Sucuri Vs Jetpack: qual è il plug-in di sicurezza migliore?

In una discussione sulla sicurezza di WordPress, arriva inevitabilmente Sucuri. È uno dei plugin di sicurezza più popolari oggi disponibili. I piani pro includono uno scanner lato server, un firewall e una rimozione manuale illimitata del malware.

Jetpack è una soluzione all-in-one per molte funzionalità di WordPress; non sorprende dal momento che è costruito da Automattic. Inoltre, avere un plug-in che fa il lavoro di molti è un'opzione interessante, quindi Jetpack è un vero contendente nella nostra serie di test sui plug-in di sicurezza.

Ma se ignoriamo i campanelli e i fischietti, quale plugin di sicurezza protegge meglio il tuo sito WordPress?

Abbiamo testato i primi 5 plugin di sicurezza per ottenere quella risposta. Per 45 giorni, abbiamo testato i plug-in contro malware, vulnerabilità, attacchi e molto altro. Continua a leggere per saperne di più sui nostri risultati e, cosa più importante: la nostra scelta per un plugin di sicurezza per WordPress che funzioni davvero.

VERDETTO : Sucuri vs Jetpack è stato difficile da decidere, perché entrambi hanno fallito in modi diversi. Alla fine, pensiamo che Sucuri abbia la meglio su Jetpack. Lo scanner di malware di Jetpack è riuscito a rilevare parte del malware, a differenza di Sucuri, che non è riuscito a rilevare nulla. Ma il servizio di rimozione del malware di Sucuri ha svolto bene il lavoro, mentre Jetpack non aveva alcuna opzione per la pulizia. Onestamente, anche se nessuno dei due era abbastanza bravo, quindi la nostra raccomandazione è MalCare.

La nostra scelta

Abbiamo sottoposto ciascuno dei primi 5 plugin di sicurezza a 45 giorni di test. Abbiamo usato 3 siti web: 1) un blog ordinario come controllo; 2) un blog con plug-in vulnerabili e 3) un sito con malware nei file e nel database come livello principale.

C'è un elenco di fattori più avanti nell'articolo per mostrare come abbiamo classificato ogni plugin, ma in breve abbiamo testato lo scanner, il pulitore e il firewall (se il plugin ne aveva uno) per arrivare ai nostri risultati.

È importante scegliere un plug-in di sicurezza che tu possa essere sicuro protegga il tuo sito Web dagli hacker e dal loro malware. Quel plugin è, senza dubbio, MalCare.

Riepilogo del confronto tra Sucuri e Jetpack

In questa gara in cui il vincitore prende tutto, Sucuri supera Jetpack grazie agli eccellenti servizi di rimozione malware che offre. Tuttavia, è una vittoria vuota, perché lo scanner di Sucuri è uno dei peggiori che abbiamo visto finora.

Jetpack in poche parole

I piani a pagamento di Jetpack hanno uno scanner di malware medio, che rileverà parte del malware sul tuo sito web. Il resto delle funzionalità di sicurezza sono ragionevolmente buone, ma non compensano lo scanner o la mancanza di pulizia del malware e firewall. Nel complesso, Jetpack è una mancanza.

Jetpack è stato il secondo plugin che abbiamo testato, subito dopo iThemes, e siamo rimasti favorevolmente colpiti perché almeno ha fatto qualcosa. Ovviamente, questo non lo rende un buon plugin di sicurezza.

Sul lato positivo, il registro delle attività di Jetpack è eccezionale. Un registro delle attività è uno strumento fondamentale per il debug e la sicurezza del sito web. Pensiamo anche che la dashboard esterna su WordPress.com sia ottima e sia un'interfaccia familiare con cui lavorare. Poiché siamo grandi sostenitori dei backup, ci piace quella parte delle funzionalità di Jetpack.

Tuttavia, nessuna delle precedenti è una ragione sufficiente per un piano a pagamento, poiché Jetpack scrive molti assegni che non può incassare. Abbiamo già detto che lo scanner non funzionava bene. Ha rilevato circa il 30% del malware sul sito web. La protezione dalla forza bruta è al massimo mediocre. Abbiamo provato ad attaccare la pagina di accesso e, dopo alcuni accessi falliti, abbiamo visto un captcha. Ma il nostro IP non è stato contrassegnato e nemmeno abbiamo ricevuto un avviso via e-mail. Quando abbiamo controllato i log, però, l'attacco è stato registrato.

Inoltre, Jetpack rileva solo alcune delle vulnerabilità del sito web. Dei 3 che avevamo installato, ne ha segnalati 2. Nei casi in cui i siti Web presentano molte più vulnerabilità, il rapporto sarà sicuramente molto peggiore.

Nessun plug-in di sicurezza è perfetto, ma ne vorremmo uno che si avvicini il più possibile alla perfezione. Jetpack non è quel plugin.

Sucuri in poche parole

Sucuri ha una recensione mista da parte nostra, perché le sue funzionalità di pulizia del firewall e del malware hanno funzionato bene, ma lo scanner non ha funzionato affatto. La scansione del malware deve essere al 100% e nessun plug-in di sicurezza vale la pena senza uno scanner funzionante.

Sucuri è uno dei plug-in di sicurezza WordPress più popolari disponibili oggi, eppure non è all'altezza di un'area critica: la scansione del malware. Se lo scanner non funziona, non c'è modo di sapere che il tuo sito web è stato infettato da malware. E se non sai che lo è, non c'è modo di affrontarlo.

Negli altri due aspetti, firewall e pulizia del malware, Sucuri se l'è cavata bene. Il firewall ha bloccato la maggior parte degli attacchi e il servizio di rimozione del malware era di prim'ordine. Ci sono anche alcune utili opzioni di rafforzamento sulla dashboard. Anche le richieste illimitate di rimozione del malware sono un ottimo affare, soprattutto se confrontate con alcuni degli altri servizi disponibili.

D'altra parte, la configurazione e le impostazioni erano un incubo, specialmente il firewall. Abbiamo faticato a installare il firewall senza un registrar di domini e, francamente, è stato un processo frustrante. Le scansioni di sicurezza hanno anche caricato le nostre risorse del server nella misura in cui abbiamo visto la differenza sul nostro sito web. Fortunatamente il nostro sito Web era su hosting dedicato, altrimenti le società di hosting condiviso ci avrebbero inviato un'e-mail di violazione abbastanza rapidamente.

L'asporto qui è che devi scegliere tra sicurezza e prestazioni con Sucuri. Questo è un pessimo compromesso da fare. Nel complesso, Sucuri è sia un plug-in di sicurezza buono che cattivo, e quindi una contraddizione. Non raccomandiamo una contraddizione come misura di sicurezza. Sto solo dicendo.

Come scegliere il plug-in di sicurezza giusto per WordPress

In un panorama di minacce in continua evoluzione, un plug-in di sicurezza è l'unico modo per proteggere il tuo sito Web, i dati, i visitatori e l'azienda. Gli hacker causano enormi danni con malware, rubando denaro, dati e identità alle persone. In qualità di proprietario di un sito Web, un plug-in di sicurezza è una parte essenziale del tuo toolkit di amministrazione.

Tuttavia, la scelta del plug-in di sicurezza giusto non è semplice. Ci sono così tanti plugin, ognuno che afferma di essere migliore dell'altro. Allora come scegli quello giusto?

In termini di sicurezza, ci sono solo 3 funzionalità essenziali di un plug-in di sicurezza: scansione malware, pulizia malware e firewall. Tutto il resto è un bonus. Questo non vuol dire che la protezione dalla forza bruta non sia importante, perché sicuramente lo è. Ma se non hai l'essenziale 3, tanto vale non avere gli altri.

Quando valuti un plugin di sicurezza, questi sono i fattori che dovresti cercare:

• Funzionalità di sicurezza essenziali
  
  • Scansione malware
  • Pulizia malware
  • Firewall
• Funzionalità di sicurezza utili
  
  • Rilevamento vulnerabilità
  • Protezione accesso forza bruta
  • Registro delle attività
  • Autenticazione a due fattori
• Potenziali problemi
  
  • Impatto sulle risorse del server

L'unico plug-in che ha tutte le funzionalità necessarie per proteggere i siti Web WordPress è MalCare. Mentre continuiamo a parlare in questo articolo, ognuno degli altri ha fallito in un modo o nell'altro, soprattutto deludendoci nelle 3 aree essenziali.

Sucuri vs Jetpack: confronto diretto delle funzionalità

Per rendere questo confronto il più utile possibile, abbiamo organizzato le sezioni in base ai criteri sopra elencati. Questi sono gli aspetti più importanti di un plug-in di sicurezza, ma vogliamo anche toccare le nostre altre esperienze come la facilità di configurazione, il rapporto qualità-prezzo e così via.

Abbiamo presentato i nostri risultati in modo equo e il più conciso possibile per aiutarti a prendere la decisione giusta per la sicurezza del tuo sito web. Tuttavia, se hai bisogno rapidamente di una soluzione di sicurezza, ti consigliamo di installare MalCare per una sicurezza WordPress senza precedenti.

Scansione malware

Né SiteCheck né lo scanner a livello di server di Sucuri hanno rilevato il malware sul nostro sito web. Lo scanner di Jetpack ha rilevato parte del malware.

Sucuri ha due scanner di malware: SiteCheck e uno scanner a livello di server che devi installare dalla dashboard di Sucuri. Volevamo testarli entrambi, perché spesso consigliamo SiteCheck, uno scanner gratuito, come diagnostica di primo livello per i siti web. SiteCheck esegue la scansione delle parti pubblicamente visibili del tuo sito Web, quindi solo se non trova malware che non è una garanzia di un sito Web pulito. Tuttavia, non è necessario installare SiteCheck per utilizzarlo. Così tanti amministratori lo trovano più facile da usare nel caso in cui un host web abbia sospeso il proprio sito o Google lo abbia inserito nella lista nera.

Passando allo scanner a livello di server, fornito con i piani premium di Sucuri, devi installarlo sul tuo server web. Puoi scegliere di farlo manualmente o inserire i tuoi dettagli FTP per farlo dalla tua dashboard. Una volta installato, lo scanner ha impiegato molto tempo per controllare la presenza di malware nel nostro sito web.

Quando la scansione è stata completata, i risultati hanno mostrato che il nostro sito Web era privo di malware. I risultati erano sbagliati, perché il nostro sito web era pieno di malware, sia nei file che nel database. Abbiamo quindi provato a eseguire nuovamente la scansione alcune ore dopo, ma i risultati erano gli stessi. Apparentemente non c'era malware sul nostro sito Web gravemente compromesso.

Lo scanner è impostato per essere eseguito una volta al giorno, ma è possibile richiedere scansioni ad hoc. Le richieste vengono messe in coda e quindi eseguite. L'unica cosa qui è che Sucuri ti avverte di eseguire troppe scansioni, perché le scansioni consumano le risorse del server. Questo non è buono. Le scansioni non dovrebbero occupare le risorse di un sito Web perché ciò ha un impatto sulle prestazioni del sito Web. Torneremo su questo punto più avanti nell'articolo.

Jetpack ha uno scanner di malware nei suoi piani a pagamento e, dopo aver visto come Sucuri ha sfaldato la parte di scansione, siamo rimasti piacevolmente sorpresi nel vedere che Jetpack ha effettivamente segnalato parte del malware.

L'eccitazione è stata però di breve durata, perché Jetpack non ha segnalato tutto il malware. In effetti, non ha rilevato una grossa fetta di malware. Quindi, sebbene abbia fatto meglio di Sucuri in questo senso, rilevare alcuni malware equivale a non rilevare alcun malware. Di conseguenza, è probabile che il sito Web rimanga violato. Per una scansione approfondita del tuo sito Web, non cercare oltre lo scanner di malware MalCare.

Pulizia malware

Jetpack non ha la pulizia del malware. Sucuri ha un ottimo servizio di pulizia manuale del malware che ha eliminato il malware dal nostro sito Web entro 12 ore.

Siamo in conflitto su Sucuri a questo punto, perché mentre siamo rimasti seriamente colpiti dal loro servizio di pulizia, lo scanner ha dato al nostro sito compromesso una pedina pulita. Sulla base di questi risultati, in teoria non avremmo saputo che il nostro sito Web conteneva malware. Ma poiché si trattava di un'attività di test, abbiamo richiesto una pulizia manuale sapendo che il nostro sito conteneva sicuramente malware.

Secondo il nostro piano, potremmo aspettarci che la nostra pulizia sia stata completata entro 30 ore. A prima vista, è molto tempo da aspettare se il tuo sito web viene violato. Ad esempio, se il tuo sito Web è nella lista nera di Google, il tempo che passa è una perdita di entrate. Tuttavia, abbiamo recuperato un sito pulito in meno di 10 ore. Siamo rimasti molto colpiti.

Per richiedere una pulizia del malware da Sucuri, devi compilare un modulo con tutti i dettagli che puoi inserire. Indica le tue capacità tecniche, inserisci le tue credenziali FTP e otterrai un sito pulito. Abbiamo controllato il sito pulito con MalCare ed era perfettamente pulito. Fantastico! Il team ci ha fornito una lista di controllo post-pulizia, ci ha avvertito delle vulnerabilità sul sito Web e siamo stati a posto.

Tranne una piccola cosa: dopo che il team di Sucuri ha rimosso il malware e MalCare lo ha confermato, lo scanner di Sucuri ha poi affermato che il sito era stato violato. Dopo che è stato pulito dalla loro squadra? Vai a capire.

I piani di sicurezza di Jetpack non includono la rimozione del malware, anche se dicono che possono sbarazzarsi di alcune infezioni. Dopo aver eseguito lo scanner di malware, abbiamo visto che alcuni malware erano stati segnalati, ma nessuno era risolvibile. Infatti, in tutte le istanze di malware segnalate, Jetpack consiglia gentilmente di rivolgersi a un servizio di rimozione malware.

La nostra preoccupazione con Jetpack è che contrassegnando la posizione del malware e il codice stesso, sembra raccomandare la pulizia manuale come opzione. Questa non è una decisione saggia. I siti Web compromessi sono campi minati, soprattutto perché il malware può nascondersi ovunque. La pulizia manuale del malware è soggetta a errori umani e corre il rischio di interrompere completamente il sito Web.

Un servizio di rimozione malware è una proposta costosa e non vi è alcuna garanzia che il tuo sito web non venga nuovamente violato. I costi possono accumularsi in modo significativo in tal caso. I piani di Sucuri prevedono pulizie illimitate, il che è fantastico. Il nostro unico problema con Sucuri è che lo scanner non ti avviserà della maggior parte del malware, quindi come fai a sapere quando richiedere una pulizia?

Abbiamo usato MalCare per cercare malware e anche per ripulire il nostro sito Web in pochi minuti. La funzione di pulizia automatica ha eliminato il malware dal nostro sito, senza la necessità di credenziali FTP o la richiesta di rimozione. Era indolore e senza soluzione di continuità, e quasi istantaneo. Difficile da battere.

Firewall

Il firewall di Sucuri ha svolto un lavoro decente nel gestire gli attacchi più comuni, ma è stato un incubo da installare. Jetpack non ha un firewall.

Sucuri ha un firewall incluso nei suoi piani di sicurezza, ma ha anche piani firewall autonomi. Volevamo testare l'efficacia del firewall, quindi abbiamo provato a configurarlo sul nostro sito web.

Prima ancora di parlare di come funziona il firewall, dobbiamo prenderci del tempo per esprimere quanto sia orribile l'esperienza dell'installazione del firewall di Sucuri. Avevamo un piano premium esistente e c'era già un sito Web configurato per il firewall. Quindi, quando abbiamo provato a sostituire quel sito Web con il nostro sito Web di prova, Sucuri si è semplicemente rifiutato di muoversi.

Il problema qui è che per utilizzare il firewall, devi indirizzare il DNS del tuo sito Web ai server dei nomi del firewall. Ciò significa che tutto il traffico che colpisce il tuo sito Web passerà prima attraverso il firewall di Sucuri e quindi verrà reindirizzato al tuo sito Web. Se questo suona complicato, è perché è follemente complicato.

In ogni caso, siamo stati in grado di configurare un sito di test con vulnerabilità come upload di file senza restrizioni, XSS e SQL injection dopo pochi giorni. Il firewall ha bloccato tutti i nostri tentativi di sfruttare queste vulnerabilità e caricare file dannosi.

In tutta trasparenza, non siamo stati in grado di testare attacchi più complessi nei tempi previsti. Tuttavia, qualunque cosa abbiamo lanciato contro il firewall di Sucuri è stata bloccata.

I firewall sono parte integrante della sicurezza del tuo sito web. Tengono fuori il malware impedendo agli hacker di sfruttare le vulnerabilità nel sito web. Jetpack non ne ha uno, e questo è un buco nel loro plugin di sicurezza.

MalCare fa un ottimo lavoro nel proteggere il tuo sito web da diversi tipi di attacchi. Ed è facile da configurare a differenza di Sucuri.

Rilevamento vulnerabilità

Sia Jetpack che Sucuri hanno rilevato solo alcune delle vulnerabilità sui nostri siti web.

Una volta installato lo scanner lato server di Sucuri, la scansione ci ha rivelato che avevamo alcune vulnerabilità sul nostro sito web. Lo scanner non ha rilevato alcuni dei più oscuri e sostanzialmente ha raccomandato di aggiornare i plugin e i temi obsoleti.

È interessante notare che c'è una scheda post-hack sul plugin Sucuri su wp-admin. Ha un elenco di versioni dei plugin e dei temi installati, insieme alle ultime versioni. Nella piccola stampa di questa pagina, Sucuri menziona che il software obsoleto è un rischio per la sicurezza e spesso porta a infezioni da malware.

Il team di Sucuri ci ha anche inviato un elenco di consigli per aggiornare i plugin e i temi obsoleti, in modo da affrontare le vulnerabilità. Ancora una volta, sono stati in grado di rilevare solo alcune delle vulnerabilità, non tutte.

Lo scanner di Jetpack ha rilevato anche alcune delle vulnerabilità e ci ha fornito un'opzione di correzione automatica; essenzialmente, potremmo aggiornarli. C'è poco da distinguere tra Sucuri e Jetpack in questo caso. L'interfaccia di Jetpack era più facile da gestire, ma in generale Sucuri è un plugin molto più complicato.

Protezione accesso forza bruta

Jetpack aggiunge un captcha alla pagina di accesso dopo più tentativi di accesso falliti, ma non blocca l'IP. Sucuri non sembra avere una funzione di protezione dell'accesso funzionante.

Jetpack ha la protezione dell'accesso a forza bruta sui loro piani gratuiti ea pagamento. Quando abbiamo provato a forzare la pagina di accesso, abbiamo visto un captcha numerico aggiunto dopo 10 tentativi falliti. I registri mostrano tutti i tentativi di accesso non riusciti dopo i primi 3 come attacco di forza bruta.

Jetpack ha anche un'elaborata funzione di whitelisting degli IP, quindi abbiamo ipotizzato che a un certo punto potremmo essere bloccati del tutto dal sito web. Tuttavia, ciò non è accaduto affatto. Abbiamo provato più di 50 password errate per l'account amministratore in meno di un minuto e non è successo niente.

Francamente, l'inserimento di IP nella whitelist è un po' un trucco per gli occhi. Gli IP dei dispositivi possono cambiare, quindi inserire nella whitelist l'IP di un amministratore non è una garanzia contro un potenziale blocco. Tuttavia, se la funzione esiste, dovrebbe funzionare. Ma non è successo.

Abbiamo pensato che Sucuri avrebbe fatto molto meglio di Jetpack su questo punto, perché ha un insieme elaborato di opzioni per la configurazione degli avvisi di forza bruta. È possibile impostare la soglia alla quale un attacco viene considerato forza bruta. Tuttavia, i limiti non sono realistici, perché esiste un'opzione per considerare 30 tentativi falliti all'ora come un attacco, mentre in realtà un attacco di forza bruta colpisce la pagina di accesso a più di 100 richieste al minuto. In effetti, di solito ci sono così tante richieste di accesso che il server non è in grado di gestirle.

Per farla breve, Sucuri non ci ha avvisato degli attacchi di accesso. Gli attacchi sono comparsi nei registri di controllo, ma non abbiamo ricevuto alcun avviso.

Registro delle attività

I registri di Jetpack sono fantastici. Tracciano ogni azione dell'utente e del plug-in. Anche i registri di controllo di Sucuri funzionano, ma possono essere del tutto incomprensibili.

I registri di controllo di Sucuri tengono traccia di tutte le azioni dell'utente e delle modifiche a plugin e temi. Tutte le modifiche apportate a qualsiasi file e tabella vengono visualizzate nei registri di controllo. Fin qui tutto bene. C'è anche un'opzione per impostare una chiave API per impedire agli aggressori di eliminare i log, consentendo a Sucuri di salvare i log del tuo sito web fuori sede.

I log raccolgono le informazioni richieste come utente, azione, timestamp, ecc. Tuttavia, abbiamo notato che in alcuni casi sono molto difficili da comprendere. Caso in questione: abbiamo installato un plug-in della galleria sul nostro sito web. I registri registravano 7 voci diverse per il plug-in, indicando che 7 file erano stati modificati. O così pensavamo. In realtà stava registrando le modifiche al modello di post, ma non siamo riusciti a capirlo dai registri.

Jetpack ha un'ottima funzione di registro delle attività ed è disponibile per l'anteprima sui piani gratuiti. I registri mostrano tutte le attività di utenti, plug-in e temi, oltre a mostrare cose che richiedono attenzione immediata, come malware o vulnerabilità rilevati.

Tuttavia, i dati di Jetpack arrivano solo fino a 30 giorni. Idealmente, i log dovrebbero essere salvati per un periodo di tempo molto più lungo.

Autenticazione a due fattori

Nessuno dei due plug-in di sicurezza ha l'autenticazione a due fattori.

Non c'è molto di cui parlare in questa sezione, perché né Jetpack né Sucuri hanno l'autenticazione a due fattori per i tuoi siti web.

Tuttavia, quando stavamo testando i plugin, abbiamo cercato l'autenticazione a due fattori su Sucuri. Esiste infatti un'autenticazione a due fattori sulla dashboard di Sucuri, ma era disponibile per il tuo account Sucuri. Non il tuo sito web.

Utilizzo delle risorse del server

Entrambi i plug-in consumeranno le risorse del server per eseguire scansioni sul tuo sito web. Lo scanner di Sucuri ha notevolmente rallentato il nostro sito web.

Diamo punti Sucuri per l'onestà, perché affermano di utilizzare le risorse del server per le scansioni direttamente sulla dashboard. A parte questo, però, è terribile che lo facciano.

Le scansioni di Sucuri hanno mostrato un notevole blip nell'utilizzo della CPU del nostro server. E i nostri siti di prova sono piccoli; poco più di 100 MB per il più grande. Se avessimo un sito WooCommerce o uno con un database di grandi dimensioni, le prestazioni del sito web ne risentirebbero seriamente. Inoltre, anche le scansioni Sucuri richiedono molto tempo. Quindi l'impatto sarebbe andato avanti per un po'.

Oltre all'utilizzo della CPU, nelle Impostazioni generali su wp-admin, vedrai che Sucuri utilizza il tuo server per archiviare i dati. Anche se lo spazio di archiviazione è trascurabile, resta il punto che viene utilizzato lo spazio del server del tuo sito web.

Jetpack ha avuto anche un impatto sulle risorse del server. Certo, non era così evidente come le scansioni di Sucuri, ma non è affatto l'ideale.

Onestamente, non siamo impressionati da questo stato di cose. Nessun amministratore del sito web dovrebbe dover scegliere tra sicurezza e prestazioni. La mancanza di entrambi può influire notevolmente sulle entrate, quindi non dovrebbe essere un compromesso.

Avvisi

Gli avvisi di Sucuri possono riempire la tua casella di posta in un'ora, quindi devi essere assolutamente certo di ciò di cui vuoi essere avvisato. Jetpack invia avvisi solo sulle cose critiche.

Sucuri ti consente di personalizzare il formato degli avvisi, inviarli per azioni specifiche, inviarli a determinate persone e così via. Puoi anche configurare un'impostazione per ignorare determinati IP in modo che non attivino un avviso.

L'enorme numero di opzioni per gli avvisi di Sucuri è sbalorditivo. Ovviamente devi solo configurarlo una volta e poi dimenticartene. Ma davvero, le opzioni stesse meritano una menzione speciale. E se il numero non era abbastanza scoraggiante, il linguaggio tecnico era totalmente scoraggiante.

In definitiva, gli avvisi sono troppo granulari per essere utili. Un amministratore dovrebbe essere in grado di fare affidamento sul proprio plug-in di sicurezza per avvisarlo delle cose che devono essere affrontate e filtrare tutto il rumore. Nel caso di Sucuri, siamo abbastanza certi che ci siano buone possibilità di perdere il segnale in tutto il rumore.

Jetpack gestisce gli avvisi in modo elegante. Non ci sono un milione di opzioni da vagliare e il plug-in ti invierà avvisi su cose che richiedono la tua attenzione. Come vulnerabilità e malware, per esempio.

Per inciso, abbiamo anche testato la funzione di monitoraggio dei tempi di inattività di Jetpack. Dovrebbe avvisarci se il sito non funziona, ma non è stato così. Abbiamo bloccato il sito in diversi modi e abbiamo visto che Jetpack non registrava affatto quei crash.

Sebbene il monitoraggio dei tempi di inattività non sia una caratteristica di sicurezza in quanto tale, è una metrica importante per il tuo sito web. I siti Web inattivi o bloccati sono spesso un'indicazione di attività di hacker o malware. La funzione di inattività di Jetpack non funziona.

Installazione, configurazione e usabilità

Sucuri è stato facile all'inizio, ma è diventato progressivamente più difficile. Jetpack è stato facile da configurare ma l'interfaccia ti spinge costantemente verso un aggiornamento.

L'installazione di Jetpack è stata noiosa. Anche se il tuo plugin è installato, non c'è modo di andare avanti senza creare una dashboard di WordPress.com. Serve come dashboard esterno, quindi hai bisogno dell'account. È solo in qualche modo sconcertante essere portati avanti e indietro dalla tua dashboard a quella di Jetpack senza una chiara comprensione di quando e perché è necessario.

L'installazione di Sucuri è stata semplice e lo scanner frontend ha iniziato a funzionare immediatamente. Per accedere alle funzionalità a pagamento, come il firewall e lo scanner lato server, è necessario creare un account su Sucuri. Tuttavia la versione gratuita è autosufficiente.

La dashboard esterna di Jetpack è comoda da usare perché imita wp-admin. Tuttavia, ci sono un sacco di funzionalità bloccate a seconda del tuo piano, quindi non è la migliore esperienza utente vedere "aggiorna" ovunque. Alcune delle metriche sono inutili dal punto di vista della sicurezza, quindi nel complesso non siamo innamorati dell'interfaccia di Jetpack.

Detto questo, preferiremmo l'interfaccia di Jetpack a quella di Sucuri. Se dovessimo descrivere Sucuri in una parola, quella parola sarebbe confusione. C'è così tanto gergo tecnico nella configurazione e nelle impostazioni. In realtà abbiamo passato ore a cercare di capire cosa significassero alcuni termini. Inoltre, le descrizioni sono inutili e in alcuni casi condiscendenti. Non sono sicuro del motivo per cui qualcuno abbia pensato che fosse una buona idea scrivere descrizioni che dicano in modo efficace: se non sai cosa significa, meglio lasciar perdere.

Installare il firewall di Sucuri è stato un incubo. Può sembrare semplice se hai accesso a un registrar di domini e il know-how per giocherellare con i server dei nomi (che tra l'altro richiedono alcune ore per essere aggiornati). Il nostro sito di test non ha un dominio, perché non vogliamo che Google lo indicizzi o che le persone vi arrivino accidentalmente, quindi cambiare i nameserver non è stato un compito semplice. Se qualcuno volesse impostare il firewall su un sito di staging, troverebbe difficile fare a meno dell'assistenza ingegneristica.

Jetpack: Extra

Jetpack combina più attività di amministrazione di WordPress in un unico plug-in, quindi ci sono molti extra. Ci piace che abbia i backup, perché i backup sono estremamente importanti per qualsiasi sito web. A parte questo, l'account WordPress.com è familiare da usare, anche se se si dispone di più siti Web su un account, è noioso passare da uno all'altro per la gestione.

Sucuri: Extra

Sucuri ha un sacco di campane e fischietti extra nel suo plugin. A differenza di Jetpack che offre più della sicurezza, Sucuri riguarda solo la sicurezza. Quindi abbiamo provato a scavare nelle funzionalità per vedere cosa potrebbe avere un impatto sulla sicurezza.

Quando installi il plugin, il primo e più grande che vedrai è l'infobox sull'integrità di WordPress. Sembra davvero impressionante, ma in realtà è una versione molto elegante di un monitor di modifica dei file core di WordPress. C'è ovviamente qualche utilità nell'avere un monitor di modifica dei file per i file core, soprattutto perché è noto che il malware infesta regolarmente i file core. Tuttavia, a nostro avviso, l'importanza e il posizionamento sono fuorvianti. Un monitor di modifica dei file non è l'estensione della sicurezza di WordPress. Francamente, non è nemmeno l'inizio.

C'è anche un'utilità di integrità diff per confrontare i file core sul sito Web con la build originale. È più semplice che utilizzare un diffchecker online per i file principali, se si elimina manualmente il malware.

Sucuri ha un sacco di opzioni di rafforzamento di WordPress. Alcuni di loro sono utili, mentre gli altri sono vecchi hack che da allora hanno cessato di essere utili dal punto di vista della sicurezza.

Ad esempio, bloccare PHP nella cartella dei caricamenti è una buona idea, così come la possibilità di modificare facilmente i sali di WordPress dalla dashboard. Ma questa non è un'approvazione inequivocabile però. Sarebbe stato molto più sicuro avere la funzione sulla dashboard di Sucuri piuttosto che su wp-admin. Se un hacker ottiene l'accesso al back-end del sito Web, i sali verranno compromessi perché vengono visualizzati in chiaro.

Cose come verificare la versione di WordPress, rimuovere la versione di WordPress, evitare la fuga di informazioni e verificare l'account amministratore predefinito sono funzionalità di sicurezza prive di significato. Fanno ben poco per proteggere il sito Web in modi concreti. Dimentica il settore della sicurezza, anche gli hacker sono passati da questi trucchi.

Alcune delle caratteristiche di indurimento ci hanno lasciato perplessi. Se scegliamo di disabilitare il plug-in e l'editor di temi, come aggiorneremo i nostri plug-in e temi quando vengono scoperte vulnerabilità? Inoltre, Sucuri memorizza i file PHP nella cartella dei caricamenti, quindi l'interruzione di tutti gli accessi esterni significa che non saranno in grado di accedere ai propri file. Forse esiste una regola che consente loro tale accesso, ma questo non è affatto chiaro per un utente finale.

Esiste una funzione di gestione delle password, ma l'avviso di accompagnamento spaventerebbe la maggior parte delle persone dall'usarla: “Seleziona gli utenti dall'elenco per modificare le loro password, terminare le loro sessioni e inviare loro un link per reimpostare la password tramite e-mail. Tieni presente che il plug-in cambierà le password prima di inviare le e-mail, il che significa che se il tuo server web non è in grado di inviare e-mail, i tuoi utenti verranno bloccati fuori dal sito.

Cosa manca a Jetpack e Sucuri

Il nostro più grande problema con Sucuri è il fatto che lo scanner di malware non funziona. Ci saremmo aspettati che avrebbe rilevato parte del malware, considerando l'ampio utilizzo di Sucuri sui siti web. Ma non ha rilevato nulla! Imperdonabile secondo noi.

Jetpack non ha un firewall né pulizia malware, automatizzata o altro. Fa metà del lavoro di trovare il malware che è già sul sito web, ma niente per rimuoverlo o proteggerlo. In nessun posto vicino all'adeguato, in termini di sicurezza.

Sucuri vs Jetpack: prezzi

Il piano premium più basso di Sucuri arriva a $ 199,99 all'anno per sito. È un buon affare per le richieste illimitate di rimozione malware che puoi avere. Anche il firewall è decente, ma lo scanner è terribile. Non è del tutto conveniente. Jetpack non è un buon plug-in di sicurezza per il prezzo di $ 300.

Se dovessimo pagare $ 300 per un plug-in di sicurezza, chiederemmo molto a quel plug-in: uno scanner di malware infallibile, un firewall e opzioni di pulizia. Jetpack non ha nessuno di questi. Ha aiutato a identificare alcuni dei malware, a rilevare alcune delle vulnerabilità e ad avere una protezione media della forza bruta.

La rimozione illimitata del malware è un enorme vantaggio a favore di Sucuri. Il tempo di risposta è stato ottimo, c'era una lista di controllo post-hack condivisa con noi e tutto il malware è stato ripulito. Ma, e questo è un grande ma, lo scanner di malware è stato un completo fallimento. Siamo rimasti così delusi dal fatto che non abbia rilevato uno sfarfallio di malware. Eppure, il team ha ripulito tutto. Se Sucuri potesse portare un po' dell'energia di pulizia manuale del malware allo scanner, diventerebbe un plugin formidabile. Fino ad allora, però, non così tanto.

Migliore alternativa a Jetpack e Sucuri: MalCare

In questo articolo, abbiamo presentato tutti i nostri risultati da intense sessioni di test. Né Jetpack né Sucuri funzionano in modo efficace per proteggere i siti Web WordPress dagli hacker e dai loro malware. Se hai letto fino a questo punto dell'articolo, sai che la sicurezza non è negoziabile. Quindi investire in un plug-in di sicurezza solido e affidabile è la strada da percorrere.

Il miglior plugin per la sicurezza di WordPress disponibile oggi è MalCare. MalCare ha uno scanner di malware di prim'ordine, una pulizia automatica del malware e un firewall avanzato per proteggere il tuo sito web dagli attacchi.

In un confronto tra funzionalità e funzionalità tra tutti gli altri plug-in di sicurezza, MalCare risulta anche essere significativamente più economico. Contro i pesanti $ 300 di Jetpack, il piano da $ 150 di MalCare è un affare molto migliore per molte altre funzionalità. Allo stesso modo per Sucuri, il piano da $ 99 di MalCare è di gran lunga migliore del piano della piattaforma di base da $ 199,99.

Conclusione

Un plug-in di sicurezza è una parte essenziale del tuo toolkit amministrativo. È una di quelle cose che dovrebbero richiedere un intervento minimo e funzionare fuori dagli schemi. MalCare ha la migliore sicurezza, senza il rumore inutile che la maggior parte degli altri plugin porta sul tavolo. È un investimento utile per proteggere le tue entrate dagli hacker.

Questo articolo ha aiutato? Scrivici e facci sapere. Ci piacerebbe avere tue notizie!