iThemes 보안 대 Sucuri: 더 나은 보안 플러그인은 무엇입니까?

언뜻 보기에 iThemes Security는 WordPress 웹사이트를 위한 훌륭하고 저렴한 보안 플러그인처럼 보입니다. 특히 단돈 199달러에 무제한 웹사이트를 보호할 수 있다고 생각한다면.

반면에 Sucuri는 사용 가능한 가장 인기 있는 WordPress 보안 플러그인 중 하나입니다. 스캐너와 방화벽으로 펀치를 포장하고 맬웨어 제거 기능도 제공합니다. 그래서 이미 이 정면 대결에서 iThemes에서 행진을 훔쳤습니다. 왜? iThemes에는 이러한 기능이 없기 때문입니다.

iThemes는 경주에서 완전히 탈락했습니다. 이 콘테스트에서 Sucuri는 의심할 여지 없이 승자였습니다. 그럼에도 불구하고 우리는 여전히 Sucuri가 우리 웹사이트를 보호하는 것을 신뢰하지 않을 것입니다. WordPress 웹사이트를 해커로부터 보호하는 보안 플러그인은 무엇입니까? 답은 명확합니다. 바로 MalCare입니다.

iThemes Security와 Sucuri 비교 요약

iThemes Security는 WordPress 보안 플러그인의 위약입니다. 웹사이트가 해커로부터 안전하다고 생각하지만 실제로 웹사이트를 보호하는 것은 희망사항과 긍정적인 분위기뿐입니다. Sucuri는 의심할 여지 없이 더 좋지만 더 나은 것은 결국 상대적인 용어입니다. 훌륭한 보안 플러그인이 아닙니다.

간단히 말해서 iThemes 보안

결론은 iThemes가 귀하의 웹사이트를 보호하지 않는다는 것입니다. WordPress 보안을 고려하고 있다면 iThemes를 건너뛰는 것이 좋습니다. 이미 설치되어 있는 경우 웹사이트를 즉시 스캔하십시오. 귀하의 웹사이트에는 보안이 없습니다.

iThemes에 대한 우리의 첫인상은 실제로 호의적이었습니다. 웹 사이트는 훌륭한 게임에 대해 이야기하고 WordPress 보안에 대해 말하는 권위 있는 방식으로 인해 자신감을 심어줍니다. 우리가 볼 수 있었던 유일한 결함은 플러그인을 사용하여 맬웨어를 치료할 수 없다는 것입니다. 이상적이지는 않지만 여전히 스캐너로 작동할 수 있습니다.

아니면 그렇게 생각했습니다.

iThemes 스캐너는 맬웨어를 감지하지 않습니다. 조금도. 스캔이 몇 초 만에 완료되기 때문에 파일과 데이터도 스캔하지 않는다고 추측할 위험이 있습니다. iThemes '스캐너'가 하는 일은 Google의 투명성 보고서를 확인하여 귀하의 웹사이트가 해당 목록에 있는지 확인하는 것입니다. 이를 위해 보안 플러그인이 필요하지 않습니다. 우리는 웹 사이트를 확인하기 위해 다시 갔고 기능이 맬웨어 검사를 명시적으로 말하지 않는다는 사실에 놀랐습니다. 맬웨어 감지가 WordPress 보안의 핵심 단계 중 하나라고 말합니다. 우리가 본 적이 있다면 그것은 이중 언어입니다.

우리는 iThemes 테스트를 쓸모 없는 것으로 치부하고 싶었지만 공정성을 위해 계속했습니다.

플러그인에는 로그인 페이지에서 활성화할 수 있는 견고한 2단계 인증 기능이 있습니다. 또한 폴더에서 PHP 실행을 차단하는 것과 같은 몇 가지 적절한 강화 기능이 있습니다. 그러나 무차별 대입 로그인 보호는 일부 시간에만 작동합니다. 플러그인에 대한 또 다른 블랙 마크.

iThemes 사용에 대한 우리의 결론은 모든 보안 가치의 유일한 기능은 이중 인증과 wp-login에서 reCAPTCHA의 쉬운 구현이라는 것입니다. 그러나 이 두 가지 기능은 일부 실제 보안 외에도 동일한 기능을 제공하는 더 나은 보안 플러그인이 있기 때문에 $199 청구서를 보증하지 않습니다.

존재하지 않는 보안으로 보호되고 있다고 믿는 웹사이트의 수를 상상할 수 없기 때문에 iThemes 테스트는 끔찍한 경험이었습니다. 사실, iThemes 사용자는 지금 바로 웹사이트를 스캔해야 합니다.

간단히 말해서 Sucuri

Sucuri는 괜찮은 방화벽과 훌륭한 맬웨어 제거 서비스를 제공하지만 맬웨어 스캐너로는 크게 실패했습니다. 웹사이트에 맬웨어가 있는지 모른다면 제거할 방법이 없습니다. 이것은 보안 플러그인에서 타협할 수 없는 부분입니다.

Sucuri 테스트를 시작했을 때 많은 것을 기대했습니다. 이는 WordPress에서 가장 인기 있는 보안 플러그인 중 하나이며, 해킹된 테스트 사이트에서 스캐너가 맬웨어를 감지하지 못하는 것을 보고 놀랐습니다. 이후 섹션에서 더 자세히 설명하겠지만 전체 테스트 프로세스의 분위기를 설정했습니다.

실패 외에도 스캔 자체는 완료하는 데 오랜 시간이 걸리고 서버 리소스를 사용합니다. Sucuri 자체는 웹 사이트 성능에 영향을 미치기 때문에 너무 많은 스캔을 권장하지 않습니다. 성능과 보안 사이에 있는 것은 끔찍한 절충안이며, 그렇게 해서는 안 됩니다.

방화벽 및 맬웨어 제거 서비스로 이동하면서 Sucuri는 잘 해냈습니다. 방화벽은 구성하기가 매우 어려웠고 그렇게 하는 데 너무 많은 시간이 걸렸습니다. 그러나 그것은 우리가 시도한 공격을 차단했고 어떤 취약점도 악용할 수 없었습니다.

맬웨어 제거 서비스는 테스트 경험의 하이라이트였습니다. 스캐너가 해킹된 웹사이트에 깨끗한 상태를 보여주었지만 우리는 웹사이트가 맬웨어로 가득 차 있다는 것을 알았습니다. 우선 거기에 맬웨어를 넣었고 두 번째로 MalCare 스캔을 통해 이 진단을 확인했습니다. Sucuri 팀은 우리 사이트에서 모든 맬웨어 흔적을 제거했으며 결과적으로 깨끗했습니다. 환상적입니다! 이 케이크의 핵심은 계획의 일부로 무제한 맬웨어 제거 요청을 가질 수 있다는 것입니다.

방화벽을 제외하고는 설정이 매우 모호합니다. 우리는 사용된 많은 전문 용어에 대해 당혹감을 느꼈고 이는 WordPress 보안에 대한 전문 지식과 관련이 있습니다. 인터페이스는 사용자에게 친숙하지 않으며 많은 사람들이 불필요하게 걱정할 것이라고 확신합니다. 거기 Sucuri에 대한 마이너스 포인트.

대체로 Sucuri가 WordPress 웹사이트를 위한 최고의 보안 솔루션이라고 생각하지 않습니다. 그 영예는 ​​매번 작동하는 스캐너 덕분에 MalCare에 돌아갑니다. MalCare는 또한 우리를 둔감하게 만들지 않는 보너스 포인트를 얻습니다.

WordPress 웹 사이트에 적합한 보안 플러그인을 선택하는 방법

WordPress 웹사이트의 보안은 타협할 수 없습니다. 맬웨어는 수익 손실, 소송, 정리 비용, 브랜딩에 미치는 영향, 유기적 트래픽 손실 등 기업에 수많은 손실을 초래할 수 있습니다. 올바른 플러그인에 투자하면 해커와 맬웨어, 그리고 맬웨어가 남긴 문제로부터 당신을 구할 수 있습니다.

그러나 질문은 웹사이트에 효과적인 보안 플러그인을 어떻게 선택합니까?

테스트를 설정할 때 고려해야 할 몇 가지 요소가 있었습니다. 보안은 물론 사용 편의성과 비용 대비 가치도 있습니다. 그러나 우리는 플러그인이 보안에 얼마나 효과적인가가 유일한 고려 사항이어야 하기 때문에 보안을 제외한 모든 요소가 무의미하다는 것을 곧 깨달았습니다.

보안 플러그인을 선택할 때 고려해야 할 요소는 다음과 같습니다.

• 필수 보안 기능
  
  • 맬웨어 검사
  • 맬웨어 청소
  • 방화벽
• 있으면 좋은 보안 기능
  
  • 취약점 감지
  • 무차별 대입 로그인 보호
  • 활동 로그
  • 이중 인증
• 잠재적인 문제
  
  • 서버 리소스에 미치는 영향

목록에서 볼 수 있듯이 3가지 요소만 완전히 필수입니다. MalCare는 3가지 모두에서 에이스입니다. 다른 플러그인에서는 놓칠 수 있는 맬웨어를 검사 및 치료하고 강력한 방화벽으로 악성 트래픽으로부터 웹 사이트를 보호합니다. 또한 MalCare는 현재 사용 가능한 다른 보안 플러그인보다 더 잘 수행합니다.

iThemes Security vs Sucuri: 기능의 일대일 비교

우리가 이 비교를 배치한 방식은 먼저 가장 필수적인 기능을 수행한 다음 테스트 중에 발생한 다른 관찰 사항에 대해 논의하는 것입니다. 꽤 자주 우리는 아무 것도 하지 않는 기능과 설정을 보았지만(iThemes에 대해 이야기하고 있습니다) 정교한 보안 환상을 그렸습니다.

밀을 얻기 위해 왕겨를 자르는 것은 쉽지 않았지만 모든 데이터를 가능한 한 명확하고 공정하게 제시할 것입니다.

이 분해를 건너뛰려면 MalCare를 설치하는 것이 좋습니다.

맬웨어 검사

Sucuri의 스캐너는 웹사이트에서 멀웨어를 감지하지 못했습니다. 검사를 얼마나 빨리 끝냈는지에 따라 iThemes는 우리 웹사이트에서 맬웨어를 전혀 검사하지도 않았습니다.

Sucuri의 무료 및 유료 버전 모두 스캐너가 있으므로 서로 다르게 작동하는지 확인하는 데 관심이 있었습니다. 무료 버전은 웹 사이트의 공개적으로 보이는 부분에서 맬웨어를 검색하는 온라인 유틸리티인 Sucuri SiteCheck에서 제공합니다. 물론 여기에는 한계가 있으므로 SiteCheck의 깨끗한 전표가 맬웨어가 없는 웹사이트를 보장하지는 않습니다.

유료 요금제에는 웹 서버에 설치해야 하는 서버 수준 스캐너가 포함되어 있습니다. 이 작업을 수동으로 수행하거나 FTP 세부 정보를 Sucuri 대시보드에 입력하여 자동으로 설치할 수 있습니다. 비교적 고통스럽지 않은 과정이었습니다.

스캐너는 매일 실행되도록 설정되어 있지만 요청 시 어느 정도 스캔할 수 있습니다. 추가 스캔 요청은 대기열에 넣은 다음 실행됩니다. Sucuri는 스캔이 서버 리소스를 사용하기 때문에 너무 많은 스캔을 사용하지 않도록 경고합니다.

Sucuri가 우리 웹 사이트의 리소스를 사용하여 스캔을 실행한다는 것을 깨달았기 때문에 잠시 멈췄습니다. 테스트 사이트의 경우 사이트가 작고 외부 트래픽이 없기 때문에 유출이 심하지 않았습니다. 그러나 우리는 확실히 CPU 사용량이 급감하는 것을 보았습니다. 이에 대해서는 이후 섹션에서 자세히 설명합니다.

프로 버전도 해킹된 웹 사이트에서 맬웨어를 감지하지 못했습니다. MalCare 검사 결과가 맬웨어를 명확하게 찾아냈기 때문에 이것은 놀라운 일이었습니다. 그래서 수동 제거 요청을 제기했습니다. Sucuri의 팀에서 요청을 처리한 후 사이트는 MalCare에서 깔끔하게 표시되었습니다. 그러나 그때 Sucuri 스캐너가 웹사이트에서 맬웨어를 표시했습니다. 매우 이상했습니다.

운 좋게도 iThemes 스캐너에는 문제가 없었습니다. 순수하고 단순한 맬웨어를 검색하지 않습니다. iThemes 스캐너는 귀하의 웹사이트가 Google의 블랙리스트에 있는지 확인합니다. 그게 다야. 우리는 우리 사이트가 색인이 생성되지 않았다는 점을 고려할 때 실제로 블랙리스트에 있지 않다는 사실에 놀라지 않았습니다.

맬웨어 청소

맬웨어 치료는 iThemes 기능 목록에 없으므로 분명히 맬웨어를 치료할 수 없습니다. Sucuri는 유료 플랜의 일부로 무제한 맬웨어 제거 서비스를 제공합니다. 귀하의 계획에 따라 귀하의 웹사이트는 6시간에서 30시간 사이에 청소됩니다.

Sucuri의 스캔 결과에 우리 웹사이트에 맬웨어가 없다고 나와 있지만 우리는 그것이 사실이 아님을 분명히 알고 있었습니다. 파일과 데이터베이스 등 모든 곳에 맬웨어가 있었습니다. 우리는 또한 거기에 많은 백도어를 가지고 있었습니다. MalCare 스캐너는 테스트 사이트가 실제로 맬웨어에 감염된 것을 확인했습니다.

그래서 우리는 Sucuri에 맬웨어 제거 요청을 제기했으며 사이트에 맬웨어가 있다고 분명히 의심했습니다. 요청을 제출하려면 양식을 작성하고 청소를 위한 FTP 세부 정보를 제공해야 합니다. 그리고 나서 결과를 기다립니다.

참고 사항: 제거 요청 양식에는 나타날 수 있는 잠재적인 증상을 나열하는 흥미로운 드롭다운이 있습니다. 또한 재미로 귀하의 기술 숙련도를 표시해야 했기 때문에 다음을 선택했습니다. ”

Sucuri 덕분에 그들의 팀은 우리 사이트에서 모든 맬웨어를 제거했습니다. 또한 플랜 약관에 30시간 내에 해결을 기대할 수 있다고 명시되어 있지만 10시간 이내에 회신을 받았습니다. 따라서 Sucuri의 맬웨어 제거 서비스에 큰 찬사를 보냅니다.

우리는 MalCare를 통해 모든 맬웨어가 제거되었음을 확인한 다음, 팀이 정리한 후 Sucuri의 스캐너가 이제 사이트를 감염된 것으로 표시한 것을 보고 놀랐습니다. 이상했습니다.

반면 iThemes는 맬웨어를 치료할 수 없으므로 테스트할 항목이 없었습니다. 고맙게도 그들은 웹 사이트에서 그렇게 주장하지 않습니다.

솔직히 맬웨어 제거는 WordPress 보안에서 가장 어려운 부분이며 종종 가장 비용이 많이 드는 측면입니다. Sucuri의 유료 요금제에는 무제한 정리가 포함되어 있는데, 이는 취약점이 해결되지 않으면 맬웨어가 다시 발생할 수 있기 때문에 훌륭합니다. 청소 서비스에서 찾을 수 있는 결함이 있는 경우 해결을 위해 잠시 기다려야 할 것입니다. 맬웨어의 경우 감염이 짧은 시간에 기하급수적으로 증가하는 것을 보았으므로 이는 우려의 원인입니다.

MalCare를 사용하면 자동 치료 기능을 사용하여 몇 분 안에 맬웨어를 제거할 수 있습니다. Sucuri가 다시 연락하기를 기다리는 동안 비즈니스 크리티컬 웹 사이트에 빠른 정리가 갖는 막대한 가치를 깨달았습니다.

방화벽

Sucuri의 방화벽은 작동하며 가장 일반적인 공격을 유지합니다. iThemes에는 방화벽이 없습니다.

방화벽은 악의적인 트래픽을 차단하고 악용을 방지하기 때문에 웹 사이트 보안의 중요한 구성 요소입니다. 기사의 이 시점에서 iThemes에 방화벽이 없다는 소식에 놀라지 않을 것입니다. 왜 그럴까요? 보안 플러그인으로서 다른 모든 측면에서 실패합니다.

반면에 Sucuri는 워드프레스 공격으로부터 우리 웹사이트를 보호했습니다. 무제한 파일 업로드, XSS 및 SQL 삽입과 같은 취약점에 대해 테스트했습니다. 방화벽은 이러한 취약점을 악용하고 웹 사이트에 맬웨어를 업로드하려는 모든 시도를 차단했습니다. 더 복잡한 공격은 투명하게 테스트할 수 없었습니다.

따라서 Sucuri의 방화벽은 작동하지만 방화벽을 구성하는 것이 얼마나 답답했는지도 언급해야 합니다. 방화벽이 작동하는 방식은 들어오는 트래픽과 웹 사이트 사이의 레이어처럼 작동한다는 것입니다. 따라서 모든 트래픽은 먼저 Sucuri의 방화벽에 도달한 다음 귀하의 웹사이트로 리디렉션됩니다.

상상할 수 있듯이 이것은 약간의 구성이 필요합니다. 웹사이트에 사용하는 도메인은 먼저 Sucuri를 가리켜야 하고 트래픽이 분석된 다음 허용된 트래픽이 웹사이트로 전송됩니다. 훌륭하지만 네임 서버 및 DNS 구성에 대한 전문 지식이 없는 경우 방화벽을 설정하는 것이 어렵습니다.

전반적으로 즉시 사용할 수 있는 보안 솔루션을 갖추는 것이 훨씬 좋습니다. 웹사이트를 보호하기 위한 복잡한 구성이 없습니다. MalCare에서 얻을 수 있는 것과 같습니다.

취약점 감지

Sucuri는 전부는 아니지만 웹 사이트에서 대부분의 취약점을 탐지했습니다. iThemes가 찾지 못했습니다.

서버 측 스캐너를 활성화한 후 Sucuri는 웹 사이트에 몇 가지 취약한 플러그인이 설치되어 있음을 감지했습니다. 모든 항목을 감지하지 못했고 권장 사항은 단순히 업데이트하는 것이었습니다.

또한 현재 설치된 플러그인 및 테마, 설치된 버전 및 사용 가능한 최신 버전을 나열하는 해킹 후 보기가 wp-admin에 있습니다. 이 섹션의 설명에서 Sucuri는 취약점이 웹 사이트 보안과 관련되어 있으며 모든 것을 최신 상태로 유지하는 것이 좋다고 언급했습니다. 플러그인을 통해 일상적으로 훑어보는 사람이 거기에 도달할 가능성은 거의 없으므로 배치가 유용한지 확신할 수 없습니다.

맬웨어 제거 요청의 일부로 Sucuri는 강화 조치를 적용하고 취약한 플러그인을 업데이트할 것을 권장하는 메시지도 보냈습니다. 이것은 해킹 후 체크리스트의 일부입니다.

iThemes는 취약점을 표시하지 않습니다. 그러나 대시보드에는 플러그인이 설치된 시점부터 수행된 업데이트 수를 나타내는 매우 쓸모없는 카운터가 있습니다. 이 정보가 얼마나 유용할 수 있는지 우리는 짐작할 수 없습니다.

무차별 대입 로그인 보호

Sucuri는 무차별 암호 대입 공격을 차단하고 사용자에게 경고해야 하지만 둘 중 하나도 수행하지 않습니다. iThemes는 경우에 따라 그렇지 않을 때도 있습니다. 어느 것이 더 나쁘다고 말하기는 어렵습니다.

iThemes는 각 잘못된 로그인 시도를 무차별 대입 공격으로 기록하는데, 이는 솔직히 사용자가 보기에 끔찍합니다. 어떤 경우에는 정말 비밀번호를 잊어버렸습니다.

로그인 페이지에 무차별 대입을 시도했을 때 고르지 않은 결과가 나타났습니다. iThemes는 한 사이트에서 시도를 차단했지만 다른 사이트에서는 차단하지 않았습니다. 이러한 불일치의 원인을 파악하려고 노력했지만 유일한 차이점은 웹사이트의 맬웨어였습니다. 맬웨어는 일반적으로 성공적인 무차별 대입 공격의 결과이므로 이것이 이유라고 생각하지 않습니다. 기능이 산발적으로 작동하게 만드는 버그가 있는 것 같습니다. 사실상 무의미합니다.

무차별 대입 공격에 대한 세분화된 옵션 세트가 있기 때문에 Sucuri는 우리에게 희망을 주었습니다. 무차별 대입 공격으로 간주되는 실패한 시도 횟수를 설정할 수 있습니다. 로그인 공격은 일반적으로 분당 100번 정도 시도하지만, 우리는 시간당 30번 정도의 매우 적당한 시도로 설정했습니다.

잠금에 대한 모든 설정을 확인한 후 사이트가 잠긴 것에 대해 약간 걱정했습니다. MalCare의 로그인 보호 기능이 시도를 차단하지 않도록 MalCare를 껐습니다. 그러나 아무 일도 일어나지 않았습니다. 3분 동안 40회 이상의 잘못된 로그인을 시도했지만 Sucuri는 경고를 표시하지 않았습니다. 감사 로그를 확인했는데 실패한 인증이 정상적으로 표시됩니다. 그러나 알림이 없습니다. 잠금이 없습니다. 아무것도 아님.

활동 로그

iThemes에는 불완전한 활동 로그 기능이 있습니다. Sucuri에는 좋은 것이 있지만 모호할 수 있습니다.

Sucuri에는 사용자, 플러그인 및 테마의 모든 작업을 추적하는 감사 로그라는 기능이 있습니다. 이 기능은 예상대로 작동하지만 설정 중 하나 때문에 일시 중지되었습니다. "공격자가 로그를 삭제하지 못하도록 방지"하려면 API 키가 필요합니다. 이것은 기본적으로 Sucuri가 외부 웹 사이트에 대한 데이터를 수집하고 저장할 수 있는 권한을 부여합니다. 이는 괜찮지만 그들이 사용하는 언어는 아무리 말해도 어색합니다. 유용성 섹션에서 자세히 알아보세요.

로그는 로그처럼 작동하고 타임스탬프, 사용자 및 작업을 수집하지만 매우 모호할 수 있습니다. 예를 들어 플러그인이 활성화된 것으로 표시되는 새 플러그인을 설치했습니다. 여태까지는 그런대로 잘됐다. 그리고 로그에는 설치가 어떤 영향을 미쳤는지 보여주는 항목이 7개 더 있습니다. 그러나 이러한 항목이 무엇을 의미하는지에 대한 설명은 거의 없습니다. 변경된 파일이나 폴더입니까? 아니요, 나중에 갤러리 플러그인인 이 특정 플러그인이 게시물의 템플릿을 변경했음을 깨달았습니다. 말이 되지만 계시는 Sucuri에서 나온 것이 아닙니다.

활동 로그는 웹 사이트 보안 툴킷의 중요한 부분입니다. 해커는 사이트를 공격하기 위해 불충분한 로깅을 이용하므로 웹사이트에 대한 올바른 정보를 공유할 수 있다고 신뢰할 수 있는 신뢰할 수 있는 로그를 유지해야 합니다.

기본적으로 iThemes와는 다릅니다. 여기의 활동 로그에는 사용자 활동, 버전 관리, 사이트 스캔 및 무차별 대입 공격과 같은 몇 가지 유용한 정보가 있습니다. 하지만 플러그인이나 테마에 관한 것은 없습니다. 매일 파일 변경 보고서를 이메일로 보내는 별도의 기능도 있습니다. 대체로 로그는 웹 사이트의 정확한 그림을 그리지 않기 때문에 부적절합니다.

이중 인증

iThemes에는 기본적으로 작동하는 훌륭한 이중 인증 기능이 있습니다. 수쿠리는 그렇지 않습니다.

이 시리즈의 iThemes 및 기타 유사한 기사를 폐기한 후 이것이 iThemes에서 실제로 작동하는 유일한 보안 기능 중 하나이며 오히려 잘 작동한다는 사실을 보고하게 되어 기쁩니다.

iThemes의 이중 인증 기능은 매우 강력합니다. 수많은 사용자 정의 기능이 있으며 번거로움 없이 바로 사용할 수 있습니다. 플러그인은 강력한 암호를 적용하는 데도 도움이 되므로 강력하게 권장합니다.

여기서 우리의 유일한 관심사는 iThemes 프로 버전에 암호 없는 로그인, 신뢰할 수 있는 장치, 매직 링크 등 사용 편의성을 위해 로그인 토큰을 제거하는 수많은 설정이 있다는 것입니다. 이는 로그인 프로세스를 원활하게 진행하는 데 유용하지만 2단계 인증의 목적을 무효화합니다.

Sucuri를 테스트할 때 이중 인증을 찾았습니다. Sucuri 대시보드에 존재하는 것으로 나타났습니다. 그러나 WordPress 웹사이트가 아닌 Sucuri 계정에 2단계 인증을 사용할 수 있다는 사실에 우리는 즐겁기도 하고 어리둥절하기도 했습니다.

서버 리소스 사용량

iThemes는 아무 작업도 수행하지 않기 때문에 서버 리소스를 전혀 소모하지 않습니다. Sucuri는 스캔으로 웹 사이트 성능을 손상시킵니다.

흥미롭게도 사람들은 보안과 관련하여 서버 리소스에 대해 자주 묻지 않습니다. 그러나 이상적으로는 웹 사이트가 보호되고 크롤링 속도가 느려지지 않기를 원합니다. Sucuri의 스캐너는 귀하의 사이트에서 그렇게 할 것입니다.  

Sucuri는 웹 사이트의 서버 리소스를 완전히 사용한다고 주장합니다. 사실, 그들은 그러한 이유로 빈번한 스캔을 권장하지 않는 것 같습니다. 솔직히 이것은 끔찍합니다. 성능과 합당한 서버 요금, 보안 중에서 선택해야 하는 이유는 무엇입니까? 하지만 농담이 아니었습니다. Sucuri를 설치하고 두 번째 스캔을 실행하자마자 서버 리소스가 엄청나게 급증했습니다. 작은 사이트에서 그 차이가 눈에 띄게 두드러진다면 큰 사이트에서는 훨씬 더 커질 것입니다.

또한 대시보드의 일반 설정에는 Sucuri가 웹 사이트 자체에 많은 데이터(대부분 로그)를 저장함을 나타내는 데이터 저장소 설정이 있습니다. 이것이 API 키가 필요한 이유일 것입니다. 기본적으로 공개적으로 액세스할 수 있는 폴더인 업로드 폴더에 모두 있기 때문입니다. 저장소를 공개적으로 액세스할 수 없는 폴더로 변경하는 옵션이 있지만 처음에는 이것이 기본값이어야 했습니다.

iThemes는 서버 리소스를 소모하지 않습니다. 아무것도 하지 않을 때 어떻게 그럴 수 있습니까?

알림

iThemes는 아무 것도 경고하지 않습니다. Sucuri는 수신하지만 어떤 알림을 받고 싶은지 주의해야 합니다. 받은편지함이 몇 시간 안에 가득 찰 수 있습니다.

Sucuri를 사용하면 특정 사람에게 보낼 알림을 설정하고 알림 형식을 사용자 지정하는 등의 작업을 수행할 수 있습니다. 해당 주소에 경고 플래그가 지정되지 않도록 IP 주소 범위를 추가할 수도 있습니다. 그러나 전문 용어로 가득 찬 설명에 대해 경고하십시오. ' 클래스 없는 도메인 간 라우팅 '이란 무엇입니까? 저희는 알고 싶지 않았고 단지 웹사이트를 보호하고 싶었을 뿐입니다.

알림에 대한 세분화된 설정으로 판단하면 Sucuri는 잠재적으로 너무 많은 알림을 보낼 가능성이 있음을 잘 알고 있는 것 같습니다. 최대 5개의 이메일과 같이 한 시간 안에 수신되는 최대 알림을 구성하는 설정이 있습니다. 문제는 다음과 같습니다. 처음 5개는 거짓 긍정이고 6번째는 그렇지 않다고 가정해 볼까요? 거기에는 면책 조항이 있지만 다시 말하지만 쓸모없는 기능보다 실제 정보를 갖는 것이 좋습니다. 여기서 중요한 점은 어떤 관리자도 나무만 보고 숲을 보지 않을 것이라는 점입니다. 소음이 너무 많습니다.

놀랍게도, 우리는 여전히 iThemes를 검토하고 있으며, 실패로 인해 포기하지 않았습니다. iThemes는 파일 변경 알림 보고서, 데이터베이스 백업 및 기타 설정 확인을 보냈습니다. 우리는 또한 우리 웹사이트에 대한 일일 보안 다이제스트와 일주일에 한 번 취약점 보고서를 구독했습니다. 하나의 사이트로는 충분히 나빴고 더 많은 사이트에서는 완전히 통제할 수 없었습니다.

설치, 구성 및 유용성

혼란스러운 구성 옵션 때문에 iThemes 설치가 의외로 어려웠습니다. Sucuri는 매우 간단했지만 플러그인의 구성 옵션은 끔찍하게 어려웠습니다.

iThemes는 우리가 테스트한 첫 번째 플러그인이므로 처음에는 쉬워 보였습니다. 또한 가장 쓸모없는 설정에 대한 기준을 설정했습니다. 보안 대시보드를 생성하려면 구성을 거쳐야 합니다. 각 설정을 살펴보았지만 어느 것도 보안에 실질적인 영향을 미치지 않았기 때문에 무작위로 설정하고 그대로 두었습니다.

Sucuri는 소란없이 설치되었고 플러그인은 대부분 자체적으로 설정되었습니다. 유료 기능에 액세스하려면 Sucuri로 계정을 만들어야 했습니다. 또한 서버측 스캐너를 설치하려면 Sucuri 외부 대시보드를 사용해야 합니다. 맬웨어를 감지하지 않았기 때문에 많은 점을 볼 수는 없지만 FTP 세부 정보를 즉시 사용할 수 있다면 어렵지 않습니다.

wp-admin의 iThemes 대시보드는 노이즈입니다. 관련된 보안 관련 정보가 없습니다.

Sucuri의 대시보드와 설정은 엄청나게 복잡합니다. 우리는 그들이 사용하는 기술 용어가 무엇을 의미하는지 알아내려고 몇 시간을 보냈습니다. 경우에 따라 플러그인이 권장 설정을 알려주므로 사용자는 본질적으로 맹목적으로 작업합니다. 유일한 문제는 Sucuri가 멀웨어 스캐너가 작동하지 않기 때문에 맹목적인 믿음을 불러일으키지 않는다는 것입니다!

이 플러그인이 이해하기 더 쉬웠으면 합니다. 매우 복잡해 보이고 많은 작업을 수행하는 것처럼 보이지만 무차별 암호 대입 보호와 같이 중요하다고 알고 있는 일부 기능이 작동하지 않는 것 같기 때문에 확신할 수 없습니다.

방화벽과 서버측 스캐너는 별도로 활성화해야 합니다. 3개의 웹사이트가 있는 이 플러그인을 알아내는 데 일주일 이상이 걸렸습니다. 우리는 더 많은 것을 다루는 누군가에게 일어날 일을 생각하면 전율합니다. 설정하기가 너무 귀찮습니다.

비기술 사용자가 설정을 이해하기 어렵다는 점을 다시 한 번 말씀드립니다. 우리는 로그 분석 소프트웨어라는 것이 있다는 것을 몰랐습니다. 우리는 또한 역방향 프록시에 대한 흥미로운 메시지를 보았습니다. 여기서 Sucuri는 우리가 이 옵션이 무엇인지 알지 못하는 한 이 옵션에 대해 걱정하지 말라고 유용하게 알려줍니다. 오만한 일면으로 혼란을 드려 감사합니다.

iThemes: 기타

iThemes에는 매우 정교한 화이트리스트 기능이 있는데, 우리가 본 사이트 잠금 불만이 너무 많다는 것을 깨닫기 전까지는 놀라웠습니다. 여기에는 두 가지 문제가 있습니다. 하나는 장치 IP가 변경되므로 IP를 화이트리스트에 추가하는 것이 생각보다 안전하지 않다는 것입니다. 둘째, 우리는 잠금을 유발하기 위해 가능한 모든 것을 시도했습니다. 그러나 그것은 일어나지 않았습니다.

파일 변경 모니터는 보안에 대해 전혀 알지 못하는 한 좋은 생각처럼 들리는 또 다른 기능입니다. 해커는 파일이 몇 년 동안 편집되지 않은 것처럼 보이도록 파일 타임스탬프를 변경할 수 있습니다. 또한 이 모니터에 대한 파일 형식 제외 목록이 있습니다. 솔직히 이것은 맬웨어에 대한 이해가 부족함을 보여줍니다. 맬웨어는 예를 들어 .ico 파일을 포함하여 모든 파일에 숨길 수 있습니다.

iThemes에는 우수한 비밀번호 관리 시스템이 있습니다. 강력한 암호를 적용하고 손상된 암호를 허용하지 않을 수 있습니다. 원하는 경우 XML-RPC에 대한 응용 프로그램 암호를 설정할 수도 있습니다.

마지막으로 iThemes에는 몇 가지 강화 기능이 있으며 대부분 권장하지 않습니다. 의미가 있는 유일한 것은 업로드 폴더에서 PHP 실행을 차단하는 것입니다. 이렇게 하면 특정 유형의 맬웨어 공격을 방지할 수 있습니다. 나머지는 모두 무시하는 것이 좋습니다.

수쿠리: 엑스트라

wp-admin에 있는 Sucuri의 대시보드는 꽤 인상적으로 보이지만 즉시 우리는 가장 큰 정보 상자가 WordPress 무결성이라는 것을 알았습니다. 이것은 기본적으로 워드프레스 코어 파일용 파일 변경 모니터의 최신 버전이기 때문에 현재 사용 중인 무료 버전에만 적용되기를 바랍니다.

경우에 따라 많은 맬웨어가 코어 파일에 들어가는 것을 고려하면 유용하다는 것을 알 수 있습니다. 반대로, 경험이 없는 사람들은 그것이 무서운 생각인 맬웨어의 범위라고 믿을 수 있기 때문에 이것이 안전할 수 있음을 알 수 있습니다. 흥미롭게도, 신고한 3개의 wordpress 무결성 파일 중 2개(긴급 커넥터 및 방화벽)는 MalCare에서 가져왔습니다.

설정에 더 깊이 들어가면 핵심 파일을 비교하고 차이점을 찾는 무결성 diff 유틸리티가 있습니다. 이것은 온라인 diffchecker 유틸리티보다 사용하기 쉬울 수 있습니다.

상당한 수의 강화 옵션이 있습니다. 일부는 유용하고 다른 일부는 그다지 많지 않습니다. 업로드 폴더, 방화벽에서 PHP를 차단하고 워드프레스 솔트를 변경하는 자동 비밀 키 업데이트를 활성화할 수 있는 것이 마음에 들었습니다.

그러나 WordPress 버전 확인, WordPress 버전 제거, 정보 유출 방지(WordPress에서 방금 재생성한 readme 파일 제거) 및 기본 관리자 계정 확인은 모두 보안에 미치는 영향이 미미한 어리석은 기능입니다. 솔직히 전체 보안 산업은 이러한 트릭에서 벗어났습니다.

플러그인 및 테마 편집기를 비활성화하도록 선택하면 업데이트가 까다로워집니다. 여기에는 이러한 폴더의 PHP 파일에 액세스해야 하는 일부 플러그인 및 테마에 대한 주의 사항이 포함되어 있습니다. 이것은 부적절합니다. 사례: Sucuri 자체가 업로드 폴더에 PHP 파일을 저장합니다. 외부 대시보드에서 자신의 파일에 액세스하는 것을 원하지 않습니까? 아니면 규칙의 예외입니까? 이 경우 규칙은 사용자에게 숨겨진 방식으로 유연하게 보입니다.

우리는 wp-admin 대시보드에서 사후 해킹 기능을 확인하는 데 관심이 있었습니다. 청소 후에는 향후 해킹으로부터 웹 사이트를 보호하기 위해 모든 조치를 취해야 합니다. 조금 더 살펴보기 전까지는 아이디어가 마음에 들었습니다.

대시보드에서 암호 키를 업데이트(워드프레스 솔트 변경)할 수 있습니다. 이것의 유일한 문제는 wp-admin에 로그인한 모든 관리자가 볼 수 있는 일반 텍스트라는 것입니다. 해커가 관리자 액세스 권한이 있는 계정을 가지고 있다면 이는 터무니없이 위험합니다. 이 기능은 사용자가 손상된 관리자 계정이 없음을 확인한 다음 솔트를 변경한 경우에만 의미가 있습니다. 어디에도 언급되지 않은 포인트.

사용자 암호를 재설정할 수 있습니다. 다시 말하지만, 작은 글씨를 읽을 때까지 겉으로는 좋은 기능입니다. “목록에서 사용자를 선택하여 비밀번호를 변경하고 세션을 종료하고 비밀번호 재설정 링크를 이메일로 보내십시오. 플러그인은 이메일을 보내기 전에 비밀번호를 변경하므로 웹 서버가 이메일을 보낼 수 없으면 사용자가 사이트에서 잠길 수 있음을 의미합니다.”

기본 버전 관리인 플러그인 및 테마 업데이트를 볼 수 있는 곳이 있습니다. 기존 관리 대시보드 기능에 아무 것도 추가하지 않습니다. 그러나 오래된 플러그인과 테마가 보안과 연결되어 있음을 사람들에게 교육하는 데 도움이 될 수 있습니다.

iThemes 보안 및 Sucuri에서 누락된 것

iThemes에는 WordPress 보안에 심각한 결함인 방화벽이 없습니다. 방화벽은 특정 유형의 공격으로부터 사이트를 보호하며 웹사이트에 취약성이 있는 경우 매우 중요합니다.

Sucuri의 맬웨어 스캐너가 적합하지 않습니다. 따라서 맬웨어 제거 서비스가 훌륭하더라도 스캐너에서 플래그를 지정하지 않기 때문에 웹 사이트에 맬웨어가 있는지 추측해야 합니다.

iThemes 보안 대 Sucuri: 가격

사이트당 연간 199.99달러인 Sucuri의 기본 플랫폼 계획은 무제한 맬웨어 제거 서비스에 좋은 거래입니다. 그러나 작동하는 스캐너도 있어야 한다는 점을 고려하면 그것이 당신의 잠수함이 당신을 위해 얻을 수 있는 전부입니다. iThemes는 가치가 없습니다. 귀찮게하지 마세요.

이 기사에서 iThemes에 대한 우리의 의견을 충분히 명확하게 했습니다. iThemes에서 언급할 가치가 있는 유일한 기능은 무료 플랜에서 사용할 수 있는 이중 인증입니다. Pro 플랜은 절대 권장하지 않습니다.

Sucuri의 가격은 맬웨어 제거 서비스를 훔치는 것이지만 연고의 파리는 스캐너입니다. 맬웨어가 있는지 모르는 경우 제거 요청을 제출할 수 없습니다.

iThemes Security 및 Sucuri의 더 나은 대안: MalCare

해커로부터 웹 사이트를 스캔, 정리 및 보호하는 우수한 보안 플러그인에 투자하십시오. 이 시리즈에 대해 테스트한 모든 플러그인 중에서 MalCare가 최고의 옵션으로 돋보입니다. MalCare는 모든 것에서 iThemes를 능가하며 Sucuri보다 맬웨어를 더 잘 검색합니다.

사실 MalCare의 99달러 기본 계획은 Sucuri의 199.99달러 기본 플랫폼 계획보다 낫습니다. 무제한 정리도 포함되어 있습니다.

결론

웹 사이트의 보안은 가장 중요합니다. 우리는 많은 고객이 보안 플러그인에 인색하다가 해킹 후 막대한 손실에 직면하는 것을 보았습니다. 한 고객은 포인트 후 포기하고 처음부터 웹 사이트를 다시 구축하기로 결정했습니다. 맬웨어는 비싸지만 MalCare는 그렇지 않습니다.

기사가 결정을 내리는 데 도움이 되었습니까? 우리는 알고 싶습니다! 우리에게 줄을 드롭 마십시오.