Anda memilih untuk menonaktifkan plugin dan editor tema, pembaruan akan menjadi rumit. Ini termasuk peringatan tentang beberapa plugin dan tema yang membutuhkan akses ke file PHP di folder ini. Ini tidak memadai. Contoh kasus: Sucuri sendiri menyimpan file PHP di folder upload. Apakah mereka tidak menginginkan akses ke file mereka sendiri dari dasbor eksternal mereka? Atau apakah itu pengecualian dari aturan? Dalam hal ini, aturan tersebut tampak fleksibel dengan cara yang tersembunyi dari pengguna.

Kami tertarik untuk melihat fitur pasca-peretasan di dasbor wp-admin. Setelah membersihkan, Anda ingin memastikan Anda melakukan segalanya untuk melindungi situs web Anda dari peretasan di masa mendatang. Kami menyukai gagasan itu, sampai kami melihat lebih jauh.

Anda dapat memperbarui kunci rahasia—mengubah garam wordpress—dari dasbor. Satu-satunya masalah dengan ini adalah teks biasa, terlihat oleh setiap admin yang masuk ke wp-admin. Jika seorang peretas memiliki akun dengan akses admin, ini sangat berbahaya. Fitur ini hanya masuk akal jika pengguna telah memverifikasi bahwa tidak ada akun admin yang disusupi, lalu mengubah garamnya. Sebuah titik yang tidak disebutkan di mana pun.

Anda dapat mengatur ulang kata sandi pengguna. Sekali lagi, fitur yang tampaknya bagus sampai Anda membaca tulisan kecilnya: “Pilih pengguna dari daftar untuk mengubah kata sandi mereka, hentikan sesi mereka dan kirimkan email tautan setel ulang kata sandi. Perlu diketahui bahwa plugin akan mengubah kata sandi sebelum mengirim email, artinya jika server web Anda tidak dapat mengirim email, pengguna Anda akan dikunci dari situs.”

Ada tempat untuk melihat pembaruan plugin dan tema yang tersedia, yang merupakan manajemen versi dasar. Itu tidak menambahkan apa pun ke fungsionalitas dasbor admin yang ada. Namun, ini mungkin berfungsi untuk mendidik orang bahwa plugin dan tema usang terkait dengan keamanan.

Apa yang hilang dari iThemes Security dan Sucuri

iThemes tidak memiliki firewall, yang merupakan kekosongan serius untuk keamanan WordPress Anda. Firewall melindungi situs dari jenis serangan tertentu, dan sangat berharga jika situs web Anda memiliki kerentanan.

Pemindai malware Sucuri tidak memadai. Jadi, meskipun layanan penghapusan malware sangat bagus, Anda harus menebak bahwa ada malware di situs web Anda karena pemindai tidak akan menandainya.

Keamanan iThemes vs Sucuri: Harga

Paket Platform Dasar Sucuri seharga $199,99 per tahun per situs adalah kesepakatan yang bagus untuk layanan penghapusan malware tanpa batas. Namun, mengingat itu seharusnya memiliki pemindai yang berfungsi juga, hanya itu yang akan didapatkan oleh sub Anda. iThemes tidak berarti apa-apa. Jangan repot-repot.

Kami telah menjelaskan pendapat kami tentang iThemes dengan sangat jelas di artikel ini. Satu-satunya fitur yang layak disebutkan di iThemes adalah autentikasi dua faktor, yang tersedia pada paket gratis. Kami pasti tidak merekomendasikan paket Pro.

harga iThemes
harga iThemes

Harga Sucuri adalah mencuri untuk layanan penghapusan malware, tetapi lalat di salep adalah pemindai. Jika Anda tidak tahu bahwa Anda memiliki malware, Anda tidak dapat mengirimkan permintaan penghapusan.

harga sucuri
Harga Sucuri

Alternatif yang lebih baik untuk Keamanan iThemes dan Sucuri: MalCare

Investasikan dalam plugin keamanan yang bagus yang akan memindai, membersihkan, dan melindungi situs web Anda dari peretas. Dari semua plugin yang kami uji untuk seri ini, MalCare menonjol sebagai opsi terbaik. MalCare mengalahkan iThemes, semuanya, dan memindai malware lebih baik daripada Sucuri.

Faktanya, paket Dasar $99 MalCare lebih baik daripada paket Platform Dasar $199,99 Sucuri, dengan penghapusan malware instan juga. Ini juga mencakup pembersihan tanpa batas

Kesimpulan

Keamanan situs web Anda adalah yang terpenting. Kami telah melihat banyak pelanggan berhemat pada plugin keamanan, hanya untuk menghadapi kerugian besar setelah peretasan. Seorang pelanggan menyerah setelah beberapa saat, dan memutuskan untuk membangun kembali situs webnya dari awal. Malware itu mahal, MalCare tidak.

Apakah artikel tersebut membantu Anda membuat keputusan? Kami ingin tahu! Hubungi kami.