Sucuri vs Wordfence: Plugin Keamanan Mana yang Terbaik untuk Situs WordPress Anda
Diterbitkan: 2022-04-22Wordfence dan Sucuri keduanya adalah juara kelas berat dari plugin keamanan WordPress. Dalam percakapan apa pun, mereka pasti muncul, dan orang-orang terpecah tentang mana yang merupakan plugin keamanan terbaik.
Sucuri memiliki pemindai online populer, yang banyak digunakan oleh admin situs web untuk mendeteksi malware. Plugin mereka juga memiliki pemindai sisi server, firewall, dan banyak fitur keamanan lainnya. Sucuri menawarkan penghapusan malware tanpa batas dengan salah satu paket mereka.
Wordfence adalah pemimpin tak terbantahkan untuk plugin keamanan WordPress. Tim melengkapi plugin keamanan mereka dengan banyak konten pendidikan, membantu admin memahami cara melindungi situs web mereka dari peretas. Plugin ini memiliki pemindai dan firewall, dan juga dapat menghapus beberapa malware. Mereka juga memiliki layanan penghapusan malware, tetapi itu adalah fitur premium sesuai permintaan.
Untuk menjawab mana yang lebih baik dalam pertarungan Sucuri vs Wordfence, kami menguji kedua plugin secara ekstensif. Seperti yang akan Anda lihat di sisa artikel, pengujian dirancang untuk membuat plugin tersandung sehingga Anda dapat membuat keputusan terbaik untuk keamanan situs web Anda.
5 plugin keamanan, 3 situs web, 45 hari, dan banyak malware. Hasilnya konklusif.
KEPUTUSAN Sucuri vs Wordfence bukanlah pertanyaan sederhana. Keduanya memiliki pemindai malware dan firewall. Wordfence memiliki pembersih otomatis dan layanan penghapusan malware yang mahal, sedangkan Sucuri hanya memiliki pembersihan tak terbatas dengan paket mereka. Setelah menimbang semua faktor, Wordfence adalah pemenangnya. Baca terus untuk mengetahui lebih lanjut.
Pilihan kami
Untuk seri ini, kami mengembangkan 3 situs web uji: pertama, blog sederhana dengan banyak gambar dan komentar sebagai kontrol; kedua, situs dengan banyak plugin dan tema yang rentan dengan berbagai tingkat ketidakjelasan; dan terakhir, sebuah situs dimuat dengan berbagai jenis malware.
Kriteria untuk plugin yang efektif bermacam-macam, tetapi kami ingin menjawab satu pertanyaan sederhana: apakah plugin berfungsi dengan baik untuk melindungi situs web Anda dari peretas dan malware?
45 hari kemudian, kami mendapatkan jawaban kami. Untuk 4 dari 5 plugin, jawabannya tidak. 1 plugin menang dalam semua hal. Plugin itu adalah MalCare.
MalCare memiliki pemindai malware terbaik yang pernah kami lihat, menangkap malware dari file, database, dan folder, terlepas dari seberapa baik itu disembunyikan. Ini memiliki pembersih otomatis yang benar-benar berfungsi, hanya membersihkan malware dengan presisi bedah. Dan terakhir, firewall canggih yang memblokir ancaman yang dapat mengeksploitasi situs web Anda.
Plugin keamanan terbaik untuk situs WordPress Anda benar-benar MalCare.
Ringkasan perbandingan Sucuri vs Wordfence
Dalam pertempuran sengit ini, Wordfence adalah pemenangnya. Kami harus mengakui bahwa itu adalah panggilan yang dekat, karena Sucuri juga memiliki poinnya sendiri.
Kita bisa melihat mengapa orang-orang begitu sibuk memikirkan mana yang lebih baik, karena kekurangan Wordfence adalah kekuatan Sucuri, dan sebaliknya. Jadi tergantung pada pengalaman pribadi individu, mereka akan menganjurkan plugin yang memecahkan masalah khusus mereka.
Tetapi karena ini, tidak ada jawaban objektif tentang mana yang lebih baik secara holistik untuk semua situs WordPress. Dan jawabannya bukan keduanya. Anda tidak harus berkompromi pada satu aspek keamanan atau lainnya. Dapatkan semuanya dengan mendapatkan MalCare sebagai gantinya.
Singkatnya, Wordfence
Wordfence adalah plugin keamanan terbaik untuk situs WordPress setelah MalCare. Versi gratisnya kuat, dengan fitur keamanan yang hebat. Pemindai mendeteksi sebagian besar malware berbasis file, dan mampu membersihkan sebagian besar dari apa yang dideteksinya. Firewall adalah salah satu yang paling update, dan memblokir beberapa ancaman. Kelemahannya adalah kinerja situs web sangat terpukul dengan Wordfence, dan layanan pembersihan malware mereka mahal.
Pemindai Wordfence mampu mendeteksi semua malware berbasis file yang telah kami masukkan ke dalam plugin dan tema gratis kami. Jika itu terdengar sangat spesifik, itu karena memang begitu. Itu tidak dapat mendeteksi malware yang ada di database, atau malware yang dimasukkan ke dalam plugin dan tema premium. Ini karena mekanisme deteksi pencocokan file yang digunakan Wordfence sangat bergantung pada kode yang tersedia untuk umum.
Hasil pemindaian menandai malware dan kerentanan dalam tema dan plugin yang diinstal. Lucunya, Wordfence juga menandai beberapa plugin premium kami sebagai malware atau kesalahan. Ini adalah kesalahan positif, yang dapat kami lihat karena kami terbiasa menggali kode WordPress. Tetapi beberapa admin situs web mungkin akhirnya menghapus plugin yang benar-benar layak karena ini.
Juga, ada opsi untuk secara otomatis memperbaiki file yang mengandung malware setelah hasil pemindaian ditampilkan. Kami mencobanya, dan berhasil. Semua malware yang terdeteksi telah dihapus dari situs web. Tentu saja, itu tidak dapat memperbaiki malware yang tidak dapat dideteksi sejak awal.
Selanjutnya, kami mencoba firewall. Itu efektif, memblokir banyak ancaman yang kami lemparkan padanya. Tapi setiap kali firewall memblokir ancaman, kami mendapat peringatan. Ada begitu banyak peringatan selama pengujian kami, kami hanya bisa membayangkan apa yang akan terjadi di situs langsung. Admin pasti akan kewalahan dan melewatkan peringatan kritis.
Selain tiga kriteria utama ini, ada banyak opsi lain yang tersedia di Wordfence. Perlindungan brute force luar biasa, dan otentikasi dua faktor berfungsi seperti pesona.
Apa yang benar-benar membuat plugin naik beberapa tingkat adalah kegunaannya yang luar biasa. Wordfence adalah plugin keamanan yang kompleks, tetapi juga dapat didekati oleh pemula. Cara dasbor ditata, dengan tip dan dokumentasi yang menyertainya, siapa pun dapat mengonfigurasi plugin keamanan, tanpa secara tidak sengaja membuat situs mereka tidak dapat digunakan. Ini adalah nilai tambah yang besar menurut kami, terutama jika dibandingkan dengan Sucuri, seperti yang akan Anda lihat nanti.
Wordfence secara mengejutkan tidak memiliki log aktivitas, yang menurut kami sangat aneh. Tetapi kerugian sebenarnya adalah bahwa itu adalah sumber daya yang tenggelam. Setiap pemindaian yang kami jalankan di situs web kami membuat lonjakan penggunaan disk dan kinerja situs web menurun. Karena alasan inilah banyak web host telah melarang Wordfence.
Singkatnya, Wordfence adalah plugin keamanan yang sangat baik, tetapi dengan kekosongan yang serius. Untuk semua manfaat yang dimilikinya, dan tidak ada kekurangannya, MalCare adalah jalan yang harus ditempuh.
Sucuri singkatnya
Sucuri memiliki firewall yang bagus dan layanan penghapusan malware mereka sangat bagus. Tetapi pemindai malware gagal mendeteksi malware apa pun, meskipun tim mereka menghapusnya nanti. Plugin keamanan tanpa pemindai malware yang berfungsi tidak efektif.
Sucuri adalah satu-satunya plugin lain yang memiliki peluang untuk dipertimbangkan bersama MalCare dan Wordfence, karena setidaknya terkadang berfungsi sebagai plugin keamanan. Jetpack dan iThemes adalah penghapusan.
Ini bisa dibilang salah satu plugin keamanan paling populer di luar sana, tetapi masih gagal di area mendasar: pemindaian malware. Seperti yang akan kita lihat nanti, layanan penghapusan malware mereka adalah yang terbaik. Mereka efisien dan cepat, kembali kepada kami sebelum kami mengharapkan dan melakukan pekerjaan dengan baik dengan membersihkan situs web. Namun, jika itu bukan situs uji coba yang kami buat dan diisi dengan malware, kami tidak akan pernah tahu bahwa situs tersebut terinfeksi sejak awal karena pemindai memberi kami petunjuk bersih untuk peretasan. Jadi, sebenarnya, Sucuri adalah kasus klasik menempatkan kereta di depan kuda. Anda harus tahu bahwa situs tersebut diretas untuk dibersihkan, tetapi tidak ada cara untuk mengetahui bahwa situs tersebut diretas dengan pemindai Sucuri.
Selanjutnya, firewall berkinerja baik. Itu mencegah serangan seperti injeksi SQL dan serangan eksekusi kode jarak jauh dengan mudah dan konsisten. Tapi itu adalah mimpi buruk untuk diatur. Karena kami menggunakan situs uji, ada banyak masalah dengan mengubah server nama untuk menunjuk ke IP firewall Sucuri alih-alih situs web uji kami. Jika ada kalimat terakhir yang tidak masuk akal, tidak apa-apa. Kami juga membutuhkan waktu lama untuk mengonfigurasinya. Agar adil, Anda tidak akan menemui kesulitan seperti itu di situs langsung Anda, tetapi jika Anda ingin mengonfigurasinya ke pementasan atau situs lokal? Harapkan masalah.
Kami sudah frustrasi dengan firewall, ketika kami melihat opsi konfigurasi lainnya. Mengapa semuanya begitu rumit? Bahasanya membingungkan, dan dalam beberapa kasus, benar-benar merendahkan. Dan itu sebelum kami menyadari bahwa setiap pemindaian keamanan memperlambat situs web pengujian kami. Ketika kami memeriksa penggunaan disk server, ada lonjakan yang mengkhawatirkan.
Sucuri menggunakan sumber daya situs untuk memindai malware—pemindai yang tidak berfungsi, ingat. Jadi itu tidak melakukan apa yang seharusnya, dan masih merusak kinerja situs. Bukan tampilan yang bagus untuk Sucuri.
Plugin keamanan mana yang sepadan dengan uang Anda?
Saran keamanan WordPress sangat banyak dan bermaksud baik, tetapi seringkali merupakan saran yang buruk. Kami telah melihat orang-orang menganjurkan iThemes—salah satu plugin keamanan terburuk yang pernah kami lihat—karena situs web mereka tidak pernah diretas, sama sekali mengabaikan fakta bahwa mereka memperbarui plugin secara teratur, menggunakan kata sandi yang baik, tidak menggunakan perangkat lunak nulled, dan memiliki dosis keberuntungan yang menumpuk. Jika GoDaddy dapat memiliki pelanggaran data, begitu juga situs web Anda.
Inti masalahnya adalah bagaimana memilih plugin keamanan yang baik. Kami telah menyusun daftar penting, menyingkirkan hal-hal yang tidak terkait dengan keamanan.
- Fitur keamanan penting
- Pemindaian malware
- Pembersihan perangkat lunak jahat
- Firewall
- Fitur keamanan yang bagus untuk dimiliki
- Deteksi kerentanan
- Perlindungan masuk paksa
- Log aktivitas
- Otentikasi dua faktor
- Masalah potensial
- Dampak pada sumber daya server
Seperti yang Anda lihat, hanya ada 3 fitur penting yang perlu Anda khawatirkan. Plugin keamanan harus hebat dalam 3 hal ini: pemindaian malware, pembersihan malware, dan firewall. Segala sesuatu yang lain adalah saus. Kami tidak meletakkan perlindungan brute force atau otentikasi dua faktor, karena itu juga penting. Tetapi Anda bisa mendapatkan plugin lain untuk fungsi itu.
MalCare adalah satu-satunya plugin keamanan yang memiliki kemampuan pemindaian dan pembersihan malware yang hebat, dan firewall canggih yang mencegah ancaman. Setiap plugin lain gagal di satu tempat atau yang lain.
Sucuri vs Wordfence: Perbandingan fitur head-to-head
Memilih plugin keamanan yang tepat bisa menjadi pengalaman yang membingungkan, terutama ketika Anda harus menguji masing-masing plugin untuk kemanjurannya, berharap semuanya berfungsi.
Di bagian ini, kami telah mempresentasikan hasil pengujian kami yang disusun berdasarkan fitur. Membandingkan dan membedakan fitur yang sama di seluruh plugin memberikan gambaran yang lebih jelas tentang efektivitas plugin keamanan.
Kami telah menjabarkan hasil kami seadil dan setransparan mungkin, dengan maksud untuk membantu orang membuat pilihan yang lebih baik untuk situs web mereka. Namun, jika Anda ingin mengamankan situs web Anda dengan cepat, instal MalCare sebagai gantinya dan lewati sampai akhir.
Pemindaian malware
Sucuri memiliki 2 pemindai: pemindai online bernama SiteCheck, dan pemindai tingkat server yang merupakan bagian dari plugin. Keduanya tidak mendeteksi malware. Wordfence memiliki pemindai malware yang layak, yang dapat mendeteksi skrip berbahaya di file dan folder inti, dan yang ada di plugin dan tema gratis. Jika tidak, itu melewatkan malware di database dan plugin serta tema premium.
Kami sering merekomendasikan Sucuri SiteCheck sebagai diagnostik tingkat pertama untuk malware, jika seseorang mencurigai WordPress mereka telah diretas. Itu tidak dapat memindai situs web lengkap, tetapi dapat mengidentifikasi infeksi malware umum dengan cepat, dan tanpa perlu menginstal plugin untuk tujuan yang jelas.
Kami memiliki harapan yang lebih besar dari pemindai tingkat server, mengingat pemindai itu akan memiliki akses penuh ke situs web. Instalasinya sedikit berbeda dibandingkan dengan plugin lain, karena pemindai perlu diinstal ke server web Anda. Ini dapat dilakukan secara manual, atau dengan memasukkan detail FTP di dasbor Anda. Kami menyelesaikan instalasi dan menunggu pemindaian selesai.
Beberapa waktu kemudian, pemindaian selesai dan situs web kami yang dipenuhi malware tampaknya bebas dari peretasan. Jalankan pemindaian untuk kedua kalinya untuk melihat apakah ada kesalahan untuk pertama kalinya. Tidak, masih tidak ada malware menurut Sucuri. Kegagalan besar.
Saat penginstalan, Sucuri diatur untuk dijalankan sekali sehari, tetapi Anda dapat meminta pemindaian sesuai permintaan. Permintaan diantrekan dan kemudian dieksekusi berdasarkan ketersediaan. Plugin itu sendiri akan memperingatkan Anda bahwa memindai situs web Anda akan menghabiskan sumber daya server, dan karenanya memengaruhi kinerja situs web Anda. Sejujurnya, itu mengerikan karena keamanan tidak boleh mengorbankan kinerja dan pengalaman pengguna. Kami akan membahasnya secara lebih rinci di bagian lain.
Wordfence juga menjalankan pemindaian secara otomatis saat instalasi. Ada sedikit kebingungan di sini, karena kami menganggap persentase lingkaran di dasbor adalah kemajuan pemindai. Setelah kami melihat bahwa itu tidak bergerak melewati 60% selama beberapa jam, kami melihat lebih dekat dan menyadari bahwa itu adalah ukuran efisiensi pemindai. Untuk mencapai 100%, Anda perlu memutakhirkan plugin.
Restart pemindai untuk membandingkan berapa lama waktu yang dibutuhkan, dan karena situs pengujian kami kecil, pemindai selesai dalam waktu kurang dari satu menit. Itu pasti plus. Hasil scan hanya di atas rata-rata, tidak sempurna, karena mendeteksi sebagian besar malware, tidak semuanya.
Alasan untuk ini adalah Wordfence menggunakan pencocokan tanda tangan untuk mendeteksi malware. Ini berarti pemindai Wordfence membandingkan kode situs web Anda dengan database tanda tangan malware. Jika ada kecocokan, pemindai menandainya sebagai malware. Sementara Wordfence memiliki database malware yang tangguh, yang mereka perbarui secara teratur berdasarkan penelitian keamanan mereka, itu tidak akan pernah bisa 100% lengkap karena tim harus melihat malware untuk memperbaruinya di database, dan terlepas dari penelitian komprehensif, baru malware muncul setiap saat
Oleh karena itu, Wordfence mahir dalam mengambil malware yang ditemukan di file dan folder inti WordPress, serta skrip berbahaya di plugin dan tema gratis. Tetapi tidak dapat mendeteksi malware di perangkat lunak premium, seperti Elementor misalnya, karena mereka tidak memiliki akses ke kode sumber untuk analisis. Untuk alasan yang sama, Wordfence juga gagal mendeteksi malware di database, karena itu memerlukan mekanisme di luar pencocokan tanda tangan untuk menemukannya.
Karena itu, Wordfence mendeteksi semua malware berbasis file kami. Menurut perkiraan kami, ia mampu mendeteksi 70 hingga 80% malware. Itu juga rentan terhadap kesalahan positif, dan cenderung menghasilkan banyak peringatan. Kita akan membahasnya di bagian terpisah juga.
Pembersihan perangkat lunak jahat
Wordfence memiliki fitur perbaikan otomatis untuk membersihkan malware, tetapi kemanjurannya masih bisa diperdebatkan untuk malware yang lebih kompleks. Mereka memiliki layanan penghapusan malware premium tetapi dapat mencungkil lubang di saku dengan harga $ 490 per situs. Sucuri di sisi lain memiliki layanan pembersihan malware manual tak terbatas yang disertakan dengan semua paket mereka.
Meskipun pemindai Sucuri mengatakan situs kami tidak memiliki malware—yang memang benar—kami meminta pembersihan, tidak berharap banyak. Namun, situs itu kembali kepada kami tanpa noda. Kami menjalankannya melalui MalCare untuk memeriksa. Anehnya, setelah tim Sucuri membersihkan situs kami, pemindai menandai malware di dalamnya. Jelas, bug di suatu tempat.
Layanan penghapusan malware sangat cepat. Meskipun rencana kami menjamin respons dalam 30 jam, kami mendapatkan situs yang dibersihkan kembali dalam waktu kurang dari 10. Itu hebat. Satu-satunya peringatan yang ingin kami tunjukkan adalah, ketika Anda memiliki situs yang diretas, waktu adalah yang terpenting. Anda tidak dapat membiarkan malware mendekam di situs web Anda dalam waktu lama. Hanya untuk menggarisbawahi betapa pentingnya bertindak cepat, daftar hitam Google juga mengukur waktu respons Anda terhadap pemberitahuan malware.
Untuk penghapusan malware, Anda perlu meminta pembersihan dari Sucuri. Isi formulir dengan semua informasi yang dapat Anda berikan, dan tim akan mengambil alih dari sana. Kami mendapat pesan kembali dari Sucuri dengan daftar periksa pasca-retas dengan rekomendasi yang bagus. Jadi secara keseluruhan, fitur pembersihan malware dengan Sucuri diacungi jempol.
Wordfence memiliki 2 opsi untuk menangani file yang diretas di dasbor: hapus semua file yang dapat dihapus dan perbaiki semua file yang dapat diperbaiki. Ini terlepas dari CTA yang menyarankan kami memilih layanan pembersihan ahli mereka.
Kami mencoba kedua opsi, dan keduanya cukup berhasil menghapus malware dari situs web kami. Masalahnya adalah bahwa penghapusan otomatis didahului oleh peringatan yang mengerikan tentang kerusakan situs karena perubahan.
Situs pengujian kami dicadangkan di BlogVault, dan sejujurnya kami tidak terlalu mempermasalahkannya. Meskipun kami dapat menjalankannya tanpa terlalu banyak berpikir, itu karena kami tertarik untuk menguji fitur perbaikan. Namun, kasusnya akan sangat berbeda untuk, katakanlah, toko e-niaga seseorang atau situs web dengan lalu lintas tinggi.
Dalam seri pengujian kami, kami biasanya berhenti pada titik ini karena sebagian besar plugin keamanan lainnya gagal. Wordfence membersihkan semua malware berbasis file dari situs web kami, jadi kami mencoba fitur tersebut dengan malware database dan beberapa di plugin premium kami. Pemindai tidak dapat mendeteksi banyak malware ini, dan oleh karena itu perbaikan otomatis bahkan bukan pilihan.
Alternatif lainnya adalah meminta penghapusan malware. Layanan ini dimaksudkan untuk menghapus malware, backdoor, dan melakukan audit keamanan situs web, menilai kerentanan. Jika situs Anda masuk daftar hitam, Wordfence juga akan membantu menyingkirkannya. Layanan ini dijamin selama satu tahun, bergantung pada apakah admin situs telah mengikuti rekomendasi pasca-retas surat tersebut. Harap dicatat: Kami tidak dapat berbicara tentang kemanjuran layanan penghapusan malware Wordfence, karena kami tidak mencobanya.
Di sisi lain, kami menggunakan MalCare untuk menghapus semua malware secara otomatis, dan kami dapat melakukannya tanpa masalah. Tidak ada peringatan yang mengerikan, tidak ada malware yang terlewat, dan situs kami sangat bersih dalam hitungan menit. Itulah jenis pembersihan malware yang kami inginkan untuk situs web kami.
Firewall
Baik Sucuri dan Wordfence memiliki firewall hebat yang memblokir ancaman paling umum dan utama. Tetapi firewall Sucuri adalah mimpi buruk untuk dipasang, dan firewall gratis Wordfence secara mengkhawatirkan mendapat pembaruan lebih lambat dari versi premiumnya.
Firewall Sucuri mencegah serangan seperti injeksi SQL, injeksi jarak jauh, dan serangan skrip lintas situs. Situs web pengujian kami memiliki banyak sekali kerentanan, seperti unggahan file yang tidak aman misalnya, dan tetap aman di balik firewall.
Masalah kami dengan firewall Sucuri adalah pemasangannya. Untuk menggunakan firewall, Anda perlu mengarahkan lalu lintas Anda ke server nama mereka, sehingga lalu lintas yang buruk disaring dan hanya lalu lintas yang baik yang dikirim ke situs web Anda. Ide bagus, tapi sungguh mimpi buruk untuk dikonfigurasi. Situs web pengujian kami tidak dilampirkan ke pendaftar domain mana pun, jadi kami harus meminta tim teknik untuk mengetahuinya.
Firewall Wordfence juga bekerja di luar kotak, dan berhasil mencegah serangan.
Langsung setelah instalasi, firewall masuk ke mode belajar. Wordfence merekomendasikan agar kami membiarkan mode belajar selama seminggu. Ini wajar, karena firewall membutuhkan lalu lintas langsung untuk belajar bagaimana menjadi efektif. Namun, karena kami tidak memiliki lalu lintas langsung ke situs web pengujian kami, kami melihat sedikit gunanya menunggu selama seminggu dan langsung melakukannya.
Dengan Wordfence, firewall gratis seharusnya hanya efektif 35%. Ini bukan asumsi di pihak kami, tetapi sebenarnya ada di dasbor. Kami menggali sedikit lebih dalam untuk mencari tahu mengapa hal itu bisa terjadi. Ada 2 alasan:
Satu: firewall gratis dimuat seperti plugin, setelah WordPress selesai. Urutan pemuatan mempengaruhi keamanan secara signifikan, karena jika firewall dimuat setelah inti WordPress itu berarti hanya dapat mencegah beberapa lalu lintas berbahaya, tidak semuanya.
Dua: Meskipun Wordfence memiliki firewall terbaru, versi premium menerima pembaruan tersebut secara real-time. Namun versi gratisnya menerima pembaruan setelah jangka waktu yang tidak ditentukan. Kami tidak memiliki cara untuk mengetahui apa penundaan itu, tetapi berpotensi bermasalah. Bagaimanapun juga, peretas dapat menyerang di jendela.
Hadiah terbesar adalah Wordfence sendiri memberi peringkat firewall gratis mereka pada 35% efektif dibandingkan dengan versi premium mereka. Tidak hebat.
Deteksi kerentanan
Wordfence melakukan pekerjaan luar biasa dalam mendeteksi semua kerentanan di situs web kami. Sucuri merindukan yang tidak jelas sama sekali.
Kami terkesan melihat Wordfence memperingatkan kami tentang semua plugin yang kedaluwarsa sebagai ancaman sedang. Kerentanan ditandai dengan benar sebagai ancaman kritis. Plugin keamanan lainnya tersandung pada plugin dan tema yang lebih tidak jelas, tidak memberi tahu kami sama sekali tentang kerentanan serius mereka seperti skrip lintas situs dalam satu kasus. Jadi Wordfence muncul di sini.
Tidak mungkin untuk memperbaiki kerentanan langsung dari dasbor Wordfence, tetapi itu masuk akal. Memperbaiki kerentanan pada dasarnya berarti memperbarui plugin atau tema, dan fungsionalitas itu sudah tersedia dengan mudah di wp-admin. Kecuali Wordfence memiliki regresi visual seperti MalCare untuk memastikan pembaruan tidak merusak situs, tidak ada gunanya mereplikasi fitur yang sudah ada.
Wordfence juga memunculkan kesalahan untuk iThemes dan Backupbuddy. Ini menunjukkan kecenderungan mereka untuk menandai positif palsu di situs web.
Sucuri mendeteksi semua kecuali kerentanan yang paling tidak jelas di situs web pengujian kami. Anda dapat memperbarui perangkat lunak usang Anda dari dasbor Sucuri, tidak seperti Wordfence. Kami tidak benar-benar melihat utilitasnya, karena pembaruan dapat dilakukan dengan mudah melalui wp-admin.
Tab pasca-peretasan mencantumkan versi plugin dan tema yang diinstal, di samping versi terbarunya. Sucuri memperingatkan agar tidak melanjutkan perangkat lunak yang kedaluwarsa karena dapat menyebabkan infeksi malware.
Menariknya, bahkan layanan penghapusan malware Sucuri hanya mampu mendeteksi beberapa kerentanan di situs web kami. Mengingat pengalaman kami dengan pemindai, kami berpikir bahwa layanan penghapusan akan melakukan pekerjaan yang lebih baik dalam mendeteksi kerentanan. Tampaknya tidak demikian.
Perlindungan masuk paksa
Wordfence melakukan pekerjaan yang sangat baik untuk memblokir semua serangan brute force. Fitur perlindungan masuk Sucuri sepertinya tidak berfungsi.
Perlindungan brute force diaktifkan secara default di Wordfence. Ini bekerja dengan sempurna setiap kali, mengunci pengguna dengan terlalu banyak upaya yang salah, berdasarkan konfigurasi yang kami atur di dasbor.
Anda akan menemukan pengaturan di bagian firewall. Ada banyak hal untuk disesuaikan dalam menu opsi: menyetel penguncian untuk upaya masuk yang salah; berapa lama pengguna akan mengalami penguncian; dan seterusnya. Pilihannya tidak berlebihan, dan Wordfence menjelaskan masing-masing dengan meyakinkan dan dengan dokumentasi yang bagus.
Anda juga dapat mengatur opsi manajemen kata sandi di sini, memastikan untuk menerapkan kata sandi yang kuat, dan mencegah penggunaan kata sandi yang ditemukan dalam pelanggaran data.
Dimungkinkan untuk memasukkan IP ke daftar putih di bagian ini, tetapi kami ragu tentang keefektifannya. IP perangkat bersifat dinamis, jadi memiliki daftar yang diizinkan tidak menjamin bahwa pengguna yang sah tidak terkunci.
Perlindungan brute force Sucuri tidak bekerja seperti yang diharapkan. Kami tidak mengalami penguncian, juga tidak ada captcha untuk memastikan bahwa kami adalah manusia bukan bot. Kami tidak mendapatkan peringatan, meskipun serangan muncul di log audit. Secara keseluruhan, fiturnya adalah washout.
Anda tidak akan berpikir untuk melihat opsi konfigurasi di dasbor. Ada begitu banyak pilihan, kami terhuyung-huyung mengejar satu poin. Secara keseluruhan, kami lebih suka opsi yang lebih sedikit dengan fitur yang berfungsi, daripada sebaliknya.
Log aktivitas
Sucuri memiliki log audit, tetapi mungkin sulit untuk dipahami. Wordfence tidak memiliki log aktivitas.
Sucuri memiliki log audit yang melacak semua tindakan pengguna, dan plugin serta perubahan tema. Log akan menampilkan semua perubahan yang dibuat pada file dan tabel, yang bagus.
Log memiliki informasi yang diperlukan seperti pengguna, tindakan, stempel waktu, dll. Namun dalam beberapa kasus, entri sangat sulit dipahami. Misalnya, untuk menguji log, kami memasang plugin galeri. Entri yang dihasilkan pada log audit menunjukkan 7 perubahan berbeda. Tidak jelas dari entri apa perubahan itu, mengapa itu terjadi, atau siapa yang bertanggung jawab. Oleh karena itu, log audit tidak berguna bagi siapa pun yang tidak berbicara Sucuri.
Kami terkejut melihat Wordfence tidak memiliki log aktivitas, mengingat itu adalah salah satu pilar keamanan situs web. Ada opsi untuk mengaktifkan debugging di bagian Diagnostik pada menu Alat, yang menyebabkan log firewall menjadi lebih bertele-tele, tetapi itu tidak sama dengan log aktivitas.
Setelah banyak menggali, kami menemukan log aktivitas khusus untuk acara Wordfence di bagian Pindai. Ini adalah log mentah, jelas ditujukan untuk pengembang Wordfence saja.
Otentikasi dua faktor
Wordfence memiliki fitur otentikasi dua faktor yang hebat. Sucuri tidak mendukungnya di situs web Anda.
Otentikasi dua faktor Wordfence bekerja di luar kotak, dengan serangkaian opsi yang mudah untuk menyesuaikan pengalaman. Dulunya merupakan fitur premium, tetapi sejak itu telah ditambahkan ke plugin gratis juga.
Sucuri tidak mendukung otentikasi dua faktor untuk situs web Anda, tetapi Anda dapat mengamankan akun Sucuri Anda dengannya.
Penggunaan sumber daya server
Baik Sucuri dan Wordfence adalah babi sumber daya. Kami melihat kesalahan yang jelas dalam penggunaan disk dengan pemindaian dan karena firewall.
Ini adalah salah satu faktor di mana tidak ada yang bisa dipilih antara Wordfence dan Sucuri: keduanya sama buruknya.
Setiap tindakan yang dilakukan plugin ini di situs web Anda menghabiskan sumber daya server. Situs web kami relatif kecil, dan kami melihat penggunaan disk dua kali lipat dan terkadang tiga kali lipat saat kami menyiapkan pemindaian. Ini memengaruhi waktu buka, waktu respons, dan pengalaman keseluruhan di situs web.
Jika Anda memiliki situs web WooCommerce, atau situs dengan lalu lintas tinggi, efek ini akan terlihat oleh pengguna Anda. Jika Anda menggunakan hosting bersama, host web Anda akan menaikkan bendera dan biaya hosting Anda berpotensi meningkat. Faktanya, banyak web host telah melarang Wordfence karena alasan ini.
Sementara orang jarang berbicara tentang sumber daya server ketika membahas keamanan, ini merupakan faktor penting. Tidak seorang pun harus berkompromi pada kinerja atau keamanan. Sangat mungkin untuk mengoptimalkan keduanya.
Namun, tidak dengan Sucuri atau Wordfence. Untuk itu, Anda memerlukan MalCare.
Peringatan
Baik Sucuri dan Wordfence terkenal karena peringatan yang tak terhitung banyaknya dan positif palsu.
Kami sangat percaya dalam meringankan beban pelanggan kami dalam hal administrasi WordPress. Firewall harus memblokir lalu lintas secara diam-diam. Perlindungan bot harus bekerja di luar kotak. Admin hanya boleh disiagakan jika ada sesuatu yang membutuhkan perhatian dan tindakan mereka. Keamanan WordPress harus bebas stres dan mudah, jika tidak, apa gunanya plugin keamanan?
Rupanya baik Sucuri maupun Wordfence tidak menganut aliran pemikiran ini, karena peringatan mereka luar biasa. Kotak masuk kami kebanjiran dalam waktu singkat. Terlalu banyak peringatan sama buruknya dengan tidak ada peringatan, karena pada akhirnya keduanya mengarah pada kelambanan tindakan bila diperlukan.
Instalasi, konfigurasi, dan kegunaan
Wordfence dirancang untuk menjadi sangat mudah bagi pengguna pemula. Sucuri tidak.
Instalasi, konfigurasi, dan penggunaan Wordfence secara keseluruhan adalah salah satu yang terbaik yang pernah kami lihat. Ada panduan di setiap bagian utama, menjelaskan pengaturan dan fitur paling penting dalam bahasa yang sederhana dan tidak mengancam.
Wordfence memiliki rekomendasi yang bagus untuk konfigurasi. Dokumentasi mereka dapat diakses dari tooltips di dasbor, membuatnya sangat kontekstual. Setiap fitur dijelaskan dengan jelas, dan petunjuk tentang cara membuatnya berfungsi di situs web Anda dapat diakses secara instan.
Ini mungkin tampak seperti hal-hal aneh untuk ditunjukkan. Namun, jika Anda pernah mencoba Sucuri, Anda menyadari bahwa kemudahan pemahaman adalah bagian yang tidak sepele dari setiap pengalaman pengguna. Bahkan, jika kita harus menggambarkan Sucuri dalam satu kata, kata itu akan membingungkan.
Memasang Sucuri itu mudah, dan mulai menurun dari sana. Untuk menggunakan pemindai sisi server dan firewall, Anda harus mengonfigurasinya secara manual. Ada begitu banyak pilihan yang kami habiskan berjam-jam untuk mencoba memahaminya, selain mencari tahu apakah mereka memiliki dampak nyata pada keamanan.
Secara keseluruhan, kedua plugin ini berada di ujung spektrum yang berlawanan.
Wordfence: Ekstra
Wordfence adalah keamanan yang ketat. Tidak ada satu fitur, opsi, atau baris yang bahkan berdekatan dengan keamanan, seperti pembaruan atau opsi manajemen pengguna. Terlepas dari itu, ada beberapa tambahan.
Ada bagian pemberitahuan untuk pembaruan situs, yang menunjukkan kepada kami plugin dan tema mana yang perlu diperbarui berdasarkan prioritas karena merupakan ancaman kritis atau sedang.
Wordfence memiliki dasbor eksternal untuk mengelola beberapa situs di akun yang sama yang disebut Wordfence Central. Ini memiliki bagian yang menyertainya di wp-admin dari setiap situs yang terhubung juga, mungkin sehingga Anda memiliki pandangan sekilas tentang setiap situs terlepas dari situs mana yang sedang Anda kerjakan. Menurut pendapat kami, ini adalah utilitas terbatas dan tidak akan berfungsi untuk agensi dengan ratusan situs yang dikelola.
Selanjutnya kita melihat bagian Tools. Ada bagian untuk lalu lintas langsung, yang tampaknya meniru Google Analytics, tetapi lebih dari itu. Log ini mengklasifikasikan lalu lintas dengan kunci untuk melihat jenis lalu lintas yang diperoleh situs web: manusia, bot, peringatan, diblokir.
Ada opsi pencarian Whois, jika Anda ingin melihat siapa penyerang tanpa meninggalkan wp-admin. Sekali lagi, ini adalah fitur insidental yang terbaik.
Kami pikir Diagnostik sangat menarik, karena memiliki banyak informasi tentang situs web. Semuanya sangat terperinci di sana, mulai dari pemilik proses hingga tabel database. Pengembang akan menemukan info ini sangat berguna, karena seperti spesifikasi situs web semua di satu tempat.
Sucuri: Ekstra
Sucuri memiliki banyak embel-embel dan tambahan tambahan di plugin mereka. Apakah ada yang berdampak pada keamanan adalah masalah lain sama sekali.
Hal pertama yang akan Anda lihat saat instalasi adalah kotak info integritas WordPress. Ini benar-benar versi mewah dari monitor perubahan file inti WordPress. Jelas, agak berguna untuk memiliki monitor perubahan file untuk file inti WordPress, tetapi kemanjurannya tidak sebanyak yang dibuat. Peretas dapat dan akan mengubah metadata file, seperti memperbarui stempel waktu, untuk mengatasi tindakan ini. Jadi ya berguna, tapi tidak begitu banyak.
Ada utilitas diff integritas untuk membandingkan file inti di situs web dengan instalasi WordPress asli. Ini tentu lebih mudah daripada menggunakan yang online, jika Anda membersihkan malware secara manual—yang sama sekali tidak kami rekomendasikan.
Sucuri memiliki banyak fitur pengerasan WordPress. Memblokir PHP di folder unggahan melindungi terhadap satu kategori peretasan, dan kami menyukai kemampuan untuk mengubah garam WordPress dengan cepat dari dasbor. Itu bisa dilakukan lebih baik sekalipun. Jika fitur itu ada di dasbor eksternal Sucuri daripada di wp-admin, itu akan lebih aman. Bayangkan seorang peretas mendapatkan akses ke wp-admin, garam akan dengan mudah dikompromikan karena berada dalam teks biasa.
Beberapa opsi lainnya adalah utilitas terbatas, seperti memverifikasi versi WordPress, menghapus versi WordPress, menghindari kebocoran informasi, dan memverifikasi akun admin default. Mereka tidak berarti dari perspektif keamanan.
Fitur pengerasan lainnya yang membingungkan. Misalnya, jika kita menonaktifkan plugin dan editor tema, bagaimana kita bisa memperbarui plugin dan tema dengan kerentanan? Kontraproduktif untuk sedikitnya.
The password management feature held some promise, but the warning would terrify all but the most brave: “Select users from the list in order to change their passwords, terminate their sessions and email them a password reset link. Please be aware that the plugin will change the passwords before sending the emails, meaning that if your web server is unable to send emails, your users will be locked out of the site.”
What's missing from Wordfence and Sucuri
Sucuri doesn't have a good malware scanner. The brute force login protection doesn't work, and it takes up too much of server resources. There is no bot protection either, and you would need a separate plugin for two-factor authentication.
Wordfence misses out on bot protection and an activity log. The scanner is above average; definitely a cut above the other security plugins available apart from MalCare. Apart from these things, it is an exceptional security plugin.
Wordfence vs Sucuri: Pricing
Sucuri's plans start at $199.99 a year per site, which is a great deal for unlimited malware removal. The firewall works well, but the scanner is a let down. Wordfence premium plans are at $99 for the year per site, with attractive bulk pricing options. However, our opinion is that the free version is almost as good as the premium version.
Sucuri is a winner when it comes to the unlimited malware removal feature. The support team was great, with a quick turnaround time, helpful response and a proactive post-hack checklist. But the malware scanner was a complete failure, and that's not a small flaw to overlook.
The free version of Wordfence is strong enough to stand on its own. The premium version is not all that different, the efficiency percentages on the dashboard notwithstanding. The real expense to consider with Wordfence is the cleaning service at $490 a pop, over and above the site license. If you are considering Wordfence seriously, read the fine print. Although they say unlimited pages, there are additional charges for sites above 10 GB. They guarantee the service for a year, but there are terms and conditions. None of this is unreasonable, but it is important to be aware before taking the plunge.
Better alternative to Wordfence and Sucuri: MalCare
The best security plugin for your website isn't Wordfence or Sucuri, it is MalCare. It has an excellent scanner that detects malware in all parts of your website: core WordPress, files and the database. Additionally, the auto-clean feature removes all malware surgically, without breaking your website.
MalCare has an advanced firewall that proactively blocks bad traffic from reaching your website. The brute force protection makes sure that your login page is safe from malicious attacks, and the bot protection goes even further to make sure only bad bots are kept away from your website.
There is a formidable support team of WordPress security experts to help with any issues that come up. Any malware removal cleanups necessary beyond the auto-clean are covered with the site license.
Thus, in a feature-to-feature comparison, MalCare undoubtedly comes out on top. MalCare's $99 plan is vastly better than Sucuri's $199.99 Basic Platform plan, and includes unlimited malware removal, which is over and above Wordfence's $99 plan.
Kesimpulan
When choosing a WordPress security plugin for your website, make sure to evaluate the scanner, cleaner and firewall. All the other features can be implemented with other plugins, but these 3 features form the essence of a good plugin.
At MalCare, our goal is to make security stress-free and painless, so that you can focus on the more important aspects of your website. Leave the security to us, as you grow your business.
We hope this comparison was helpful, as we have presented all our findings transparently. Have further questions? Drop us a line. We would love to hear from you.