iThemes セキュリティと Sucuri: どちらが優れたセキュリティ プラグインですか?

公開: 2023-04-19

一見すると、iThemes Security は WordPress ウェブサイト用の優れた手頃な価格のセキュリティ プラグインのように見えます。 特に、わずか 199 ドルで無制限の Web サイトを保護できると考えている場合は.

一方、Sucuri は、利用可能な最も人気のある WordPress セキュリティ プラグインの 1 つです。 スキャナーとファイアウォールが強力で、マルウェアの削除も提供します。 したがって、すでにこの直接対決で、iThemes の行進を盗んでいます。 なぜ? iThemes にはこれらの機能がないためです。

iThemes は完全に競争から外れました。 このコンテストでは、Sucuri が間違いなく勝者でした。 そうは言っても、私たちはまだ Sucuri が私たちのウェブサイトを保護しているとは信じていません. WordPress ウェブサイトをハッカーから保護することが保証されているセキュリティ プラグインはどれですか? 答えは明白です。MalCare です。

iThemes Security と Sucuri の比較のまとめ

iThemes Security は、WordPress セキュリティ プラグインのプラセボです。 あなたのウェブサイトはハッカーから安全だと思っていますが、実際にそれを保護しているのは希望的観測と前向きな気持ちだけです. Sucuri の方が間違いなく優れていますが、結局のところ、優れているというのは相対的な用語です。 これは優れたセキュリティ プラグインではありません。

iThemes セキュリティと Sucuri の比較

一言で言えばiThemesセキュリティ

肝心なのは、iThemes は Web サイトを保護しないということです。 WordPress のセキュリティを考慮している場合は、iThemes を完全にスキップすることを強くお勧めします。 すでにインストールされている場合は、すぐにウェブサイトをスキャンしてください。 あなたのウェブサイトにはセキュリティがありません。

iThemes の第一印象は、実際には好意的でした。 ウェブサイトは素晴らしいゲームを語り、WordPress のセキュリティについて権威ある方法で語っているため、自信を与えています. 確認できた唯一の欠陥は、プラグインを使用してマルウェアを駆除できないことでした。 これは理想的ではありませんが、それでもスキャナーとして機能する可能性があります。

またはそう思った。

ithemes ウェブサイトの機能

iThemes スキャナーはマルウェアを検出しません。 まったく。 スキャンは数秒で終了するため、ファイルやデータのスキャンすら行わないと推測するのは危険です。 iThemes の「スキャナー」が行うことは、Google の透明性レポートをチェックして、あなたのウェブサイトがそのリストにあるかどうかを確認することです。 そのためにセキュリティプラグインは必要ありません。 戻って Web サイトを確認したところ、機能がマルウェアのスキャンを明示的に示していないことに気付き、唖然としました。 マルウェアの検出は、WordPress のセキュリティにおける重要なステップの 1 つです。 私たちがそれを見たことがあれば、それはダブルスピークです。

私たちは、iThemes のテストを役に立たないものとして片付けたくなりましたが、公平を期すために続けました。

プラグインには、ログイン ページで有効にできる堅牢な 2 要素認証機能があります。 また、フォルダー内での PHP の実行をブロックするなどの適切な強化機能も備えています。 そうは言っても、ブルート フォース ログイン保護が機能するのは、ある時だけです。 プラグインに対する別の黒いマーク。

iThemes を使用することから得られることは、セキュリティ値の唯一の機能は、2 要素認証と wp-login での reCAPTCHA の簡単な実装であるということです。 ただし、実際のセキュリティに加えて、同じ機能を提供するより優れたセキュリティ プラグインがあるため、これら 2 つの機能は 199 ドルの請求を正当化するものではありません。

存在しないセキュリティによって保護されていると信じている Web サイトの数を想像できないため、iThemes のテストはひどい経験でした。 実際、iThemes ユーザーの皆さんは、今すぐ Web サイトをスキャンする必要があります。

一言で言えばスクリ

Sucuri は適切なファイアウォールと優れたマルウェア除去サービスを備えていますが、マルウェア スキャナーとしては見事に機能しませんでした。 Web サイトにマルウェアがあることを知らない場合、それを取り除く方法はありません。 これは、セキュリティ プラグインの交渉不可能な部分です。

Sucuri のテストを開始したとき、私たちは Sucuri に大きな期待を寄せていました。 これは WordPress の最も人気のあるセキュリティ プラグインの 1 つであり、ハッキングされたテスト サイトでスキャナーがマルウェアを検出できなかったことに驚いています。 詳細については後のセクションで説明しますが、これにより、テスト プロセス全体のトーンが設定されます。

Sucuri セキュリティプラグイン

失敗に加えて、スキャン自体が完了するまでに長い時間がかかり、それを実行するためにサーバー リソースを使い果たします。 Sucuri 自体は、Web サイトのパフォーマンスに影響を与えるため、あまりにも多くのスキャンを思いとどまらせています。 パフォーマンスとセキュリティの間で行うのはひどいトレードオフであり、そうであってはなりません。

ファイアウォールとマルウェア除去サービスに移ると、Sucuri はうまくいきました。 ファイアウォールの設定は非常に難しく、非常に時間がかかりました。 しかし、私たちが試みた攻撃はブロックされ、脆弱性を悪用することはできませんでした。

ただし、マルウェア除去サービスは、私たちのテスト経験のハイライトでした. スキャナーは、ハッキングされた Web サイトに問題のない状態を示しましたが、それがマルウェアでいっぱいであることはわかっていました。 まず、そこにマルウェアを配置し、次に MalCare スキャンでこの診断を確認しました。 Sucuri チームがサイトからマルウェアの痕跡をすべて削除した結果、サイトはきしみなくきれいになりました。 素晴らしい! このケーキのチェリーは、プランの一部として無制限のマルウェア削除リクエストを行うことができるということでした。これはお得です.

ファイアウォールを除けば、設定は非常にわかりにくいです。 私たちは、使用されている専門用語の多くに困惑していることに気付きました。それは、WordPress のセキュリティに関する専門知識によるものです。 インターフェースはユーザーフレンドリーではなく、多くの人が不必要に警戒していると確信しています. そこでSucuriのマイナスポイント。

全体として、Sucuri が WordPress Web サイトの最適なセキュリティ ソリューションであるとは考えていません。 その栄誉は MalCare に送られます。これは、常に機能するスキャナーのおかげです。 MalCare は、私たちを鈍感にさせないボーナス ポイントも獲得します。

WordPress ウェブサイトに適したセキュリティ プラグインを選択する方法

WordPress Web サイトのセキュリティは交渉の余地がありません。 マルウェアは、収益の損失、訴訟、クリーンアップ コスト、ブランディングへの影響、オーガニック トラフィックの損失など、ビジネスに無数の損失をもたらす可能性があります。 適切なプラグインに投資することで、ハッカーやマルウェア、およびマルウェアが残した問題からあなたを救うことができます.

問題は、Web サイトに効果的なセキュリティ プラグインをどのように選択するかということです。

テストを設定する際には、考慮すべき要素がいくつかありました。セキュリティはもちろんですが、使いやすさとコストパフォーマンスも重要です。 しかし、プラグインがセキュリティでどれだけ効果的であるかだけを考慮する必要があるため、セキュリティ以外のすべての要素が無意味になることにすぐに気付きました。

セキュリティプラグインを選択する際に考慮すべき要素は次のとおりです。

  • 基本的なセキュリティ機能
    • マルウェアのスキャン
    • マルウェアのクリーニング
    • ファイアウォール
  • あると便利なセキュリティ機能
    • 脆弱性の検出
    • ブルート フォース ログイン保護
    • 活動記録
    • 二要素認証
  • 潜在的な問題
    • サーバー リソースへの影響

リストからわかるように、完全に不可欠な要素は 3 つだけです。 MalCare は、他のプラグインでは見逃すことが保証されているマルウェアをスキャンしてクリーニングし、強力なファイアウォールで悪意のあるトラフィックから Web サイトを保護します。 さらに、MalCare は、現在利用可能な他のどのセキュリティ プラグインよりも優れています。

iThemes Security vs Sucuri: 機能の直接比較

この比較をレイアウトする方法は、最初に最も重要な機能を取り上げ、次にテスト中に現れた他の観察事項について説明することです. 多くの場合、機能や設定がほとんど何もしない (iThemes について話している) のに、精巧なセキュリティの幻想を描いているのを見てきました。

もみ殻を切り裂いて小麦にたどり着くのは簡単ではありませんでしたが、すべてのデータをできるだけ明確かつ公平に提示します.

このティアダウンをスキップしたい場合は、MalCare をインストールすることをお勧めします。

マルウェアのスキャン

Sucuri のスキャナーは、当社の Web サイトでマルウェアを検出しませんでした。 スキャンの完了速度から判断すると、iThemes は Web サイトのマルウェアをまったくスキャンしませんでした。

Sucuri の無料版と有料版の両方にスキャナーが搭載されているため、パフォーマンスに違いがあるかどうかに興味がありました。 無料版は、Sucuri SiteCheck を利用しています。Sucuri SiteCheck は、Web サイトの一般に公開されている部分のマルウェアをスキャンするオンライン ユーティリティです。 もちろん、これには制限があるため、SiteCheck からのクリーン チットは、マルウェアのない Web サイトを保証するものではありません。

Sucuriのサイトチェック結果

有料プランには、Web サーバーにインストールする必要があるサーバー レベルのスキャナーが含まれています。 これを手動で行うか、Sucuri ダッシュボードに FTP の詳細を入力して自動的にインストールすることができます。 それは比較的痛みのないプロセスでした。

スキャナーは毎日実行するように設定されていますが、ある程度オンデマンドでスキャンできます。 追加のスキャン要求はキューに入れられてから実行されます。 スキャンはサーバー リソースを使い果たすため、Sucuri はスキャンの使用が多すぎることを警告します。

Sucuri が Web サイトのリソースを使用してスキャンを実行していることに気付いたので、一時停止しました。 私たちのテスト サイトでは、サイトが小さく、外部トラフィックがないため、ドレインはそれほど深刻ではありませんでした。 ただし、CPU 使用率の低下は確実に見られました。 これについては、後のセクションで詳しく説明します。

また、プロ バージョンでは、ハッキングされた Web サイトでマルウェアは検出されませんでした。 MalCare スキャンの結果が明らかにマルウェアを特定していたため、これは驚くべきことでした。 そのため、手動による削除リクエストを提出しました。 要求が Sucuri のチームによって処理されると、サイトは MalCare で問題なく表示されました。 しかし、Sucuri スキャナーが Web サイト上のマルウェアにフラグを立てたのはそのときです。 とても奇妙でした。

sucuri サーバーサイドスキャナー

幸いなことに、iThemes スキャナーには問題はありませんでした。 純粋で単純なマルウェアをスキャンしません。 iThemes スキャナーは、Web サイトが Google のブラックリストに載っているかどうかを確認するだけです。 それでおしまい。 私たちのサイトがインデックスに登録されていないことを考えると、実際にはブラックリストに載っていなかったことに驚きはありませんでした.

テーマスキャナ

マルウェアのクリーニング

マルウェアのクリーニングは iThemes の機能リストに含まれていないため、明らかにマルウェアをクリーニングすることはできません。 Sucuri には、有料プランの一部として無制限のマルウェア除去サービスがあります。 プランにもよりますが、ウェブサイトは 6 時間から 30 時間でクリーンアップされます。

Sucuri のスキャン結果では、当社の Web サイトにマルウェアは含まれていませんでしたが、そうではないことは明らかでした。 ファイルやデータベースなど、いたるところにマルウェアが存在していました。 また、適切な対策として、そこにはたくさんのバックドアがありました。 MalCare スキャナーは、テスト サイトが実際にマルウェアに感染していることを確認しました。

そのため、Sucuri にマルウェアの削除リクエストを提出し、サイトにマルウェアが存在する疑いがあることを明確に示しました。 リクエストを提出するには、フォームに記入し、クリーニング用の FTP の詳細を提供する必要があります。 そして、結果を待ちます。

補足: 削除リクエスト フォームに興味深いドロップダウンがあり、発生している可能性のある症状が一覧表示されています。 また、面白いことに、技術的な習熟度のレベルを示す必要があったため、「習熟度がありません。すべてを明確に説明してください。

Sucuri のおかげで、彼らのチームがサイトからすべてのマルウェアを削除しました。 また、プランの条件では 30 時間以内に解決できると記載されていましたが、10 時間もかからずに返信がありました。つまり、Sucuri のマルウェア除去サービスは非常に高く評価されました。

sucuri マルウェアの除去

すべてのマルウェアが削除されたことを MalCare に確認したところ、Sucuri のスキャナーがサイトに感染したというフラグを立てたのを見て驚きました。

一方、iThemes はマルウェアを駆除できないため、テストするものは何もありませんでした。 ありがたいことに、彼らは自分のウェブサイトでそうすることを主張していません.

率直に言って、マルウェアのクリーニングは WordPress のセキュリティで最も困難な部分であり、多くの場合、最も費用がかかる側面です。 Sucuri の有料プランには無制限のクリーンアップがあります。脆弱性に対処しないと、マルウェアが再発する可能性があるため、これは素晴らしいことです。 清掃サービスに問題がある場合は、解決までしばらくお待ちいただく必要があります。 マルウェアの場合、感染が短期間で指数関数的に増加することがわかっているため、これは懸念の原因です。

MalCare を使用すると、自動クリーン機能を使用してマルウェアを数分で取り除くことができます。 Sucuri からの連絡を待っている間に、ビジネス クリティカルな Web サイトを迅速にクリーンアップすることが非常に重要であることに気付きました。

ファイアウォール

Sucuri のファイアウォールは機能し、最も一般的な攻撃を防ぎます。 iThemes にはファイアウォールがありません。

ファイアウォールは、悪意のあるトラフィックを遮断し、エクスプロイトを防止するため、Web サイトのセキュリティにおいて重要なコンポーネントです。 記事のこの時点では、iThemes にファイアウォールがないことを聞いても驚かないでしょう。 なぜでしょうか? セキュリティプラグインとしては、他のすべての点で失敗します。

一方、Sucuri は私たちのウェブサイトを wordpress 攻撃から保護してくれました。 無制限のファイル アップロード、XSS、SQL インジェクションなどの脆弱性に対してテストしました。 ファイアウォールは、これらの脆弱性を悪用して Web サイトにマルウェアをアップロードしようとするすべての試みをブロックしました。 より複雑な攻撃を完全に透過的にテストすることはできませんでした。

sucuri ファイアウォール ログ

したがって、Sucuri のファイアウォールは機能しますが、ファイアウォールを構成するのがどれほどイライラしたかについても言及する必要があります。 ファイアウォールの仕組みは、着信トラフィックと Web サイトの間の層のように機能することです。 したがって、すべてのトラフィックは最初に Sucuri のファイアウォールに到達し、次に Web サイトにリダイレクトされます。

ご想像のとおり、これにはいくつかの構成が必要です。 Web サイトに使用するドメインは、最初に Sucuri を指す必要があります。トラフィックが分析され、許可されたトラフィックが Web サイトに転送されます。 これは素晴らしいことですが、ネームサーバーと DNS 構成の専門知識がない場合、ファイアウォールをセットアップするのは面倒です。

sucuri ファイアウォール設定

全体として、すぐに使えるセキュリティ ソリューションを使用する方がはるかに優れています。 当社のウェブサイトを保護するための複雑な構成はありません。 ご存知のように、MalCare で得られるようなものです。

脆弱性の検出

Sucuri は、すべてではありませんが、Web サイトのほとんどの脆弱性を検出しました。 iThemes は見つかりませんでした。

サーバー側のスキャナーを有効にした後、Sucuri は Web サイトにいくつかの脆弱なプラグインがインストールされていることを検出しました。 それらすべてを検出したわけではなく、推奨事項は単に更新することでした。

さらに、wp-admin にはハック後のビューがあり、現在インストールされているプラ​​グインとテーマ、それらのインストール済みバージョン、および利用可能な最新バージョンが一覧表示されます。 このセクションの説明で、Sucuri は脆弱性が Web サイトのセキュリティに関連していることに言及しており、すべてを最新の状態に保つことをお勧めします。 プラグインを定期的に見てそこにたどり着く人はまずいないので、この配置が有用かどうかはわかりません.

マルウェアの削除リクエストの一環として、Sucuri は、強化対策を適用し、脆弱なプラグイン (3 つのうち 2 つ) を更新することを推奨するメッセージも送信しました。 これはハッキング後のチェックリストの一部です。

iThemes は脆弱性にフラグを立てません。 ただし、ダッシュボードには非常に役に立たないカウンターがあり、プラグインがインストールされてから何回の更新が行われたかを示しています. この情報がどのように役立つかはわかりません。

ブルート フォース ログイン保護

Sucuri はブルート フォース攻撃をブロックして警告するはずですが、どちらも行いません。 iThemes は、そうする場合もあれば、そうでない場合もあります。 どちらが悪いとは言い難い。

iThemes は、不正なログイン試行をブルート フォース攻撃としてログに記録します。率直に言って、これはユーザーにとって恐ろしいことです。 あるケースでは、本当にパスワードを忘れてしまいました。

ログインページの総当たり攻撃を試みたところ、不均一な結果が得られました。 iThemes は 1 つのサイトでの試行をブロックしましたが、他のサイトではブロックしませんでした。 この不一致の原因を突き止めようとしましたが、唯一の違いは Web サイト上のマルウェアでした。 マルウェアは通常、ブルート フォース攻撃の成功の結果であるため、これが理由だとは考えていません。 おそらく、機能が散発的に機能するバグがあるようです。 事実上、それは無意味です。

Sucuri は、ブルート フォース攻撃の詳細なオプション セットがあるため、私たちに希望を与えてくれました。 ブルート フォース攻撃としてカウントされる試行の失敗回数を設定できます。 通常、ログイン攻撃は 1 分あたり数 100 回の試行ですが、1 時間あたり 30 回という控えめな試行回数に設定しました。

スクリブルートフォース

ロックアウトのすべての設定を見た後、サイトからロックアウトされることに少し不安を感じました. MalCare のログイン保護が試行をブロックしないように、MalCare をオフにしました。 しかし、何も起こりませんでした。 3 分間で 40 回以上の不正ログインを試みましたが、Sucuri は警告を発しませんでした。 監査ログを確認すると、失敗した認証は問題なく表示されます。 しかし、アラートはありません。 ロックアウトなし。 なし。

活動記録

iThemes には不完全なアクティビティ ログ機能があります。 Sucuri には優れた機能がありますが、あいまいな場合があります。

Sucuri には、ユーザー、プラグイン、およびテーマからのすべてのアクションを追跡する監査ログと呼ばれる機能があります。 この機能は期待どおりに機能しますが、設定の 1 つが一時停止しました。 「攻撃者によるログの削除を防ぐ」には API キーが必要です。 これは基本的に、Sucuri がウェブサイトのオフサイトに関するデータを収集して保存することを許可します。これは問題ありませんが、彼らが使用する言語は控えめに言っても不快です. これについては、ユーザビリティのセクションで詳しく説明します。

ログはログのように機能し、タイムスタンプ、ユーザー、およびアクションを収集しますが、非常にわかりにくい場合があります。 たとえば、プラグインがアクティブ化されていると表示される新しいプラグインをインストールしました。 ここまでは順調ですね。 ログには、インストールの影響を示す 7 つのエントリがあります。 しかし、これらのエントリが何を意味するかについての説明はほとんどありません。 おそらく、これらは変更されたファイルまたはフォルダーですか? いいえ、後になって、ギャラリー プラグインであるこの特定のプラグインが投稿のテンプレートを変更していることに気付きました。 それは理にかなっていますが、啓示はスクリから来たものではありません.

sucuri 監査ログ

アクティビティ ログは、Web サイト セキュリティ ツールキットの重要な部分です。 ハッカーは不十分なロギングを利用してサイトを攻撃するため、Web サイトに関する正しい情報を共有するために信頼できる信頼できるログを保持する必要があります。

基本的に、iThemes のものとは異なります。 ここのアクティビティ ログには、ユーザー アクティビティ、バージョン管理、サイト スキャン、ブルート フォース攻撃などの有用な情報が含まれています。 ただし、プラグインやテーマについては何もありません。 ファイル変更レポートを毎日メールで送信する別の機能もあります。 全体として、ログは Web サイトの正確な全体像を描写していないため、不十分です。

テーマ ログ

二要素認証

iThemes には、すぐに使える優れた 2 要素認証機能があります。 Sucuri はそうではありません。

この記事やシリーズの他の同様の記事で iThemes を破棄した後、これが iThemes で実際に機能する唯一のセキュリティ機能の 1 つであることを報告できることをうれしく思います。

iThemes の 2 要素認証機能は非常に堅牢です。 たくさんのカスタマイズがあり、箱から出してすぐに問題なく動作します。 このプラグインは、私たちが強く推奨する強力なパスワードの強制にも役立ちます.

ithemes 2fa

ここでの唯一の懸念は、iThemes プロ バージョンには、使いやすさのためにログイン トークンを削除する設定がたくさんあることです。パスワードなしのログイン、信頼できるデバイス、マジック リンクなどです。 これらはログイン プロセスをスムーズにするのに役立ちますが、2 要素認証の目的を無効にします。

Sucuri をテストしたとき、2 要素認証を探しました。 Sucuri ダッシュボードに存在することがわかりました。 しかし、WordPress Web サイトではなく、Sucuri アカウントで 2 要素認証を利用できることに気づき、私たちは面白がると同時に困惑しました。

スクリ2fa
私たちのウェブサイトにもこれがあるといいですね。

サーバーのリソース使用量

iThemes は何もしないため、サーバー リソースをまったく消費しません。 Sucuri は、スキャンによって Web サイトのパフォーマンスを低下させます。

興味深いことに、セキュリティの観点からサーバー リソースについて尋ねられることはあまりありません。 しかし、理想的には、Web サイトを保護し、その過程でクロールが遅くならないようにする必要があります。 Sucuri のスキャナーは、あなたのサイトに対してそれを行います。  

Sucuri は、Web サイトのサーバー リソースを完全に使用するという主張をスキャンします。 実際、その理由で頻繁なスキャンを思いとどまらせているようです。 率直に言って、これはひどいです。 一方ではパフォーマンスと合理的なサーバー料金、もう一方ではセキュリティのどちらかを選択しなければならないのはなぜでしょうか? 彼らは冗談ではありませんでした。 Sucuri をインストールしてから 2 回目のスキャンを実行するとすぐに、サーバー リソースが急増しました。 小規模なサイトで違いが非常に顕著である場合、大規模なサイトではかなり大きくなります。

スクリのCPU使用率

さらに、ダッシュボードの一般設定には、Sucuri が Web サイト自体に大量のデータ (主にログ) を保存していることを示すように見えるデータ ストレージの設定があります。 これがおそらく、API キーが必要な理由です。デフォルトでは、公開されているフォルダーであるアップロード フォルダーにすべて含まれているからです。 ストレージをパブリックにアクセスできないフォルダーに変更するオプションがありますが、それは最初からデフォルトである必要があります。

iThemes はサーバー リソースを使い果たすことはありません。 何もしないのに、どうしてできるの?

アラート

iThemes は何も警告しません。 Sucuri はそうしますが、どのアラートを受け取りたいかについては注意が必要です。 受信トレイは数時間でいっぱいになる可能性があります。

Sucuri を使用すると、アラートを特定の人に送信するように設定したり、アラートの形式をカスタマイズしたりできます。 IP アドレス範囲を追加して、それらのアドレスにアラートのフラグが立てられないようにすることもできます。 ただし、専門用語がいっぱいの説明には注意してください。 「クラスレス ドメイン間ルーティング」とは? 私たちは知りたくありませんでした。単に Web サイトを保護したかっただけです。

アラートのきめ細かな設定から判断すると、Sucuri は、送信するアラートが多すぎる可能性があることを鋭く認識しているようです。 1 時間に受信するアラートの最大数を構成する設定があり、たとえば最大 5 通のメールです。 これの問題は、最初の 5 つが誤検知で、6 つ目がそうでないと仮定します。 そこには免責事項がありますが、役に立たない機能よりも実際の情報を入手したほうがよいでしょう。 ここでのポイントは、どの管理者も木を見て森を見るわけではないということです。 ノイズが多すぎます。

スクリアラート
ちなみに、これは完全なリストではありません。 他にもたくさんあります。

驚いたことに、私たちはまだ iThemes のレビューを続けており、失われた理由でそれをあきらめているわけではありません。 iThemes は、ファイル変更通知レポート、データベース バックアップ、およびその他の設定の確認を送信してくれました。 また、Web サイトに関する毎日のセキュリティ ダイジェストと、週に 1 回の脆弱性レポートも購読していました。 1 つのサイトだけでは不十分で、より多くのサイトでは完全に手に負えなくなる可能性があります。

ithemes セキュリティ ダイジェスト

インストール、構成、および使いやすさ

iThemes のインストールは、構成オプションがわかりにくいため、驚くほど大変でした。 Sucuri はかなり簡単でしたが、プラグインの構成オプションは恐ろしく困難でした。

iThemes は私たちがテストした最初のプラグインだったので、最初は簡単に見えました。 また、最も役に立たない設定の基準を設定しました。 セキュリティ ダッシュボードを作成するには、構成を行う必要があります。 それぞれの設定を確認しましたが、どれもセキュリティに実際に影響を与えるものではないため、ランダムに設定してそのままにしました。

テーマ設定

Sucuri は大騒ぎせずにインストールされ、プラグインはほとんど単独でセットアップされました。 有料機能にアクセスするには、Sucuri でアカウントを作成する必要がありました。 また、サーバー側スキャナーをインストールするには、Sucuri 外部ダッシュボードを使用する必要があることも指摘しておく価値があります。 FTP の詳細がすぐに利用できる場合は、実行するのは難しくありませんが、マルウェアが検出されなかったため、あまり意味がありません。

wp-admin の iThemes ダッシュボードはノイズです。 関連するセキュリティ関連の情報はありません。

Sucuri のダッシュボードと設定は非常に複雑です。 私たちは、彼らが使用する技術用語が何を意味するのかを理解しようと何時間も費やしました. 場合によっては、プラグインが推奨設定を教えてくれるので、ユーザーは基本的に盲目的に作業しています。 唯一の問題は、マルウェア スキャナーが機能しないため、Sucuri が盲目的な信仰を刺激しないことです。

このプラグインが理解しやすくなれば幸いです。 非常に複雑で、多くのことを行っているように見えますが、ブルート フォース保護など、重要であることがわかっているいくつかの機能が機能していないように見えるため、確信が持てません。

ファイアウォールとサーバー側のスキャナーは個別に有効にする必要があります。 3 つの Web サイトでこのプラグインを見つけるのに 1 週​​間以上かかりました。 私たちは、もっと多くのことを扱う人に何が起こるかを考えると身震いします. 設定するのはとても面倒です。

技術者以外のユーザーにとって設定が理解しにくいことを繰り返します。 ログ解析ソフトというものがあるとは知りませんでした。 また、リバース プロキシに関する興味深いメッセージも見られました。Sucuri は、このオプションが何であるかを理解していない限り、このオプションについて心配する必要はないと言っています。 見下す側との混乱をありがとう。

スクリ顕微鏡

iThemes: エクストラ

iThemes には非常に精巧なホワイトリスト機能がありますが、サイト ロックアウトの苦情が非常に多いことに気付くまでは驚きでした。 これには 2 つの問題があります。1 つは、デバイスの IP が変更されるため、IP をホワイトリストに登録しても、思ったほど保護されないことです。 2 つ目は、ロックアウトをトリガーするために可能な限りのことを試みたことです。 しかし、それは起こりませんでした。

ファイル変更モニターは、セキュリティについて何も知らない限り、良いアイデアのように思えるもう 1 つの機能です。 ハッカーは、ファイルが何年も編集されていないように見せかけて、ファイルのタイムスタンプを変更することができます。 さらに、このモニターにはファイルタイプの除外リストがあります。 率直に言って、これはマルウェアに対する理解の欠如を示しています。 マルウェアは、たとえば .ico ファイルを含む任意のファイルに隠れる可能性があります。

itheme ファイルの変更

iThemes には優れたパスワード管理システムがあります。 強力なパスワードを強制し、侵害されたパスワードを許可しないようにすることができます。 必要に応じて、XML-RPC のアプリケーション パスワードを設定することもできます。

ithemes ユーザー セキュリティ プロファイル

最後に、iThemes には強化機能がいくつかありますが、そのほとんどはまったくお勧めしません。 意味のある唯一の方法は、アップロード フォルダーで PHP の実行をブロックすることです。 これにより、特定の種類のマルウェア攻撃が防止されます。 その他は、完全に無視することをお勧めします。

スクリ:エクストラ

wp-admin の Sucuri のダッシュボードはかなり印象的ですが、すぐに最大のインフォボックスが WordPress の整合性であることがわかりました。 これは基本的に、WordPress コア ファイルのファイル変更モニターのドレスアップ バージョンであるため、現在使用している無料バージョンのみであることが望ましいです。

Sucuri wp ファイルの整合性

多くのマルウェアがコア ファイルに侵入することを考えると、場合によっては、それが有用であることがわかります。 逆に、経験の浅い人はそれがマルウェアの範囲であると信じているかもしれないので、それは恐ろしい考えであるということもわかります. おかしなことに、フラグが立てられた 3 つの wordpress 整合性ファイルのうち 2 つは MalCare のものでした: 緊急コネクタとファイアウォールです。

設定のさらに奥には、コア ファイルを比較して違いを見つけるための整合性差分ユーティリティがあります。 これは、オンラインの diffchecker ユーティリティよりも使いやすい場合があります。

スクリデフチェッカー

かなりの数の強化オプションがありました。便利なものもあれば、それほど多くないものもあります。 アップロード フォルダー、ファイアウォールで PHP をブロックし、wordpress ソルトを変更する自動秘密鍵更新を有効にできることが気に入りました。

ただし、WordPress のバージョンの確認、WordPress のバージョンの削除、情報漏えいの回避 (WordPress が再作成したばかりの readme ファイルを削除する)、およびデフォルトの管理者アカウントの確認はすべて、セキュリティへの影響がごくわずかなばかげた機能です。 率直に言って、セキュリティ業界全体がこれらのトリックから脱却しました。

スクリwp硬化

プラグインとテーマ エディターを無効にすることを選択すると、更新が難しくなります。 これらのフォルダー内の PHP ファイルにアクセスする必要がある一部のプラグインとテーマに関する警告が含まれています。 これでは不十分です。 適切な例: Sucuri 自体はアップロード フォルダーに PHP ファイルを保存します。 外部ダッシュボードから自分のファイルにアクセスしたくないですか? それとも、それは規則の例外ですか? その場合、ルールは、ユーザーから隠されている方法で柔軟に見えます。

wp-admin ダッシュボードのハック後の機能を確認したいと思いました。 クリーニング後は、将来のハッキングから Web サイトを保護するためにあらゆることを確実に行う必要があります。 もう少し詳しく調べるまで、私たちはそのアイデアを気に入っていました。

ダッシュボードから秘密鍵を更新 (wordpress ソルトを変更) できます。 これに関する唯一の問題は、プレーンテキストであり、wp-admin にログインしているすべての管理者に表示されることです。 ハッカーが管理者アクセス権を持つアカウントを持っている場合、これはとてつもなく危険です。 この機能は、ユーザーがいずれの管理者アカウントも侵害されていないことを確認してからソルトを変更した場合にのみ意味があります。 どこにも書かれていないポイント。

ユーザーパスワードをリセットできます。 繰り返しになりますが、細字部分を読むまでは一見良い機能のように見えます。 プラグインは電子メールを送信する前にパスワードを変更することに注意してください。つまり、Web サーバーが電子メールを送信できない場合、ユーザーはサイトからロックアウトされます。」

基本的なバージョン管理である、利用可能なプラグインとテーマの更新を確認する場所があります。 既存の管理ダッシュボード機能には何も追加されません。 ただし、古いプラグインやテーマがセキュリティに関連していることを人々に教育するのに役立つ場合があります.

iThemes Security と Sucuri に欠けているもの

iThemes にはファイアウォールがありません。これは、WordPress のセキュリティにとって深刻な問題です。 ファイアウォールは、特定の種類の攻撃からサイトを保護し、Web サイトに脆弱性がある場合に非常に役立ちます。

Sucuri のマルウェア スキャナーは十分ではありません。 そのため、マルウェア除去サービスは優れていますが、スキャナーはマルウェアにフラグを立てないため、Web サイトにマルウェアがあると推測する必要があります。

iThemes Security vs Sucuri: 価格

サイトあたり年間 199.99 ドルの Sucuri の Basic Platform プランは、無制限のマルウェア除去サービスとしてはかなりお得です。 ただし、機能するスキャナーもあるはずであることを考えると、サブが取得できるのはそれだけです. iThemes は何の価値もありません。 気にしないでください。

この記事では、iThemes に関する私たちの意見を十分に明確にしました。 iThemes で言及する価値のある唯一の機能は、無料プランで利用できる 2 要素認証です。 Proプランは絶対にお勧めしません。

iThemes の価格
iThemes の価格

Sucuri の価格設定は、マルウェア除去サービスとしては破格ですが、弱点はスキャナーです。 マルウェアに感染していることがわからない場合は、削除のリクエストを送信できません。

スクリ価格
スクリの価格

iThemes Security と Sucuri のより良い代替手段: MalCare

ウェブサイトをハッカーからスキャン、クリーニング、保護する優れたセキュリティ プラグインに投資してください。 このシリーズでテストしたすべてのプラグインの中で、MalCare が最適なオプションとして際立っています。 MalCare はすべてにおいて iThemes に勝っており、マルウェアのスキャンは Sucuri よりも優れています。

実際、MalCare の 99 ドルのベーシック プランは、Sucuri の 199.99 ドルのベーシック プラットフォーム プランよりも優れており、マルウェアを即座に削除することもできます。 無制限のクリーンアップも含まれています

結論

Web サイトのセキュリティは最も重要です。 多くのお客様がセキュリティ プラグインを軽視し、ハッキング後に壊滅的な損失に直面するのを見てきました。 ある顧客は、ある時点であきらめ、ウェブサイトをゼロから再構築することにしました。 マルウェアは高価ですが、MalCare は高価ではありません。

この記事は、意思決定の助けになりましたか? 知りたいです! 私たちに連絡してください。