iThemes Security vs Sucuri: Która wtyczka bezpieczeństwa jest lepsza?

Na pierwszy rzut oka iThemes Security wygląda na świetną i niedrogą wtyczkę zabezpieczającą dla twoich stron WordPress. Zwłaszcza jeśli weźmiesz pod uwagę, że możesz chronić nieograniczoną liczbę stron internetowych za jedyne 199 USD.

Z drugiej strony Sucuri jest jedną z najpopularniejszych dostępnych wtyczek bezpieczeństwa WordPress. Jest wyposażony w skaner i zaporę ogniową, a także oferuje usuwanie złośliwego oprogramowania. Więc już w tym pojedynku ukradł marsz na iThemes. Dlaczego? Ponieważ iThemes nie ma żadnej z tych funkcji.

iThemes został całkowicie wyeliminowany z wyścigu. W tym konkursie Sucuri był bez wątpienia zwycięzcą. Powiedziawszy to, nadal nie zaufalibyśmy Sucuri w kwestii ochrony naszej strony internetowej. Która wtyczka bezpieczeństwa gwarantuje ochronę witryn WordPress przed hakerami? Odpowiedź jest jednoznaczna: MalCare.

Podsumowanie porównania iThemes Security z Sucuri

iThemes Security to placebo wtyczek bezpieczeństwa WordPress. Myślisz, że Twoja witryna jest bezpieczna przed hakerami, ale tak naprawdę chroni ją tylko pobożne życzenie i pozytywne wibracje. Sucuri jest niewątpliwie lepszy, ale lepszy to przecież pojęcie względne. To nie jest świetna wtyczka bezpieczeństwa.

Bezpieczeństwo iThemes w pigułce

Najważniejsze jest to, że iThemes nie chroni Twojej witryny. Zdecydowanie zalecamy całkowite pominięcie iThemes, jeśli rozważasz to dla bezpieczeństwa WordPress. A jeśli masz go już zainstalowanego, natychmiast przeskanuj swoją witrynę. Twoja witryna nie ma zabezpieczeń.

Nasze pierwsze wrażenia z iThemes były właściwie pozytywne. Witryna opowiada o świetnej grze i wzbudza zaufanie ze względu na autorytatywny sposób, w jaki mówi o bezpieczeństwie WordPress. Jedyną wadą, jaką widzieliśmy, było to, że nie można było użyć wtyczki do czyszczenia złośliwego oprogramowania. To nie jest idealne, ale nadal może działać jako skaner.

Albo tak myśleliśmy.

Skaner iThemes nie wykrywa złośliwego oprogramowania. W ogóle. Zaryzykowalibyśmy przypuszczenie, że nawet nie skanuje plików i danych, ponieważ skanowanie kończy się w ciągu kilku sekund. To, co robi „skaner” iThemes, to sprawdza Raport przejrzystości Google, aby sprawdzić, czy Twoja witryna znajduje się na tej liście. Nie potrzebujemy do tego wtyczki zabezpieczającej. Wróciliśmy, aby sprawdzić witrynę i ze zdumieniem zauważyliśmy, że funkcje nie mówią wprost o skanowaniu w poszukiwaniu złośliwego oprogramowania. Mówi tylko, że wykrywanie złośliwego oprogramowania jest jednym z kluczowych kroków w zakresie bezpieczeństwa WordPress. To podwójna mowa, jeśli kiedykolwiek to widzieliśmy.

Kusiło nas, aby odpisać testy iThemes jako bezużyteczne, ale kontynuowaliśmy w interesie uczciwości.

Wtyczka ma solidną funkcję uwierzytelniania dwuskładnikowego, którą możesz włączyć na swojej stronie logowania. Ma również kilka przyzwoitych funkcji utwardzania, takich jak blokowanie wykonywania PHP w folderach. To powiedziawszy, ochrona logowania przed brutalną siłą działa tylko przez pewien czas. Kolejny czarny znak na wtyczce.

Naszym wnioskiem z korzystania z iThemes jest to, że jedynymi funkcjami o jakiejkolwiek wartości bezpieczeństwa są uwierzytelnianie dwuskładnikowe i łatwa implementacja reCAPTCHA na wp-login. Te dwie funkcje nie gwarantują jednak rachunku w wysokości 199 USD, ponieważ istnieją lepsze wtyczki bezpieczeństwa, które oferują te same funkcje, oprócz niektórych rzeczywistych zabezpieczeń.

Testowanie iThemes było okropnym doświadczeniem, ponieważ nie możemy sobie wyobrazić liczby stron internetowych, które uważają, że są chronione przez nieistniejące zabezpieczenia. W rzeczywistości, użytkownicy iThemes, powinniście teraz przeskanować swoją witrynę.

Sucuri w skrócie

Sucuri ma przyzwoitą zaporę ogniową i świetne usługi usuwania złośliwego oprogramowania, ale spektakularnie zawiódł jako skaner złośliwego oprogramowania. Jeśli nie wiesz, że Twoja witryna zawiera złośliwe oprogramowanie, nie ma sposobu, aby się go pozbyć. Jest to niepodlegająca negocjacjom część wtyczki bezpieczeństwa.

Kiedy zaczynaliśmy testować Sucuri, spodziewaliśmy się po nim wiele. Jest to jedna z najpopularniejszych wtyczek bezpieczeństwa do WordPressa i byliśmy zdumieni, widząc, że skaner nie wykrył żadnego złośliwego oprogramowania na naszej zhakowanej stronie testowej. W dalszej części zajmiemy się bardziej szczegółami, ale to nadało ton całemu procesowi testowania.

Oprócz niepowodzenia samo skanowanie zajmuje dużo czasu i zużywa zasoby naszego serwera. Sucuri sami zniechęcają do zbyt wielu skanów ze względu na wpływ na wydajność strony internetowej. To okropny kompromis między wydajnością a bezpieczeństwem i po prostu nie powinien tak być.

Przechodząc do usług zapory ogniowej i usuwania złośliwego oprogramowania, Sucuri radził sobie dobrze. Zapora ogniowa była bardzo trudna do skonfigurowania i zajęła nam nadmierną ilość czasu. Ale zablokował ataki, których próbowaliśmy, i nie byliśmy w stanie wykorzystać żadnych luk.

Usługa usuwania złośliwego oprogramowania była jednak najważniejszym punktem naszych testów. Mimo że skaner dał naszej zhakowanej stronie internetowej czysty stan zdrowia, wiedzieliśmy, że jest ona pełna złośliwego oprogramowania. Po pierwsze umieściliśmy tam złośliwe oprogramowanie, a po drugie skany MalCare potwierdziły tę diagnozę. Zespół Sucuri usunął wszelkie ślady złośliwego oprogramowania z naszej witryny, dzięki czemu była ona nieskazitelnie czysta. Fantastyczny! Wisienką na tym torcie było to, że w ramach swojego planu możesz mieć nieograniczoną liczbę żądań usunięcia złośliwego oprogramowania, co jest świetną okazją.

Oprócz zapory ustawienia są bardzo niejasne. Zastanowiło nas wiele używanego żargonu, a to dzięki wiedzy specjalistycznej w zakresie bezpieczeństwa WordPress. Interfejs nie jest przyjazny dla użytkownika i jesteśmy pewni, że wiele osób uzna go za niepotrzebnie niepokojący. Minus dla Sucuri.

Podsumowując, nie uważamy Sucuri za najlepsze rozwiązanie bezpieczeństwa dla witryny WordPress. Ten zaszczyt należy się MalCare ze względu na skaner, który działa za każdym razem. MalCare otrzymuje również dodatkowe punkty, które nie sprawiają, że czujemy się tępi.

Jak wybrać odpowiednią wtyczkę bezpieczeństwa dla swojej witryny WordPress

Bezpieczeństwo Twojej witryny WordPress nie podlega negocjacjom. Złośliwe oprogramowanie może powodować niezliczone straty dla firm: utratę przychodów, procesy sądowe, koszty czyszczenia, wpływ na markę, utratę ruchu organicznego i wiele innych. Inwestycja w odpowiednią wtyczkę uchroni Cię przed hakerami i złośliwym oprogramowaniem oraz problemami, które pozostawia po sobie złośliwe oprogramowanie.

Pytanie jednak brzmi: jak wybrać skuteczną wtyczkę zabezpieczającą dla swojej witryny?

Kiedy konfigurowaliśmy nasze testy, braliśmy pod uwagę kilka czynników: oczywiście bezpieczeństwo, ale także łatwość użytkowania i stosunek jakości do ceny. Szybko jednak zdaliśmy sobie sprawę, że wszystkie czynniki poza bezpieczeństwem straciły znaczenie, ponieważ jedynym czynnikiem, który należy wziąć pod uwagę, jest to, jak skuteczna jest wtyczka w zakresie bezpieczeństwa.

Oto czynniki, które należy wziąć pod uwagę przy wyborze wtyczki bezpieczeństwa.

• Podstawowe funkcje bezpieczeństwa
  
  • Skanowanie złośliwego oprogramowania
  • Czyszczenie złośliwego oprogramowania
  • Zapora ogniowa
• Funkcje bezpieczeństwa, które warto mieć
  
  • Wykrywanie luk w zabezpieczeniach
  • Brutalna ochrona logowania
  • Dziennik aktywności
  • Uwierzytelnianie dwuskładnikowe
• Potencjalne problemy
  
  • Wpływ na zasoby serwera

Jak widać z listy, tylko 3 czynniki są całkowicie niezbędne. MalCare sprawdza się we wszystkich 3 obszarach: skanowanie i usuwanie złośliwego oprogramowania, którego inne wtyczki z pewnością przeoczą, oraz ochrona witryny przed złośliwym ruchem za pomocą potężnej zapory ogniowej. Co więcej, MalCare robi to lepiej niż jakakolwiek inna dostępna obecnie wtyczka bezpieczeństwa.

iThemes Security vs Sucuri: Bezpośrednie porównanie funkcji

Sposób, w jaki przedstawiliśmy to porównanie, polega na tym, aby najpierw wziąć pod uwagę najważniejsze funkcje, a następnie omówić inne obserwacje, które pojawiły się podczas testów. Dość często widzieliśmy funkcje i ustawienia, które prawie nic nie dawały (mówimy o iThemes), a mimo to malowały skomplikowaną iluzję bezpieczeństwa.

Przedzieranie się przez plewy, aby dostać się do pszenicy, nie było łatwe, ale zamierzamy przedstawić wszystkie nasze dane tak jasno i rzetelnie, jak to tylko możliwe.

Jeśli chcesz pominąć to rozbieranie, zalecamy zainstalowanie MalCare.

Skanowanie złośliwego oprogramowania

Skanery Sucuri nie wykryły żadnego złośliwego oprogramowania na naszej stronie internetowej. Sądząc po tym, jak szybko zakończył skanowanie, iThemes w ogóle nie przeskanował naszej witryny w poszukiwaniu złośliwego oprogramowania.

Zarówno bezpłatna, jak i płatna wersja Sucuri mają skanery, więc chcieliśmy sprawdzić, czy działa inaczej. Darmowa wersja jest obsługiwana przez Sucuri SiteCheck, narzędzie online, które skanuje publicznie widoczne części Twojej witryny w poszukiwaniu złośliwego oprogramowania. Oczywiście ma to swoje ograniczenia, więc czysty chip z SiteCheck nie jest gwarancją strony internetowej wolnej od złośliwego oprogramowania.

Płatny plan obejmuje skaner na poziomie serwera, który musisz zainstalować na swoim serwerze internetowym. Możesz to zrobić ręcznie lub wprowadzić dane FTP do pulpitu nawigacyjnego Sucuri, aby zainstalować go automatycznie. Był to stosunkowo bezbolesny proces.

Skaner jest ustawiony na codzienne uruchamianie, ale można skanować na żądanie — do pewnego stopnia. Dodatkowe żądania skanowania są umieszczane w kolejce, a następnie wykonywane. Sucuri ostrzega przed używaniem zbyt wielu skanów, ponieważ skany zużywają zasoby serwera.

To nas zastanowiło, ponieważ wtedy zdaliśmy sobie sprawę, że Sucuri wykorzystuje zasoby naszej witryny do przeprowadzania skanów. W przypadku naszych witryn testowych drenaż nie był zbyt poważny, ponieważ witryny są małe i nie ma ruchu zewnętrznego. Jednak zdecydowanie zauważyliśmy skok w wykorzystaniu procesora. Więcej na ten temat w dalszej części.

Wersja pro nie wykryła również żadnego złośliwego oprogramowania na naszej zhakowanej stronie. Było to zaskakujące, ponieważ nasze wyniki skanowania MalCare wyraźnie wskazywały na złośliwe oprogramowanie. Zgłosiliśmy więc prośbę o ręczne usunięcie. Gdy prośba została obsłużona przez zespół Sucuri, witryna pojawiła się czysta w MalCare. Ale właśnie wtedy skaner Sucuri oznaczył złośliwe oprogramowanie na stronie internetowej. To było bardzo dziwne.

Na szczęście ze skanerem iThemes nie było żadnych problemów. Nie skanuje w poszukiwaniu złośliwego oprogramowania, czysto i prosto. Skaner iThemes sprawdza jedynie, czy Twoja witryna znajduje się na czarnej liście Google. Otóż ​​to. Nie byliśmy zaskoczeni, gdy zobaczyliśmy, że nasze witryny nie znalazły się na czarnej liście, ponieważ nie są indeksowane.

Czyszczenie złośliwego oprogramowania

Czyszczenia złośliwego oprogramowania nie ma na liście funkcji iThemes, więc oczywiście nie można go usunąć. Sucuri ma nieograniczone usługi usuwania złośliwego oprogramowania w ramach swoich płatnych planów. W zależności od planu Twoja witryna zostanie wyczyszczona w dowolnym miejscu od 6 do 30 godzin.

Mimo że wyniki skanowania Sucuri wskazywały, że nasza witryna nie zawiera złośliwego oprogramowania, oczywiście wiedzieliśmy, że tak nie jest. Wszędzie było złośliwe oprogramowanie: w plikach iw bazie danych. Na wszelki wypadek mieliśmy tam również kilka backdoorów. Skanery MalCare potwierdziły, że nasze strony testowe rzeczywiście zostały zainfekowane złośliwym oprogramowaniem.

Zgłosiliśmy więc prośbę o usunięcie złośliwego oprogramowania do Sucuri, wyraźnie wskazując, że podejrzewamy, że na stronie znajduje się złośliwe oprogramowanie. Aby zgłosić prośbę, musisz wypełnić formularz i podać dane FTP do czyszczenia. A potem czekać na wyniki.

Uwaga dodatkowa: w formularzu prośby o usunięcie znajdowała się interesująca lista rozwijana z listą potencjalnych symptomów, które możesz zaobserwować. Ponadto, ku naszemu rozbawieniu, musieliście wskazać swój poziom zaawansowania technicznego, więc wybraliśmy: „ Brak biegłości, proszę wszystko jasno wyjaśnić. ”

Podziękowania dla Sucuri, ich zespół usunął całe złośliwe oprogramowanie z naszej witryny. Ponadto, mimo że warunki naszego planu mówiły, że możemy spodziewać się rozwiązania w ciągu 30 godzin, otrzymaliśmy odpowiedź w mniej niż 10. To był ogromny plus dla usługi usuwania złośliwego oprogramowania Sucuri.

Potwierdziliśmy w MalCare, że całe złośliwe oprogramowanie zostało usunięte, a następnie byliśmy zaskoczeni, widząc, że skaner Sucuri oznaczył teraz witrynę jako zainfekowaną — po tym, jak ich zespół wyczyścił. To było dziwne.

Z drugiej strony iThemes nie może usuwać złośliwego oprogramowania, więc nie było czego testować. Na szczęście nie twierdzą, że robią to na swojej stronie internetowej.

Szczerze mówiąc, czyszczenie złośliwego oprogramowania jest najtrudniejszą częścią bezpieczeństwa WordPressa i często najdroższym aspektem. Płatne plany Sucuri mają nieograniczone czyszczenie, co jest wspaniałe, ponieważ jeśli luki w zabezpieczeniach nie zostaną usunięte, złośliwe oprogramowanie może się ponownie pojawić. Gdybyśmy mieli do znalezienia błąd w usłudze sprzątania, oznaczałoby to, że trzeba chwilę poczekać na rozwiązanie. W przypadku złośliwego oprogramowania zaobserwowaliśmy wykładniczy wzrost liczby infekcji w krótkich odstępach czasu, więc jest to powód do niepokoju.

Dzięki MalCare mogliśmy użyć funkcji automatycznego czyszczenia, aby pozbyć się złośliwego oprogramowania w ciągu kilku minut. Czekając na powrót Sucuri, zdaliśmy sobie sprawę z ogromnej wartości, jaką szybkie czyszczenie ma dla witryny o znaczeniu biznesowym.

Zapora ogniowa

Zapora sieciowa Sucuri działa i powstrzymuje nasze najczęstsze ataki. iThemes nie ma zapory sieciowej.

Zapora ogniowa jest kluczowym elementem bezpieczeństwa witryny, ponieważ blokuje złośliwy ruch i zapobiega wykorzystywaniu luk w zabezpieczeniach. W tym momencie artykułu nie zdziwiłbyś się, gdybyś usłyszał, że iThemes nie ma zapory ogniowej. Dlaczego? Zawodzi pod każdym innym względem jako wtyczka bezpieczeństwa.

Z drugiej strony Sucuri chronił naszą stronę internetową przed atakami wordpress. Przetestowaliśmy go pod kątem luk, takich jak nieograniczone przesyłanie plików, XSS i iniekcja SQL. Zapora blokowała wszystkie nasze próby wykorzystania tych luk i załadowania złośliwego oprogramowania na stronę. Nie byliśmy w stanie przetestować bardziej złożonych ataków przy pełnej przejrzystości.

Dlatego zapora Sucuri działa, ale musimy również wspomnieć, jak frustrujące było konfigurowanie zapory. Sposób działania zapory polega na tym, że działa jak warstwa między ruchem przychodzącym a Twoją witryną. Dlatego cały ruch najpierw trafia na zaporę sieciową Sucuri, a następnie jest przekierowywany do Twojej witryny.

Jak możesz sobie wyobrazić, wymaga to pewnej konfiguracji. Domena, której używasz do swojej witryny, musi najpierw wskazywać Sucuri, ruch jest analizowany, a następnie dozwolony ruch jest przesyłany do Twojej witryny. Co jest świetne, ale konfigurowanie zapory ogniowej jest uciążliwe, jeśli nie masz doświadczenia z serwerami nazw i konfiguracją DNS.

Ogólnie rzecz biorąc, znacznie lepiej jest mieć rozwiązanie bezpieczeństwa, które działa od razu po wyjęciu z pudełka. Brak skomplikowanej konfiguracji w celu ochrony naszej strony internetowej. Wiesz, jak ten, który dostajesz z MalCare.

Wykrywanie luk w zabezpieczeniach

Sucuri wykrył większość luk w zabezpieczeniach naszej witryny, choć nie wszystkie. iThemes nie znalazł żadnego.

Po włączeniu skanera po stronie serwera Sucuri wykrył, że w witrynie zainstalowaliśmy kilka podatnych na ataki wtyczek. Nie wykrył ich wszystkich, a zaleceniem było po prostu ich zaktualizowanie.

Ponadto istnieje widok post-hack na wp-admin, który zawiera listę aktualnie zainstalowanych wtyczek i motywów, ich zainstalowane wersje i najnowsze dostępne wersje. W opisie tej sekcji Sucuri wspomina, że ​​luki w zabezpieczeniach są powiązane z bezpieczeństwem witryny i dobrą praktyką jest aktualizowanie wszystkiego. Jest mało prawdopodobne, że ktoś wyląduje tam po rutynowym przejrzeniu wtyczki, więc nie jesteśmy pewni, czy to miejsce docelowe jest przydatne.

W ramach prośby o usunięcie złośliwego oprogramowania firma Sucuri przesłała nam również wiadomość z zaleceniem zastosowania środków zabezpieczających i aktualizacji naszych (2 z 3) podatnych na ataki wtyczek. Jest to część ich listy kontrolnej po włamaniu.

iThemes nie oznacza luk w zabezpieczeniach. Ma jednak wyjątkowo bezużyteczny licznik na desce rozdzielczej, wskazujący, ile aktualizacji zostało wykonanych od czasu zainstalowania wtyczki. Jak ta informacja może być użyteczna, nie możemy pojąć.

Brutalna ochrona logowania

Sucuri ma blokować ataki siłowe i ostrzegać cię, ale tego nie robi. iThemes czasami tak, czasami nie. Trudno powiedzieć, co jest gorsze.

iThemes rejestruje każdą niepoprawną próbę logowania jako atak siłowy, co szczerze mówiąc jest przerażające dla użytkownika. W jednym przypadku naprawdę zapomnieliśmy hasła.

Kiedy próbowaliśmy brutalnie wymusić stronę logowania, zauważyliśmy nierówne wyniki. iThemes zablokował próby w 1 witrynie, ale nie w drugiej. Próbowaliśmy dowiedzieć się, co było przyczyną tej rozbieżności, ale jedyną różnicą było złośliwe oprogramowanie na stronie. Ponieważ złośliwe oprogramowanie zwykle jest konsekwencją udanych ataków siłowych, nie sądzimy, aby to był powód. Bardziej prawdopodobne jest, że wystąpił błąd, który sprawia, że ​​funkcja działa sporadycznie. W efekcie jest to bez sensu.

Sucuri dał nam nadzieję, ponieważ istnieje szczegółowy zestaw opcji ataków siłowych. Możesz ustawić liczbę nieudanych prób, które liczą się jako atak siłowy. Ustawiliśmy go na bardzo skromne 30 prób na godzinę, mimo że ataki logowania to zwykle kilka 100 prób na minutę.

Po obejrzeniu wszystkich ustawień blokad byliśmy trochę zaniepokojeni możliwością zablokowania dostępu do witryny. Wyłączyliśmy MalCare, aby ochrona logowania MalCare nie blokowała próby. Jednak nic się nie stało. Próbowaliśmy ponad 40 błędnych logowań w ciągu 3 minut, a mimo to Sucuri nie podniosła alertu. Sprawdziłem dzienniki audytu i nieudane uwierzytelnienie pokazuje się dobrze. Ale żadnych alertów. Brak blokad. Nic.

Dziennik aktywności

iThemes ma niepełną funkcję dziennika aktywności. Sucuri ma dobry, ale może być niejasny.

Sucuri ma funkcję o nazwie Audit Logs, która śledzi wszystkie działania użytkowników, wtyczek i motywów. Funkcja działa zgodnie z oczekiwaniami, jednak jedno z ustawień nas zatrzymało. Potrzebujesz klucza API, aby „uniemożliwić atakującym usuwanie dzienników”. Zasadniczo upoważnia to Sucuri do gromadzenia i przechowywania danych o witrynie poza witryną, co jest w porządku, ale język, którego używają, jest co najmniej irytujący. Więcej na ten temat w dziale użyteczność.

Chociaż dzienniki działają jak, cóż, dzienniki i zbierają znacznik czasu, użytkownika i akcję, mogą być bardzo niejasne. Na przykład zainstalowaliśmy nową wtyczkę, która pojawia się jako aktywowana wtyczka. Jak na razie dobrze. W dzienniku jest jeszcze 7 wpisów, które pokazują, na co wpłynęła instalacja. Ale niewiele jest wyjaśnień, co oznaczają te wpisy. Czy to może zmienione pliki lub foldery? Nie, później zdaliśmy sobie sprawę, że ta konkretna wtyczka, która jest wtyczką galerii, zmieniła szablon postów. To ma sens, ale rewelacja nie pochodzi od Sucuri.

Dziennik aktywności jest ważną częścią zestawu narzędzi bezpieczeństwa Twojej witryny. Hakerzy wykorzystują niewystarczającą liczbę rejestrów do atakowania witryn, dlatego należy oczekiwać wiarygodnego dziennika, któremu można zaufać, jeśli chodzi o udostępnianie prawidłowych informacji o witrynie.

Zasadniczo nie taki, jak ten, który ma iThemes. Dziennik aktywności zawiera przydatne informacje, takie jak aktywność użytkowników, zarządzanie wersjami, skanowanie witryn i ataki siłowe. Nie ma jednak nic o wtyczkach ani motywach. Istnieje osobna funkcja, która codziennie wysyła Ci e-mailem raport o zmianie pliku. Podsumowując, logi są niewystarczające, ponieważ nie przedstawiają dokładnego obrazu Twojej witryny.

Uwierzytelnianie dwuskładnikowe

iThemes ma świetną funkcję uwierzytelniania dwuskładnikowego, która działa od razu po wyjęciu z pudełka. Sucuri nie.

Po wyrzuceniu iThemes w tym i innych podobnych artykułach z tej serii, z przyjemnością informujemy, że jest to jedna z niewielu funkcji bezpieczeństwa, które faktycznie działają w iThemes - i działa w tym całkiem dobrze.

Funkcja uwierzytelniania dwuskładnikowego w iThemes jest bardzo niezawodna. Ma mnóstwo dostosowań i działa bezproblemowo po wyjęciu z pudełka. Wtyczka pomaga również w egzekwowaniu silnych haseł, za czym zdecydowanie się opowiadamy.

Naszym jedynym zmartwieniem jest to, że wersja iThemes pro ma mnóstwo ustawień, które usuwają tokeny logowania w celu ułatwienia użytkowania: logowanie bez hasła, zaufane urządzenia, magiczne linki i tak dalej. Chociaż są one przydatne do usprawnienia procesu logowania, mijają się z celem uwierzytelniania dwuskładnikowego.

Podczas testowania Sucuri szukaliśmy uwierzytelniania dwuskładnikowego. Odkryliśmy, że istnieje na desce rozdzielczej Sucuri. Jednak byliśmy zarówno rozbawieni, jak i zdezorientowani, gdy zdaliśmy sobie sprawę, że uwierzytelnianie dwuskładnikowe jest dostępne dla twojego konta Sucuri, a nie dla twojej witryny WordPress.

Wykorzystanie zasobów serwera

iThemes w ogóle nie drenuje zasobów serwera, ponieważ nic nie robi. Sucuri obniży wydajność Twojej witryny za pomocą skanów.

Co ciekawe, ludzie nieczęsto pytają nas o zasoby serwera w kontekście bezpieczeństwa. Ale najlepiej, jeśli chcesz, aby Twoja witryna była chroniona i nie spowalniała indeksowania w tym procesie. Skaner Sucuri zrobi to na Twojej stronie.  

Skany Sucuri twierdzą, że całkowicie wykorzystują zasoby serwera witryny. W rzeczywistości wydają się zniechęcać do częstych skanów z tego powodu. Szczerze mówiąc, to jest straszne. Dlaczego ktoś miałby wybierać między wydajnością i rozsądnymi rachunkami za serwery z jednej strony a bezpieczeństwem z drugiej? Oni jednak nie żartowali. Nastąpił ogromny wzrost zasobów serwera, gdy tylko zainstalowaliśmy Sucuri, a następnie przeprowadziliśmy drugie skanowanie. Jeśli na małej stronie różnica jest tak zauważalna, na dużej stronie będzie znacznie większa.

Dodatkowo w Ustawieniach ogólnych na desce rozdzielczej znajduje się ustawienie Przechowywanie danych, które wydaje się wskazywać, że Sucuri przechowuje całe mnóstwo danych (loguje się głównie na podstawie wyglądu) na samej stronie internetowej. Prawdopodobnie dlatego potrzebny jest klucz API, ponieważ domyślnie wszystko znajduje się w folderze przesyłania, który jest folderem publicznie dostępnym. Istnieje opcja zmiany miejsca przechowywania na folder niedostępny publicznie, ale na początku powinno to być ustawienie domyślne.

iThemes nie będzie drenować zasobów serwera. Jak może, skoro nic nie robi?

Alerty

iThemes nie ostrzega o niczym. Sucuri tak, ale musisz uważać na to, jakie alerty chcesz otrzymywać. Twoja skrzynka odbiorcza może zapełnić się w ciągu kilku godzin.

Sucuri pozwala skonfigurować alerty, które mają być wysyłane do określonych osób, dostosować format alertów i wiele więcej. Możesz także dodać zakresy adresów IP, aby te adresy nie były oznaczane dla alertów. Ostrzegam jednak przed opisami pełnymi żargonu. Co to jest „ bezklasowy routing między domenami ”? Nie chcieliśmy wiedzieć, chcieliśmy tylko chronić stronę internetową.

Sądząc po szczegółowych ustawieniach alertów, Sucuri zdaje się być doskonale świadomy tego, że potencjalnie wysyła zbyt wiele alertów. Istnieje ustawienie umożliwiające skonfigurowanie maksymalnej liczby alertów otrzymywanych w ciągu godziny, powiedzmy do 5 e-maili. Problem polega na tym: załóżmy, że pierwsze 5 było fałszywie dodatnich, a szósta nie? Jest tam zastrzeżenie - ale znowu - lepiej mieć rzeczywiste informacje niż bezużyteczną funkcję. Naszym wnioskiem jest to, że żaden administrator nie zobaczy lasu dla drzew. Jest po prostu za dużo hałasu.

Co zaskakujące, wciąż przeglądamy iThemes, nie rezygnując z przegranej sprawy. iThemes przesłał nam raporty powiadomień o zmianach plików, kopie zapasowe baz danych i inne potwierdzenia naszych ustawień. Subskrybowaliśmy również codzienny przegląd bezpieczeństwa dotyczący naszej witryny internetowej oraz raport o lukach w zabezpieczeniach raz w tygodniu, prawdopodobnie po to, abyśmy mogli je porównać z naszymi witrynami internetowymi. Było wystarczająco źle z jedną witryną, z większą liczbą witryn mogło całkowicie wymknąć się spod kontroli.

Instalacja, konfiguracja i użyteczność

Instalacja iThemes była zaskakująco trudna ze względu na mylące opcje konfiguracji. Sucuri był dość prosty, ale opcje konfiguracji wtyczki były okropnie zniechęcające.

iThemes był pierwszą wtyczką, którą przetestowaliśmy, więc początkowo wydawało się to łatwe. Ustawił również poprzeczkę dla najbardziej bezużytecznych ustawień. Musisz przejść przez konfigurację, aby móc utworzyć pulpit nawigacyjny bezpieczeństwa. Przejrzeliśmy każde z ustawień, ale żadne z nich nie ma realnego wpływu na bezpieczeństwo, więc ustawiliśmy je losowo i tak zostawiliśmy.

Sucuri zainstalowało się bez problemu, a wtyczka w większości sama się skonfigurowała. Musieliśmy utworzyć konto w Sucuri, aby uzyskać dostęp do płatnych funkcji. Warto również zauważyć, że aby zainstalować skaner po stronie serwera, musisz użyć zewnętrznego pulpitu nawigacyjnego Sucuri. Nie jest to trudne, jeśli masz łatwo dostępne dane FTP, chociaż nie widzimy większego sensu, ponieważ nie wykrył żadnego złośliwego oprogramowania.

Pulpit nawigacyjny iThemes na twoim wp-admin to hałas. Nie ma żadnych istotnych informacji związanych z bezpieczeństwem.

Pulpit nawigacyjny i ustawienia Sucuri są niesamowicie skomplikowane. Spędziliśmy godziny próbując dowiedzieć się, co rozumieją przez terminy techniczne, których używają. W niektórych przypadkach wtyczka informuje o zalecanych ustawieniach, więc użytkownik zasadniczo działa na zasadzie ślepej wiary. Jedynym problemem jest to, że Sucuri nie wzbudza ślepej wiary, ponieważ ich skaner złośliwego oprogramowania nie działa!

Chcielibyśmy, aby ta wtyczka była łatwiejsza do zrozumienia. Wygląda na bardzo skomplikowaną i wydaje się, że robi wiele rzeczy, ale nie możemy być pewni, ponieważ niektóre rzeczy, o których wiemy, że są ważne, takie jak ochrona przed brutalną siłą, wydają się nie działać.

Zaporę sieciową i skaner po stronie serwera należy włączyć oddzielnie. Znalezienie tej wtyczki z 3 witrynami zajęło nam ponad tydzień. Wzdrygamy się na myśl, co by się stało, gdyby ktoś udźwignął więcej. Konfiguracja jest tak męcząca.

Chcemy powtórzyć, że ustawienia są trudne do zrozumienia dla użytkowników nietechnicznych. Nie wiedzieliśmy, że istnieje coś takiego jak oprogramowanie do analizy logów. Widzieliśmy również interesującą wiadomość dla odwrotnego proxy, w której Sucuri pomaga nam nie martwić się tą opcją, chyba że wiemy, co to jest. Dzięki za zamieszanie ze stroną protekcjonalności.

iThemes: Dodatki

W iThemes dostępna jest bardzo rozbudowana funkcja białej listy, co było zaskakujące, dopóki nie zdaliśmy sobie sprawy, że wydaje się, że jest nadmierna liczba skarg dotyczących blokowania witryn, które widzieliśmy. Wiążą się z tym dwa problemy: po pierwsze, zmieniają się adresy IP urządzeń, więc umieszczenie adresu IP na białej liście nie stanowi takiego zabezpieczenia, jak mogłoby się wydawać; a po drugie, próbowaliśmy wszystkiego, co możliwe, aby wywołać blokadę. Ale tak się nie stało.

Monitor zmian plików to kolejna funkcja, która brzmi jak dobry pomysł, chyba że wiesz coś o bezpieczeństwie. Hakerzy mogą zmieniać sygnatury czasowe plików, nawet do tego stopnia, że ​​wygląda to tak, jakby plik nie był edytowany od lat. Dodatkowo dostępna jest lista wykluczeń typów plików dla tego monitora. Szczerze mówiąc, świadczy to o braku zrozumienia złośliwego oprogramowania. Złośliwe oprogramowanie może ukrywać się w dowolnym pliku, w tym na przykład w plikach .ico.

iThemes ma dobry system zarządzania hasłami. Możesz wymusić stosowanie silnych haseł i odmówić dostępu do złamanych haseł. Możliwe jest również ustawienie haseł aplikacji dla XML-RPC, jeśli zdecydujesz.

Wreszcie, iThemes ma kilka funkcji wzmacniających, z których większości w ogóle nie zalecamy. Jedynym sensownym rozwiązaniem jest zablokowanie wykonywania PHP w folderze przesyłania. Zapobiega to określonemu rodzajowi ataku złośliwego oprogramowania. Pozostałe zalecamy całkowicie zignorować.

Sucuri: Dodatki

Pulpit nawigacyjny Sucuri na wp-admin wygląda całkiem imponująco, ale od razu zauważyliśmy, że największym infoboksem jest integralność WordPress. Mamy nadzieję, że dotyczy to tylko darmowej wersji, z której obecnie korzystamy, ponieważ jest to zasadniczo ubrana wersja monitora zmian plików dla podstawowych plików WordPress.

W niektórych przypadkach uznaliśmy, że jest to przydatne, biorąc pod uwagę, że wiele złośliwego oprogramowania dostaje się do podstawowych plików. I odwrotnie, możemy również zobaczyć, że może to być synekura, ponieważ niedoświadczeni ludzie mogą sądzić, że taki jest zasięg szkodliwego oprogramowania, co jest przerażającą myślą. Co zabawne, 2 z 3 oznaczonych plików integralności wordpress pochodziły z MalCare: złącze awaryjne i zapora ogniowa.

Głębiej w ustawieniach znajduje się narzędzie do porównywania integralności do porównywania podstawowych plików i znajdowania różnic. Może to być łatwiejsze w użyciu niż narzędzie do sprawdzania różnic online.

Istniała znaczna liczba opcji utwardzania: niektóre przydatne, inne nie tak bardzo. Podobało nam się, że mogliśmy zablokować PHP w folderze przesyłania, zaporze ogniowej i aktywować automatyczną aktualizację tajnych kluczy, która zmienia sole wordpress.

Jednak weryfikowanie wersji WordPress, usuwanie wersji WordPress, unikanie wycieku informacji (usuwa plik readme, który WordPress właśnie odtwarza) i weryfikowanie domyślnego konta administratora to głupie funkcje o niewielkim wpływie na bezpieczeństwo. Szczerze mówiąc, cała branża bezpieczeństwa odeszła od tych sztuczek.

Jeśli zdecydujesz się wyłączyć edytor wtyczek i motywów, aktualizacja będzie trudna. Zawiera zastrzeżenie dotyczące niektórych wtyczek i motywów wymagających dostępu do plików PHP w tych folderach. To jest niewystarczające. Przykład: Sucuri sami zapisują pliki PHP w folderze przesyłania. Czy nie chcą mieć dostępu do własnych plików z zewnętrznego dashboardu? A może to wyjątek potwierdzający regułę? W takim przypadku reguła wydaje się elastyczna w sposób ukryty przed użytkownikiem.

Chcieliśmy sprawdzić funkcję post-hack na pulpicie nawigacyjnym wp-admin. Po oczyszczeniu chcesz mieć pewność, że robisz wszystko, aby chronić swoją witrynę przed przyszłymi atakami hakerskimi. Podobał nam się ten pomysł, dopóki nie spojrzeliśmy trochę dalej.

Możesz aktualizować tajne klucze — zmieniać sole wordpress — z pulpitu nawigacyjnego. Jedynym problemem jest to, że jest to zwykły tekst, widoczny dla każdego administratora zalogowanego do wp-admin. Jeśli haker ma konto z dostępem administratora, jest to absurdalnie niebezpieczne. Ta funkcja ma sens tylko wtedy, gdy użytkownik sprawdzi, czy żadne konto administratora nie jest zagrożone, a następnie zmieni sole. Punkt, o którym nigdzie nie wspomniano.

Hasła użytkowników można zresetować. Ponownie, pozornie dobra funkcja, dopóki nie przeczytasz drobnego druku: „Wybierz użytkowników z listy, aby zmienić ich hasła, zakończyć ich sesje i wysłać im e-mail z linkiem do resetowania hasła. Należy pamiętać, że wtyczka zmieni hasła przed wysłaniem wiadomości e-mail, co oznacza, że ​​jeśli serwer WWW nie będzie mógł wysyłać wiadomości e-mail, użytkownicy zostaną zablokowani na stronie”.

Istnieje miejsce, w którym można zobaczyć dostępne aktualizacje wtyczek i motywów, czyli podstawowe zarządzanie wersjami. Nie dodaje niczego do istniejącej funkcjonalności pulpitu administratora. Może jednak służyć do edukowania ludzi, że przestarzałe wtyczki i motywy są związane z bezpieczeństwem.

Czego brakuje w iThemes Security i Sucuri

iThemes nie ma zapory ogniowej, co stanowi poważną lukę w zabezpieczeniach WordPress. Zapory ogniowe chronią witryny przed niektórymi typami ataków i są nieocenione, jeśli witryna ma luki w zabezpieczeniach.

Skaner złośliwego oprogramowania Sucuri nie jest odpowiedni. Tak więc, mimo że usługa usuwania złośliwego oprogramowania jest świetna, musisz zgadywać, że w Twojej witrynie znajduje się złośliwe oprogramowanie, ponieważ skaner go nie oznaczy.

Zabezpieczenia iThemes vs Sucuri: Ceny

Podstawowy plan platformy Sucuri za 199,99 USD rocznie na witrynę to dobra okazja na nieograniczone usługi usuwania złośliwego oprogramowania. Jednak biorąc pod uwagę, że powinien mieć również działający skaner, to wszystko, co dostanie dla ciebie twój okręt podwodny. iThemes nie jest nic wart. Po prostu nie przeszkadzaj.

W tym artykule jasno przedstawiliśmy naszą opinię na temat iThemes. Jedyną funkcją, o której warto wspomnieć w iThemes, jest uwierzytelnianie dwuskładnikowe, które jest dostępne w bezpłatnym abonamencie. Zdecydowanie nie polecamy planu Pro.

Ceny Sucuri to kradzież usługi usuwania złośliwego oprogramowania, ale muchą w maści jest skaner. Jeśli nie wiesz, że masz złośliwe oprogramowanie, nie możesz przesłać prośby o usunięcie.

Lepsza alternatywa dla iThemes Security i Sucuri: MalCare

Zainwestuj w dobrą wtyczkę bezpieczeństwa, która przeskanuje, wyczyści i ochroni Twoją witrynę przed hakerami. Spośród wszystkich wtyczek, które przetestowaliśmy dla tej serii, MalCare wyróżnia się jako najlepsza opcja. MalCare przebija iThemes we wszystkim i skanuje w poszukiwaniu złośliwego oprogramowania lepiej niż Sucuri.

W rzeczywistości podstawowy plan MalCare za 99 USD jest lepszy niż podstawowy plan platformy Sucuri za 199,99 USD, z natychmiastowym usuwaniem złośliwego oprogramowania. Obejmuje również nieograniczone sprzątanie

Wniosek

Bezpieczeństwo Twojej strony internetowej ma ogromne znaczenie. Widzieliśmy, jak wielu klientów skąpiło na wtyczce zabezpieczającej, tylko po to, by po włamaniu ponieść druzgocące straty. Jeden klient zrezygnował po pewnym czasie i postanowił odbudować swoją stronę internetową od podstaw. Złośliwe oprogramowanie jest drogie, MalCare nie.

Czy artykuł pomógł Ci podjąć decyzję? Chcielibyśmy wiedzieć! Napisz do nas.