Sucuri vs Wordfence:WordPressWebサイトに最適なセキュリティプラグイン
公開: 2022-04-22WordfenceとSucuriは、どちらもWordPressセキュリティプラグインのヘビー級チャンピオンです。 どんな会話でも、彼らは必然的に出てきます、そして人々はどれが最高のセキュリティプラグインであるかについて分かれています。
Sucuriには人気のあるオンラインスキャナーがあり、マルウェアを検出するためにWebサイト管理者によって広く使用されています。 彼らのプラグインには、サーバー側のスキャナー、ファイアウォール、その他多くのセキュリティ機能があります。 Sucuriは、どのプランでも無制限のマルウェア除去を提供します。
Wordfenceは、WordPressセキュリティプラグインの誰もが認めるリーダーです。 チームはセキュリティプラグインを多くの教育コンテンツで補完し、管理者がWebサイトをハッカーから保護する方法を理解できるようにします。 プラグインにはスキャナーとファイアウォールがあり、一部のマルウェアも削除できます。 彼らにもマルウェア除去サービスがありますが、それはオンデマンドのプレミアム機能です。
Sucuri対Wordfenceの戦いでどちらが優れているかを答えるために、両方のプラグインを広範囲にテストしました。 記事の残りの部分でわかるように、テストはプラグインを作動させるように設計されているため、Webサイトのセキュリティについて最善の決定を下すことができます。
5つのセキュリティプラグイン、3つのWebサイト、45日間、および大量のマルウェア。 結果は決定的でした。
VERDICT SucurivsWordfenceは簡単な質問ではありません。 どちらにもマルウェアスキャナーとファイアウォールがあります。 Wordfenceには自動クリーナーと高価なマルウェア除去サービスがありますが、Sucuriには無制限のクリーンアップがあります。 すべての要素を検討した後、Wordfenceが確実に勝者です。 詳細については、以下をお読みください。
私たちのピック
このシリーズでは、3つのテストWebサイトを開発しました。1つは、コントロールとして多くの画像とコメントを含む単純なブログです。 第二に、脆弱なプラグインとさまざまなレベルのあいまいさのテーマがたくさんあるサイト。 最後に、サイトにはさまざまな種類のマルウェアがロードされています。
効果的なプラグインの基準は多岐にわたりますが、1つの簡単な質問に焦点を当てたいと思いました。プラグインは、ハッカーやマルウェアからWebサイトを保護するのに適していますか?
45日後、私たちは答えを得ました。 5つのプラグインのうち4つについては、答えはノーでした。 すべての点で1つのプラグインが勝ちました。 そのプラグインはMalCareです。
MalCareは、これまでに見た中で最高のマルウェアスキャナーを備えており、隠されているかどうかに関係なく、ファイル、データベース、フォルダーからマルウェアを検出します。 実際に機能する自動クリーナーがあり、マルウェアのみを外科的精度でクリーニングします。 そして最後に、Webサイトを悪用する可能性のある脅威をブロックする高度なファイアウォール。
WordPressサイトに最適なセキュリティプラグインは、間違いなくMalCareです。
SucuriとWordfenceの比較の要約
この会戦では、Wordfenceが勝者です。 しかし、スクリにもポイントがあるので、それは緊密な呼びかけだったことを認めなければなりません。
ワードフェンスの欠点はスクリの強みであり、その逆もあるので、なぜ人々がどちらが優れているのかについて悩む理由がわかります。 したがって、個人の個人的な経験に応じて、特定の問題を解決したプラグインを提唱します。
しかし、このため、すべてのWordPressサイトにとってどれが全体的に優れているかについての客観的な答えはありません。 そして、その答えはどちらでもありません。 セキュリティのある側面や別の側面について妥協する必要はありません。 代わりにMalCareを入手してすべてを手に入れましょう。
一言で言えばワードフェンス
Wordfenceは、MalCareに続くWordPressサイトに最適なセキュリティプラグインです。 無料版は堅牢で、優れたセキュリティ機能を備えています。 スキャナーはほとんどのファイルベースのマルウェアを検出し、検出したもののほとんどを駆除することができます。 ファイアウォールは最も更新されたものの1つであり、いくつかの脅威をブロックします。 欠点は、WebサイトのパフォーマンスがWordfenceで大きな打撃を受け、マルウェアのクリーニングサービスが高価になることです。
Wordfenceのスキャナーは、無料のプラグインとテーマに挿入したすべてのファイルベースのマルウェアを検出できました。 それが奇妙に具体的に聞こえるなら、それはそうだからです。 データベースにあるマルウェアも、プレミアムプラグインやテーマに挿入されたマルウェアも検出できませんでした。 これは、Wordfenceが使用するファイル一致検出メカニズムが、公開されているコードに大きく依存しているためです。
スキャン結果は、インストールされたテーマとプラグインのマルウェアと脆弱性にフラグを立てました。 おかしなことに、Wordfenceは、プレミアムプラグインの一部にマルウェアまたはエラーのフラグを付けました。 これらは誤検知であり、WordPressコードを掘り下げることに慣れているために確認できます。 しかし、一部のWebサイト管理者は、これが原因で完全に実行可能なプラグインを削除してしまう可能性があります。
また、スキャン結果が表示された後、マルウェアに感染したファイルを自動的に修復するオプションがありました。 試してみましたが、うまくいきました。 検出されたマルウェアはすべてWebサイトから削除されました。 もちろん、そもそも検出できなかったマルウェアを修復することはできません。
次に、ファイアウォールを試しました。 それは効果的であり、私たちがそれに突き刺した多くの脅威をブロックしました。 しかし、ファイアウォールが脅威をブロックするたびに、アラートが発生しました。 テスト中に非常に多くのアラートが発生したため、ライブサイトで何が起こるかを想像することしかできません。 管理者は必ず圧倒され、重大なアラートを見逃します。
これらの3つの主要な基準の他に、Wordfenceで利用できる他のオプションがたくさんあります。 ブルートフォース保護は優れており、2要素認証は魅力のように機能します。
プラグインを実際に数ノッチ上げたのは、その素晴らしい使いやすさでした。 Wordfenceは複雑なセキュリティプラグインですが、初心者にとっても親しみやすいものです。 ダッシュボードのレイアウト方法、ヒントと付属のドキュメントを使用すると、サイトを誤って使用できなくすることなく、誰でもセキュリティプラグインを構成できます。 これは、後で見るように、特にSucuriと対比すると、私たちの意見では大きなプラスになります。
驚くべきことに、Wordfenceにはアクティビティログがありません。これは非常に奇妙だと思いました。 しかし、本当の欠点は、それがリソースシンクであるということです。 Webサイトで実行したすべてのスキャンにより、ディスク使用量が急増し、Webサイトのパフォーマンスが急落しました。 多くのウェブホストがWordfenceを禁止しているのはこのためです。
要約すると、Wordfenceは優れたセキュリティプラグインですが、深刻な問題があります。 それが持っているすべての利点のために、そして欠点のどれも、MalCareは行く方法です。
一言で言えばSucuri
Sucuriには優れたファイアウォールがあり、マルウェア除去サービスは素晴らしかった。 しかし、マルウェアスキャナーは、チームが後でマルウェアを削除したにもかかわらず、マルウェアを検出できませんでした。 マルウェアスキャナーが機能していないセキュリティプラグインは効果がありません。
Sucuriは、少なくともセキュリティプラグインとして機能することがあるため、MalCareやWordfenceと一緒に検討される可能性がある唯一の他のプラグインです。 JetpackとiThemesは償却されました。
これは間違いなく最も人気のあるセキュリティプラグインの1つですが、それでも基本的な領域であるマルウェアスキャンでは失敗します。 後で見るように、彼らのマルウェア除去サービスは一流です。 彼らは効率的で迅速で、私たちが期待する前に私たちに戻ってきて、ウェブサイトをきれいにすることで良い仕事をしました。 ただし、マルウェアを作成して詰め込んだテストWebサイトでなければ、スキャナーがハッキングのクリーンチットを提供してくれたため、そもそもマルウェアが感染していることを知ることはできませんでした。 したがって、事実上、Sucuriは馬車を馬の前に置く典型的なケースです。 サイトをクリーンアップするには、サイトがハッキングされていることを知っている必要がありますが、Sucuriのスキャナーでハッキングされていることを知る方法はありません。
次に進むと、ファイアウォールはうまく機能しました。 SQLインジェクションやリモートコード実行攻撃などの攻撃を簡単かつ一貫して阻止しました。 しかし、セットアップするのは悪夢でした。 テストサイトを使用しているため、テストWebサイトではなくSucuriのファイアウォールIPを指すようにネームサーバーを変更する際に多くの問題が発生しました。 その最後の文のいずれかが意味をなさなかった場合、それは大丈夫です。 それを構成するのにも何年もかかりました。 公平を期すために、ライブサイトでこのような問題が発生することはありませんが、ステージングサイトまたはローカルサイトに構成する場合はどうでしょうか。 問題が発生する可能性があります。
他の構成オプションを調べたとき、ファイアウォールにはすでに不満がありました。 なぜすべてがそんなに複雑なのですか? 言語は紛らわしく、場合によっては、まったく見下している。 そしてそれは、各セキュリティスキャンがテストWebサイトの速度を低下させることに気付く前のことです。 サーバーディスクの使用状況を確認したところ、驚くべき急増がありました。
Sucuriは、サイトリソースを使用してマルウェアをスキャンします。これは、機能しないスキャナーです。覚えておいてください。 そのため、本来の機能を果たさず、サイトのパフォーマンスを低下させます。 Sucuriの見栄えは良くありません。
どのセキュリティプラグインがあなたのお金の価値がありますか?
WordPressのセキュリティに関するアドバイスは非常に多く、善意がありますが、多くの場合、悪いアドバイスです。 ウェブサイトがハッキングされたことがなく、プラグインを定期的に更新し、適切なパスワードを使用し、nullのソフトウェアを使用せず、幸運の山盛り。 GoDaddyでデータ侵害が発生する可能性がある場合は、Webサイトでもデータ侵害が発生する可能性があります。
問題の核心は、優れたセキュリティプラグインを選択する方法です。 セキュリティに関係のないものを取り除いて、重要なリストをまとめました。
- 重要なセキュリティ機能
- マルウェアスキャン
- マルウェアのクリーニング
- ファイアウォール
- 優れたセキュリティ機能
- 脆弱性の検出
- ブルートフォースログイン保護
- 活動記録
- 二要素認証
- 潜在的な問題
- サーバーリソースへの影響
ご覧のとおり、心配する必要のある重要な機能は3つだけです。 セキュリティプラグインは、マルウェアスキャン、マルウェアクリーニング、ファイアウォールの3つの点で優れている必要があります。 他のすべては肉汁です。 ブルートフォース保護や2要素認証も重要であるため、これらを廃止することはありません。 ただし、その機能のために他のプラグインを入手することもできます。
MalCareは、優れたマルウェアスキャンおよびクリーニング機能と、脅威を防ぐ高度なファイアウォールを備えた唯一のセキュリティプラグインです。 他のすべてのプラグインは、どこかで失敗します。
SucuriとWordfence:機能の直接比較
適切なセキュリティプラグインを選択することは、特に有効性についてそれぞれをテストドライブする必要がある場合に、それが機能することを期待して、当惑する経験になる可能性があります。
このセクションでは、機能別に整理されたテスト結果を示しました。 プラグイン間で同じ機能を比較および対比すると、セキュリティプラグインの有効性をより明確に把握できます。
私たちは、人々が自分のWebサイトをより適切に選択できるようにすることを目的として、結果を可能な限り公平かつ透過的に説明しました。 ただし、Webサイトをすばやく保護する場合は、代わりにMalCareをインストールして、最後までスキップしてください。
マルウェアスキャン
Sucuriには2つのスキャナーがあります。SiteCheckと呼ばれるオンラインスキャナーと、プラグインの一部であるサーバーレベルのスキャナーです。 どちらもマルウェアを検出しませんでした。 Wordfenceにはまともなマルウェアスキャナーがあり、コアファイルやフォルダー、無料のプラグインやテーマにある悪意のあるスクリプトを検出できます。 それ以外の場合は、データベースとプレミアムプラグインおよびテーマのマルウェアを見逃していました。
WordPressがハッキングされた疑いがある場合に備えて、マルウェアの第1レベルの診断としてSucuriSiteCheckを推奨することがよくあります。 Webサイト全体をスキャンすることはできませんが、一般的なマルウェア感染をすばやく特定でき、明示的な目的でプラグインをインストールする必要はありません。
サーバーレベルのスキャナーがWebサイトに完全にアクセスできることを考えると、私たちはサーバーレベルのスキャナーに大きな期待を寄せていました。 スキャナーをWebサーバーにインストールする必要があるため、インストールは他のプラグインとは少し異なります。 これは手動で行うことも、ダッシュボードにFTPの詳細を入力することによって行うこともできます。 インストールが完了し、スキャンが完了するのを待ちました。
かなりの時間後、スキャンが完了し、マルウェアに感染したWebサイトにはハッキングがなかったようです。 スキャンを2回実行して、最初に間違いがあったかどうかを確認しました。 いいえ、Sucuriによるとまだマルウェアはありません。 重大な障害。
インストール時に、Sucuriは1日1回実行するように設定されていますが、オンデマンドスキャンを要求できます。 リクエストはキューに入れられ、可用性に基づいて実行されます。 プラグイン自体は、Webサイトをスキャンするとサーバーリソースを使い果たし、Webサイトのパフォーマンスに影響を与えることを警告します。 正直なところ、パフォーマンスとユーザーエクスペリエンスを犠牲にしてセキュリティを確保するべきではないため、これはひどいことです。 これについては、別のセクションで詳しく説明します。
Wordfenceは、インストール時に自動的にスキャンも実行します。 ただし、ダッシュボードのパーセンテージの円はスキャナーの進行状況であると想定したため、ここでは少し混乱がありました。 数時間60%を超えて移動しなかったことを確認した後、さらに詳しく調べて、それがスキャナー効率の測定値であることに気付きました。 100%にするには、プラグインをアップグレードする必要があります。
スキャナーを再起動して、所要時間をベンチマークしました。テストサイトが小さいため、スキャナーは1分未満で完了しました。 それは間違いなくプラスです。 スキャン結果は平均を上回っただけでしたが、すべてではなくほとんどのマルウェアを検出したため、完全ではありませんでした。
これは、Wordfenceがシグネチャマッチングを使用してマルウェアを検出するためです。 これは、WordfenceスキャナーがWebサイトのコードをマルウェア署名のデータベースと比較することを意味します。 一致するものがある場合、スキャナーはマルウェアとしてフラグを立てます。 Wordfenceには手ごわいマルウェアデータベースがあり、セキュリティ調査に基づいて定期的に更新されますが、チームがデータベースで更新するためにマルウェアを確認する必要があるため、100%完全になることはありません。包括的な調査に関係なく、新しいマルウェアは常に出現します
したがって、Wordfenceは、WordPressのコアファイルやフォルダーに含まれるマルウェアや、無料のプラグインやテーマに含まれる悪意のあるスクリプトを検出することに長けています。 ただし、Elementorなどのプレミアムソフトウェアでは、分析用のソースコードにアクセスできないため、マルウェアを検出できません。 同じ理由で、Wordfenceはデータベース内のマルウェアの検出にも失敗します。これは、検出するためにシグネチャマッチング以外のメカニズムが必要になるためです。
そうは言っても、Wordfenceはすべてのファイルベースのマルウェアを検出しました。 私たちの推定では、マルウェアの70〜80%を検出できます。 誤検知も発生しやすく、大量のアラートを生成する傾向があります。 これについては、別のセクションでも説明します。
マルウェアのクリーニング
Wordfenceにはマルウェアを駆除する自動修復機能がありますが、より複雑なマルウェアの有効性については議論の余地があります。 彼らはプレミアムマルウェア除去サービスを持っていますが、サイトあたり490ドルでポケットに穴を開けることができます。 一方、Sucuriには、すべてのプランに含まれる無制限の手動マルウェアクリーニングサービスがあります。
Sucuriのスキャナーは、私たちのサイトにはマルウェアがないと言っていましたが(間違いなくマルウェアはありました)、多くを期待せずにクリーンアップを要求しました。 しかし、サイトはきれいに戻ってきました。 確認するためにMalCareを実行しました。 奇妙なことに、Sucuriチームがサイトをクリーンアップした後、スキャナーはサイトにマルウェアのフラグを立てました。 明らかに、どこかにバグがあります。
マルウェア除去サービスは非常に迅速でした。 私たちの計画は30時間以内に応答を保証しましたが、10未満でクリーンなサイトを取り戻しました。それは素晴らしいことです。 私たちが指摘したい唯一の注意点は、ハッキングされたサイトがある場合、時間が重要であるということです。 あなたは長い間あなたのウェブサイトでマルウェアを苦しめる余裕はありません。 迅速に行動することがいかに重要であるかを強調するために、Googleブラックリストはマルウェアの通知に対する応答時間も測定します。
マルウェアを削除するには、Sucuriにクリーンアップをリクエストする必要があります。 提供できるすべての情報をフォームに記入すると、チームがそこから引き継ぎます。 Sucuriから、ハッキング後のチェックリストと優れた推奨事項が記載されたメッセージが返ってきました。 したがって、全体として、Sucuriを使用したマルウェアクリーニング機能は高く評価されています。
Wordfenceには、ダッシュボード上のハッキングされたファイルを処理するための2つのオプションがあります。すべての削除可能なファイルを削除し、すべての修復可能なファイルを修復します。 これは、CTAが専門家によるクリーニングサービスを選択することを示唆していることとは別です。
私たちは両方のオプションを試しましたが、どちらもWebサイトからマルウェアを削除することにかなり成功しました。 問題は、自動削除の前に、変更によるサイトの破損に関する悲惨な警告が表示されることです。
私たちのテストサイトはBlogVaultにバックアップされており、率直に言って、それらが壊れることにそれほど大騒ぎしていませんでした。 あまり考えずに電源を入れることができましたが、それは修復機能のテストに興味があったためです。 ただし、たとえば、誰かのeコマースストアやトラフィックの多いWebサイトの場合は、ケースが大きく異なります。
私たちの一連のテストでは、他のほとんどのセキュリティプラグインが失敗したため、通常はこの時点で停止しました。 Wordfenceは、当社のWebサイトからすべてのファイルベースのマルウェアを駆除したため、データベースマルウェアとプレミアムプラグインの一部でこの機能を試しました。 スキャナーはこの大量のマルウェアを検出できなかったため、自動修復もオプションではありませんでした。
もう1つの方法は、マルウェアの削除を要求することでした。 このサービスは、マルウェアやバックドアを削除し、Webサイトのセキュリティ監査を行って、脆弱性を評価することを目的としています。 あなたのサイトがブラックリストに載っている場合、Wordfenceはそれを取り除くのにも役立ちます。 このサービスは、サイト管理者がハッキング後の推奨事項に従っているかどうかに応じて、1年間保証されます。 注:Wordfenceのマルウェア除去サービスは試していないため、その有効性について話すことはできません。
一方、MalCareを使用してすべてのマルウェアを自動的に削除し、問題なく削除することができました。 悲惨な警告やマルウェアの見逃しはなく、私たちのサイトは数分できしむようにきれいになりました。 これは、私たちのWebサイトに必要なマルウェアのクリーニングの一種です。
ファイアウォール
SucuriとWordfenceはどちらも、最も一般的で主要な脅威をブロックする優れたファイアウォールを備えています。 しかし、Sucuriのファイアウォールはインストールするのが悪夢であり、Wordfenceの無料のファイアウォールは心配そうにプレミアムバージョンよりも遅く更新を取得します。
Sucuriのファイアウォールは、SQLインジェクション、リモートインジェクション、クロスサイトスクリプティング攻撃などの攻撃を阻止しました。 私たちのテストWebサイトには、たとえばセキュリティで保護されていないファイルのアップロードなど、多数の脆弱性があり、ファイアウォールの背後で安全に保たれていました。
Sucuriのファイアウォールに関する私たちの問題は、そのインストールでした。 ファイアウォールを使用するには、トラフィックをネームサーバーに向ける必要があります。これにより、悪いトラフィックが除外され、良いトラフィックのみがWebサイトに転送されます。 優れたアイデアですが、構成するのは悪夢です。 私たちのテストWebサイトはどのドメインレジストラにも接続されていなかったため、これを理解するためにエンジニアリングチームに依頼する必要がありました。
Wordfenceのファイアウォールもそのまま使用でき、攻撃を防ぐことができます。
インストール直後、ファイアウォールは学習モードになりました。 Wordfenceは、学習モードを1週間オンのままにすることを推奨しました。 ファイアウォールは効果を上げる方法を学ぶためにライブトラフィックを必要とするため、これは公平です。 ただし、テストWebサイトへのライブトラフィックがないため、1週間待つ意味がほとんどなく、すぐに判明しました。
Wordfenceを使用すると、無料のファイアウォールの効果はおそらく35%にすぎません。 これは私たちの側の仮定ではありませんが、実際にはダッシュボードにあります。 なぜそうなるのかを理解するために、もう少し深く掘り下げました。 2つの理由があります:
1つ:WordPressが終了した後、無料のファイアウォールがプラグインのように読み込まれます。 ファイアウォールがWordPressコアの後にロードされる場合、すべてではなく一部の悪意のあるトラフィックのみを防ぐことができるため、ロード順序はセキュリティに大きく影響します。
2:Wordfenceには最新のファイアウォールがありますが、プレミアムバージョンはそれらの更新をリアルタイムで受信します。 ただし、無料バージョンは、不特定の期間が経過すると更新を受け取ります。 遅延が何であるかを知る方法はありませんが、潜在的に問題があります。 結局のところ、ハッカーは窓を攻撃することができます。
最大の景品は、Wordfence自体がプレミアムバージョンと比較して35%の効果で無料ファイアウォールをランク付けしていることです。 良くない。
脆弱性の検出
Wordfenceは、当社のWebサイトのすべての脆弱性を検出するという素晴らしい仕事をしました。 スクリはあいまいなものを完全に見逃しました。
Wordfenceがすべての古いプラグインを中程度の脅威として警告してくれたことに感銘を受けました。 脆弱性は重大な脅威として正しくフラグが立てられました。 他のセキュリティプラグインは、よりあいまいなプラグインやテーマにつまずき、クロスサイトスクリプティングのような深刻な脆弱性についてはまったく警告しませんでした。 そこで、Wordfenceがここで切り札になりました。
Wordfenceダッシュボードから直接脆弱性を修正することはできませんが、それは理にかなっています。 脆弱性の修正とは、基本的にプラグインまたはテーマの更新を意味し、その機能はwp-adminですでに簡単に利用できます。 更新によってサイトが破損しないようにするためにWordfenceにMalCareのような視覚的な回帰がない限り、既存の機能を複製しても意味がありません。
Wordfenceは、iThemesとBackupbuddyのエラーもスローしました。 これは、Webサイトで誤検知にフラグを立てる傾向があることを示しています。
Sucuriは、テストWebサイトで最もあいまいな脆弱性を除くすべてを検出しました。 ただし、Wordfenceとは異なり、Sucuriダッシュボードから古いソフトウェアを更新できます。 更新はwp-adminを介して簡単に可能であるため、ユーティリティは実際には表示されません。
[ハック後]タブには、インストールされているプラグインとテーマのバージョンが、最新バージョンとともに一覧表示されます。 Sucuriは、マルウェア感染につながる可能性があるため、古いソフトウェアを継続しないように注意しています。
興味深いことに、Sucuriのマルウェア除去サービスでさえ、当社のWebサイトの脆弱性の一部しか検出できませんでした。 スキャナーの使用経験から、削除サービスは脆弱性を検出するためのより良い仕事をするだろうと考えました。 そうではないようです。
ブルートフォースログイン保護
Wordfenceは、すべてのブルートフォース攻撃をブロックする優れた機能を果たします。 Sucuriのログイン保護機能が機能していないようです。
Wordfenceでは、ブルートフォース保護がデフォルトで有効になっています。 ダッシュボードで設定した構成に基づいて、毎回完全に機能し、誤った試行が多すぎるユーザーをロックアウトします。
設定はファイアウォールのセクションにあります。 オプションメニューでカスタマイズできることはたくさんあります。誤ったログイン試行に対するロックアウトの設定。 ユーザーがロックアウトを経験する時間。 等々。 オプションは圧倒的ではなく、Wordfenceはそれぞれを丁寧にそして優れたドキュメントで説明しています。
ここでもパスワード管理オプションを設定して、強力なパスワードを適用し、データ侵害で発見されたパスワードの使用を防ぐことができます。
このセクションでIPをホワイトリストに登録することは可能ですが、その有効性についてはあいまいです。 デバイスIPは動的であるため、許可リストがあるからといって、正当なユーザーがロックアウトされていないことは保証されません。
Sucuriのブルートフォース保護は期待どおりに機能しませんでした。 ロックアウトは発生しませんでした。また、ボットではなく人間であることを確認するためのキャプチャもありませんでした。 攻撃が監査ログに表示されたにもかかわらず、アラートは受信されませんでした。 全体的に、機能はウォッシュアウトでした。
ただし、ダッシュボードに構成オプションが表示されるとは思わないでしょう。 非常に多くのオプションがありました、私たちはポイントの後に巻き返していました。 全体として、逆ではなく、機能する機能を備えたオプションを少なくすることをお勧めします。
活動記録
Sucuriには監査ログがありますが、理解するのは難しい場合があります。 Wordfenceにはアクティビティログがありません。
Sucuriには、すべてのユーザーアクション、プラグインとテーマの変更を追跡する監査ログがあります。 ログには、ファイルとテーブルに加えられたすべての変更が表示されます。これは良いことです。
ログには、ユーザー、アクション、タイムスタンプなどの必要な情報が含まれています。ただし、場合によっては、エントリを理解するのが非常に困難です。 たとえば、ログをテストするために、ギャラリープラグインをインストールしました。 監査ログの結果のエントリには、7つの異なる変更が表示されます。 エントリから、変更が何であるか、なぜそれが起こったのか、または誰が責任を負ったのかは明確ではありませんでした。 したがって、監査ログは、Sucuriを話さない人にはほとんど役に立たない。
WordfenceがWebサイトのセキュリティの柱の1つであることを考えると、アクティビティログがないことに驚きました。 [ツール]メニューの[診断]セクションでデバッグを有効にするオプションがあります。これにより、ファイアウォールログがより冗長になりますが、これはアクティビティログと同じではありません。
多くの調査の結果、スキャンセクションでWordfenceイベント専用のアクティビティログを発見しました。 ただし、これは生のログであり、明らかにWordfence開発者のみを対象としています。
二要素認証
Wordfenceには、優れた2要素認証機能があります。 Sucuriはあなたのウェブサイトでそれをサポートしていません。
Wordfenceの2要素認証は、すぐに使用でき、エクスペリエンスをカスタマイズするための簡単なオプションセットを備えています。 以前はプレミアム機能でしたが、その後、無料のプラグインにも追加されました。
Sucuriは、Webサイトの2要素認証をサポートしていませんが、Sucuriアカウントを保護することができます。
サーバーリソースの使用
SucuriとWordfenceはどちらもリソースを大量に消費します。 スキャンとファイアウォールが原因で、ディスク使用量に紛れもないブリップが見られました。
これは、WordfenceとSucuriのどちらかを選択することができない1つの要因です。どちらも同じように悪い結果を出しました。
これらのプラグインがWebサイトで実行するすべてのアクションは、サーバーリソースを消費します。 当社のWebサイトは比較的小さく、スキャンを設定するとディスク使用量が2倍、場合によっては3倍になります。 これは、読み込み時間、応答時間、およびWebサイトの全体的なエクスペリエンスに影響を与えました。
WooCommerce Webサイト、またはトラフィックの多いWebサイトをお持ちの場合、この効果はユーザーに顕著になります。 あなたが共有ホスティングを利用している場合、あなたのウェブホストはフラグを立て、あなたのホスティング費用は潜在的に増加する可能性があります。 実際、多くのWebホストは、まさにこの理由でWordfenceを禁止しています。
セキュリティについて話し合うときにサーバーリソースについて話すことはめったにありませんが、それは重要な要素です。 パフォーマンスやセキュリティについて妥協する必要はありません。 両方を最適化することは完全に可能です。
ただし、SucuriやWordfenceではありません。 そのためには、MalCareが必要です。
アラート
SucuriとWordfenceはどちらも、無数のアラートと誤検知で有名です。
私たちは、WordPressの管理に関してお客様の負担を軽減することを固く信じています。 ファイアウォールはトラフィックを静かにブロックする必要があります。 ボット保護は、箱から出してすぐに機能するはずです。 管理者は、注意とアクションが必要なものがある場合にのみアラートを受け取る必要があります。 WordPressのセキュリティはストレスがなく簡単である必要があります。そうでない場合、セキュリティプラグインのポイントは何ですか?
どうやら、SucuriもWordfenceも、アラートが圧倒的であるため、この考え方に同意していません。 私たちの受信箱はすぐに殺到しました。 アラートが多すぎるとアラートがないのと同じくらい悪いです。最終的には両方とも必要なときに何もしないことにつながるからです。
インストール、構成、および使いやすさ
Wordfenceは、初心者ユーザーにとって非常に簡単になるように設計されています。 スクリは違います。
Wordfenceのインストール、構成、および全体的な使用は、これまでに見た中で最高のものの1つです。 各主要セクションにはウォークスルーがあり、最も重要な設定と機能をシンプルで脅威のない言葉で説明しています。
Wordfenceには、構成に関する優れた推奨事項があります。 それらのドキュメントにはダッシュボードのツールチップからアクセスできるため、状況に応じたものになります。 各機能は明確に説明されており、Webサイトで機能させる方法の説明にすぐにアクセスできます。
これらは指摘するのは奇妙なことのように思えるかもしれません。 ただし、Sucuriを試したことがある場合は、理解のしやすさがユーザーエクスペリエンスの重要な部分であることに気付くでしょう。 実は、スクリを一言で表すとしたら、その言葉は戸惑うでしょう。
Sucuriのインストールは簡単で、そこから下り坂になりました。 サーバー側のスキャナーとファイアウォールを使用するには、それらを手動で構成する必要があります。 非常に多くのオプションがあるため、セキュリティに実際に影響があるかどうかを判断するだけでなく、それらを理解するために何時間も費やしました。
全体として、これら2つのプラグインはスペクトルの反対側にあります。
ワードフェンス:エクストラ
Wordfenceは厳密にセキュリティです。 更新やユーザー管理オプションのように、セキュリティに隣接している機能、オプション、または行は1つもありません。 それにもかかわらず、いくつかの追加機能があります。
サイトの更新に関する通知セクションがあり、重大または中程度の脅威であるため、どのプラグインとテーマを優先的に更新する必要があるかが示されました。
Wordfenceには、WordfenceCentralと呼ばれる同じアカウント上の複数のサイトを管理するための外部ダッシュボードがあります。 接続されている各サイトのwp-adminに関するセクションも付属しているため、現在作業しているサイトに関係なく、すべてのサイトを一目で確認できます。 私たちの意見では、これは限られた有用性であり、何百もの管理されたサイトを持つ機関では機能しません。
次に、[ツール]セクションを確認しました。 Google Analyticsを複製しているように見えたが、それ以上のライブトラフィックのセクションがあります。 これらのログは、トラフィックをキーで分類して、Webサイトが取得しているトラフィックのタイプ(人間、ボット、警告、ブロック)を確認します。
wp-adminを離れずに攻撃者が誰であるかを確認したい場合に備えて、Whoisルックアップオプションがあります。 繰り返しますが、これはせいぜい付随的な機能です。
ウェブサイトに関する情報がたくさんあるので、診断は本当に面白いと思いました。 プロセス所有者からデータベーステーブルに至るまで、すべてが非常に細かく設定されています。 この情報は、Webサイトの仕様のように一箇所にまとめられているため、開発者は非常に便利です。
スクリ:エクストラ
Sucuriのプラグインには、余分なフリルやファービロウがたくさんあります。 セキュリティに影響を与えるものがあるかどうかは、まったく別の問題です。
インストール時に最初に表示されるのは、WordPressの整合性情報ボックスです。 これは、WordPressのコアファイル変更モニターのファンシーバージョンです。 明らかに、WordPressコアファイル用のファイル変更モニターがあると便利ですが、その効果は期待されているほどではありません。 ハッカーは、これらの対策を回避するために、更新タイムスタンプなどのファイルメタデータを変更できます。 そうです、便利ですが、それほどではありません。
Webサイトのコアファイルを元のWordPressインストールと比較するための整合性差分ユーティリティがあります。 マルウェアを手動で駆除する場合は、オンラインのものを使用するよりも確かに簡単です。これはまったくお勧めしません。
SucuriにはたくさんのWordPress強化機能があります。 アップロードフォルダでPHPをブロックすると、1つのカテゴリのハッキングから保護され、ダッシュボードからWordPressソルトをすばやく変更できる機能が気に入っています。 しかし、もっとうまくできたはずです。 この機能がwp-adminではなくSucuriの外部ダッシュボードにある場合は、より安全でした。 ハッカーがwp-adminにアクセスできると想像してみてください。平文であるため、ソルトは簡単に危険にさらされます。
他のオプションのいくつかは、WordPressバージョンの確認、WordPressバージョンの削除、情報漏えいの回避、デフォルトの管理者アカウントの確認など、限られた有用性です。 これらはセキュリティの観点からは無意味です。
他の強化機能は混乱を招きました。 たとえば、プラグインとテーマエディターを無効にした場合、脆弱性のあるプラグインとテーマを更新するにはどうすればよいでしょうか。 控えめに言っても逆効果。
The password management feature held some promise, but the warning would terrify all but the most brave: “Select users from the list in order to change their passwords, terminate their sessions and email them a password reset link. Please be aware that the plugin will change the passwords before sending the emails, meaning that if your web server is unable to send emails, your users will be locked out of the site.”
What's missing from Wordfence and Sucuri
Sucuri doesn't have a good malware scanner. The brute force login protection doesn't work, and it takes up too much of server resources. There is no bot protection either, and you would need a separate plugin for two-factor authentication.
Wordfence misses out on bot protection and an activity log. The scanner is above average; definitely a cut above the other security plugins available apart from MalCare. Apart from these things, it is an exceptional security plugin.
Wordfence vs Sucuri: Pricing
Sucuri's plans start at $199.99 a year per site, which is a great deal for unlimited malware removal. The firewall works well, but the scanner is a let down. Wordfence premium plans are at $99 for the year per site, with attractive bulk pricing options. However, our opinion is that the free version is almost as good as the premium version.
Sucuri is a winner when it comes to the unlimited malware removal feature. The support team was great, with a quick turnaround time, helpful response and a proactive post-hack checklist. But the malware scanner was a complete failure, and that's not a small flaw to overlook.
The free version of Wordfence is strong enough to stand on its own. The premium version is not all that different, the efficiency percentages on the dashboard notwithstanding. The real expense to consider with Wordfence is the cleaning service at $490 a pop, over and above the site license. If you are considering Wordfence seriously, read the fine print. Although they say unlimited pages, there are additional charges for sites above 10 GB. They guarantee the service for a year, but there are terms and conditions. None of this is unreasonable, but it is important to be aware before taking the plunge.
Better alternative to Wordfence and Sucuri: MalCare
The best security plugin for your website isn't Wordfence or Sucuri, it is MalCare. It has an excellent scanner that detects malware in all parts of your website: core WordPress, files and the database. Additionally, the auto-clean feature removes all malware surgically, without breaking your website.
MalCare has an advanced firewall that proactively blocks bad traffic from reaching your website. The brute force protection makes sure that your login page is safe from malicious attacks, and the bot protection goes even further to make sure only bad bots are kept away from your website.
There is a formidable support team of WordPress security experts to help with any issues that come up. Any malware removal cleanups necessary beyond the auto-clean are covered with the site license.
Thus, in a feature-to-feature comparison, MalCare undoubtedly comes out on top. MalCare's $99 plan is vastly better than Sucuri's $199.99 Basic Platform plan, and includes unlimited malware removal, which is over and above Wordfence's $99 plan.
結論
When choosing a WordPress security plugin for your website, make sure to evaluate the scanner, cleaner and firewall. All the other features can be implemented with other plugins, but these 3 features form the essence of a good plugin.
At MalCare, our goal is to make security stress-free and painless, so that you can focus on the more important aspects of your website. Leave the security to us, as you grow your business.
We hope this comparison was helpful, as we have presented all our findings transparently. さらに質問がありますか? 私たちに連絡してください。 ご連絡をお待ちしております。