iThemes Security vs Wordfence: Plugin Keamanan Mana yang Harus Anda Pilih?
Diterbitkan: 2022-04-22iThemes Security terlihat sangat bagus hanya dengan $ 199 untuk situs web tanpa batas, dan karena harganya yang tidak ada duanya, itu telah menjadi pesaing serius dalam perlombaan plugin keamanan WordPress.
Di sudut lain kami memiliki Wordfence, kelas berat yang tak terbantahkan dalam kategori ini. Wordfence dikenal dengan plugin gratis yang sarat fitur, serta penelitian dan sumber daya keamanannya. Untuk versi premium, setiap situs akan memberi Anda pengembalian minimal $99 per tahun; yang masih bagus.
Bahkan pada tahap ini, tidak ada perbandingan nyata antara keduanya. Namun, kami menjalankan keduanya melalui serangkaian tes.
Dalam seri ini, 5 plugin keamanan teratas mengalami pertempuran gaya gladiator dengan malware, serangan, dan kerentanan. Yang mana yang muncul sebagai pemenang? Baca terus untuk mengetahuinya.
KEPUTUSAN iThemes Security vs Wordfence adalah kompetisi yang tidak setara. Plugin gratis Wordfence jauh lebih baik daripada plugin premium iThemes Security. Wordfence memiliki kelemahan, tetapi setidaknya melindungi situs web sampai tingkat tertentu. iThemes, tidak begitu banyak.
Pilihan kami
Dalam seri ini, kami ingin menguji plugin keamanan WordPress teratas untuk mengetahui mana yang benar-benar berfungsi. Untuk itu, kami membuat 3 situs web: Salah satunya adalah blog sederhana, dengan beberapa plugin dan tema, sebagai kontrol. Situs web kedua memiliki 3 plugin kedaluwarsa dengan kerentanan. Kami memilih plugin yang berkisar dari yang populer hingga yang tidak jelas, dan memiliki serangkaian kerentanan. Dan akhirnya, kami memiliki situs web yang penuh dengan malware.
3 situs web, 5 plugin, 45 hari. Kami menguji pemindai plugin, pembersih, firewall, perlindungan bot, firewall, log aktivitas, dan banyak lagi. Kami memperhitungkan malware baru, malware lama, malware berbasis file, malware database, peretasan pengalihan, peretasan farmasi, injeksi SQL, serangan brute force, dan banyak lagi.
Hasilnya jelas: hanya MalCare yang dapat memindai, membersihkan, dan melindungi situs web pengujian. Jika Anda mencari ketenangan pikiran dengan keamanan WordPress Anda, MalCare adalah caranya.
Ringkasan perbandingan iThemes Security vs Wordfence
iThemes Security vs Wordfence sangat mudah: Wordfence sepenuhnya.
Mari kita pertimbangkan keamanan WordPress sebagai spektrum antara dua ekstrem: tidak ada perlindungan dan rasa aman palsu di satu sisi, dan positif palsu dan peringatan mengerikan di sisi lain. iThemes Security memberi Anda rasa aman yang salah, dan Wordfence adalah salah satu yang membuat Anda dalam keadaan ketakutan yang hampir konstan.
Menurut pendapat kami, keduanya bukan pilihan yang baik. Namun, Wordfence memiliki versi gratis yang sangat baik yang akan melindungi situs web Anda sebagian besar, sedangkan versi premium dari iThemes Security tidak akan melakukan apa pun untuk melindungi situs web Anda. Saran kami untuk menghindari kedua ekstrem, dan gunakan plugin keamanan yang baik.
iThemes Keamanan secara singkat
iThemes Security sejauh ini merupakan plugin keamanan WordPress terburuk yang pernah kami lihat. Ini memiliki beberapa fitur bagus, seperti otentikasi dua faktor dan dukungan kata sandi yang kuat, tetapi hanya itu. Tidak ada pemindai malware, tidak dapat membersihkan malware, dan tidak ada gunanya membahas firewall. Bahkan, jika Anda menggunakan iThemes sekarang, harap segera pindai situs web Anda.
Fakta menyenangkan: iThemes adalah plugin keamanan pertama yang kami uji. Situs web dan seluruh proses penyiapan memberi kami kesan bahwa, ya, orang-orang ini tahu apa itu keamanan WordPress. Sayangnya, tidak ada satu pun dari pengetahuan itu yang berhasil menjadi plugin yang sebenarnya.
iThemes Security adalah pemindai malware, pada dasarnya, karena tidak ada mekanisme untuk membersihkan malware. Situs web juga tidak mengatakan bahwa ada firewall. Ini tidak bagus, karena pemindaian adalah salah satu pilar keamanan WordPress tetapi bukan satu-satunya. Namun, Anda dapat menggabungkan berbagai plugin untuk memberi Anda fungsionalitas itu, jika Anda memiliki pemindai yang layak.
Ah, tapi itu masalahnya. iThemes bukan pemindai malware. Ini bukan pemindai kerentanan. Ini memindai daftar hitam Google untuk situs web Anda. Anda tahu, hal yang sama dapat Anda lakukan dari halaman Laporan Transparansi, tanpa perlu menginstal plugin. Hadiah terbesar adalah bahwa pemindaian berlangsung beberapa detik. Tidak mungkin pemindai dapat memeriksa semua file dan folder situs web dalam hitungan detik.
Perlindungan brute force untuk halaman login tidak merata dan tidak konsisten, dan log aktivitas tidak berguna. Lebih lanjut tentang itu nanti.
Di sisi positifnya, iThemes Security memiliki fitur otentikasi dua faktor yang sangat baik. Kami juga menyukai betapa mudahnya mengimplementasikan reCAPTCHA di wp-login. Dan akhirnya, pengaturan manajemen kata sandi pengguna benar-benar terperinci dan terperinci. Selain itu, ada beberapa fitur pengerasan WordPress yang layak, seperti memblokir eksekusi PHP di folder.
Secara keseluruhan, menguji iThemes Security adalah pengalaman yang luar biasa. Kami menangani keamanan dengan sangat serius, dan kami terkejut melihat betapa pintarnya kata-kata yang bertele-tele dan serangkaian fitur yang menyesatkan dapat menipu admin agar berpikir bahwa situs mereka dilindungi. Faktanya, kami sangat menyarankan setiap pengguna iThemes untuk memikirkan kembali keamanan mereka sama sekali dan segera memindai situs web mereka.
Singkatnya, Wordfence
Wordfence adalah plugin keamanan gratis terbaik yang kami temukan setelah MalCare. Kami sangat merekomendasikannya untuk situs web yang sama sekali tidak memiliki anggaran untuk keamanan. Firewall memblokir sebagian besar serangan, pemindai mendeteksi sebagian besar malware berbasis file, dan fitur perbaikan malware akan membantu Anda menyingkirkan sebagian besar darinya. Kelemahannya adalah akan ada banyak kesalahan positif, beberapa malware yang terlewat, dan layanan pembersihan peretasan darurat selangit.
Kami sangat bersemangat untuk mencoba Wordfence, karena ini adalah plugin keamanan yang paling banyak digunakan. Dan setelah beberapa pengalaman mengerikan (baca: iThemes), akan sangat bagus untuk melihat bagaimana plugin menangani keamanan WordPress.
Kami akan membahas lebih detail di bagian selanjutnya, tetapi ingin berbicara tentang aspek utama keamanan di sini terlebih dahulu.
Wordfence memiliki pemindai yang layak, yang mengambil semua malware berbasis file yang kami miliki di plugin dan tema gratis kami. Tapi, ada beberapa peringatan besar tentang efektivitasnya. Pemindai tidak dapat mendeteksi malware berbasis database, atau malware di plugin dan tema premium. Selain itu, dibutuhkan banyak korban di situs web kami bahkan untuk menjalankan pemindaian.
Selanjutnya, kami mencoba perbaikan otomatis malware. Kami senang, ia segera memperbaiki semua malware berbasis file dari situs web; bukan malware berbasis database sekalipun. Kalau dipikir-pikir, ini bukan kinerja yang bagus untuk pembersih, tetapi jelas lebih baik daripada yang lain dalam seri pengujian ini sehingga kami benar-benar senang melihat perbedaannya.
Firewall cukup efektif, memblokir sebagian besar serangan WordPress utama dan umum yang mengganggu situs web. Satu hal yang mengecewakan yang kami miliki di sini adalah firewall menghasilkan banyak peringatan untuk kami. Apakah kami benar-benar perlu mengetahui seseorang dari Jerman mencoba meretas situs web kami 20 kali dalam 5 menit terakhir dalam 20 notifikasi terpisah? Tidak, kami tidak. Kotak masuk kami tenggelam dalam peringatan Wordfence dalam beberapa hari, dan tidak mungkin untuk menyortir gandum dari sekam. Selain itu, pengguna gratis mendapatkan pembaruan firewall lebih lambat dari pengguna premium, jadi ada peluang bagi peretas untuk masuk ke situs web yang tidak terlindungi.
Ada beberapa fitur keamanan yang adil sebaliknya juga. Wordfence menjalankan lean ship, dan semua fungsi lainnya, seperti memperbarui plugin ketika kerentanan terdeteksi, diserahkan kepada wp-admin. Masuk akal, karena mengapa menggandakannya di dasbor yang sama? Ini memiliki perlindungan brute force yang cukup bagus, dan otentikasi dua faktor kuat.
Kami juga terpikat dengan kegunaan plugin yang luar biasa. Bahasanya mudah didekati dan lugas, tanpa menggunakan jargon yang berlebihan. Fitur yang lebih canggih yang ditujukan untuk pengguna bertenaga juga tersimpan dalam pengaturan.
Namun, kami terkejut untuk mencatat bahwa tidak ada log aktivitas seperti itu, kecuali daftar yang paling tidak dapat dibaca yang dimaksudkan untuk pengembang Wordfence. Juga, tidak ada perlindungan bot untuk situs web sama sekali. Akhirnya, dan yang paling memberatkan untuk plugin ini, dibutuhkan sejumlah besar sumber daya server untuk berfungsi. Sedemikian rupa sehingga host web telah melarang penggunaan Wordfence sama sekali.
Secara keseluruhan, Wordfence adalah plugin keamanan yang sangat baik, tetapi bukan yang terbaik untuk situs web Anda. MalCare adalah cara untuk pergi dengan pemindai yang luar biasa, pembersihan malware yang efektif, dan firewall canggih dengan pembaruan waktu nyata.
Apa yang harus dicari di plugin keamanan
Keamanan WordPress bisa menjadi hal yang membingungkan untuk dihadapi terutama dengan informasi yang salah yang tersedia secara online. Satu hal yang pasti, peretas dapat membebani Anda dengan pendapatan, bisnis, tuntutan hukum, pengeluaran sendiri, pencitraan merek, lalu lintas organik, dan banyak lagi. Plugin keamanan yang tepat akan mengatasi semua itu, selain menghemat waktu dan uang Anda untuk berinvestasi di area lain bisnis Anda.
Kami sering menemukan pertanyaan: bagaimana Anda memilih plugin keamanan yang tepat untuk situs WordPress Anda?
Jawabannya biasanya adalah daftar fitur. Beberapa sangat penting, beberapa tidak begitu banyak. Tetapi setiap plugin ingin menjual 100+ fiturnya kepada Anda, yang sebagian besar tidak berdampak pada keamanan situs web Anda. Tetapi daftar tersebut akan membingungkan masalah cukup lama untuk membuat keamanan WordPress pusing lagi.
Jadi kami menyusun daftar fitur keamanan yang penting—dan singkat!—ini. Anda harus mencari plugin keamanan yang menandai sebagian besar semua yang ada di daftar ini, dan mendapatkan solusi lain untuk fitur yang tidak dimilikinya.
- Fitur keamanan penting
- Pemindaian malware
- Pembersihan perangkat lunak jahat
- Firewall
- Fitur keamanan yang bagus untuk dimiliki
- Deteksi kerentanan
- Perlindungan masuk paksa
- Log aktivitas
- Otentikasi dua faktor
- Masalah potensial
- Dampak pada sumber daya server
Satu-satunya plugin yang hampir mencapai semua kotak adalah MalCare. Dengan memilih MalCare, Anda memastikan bahwa situs web Anda mendapatkan keamanan terbaik yang tersedia dari peretas dan malware mereka.
iThemes Security vs Wordfence: Perbandingan fitur langsung
Di bagian ini, kami telah merinci temuan kami jika Anda tertarik untuk membaca lebih lanjut tentang fitur tertentu. Setelah 45 hari pengujian, kami memiliki banyak informasi dan banyak temuan. Semua itu dikemas di sini untuk kesenangan membaca Anda.
Fitur diurutkan dari yang paling penting hingga yang paling tidak penting, dan kami menilai kedua plugin pada setiap faktor. Tujuan kami adalah untuk menyajikan semua yang kami temukan seadil mungkin, jadi kami tidak menahan diri di mana pun.
Jika Anda hanya ingin mencapai inti dari latihan ini, instal MalCare dan Anda tidak perlu mendengar tentang beberapa kengerian yang kami temukan.
Pemindaian malware
Pemindai Wordfence mendeteksi malware berbasis file di situs web pengujian kami, tetapi bukan malware di database kami. Itu juga melewatkan malware di plugin dan tema premium. iThemes Security tidak memindai situs web kami sejak awal, jadi jelas tidak akan menemukan malware apa pun.
Setelah menginstal Wordfence, ini mengatur pemindaian pertama secara otomatis. Sejauh ini, sangat bagus. Meninggalkan pemindai untuk menyelesaikan, dan menjelajahi fitur lainnya selama beberapa jam. Hanya untuk melihat bahwa itu masih macet di 60%. Mengingat situs itu cukup kecil, apa yang memberi?
Ternyata, 60% bukanlah bilah kemajuan, tetapi persentase yang menunjukkan kemanjuran pemindai gratis. Untuk mendapatkan 100% penuh, Anda perlu meningkatkan ke versi pro dari plugin. Cukup adil, tetapi cara itu ditampilkan di dasbor sangat membingungkan.
Kami memulai ulang pemindaian, dan senang melihatnya selesai dengan sangat cepat. Pemindai menandai sebagian besar malware, meskipun tidak semuanya. Malware yang dapat dideteksi dengan mudah ada di file inti WordPress, dan di file dan folder plugin dan tema gratis. Itu melewatkan malware redirect yang diretas di database, dan file apa pun yang ada di plugin dan tema premium.
Kami melemparkan banyak malware berbasis file di Wordfence, dan itu mendeteksi hampir semuanya. Ini memiliki database malware yang luas untuk algoritme pencocokan tanda tangan, jadi kami berharap ini akan mendeteksi sekitar 70 hingga 80% malware. Itu tidak sebagus 95%, seperti dengan MalCare, tetapi jauh lebih baik daripada semua plugin keamanan lain di luar sana. Deteksi, bagaimanapun, adalah setengah dari pertempuran.
Peringatan yang kami miliki dengan Wordfence adalah bahwa ada banyak peringatan dan jumlah positif palsu yang tinggi. Kedua faktor ini dapat menyebabkan peringatan kehilangan pengaruhnya dari waktu ke waktu, dan kemudian ada bahaya nyata yang dapat diabaikan oleh peringatan asli. Selain itu, pemindaian membutuhkan banyak sumber daya server untuk dieksekusi. Kita akan berbicara lebih banyak tentang itu di bagian selanjutnya.
Pemindai iThemes tidak memindai malware sama sekali. Ini memeriksa apakah situs web Anda ada dalam daftar hitam, dan itu juga hanya satu daftar hitam. Sucuri juga memiliki pemeriksaan ini, tetapi mereka memiliki kesopanan untuk, pertama, tidak melabelinya sebagai pemindai, dan, kedua, memeriksa lebih dari sekadar daftar hitam Google. Situs pengujian kami jelas tidak ada dalam daftar hitam, karena tidak diindeks. Jadi, kapan laporan pemindaian malware iThemes memberi kami informasi bersih untuk situs yang penuh malware? Tidak terkesan.
Pembersihan perangkat lunak jahat
iThemes Security tidak memiliki pembersihan malware, otomatis atau lainnya. Wordfence dapat memperbaiki file malware, tetapi efektivitasnya tergantung pada malware yang terdeteksi. Wordfence memiliki layanan penghapusan malware premium, yang menghasilkan $490 per situs.
Setelah selesai memindai, Wordfence mencantumkan 2 opsi untuk menangani file yang diretas—selain CTA untuk mendapatkan bantuan profesional: hapus semua file yang dapat dihapus dan perbaiki semua file yang dapat diperbaiki.
Opsi hapus berhasil menyingkirkan 1 file tanpa kesalahan, setelah menampilkan pesan mengerikan tentang bagaimana menghapus file dapat merusak situs web Anda. Memang benar, tetapi malware juga menakutkan! Bagaimanapun, opsinya adalah sesuatu yang basah, jadi beralihlah ke opsi perbaikan. Opsi perbaikan memiliki peringatan serupa, tetapi kami mengaktifkannya dan mampu memperbaiki sebagian besar file. Saat kami menjalankan situs melalui pemindai MalCare, situs tersebut bebas dari malware.
Sebagian besar plugin keamanan lainnya gagal pada saat ini, jadi kami tidak perlu menguji lebih jauh. Kami telah mendapatkan hasil kami. Namun, basis data tanda tangan malware Wordfence komprehensif, jadi kami memperluas jaringan.
Kami menambahkan malware redirect yang diretas ke database situs web kami, dengan beberapa contoh peretasan kata kunci Jepang untuk ukuran yang baik. Kami juga menyembunyikan bongkahan malware di plugin dan tema premium kami, menduga bahwa hal-hal ini akan membuat pemindai tersandung dan lebih bersih. Dan mereka melakukannya.
Kesimpulan yang muncul adalah jika tim Wordfence telah melihat malware, maka perbaikan file berhasil. Jika tidak. Wordfence juga gagal ketika ada malware di database. Jadi malware seperti redirect hack atau bahkan malware yang lebih baru pasti akan terlewatkan. Itu juga akan kehilangan malware di file WordPress non-inti atau plugin dan tema non-publik. Wordfence tidak dapat menemukan malware di plugin dan tema premium.
Jika perbaikan otomatis tidak berhasil, Anda dapat memilih layanan penghapusan malware Wordfence. Layanan ini menghapus malware, backdoor, dan menilai kerentanan situs. Wordfence juga membantu menghapus daftar situs yang ditunggangi malware dari daftar hitam apa pun yang mungkin menjadi tempat masuknya. Pembersihan situs dijamin selama satu tahun, hanya jika admin situs mengikuti instruksi pasca-retas ke surat itu. Kami tidak dapat mengomentari kemanjuran layanan penghapusan malware, karena kami tidak mencobanya.
Seperti yang kami katakan sebelumnya, iThemes Security tidak dapat membersihkan malware, jadi tidak ada lagi yang perlu dikatakan di bagian depan itu.
Menurut pengalaman kami, pembersihan malware adalah aspek paling kritis dari keamanan WordPress. Seharusnya hanya dilakukan oleh pakar keamanan, karena ada potensi besar untuk hal-hal yang salah. MalCare memberi Anda opsi untuk menghapus malware secara otomatis, dan mengakses pakar keamanan untuk membantu mengatasi masalah apa pun yang mungkin muncul.
Firewall
iThemes Security tidak memiliki firewall. Wordfence memiliki firewall aplikasi web yang melindungi dari sebagian besar ancaman utama dan umum secara efektif. Tetapi versi gratisnya mendapat pembaruan lebih lambat dari versi premium.
Firewall WordPress adalah bagian penting dari gudang keamanan Anda, karena mencegah serangan dan lalu lintas berbahaya melalui penggunaan aturan. Di sebagian besar plugin keamanan yang kami ulas, kami menghindari menjelaskan detail yang lebih teknis, karena tidak ada gunanya karena firewallnya buruk atau tidak ada. Tetapi dengan Wordfence, segalanya menjadi sedikit lebih rumit.
Saat kami menginstal Wordfence, firewall langsung masuk ke mode pembelajaran. Ini adalah langkah yang diperlukan agar firewall dapat memahami lalu lintas normal situs dan karenanya memblokir ancaman dengan lebih efektif. Karena kami tidak mendapatkan lalu lintas ke situs web kami, kami mematikan mode pembelajaran sekaligus, meskipun Anda disarankan untuk tetap mengaktifkannya setidaknya selama seminggu.
Ada bagian terpisah untuk mengelola firewall Wordfence, jadi kami menjelajahinya selanjutnya. Pertama kali Anda melihatnya, itu menjelaskan apa itu firewall dan apa fungsinya untuk melindungi situs web Anda. Ini juga memperkenalkan istilah 'firewall aplikasi web' di sini dengan deskripsi singkat.
Setelah menguji firewall gratis dan premium, jelas bahwa Wordfence memiliki firewall yang sangat baik di kedua versi. Mereka berdua mencegah serangkaian serangan injeksi SQL, pemalsuan permintaan lintas situs, injeksi kode jarak jauh, dan serangan skrip lintas situs. Kami tidak dapat mengeksploitasi kerentanan plugin dan tema.
Saat itulah kami berpikir kami harus menggali lebih dalam: apa perbedaan antara versi gratis dan premium?
Dalam opsi firewall, Wordfence menjelaskan perbedaannya: versi gratis dimuat sebagai plugin biasa, setelah WordPress dimuat. Plus, versi premium menerima pembaruan aturan waktu nyata, sedangkan versi gratis menerima pembaruan setelah jangka waktu yang tidak ditentukan.
Kedua hal ini memberi kami jeda.
Pertama, firewall harus dimuat terlebih dahulu untuk perlindungan terbaik, namun sebagian besar plugin keamanan dengan firewall sering dimuat setelah WordPress seperti plugin biasa. Jika ini masalahnya, firewall Wordfence dapat mencegah sebagian besar lalu lintas berbahaya, tetapi tentu saja tidak semuanya.
Kedua, Wordfence memiliki firewall terbaru, namun pengguna non-premium mendapatkan pembaruan nanti. Bahkan jendela itu bermasalah, karena peretas dapat menyerang selama itu. Kapan firewall gratis mendapatkan pembaruan aturan: berhari-hari, berminggu-minggu, atau berbulan-bulan kemudian? Siapa tahu.
Tidak mengherankan, iThemes tidak memiliki firewall.
Deteksi kerentanan
iThemes Security tidak dapat mendeteksi kerentanan, apalagi membantu mengatasinya. Wordfence menangkap semua kerentanan yang kami masukkan ke situs web, terlepas dari apakah itu populer atau tidak jelas.
Wordfence menandai semua plugin kedaluwarsa dengan kerentanan yang ditemukan dengan benar sebagai ancaman kritis. Kami menyertakan banyak plugin yang tidak jelas juga ke dalam daftar, beberapa dengan kurang dari 200 pengguna. Plugin lain tidak dapat menangkap kerentanan itu, jadi sangat menyegarkan untuk melihat bahwa Wordfence melakukannya. Pemindai bahkan menandai plugin kedaluwarsa sebagai ancaman sedang, yang sangat baik karena selalu baik untuk memperbarui semuanya.
Anda tidak dapat memperbaiki kerentanan langsung dari dasbor Wordfence. Sebagian besar plugin lain, seperti Jetpack dan Sucuri, merekomendasikan pembaruan dan memungkinkan Anda melakukannya dari panel yang sama. Tetapi melihat-lihat Wordfence, tidak ada cara untuk melakukan itu. Itu memang membawa Anda ke dasbor pembaruan, yang cukup bagus. Tidak ada alasan logis untuk mereplikasi fungsionalitas yang sudah ada di wp-admin.
Menariknya, pemindai juga menunjukkan kesalahan dengan plugin iThemes dan BackupBuddy yang telah kami instal di salah satu situs pengujian. Tampaknya ada anomali pengkodean di plugin.
Kami berharap pemindai iThemes setidaknya memeriksa kerentanan, mengingat kegagalannya sebagai pemindai malware. Ya, tidak.
Selain itu, dasbor iThemes memiliki penghitung yang menunjukkan berapa banyak pembaruan yang telah dilakukan sejak plugin dipasang. Kami membayangkan alasan buruk untuk metrik ini seharusnya membantu untuk melacak pembaruan plugin dan tema. Padahal sebenarnya tidak.
Perlindungan masuk paksa
iThemes terkadang memblokir serangan brute force, terkadang tidak. Wordfence memblokir semua serangan brute force dengan tepat.
Dengan iThemes, kami melihat blok brute force yang tidak konsisten. Ketika kami mencoba memasukkan serangkaian kredensial buruk pada halaman login, iThemes hanya memblokir upaya di 1 situs tetapi tidak di situs lainnya. Satu-satunya perbedaan antara kedua situs adalah bahwa yang pertama memiliki malware, sedangkan yang kedua tidak. Malware biasanya merupakan hasil dari serangan login yang berhasil, jadi perbedaan ini tidak mungkin menjadi alasannya. Setelah beberapa jam mencoba tes berulang kali, hasilnya tidak meyakinkan. Kami akhirnya menyerah mencoba mencari tahu apa yang tampaknya menjadi bug.
Setelah latihan ini dengan sangat frustrasi, kami memeriksa log iThemes. Setiap upaya login yang salah terdaftar di sana sebagai serangan brute force, bahkan saat kami benar-benar lupa kata sandi kami. Namun, plugin tidak memblokir semuanya. Sangat aneh dan karena itu tidak dapat diandalkan.
Dengan Wordfence, pertama-tama kita melihat pengaturannya. Perlindungan brute force diaktifkan secara default, dan Anda dapat masuk ke bagian firewall untuk menyesuaikan opsi.
Anda dapat mengatur penguncian untuk upaya masuk yang salah, dan bahkan berapa lama pengguna akan mengalami penguncian setelah sejumlah upaya masuk yang salah. Apa yang sangat hebat adalah mereka menjelaskan apa yang dilakukan setiap opsi dalam dokumentasi yang bagus, dan bagaimana menggunakannya paling efektif untuk melindungi situs.
Anda dapat menetapkan daftar yang diizinkan untuk IP yang tidak akan diuji oleh firewall. Kami telah melihat fitur ini di banyak plugin, tetapi dengan mengubah IP perangkat, itu tidak masuk akal.
Opsi kata sandi yang kuat juga ada di sini. Anda dapat menerapkan kata sandi yang kuat, mencegah penggunaan kata sandi yang ditemukan dalam pelanggaran data, dan banyak lagi.
Akhirnya, kami turun ke pengujian, dan perlindungan brute force bekerja persis sesuai pengaturan yang kami pilih. Sempurna setiap waktu.
Log aktivitas
Log aktivitas iThemes tidak mencatat semua peristiwa, jadi tidak berguna. Wordfence tidak memiliki log aktivitas sama sekali.
Kami adalah pendukung besar log aktivitas sederhana. Ini adalah alat keamanan yang diperlukan karena peretas memanfaatkan pencatatan yang tidak memadai untuk menyerang situs. Idealnya, Anda menginginkan log yang andal yang memiliki informasi yang benar tentang kejadian di situs web Anda.
Jadi tidak seperti yang dimiliki iThemes. Log aktivitas iThemes menjanjikan informasi yang baik, seperti aktivitas pengguna, manajemen versi, pemindaian situs, dan serangan brute force. Tetapi ini tidak dicatat secara akurat, jadi tidak dapat dipercaya untuk menyajikan gambar yang benar. Selain itu, tidak ada tentang plugin atau tema.
Wordfence, secara mengejutkan, tidak memiliki log aktivitas. Ada opsi untuk mengaktifkan debugging dari bagian Diagnostik di bawah Alat, yang memungkinkan log firewall menjadi lebih bertele-tele. Ada log aktivitas lengkap untuk acara Wordfence hanya di bagian Pindai, tetapi itu tidak sama dengan log aktivitas. Selain itu, ini adalah log mentah yang ditujukan hanya untuk pengembang Wordfence. Dengan mengaktifkan mode debugging, Anda juga akan menggunakan lebih banyak sumber daya server. Dinyatakan dengan sangat jelas di bagian itu.
Otentikasi dua faktor
iThemes memiliki otentikasi dua faktor yang luar biasa yang bekerja dengan mulus di luar kotak. Sama dengan Wordfence.
Otentikasi dua faktor berfungsi sempurna di kedua plugin. Keduanya memiliki serangkaian opsi yang bagus, dan pengaturan minimal. Dengan Wordfence, otentikasi dua faktor dulunya merupakan fitur premium yang sekarang telah mereka aktifkan untuk pengguna gratis juga.
Kami hanya memiliki satu pengamatan kecil dengan versi pro iThemes. Ada banyak pengaturan yang menghapus token login di versi pro: login tanpa kata sandi, perangkat tepercaya, tautan ajaib, dan sebagainya. Menurut pendapat kami, mereka secara langsung menentang prinsip otentikasi dua faktor dengan membuat proses masuk lebih mudah.
Penggunaan sumber daya server
iThemes sangat baik untuk sumber daya server Anda, karena tidak melakukan apa-apa. Wordfence sebenarnya dilarang oleh host web tertentu karena biayanya yang sangat besar untuk sumber daya server.
Kami sangat bersemangat untuk menempatkan Wordfence melalui langkahnya. Namun, kejutan sebenarnya datang ketika kami memeriksa kinerja situs web. Pemindaian berlipat ganda, dan dalam beberapa kasus tiga kali lipat, penggunaan disk situs web kami, saat pemindaian Wordfence berlangsung. Kami mengakui bahwa situs pengujian kami sangat kecil, sehingga mereka tidak menghabiskan terlalu banyak sumber daya untuk memulai, tetapi ini merupakan lompatan yang signifikan. Di situs yang lebih besar, hukumannya akan cukup besar.
Faktanya, setiap perubahan pada pengaturan default disertai dengan peringatan bahwa akan ada lebih banyak sumber daya server yang dikonsumsi. Kemudian aman untuk mengasumsikan bahwa Wordfence menggunakan sumber daya server situs untuk melakukan semua tugasnya.
Yang cukup buruk, tetapi akan menjadi jauh lebih buruk dengan firewall. Setiap serangan berkelanjutan akan membanjiri situs web meskipun dilindungi dari eksploitasi ini.
Penggunaan sumber daya server jarang muncul sebagai poin pembicaraan dalam keamanan situs web, tetapi seringkali plugin keamanan berdampak buruk pada kinerja situs web. Sedemikian rupa sehingga admin harus membuat tradeoff antara keamanan dan kegunaan. Kami tidak berpikir ini seharusnya terjadi, dan Anda dapat memiliki kue dan memakannya juga dengan MalCare.
iThemes sangat bagus untuk sumber daya server Anda. Tidak dapat mengatakan hal yang sama untuk keamanan situs Anda.
Peringatan
iThemes tidak mengirimi Anda peringatan apa pun. Wordfence mengirimkan terlalu banyak.
Peringatan perlu mencapai titik manis antara tidak ada, dan terlalu banyak. Keduanya sama-sama ekstrem yang buruk, karena hasil akhirnya adalah Anda tidak tahu apa sebenarnya keamanan situs web Anda.
Pemindai Wordfence dapat menghasilkan banyak kesalahan positif, jadi Anda tidak benar-benar tahu kapan situs web Anda benar-benar diretas. Setelah titik, itu bisa menjadi seperti anak laki-laki yang menangis serigala. Sama dengan firewallnya. Firewall seharusnya hanya memblokir serangan tanpa membunyikan alarm setiap kali, karena tidak memiliki tujuan. Oleh karena itu, pendapat kami adalah bahwa Wordfence menghasilkan terlalu banyak alarm sehingga tidak berguna sama sekali.
iThemes mengirimkan banyak email yang sangat dangkal dan tidak berguna: laporan pemberitahuan perubahan file, cadangan basis data, dan konfirmasi lain dari pengaturan kami. Ada juga intisari keamanan harian tentang situs web kami, dan laporan kerentanan mingguan. Kami membayangkan ini untuk pengetahuan kami, sehingga kami dapat memperbarui plugin dan tema yang menyinggung di satu atau banyak situs web kami secara manual.
Instalasi, konfigurasi, dan kegunaan
Wordfence dipasang seperti pesona. Tidak ada pengaturan yang rumit dan konfigurasi yang tidak jelas. iThemes, di sisi lain, sangat sulit.
iThemes tampak mudah untuk memulai, dan kemudian perlahan-lahan beralih ke banyak pengaturan yang tidak berguna. Ada konfigurasi panjang yang harus dilalui sebelum dasbor dibuat. Sejujurnya, kita seharusnya membaca tanda-tandanya dan mengabaikan yang satu ini sebagai tujuan yang sia-sia. Tapi kami rakus untuk hukuman yang berkuasa untuk kebaikan yang lebih besar.
Instalasi Wordfence sangat mudah, dan tidak ada opsi konfigurasi di muka. Layar pertama yang muncul adalah langganan email, yang dengan jelas menyatakan bahwa Anda mendapatkan berita keamanan di kotak masuk Anda. Layar berikutnya adalah prompt untuk meningkatkan ke premium. Pada titik ini, kami tidak tahu fitur apa yang dimiliki plugin gratis, jadi kami tidak segera memasukkan lisensi premium kami.
Ada panduan 3-tooltip saat Anda mengunjungi dasbor di wp-admin untuk pertama kalinya. Kegunaan dan bahasanya luar biasa di Wordfence. Ada penjelasan jelas yang diberikan untuk fitur tersebut, dan bagaimana pengaruhnya terhadap keamanan. Itu tidak berlebihan, juga tidak membuat hal bodoh.
Desain dasbor sangat intuitif, dan Anda dapat melihat sekilas semua aspek penting keamanan yang terkait dengan situs web Anda. Secara keseluruhan, kesan pertama kami tentang Wordfence sangat bagus.
Selain itu Wordfence memberi Anda rekomendasi yang berguna untuk konfigurasi. Dokumentasi, yang dapat Anda akses dari tooltips di dasbor, sangat kontekstual. Ini dengan jelas menjabarkan apa yang dilakukan setiap fitur dan mengapa, selain cara mengaturnya agar berfungsi secara optimal di situs web Anda. Sekali lagi, perlu diperhatikan bagaimana bahasa yang digunakan dapat didekati.
iThemes: Ekstra
Setelah meninjau aspek keamanan yang kritis, dan menemukan iThemes sangat kurang, bagian ini tampaknya hampir menggelikan.
iThemes telah mengisi plugin dengan banyak fitur, yang memiliki sedikit atau tidak berdampak pada keamanan. Contoh kasus: fitur IP daftar putih. IP perangkat kami berubah setiap saat, jadi ini bukan jaminan bahwa orang-orang tertentu akan diizinkan masuk ke situs, mungkin itulah intinya.
Ada juga monitor perubahan file, yang mengirimkan laporan ke alamat email Anda setiap 24 jam. Laporan berisi daftar semua file yang diubah. Bukan apa perubahannya, siapa yang melakukannya, atau kapan tepatnya itu terjadi. Tidak, hanya email yang mengatakan: “Halo! Semua ini di situs Anda sekarang berbeda dari kemarin. Selamat tinggal!"
Setelah kami mengatasi kejengkelan kami, kami ingin mengakui bahwa iThemes memiliki sistem manajemen kata sandi yang baik. Anda dapat menerapkan kata sandi yang kuat, dan menolak untuk mengizinkan kata sandi yang disusupi digunakan di situs. Kami tidak dapat menguji ini secara meyakinkan, tetapi sekali lagi hasilnya tidak merata.
Ada satu fitur pengerasan yang berguna: memblokir eksekusi PHP di folder unggahan. Yang lainnya omong kosong.
Wordfence: Ekstra
Ekstra Wordfence semuanya sangat terkait dengan keamanan. Tidak ada fitur bermanfaat yang berdekatan, seperti pembaruan atau opsi manajemen pengguna. Karena itu, ada banyak tambahan.
Setelah instalasi awal, kami melihat bagian notifikasi untuk pembaruan situs. Di situs pengujian kami, ini menunjukkan kepada kami bahwa 5 plugin perlu diperbarui.
Ada status Wordfence Central yang memungkinkan Anda mengelola banyak situs dari wp-admin setiap situs. Ini masuk akal jika Anda memiliki beberapa situs di akun yang sama, tetapi ruangnya terbatas dan tidak akan berfungsi untuk biro iklan dengan ratusan situs. Untung ada dashboard eksternal. Anda harus membuat akun di situs web Wordfence untuk mengakses Wordfence Central. Menurut pendapat kami, tidak masuk akal memiliki kotak pusat di dasbor situs.
Kami menambahkan semua situs uji ke Wordfence Central dan mendapatkan pandangan sekilas dari semuanya. Ini bukan tata letak terbaik untuk lebih dari 20 situs. Idenya bagus, eksekusinya kurang.
Selanjutnya kami memeriksa bagian Alat. Ada panel untuk lalu lintas langsung, yang sekilas tampak seperti versi Google Analytics, tetapi ternyata lebih dari itu. Anda dapat mengatur log lalu lintas untuk menyertakan semua lalu lintas atau hanya lalu lintas terkait keamanan. Lognya bagus, karena ada legenda yang jelas untuk menunjukkan jenis lalu lintas apa yang didapat situs web: manusia, bot, peringatan, diblokir.
Ada juga pencarian Whois, jika Anda ingin melihat siapa yang menyerang situs web Anda. Ini adalah embel-embel yang terbaik, karena fitur ini juga mudah tersedia secara online.
Yang Diagnostik adalah fitur yang menarik. Ini berisi sejumlah besar informasi tentang situs web, langsung dari pemilik proses hingga tabel database dan lebih banyak lagi. Ini seperti spesifikasi situs web di satu tempat, bersama dengan status masing-masing hal itu. Sulit membayangkan bagaimana pengguna biasa (non-dev) akan menggunakan info ini, tetapi pasti berguna untuk pengembang.
Apa yang hilang dari iThemes Security dan Wordfence
iThemes tidak memiliki pemindai, pembersih, dan firewall. Also, it would be nice if it had functional brute force protection and activity log, and detected a vulnerability on occasion. One can hope.
Wordfence doesn't have bot protection nor an activity log. Other than that, it is a comprehensive and well-rounded security plugin.
Wordfence vs iThemes Security: Pricing
It is not worth buying iThemes Security, because its only worthwhile feature is two-factor authentication, which is available for free. Wordfence premium is available for $99 for the year, but the free version is strong enough on its own.
Wordfence's free plugin is really great, considering it is free. The premium licenses are at a max of $99 per site, and get progressively lower with the more licenses you purchase.
The real kicker is the site cleaning service which is a hefty $490 per site, and although they say unlimited pages in the features, additional charges may apply for sites above 10 GB—which, fair enough. They do have a malware removal guarantee for 1 year, but there are caveats in the small print. So read those carefully.
After reading this article, you know that iThemes isn't worth your money. Use it for two-factor authentication or get a dedicated plugin for that feature.
Better alternative to iThemes Security and Wordfence: MalCare
The best thing you can do for your website is to invest in a good security plugin. The plugin should scan, clean and protect your website from all manner of threats. During our testing series, only one plugin stood out: MalCare. It outshines iThemes in every way, and has a much better scanning, auto-cleaning, firewall, and notifications compared to Wordfence. It is a no-brainer.
MalCare's $99 Basic plan includes unlimited cleanups, which is equivalent to Wordfence's $99 plan and $490 per cleanup needed thereafter.
Kesimpulan
We hope this article helped you decide on a way forward for your website security. If you have any questions or thoughts, do drop us a line. We would love to hear from you!