iThemes Security Vs Sucuri: qual è il plug-in di sicurezza migliore?

A prima vista, iThemes Security sembra un plug-in di sicurezza eccezionale e conveniente per i tuoi siti Web WordPress. Soprattutto se consideri che puoi proteggere siti Web illimitati per soli $ 199.

Sucuri, d'altra parte, è uno dei plugin di sicurezza WordPress più popolari disponibili. Offre un pugno con uno scanner e un firewall e offre anche la rimozione del malware. Quindi già in questo testa a testa, ha rubato una marcia su iThemes. Perché? Perché iThemes non ha nessuna di queste funzionalità.

iThemes è stato eliminato del tutto dalla gara. In questo concorso, Sucuri è stato senza dubbio il vincitore. Detto questo, non ci fideremmo ancora di Sucuri per proteggere il nostro sito web. Quale plug-in di sicurezza è garantito per proteggere i siti Web WordPress dagli hacker? La risposta è inequivocabile: MalCare.

Riepilogo del confronto tra iThemes Security e Sucuri

iThemes Security è il placebo dei plugin di sicurezza di WordPress. Pensi che il tuo sito web sia al sicuro dagli hacker, ma in realtà tutto ciò che lo protegge è un pio desiderio e vibrazioni positive. Sucuri è senza dubbio migliore, ma dopotutto migliore è un termine relativo. Non è un ottimo plug-in di sicurezza.

iThemes Sicurezza in poche parole

La linea di fondo è che iThemes non protegge il tuo sito web. Ti consigliamo vivamente di saltare del tutto iThemes se lo stai prendendo in considerazione per la sicurezza di WordPress. E se l'hai già installato, scansiona immediatamente il tuo sito web. Il tuo sito web non ha sicurezza.

Le nostre prime impressioni su iThemes sono state effettivamente favorevoli. Il sito web parla di un grande gioco e infonde fiducia grazie al modo autorevole in cui parlano della sicurezza di WordPress. L'unico difetto che abbiamo potuto notare era che non era possibile utilizzare il plug-in per pulire il malware. Non è l'ideale, ma potrebbe comunque funzionare come scanner.

O così pensavamo.

Lo scanner iThemes non rileva malware. Affatto. Potremmo azzardare l'ipotesi che non esegua nemmeno la scansione di file e dati, perché la scansione termina in pochi secondi. Quello che fa lo "scanner" di iThemes è controllare il Rapporto sulla trasparenza di Google per vedere se il tuo sito web è in quell'elenco. Non abbiamo bisogno di un plugin di sicurezza per farlo. Siamo tornati a controllare il sito Web e siamo rimasti sbalorditi nel notare che le funzionalità non dicono esplicitamente la ricerca di malware. Dice solo che il rilevamento del malware è uno dei passaggi chiave nella sicurezza di WordPress. Questo è un doppio linguaggio, se mai l'abbiamo visto.

Siamo stati tentati di considerare inutili i test di iThemes, ma abbiamo continuato nell'interesse dell'equità.

Il plug-in ha una solida funzione di autenticazione a due fattori, che puoi abilitare nella tua pagina di accesso. Ha anche alcune caratteristiche di rafforzamento decenti come il blocco dell'esecuzione di PHP nelle cartelle. Detto questo, la protezione dell'accesso a forza bruta funziona solo a volte. Un altro segno nero contro il plugin.

La nostra conclusione sull'utilizzo di iThemes è che le uniche funzionalità di qualsiasi valore di sicurezza sono l'autenticazione a due fattori e la facile implementazione di reCAPTCHA su wp-login. Queste due funzionalità non garantiscono tuttavia una fattura di $ 199, perché ci sono plug-in di sicurezza migliori che offriranno le stesse funzionalità, oltre a una certa sicurezza effettiva.

Testare iThemes è stata un'esperienza terribile perché non possiamo immaginare il numero di siti Web che credono di essere protetti da una sicurezza inesistente. In effetti, utenti iThemes, dovreste scansionare il vostro sito web in questo momento.

Sucuri in poche parole

Sucuri ha un firewall decente e ottimi servizi di rimozione del malware, ma ha fallito in modo spettacolare come scanner di malware. Se non sai che il tuo sito web contiene malware, non c'è modo di sbarazzartene. Questa è una parte non negoziabile di un plug-in di sicurezza.

Quando abbiamo iniziato a testare Sucuri, ci aspettavamo molto da esso. È uno dei plug-in di sicurezza più popolari per WordPress e siamo rimasti sbalorditi nel vedere che lo scanner non è riuscito a rilevare alcun malware sul nostro sito di test compromesso. Entreremo più in dettaglio in una sezione successiva, ma questo ha dato il tono al nostro intero processo di test.

Oltre all'errore, la scansione stessa richiede molto tempo per essere completata e utilizza le risorse del nostro server per eseguirla. Gli stessi Sucuri scoraggiano troppe scansioni a causa dell'impatto sulle prestazioni del sito web. È un terribile compromesso tra prestazioni e sicurezza, e non dovrebbe essere così.

Passando ai firewall e ai servizi di rimozione malware, Sucuri ha fatto bene. Il firewall è stato molto difficile da configurare e ci è voluto molto tempo per farlo. Ma ha bloccato gli attacchi che abbiamo provato e non siamo stati in grado di sfruttare alcuna vulnerabilità.

Tuttavia, il servizio di rimozione del malware è stato il momento clou della nostra esperienza di test. Anche se lo scanner ha dato al nostro sito Web violato un buono stato di salute, sapevamo che era pieno di malware. Prima di tutto, abbiamo inserito lì il malware e in secondo luogo le scansioni MalCare hanno confermato questa diagnosi. Il team di Sucuri ha rimosso ogni traccia di malware dal nostro sito e, di conseguenza, è stato perfettamente pulito. Fantastico! La ciliegina su questa torta è che puoi avere richieste illimitate di rimozione malware come parte del tuo piano, il che è un ottimo affare.

A parte il firewall, le impostazioni sono molto oscure. Ci siamo trovati sconcertati su gran parte del gergo utilizzato, e questo è dovuto all'esperienza nella sicurezza di WordPress. L'interfaccia non è user-friendly e siamo sicuri che molte persone la troveranno inutilmente allarmante. Punto negativo per Sucuri lì.

Tutto sommato, non pensiamo che Sucuri sia la migliore soluzione di sicurezza per un sito Web WordPress. Questo onore va a MalCare, grazie a uno scanner che funziona ogni volta. MalCare ottiene anche punti bonus che non ci fanno sentire ottusi.

Come scegliere il plug-in di sicurezza giusto per il tuo sito Web WordPress

La sicurezza per il tuo sito Web WordPress non è negoziabile. Il malware può causare innumerevoli perdite alle aziende: mancato guadagno, cause legali, costi di pulizia, impatto sul branding, perdita di traffico organico e molto altro. Investire nel plug-in giusto ti salverà da hacker e malware e dai problemi che il malware lascia dietro di sé.

La domanda è però: come scegliere un plug-in di sicurezza efficace per il tuo sito web?

Quando abbiamo impostato i nostri test, c'erano diversi fattori da considerare: sicurezza, ovviamente, ma anche facilità d'uso e rapporto qualità-prezzo. Tuttavia, ci siamo presto resi conto che tutti i fattori a parte la sicurezza sono diventati privi di significato, perché l'efficacia di un plug-in in termini di sicurezza dovrebbe essere l'unica considerazione.

Quindi ecco i fattori da considerare quando si seleziona un plug-in di sicurezza.

• Funzionalità di sicurezza essenziali
  
  • Scansione malware
  • Pulizia malware
  • Firewall
• Funzionalità di sicurezza utili
  
  • Rilevamento vulnerabilità
  • Protezione accesso forza bruta
  • Registro delle attività
  • Autenticazione a due fattori
• Potenziali problemi
  
  • Impatto sulle risorse del server

Come puoi vedere dall'elenco, solo 3 fattori sono assolutamente essenziali. MalCare è un asso in tutto e per tutto: scansione e pulizia di malware che altri plug-in potrebbero non notare e protezione del tuo sito Web da traffico dannoso con un potente firewall. Inoltre, MalCare lo fa meglio di qualsiasi altro plug-in di sicurezza attualmente disponibile.

iThemes Security vs Sucuri: confronto diretto delle funzionalità

Il modo in cui abbiamo impostato questo confronto è quello di affrontare prima le caratteristiche più essenziali e poi discutere le altre osservazioni che sono emerse durante i test. Molto spesso, abbiamo visto funzionalità e impostazioni che non facevano quasi nulla (stiamo parlando di iThemes) e tuttavia hanno dipinto un'elaborata illusione di sicurezza.

Tagliare la pula per arrivare al grano non è stato facile, ma presenteremo tutti i nostri dati nel modo più chiaro ed equo possibile.

Se vuoi saltare questo smontaggio, ti consigliamo di installare MalCare.

Scansione malware

Gli scanner di Sucuri non hanno rilevato alcun malware sul nostro sito web. A giudicare dalla velocità con cui ha terminato la scansione, iThemes non ha nemmeno scansionato il nostro sito Web alla ricerca di malware.

Sia la versione gratuita che quella a pagamento di Sucuri dispongono di scanner, quindi eravamo interessati a vedere se funziona diversamente. La versione gratuita è alimentata da Sucuri SiteCheck, un'utilità online che esegue la scansione delle parti pubblicamente visibili del tuo sito Web alla ricerca di malware. Naturalmente, questo ha dei limiti, quindi una segnalazione pulita da SiteCheck non è una garanzia per un sito Web privo di malware.

Il piano a pagamento include uno scanner a livello di server che devi installare sul tuo server web. Puoi farlo manualmente o inserire i tuoi dettagli FTP nella dashboard di Sucuri per installarlo automaticamente. È stato un processo relativamente indolore.

Lo scanner è impostato per essere eseguito tutti i giorni, ma è possibile eseguire la scansione su richiesta, in una certa misura. Ulteriori richieste di scansione vengono messe in coda e quindi eseguite. Sucuri mette in guardia contro l'uso di troppe scansioni perché le scansioni consumano le risorse del server.

Questo ci ha fatto riflettere, perché poi ci siamo resi conto che Sucuri utilizza le risorse del nostro sito Web per eseguire scansioni. Con i nostri siti di test, il drenaggio non è stato troppo grave perché i siti sono piccoli e non c'è traffico esterno. Tuttavia, abbiamo sicuramente visto un blip nel nostro utilizzo della CPU. Maggiori informazioni su questo in una sezione successiva.

La versione pro inoltre non ha rilevato alcun malware sul nostro sito Web compromesso. Questo è stato sorprendente, perché i risultati della nostra scansione MalCare hanno individuato chiaramente il malware. Quindi abbiamo presentato una richiesta di rimozione manuale. Una volta che la richiesta è stata gestita dal team di Sucuri, il sito è apparso pulito su MalCare. Ma è allora che lo scanner Sucuri ha segnalato malware sul sito web. Era molto strano.

Fortunatamente, non ci sono stati problemi con lo scanner iThemes. Non cerca malware, puro e semplice. Lo scanner iThemes controlla semplicemente se il tuo sito web è nella lista nera di Google. Questo è tutto. Non siamo rimasti sorpresi nel vedere che i nostri siti non erano effettivamente nella lista nera, considerando che non sono indicizzati.

Pulizia malware

La pulizia del malware non è nell'elenco delle funzionalità di iThemes, quindi ovviamente non è possibile pulire il malware. Sucuri offre servizi di rimozione malware illimitati come parte dei suoi piani a pagamento. A seconda del tuo piano, il tuo sito web verrà ripulito tra le 6 e le 30 ore.

Anche se i risultati della scansione di Sucuri dicevano che il nostro sito Web non conteneva malware, ovviamente sapevamo che non era così. C'era malware ovunque: nei file e nel database. Abbiamo anche avuto un sacco di backdoor lì dentro per buona misura. Gli scanner MalCare hanno confermato che i nostri siti di test erano effettivamente infestati da malware.

Quindi abbiamo inoltrato una richiesta di rimozione malware a Sucuri, indicando chiaramente che sospettiamo la presenza di malware sul sito. Per presentare una richiesta, è necessario compilare un modulo e fornire i dettagli FTP per la pulizia. E poi aspetta i risultati.

Nota a margine: c'era un interessante menu a discesa nel modulo di richiesta di rimozione che elenca i potenziali sintomi che potresti riscontrare. Inoltre, con nostro divertimento, dovevi indicare il tuo livello di competenza tecnica, quindi abbiamo selezionato: “ Nessuna competenza, per favore spiega tutto chiaramente. "

Ringraziamo Sucuri, il loro team ha rimosso tutto il malware dal nostro sito. Inoltre, anche se i termini del nostro piano dicevano che potevamo aspettarci una risoluzione in 30 ore, abbiamo risposto in meno di 10 ore. Quindi questo è stato un enorme favore per il servizio di rimozione malware di Sucuri.

Abbiamo confermato con MalCare che tutto il malware è stato rimosso e poi siamo rimasti sorpresi nel vedere che lo scanner di Sucuri ora contrassegnava il sito come infetto, dopo che il loro team si era ripulito. Era strano.

D'altra parte, iThemes non può pulire il malware, quindi non c'era nulla da testare. Per fortuna, non pretendono di farlo sul loro sito web.

Francamente, la pulizia del malware è la parte più difficile della sicurezza di WordPress e spesso l'aspetto più costoso. I piani a pagamento di Sucuri hanno pulizie illimitate, il che è fantastico perché se le vulnerabilità non vengono affrontate, il malware può ripresentarsi. Se avessimo un difetto da trovare con il servizio di pulizia, sarebbe necessario attendere un po' per la risoluzione. Nel caso del malware, abbiamo visto le infezioni crescere in modo esponenziale in brevi periodi di tempo, quindi questo è motivo di preoccupazione.

Con MalCare, potremmo utilizzare la funzione di pulizia automatica per eliminare il malware in pochi minuti. Mentre aspettavamo che Sucuri tornasse da noi, ci siamo resi conto dell'immenso valore che una rapida pulizia ha per un sito web business-critical.

Firewall

Il firewall di Sucuri funziona e mantiene i nostri attacchi più comuni. iThemes non ha un firewall.

Un firewall è un componente fondamentale per la sicurezza dei siti Web, poiché tiene fuori il traffico dannoso e previene gli exploit. A questo punto dell'articolo, non saresti sorpreso di sapere che iThemes non ha un firewall. Perché dovrebbe? Fallisce sotto ogni altro aspetto come plug-in di sicurezza.

Sucuri, invece, ha protetto il nostro sito dagli attacchi wordpress. L'abbiamo testato contro vulnerabilità come caricamenti di file illimitati, XSS e SQL injection. Il firewall ha bloccato tutti i nostri tentativi di sfruttare queste vulnerabilità e caricare malware sul sito web. Non siamo stati in grado di testare attacchi più complessi, in tutta trasparenza.

Pertanto il firewall di Sucuri funziona, ma dobbiamo anche menzionare quanto sia stato frustrante configurare il firewall. Il modo in cui funziona il firewall è che agisce come uno strato tra il traffico in entrata e il tuo sito web. Pertanto tutto il traffico colpisce prima il firewall di Sucuri e viene quindi reindirizzato al tuo sito web.

Come puoi immaginare, questo richiede una certa configurazione. Il dominio che utilizzi per il tuo sito web deve prima puntare a Sucuri, il traffico viene analizzato e quindi il traffico consentito viene inviato al tuo sito web. Il che è fantastico, ma è una seccatura configurare il firewall se non si ha esperienza con i server dei nomi e la configurazione DNS.

Nel complesso, è decisamente meglio avere una soluzione di sicurezza che funzioni immediatamente. Nessuna configurazione complessa per proteggere il nostro sito web. Sai, come il tipo che ottieni con MalCare.

Rilevamento vulnerabilità

Sucuri ha rilevato la maggior parte delle vulnerabilità sul nostro sito web, anche se non tutte. iThemes non ne ha trovati.

Dopo aver abilitato lo scanner lato server, Sucuri ha rilevato che sul sito Web erano installati alcuni plug-in vulnerabili. Non li ha rilevati tutti e la raccomandazione era semplicemente di aggiornarli.

Inoltre, c'è una vista post-hack su wp-admin che elenca i plugin e i temi attualmente installati, le loro versioni installate e le ultime versioni disponibili. Nella descrizione di questa sezione, Sucuri menziona che le vulnerabilità sono legate alla sicurezza del sito Web ed è buona norma mantenere tutto aggiornato. È improbabile che qualcuno arrivi lassù con uno sguardo di routine attraverso il plug-in, quindi non siamo sicuri che il posizionamento sia utile.

Come parte della richiesta di rimozione del malware, Sucuri ci ha anche inviato un messaggio per raccomandarci di applicare misure di rafforzamento e aggiornare i nostri (2 su 3) plugin vulnerabili. Questo fa parte della loro lista di controllo post-hacking.

iThemes non contrassegna le vulnerabilità. Tuttavia, ha un contatore estremamente inutile sulla dashboard, che indica quanti aggiornamenti sono stati eseguiti dal momento in cui è stato installato il plug-in. Come queste informazioni possano essere utili, non possiamo capire.

Protezione accesso forza bruta

Sucuri dovrebbe bloccare gli attacchi di forza bruta e avvisarti, ma non lo fa neanche. iThemes a volte lo fa, a volte no. Difficile dire quale sia peggio.

iThemes registra ogni tentativo di accesso errato come un attacco di forza bruta, che francamente è terrificante per un utente da vedere. In un caso, abbiamo davvero dimenticato la password.

Quando abbiamo provato a forzare brutamente la pagina di accesso, abbiamo visto risultati irregolari. iThemes ha bloccato i tentativi su 1 sito ma non sull'altro. Abbiamo provato a capire cosa stava causando questa discrepanza, ma l'unica differenza era il malware sul sito web. Poiché il malware di solito è una conseguenza di attacchi di forza bruta riusciti, non pensiamo che questo sia il motivo. Più probabilmente, sembra esserci un bug che fa funzionare sporadicamente la funzione. In effetti, è inutile.

Sucuri ci ha dato speranza, perché esiste un insieme granulare di opzioni per gli attacchi di forza bruta. Puoi impostare il numero di tentativi falliti che contano come attacco di forza bruta. Lo impostiamo su un numero molto modesto di 30 tentativi all'ora, anche se gli attacchi di accesso sono in genere di diversi 100 tentativi al minuto.

Dopo aver visto tutte le impostazioni per i blocchi, eravamo un po' preoccupati di essere bloccati fuori dal sito. Avevamo disattivato MalCare, in modo che la protezione dell'accesso di MalCare non bloccasse il tentativo. Tuttavia, non è successo niente. Abbiamo provato oltre 40 accessi errati in 3 minuti, eppure Sucuri non ha generato un avviso. Controllato i registri di controllo e l'autenticazione fallita si presenta a posto. Ma nessun avviso. Nessun blocco. Niente.

Registro delle attività

iThemes ha una funzione di registro attività incompleta. Sucuri ne ha uno buono, ma può essere oscuro.

Sucuri ha una funzione chiamata Audit Logs, che tiene traccia di tutte le azioni di utenti, plugin e temi. La funzione funziona come previsto, tuttavia una delle impostazioni ci ha messo in pausa. Hai bisogno di una chiave API per "impedire agli aggressori di eliminare i log". Questo in pratica autorizza Sucuri a raccogliere e archiviare dati sul sito Web fuori sede, il che va bene, ma il linguaggio che usano è a dir poco stridente. Maggiori informazioni su questo nella sezione sull'usabilità.

Sebbene i registri funzionino come, beh, i registri e raccolgano il timestamp, l'utente e l'azione, possono essere molto oscuri. Ad esempio, abbiamo installato un nuovo plug-in che viene visualizzato come plug-in attivato. Fin qui tutto bene. E ci sono altre 7 voci nel registro che mostrano cosa ha interessato l'installazione. Ma ci sono poche spiegazioni sul significato di queste voci. Sono forse file o cartelle modificati? No, in seguito ci siamo resi conto che questo particolare plug-in, che è un plug-in della galleria, ha modificato il modello per i post. Ha senso, ma la rivelazione non è venuta da Sucuri.

Un registro delle attività è una parte importante del toolkit di sicurezza del tuo sito web. Gli hacker approfittano di una registrazione insufficiente per attaccare i siti, quindi dovresti aspettare un registro affidabile di cui ti puoi fidare per condividere informazioni corrette sul tuo sito web.

Fondamentalmente, non come quello che ha iThemes. Il registro delle attività qui contiene alcune informazioni utili, come l'attività dell'utente, la gestione delle versioni, le scansioni del sito e gli attacchi di forza bruta. Niente su plugin o temi però. C'è una funzione separata che ti invia ogni giorno anche un rapporto di modifica dei file. Tutto sommato, i log sono inadeguati perché non dipingono un'immagine accurata del tuo sito web.

Autenticazione a due fattori

iThemes ha un'ottima funzione di autenticazione a due fattori che funziona immediatamente. Sucuri no.

Dopo aver cestinato iThemes in questo e in altri articoli simili della serie, siamo lieti di segnalare che questa è una delle uniche funzionalità di sicurezza che funziona effettivamente su iThemes e funziona piuttosto bene.

La funzione di autenticazione a due fattori su iThemes è molto robusta. Ha un sacco di personalizzazioni e funziona fuori dagli schemi senza problemi. Il plug-in aiuta anche a imporre password complesse, che sosteniamo fortemente.

La nostra unica preoccupazione qui è che la versione iThemes pro ha un sacco di impostazioni che rimuovono i token di accesso per facilità d'uso: accesso senza password, dispositivi affidabili, collegamenti magici e così via. Sebbene questi siano utili per facilitare il processo di accesso, vanificano lo scopo dell'autenticazione a due fattori.

Abbiamo cercato l'autenticazione a due fattori quando abbiamo testato Sucuri. Abbiamo scoperto che esiste sulla dashboard di Sucuri. Tuttavia, siamo rimasti entrambi divertiti e perplessi dalla consapevolezza che l'autenticazione a due fattori è disponibile per il tuo account Sucuri, non per il tuo sito Web WordPress.

Utilizzo delle risorse del server

iThemes non esaurirà affatto le risorse del tuo server, perché non fa nulla. Sucuri paralizzerà le prestazioni del tuo sito web con le sue scansioni.

È interessante notare che le persone non ci chiedono spesso informazioni sulle risorse del server nel contesto della sicurezza. Ma idealmente, vuoi che il tuo sito web sia protetto e non rallenti durante il processo. Lo scanner di Sucuri lo farà sul tuo sito.  

Le scansioni di Sucuri affermano di utilizzare le risorse del server del sito Web a titolo definitivo. In effetti, sembrano scoraggiare le scansioni frequenti per questo motivo. Francamente, questo è terribile. Perché qualcuno dovrebbe scegliere tra prestazioni e costi del server ragionevoli da una parte e sicurezza dall'altra? Non scherzavano però. Si è verificato un enorme picco nelle risorse del server non appena abbiamo installato Sucuri e quindi eseguito una seconda scansione. Se su un sito piccolo la differenza è così evidente, su un sito grande sarà molto di più.

Inoltre, in Impostazioni generali sulla dashboard, c'è un'impostazione per l'archiviazione dei dati che sembra indicare che Sucuri memorizza un sacco di dati (registri per lo più dall'aspetto) sul sito Web stesso. Questo è probabilmente il motivo per cui è necessaria una chiave API, perché per impostazione predefinita si trova tutta nella cartella dei caricamenti, che è una cartella accessibile pubblicamente. C'è un'opzione per cambiare l'archiviazione in una cartella non accessibile pubblicamente, ma quella avrebbe dovuto essere l'impostazione predefinita per cominciare.

iThemes non esaurirà le risorse del tuo server. Come può, se non fa niente?

Avvisi

iThemes non ti avvisa di nulla. Sucuri lo fa, ma devi stare attento a quali avvisi vuoi ricevere. La tua casella di posta potrebbe riempirsi in poche ore.

Sucuri ti consente di impostare avvisi da inviare a persone specifiche, personalizzare il formato degli avvisi e molto altro. È inoltre possibile aggiungere intervalli di indirizzi IP in modo che tali indirizzi non vengano contrassegnati per gli avvisi. Fai attenzione però alle descrizioni piene di gergo. Che cos'è il " routing tra domini senza classi "? Non volevamo sapere, volevamo solo proteggere il sito web.

A giudicare dalle impostazioni granulari per gli avvisi, Sucuri sembra essere profondamente consapevole del fatto che potenzialmente inviano troppi avvisi. C'è un'impostazione per configurare il numero massimo di avvisi ricevuti in un'ora, diciamo fino a 5 e-mail. Il problema con questo è: supponiamo che i primi 5 fossero falsi positivi e il sesto no? C'è un disclaimer lì, ma ancora una volta, meglio avere le informazioni effettive rispetto a una funzionalità inutile. La nostra conclusione qui è che qualsiasi amministratore non vedrà la foresta per gli alberi. C'è solo troppo rumore.

Sorprendentemente, stiamo ancora rivedendo iThemes, senza rinunciarci per una causa persa. iThemes ci ha inviato rapporti di notifica di modifica dei file, backup del database e altre conferme delle nostre impostazioni. Siamo stati anche iscritti a un digest quotidiano sulla sicurezza del nostro sito Web e a un rapporto sulle vulnerabilità una volta alla settimana, presumibilmente in modo da poterli confrontare con i nostri siti Web. Era già abbastanza brutto con un sito, con più siti poteva sfuggire completamente di mano.

Installazione, configurazione e usabilità

L'installazione di iThemes è stata sorprendentemente difficile, a causa delle confuse opzioni di configurazione. Sucuri era abbastanza semplice, ma le opzioni di configurazione nel plugin erano terribilmente scoraggianti.

iThemes è stato il primo plugin che abbiamo testato, quindi inizialmente sembrava facile. Ha anche impostato la barra per le impostazioni più inutili. Devi passare attraverso una configurazione per poter creare un dashboard di sicurezza. Abbiamo esaminato ciascuna delle impostazioni, ma nessuna di esse ha un impatto reale sulla sicurezza, quindi le abbiamo impostate a caso e l'abbiamo lasciata lì.

Sucuri è stato installato senza problemi e il plug-in si è installato principalmente da solo. Abbiamo dovuto creare un account con Sucuri per accedere alle funzionalità a pagamento. Inoltre, vale la pena sottolineare che per installare lo scanner lato server, è necessario utilizzare il dashboard esterno Sucuri. Non è difficile da fare se hai i dettagli FTP prontamente disponibili, anche se non vediamo molto perché non ha rilevato alcun malware.

La dashboard di iThemes sul tuo wp-admin è rumorosa. Non ci sono informazioni relative alla sicurezza rilevanti.

La dashboard e le impostazioni di Sucuri sono incredibilmente complicate. Abbiamo passato ore a cercare di capire cosa intendono con i termini tecnici che usano. In alcuni casi, il plug-in ti dice l'impostazione consigliata, quindi l'utente sta essenzialmente lavorando sulla fede cieca. L'unico problema è che Sucuri non ispira fede cieca, perché il loro scanner di malware non funziona!

Vorremmo che questo plugin fosse più facile da capire. Sembra molto complicato e sembra fare un sacco di cose, ma non possiamo esserne sicuri perché alcune delle cose che sappiamo essere importanti, come la protezione dalla forza bruta, non sembrano funzionare.

Il firewall e lo scanner lato server devono essere abilitati separatamente. Ci è voluta più di una settimana per capire questo plugin con 3 siti web. Rabbrividiamo al pensiero di cosa accadrebbe a qualcuno che gestisce di più. È così noioso da configurare.

Vogliamo ribadire che le impostazioni sono difficili da comprendere per gli utenti non tecnologici. Non sapevamo che esistesse qualcosa chiamato software di analisi dei log. Abbiamo anche visto messaggi interessanti per il proxy inverso, in cui Sucuri ci dice utilmente di non preoccuparci di questa opzione a meno che non sappiamo di cosa si tratta. Grazie per la confusione con un lato di condiscendenza.

iThemes: Extra

C'è una funzione di whitelist molto elaborata su iThemes, il che è stato sorprendente finché non ci siamo resi conto che sembra esserci un numero eccessivo di reclami sul blocco del sito che abbiamo visto. Ci sono due problemi con questo: uno è che gli IP del dispositivo cambiano, quindi inserire nella whitelist il tuo IP non è una protezione tanto quanto potresti pensare; e due, abbiamo provato tutto il possibile per attivare un blocco. Ma non è successo.

Il monitoraggio delle modifiche ai file è un'altra funzionalità che sembra una buona idea, a meno che tu non sappia nulla sulla sicurezza. Gli hacker possono modificare i timestamp dei file, fino al punto di far sembrare che il file non sia stato modificato da anni. Inoltre c'è un elenco di esclusione dei tipi di file per questo monitor. Francamente, questo mostra una mancanza di comprensione del malware. Il malware può nascondersi in qualsiasi file, inclusi ad esempio i file .ico.

iThemes ha un buon sistema di gestione delle password. Puoi imporre password complesse e rifiutare di consentire password compromesse. È anche possibile impostare le password dell'applicazione per XML-RPC, se lo si desidera.

Infine, iThemes ha alcune funzionalità di rafforzamento, la maggior parte delle quali non consigliamo affatto. L'unico che ha senso è bloccare l'esecuzione di PHP nella cartella dei caricamenti. Questo impedisce un certo tipo di attacco malware. Gli altri, consigliamo di ignorarli del tutto.

Sucuri: Extra

La dashboard di Sucuri su wp-admin sembra piuttosto impressionante, ma fin dall'inizio abbiamo visto che la più grande infobox è l'integrità di WordPress. Si spera che questo sia solo per la versione gratuita che stiamo attualmente utilizzando, perché questa è essenzialmente una versione vestita di un monitor di modifica dei file per i file core di WordPress.

In alcuni casi, potremmo vederlo utile, considerando che molti malware entrano nei file principali. Al contrario, possiamo anche vedere che può essere una sinecura perché le persone inesperte potrebbero credere che sia l'entità del malware che è un pensiero spaventoso. Stranamente, 2 dei 3 file di integrità wordpress contrassegnati provenivano da MalCare: il connettore di emergenza e il firewall.

Più in profondità nelle impostazioni, c'è un'utilità di integrità diff per confrontare i file principali e trovare le differenze. Questo potrebbe essere più facile da usare rispetto a un'utilità di controllo diff online.

C'era un numero considerevole di opzioni di rafforzamento: alcune utili, altre meno. Ci è piaciuto poter bloccare PHP nella cartella dei caricamenti, nel firewall e attivare l'aggiornamento automatico delle chiavi segrete, che modifica i sali di wordpress.

Tuttavia, la verifica della versione di WordPress, la rimozione della versione di WordPress, l'evitare la fuga di informazioni (rimuove il file readme che WordPress ha appena ricreato) e la verifica dell'account amministratore predefinito sono tutte funzioni sciocche con un impatto minimo sulla sicurezza. Francamente, l'intero settore della sicurezza è passato da questi trucchi.

Se scegli di disabilitare il plug-in e l'editor del tema, troverai l'aggiornamento complicato. Include un avvertimento su alcuni plugin e temi che richiedono l'accesso ai file PHP in queste cartelle. Questo è inadeguato. Caso in questione: gli stessi Sucuri salvano i file PHP nella cartella dei caricamenti. Non vogliono accedere ai propri file dalla loro dashboard esterna? O è un'eccezione alla regola? In tal caso, la regola sembra flessibile in modi nascosti all'utente.

Eravamo interessati a verificare la funzione post-hack sulla dashboard di wp-admin. Dopo la pulizia, assicurati di fare tutto il possibile per proteggere il tuo sito Web da futuri attacchi. L'idea ci è piaciuta, finché non abbiamo guardato un po' oltre.

Puoi aggiornare le chiavi segrete (cambiare i sali di wordpress) dalla dashboard. L'unico problema è che è in chiaro, visibile a tutti gli amministratori che hanno effettuato l'accesso a wp-admin. Se un hacker ha un account con accesso amministrativo, questo è ridicolmente pericoloso. Questa funzione ha senso solo se un utente ha verificato che nessuno degli account amministratore è compromesso e quindi modifica i sali. Un punto che non è menzionato da nessuna parte.

È possibile reimpostare le password degli utenti. Ancora una volta, una funzionalità apparentemente buona fino a quando non leggi la stampa fine: “Seleziona gli utenti dall'elenco per modificare le loro password, terminare le loro sessioni e inviare loro un link per reimpostare la password tramite e-mail. Tieni presente che il plug-in cambierà le password prima di inviare le e-mail, il che significa che se il tuo server web non è in grado di inviare e-mail, i tuoi utenti verranno bloccati fuori dal sito.

C'è un posto dove vedere gli aggiornamenti di plugin e temi disponibili, che è la gestione della versione di base. Non aggiunge nulla alla funzionalità del dashboard di amministrazione esistente. Tuttavia, può servire a educare le persone che plugin e temi obsoleti sono collegati alla sicurezza.

Cosa manca a iThemes Security e Sucuri

iThemes non ha un firewall, che è una grave lacuna per la sicurezza di WordPress. I firewall proteggono i siti da determinati tipi di attacchi e sono preziosi se il tuo sito web presenta delle vulnerabilità.

Lo scanner di malware di Sucuri non è adeguato. Quindi, anche se il servizio di rimozione del malware è ottimo, devi indovinare che c'è del malware sul tuo sito web perché lo scanner non lo segnalerà.

iThemes Security vs Sucuri: prezzi

Il piano della piattaforma di base di Sucuri a $ 199,99 all'anno per sito è un buon affare per servizi di rimozione malware illimitati. Tuttavia, considerando che dovrebbe avere anche uno scanner funzionante, questo è tutto ciò che il tuo sottomarino otterrà per te. iThemes non vale niente. Basta non preoccuparti.

Abbiamo chiarito abbondantemente la nostra opinione su iThemes in questo articolo. L'unica caratteristica degna di nota in iThemes è l'autenticazione a due fattori, disponibile nel piano gratuito. Sicuramente non consigliamo il piano Pro.

Il prezzo di Sucuri è un affare per un servizio di rimozione malware, ma l'unico neo è lo scanner. Se non sai di avere malware, non puoi inviare una richiesta di rimozione.

Migliore alternativa a iThemes Security e Sucuri: MalCare

Investi in un buon plug-in di sicurezza che analizzerà, pulirà e proteggerà il tuo sito Web dagli hacker. Di tutti i plugin che abbiamo testato per questa serie, MalCare si distingue come l'opzione migliore. MalCare ha la meglio su iThemes in, beh, tutto, e scansiona il malware meglio di Sucuri.

In effetti, il piano Basic da $ 99 di MalCare è migliore del piano Basic Platform da $ 199,99 di Sucuri, con anche la rimozione istantanea del malware. Include anche pulizie illimitate

Conclusione

La sicurezza del tuo sito web è di fondamentale importanza. Abbiamo visto molti clienti risparmiare su un plug-in di sicurezza, solo per affrontare perdite devastanti dopo un hack. Un cliente si è arreso dopo un certo punto e ha deciso di ricostruire il suo sito Web da zero. Il malware è costoso, MalCare no.

L'articolo ti ha aiutato a prendere una decisione? Ci piacerebbe sapere! Mandaci una riga.