Sucuri 대 Wordfence: WordPress 웹 사이트에 가장 적합한 보안 플러그인

Wordfence와 Sucuri는 모두 WordPress 보안 플러그인의 헤비급 챔피언입니다. 어떤 대화에서든 필연적으로 등장하며, 어떤 것이 최고의 보안 플러그인인지에 대해 사람들이 분분합니다.

Sucuri에는 웹사이트 관리자가 맬웨어를 탐지하는 데 광범위하게 사용하는 인기 있는 온라인 스캐너가 있습니다. 그들의 플러그인에는 서버 측 스캐너, 방화벽 및 기타 여러 보안 기능도 있습니다. Sucuri는 모든 계획에 대해 무제한 맬웨어 제거를 제공합니다.

Wordfence는 WordPress 보안 플러그인의 확실한 리더입니다. 팀은 많은 교육 콘텐츠로 보안 플러그인을 보완하여 관리자가 해커로부터 웹 사이트를 보호하는 방법을 이해하도록 돕습니다. 플러그인에는 스캐너와 방화벽이 있으며 일부 맬웨어도 제거할 수 있습니다. 그들에게도 맬웨어 제거 서비스가 있지만 이는 주문형 프리미엄 기능입니다.

Sucuri 대 Wordfence 전투에서 어느 것이 더 나은지 답하기 위해 두 플러그인을 광범위하게 테스트했습니다. 기사의 나머지 부분에서 볼 수 있듯이 테스트는 플러그인이 작동하지 않도록 설계되어 웹사이트 보안을 위해 최선의 결정을 내릴 수 있습니다.

5개의 보안 플러그인, 3개의 웹사이트, 45일, 그리고 수많은 맬웨어. 결과는 결정적이었습니다.

VERDICT Sucuri 대 Wordfence 는 간단한 질문이 아닙니다. 둘 다 맬웨어 스캐너와 방화벽이 있습니다. Wordfence에는 자동 클리너와 값비싼 맬웨어 제거 서비스가 있는 반면 Sucuri는 계획에 따라 무제한 정리를 제공합니다. 모든 요소를 ​​고려한 후 Wordfence가 확실히 승자입니다. 자세히 알아보려면 계속 읽어보세요.

우리의 선택

이 시리즈를 위해 우리는 3개의 테스트 웹사이트를 개발했습니다. 둘째, 취약한 플러그인과 다양한 수준의 모호한 테마가 있는 사이트입니다. 마지막으로 다양한 종류의 맬웨어가 로드된 사이트입니다.

효과적인 플러그인의 기준은 다양하지만 우리는 한 가지 간단한 질문에 집중하고 싶었습니다. 플러그인이 해커와 맬웨어로부터 웹사이트를 잘 보호합니까?

45일 후, 우리는 답을 받았습니다. 플러그인 5개 중 4개에 대해 대답은 아니오였습니다. 모든 카운트에서 1개의 플러그인이 승리했습니다. 그 플러그인은 MalCare입니다.

MalCare는 파일, 데이터베이스 및 폴더의 맬웨어가 얼마나 잘 숨겨져 있는지에 상관없이 찾아내는 최고의 맬웨어 스캐너를 보유하고 있습니다. 실제로 작동하는 자동 클리너가 있어 외과적 정밀도로 맬웨어만 제거합니다. 마지막으로 웹사이트를 악용할 수 있는 위협을 차단하는 고급 방화벽입니다.

WordPress 사이트를 위한 최고의 보안 플러그인은 단연 MalCare입니다.

Sucuri 대 Wordfence 비교 요약

이 투구 대결에서 Wordfence가 승자입니다. Sucuri도 요점을 가지고 있기 때문에 우리는 그것이 가까운 전화였다는 것을 인정해야 합니다.

Wordfence의 단점이 Sucuri의 장점이고 그 반대의 경우도 마찬가지이기 때문에 사람들이 어느 것이 더 나은지에 대해 그렇게 열광하는 이유를 알 수 있습니다. 따라서 개인의 개인적인 경험에 따라 특정 문제를 해결한 플러그인을 옹호할 것입니다.

그러나 이 때문에 모든 WordPress 사이트에 전체적으로 어느 것이 더 나은지에 대한 객관적인 대답은 없습니다. 그리고 그것에 대한 대답은 둘 다입니다. 보안의 한 측면이나 다른 측면에서 타협할 필요가 없습니다. 대신 MalCare에 가입하여 모든 것을 누리십시오.

한마디로 워드펜스

Wordfence는 MalCare 다음으로 WordPress 사이트를 위한 최고의 보안 플러그인입니다. 무료 버전은 강력한 보안 기능과 함께 강력합니다. 스캐너는 대부분의 파일 기반 맬웨어를 탐지하고 탐지한 대부분을 치료할 수 있습니다. 방화벽은 가장 업데이트된 것 중 하나이며 여러 위협을 차단합니다. 단점은 Wordfence를 사용하면 웹 사이트 성능이 크게 저하되고 맬웨어 제거 서비스가 비싸다는 것입니다.

Wordfence의 스캐너는 무료 플러그인 및 테마에 삽입한 모든 파일 기반 맬웨어를 탐지할 수 있었습니다. 그것이 이상하게 구체적으로 들린다면, 그것은 그것이기 때문입니다. 데이터베이스에 있는 멀웨어나 프리미엄 플러그인 및 테마에 삽입된 멀웨어를 감지하지 못했습니다. 이는 Wordfence가 사용하는 파일 일치 감지 메커니즘이 공개적으로 사용 가능한 코드에 크게 의존하기 때문입니다.

검사 결과는 맬웨어와 설치된 테마 및 플러그인의 취약점을 표시했습니다. 재미있게도 Wordfence는 일부 프리미엄 플러그인을 맬웨어 또는 오류로 표시했습니다. 이것은 우리가 WordPress 코드를 파헤치는 데 익숙하기 때문에 볼 수 있는 오탐지입니다. 그러나 일부 웹 사이트 관리자는 이 때문에 완벽하게 실행 가능한 플러그인을 제거하게 될 수 있습니다.

또한 검사 결과가 표시된 후 맬웨어에 감염된 파일을 자동으로 복구하는 옵션이 있었습니다. 우리는 그것을 시도했고 효과가 있었습니다. 탐지된 모든 맬웨어는 웹사이트에서 제거되었습니다. 물론 애초에 탐지하지 못한 악성코드는 복구할 수 없다.

다음으로 방화벽을 시도했습니다. 우리가 던진 많은 위협을 차단하는 데 효과적이었습니다. 그러나 방화벽이 위협을 차단할 때마다 우리는 경고를 받았습니다. 테스트하는 동안 경고가 너무 많이 발생하여 실제 사이트에서 어떤 일이 일어날지 상상할 수 있습니다. 관리자는 압도되어 중요한 경고를 놓칠 것입니다.

이 세 가지 주요 기준 외에도 Wordfence에서 사용할 수 있는 다른 옵션이 많이 있습니다. 무차별 대입 방지가 탁월하고 이중 인증이 매력처럼 작동합니다.

실제로 플러그인을 몇 단계 끌어 올린 것은 뛰어난 사용성이었습니다. Wordfence는 복잡한 보안 플러그인이지만 초보자도 쉽게 접근할 수 있습니다. 팁 및 관련 문서와 함께 대시보드가 ​​배치되는 방식으로 누구나 실수로 사이트를 사용할 수 없게 만드는 일 없이 보안 플러그인을 구성할 수 있습니다. 이것은 나중에 보게 되겠지만, 특히 Sucuri와 대조될 때 우리의 의견으로는 큰 장점입니다.

Wordfence에는 놀랍게도 우리가 매우 이상하다고 생각했던 활동 로그가 없습니다. 그러나 진짜 낙오자는 리소스 싱크입니다. 웹 사이트에서 실행할 때마다 디스크 사용량이 급증하고 웹 사이트 성능이 급락했습니다. 이러한 이유로 많은 웹 호스트가 Wordfence를 금지했습니다.

요약하면 Wordfence는 뛰어난 보안 플러그인이지만 심각한 결함이 있습니다. MalCare가 가지고 있는 모든 이점과 결점 없이 MalCare가 가야 할 길입니다.

한마디로 스쿠리

Sucuri는 우수한 방화벽을 갖추고 있으며 맬웨어 제거 서비스가 훌륭했습니다. 그러나 맬웨어 스캐너는 팀에서 나중에 제거했음에도 맬웨어를 감지하지 못했습니다. 멀웨어 스캐너가 작동하지 않는 보안 플러그인은 효과가 없습니다.

Sucuri는 최소한 때때로 보안 플러그인으로 기능하기 때문에 MalCare 및 Wordfence와 함께 고려될 가능성이 있는 유일한 다른 플러그인입니다. Jetpack과 iThemes는 상각되었습니다.

틀림없이 가장 인기 있는 보안 플러그인 중 하나이지만 근본적인 영역인 맬웨어 검사에서는 여전히 실패합니다. 나중에 보게 되겠지만, 그들의 맬웨어 제거 서비스는 최고입니다. 그들은 효율적이고 신속했으며 예상보다 빨리 우리에게 돌아와 웹 사이트 청소를 잘했습니다. 그러나 우리가 만들고 맬웨어로 채운 테스트 웹 사이트가 아니었다면 스캐너가 해킹에 대한 깨끗한 정보를 제공했기 때문에 처음부터 감염 사실을 몰랐을 것입니다. 따라서 실제로 Sucuri는 마차를 말 앞에 두는 고전적인 경우입니다. 사이트를 정리하려면 해킹된 사이트라는 것을 알아야 하지만 Sucuri의 스캐너로 해킹된 사이트인지 알 수 있는 방법은 없습니다.

계속해서 방화벽이 잘 작동했습니다. SQL 인젝션 및 원격 코드 실행 공격과 같은 공격을 쉽고 일관되게 차단했습니다. 그러나 설정하는 것은 악몽이었습니다. 테스트 사이트를 이용하고 있기 때문에 테스트 사이트가 아닌 Sucuri의 방화벽 IP를 가리키도록 네임서버를 변경하는데 많은 어려움이 있었습니다. 마지막 문장 중 하나라도 의미가 없다면 괜찮습니다. 구성하는 데도 오랜 시간이 걸렸습니다. 공정하게 말하면 라이브 사이트에서는 이러한 어려움이 발생하지 않지만 스테이징 또는 로컬 사이트로 구성하려면? 문제가 예상됩니다.

다른 구성 옵션을 살펴보았을 때 이미 방화벽에 불만이 있었습니다. 왜 모든 것이 그렇게 복잡합니까? 언어는 혼란스럽고 어떤 경우에는 완전히 겸손합니다. 그리고 각 보안 검사가 테스트 웹사이트의 속도를 늦추는 것을 깨닫기 전이었습니다. 서버 디스크 사용량을 확인했을 때 놀라운 급증이 있었습니다.

Sucuri는 사이트 리소스를 사용하여 작동하지 않는 스캐너인 맬웨어를 검사합니다. 따라서 원래 해야 하는 작업을 수행하지 않고 여전히 사이트 성능을 저하시킵니다. Sucuri에게 좋은 모습은 아닙니다.

어떤 보안 플러그인이 가치가 있습니까?

워드프레스 보안 조언은 강력하고 선의의 것이지만 종종 나쁜 조언입니다. 우리는 웹사이트가 해킹된 적이 없고 정기적으로 플러그인을 업데이트하고 좋은 암호를 사용하며 nulled 소프트웨어를 사용하지 않으며 엄청난 행운. GoDaddy에 데이터 유출이 있을 수 있는 경우 웹사이트에도 유출될 수 있습니다.

문제의 핵심은 좋은 보안 플러그인을 선택하는 방법입니다. 보안과 관련이 없는 항목은 제외하고 필수 목록을 작성했습니다.

• 필수 보안 기능
  • 맬웨어 검사
  • 맬웨어 청소
  • 방화벽
• 있으면 좋은 보안 기능
  • 취약점 탐지
  • 무차별 대입 로그인 보호
  • 활동 로그
  • 이중 인증
• 잠재적인 문제
  • 서버 리소스에 미치는 영향

보시다시피, 걱정할 필요가 있는 필수 기능은 3개뿐입니다. 보안 플러그인은 맬웨어 검사, 맬웨어 제거 및 방화벽의 3가지 기능을 잘해야 합니다. 다른 모든 것은 육즙입니다. 우리는 무차별 대입 보호 또는 이중 인증도 중요하기 때문에 적용하지 않습니다. 그러나 해당 기능에 대한 다른 플러그인을 얻을 수 있습니다.

MalCare는 뛰어난 맬웨어 검사 및 치료 기능과 위협을 차단하는 고급 방화벽을 갖춘 유일한 보안 플러그인입니다. 다른 모든 플러그인은 한 곳에서 또는 다른 곳에서 실패합니다.

Sucuri 대 Wordfence: 기능의 일대일 비교

올바른 보안 플러그인을 선택하는 것은 어리둥절한 경험이 될 수 있습니다. 특히 작동하는 동안 내내 기대하면서 각각의 효율성을 테스트해야 하는 경우에는 더욱 그렇습니다.

이 섹션에서는 기능별로 구성된 테스트 결과를 제시했습니다. 여러 플러그인에서 동일한 기능을 비교하고 대조하면 보안 플러그인의 효과를 보다 명확하게 파악할 수 있습니다.

우리는 사람들이 웹사이트를 더 잘 선택하도록 돕기 위해 결과를 최대한 공정하고 투명하게 설명했습니다. 그러나 웹 사이트를 빠르게 보호하려면 MalCare를 대신 설치하고 끝까지 건너뛰십시오.

맬웨어 검사

Sucuri에는 SiteCheck라는 온라인 스캐너와 플러그인의 일부인 서버 수준 스캐너의 2가지 스캐너가 있습니다. 둘 다 맬웨어를 감지하지 못했습니다. Wordfence에는 핵심 파일 및 폴더, 무료 플러그인 및 테마에서 악성 스크립트를 탐지할 수 있는 괜찮은 맬웨어 스캐너가 있습니다. 그렇지 않으면 데이터베이스와 프리미엄 플러그인 및 테마의 맬웨어를 놓쳤습니다.

누군가 자신의 WordPress가 해킹당했다고 의심되는 경우를 대비하여 맬웨어에 대한 1단계 진단으로 Sucuri SiteCheck를 권장합니다. 전체 웹사이트를 스캔할 수는 없지만 일반적인 맬웨어 감염을 신속하게 식별할 수 있으며 명시적 목적으로 플러그인을 설치할 필요가 없습니다.

웹사이트에 대한 전체 액세스 권한이 있다는 점을 고려하면 서버 수준 스캐너에 대한 기대가 더 컸습니다. 스캐너를 웹 서버에 설치해야 하기 때문에 설치가 다른 플러그인과 약간 다릅니다. 이것은 수동으로 수행하거나 대시보드에 FTP 세부 정보를 입력하여 수행할 수 있습니다. 설치를 완료하고 스캔이 완료될 때까지 기다립니다.

상당한 시간이 지난 후 검사가 완료되었고 멀웨어가 득실거리는 웹사이트에 해킹이 없는 것 같았습니다. 처음에 실수가 있었는지 확인하기 위해 두 번째 스캔을 실행했습니다. 아니요, Sucuri에 따르면 여전히 맬웨어가 없습니다. 중대한 실패.

설치 시 Sucuri는 하루에 한 번 실행되도록 설정되지만 주문형 검색을 요청할 수 있습니다. 요청은 대기열에 들어간 다음 가용성에 따라 실행됩니다. 플러그인 자체는 웹사이트를 스캔하면 서버 리소스를 사용하므로 웹사이트 성능에 영향을 미친다는 경고를 표시합니다. 솔직히 말해서 보안이 성능과 사용자 경험을 희생시켜서는 안 되기 때문에 끔찍합니다. 다른 섹션에서 더 자세히 다루겠습니다.

Wordfence는 또한 설치 시 자동으로 검사를 실행합니다. 대시보드의 백분율 원이 스캐너의 진행 상황이라고 가정했기 때문에 여기에 약간의 혼란이 있었습니다. 몇 시간 동안 60%를 넘지 않았음을 확인한 후 더 자세히 살펴보고 이것이 스캐너 효율성의 측정이라는 것을 깨달았습니다. 100%에 도달하려면 플러그인을 업그레이드해야 합니다.

스캐너를 다시 시작하여 소요 시간을 벤치마킹했으며 테스트 사이트가 작기 때문에 스캐너는 1분 이내에 완료되었습니다. 그것은 확실히 플러스입니다. 검사 결과는 전체가 아닌 대부분의 맬웨어를 탐지했기 때문에 완벽하지는 않았지만 평균 이상이었습니다.

그 이유는 Wordfence가 서명 일치를 사용하여 맬웨어를 탐지하기 때문입니다. 즉, Wordfence 스캐너는 웹사이트의 코드를 맬웨어 서명 데이터베이스와 비교합니다. 일치하는 항목이 있으면 스캐너가 이를 맬웨어로 표시합니다. Wordfence에는 보안 연구를 기반으로 정기적으로 업데이트하는 강력한 맬웨어 데이터베이스가 있지만 팀에서 데이터베이스에서 업데이트하려면 맬웨어를 확인해야 하고 포괄적인 연구와 상관없이 100% 완전할 수는 없습니다. 멀웨어는 항상 나타납니다

따라서 Wordfence는 무료 플러그인 및 테마의 악성 스크립트뿐만 아니라 WordPress 핵심 파일 및 폴더에서 발견되는 맬웨어를 선택하는 데 능숙합니다. 그러나 예를 들어 Elementor와 같은 프리미엄 소프트웨어에서는 맬웨어를 탐지할 수 없습니다. 분석을 위해 소스 코드에 액세스할 수 없기 때문입니다. 같은 이유로 Wordfence는 데이터베이스에서 맬웨어를 탐지하는 데 실패합니다. 탐지하려면 서명 일치 이상의 메커니즘이 필요하기 때문입니다.

즉, Wordfence는 모든 파일 기반 맬웨어를 탐지했습니다. 우리의 추정에 따르면 맬웨어의 70~80%를 탐지할 수 있습니다. 또한 오탐(false positive)이 발생하기 쉬우며 수많은 경고를 생성하는 경향이 있습니다. 우리는 또한 별도의 섹션에서 그것을 얻을 것입니다.

맬웨어 청소

Wordfence에는 맬웨어를 치료하는 자동 복구 기능이 있지만 더 복잡한 맬웨어에 대한 효율성은 논란의 여지가 있습니다. 그들은 프리미엄 맬웨어 제거 서비스를 가지고 있지만 사이트당 $490로 주머니에 구멍을 뚫을 수 있습니다. 반면 Sucuri는 모든 계획에 무제한 수동 맬웨어 제거 서비스가 포함되어 있습니다.

Sucuri의 스캐너가 우리 사이트에 멀웨어가 없다고 말했지만(확실히 그랬습니다) 우리는 많은 것을 기대하지 않고 정리를 요청했습니다. 그러나 사이트는 흠 잡을 데없이 우리에게 돌아 왔습니다. MalCare를 통해 확인했습니다. 이상하게도 Sucuri 팀이 사이트를 청소한 후 스캐너가 해당 사이트에 맬웨어를 표시했습니다. 분명히 어딘가에 버그가 있습니다.

멀웨어 제거 서비스는 매우 신속했습니다. 비록 우리 계획이 30시간 안에 응답을 보장했지만, 우리는 10시간 이내에 깨끗한 사이트를 되찾았습니다. 대단합니다. 우리가 지적하고 싶은 유일한 주의 사항은 해킹된 사이트가 있는 경우 시간이 가장 중요하다는 것입니다. 웹사이트에서 멀웨어가 오랫동안 지속되는 것을 용납할 수 없습니다. 빠르게 행동하는 것이 얼마나 중요한지 강조하기 위해 Google 블랙리스트는 맬웨어 알림에 대한 응답 시간도 측정합니다.

악성코드 제거를 위해서는 Sucuri에 정리를 요청해야 합니다. 제공할 수 있는 모든 정보로 양식을 작성하면 팀에서 인계를 받습니다. 우리는 훌륭한 권장 사항이 포함된 해킹 후 체크리스트와 함께 Sucuri로부터 메시지를 받았습니다. 전반적으로 Sucuri의 맬웨어 제거 기능은 최고입니다.

Wordfence에는 대시보드에서 해킹된 파일을 처리하기 위한 2가지 옵션이 있습니다. 삭제 가능한 모든 파일 삭제 및 복구 가능한 모든 파일 복구. 이것은 우리가 전문 청소 서비스를 선택하도록 제안하는 CTA와는 별개입니다.

우리는 두 가지 옵션을 모두 시도했고 둘 다 우리 웹사이트에서 멀웨어를 제거하는 데 상당히 성공적이었습니다. 문제는 자동 제거에 앞서 변경으로 인한 사이트 파손에 대한 엄중한 경고가 뒤따른다는 점이다.

우리의 테스트 사이트는 BlogVault에 백업되어 있으며 솔직히 말해서 우리는 이러한 사이트가 망가지는 것에 대해 그다지 신경 쓰지 않았습니다. 우리는 큰 생각 없이 통과할 수 있었지만 수리 기능을 테스트하는 데 관심이 있었기 때문입니다. 그러나 예를 들어 누군가의 전자 상거래 상점이나 트래픽이 많은 웹 사이트의 경우는 매우 다릅니다.

테스트 시리즈에서는 대부분의 다른 보안 플러그인이 실패했기 때문에 일반적으로 이 시점에서 중지했습니다. Wordfence는 웹사이트에서 모든 파일 기반 멀웨어를 제거했기 때문에 데이터베이스 멀웨어와 일부 프리미엄 플러그인에서 이 기능을 시도했습니다. 스캐너는 이 많은 맬웨어를 감지할 수 없었으므로 자동 복구는 옵션조차 되지 않았습니다.

다른 대안은 맬웨어 제거를 요청하는 것이었습니다. 이 서비스는 맬웨어, 백도어를 제거하고 웹 사이트의 보안 감사를 수행하여 취약점을 평가합니다. 귀하의 사이트가 블랙리스트에 오른 경우 Wordfence도 블랙리스트를 제거하는 데 도움이 됩니다. 서비스는 사이트 관리자가 해킹 후 권장 사항을 편지에 따랐는지 여부에 따라 1년 동안 보장됩니다. 참고: Wordfence의 맬웨어 제거 서비스를 시도하지 않았기 때문에 그 효과에 대해 말할 수 없습니다.

반면 MalCare를 사용하여 모든 악성 코드를 자동으로 제거했는데 문제 없이 제거할 수 있었습니다. 심각한 경고, 누락된 맬웨어가 없으며 몇 분 만에 사이트가 깨끗해졌습니다. 이것이 우리가 웹사이트에 원하는 일종의 맬웨어 제거입니다.

방화벽

Sucuri와 Wordfence에는 모두 가장 일반적이고 주요 위협을 차단하는 훌륭한 방화벽이 있습니다. 그러나 Sucuri의 방화벽은 설치하기가 악몽이었고 Wordfence의 무료 방화벽은 걱정스럽게도 프리미엄 버전보다 늦게 업데이트를 받습니다.

Sucuri의 방화벽은 SQL 주입, 원격 주입 및 교차 사이트 스크립팅 공격과 같은 공격을 차단했습니다. 우리의 테스트 웹사이트에는 보안되지 않은 파일 업로드와 같은 수많은 취약점이 있었고 방화벽 뒤에 안전하게 남아 있었습니다.

Sucuri의 방화벽 문제는 설치였습니다. 방화벽을 사용하려면 트래픽을 네임서버로 지정하여 나쁜 트래픽은 걸러내고 좋은 트래픽만 웹사이트로 보내도록 해야 합니다. 훌륭한 아이디어지만 구성하는 것은 악몽입니다. 우리의 테스트 웹사이트는 도메인 등록기관에 연결되어 있지 않았기 때문에 이를 알아내기 위해 엔지니어링 팀에 의뢰해야 했습니다.

Wordfence의 방화벽은 기본적으로 작동하며 공격을 성공적으로 차단합니다.

설치 직후 방화벽은 학습 모드로 들어갔습니다. Wordfence는 일주일 동안 학습 모드를 켜두도록 권장했습니다. 방화벽이 효과적인 방법을 배우기 위해서는 실시간 트래픽이 필요하기 때문에 이는 공정합니다. 그러나 테스트 웹 사이트에 대한 실시간 트래픽이 없기 때문에 일주일을 기다릴 필요가 거의 없다고 보고 바로 확인했습니다.

Wordfence를 사용하면 무료 방화벽의 효과가 35%에 불과합니다. 이것은 우리의 가정이 아니라 실제로 대시보드에 있습니다. 우리는 왜 그럴 수 있는지 알아보기 위해 조금 더 깊이 파고 들었습니다. 2가지 이유가 있습니다.

하나: WordPress가 완료된 후 무료 방화벽이 플러그인처럼 로드됩니다. 방화벽이 WordPress 코어 이후에 로드되는 경우 전체가 아닌 일부 악성 트래픽만 차단할 수 있기 때문에 로드 순서는 보안에 상당한 영향을 미칩니다.

2: Wordfence에는 최신 방화벽이 있지만 프리미엄 버전은 이러한 업데이트를 실시간으로 받습니다. 그러나 무료 버전은 지정되지 않은 시간이 지나면 업데이트를 받습니다. 지연이 무엇인지 알 방법이 없지만 잠재적으로 문제가 있습니다. 해커는 결국 창을 공격할 수 있습니다.

가장 큰 선물은 Wordfence 자체가 프리미엄 버전과 비교하여 35% 효과적인 무료 방화벽 순위를 지정한다는 것입니다. 좋지 않음.

취약점 탐지

Wordfence는 우리 웹사이트의 모든 취약점을 훌륭하게 탐지했습니다. Sucuri는 모호한 것들을 완전히 놓쳤습니다.

Wordfence가 모든 오래된 플러그인을 중간 위협으로 경고했다는 사실에 깊은 인상을 받았습니다. 취약점이 심각한 위협으로 올바르게 플래그 지정되었습니다. 다른 보안 플러그인은 더 모호한 플러그인과 테마에 걸려 넘어져 한 경우에 크로스 사이트 스크립팅과 같은 심각한 취약점에 대해 전혀 경고하지 않았습니다. 그래서 Wordfence가 여기에서 승리했습니다.

Wordfence 대시보드에서 직접 취약점을 수정할 수는 없지만 의미가 있습니다. 취약점을 수정한다는 것은 본질적으로 플러그인 또는 테마를 업데이트하는 것을 의미하며 해당 기능은 이미 wp-admin에서 쉽게 사용할 수 있습니다. Wordfence가 MalCare와 같은 시각적 회귀를 통해 업데이트로 인해 사이트가 손상되지 않았는지 확인하지 않는 한 기존 기능을 복제하는 것은 의미가 없습니다.

Wordfence는 또한 iThemes 및 Backupbuddy에 대한 오류를 던졌습니다. 이것은 웹사이트에서 거짓 긍정을 표시하는 경향을 나타냅니다.

Sucuri는 테스트 웹사이트에서 가장 모호한 취약점을 제외한 모든 취약점을 탐지했습니다. Wordfence와 달리 Sucuri 대시보드에서 오래된 소프트웨어를 업데이트할 수 있습니다. 업데이트는 wp-admin을 통해 쉽게 가능하기 때문에 실제로 유틸리티가 표시되지 않습니다.

해킹 후 탭에는 최신 버전과 함께 설치된 플러그인 및 테마의 버전이 나열됩니다. Sucuri는 맬웨어 감염으로 이어질 수 있으므로 오래된 소프트웨어를 계속 사용하지 않도록 주의합니다.

흥미롭게도 Sucuri의 맬웨어 제거 서비스도 당사 웹사이트의 일부 취약점만 탐지할 수 있었습니다. 스캐너에 대한 우리의 경험을 감안할 때 우리는 제거 서비스가 취약점을 더 잘 탐지할 수 있다고 생각했습니다. 그렇지 않은 것 같습니다.

무차별 대입 로그인 보호

Wordfence는 모든 무차별 대입 공격을 완벽하게 차단합니다. Sucuri의 로그인 보호 기능이 작동하지 않는 것 같습니다.

무차별 대입 방지는 Wordfence에서 기본적으로 활성화되어 있습니다. 매번 완벽하게 작동하여 대시보드에서 설정한 구성에 따라 잘못된 시도가 너무 많은 사용자를 잠급니다.

방화벽 섹션에서 설정을 찾을 수 있습니다. 옵션 메뉴에는 사용자 정의할 수 있는 항목이 많이 있습니다. 잘못된 로그인 시도에 대한 잠금 설정, 사용자가 잠금을 경험하는 시간 등등. 옵션은 압도적이지 않으며 Wordfence는 각 옵션을 훌륭한 문서와 함께 설득력 있게 설명합니다.

여기서도 비밀번호 관리 옵션을 설정하여 강력한 비밀번호를 적용하고 데이터 침해에서 발견된 비밀번호의 사용을 방지할 수 있습니다.

이 섹션에서 IP를 화이트리스트에 추가하는 것이 가능하지만 그 효과에 대해서는 양면성이 있습니다. 장치 IP는 동적이므로 허용 목록이 있다고 해서 합법적인 사용자가 잠기지 않는다는 보장은 없습니다.

Sucuri의 무차별 대입 보호가 예상대로 작동하지 않았습니다. 우리는 잠금을 경험하지 않았고 우리가 봇이 아니라 인간임을 확인하는 보안 문자도 없었습니다. 공격이 감사 로그에 나타났음에도 불구하고 경고를 받지 못했습니다. 전반적으로 기능은 유실되었습니다.

그러나 대시보드에서 구성 옵션을 볼 수 있다고 생각하지 않을 것입니다. 너무 많은 옵션이 있었고, 우리는 어느 시점 이후에 비틀거리고 있었습니다. 대체로 우리는 그 반대가 아니라 작동하는 기능을 가진 더 적은 수의 옵션을 선호합니다.

활동 로그

Sucuri에는 감사 로그가 있지만 이해하기 어려울 수 있습니다. Wordfence에는 활동 로그가 없습니다.

Sucuri에는 모든 사용자 작업, 플러그인 및 테마 변경을 추적하는 감사 로그가 있습니다. 로그에는 파일 및 테이블에 대한 모든 변경 사항이 표시되며 이는 양호합니다.

로그에는 사용자, 작업, 타임스탬프 등과 같은 필요한 정보가 있습니다. 그러나 어떤 경우에는 항목을 이해하기가 매우 어렵습니다. 예를 들어 로그를 테스트하기 위해 갤러리 플러그인을 설치했습니다. 감사 로그의 결과 항목에는 7가지 다른 변경 사항이 표시됩니다. 변경 사항이 무엇인지, 왜 발생했는지, 누가 책임이 있는지 항목에서 명확하지 않았습니다. 따라서 감사 로그는 Sucuri를 사용하지 않는 사람에게는 거의 쓸모가 없습니다.

웹사이트 보안의 기둥 중 하나인 Wordfence에 활동 로그가 없다는 사실에 놀랐습니다. 도구 메뉴의 진단 섹션에 디버깅을 활성화하는 옵션이 있습니다. 이 옵션은 방화벽 로그를 더 상세하게 만들지만 활동 로그와는 다릅니다.

많은 조사 끝에 우리는 스캔 섹션에서 특별히 Wordfence 이벤트에 대한 활동 로그를 발견했습니다. Wordfence 개발자만을 위한 원시 로그입니다.

이중 인증

Wordfence에는 훌륭한 이중 인증 기능이 있습니다. Sucuri는 귀하의 웹사이트에서 지원하지 않습니다.

Wordfence 2단계 인증은 환경을 사용자 정의할 수 있는 손쉬운 옵션 세트와 함께 기본적으로 작동합니다. 이전에는 프리미엄 기능이었지만 이후 무료 플러그인에도 추가되었습니다.

Sucuri는 웹사이트에 대한 이중 인증을 지원하지 않지만 이를 통해 Sucuri 계정을 보호할 수 있습니다.

서버 리소스 사용량

Sucuri와 Wordfence는 모두 리소스 돼지입니다. 우리는 검사와 방화벽 때문에 디스크 사용량에서 명백한 오류를 보았습니다.

이것은 Wordfence와 Sucuri 사이에 선택의 여지가 없는 한 가지 요소입니다. 둘 다 똑같이 나쁘게 수행했습니다.

이러한 플러그인이 웹사이트에서 수행하는 모든 단일 작업은 서버 리소스를 소비합니다. 우리 웹 사이트는 상대적으로 작으며 스캔을 설정할 때 디스크 사용량이 두 배, 때로는 세 배인 것을 보았습니다. 이는 로드 시간, 응답 시간 및 웹사이트의 전반적인 경험에 영향을 미쳤습니다.

WooCommerce 웹 사이트 또는 트래픽이 많은 웹 사이트가 있는 경우 이 효과는 사용자에게 눈에 띄게 나타납니다. 공유 호스팅을 사용하는 경우 웹 호스트가 플래그를 높이고 호스팅 비용이 잠재적으로 증가할 수 있습니다. 실제로 많은 웹 호스트가 바로 이러한 이유로 Wordfence를 금지했습니다.

사람들이 보안을 논의할 때 서버 리소스에 대해 이야기하는 경우는 거의 없지만 중요한 요소입니다. 누구도 성능이나 보안을 타협할 필요가 없습니다. 둘 다 최적화하는 것은 전적으로 가능합니다.

하지만 Sucuri나 Wordfence에서는 그렇지 않습니다. 그러려면 MalCare가 필요합니다.

경고

Sucuri와 Wordfence는 모두 수많은 경고와 오탐지로 악명이 높습니다.

우리는 WordPress 관리와 관련하여 고객의 부담을 덜어준다고 굳게 믿습니다. 방화벽은 트래픽을 조용히 차단해야 합니다. 봇 보호는 기본적으로 작동해야 합니다. 관리자는 주의와 조치가 필요한 경우에만 알림을 받아야 합니다. WordPress 보안은 스트레스가 없고 쉬워야 합니다. 그렇지 않으면 보안 플러그인의 요점이 무엇입니까?

그들의 경고가 압도적이기 때문에 분명히 Sucuri도 Wordfence도 이 사고 방식에 가입하지 않습니다. 받은 편지함은 순식간에 가득 찼습니다. 경고가 너무 많으면 경고가 없는 것만큼 나쁩니다. 궁극적으로 둘 다 필요할 때 조치를 취하지 않기 때문입니다.

설치, 구성 및 사용성

Wordfence는 초보자를 위해 매우 간단하게 설계되었습니다. 수쿠리는 그렇지 않습니다.

Wordfence의 설치, 구성 및 전반적인 사용은 우리가 본 것 중 최고입니다. 각 주요 섹션에는 가장 중요한 설정과 기능을 간단하고 위협적이지 않은 언어로 설명하는 연습이 있습니다.

Wordfence에는 구성에 대한 훌륭한 권장 사항이 있습니다. 대시보드의 도구 설명에서 해당 문서에 액세스할 수 있으므로 상황에 맞게 사용할 수 있습니다. 각 기능이 명확하게 설명되어 있으며 웹 사이트에서 작동하도록 하는 방법에 대한 지침에 즉시 액세스할 수 있습니다.

이것들은 지적하기에 이상한 것처럼 보일 수 있습니다. 그러나 Sucuri를 사용해 본 적이 있다면 이해의 용이성은 모든 사용자 경험의 중요한 부분이라는 것을 알게 될 것입니다. 사실 스쿠리를 한 마디로 표현하자면 당혹스러울 것이다.

Sucuri를 설치하는 것은 쉬웠고 거기에서 내리막길을 걸었습니다. 서버 측 스캐너와 방화벽을 사용하려면 수동으로 구성해야 합니다. 옵션이 너무 많아서 보안에 실제로 영향을 미치는지 파악하는 것 외에도 이해하기 위해 몇 시간을 보냈습니다.

전반적으로 이 두 플러그인은 스펙트럼의 반대쪽 끝에 있습니다.

Wordfence: 추가 기능

Wordfence는 엄격한 보안입니다. 업데이트나 사용자 관리 옵션과 같이 보안에 인접한 단일 기능, 옵션 또는 라인은 없습니다. 그럼에도 불구하고 몇 가지 추가 사항이 있습니다.

사이트 업데이트에 대한 알림 섹션이 있었는데, 어떤 플러그인과 테마가 중요하거나 중간 위협이었기 때문에 우선적으로 업데이트해야 하는지 보여주었습니다.

Wordfence에는 Wordfence Central이라는 동일한 계정에서 여러 사이트를 관리할 수 있는 외부 대시보드가 ​​있습니다. 연결된 각 사이트의 wp-admin에 대한 섹션도 있으므로 현재 작업 중인 사이트에 관계없이 모든 사이트를 한눈에 볼 수 있습니다. 우리의 의견으로는 이것은 제한된 유용성이며 수백 개의 관리 사이트가 있는 기관에서는 작동하지 않을 것입니다.

다음으로 도구 섹션을 살펴보았습니다. Google Analytics를 복제하는 것처럼 보이지만 그 이상인 라이브 트래픽 섹션이 있습니다. 이 로그는 키로 트래픽을 분류하여 웹사이트가 받는 트래픽 유형(인간, 봇, 경고, 차단)을 확인합니다.

wp-admin을 떠나지 않고 공격자가 누구인지 확인하려는 경우 Whois 조회 옵션이 있습니다. 다시 말하지만, 이것은 기껏해야 부수적인 기능입니다.

우리는 진단이 웹사이트에 대한 많은 정보를 가지고 있기 때문에 정말 흥미롭다고 생각했습니다. 프로세스 소유자에서 데이터베이스 테이블에 이르기까지 모든 것이 매우 세분화되어 있습니다. 개발자는 이 정보가 웹사이트의 사양과 같기 때문에 매우 유용하다는 것을 알게 될 것입니다.

스쿠리: 엑스트라

Sucuri는 플러그인에 많은 추가 주름 장식이 있습니다. 보안에 영향을 미치는지 여부는 완전히 다른 문제입니다.

설치 시 가장 먼저 보게 되는 것은 WordPress 무결성 정보 상자입니다. 정말 WordPress 코어 파일 변경 모니터의 멋진 버전입니다. 분명히 WordPress 코어 파일에 대한 파일 변경 모니터를 갖는 것이 다소 유용하지만 효율성은 예상만큼 많지 않습니다. 해커는 이러한 조치를 해결하기 위해 업데이트 타임스탬프와 같은 파일 메타데이터를 변경할 수 있고 변경할 것입니다. 예, 유용하지만 그다지 많지는 않습니다.

웹 사이트의 핵심 파일을 원래 WordPress 설치와 비교하는 무결성 diff 유틸리티가 있습니다. 맬웨어를 수동으로 제거하는 경우 온라인을 사용하는 것보다 확실히 쉽습니다. 전혀 권장하지 않습니다.

Sucuri에는 많은 WordPress 강화 기능이 있습니다. 업로드 폴더에서 PHP를 차단하면 한 범주의 해킹으로부터 보호할 수 있으며 대시보드에서 WordPress 솔트를 빠르게 변경할 수 있는 기능이 마음에 듭니다. 더 잘 할 수 있었지만. 기능이 wp-admin이 아닌 Sucuri의 외부 대시보드에 있었다면 더 안전했을 것입니다. 해커가 wp-admin에 대한 액세스 권한을 얻는다고 상상해 보십시오. 솔트는 일반 텍스트이므로 쉽게 손상될 수 있습니다.

다른 옵션 중 일부는 WordPress 버전 확인, WordPress 버전 제거, 정보 누출 방지 및 기본 관리자 계정 확인과 같은 제한된 유틸리티입니다. 보안 관점에서 의미가 없습니다.

다른 강화 기능은 혼란스러웠습니다. 예를 들어 플러그인과 테마 편집기를 비활성화하면 취약점이 있는 플러그인과 테마를 어떻게 업데이트할 수 있습니까? 한마디로 역효과.

The password management feature held some promise, but the warning would terrify all but the most brave: “Select users from the list in order to change their passwords, terminate their sessions and email them a password reset link. Please be aware that the plugin will change the passwords before sending the emails, meaning that if your web server is unable to send emails, your users will be locked out of the site.”

What's missing from Wordfence and Sucuri

Sucuri doesn't have a good malware scanner. The brute force login protection doesn't work, and it takes up too much of server resources. There is no bot protection either, and you would need a separate plugin for two-factor authentication.

Wordfence misses out on bot protection and an activity log. The scanner is above average; definitely a cut above the other security plugins available apart from MalCare. Apart from these things, it is an exceptional security plugin.

Wordfence vs Sucuri: Pricing

Sucuri's plans start at $199.99 a year per site, which is a great deal for unlimited malware removal. The firewall works well, but the scanner is a let down. Wordfence premium plans are at $99 for the year per site, with attractive bulk pricing options. However, our opinion is that the free version is almost as good as the premium version.

Sucuri is a winner when it comes to the unlimited malware removal feature. The support team was great, with a quick turnaround time, helpful response and a proactive post-hack checklist. But the malware scanner was a complete failure, and that's not a small flaw to overlook.

The free version of Wordfence is strong enough to stand on its own. The premium version is not all that different, the efficiency percentages on the dashboard notwithstanding. The real expense to consider with Wordfence is the cleaning service at $490 a pop, over and above the site license. If you are considering Wordfence seriously, read the fine print. Although they say unlimited pages, there are additional charges for sites above 10 GB. They guarantee the service for a year, but there are terms and conditions. None of this is unreasonable, but it is important to be aware before taking the plunge.

Better alternative to Wordfence and Sucuri: MalCare

The best security plugin for your website isn't Wordfence or Sucuri, it is MalCare. It has an excellent scanner that detects malware in all parts of your website: core WordPress, files and the database. Additionally, the auto-clean feature removes all malware surgically, without breaking your website.

MalCare has an advanced firewall that proactively blocks bad traffic from reaching your website. The brute force protection makes sure that your login page is safe from malicious attacks, and the bot protection goes even further to make sure only bad bots are kept away from your website.

There is a formidable support team of WordPress security experts to help with any issues that come up. Any malware removal cleanups necessary beyond the auto-clean are covered with the site license.

Thus, in a feature-to-feature comparison, MalCare undoubtedly comes out on top. MalCare's $99 plan is vastly better than Sucuri's $199.99 Basic Platform plan, and includes unlimited malware removal, which is over and above Wordfence's $99 plan.

결론

When choosing a WordPress security plugin for your website, make sure to evaluate the scanner, cleaner and firewall. All the other features can be implemented with other plugins, but these 3 features form the essence of a good plugin.

At MalCare, our goal is to make security stress-free and painless, so that you can focus on the more important aspects of your website. Leave the security to us, as you grow your business.

We hope this comparison was helpful, as we have presented all our findings transparently. Have further questions? Drop us a line. 여러분의 의견을 듣고 싶습니다.