iThemes Security vs Wordfence: Którą wtyczkę bezpieczeństwa należy wybrać?
Opublikowany: 2022-04-22iThemes Security wygląda na świetną ofertę za jedyne 199 USD za nieograniczoną liczbę stron internetowych, a ze względu na bezkonkurencyjną cenę jest poważnym pretendentem do wyścigu wtyczek WordPress.
W drugim zakręcie mamy Wordfence, niekwestionowaną wagę ciężką w tej kategorii. Wordfence jest znane z darmowej wtyczki z wieloma funkcjami oraz z badań i zasobów dotyczących bezpieczeństwa. W przypadku wersji premium każda witryna przyniesie Ci co najmniej 99 USD rocznie; co nadal jest dobrą okazją.
Nawet na tym etapie nie ma prawdziwego porównania między nimi. Przeprowadziliśmy jednak oba testy.
W tej serii 5 najlepszych wtyczek zabezpieczających przeszło w stylu gladiatorów bitwy ze złośliwym oprogramowaniem, atakami i lukami w zabezpieczeniach. Który wyłonił zwycięzcę? Czytaj dalej, aby się dowiedzieć.
OCENA iThemes Security vs Wordfence to nierówna konkurencja. Bezpłatna wtyczka Wordfence jest o rząd wielkości lepsza niż wtyczka premium iThemes Security. Wordfence ma swoje wady, ale przynajmniej w pewnym stopniu chroni witrynę. iThemes, nie tak bardzo.
Nasz wybór
W tej serii chcieliśmy przetestować najlepsze wtyczki zabezpieczające WordPress, aby dowiedzieć się, która naprawdę działa. W tym celu stworzyliśmy 3 strony internetowe: Jedna była prostym blogiem, z kilkoma wtyczkami i motywami jako kontrolką. Druga strona zawierała 3 nieaktualne wtyczki z lukami. Wybraliśmy wtyczki, które wahały się od popularnych do niejasnych i miały zestaw luk w zabezpieczeniach. I wreszcie, mieliśmy stronę internetową pełną złośliwego oprogramowania.
3 strony internetowe, 5 wtyczek, 45 dni. Przetestowaliśmy skanery wtyczek, środki czyszczące, zapory, ochronę przed botami, zapory, dzienniki aktywności i wiele innych. Uwzględniliśmy nowe złośliwe oprogramowanie, stare złośliwe oprogramowanie, złośliwe oprogramowanie oparte na plikach, złośliwe oprogramowanie baz danych, włamania przekierowujące, włamania farmaceutyczne, zastrzyki SQL, ataki typu brute force i wiele innych.
Wyniki były jasne: tylko MalCare był w stanie skanować, czyścić i chronić testowane strony internetowe. Jeśli szukasz spokoju dzięki bezpieczeństwu WordPress, MalCare jest najlepszym rozwiązaniem.
Podsumowanie porównania iThemes Security vs Wordfence
iThemes Security vs Wordfence to oczywiste: Wordfence do końca.
Potraktujmy bezpieczeństwo WordPressa jako spektrum pomiędzy dwoma skrajnościami: brak ochrony i fałszywe poczucie bezpieczeństwa z jednej strony oraz fałszywe alarmy i straszne ostrzeżenia z drugiej. iThemes Security daje fałszywe poczucie bezpieczeństwa, a Wordfence to ten, który utrzymuje Cię w stanie niemal ciągłego strachu.
Naszym zdaniem obie opcje nie są dobrymi opcjami. Jednak Wordfence ma doskonałą darmową wersję, która w dużym stopniu ochroni Twoją witrynę, podczas gdy nawet wersja premium iThemes Security nie zrobi nic, aby chronić Twoją witrynę. Nasza rada, aby uniknąć obu skrajności i wybrać dobrą wtyczkę bezpieczeństwa.
Bezpieczeństwo iThemes w pigułce
iThemes Security to zdecydowanie najgorsza wtyczka bezpieczeństwa WordPress, jaką widzieliśmy. Ma kilka dobrych funkcji, takich jak uwierzytelnianie dwuskładnikowe i obsługa silnych haseł, ale to wszystko. Nie ma skanera złośliwego oprogramowania, nie może wyczyścić złośliwego oprogramowania i nie ma sensu dyskutować o zaporze. W rzeczywistości, jeśli używasz teraz iThemes, natychmiast przeskanuj swoją witrynę.
Ciekawostka: iThemes był pierwszą przetestowaną przez nas wtyczką bezpieczeństwa. Strona internetowa i cały proces instalacji dał nam wrażenie, że tak, ci faceci wiedzą, na czym polega bezpieczeństwo WordPressa. Niestety, wydaje się, że żaden z tych know-how nie znalazł się w rzeczywistej wtyczce.
W rzeczywistości iThemes Security jest skanerem złośliwego oprogramowania, ponieważ nie ma mechanizmu do czyszczenia złośliwego oprogramowania. Witryna nie mówi również, że istnieje zapora sieciowa. To nie jest wspaniałe, ponieważ skanowanie jest jednym z filarów bezpieczeństwa WordPressa, ale nie jedynym. Możesz jednak skleić mieszankę różnych wtyczek, aby zapewnić tę funkcjonalność, jeśli masz przyzwoity skaner.
Ach, ale to był problem. iThemes nie jest skanerem złośliwego oprogramowania. To nie jest skaner podatności. Skanuje czarną listę Google dla Twojej witryny. Wiesz, to samo, co możesz zrobić na stronie Raportu przejrzystości, bez konieczności instalowania wtyczki. Największym gratisem było to, że skanowanie trwało kilka sekund. Nie ma mowy, aby skaner mógł przejść przez wszystkie pliki i foldery witryny w dosłownie kilka sekund.
Ochrona przed brutalną siłą na stronie logowania była niejednolita i niespójna, a dziennik aktywności był bezużyteczny. Więcej o tym później.
Z drugiej strony iThemes Security ma doskonałą funkcję uwierzytelniania dwuskładnikowego. Podobało nam się również, jak łatwo było zaimplementować reCAPTCHA w wp-login. I wreszcie, ustawienia zarządzania hasłami użytkowników były bardzo szczegółowe i szczegółowe. Dodatkowo istnieje kilka przyzwoitych funkcji wzmacniających WordPress, takich jak blokowanie wykonywania PHP w folderach.
Ogólnie rzecz biorąc, testowanie iThemes Security było rewelacyjnym doświadczeniem. Bezpieczeństwo traktujemy bardzo poważnie i byliśmy zszokowani, widząc, jak sprytne słownictwo i wprowadzający w błąd zestaw funkcji mogą oszukać administratora, by pomyślał, że jego witryny są chronione. W rzeczywistości zdecydowanie zalecamy wszystkim użytkownikom iThemes, aby całkowicie przemyśleli swoje bezpieczeństwo i natychmiast przeskanowali swoją witrynę.
Wordfence w pigułce
Wordfence to najlepsza darmowa wtyczka bezpieczeństwa, z jaką zetknęliśmy się po MalCare. Gorąco polecamy go dla stron, które mają absolutnie zerowy budżet na bezpieczeństwo. Zapora blokuje większość ataków, skaner wykrywa większość złośliwego oprogramowania opartego na plikach, a funkcja naprawy złośliwego oprogramowania pomoże pozbyć się większości z nich. Minusem jest to, że będzie mnóstwo fałszywych alarmów, niektóre pominięte złośliwe oprogramowanie, a usługi awaryjnego czyszczenia po włamaniach są wygórowane.
Byliśmy podekscytowani wypróbowaniem Wordfence, ponieważ jest to najczęściej używana wtyczka bezpieczeństwa. A po kilku okropnych doświadczeniach (czytaj: iThemes), fajnie byłoby zobaczyć, jak wtyczka poradziła sobie z bezpieczeństwem WordPressa.
Omówimy bardziej szczegółowo w dalszych sekcjach, ale najpierw chcemy omówić główne aspekty bezpieczeństwa.
Wordfence ma przyzwoity skaner, który wykrył wszystkie złośliwe oprogramowanie oparte na plikach, które mieliśmy w naszych darmowych wtyczkach i motywach. Ale istnieją pewne duże zastrzeżenia dotyczące jego skuteczności. Skaner nie może wykryć złośliwego oprogramowania opartego na bazie danych ani złośliwego oprogramowania w wtyczkach i motywach premium. Ponadto nawet uruchomienie skanowania wymagało zauważalnych opłat na naszej stronie internetowej.
Następnie wypróbowaliśmy automatyczną naprawę złośliwego oprogramowania. Ku naszej radości niemal natychmiast naprawił wszystkie złośliwe oprogramowanie oparte na plikach ze strony internetowej; nie złośliwe oprogramowanie oparte na bazie danych. Pomyśl o tym, to nie jest świetna wydajność dla odkurzacza, ale oczywiście była lepsza niż inne w tej serii testów, z której byliśmy naprawdę zadowoleni, widząc różnicę.
Zapora ogniowa była dość skuteczna, blokując większość głównych i powszechnych ataków WordPress, które nękają witrynę. Jednym z problemów, jakie mamy tutaj, jest to, że zapora generuje dla nas mnóstwo alertów. Czy naprawdę musimy wiedzieć, że ktoś z Niemiec próbował włamać się na naszą stronę 20 razy w ciągu ostatnich 5 minut w 20 osobnych powiadomieniach? Nie, nie. Nasza skrzynka odbiorcza została zatopiona w alertach Wordfence w ciągu kilku dni i niemożliwe było oddzielenie pszenicy od plew. Ponadto bezpłatni użytkownicy otrzymują aktualizacje zapory później niż użytkownicy premium, więc hakerzy mają szansę włamać się na niezabezpieczone witryny.
Poza tym istnieje również kilka funkcji bezpieczeństwa. Wordfence działa w sposób szczupły, a wszystkie inne funkcje, takie jak aktualizowanie wtyczek w przypadku wykrycia luk, są pozostawione wp-admin. Ma sens, bo po co duplikować go na tym samym desce rozdzielczej? Ma całkiem dobrą ochronę przed brutalną siłą, a uwierzytelnianie dwuskładnikowe jest solidne.
Byliśmy zachwyceni ogromną użytecznością wtyczki. Język jest przystępny i prosty, bez nadmiernego żargonu. Bardziej zaawansowane funkcje przeznaczone dla zaawansowanych użytkowników są również schowane w ustawieniach.
Z zaskoczeniem zauważyliśmy jednak, że nie ma dziennika aktywności jako takiego, z wyjątkiem najbardziej nieczytelnej listy przeznaczonej dla programistów Wordfence. Ponadto w witrynie nie ma żadnej ochrony przed botami. Wreszcie, i co najbardziej obciążające dla tej wtyczki, do działania potrzeba ogromnej ilości zasobów serwera. Do tego stopnia, że hosty internetowe całkowicie zakazały używania Wordfence.
Podsumowując, Wordfence to doskonała wtyczka bezpieczeństwa, ale nie najlepsza dla Twojej witryny. MalCare to sposób na doskonały skaner, skuteczne czyszczenie złośliwego oprogramowania i zaawansowaną zaporę sieciową z aktualizacjami w czasie rzeczywistym.
Czego szukać we wtyczce zabezpieczającej
Bezpieczeństwo WordPressa może być mylącą bestią, z którą trzeba sobie poradzić, zwłaszcza w przypadku znacznych dezinformacji dostępnych w Internecie. Jedno jest pewne, hakerzy mogą kosztować Cię dochody, biznes, procesy sądowe, wydatki z własnej kieszeni, branding, ruch organiczny i wiele więcej. Odpowiednia wtyczka bezpieczeństwa będzie przeciwdziałać temu wszystkiemu, a także zaoszczędzić czas i pieniądze na inwestycje w inne obszary Twojej firmy.
Często spotykamy się z pytaniem: jak wybrać odpowiednią wtyczkę bezpieczeństwa dla swojej witryny WordPress?
Odpowiedzią jest zwykle lista funkcji prania. Niektóre są niezbędne, inne nie. Ale każda wtyczka chce sprzedać Ci ponad 100 funkcji, z których większość ma niewielki lub żaden wpływ na bezpieczeństwo Twojej witryny. Ale lista będzie dezorientować problem na tyle długo, że bezpieczeństwo WordPressa znów będzie bólem głowy.
Dlatego opracowaliśmy tę niezbędną — i krótką! — listę funkcji bezpieczeństwa. Powinieneś poszukać wtyczki zabezpieczającej, która zaznacza głównie wszystko na tej liście i uzyskać inne rozwiązania dla funkcji, których nie ma.
- Podstawowe funkcje bezpieczeństwa
- Skanowanie złośliwego oprogramowania
- Czyszczenie złośliwego oprogramowania
- Zapora
- Warto mieć zabezpieczenia
- Wykrywanie luk
- Ochrona logowania brute force
- Dziennik aktywności
- Uwierzytelnianie dwuskładnikowe
- Potencjalne problemy
- Wpływ na zasoby serwera
Jedyną wtyczką, która zbliża się do trafienia we wszystkie pudełka, jest MalCare. Wybierając MalCare, masz pewność, że Twoja witryna będzie miała najlepszą dostępną ochronę przed hakerami i ich złośliwym oprogramowaniem.
iThemes Security vs Wordfence: bezpośrednie porównanie funkcji
W tej sekcji szczegółowo opisaliśmy nasze ustalenia, jeśli chcesz przeczytać więcej o określonej funkcji. Po 45 dniach testów mieliśmy mnóstwo informacji i wiele ustaleń. Wszystko to znajduje się tutaj dla przyjemności czytania.
Funkcje są uporządkowane od najważniejszych do najmniej ważnych, a obie wtyczki oceniamy pod kątem każdego czynnika. Naszym celem było zaprezentowanie wszystkiego, co znaleźliśmy tak uczciwie, jak to możliwe, więc nigdzie się nie cofaliśmy.
Jeśli jednak chcesz tylko dotrzeć do sedna tego ćwiczenia, zainstaluj MalCare, a nie będziesz musiał słyszeć o niektórych horrorach, które odkryliśmy.
Skanowanie złośliwego oprogramowania
Skaner Wordfence wykrył złośliwe oprogramowanie oparte na plikach w naszej testowej witrynie internetowej, ale nie złośliwe oprogramowanie w naszej bazie danych. Brakowało również złośliwego oprogramowania we wtyczkach i motywach premium. iThemes Security nie przeskanował naszej strony internetowej, więc oczywiście nie znalazł żadnego złośliwego oprogramowania.
Po zainstalowaniu Wordfence automatycznie konfiguruje pierwsze skanowanie. Jak dotąd, tak świetnie. Zostawiłem skaner do końca i przez kilka godzin badałem inne funkcje. Tylko po to, by zobaczyć, że nadal utknął na 60%. Biorąc pod uwagę, że strona była dość mała, co daje?
Okazuje się, że 60% nie jest paskiem postępu, ale procentem wskazującym na skuteczność darmowego skanera. Aby uzyskać pełne 100%, musisz uaktualnić wtyczkę do wersji pro. W porządku, ale sposób wyświetlania na desce rozdzielczej był bardzo zagmatwany.
Ponownie uruchomiliśmy skanowanie i cieszyliśmy się, że zakończyło się bardzo szybko. Skaner oznaczył większość szkodliwego oprogramowania, choć nie wszystkie. Złośliwe oprogramowanie, które było w stanie łatwo wykryć, znajdowało się w podstawowych plikach WordPressa oraz w plikach i folderach darmowych wtyczek i motywów. Brakowało zhakowanego złośliwego oprogramowania przekierowującego w bazie danych oraz wszelkich plików, które znajdowały się we wtyczkach i motywach premium.
Wyrzuciliśmy na Wordfence wiele złośliwego oprogramowania opartego na plikach, które wykryło prawie wszystkie. Posiada obszerną bazę danych złośliwego oprogramowania dla algorytmu dopasowywania sygnatur, więc spodziewamy się, że wykryje około 70 do 80% złośliwego oprogramowania. To nie jest tak dobre jak 95%, jak w przypadku MalCare, ale jest znacznie lepsze niż wszystkie inne wtyczki bezpieczeństwa. W końcu wykrycie to połowa sukcesu.
Zastrzeżenia, które mamy z Wordfence, to tona alertów i duża liczba fałszywych alarmów. Oba te czynniki mogą prowadzić do tego, że alerty z czasem tracą na znaczeniu, a wtedy istnieje realne niebezpieczeństwo, że prawdziwy alert może prześlizgnąć się przez nie niezauważony. Ponadto skanowanie wymaga dużej ilości zasobów serwera. Porozmawiamy o tym więcej w dalszej części.
Skaner iThemes w ogóle nie skanuje w poszukiwaniu złośliwego oprogramowania. Sprawdza, czy Twoja witryna znajduje się na czarnej liście, a także tylko na jednej czarnej liście. Sucuri również ma tę kontrolę, ale mieli przyzwoitość, aby po pierwsze nie oznaczać go jako skanera, a po drugie sprawdzić coś więcej niż tylko czarną listę Google. Nasze strony testowe oczywiście nie znajdowały się na czarnej liście, ponieważ nie są indeksowane. Więc kiedy raport ze skanowania złośliwego oprogramowania iThemes dał nam czystą wiadomość dla witryny pełnej złośliwego oprogramowania? Nie pod wrażeniem.
Czyszczenie złośliwego oprogramowania
iThemes Security nie ma czyszczenia złośliwego oprogramowania, automatycznego ani w żaden inny sposób. Wordfence może naprawiać pliki złośliwego oprogramowania, ale skuteczność zależy od wykrytego złośliwego oprogramowania. Wordfence oferuje usługę usuwania złośliwego oprogramowania premium, która kosztuje aż 490 USD za witrynę.
Po zakończeniu skanowania Wordfence wyświetla 2 opcje postępowania ze zhakowanymi plikami — oprócz CTA w celu uzyskania profesjonalnej pomocy: usuń wszystkie usuwalne pliki i napraw wszystkie pliki, które można naprawić.
Opcja usuwania skutecznie pozbyła się 1 pliku bez błędów, po wyświetleniu przerażającego komunikatu o tym, jak usunięcie plików może zepsuć Twoją witrynę. To prawda, ale złośliwe oprogramowanie też jest przerażające! W każdym razie opcja była czymś w rodzaju wilgotnego charłaka, więc zamiast tego przerzuciłem się na opcję naprawy. Opcja naprawy miała podobne ostrzeżenie, ale włączyliśmy zasilanie i udało się naprawić większość plików. Kiedy przeprowadziliśmy witrynę przez skaner MalCare, witryna była wolna od złośliwego oprogramowania.
Większość innych wtyczek bezpieczeństwa zawiodła w tym momencie, więc nie musieliśmy dużo dalej testować. Otrzymaliśmy nasze wyniki. Jednak baza danych sygnatur złośliwego oprogramowania Wordfence jest obszerna, więc rozszerzyliśmy sieć.
Dodaliśmy zhakowane przekierowujące złośliwe oprogramowanie do naszej bazy danych witryny, z kilkoma przypadkami włamania się na japońskie słowo kluczowe na wszelki wypadek. Ukryliśmy również fragmenty złośliwego oprogramowania w naszych wysokiej jakości wtyczkach i motywach, podejrzewając, że te rzeczy potkną się w skanerze i wyczyszczą. I zrobili.
Wniosek, który się pojawił był taki, że jeśli zespół Wordfence widział złośliwe oprogramowanie, naprawa plików działa. W przeciwnym razie nie. Wordfence nie działa również, gdy w bazie danych znajduje się złośliwe oprogramowanie. Tak więc złośliwe oprogramowanie, takie jak to z przekierowania, a nawet nowsze złośliwe oprogramowanie, na pewno zostanie pominięte. Będzie również pomijać złośliwe oprogramowanie w niepodstawowych plikach WordPress lub niepublicznych wtyczkach i motywach. Wordfence nie jest w stanie znaleźć złośliwego oprogramowania we wtyczkach i motywach premium.
Jeśli automatyczna naprawa nie działa, możesz wybrać usługę usuwania złośliwego oprogramowania Wordfence. Usługa usuwa złośliwe oprogramowanie, backdoory i ocenia witrynę pod kątem luk w zabezpieczeniach. Wordfence pomaga również w usuwaniu witryny zawierającej złośliwe oprogramowanie z wszelkich czarnych list, na które mogła trafić. Oczyszczenie witryny jest gwarantowane przez rok, tylko jeśli administrator witryny co do joty zastosuje się do instrukcji po włamaniu. Nie możemy komentować skuteczności usługi usuwania złośliwego oprogramowania, ponieważ jej nie wypróbowaliśmy.
Jak powiedzieliśmy wcześniej, iThemes Security nie może usuwać złośliwego oprogramowania, więc nic więcej nie można powiedzieć na ten temat.
Z naszego doświadczenia wynika, że czyszczenie złośliwego oprogramowania jest najważniejszym aspektem bezpieczeństwa WordPressa. Zdecydowanie powinni to robić tylko eksperci ds. bezpieczeństwa, ponieważ istnieje ogromny potencjał, aby coś poszło nie tak. MalCare umożliwia automatyczne usuwanie złośliwego oprogramowania i dostęp do ekspertów ds. bezpieczeństwa, którzy pomogą w rozwiązaniu wszelkich problemów.
Zapora
iThemes Security nie ma zapory. Wordfence posiada zaporę sieciową aplikacji internetowych, która skutecznie chroni przed większością głównych i powszechnych zagrożeń. Ale darmowa wersja otrzymuje aktualizacje później niż wersja premium.
Zapora sieciowa WordPress jest ważną częścią arsenału bezpieczeństwa, ponieważ dzięki regułom chroni przed atakami i złośliwym ruchem. W większości sprawdzanych przez nas wtyczek zabezpieczających unikaliśmy wyjaśniania szczegółów technicznych, ponieważ nie miało to sensu, ponieważ zapory były albo okropne, albo nie istniały. Ale z Wordfence sprawy trochę się skomplikowały.
Kiedy zainstalowaliśmy Wordfence, zapora przeszła bezpośrednio w tryb uczenia. Jest to wymagany krok, aby zapora mogła zrozumieć normalny ruch w witrynie i tym samym skuteczniej blokować zagrożenia. Ponieważ nie otrzymujemy żadnego ruchu w naszych witrynach, natychmiast wyłączyliśmy tryb uczenia się, chociaż zaleca się pozostawienie go włączone przez co najmniej tydzień.
Istnieje osobna sekcja do zarządzania zaporą Wordfence, więc zbadaliśmy ją dalej. Gdy zobaczysz go po raz pierwszy, wyjaśnia, czym jest zapora i jak chroni Twoją witrynę. Wprowadza również termin „zapora aplikacji sieciowej” wraz z krótkim opisem.
Po przetestowaniu zarówno darmowej, jak i premium zapory, jasne jest, że Wordfence ma doskonałą zaporę w obu wersjach. Obaj uchronili się przed serią ataków typu SQL injection, cross-site request forgers, zdalnego wstrzykiwania kodu i cross-site scripting. Nie byliśmy w stanie wykorzystać luk w zabezpieczeniach wtyczek i motywów.
Wtedy pomyśleliśmy, że powinniśmy sięgnąć głębiej: jaka jest różnica między wersją bezpłatną a premium?
W opcjach zapory Wordfence wyjaśnia różnicę: darmowa wersja ładuje się jako zwykła wtyczka po załadowaniu WordPressa. Ponadto wersja premium otrzymuje aktualizacje reguł w czasie rzeczywistym, podczas gdy wersja bezpłatna otrzymuje aktualizacje po nieokreślonym czasie.
Obie te rzeczy sprawiły, że się zatrzymaliśmy.
Po pierwsze, zapora powinna ładować się jako pierwsza, aby zapewnić najlepszą ochronę, jednak większość wtyczek bezpieczeństwa z zaporami często ładuje się po WordPressie jak zwykła wtyczka. W takim przypadku zapora Wordfence może powstrzymać większość szkodliwego ruchu, ale z pewnością nie cały.
Po drugie, Wordfence ma najbardziej zaktualizowaną zaporę ogniową, jednak użytkownicy bez premium otrzymują aktualizacje później. Nawet to okno jest problematyczne, ponieważ hakerzy mogą w jego trakcie atakować. Kiedy bezpłatna zapora otrzymuje aktualizacje reguł: dni, tygodnie czy miesiące później? Kto wie.
Nic dziwnego, że iThemes nie ma zapory.
Wykrywanie luk
iThemes Security nie może wykryć luk w zabezpieczeniach, a tym bardziej pomóc je rozwiązać. Wordfence wykrył wszystkie luki, które umieściliśmy w witrynie, niezależnie od tego, czy były popularne, czy niejasne.
Wordfence poprawnie oznaczył wszystkie nieaktualne wtyczki z wykrytymi lukami jako zagrożenia krytyczne. Do listy dodaliśmy również kilka niejasnych wtyczek, niektóre z mniej niż 200 użytkownikami. Inne wtyczki nie były w stanie wykryć tych luk, więc odświeżenie, że Wordfence to zrobił. Skaner oznaczył nawet nieaktualne wtyczki jako średnie zagrożenie, co jest doskonałe, ponieważ zawsze dobrze jest aktualizować wszystko.
Nie można naprawić luk bezpośrednio z pulpitu Wordfence. Większość innych wtyczek, takich jak Jetpack i Sucuri, zalecało aktualizacje i pozwalało na przeprowadzanie ich z tego samego panelu. Ale rozglądając się po Wordfence, nie ma na to sposobu. Przenosi Cię jednak do pulpitu nawigacyjnego aktualizacji, co jest wystarczająco dobre. Nie ma logicznego powodu, aby replikować istniejące funkcje, które już istnieją w wp-admin.
Co ciekawe, skaner pokazał nam również błędy z wtyczkami iThemes i BackupBuddy, które zainstalowaliśmy na jednej z witryn testowych. Wygląda na to, że we wtyczkach występują anomalie kodowania.
Mieliśmy nadzieję, że skaner iThemes przynajmniej wykryje luki w zabezpieczeniach, biorąc pod uwagę jego całkowitą porażkę jako skaner złośliwego oprogramowania. Tak, nie.
Ponadto pulpit nawigacyjny iThemes ma licznik, który wskazuje, ile aktualizacji zostało dokonanych od momentu zainstalowania wtyczki. Wyobrażamy sobie, że ta kiepska wymówka dla metryki powinna być pomocna w śledzeniu aktualizacji wtyczek i motywów. Tak naprawdę jednak nie jest.
Ochrona logowania brute force
iThemes czasami blokuje ataki brute force, czasami nie. Wordfence bezbłędnie blokuje wszystkie ataki siłowe.
W iThemes widzieliśmy niespójne bloki brute force. Kiedy próbowaliśmy wprowadzić serię złych danych uwierzytelniających na stronie logowania, iThemes zablokowało próby tylko w jednej witrynie, ale nie w drugiej. Jedyna różnica między obiema witrynami polegała na tym, że pierwsza zawierała złośliwe oprogramowanie, a druga nie. Złośliwe oprogramowanie jest zwykle wynikiem udanego ataku na logowanie, więc ta różnica raczej nie jest przyczyną. Po kilku godzinach wielokrotnych prób testów wyniki były niejednoznaczne. W końcu zrezygnowaliśmy z odkrywania, co wydaje się być błędem.
Po tym ćwiczeniu w głębokiej frustracji sprawdziliśmy dzienniki iThemes. Każda niepoprawna próba logowania była tam rejestrowana jako atak brute force, nawet wtedy, gdy naprawdę zapomnieliśmy hasła. A jednak wtyczka nie zablokowała ich wszystkich. Bardzo dziwne i dlatego niewiarygodne.
W Wordfence najpierw przyjrzeliśmy się ustawieniom. Ochrona przed brutalną siłą jest domyślnie włączona i możesz przejść do sekcji zapory, aby dostosować opcje.
Możesz ustawić blokady dla niepoprawnych prób logowania, a nawet czas, w którym użytkownik doświadczy blokady po określonej liczbie niepoprawnych prób logowania. Szczególnie wspaniałe jest to, że wyjaśniają, co każda opcja robi w doskonałej dokumentacji i jak najskuteczniej z niej korzystać, aby chronić witrynę.
Możesz ustawić listę dozwolonych adresów IP, które nie mają być testowane przez zaporę. Widzieliśmy tę funkcję w wielu wtyczkach, ale przy zmianie adresów IP urządzeń nie ma to większego sensu.
Dostępne są również opcje silnych haseł. Możesz wymuszać silne hasła, zapobiegać używaniu haseł znalezionych w przypadku naruszenia bezpieczeństwa danych i wiele więcej.
W końcu zabraliśmy się do testowania, a ochrona przed brutalną siłą działa dokładnie zgodnie z wybranymi przez nas ustawieniami. Idealne za każdym razem.
Dziennik aktywności
Dziennik aktywności iThemes nie rejestruje wszystkich zdarzeń, więc jest bezużyteczny. Wordfence w ogóle nie posiada dziennika aktywności.
Jesteśmy wielkimi zwolennikami skromnego dziennika aktywności. Jest to niezbędne narzędzie bezpieczeństwa, ponieważ hakerzy wykorzystują niewystarczające logowanie do atakowania witryn. Najlepiej, jeśli potrzebujesz wiarygodnego dziennika, który zawiera prawidłowe informacje o wydarzeniach w Twojej witrynie.
Więc nie tak jak ten iThemes. Dziennik aktywności iThemes zawiera obietnicę dobrych informacji, takich jak aktywność użytkowników, zarządzanie wersjami, skanowanie witryn i ataki typu brute force. Ale nie są one dokładnie rejestrowane, więc nie można ufać, że przedstawiają poprawny obraz. Poza tym nie ma nic o wtyczkach ani motywach.
Co zaskakujące, Wordfence nie ma dziennika aktywności. Istnieje możliwość włączenia debugowania w sekcji Diagnostyka w obszarze Narzędzia, dzięki czemu dzienniki zapory są bardziej szczegółowe. Pełny dziennik aktywności dla zdarzeń Wordfence znajduje się tylko w sekcji Skanowanie, ale to nie to samo, co dziennik aktywności. Poza tym jest to surowy dziennik przeznaczony wyłącznie dla programistów Wordfence. Włączając tryb debugowania, zużyjesz również więcej zasobów serwera. W tej sekcji jest to bardzo jasne.
Uwierzytelnianie dwuskładnikowe
iThemes ma doskonałe uwierzytelnianie dwuskładnikowe, które działa bezproblemowo po wyjęciu z pudełka. To samo z Wordfence.
Uwierzytelnianie dwuskładnikowe działa idealnie w obu wtyczkach. Oba mają świetny zestaw opcji i minimalną konfigurację. W przypadku Wordfence uwierzytelnianie dwuskładnikowe było kiedyś funkcją premium, którą teraz włączyli również dla bezpłatnych użytkowników.
Z wersją iThemes pro mamy tylko jedną małą obserwację. Istnieje wiele ustawień, które usuwają tokeny logowania w wersji pro: logowanie bez hasła, zaufane urządzenia, magiczne łącza i tak dalej. Naszym zdaniem bezpośrednio sprzeciwiają się zasadzie uwierzytelniania dwuskładnikowego, ułatwiając proces logowania.
Wykorzystanie zasobów serwera
iThemes jest bardzo przyjazny dla zasobów serwera, ponieważ w ogóle nic nie robi. Wordfence jest w rzeczywistości zakazane przez niektórych hostów internetowych z powodu ogromnych kosztów zasobów serwera.
Byliśmy bardzo podekscytowani wprowadzeniem Wordfence na próbę. Prawdziwą niespodzianką było jednak sprawdzenie wydajności serwisu. Skany podwoiły, a w niektórych przypadkach potroiły, wykorzystanie dysku przez naszą witrynę, ponieważ miały miejsce skany Wordfence. Zdajemy sobie sprawę, że nasze witryny testowe są bardzo małe, więc na początku nie zużywają zbyt wielu zasobów, ale mimo to jest to znaczny skok. W większych witrynach kara byłaby znaczna.
W rzeczywistości wszelkie zmiany w ustawieniach domyślnych zawierają ostrzeżenie, że zużyje się więcej zasobów serwera. Można wtedy bezpiecznie założyć, że Wordfence wykorzystuje zasoby serwera lokacji do wykonywania wszystkich swoich zadań.
Co jest wystarczająco złe, ale z zaporą będzie jeszcze gorzej. Wszelkie ciągłe ataki przytłoczą witrynę, nawet jeśli jest ona chroniona przed tymi exploitami.
Wykorzystanie zasobów serwera rzadko pojawia się jako temat do dyskusji na temat bezpieczeństwa witryny, ale często wtyczki bezpieczeństwa mają zauważalny wpływ na wydajność witryny. Do tego stopnia, że administrator musi dokonać kompromisu między bezpieczeństwem a użytecznością. Uważamy, że nie powinno to mieć miejsca, a dzięki MalCare możesz mieć ciastko i zjeść je.
iThemes doskonale nadaje się do zasobów serwera. Nie można powiedzieć tego samego o bezpieczeństwie witryny.
Alerty
iThemes nie wysyła żadnych alertów. Wordfence wysyła zdecydowanie za dużo.
Alerty muszą znaleźć się w idealnym miejscu między brakiem a zbyt dużą liczbą. Obie są równie złymi skrajnościami, ponieważ wynik netto jest taki, że nie masz pojęcia, jakie właściwie jest bezpieczeństwo Twojej witryny.
Skaner Wordfence może generować wiele fałszywych alarmów, więc tak naprawdę nie wiesz, kiedy Twoja witryna jest naprawdę zhakowana. Po pewnym czasie może stać się jak chłopiec, który wypłakał wilka. To samo z zaporą. Zapora powinna po prostu blokować ataki bez wywoływania za każdym razem alarmu, ponieważ nie służy to celowi. Dlatego uważamy, że Wordfence generuje zbyt wiele alarmów, aby były w ogóle użyteczne.
iThemes wysyła mnóstwo całkowicie banalnych, bezużytecznych e-maili: raporty z powiadomieniami o zmianach plików, kopie zapasowe baz danych i inne potwierdzenia naszych ustawień. Istnieje również codzienny przegląd bezpieczeństwa naszej strony internetowej oraz cotygodniowy raport o podatnościach. Wyobrażamy sobie, że jest to dla naszej wiedzy, więc możemy ręcznie aktualizować szkodliwe wtyczki i motywy na naszej jednej lub wielu stronach internetowych.
Instalacja, konfiguracja i użyteczność
Wordfence instaluje się jak urok. Brak skomplikowanych ustawień i niejasnych konfiguracji. Z drugiej strony iThemes był naprawdę trudny.
iThemes jest zwodniczo łatwy do rozpoczęcia, a następnie powoli przechodzi w wiele bezużytecznych ustawień. Przed utworzeniem deski rozdzielczej trzeba przejść długą konfigurację. Szczerze mówiąc, powinniśmy byli przeczytać znaki i zrezygnować z tego jako przegranej sprawy. Ale jesteśmy łakomczuchami na karę przez tę moc dla większego dobra.
Instalacja Wordfence była bardzo łatwa i nie ma opcji konfiguracji z góry. Pierwszym ekranem, który się pojawi, jest subskrypcja e-mail, która wyraźnie informuje, że otrzymujesz wiadomości dotyczące bezpieczeństwa w swojej skrzynce odbiorczej. Następny ekran to monit o uaktualnienie do wersji premium. W tym momencie nie wiedzieliśmy, jakie funkcje ma darmowa wtyczka, więc nie wprowadziliśmy od razu naszej licencji premium.
Podczas pierwszej wizyty w desce rozdzielczej w wp-admin dostępny jest przewodnik z 3 podpowiedziami. Użyteczność i język są wspaniałe na Wordfence. Podano jasne wyjaśnienia dotyczące funkcji i ich wpływu na bezpieczeństwo. To nie jest przytłaczające, ani nie ogłupia rzeczy.
Projekt pulpitu nawigacyjnego jest bardzo intuicyjny i na pierwszy rzut oka możesz zobaczyć wszystkie ważne aspekty bezpieczeństwa związane z Twoją witryną. Ogólnie rzecz biorąc, nasze pierwsze wrażenie dotyczące Wordfence było wspaniałe.
Dodatkowo Wordfence daje przydatne zalecenia dotyczące konfiguracji. Dokumentacja, do której można uzyskać dostęp z podpowiedzi na pulpicie nawigacyjnym, jest wysoce kontekstowa. Jasno określa, co robi każda funkcja i dlaczego, a także jak ustawić ją optymalnie, aby działała w Twojej witrynie. Ponownie warto zauważyć, że używany język jest przystępny.
iThemes: Dodatki
Po przejrzeniu krytycznych aspektów bezpieczeństwa i stwierdzeniu, że brakuje iThemes, ta sekcja wydaje się prawie śmieszna.
iThemes wypchał wtyczkę wieloma funkcjami, które mają niewielki lub żaden wpływ na bezpieczeństwo. Przykład: funkcja IP białej listy. Adresy IP naszych urządzeń zmieniają się cały czas, więc nie ma gwarancji, że określone osoby zostaną wpuszczone na stronę, o co prawdopodobnie chodzi.
Istnieje również monitor zmian plików, który co 24 godziny wysyła raport na Twój adres e-mail. Raport zawiera listę wszystkich zmienionych plików. Nie na czym polegała zmiana, kto to zrobił ani kiedy dokładnie to się stało. Nie, tylko e-mail o treści: „Cześć! Wszystko to w Twojej witrynie różni się teraz od tego, co było wczoraj. Do widzenia!"
Kiedy już przezwyciężyliśmy naszą irytację, chcieliśmy przyznać, że iThemes ma dobry system zarządzania hasłami. Możesz wymuszać silne hasła i nie zezwalać na używanie zhakowanych haseł w witrynie. Nie byliśmy w stanie przetestować tego jednoznacznie, ale znowu wyniki były niejednolite.
Jest jedna przydatna funkcja utwardzania: blokowanie wykonywania PHP w folderze uploads. Inne to bzdury.
Wordfence: Dodatki
Dodatki Wordfence są ściśle związane z bezpieczeństwem. Brak dodatkowych przydatnych funkcji, takich jak aktualizacje lub opcje zarządzania użytkownikami. Powiedziawszy to, istnieje wiele dodatków.
Po początkowej instalacji zobaczyliśmy sekcję powiadomień o aktualizacjach witryny. Na naszej stronie testowej pokazał nam, że 5 wtyczek wymaga aktualizacji.
Istnieje status Wordfence Central, który umożliwia zarządzanie wieloma witrynami z poziomu wp-admin każdej witryny. Ma to sens, jeśli masz kilka witryn na tym samym koncie, ale przestrzeń jest ograniczona i nie będzie działać w przypadku agencji z setkami witryn. Dobrze, że jest zewnętrzny pulpit nawigacyjny. Aby uzyskać dostęp do Wordfence Central, musisz założyć konto na stronie Wordfence. Naszym zdaniem nie ma sensu posiadanie centralnego pola na desce rozdzielczej witryny.
Dodaliśmy wszystkie witryny testowe do Wordfence Central i uzyskaliśmy widok na wszystkie z lotu ptaka. Nie jest to najlepszy układ dla ponad 20 witryn. Pomysł jest dobry, brakuje wykonania.
Następnie sprawdziliśmy sekcję Narzędzia. Jest tam panel dla ruchu na żywo, który na pierwszy rzut oka wydawał się być wersją Google Analytics, ale okazał się czymś więcej. Możesz ustawić dzienniki ruchu tak, aby obejmowały cały ruch lub tylko ruch związany z bezpieczeństwem. Dzienniki są świetne, ponieważ istnieje jasna legenda wskazująca, jaki rodzaj ruchu uzyskuje strona: człowiek, bot, ostrzeżenie, zablokowany.
Istnieje również wyszukiwanie Whois, na wypadek, gdybyś chciał zobaczyć, kto atakuje Twoją witrynę. Jest to w najlepszym razie fanaberia, ponieważ ta funkcja jest również łatwo dostępna online.
Ciekawą funkcją jest Diagnostyka. Zawiera całą masę informacji o witrynie, od właścicieli procesów po tabele bazy danych i nie tylko. To jest jak specyfikacja strony w jednym miejscu, wraz ze statusem każdej z tych rzeczy. Trudno sobie wyobrazić, jak zwykły użytkownik (nie będący deweloperem) wykorzystałby te informacje, ale zdecydowanie przydatne dla programisty.
Czego brakuje w iThemes Security i Wordfence
W iThemes brakuje skanera, środka czyszczącego i zapory. Also, it would be nice if it had functional brute force protection and activity log, and detected a vulnerability on occasion. One can hope.
Wordfence doesn't have bot protection nor an activity log. Other than that, it is a comprehensive and well-rounded security plugin.
Wordfence vs iThemes Security: Pricing
It is not worth buying iThemes Security, because its only worthwhile feature is two-factor authentication, which is available for free. Wordfence premium is available for $99 for the year, but the free version is strong enough on its own.
Wordfence's free plugin is really great, considering it is free. The premium licenses are at a max of $99 per site, and get progressively lower with the more licenses you purchase.
The real kicker is the site cleaning service which is a hefty $490 per site, and although they say unlimited pages in the features, additional charges may apply for sites above 10 GB—which, fair enough. They do have a malware removal guarantee for 1 year, but there are caveats in the small print. So read those carefully.
After reading this article, you know that iThemes isn't worth your money. Use it for two-factor authentication or get a dedicated plugin for that feature.
Better alternative to iThemes Security and Wordfence: MalCare
The best thing you can do for your website is to invest in a good security plugin. The plugin should scan, clean and protect your website from all manner of threats. During our testing series, only one plugin stood out: MalCare. It outshines iThemes in every way, and has a much better scanning, auto-cleaning, firewall, and notifications compared to Wordfence. It is a no-brainer.
MalCare's $99 Basic plan includes unlimited cleanups, which is equivalent to Wordfence's $99 plan and $490 per cleanup needed thereafter.
Wniosek
We hope this article helped you decide on a way forward for your website security. If you have any questions or thoughts, do drop us a line. We would love to hear from you!