Jetpack vs Wordfence: co jest lepsze?

Jetpack to wielofunkcyjna wtyczka administracyjna, która zawiera kopie zapasowe, bezpieczeństwo, wzrost i szybkość w jednej poręcznej wtyczce. Ponadto ma urok ze stajni Automattic, więc oczywiście ma znaczenie w domenie WordPress.

Naszym drugim rywalem jest Wordfence, prawdopodobnie najpopularniejsza obecnie wtyczka bezpieczeństwa WordPress. Są znani z podejścia do bezpieczeństwa, które nie bierze jeńców, i konsekwentnie rozwijają wspaniałe zasoby bezpieczeństwa.

Przetestowaliśmy 5 wtyczek bezpieczeństwa WordPress w serii testów, która trwała 1,5 miesiąca. Chcieliśmy dowiedzieć się, jak każda wtyczka radzi sobie ze złośliwym oprogramowaniem, atakami, lukami w zabezpieczeniach i nie tylko.

OCENA Być może lepiej jest zrobić jedną rzecz naprawdę dobrze niż robić wiele, ale być przeciętnym. Między Jetpack vs Wordfence , Ponieważ niezależnie od rodowodu WordPress, Jetpack przegrał w tej zaciętej bitwie. Wordfence to świetna darmowa wtyczka bezpieczeństwa, z pewnymi wadami, ale wciąż lepsza opcja dla Jetpack.

Nasz wybór

Główną ideą stojącą za tą serią testów było znalezienie najlepszej wtyczki zabezpieczającej WordPress dla Twojej witryny. W tym celu wzięliśmy 5 najlepszych wtyczek, 3 witryny testowe i poświęciliśmy 45 dni na poznanie wszystkich zalet i wad każdej wtyczki.

Nasze 3 witryny testowe zostały utworzone w następujący sposób: prosty blog z około 500 postami, obrazami i komentarzami jako kontrolą; strona z podatnymi wtyczkami i motywami; i wreszcie strona pełna różnych typów złośliwego oprogramowania. Poddaliśmy wtyczki atakom typu SQL injection, RCE i brute force, jednocześnie przeciwstawiając je złośliwemu oprogramowaniu przekierowującemu, hakerowi farmaceutycznemu, złośliwemu oprogramowaniu zawierającemu japońskie słowa kluczowe i wielu innym.

Każda wtyczka ma inny zestaw funkcji, ale dla bezpieczeństwa WordPressa najważniejszymi z nich są skaner, narzędzie czyszczące i zapora. Są też inne rzeczy, które warto mieć, ale te są krytyczne.

Pod koniec 45 dni wyłonił się jeden wyraźny zwycięzca: MalCare. Dzięki zaawansowanemu skanerowi, automatycznemu usuwaniu złośliwego oprogramowania i zaawansowanej zaporze ogniowej było to nie do pokonania. Szukasz najlepszej wtyczki zabezpieczającej dla swojej witryny WordPress? Wybierz MalCare.

Podsumowanie porównania Jetpack vs Wordfence

Jeśli zastanawiałeś się, Jetpack vs Wordfence – który wybrać? Wybierz Wordfence. Jest o rząd wielkości lepszy jako wtyczka bezpieczeństwa.

Podoba nam się kompleksowe podejście Jetpack do administrowania WordPressem, ale to naprawdę wymaga pobicia na froncie bezpieczeństwa, zwłaszcza w porównaniu z Wordfence. Nie oznacza to, że Wordfence nie ma własnych problemów; tylko, że jest kontekstowo lepszy niż Jetpack.

Ostatecznie ani Jetpack, ani Wordfence nie są najlepszą opcją dla bezpieczeństwa Twojej witryny. Bardziej szczegółowo omówimy go w dalszej części artykułu, ale jeśli chcesz przejść do sedna, pobierz najlepszą w swojej klasie wtyczkę bezpieczeństwa: MalCare.

Jetpack w pigułce

Skaner złośliwego oprogramowania Jetpack jest w najlepszym razie przeciętny. Będzie w stanie wykryć niektóre złośliwe oprogramowanie w Twojej witrynie. Jednak nie ma opcji czyszczenia ani zapory. Chociaż istnieją pewne przyzwoite funkcje bezpieczeństwa, mają one mniejszy wpływ na bezpieczeństwo witryny. Ogólnie rzecz biorąc, Jetpack nie jest dobrą opcją.

W przypadku każdej wtyczki zabezpieczającej z góry szukamy 3 ważnych czynników: skanera złośliwego oprogramowania, narzędzia do usuwania złośliwego oprogramowania i zapory sieciowej. Jetpack już oblał 2 z 3 z tej listy, więc zaczęliśmy od sprawdzenia skanera złośliwego oprogramowania.

Jetpack był drugą wtyczką, którą testowaliśmy, po iThemes, i szczerze mówiąc, byliśmy szczęśliwi, że coś działa tak, jak powinno. Oczywiście nie jest to dobre podejście, gdy staramy się być obiektywni, więc rzuciliśmy dużo złośliwego oprogramowania na Jetpack, aby zobaczyć, jak zareaguje. Skaner złośliwego oprogramowania wykrył około 30% zainfekowanych plików i folderów na naszej zhakowanej witrynie WordPress.

Kiedy wypróbowaliśmy inne funkcje, takie jak ochrona przed brutalną siłą, działały one niespójnie. Czasami ataki były zatrzymywane, a innym razem nie byliśmy w stanie wywołać żadnej odpowiedzi. Wtyczka również nie wykryła wszystkich luk w witrynie. Te bardziej niejasne pozostały niewykryte, mimo że zawierały poważne luki w zabezpieczeniach. Nasza strona testowa miała tylko kilka słabych motywów i wtyczek, więc wynik 2 z 3 nie był zły. Jednak w przypadku większej witryny z większą ilością oprogramowania ten stosunek z pewnością będzie znacznie gorszy.

Nie było jednak tak źle. Dziennik aktywności Jetpacka jest naprawdę świetny i przyjazny dla użytkownika. Żadnego niejasnego żargonu technicznego, którego ludzie nie mogą łatwo zrozumieć. Podobała nam się również zintegrowana funkcja tworzenia kopii zapasowych, ponieważ kopie zapasowe mogą być ostatnim ratunkiem w przypadku zainfekowanej witryny. Nie byliśmy jednak w stanie przetestować kopii zapasowych, ponieważ było to poza zakresem tego eksperymentu.

Ogólnie rzecz biorąc, Jetpack to wtyczka bezpieczeństwa poniżej przeciętnej. Spodziewalibyśmy się o wiele więcej, biorąc pod uwagę ogromną cenę, ale wciąż nie jest to dla nas dno lufy. Ten wątpliwy zaszczyt należy do iThemes.

Wordfence w pigułce

Po MalCare, Wordfence jest najlepszą darmową wtyczką bezpieczeństwa, jaką testowaliśmy. Jeśli masz zerowy budżet na bezpieczeństwo witryny, Wordfence zapewni Ci najlepszą ochronę witryny. Skaner wykrywa większość złośliwego oprogramowania opartego na plikach, a automatyczna naprawa usunie większość z nich. Zapora jest jedną z najbardziej aktualnych dostępnych, ale jeśli zdecydujesz się na darmową wersję, powinieneś mieć świadomość, że nie otrzymuje aktualizacji w czasie rzeczywistym. Wordfence ma również usługę usuwania złośliwego oprogramowania, ale jest droga.

Zostawiliśmy Wordfence na koniec naszej serii testów, ponieważ byliśmy bardzo podekscytowani wypróbowaniem uznanych, ciężkich wtyczek zabezpieczających WordPress. Z wyjątkiem MalCare, inne wtyczki były w najlepszym razie rozczarowujące, w najgorszym przerażające.

Skaner Wordfence wykrył wszystkie złośliwe oprogramowanie oparte na plikach w głównych plikach WordPress, w katalogu głównym witryny oraz w plikach i folderach wtyczek i motywów. Z pozoru może to wyglądać na świetny skaner i pod wieloma względami jest zdecydowanie ponadprzeciętne. Jednak Wordfence nie wykrył złośliwego oprogramowania, które było ukryte we wtyczkach i motywach premium, a w niektórych przypadkach również w bazie danych.

Główną wadą skanera, poza tym, że nie jest on w stanie sprawdzić każdego zakamarka Twojej witryny, jest to, że nasze strony internetowe straciły na wydajności. Wordfence wykorzystuje zasoby serwera do robienia czegokolwiek na stronie. To nie jest dobrze.

W tym momencie Wordfence jest nadal lepszy niż wszystkie inne wtyczki bezpieczeństwa, które testowaliśmy. Nasza opinia wzrosła o kilka stopni, gdy wypróbowaliśmy funkcję automatycznej naprawy i usunęła ona wszystkie wykryte złośliwe oprogramowanie. Oczywiście nie był w stanie usunąć złośliwego oprogramowania, którego nie wykrył, ale automatyczne usuwanie złośliwego oprogramowania jest znacznie szybsze niż czekanie, aż ekspert ds. bezpieczeństwa wyczyści witrynę. Ponownie, jest to o wiele lepsze niż inne wtyczki, które testowaliśmy, z wyjątkiem MalCare.

Na koniec wypróbowaliśmy zaporę ogniową, która skutecznie blokowała kilka exploitów, takich jak wstrzykiwanie SQL, ataki XSS i zdalne wstrzykiwanie kodu.

Wordfence to świetna darmowa wtyczka bezpieczeństwa, ale jest podatna na fałszywe alarmy i wysyłanie alertów o każdej drobnej rzeczy, którą blokuje zapora. Po kilku dniach nie mogliśmy znaleźć sygnału z powodu całego hałasu. Szczerze mówiąc, zbyt wiele alertów jest tak samo złych, jak brak alertów, ponieważ prowadzą do tego samego wyniku: braku działań.

Po sprawdzeniu 3 głównych funkcji bezpieczeństwa wypróbowaliśmy uwierzytelnianie dwuskładnikowe i ochronę przed brutalną siłą. Obie działają naprawdę dobrze. Wordfence wykrył również wszystkie luki w naszych witrynach, nawet jedną w mało znanej wtyczce, której większość innych wtyczek nie wykryła.

To, co bardzo nam się podobało w Wordfence, to wspaniałe wrażenia użytkownika. Bez zbędnego, przerażającego żargonu i skomplikowanych terminów dotyczących bezpieczeństwa na pulpicie nawigacyjnym. Prosty język z jasnymi zaleceniami dla początkujących administratorów.

Byliśmy zaskoczeni, że Wordfence nie posiada dziennika aktywności, z wyjątkiem surowego dziennika najwyraźniej przeznaczonego dla programistów Wordfence. Nie chroni również stron internetowych przed złymi botami, co jest dziwne.

Podsumowując, Wordfence jest wysoce zalecane dla stron internetowych, które nie mają budżetu na bezpieczeństwo. Jest to najlepsza darmowa opcja, ale mimo to nie zapewnia pełnego bezpieczeństwa. Aby zachować spokój ducha, zamiast tego powinieneś wybrać MalCare.

Jak wybrać najlepszą wtyczkę bezpieczeństwa

Ze wszystkimi błędnymi poradami ekspertów dostępnymi online, zabezpieczenia WordPressa mogą być w najlepszym razie czarną skrzynką. Wielu administratorów chce mieć pewność, że ich witryny są chronione, ale nie rozumie szczegółów i dlatego nie wie, jak wybrać najlepszą opcję dla swoich witryn.

W ramach tej serii testów chcieliśmy się upewnić, że wszystkie nasze dane przedstawiamy w sposób bezstronny i przystępny. Oznaczało to, że musieliśmy wyjaśnić, jak i dlaczego doszliśmy do naszych wniosków.

Wtyczki bezpieczeństwa mogą mieć mnóstwo funkcji, a czasami te funkcje służą do ukrywania nieefektywności, która kryje się pod tym całym szumem. Jeśli ogromna lista funkcji nie jest dobrym wskaźnikiem do wyboru wtyczki, co to jest? Cóż, te czynniki:

• Podstawowe funkcje bezpieczeństwa
  • Skanowanie złośliwego oprogramowania
  • Czyszczenie złośliwego oprogramowania
  • Zapora
• Warto mieć zabezpieczenia
  • Wykrywanie luk
  • Ochrona logowania brute force
  • Dziennik aktywności
  • Uwierzytelnianie dwuskładnikowe
• Potencjalne problemy
  • Wpływ na zasoby serwera

Jak widać, jest to bardzo krótka lista. Ale są to czynniki, które uniemożliwią hakerom wykorzystanie Twojej witryny, a złośliwe oprogramowanie nie podniesie Twojej witryny i zapewni Ci spokój. Ze wszystkich przetestowanych przez nas wtyczek żadna nie była dla nas odpowiednia.

W rzeczywistości jedyną wtyczką, która asystuje na tej liście, jest MalCare. Dzięki MalCare Twoja witryna ma doskonały skaner złośliwego oprogramowania, narzędzie do usuwania złośliwego oprogramowania, które automatycznie usuwa złośliwe oprogramowanie bez uszkadzania witryny, a także zaporę sieciową, która uniemożliwia hakerom wykorzystanie luk w zabezpieczeniach. Absolutnie nie możesz się pomylić z MalCare.

Worfence vs Jetpack Security: bezpośrednie porównanie funkcji

Aby uczciwie i zwięźle przedstawić wyniki naszego procesu testowania, uporządkowaliśmy dane według funkcji. Każda wtyczka ma swoje zalety i wady, a w zależności od tego, czego szukasz, ta sekcja pomoże ci ocenić zalety tej konkretnej funkcji zarówno Wordfence, jak i Jetpack.

Uporządkowaliśmy listę od najważniejszych do najmniej i podsumowaliśmy nasze doświadczenia z ustawieniami, instalacją i innymi aspektami wtyczek.

Jeśli jednak wolisz pominąć konkluzję, zalecamy zainstalowanie MalCare na swojej stronie WordPress i zadzwonienie do niej na jeden dzień.

Skanowanie złośliwego oprogramowania

Skaner Wordfence wykrył wszystkie złośliwe oprogramowanie oparte na plikach w podstawowych plikach i folderach WordPress oraz bezpłatnych wtyczkach i motywach. Nie mógł jednak wykryć złośliwego oprogramowania w naszej bazie danych witryn ani niektórych wtyczek i motywów premium. Jetpack znalazł około 30% złośliwego oprogramowania w naszej witrynie.

Po aktywacji Wordfence od razu dzieją się dwie rzeczy: rozpoczyna się pierwsze skanowanie witryny, a zapora przechodzi w tryb uczenia się. Zaporę sieciową omówimy bardziej szczegółowo później. Widzieliśmy, że skaner działał i wkrótce osiągnął 60%. A potem przez jakiś czas tam pozostał. Ok, stwierdziliśmy, że potrzebuje więcej czasu na uruchomienie, więc zostawiliśmy go na kilka godzin i wróciliśmy, by stwierdzić, że wciąż ma 60%.

Tak się składa, że ​​60% nie jest paskiem postępu skanera, ale wskaźnikiem wydajności darmowego skanera. Aby uzyskać 100%, musisz uaktualnić do wersji pro. To był pierwszy i ostatni przypadek dysonansu poznawczego z Wordfence, więc odpuściliśmy.

Ustawiliśmy Wordfence, aby ponownie przeskanował witrynę i byliśmy mile zaskoczeni, widząc, że zakończyła się naprawdę szybko. Dokładnie 37 sekund dla naszej maleńkiej witryny wyładowanej złośliwym oprogramowaniem. Skaner wykrył wszystkie złośliwe oprogramowanie w podstawowych plikach WordPress oraz w bezpłatnych wtyczkach i motywach, ale nie w tych premium ani w bazie danych. Tak więc, mimo że Wordfence jest świetną alternatywą dla prawie wszystkich naszych wtyczek (oczywiście z wyjątkiem MalCare), skaner jest tylko ponadprzeciętny.

Naszym wnioskiem jest to, że baza danych złośliwego oprogramowania Wordfence jest obszerna i stosunkowo aktualna. Jeśli jednak zespół Wordfence nie natrafił na złośliwe oprogramowanie, nie będzie go w bazie danych. Dlatego nie może chronić stron internetowych przed nowszymi zagrożeniami.

Kolejną wadą skanera jest to, że generuje wiele fałszywych alarmów. Fałszywe alarmy są tak samo dobre, jak brak alertów, ponieważ prowadzą do braku zaufania do alertów i samozadowolenia.

Jetpack zawiera skaner złośliwego oprogramowania w ramach swoich płatnych planów. Chociaż nie jest to łatka na Wordfence, zauważyliśmy, że Jetpack wykrył pewne złośliwe oprogramowanie. Odsetek ten jest jednak znacznie mniejszy niż w przypadku Wordfence, osiągając około 30-50% skuteczności, w porównaniu do 70-80% skuteczności Wordfence.

Czyszczenie złośliwego oprogramowania

Jetpack nie ma czyszczenia złośliwego oprogramowania, automatycznego ani w żaden inny sposób. Wordfence ma opcję naprawy zainfekowanych plików, ale tylko złośliwe oprogramowanie, które faktycznie wykrywa. Z drugiej strony Wordfence oferuje usługę usuwania złośliwego oprogramowania premium, która kosztuje 490 USD za witrynę.

Po skanowaniu Wordfence wyświetla listę zhakowanych plików z zaleceniem ich wyczyszczenia przez profesjonalnych ekspertów od WordPressa. Alternatywnie możesz spróbować użyć dwóch opcji automatycznego czyszczenia na pulpicie nawigacyjnym: usuń wszystkie usuwalne pliki i napraw wszystkie pliki, które można naprawić.

W naszych testach opcja usuwania skutecznie pozbyła się 1 pliku bez błędów, pozostawiając wiele innych plików nadal zhakowanych. Następnie wypróbowałem opcję naprawy, która naprawiła wszystkie pliki pokazane na liście. To świetnie, ponieważ oznaczało to, że nie musieliśmy skakać do usuwania złośliwego oprogramowania osobno.

Naszym jedynym problemem w tym całym odcinku było to, że pojawiły się przerażające ostrzeżenia, że ​​nasza witryna może się zepsuć, jeśli użyjemy opcji usuwania lub naprawy. Upewniliśmy się jednak, że mamy kopie zapasowe i zasilamy. Złośliwe oprogramowanie, które znaleźliśmy, nadal musiało zostać usunięte, więc ostrzeżenia skłoniły nas do krótkiej debaty, czy życie ze złośliwym oprogramowaniem jest lepsze niż zepsucie witryny. Nie, wcale tak nie jest.

Ponieważ inne wtyczki bezpieczeństwa, które testowaliśmy, nie osiągnęły nawet tego punktu pomyślnie podczas uroczystości, nie zawracaliśmy sobie głowy sprawdzaniem ich pod kątem innych rodzajów złośliwego oprogramowania. Ponieważ jednak Wordfence szybko poradził sobie ze złośliwym oprogramowaniem opartym na plikach, dodaliśmy kilka zakrzywionych kulek do naszego repertuaru testowego.

Po pierwsze, część zhakowanego szkodliwego oprogramowania przekierowującego trafiła do naszej bazy danych witryny. Następnie dodaliśmy również kilka japońskich stron ze spamem wykorzystującym słowa kluczowe. Ponadto wstawiliśmy złośliwe skrypty do wtyczek premium i zainstalowaliśmy zerową wtyczkę na stronach testowych. Założyliśmy, że spowoduje to zadziałanie skanera, i absolutnie tak się stało. Skaner nie zarejestrował żadnego złośliwego oprogramowania w folderach innych niż podstawowe, premium.

Baza danych złośliwego oprogramowania Wordfence jest obszerna, ale wydaje się, że w dużym stopniu opiera się na tym, co ich zespół widział wcześniej. Wtedy działa automatyczna naprawa. Wordfence nie jest w stanie wykryć ukrytego złośliwego oprogramowania ani złośliwego oprogramowania we wtyczkach i motywach premium. Wynik netto jest taki, że środek czyszczący jest tak naprawdę tylko tak skuteczny jak skaner, który sam w sobie jest skuteczny w około 70-80%.

Następnym krokiem jest wybranie usługi usuwania złośliwego oprogramowania Wordfence, która twierdzi, że usuwa wszystkie wystąpienia złośliwego oprogramowania, backdoory, a ponadto ocenia witrynę pod kątem luk w zabezpieczeniach i luk w zabezpieczeniach. W ramach pakietu Wordfence pomoże Ci usunąć Twoją witrynę z czarnych list, takich jak na przykład Google. Istnieje roczna gwarancja na sprzątanie, pod warunkiem, że będziesz dokładnie przestrzegać listy kontrolnej po włamaniu.

Należy pamiętać, że nie jesteśmy w stanie komentować skuteczności usługi usuwania złośliwego oprogramowania, ponieważ jej nie wypróbowaliśmy.

Jetpack zajmuje się trochę tematem czyszczenia złośliwego oprogramowania na swojej stronie internetowej. To samo w sobie jest martwym darem, że nie mogą tego zrobić. Czyszczenie złośliwego oprogramowania jest prawdopodobnie najbardziej krytyczną i najtrudniejszą częścią bezpieczeństwa WordPress, ponieważ nieumiejętne usuwanie może uszkodzić witrynę nie do naprawienia. Jeśli wtyczka może bez obaw usuwać złośliwe oprogramowanie, na pewno o tym porozmawiają.

Nasze oczekiwania wobec Jetpacka nie były wysokie, zwłaszcza po tym, jak zobaczyliśmy, że skaner nie może oflagować wszystkich szkodliwych programów. Byliśmy usprawiedliwieni, ponieważ nawet ze złośliwym oprogramowaniem, które oznaczył, Jetpack nie był w stanie nic z nim zrobić. Wyniki skanowania pokazują rzeczywisty kod, który został oznaczony jako złośliwe oprogramowanie, a sugestią dotyczącą każdego tagu jest skorzystanie z pomocy eksperta, aby go usunął. Nie jest więc wyczerpująca ani pomocna.

Zapora

Jetpack nie ma zapory. Zapora sieciowa Wordfence skutecznie chroni strony internetowe przed większością poważnych i powszechnych ataków. Jednym z problemów jest to, że darmowa wersja otrzymuje aktualizacje po wersji premium.

Zapora sieciowa jest integralną częścią bezpieczeństwa WordPress, ponieważ powstrzymuje ataki WordPress i złośliwy ruch przed dotarciem do Twojej witryny. Jeśli złoczyńcy nie mogą dostać się do Twojej witryny, nie mogą wykorzystywać luk w zabezpieczeniach, a zatem nie mogą instalować złośliwego oprogramowania. Pomyśl o zaporze jako o obwodzie bezpieczeństwa wokół Twojej witryny. Jetpack nie ma zapory, więc ta sekcja tak naprawdę dotyczy tylko Wordfence.

Zapora Wordfence przechodzi bezpośrednio w tryb uczenia się po pierwszej instalacji wtyczki. Aby uzyskać najlepsze wyniki, zaleca się pozostawienie trybu nauki na co najmniej tydzień. To prawda, ponieważ zapory sieciowe wymagają skutecznego blokowania ruchu na żywo w przyszłości. W naszym przypadku nasze witryny testowe nie generują żadnego ruchu, więc natychmiast wyłączyliśmy tryb uczenia się i zabraliśmy się do testowania.

Zarówno darmowa, jak i premium wersja zapory Wordfence skutecznie powstrzymała ataki. Próbowaliśmy iniekcji SQL, ataków typu cross-site scripting, fałszowania żądań między witrynami i zdalnego wstrzykiwania kodu. Nie mogliśmy wykorzystać żadnej z luk w witrynie.

Było jednak jedno pytanie. Pulpit nawigacyjny Wordfence pokazuje skuteczność darmowej zapory na poziomie 35%, w przeciwieństwie do proponowanego 100% zapory premium. Jaka jest więc różnica między wersją bezpłatną a premium?

Różnica jest dwojaka: pierwsza to ładowanie zapory sieciowej w Twojej witrynie; a drugim jest, gdy zapora otrzymuje aktualizacje.

Oba te czynniki są nietrywialnymi różnicami i mają kluczowe znaczenie dla tego, jak ta sama wtyczka może mieć 65% różnicę skuteczności między ich wersją bezpłatną i premium. Przeanalizujemy obie różnice, aby wyjaśnić, co się tutaj dzieje.

Po pierwsze, Twoja witryna ładuje się w kolejności. WordPress jest zazwyczaj na pierwszym miejscu, z podstawowymi plikami i folderami, następnie wtyczkami i motywami oraz bazą danych. Jest to znane jako kolejność ładowania, a najważniejsze pliki zawsze ładują się jako pierwsze, ponieważ mają kluczowe znaczenie dla reszty witryny. Na przykład bez wp-config nie można połączyć się z bazą danych. To jest mały przykład, ale pokazuje, jak ważna jest kolejność ładowania w przypadku bezpieczeństwa.

Bezpłatna zapora Wordfence ładuje się jak zwykła wtyczka, co oznacza, że ​​ładuje się po WordPressie, wszystkich podstawowych plikach i być może obok innych wtyczek. Oznacza to, że zapora nie może utrzymać całego złośliwego ruchu z dala od witryny, ale tylko jego części.

Po drugie, zapory ogniowe są skuteczne dzięki zawartym w nich regułom filtrowania złego ruchu. Zasady te należy regularnie aktualizować, aby uwzględnić zmieniające się zagrożenia.

Na przykład zapora sieciowa MalCare uczy się ze wszystkich chronionych stron internetowych. Jeśli więc zapora blokuje zagrożenie w kilku witrynach internetowych, dowiaduje się, że powinna istnieć reguła dla tego zagrożenia, i aktualizuje reguły zapory we wszystkich innych ponad 100 000 witrynach, na których jest zainstalowana — nawet zanim zagrożenie trafi na te witryny. . To jest siła prewencyjnej ochrony.

Tak więc, chociaż Wordfence ma najbardziej zaktualizowaną zaporę ogniową, użytkownicy bezpłatnej zapory otrzymują aktualizacje później niż ich odpowiedniki premium. Gdyby było jakieś wskazanie długości opóźnienia, bylibyśmy w stanie powiedzieć, ile jest to wyliczone ryzyko, bo nawet małe okienko jest problematyczne. Jednak tak nie jest, więc możemy tylko spekulować, że jest to znaczne. Kto wie.

Wykrywanie luk

Wordfence wycelował w wszystkie luki w naszych testowych witrynach, podczas gdy Jetpack całkowicie pominął niektóre z mniej znanych.

Podczas wstępnego skanowania Wordfence ostrzegał nas o wszystkich lukach, oznaczając je jako zagrożenia krytyczne. Zawarliśmy wiele niejasnych wtyczek i motywów, ponieważ podczas skanowania potknęły się one o inne wtyczki bezpieczeństwa. Niektóre z nich mają mniej niż 200 użytkowników i są bardzo niszowe. Więc pełne punkty do Wordfence na tym froncie.

Dodatkowym punktem, który naprawdę nam się spodobał, jest to, że WordFence oznaczył nieaktualne wtyczki i motywy jako średnie zagrożenia. Jest to naprawdę ważne, ponieważ luki w przestarzałym oprogramowaniu są główną przyczyną udanych ataków na witryny WordPress.

Co ciekawe, nie można naprawić luk z pulpitu WordFence. Kilka pomniejszych wtyczek zabezpieczających dodaje to jako dodatkową funkcję, jednak w swej istocie „funkcja” jedynie aktualizuje przestarzałe oprogramowanie — funkcja, która już istnieje na pulpicie nawigacyjnym wp-admin. Nie ma prawdziwego powodu, aby to powielać, chyba że wtyczka zarządzała aktualizacjami, tak jak robi to MalCare.

Jetpack rzucił się na nas i całkowicie przeoczył niejasne przestarzałe oprogramowanie. Nie aż tak zaskakujące, ale jednak rozczarowujące.

Ochrona logowania brute force

Wordfence świetnie chroni stronę logowania przed atakami typu brute force. Jetpack dodaje captcha do wp-login, gdy występuje kilka błędów logowania, ale nie blokuje adresu IP nawet tymczasowo.

Dla przypomnienia, blokowanie adresów IP to nieprecyzyjna funkcja na początek. Dlaczego więc zwracamy uwagę na nieadekwatność Jetpacka w tym zakresie? Głównie dlatego, że mają tak wiele ustawień przeznaczonych do umieszczania adresów IP na białej liście, do tego stopnia, że ​​zdaliśmy sobie sprawę, że grozi nam bezpośrednie niebezpieczeństwo zablokowania się. Ale nic. Jeśli masz zamiar tak dużo mówić o jakiejkolwiek funkcji, musisz mieć dobre kontynuacje. To wszystko.

Wielokrotnie wymuszaliśmy brutalnie stronę logowania, znacznie przekraczając ustalony limit. Jedyną różnicą, jaką zauważyliśmy, była numeryczna captcha, której wcześniej nie było. Był pozbawiony jakiegokolwiek brandingu, więc wyjdziemy na kończynę i założymy, że to był plecak odrzutowy.

Ogólnie rzecz biorąc, captcha jest eleganckim, ale niewystarczającym rozwiązaniem do ataków typu brute force na stronę logowania. Ataki typu „brute force” mogą przytłoczyć witrynę, wykorzystując zasoby serwera, dlatego należy trzymać je z dala od czegoś więcej niż tylko captcha.

Z drugiej strony Wordfence działał jak mistrz. Jesteśmy nieco przerażeni ogromną liczbą ustawień dla każdej wtyczki i może to czasami oznaczać, że wtyczka nie działa, więc odświeżenie było zobaczyć tylko kilka opcji.

Chociaż ochrona przed brutalną siłą jest domyślnie włączona, możesz dostosować ustawienia w sekcji zapory. Istnieją opcje ustawienia liczby nieudanych prób logowania, które prowadzą do tymczasowej blokady, a nawet czasu trwania blokady. Nieuchronnie widzimy opcję listy dozwolonych, mimo że wiemy, że adresy IP urządzeń są dynamiczne, więc jest to w najlepszym przypadku orientacyjne, w najgorszym bezcelowe.

Znajdziesz tu również opcje silnych haseł. Chociaż są one świetne, w sekcji zapory sieciowej ochrona przed brutalną siłą nie jest logicznym miejscem na posiadanie tych ustawień. Tak, oba są związane z bezpieczeństwem logowania, ale to nadal wymaga skoku, aby się połączyć. Wątpimy, czy ludzie znajdą te bardzo przydatne ustawienia w tym odległym miejscu.

Dziennik aktywności

Bardzo podobał nam się dziennik aktywności Jetpack, ponieważ jest to jedna z najlepszych wersji, jakie widzieliśmy. Co zaskakujące, Wordfence nie ma dziennika aktywności.

Jesteśmy naprawdę zaskoczeni, że Wordfence nie posiada dziennika aktywności, ponieważ jest to naprawdę ważna część bezpieczeństwa witryny. Hakerzy wykorzystują niewystarczające logowanie do atakowania witryn. Na pewno chcesz mieć wiarygodny dziennik aktywności, który zawiera prawidłowe informacje o wydarzeniach w Twojej witrynie.

W Wordfence istnieje możliwość włączenia debugowania na wypadek, gdyby coś poszło nie tak. Opcja jest ukryta głęboko w sekcji Diagnostyka w obszarze Narzędzia. Ma to na celu zwiększenie szczegółowości dzienników zapory. Znaleźliśmy również pełny dziennik aktywności specjalnie dla zdarzeń Wordfence w sekcji Skanowanie, ale to nie jest to, co rozumiemy przez dziennik aktywności. Wygląda również jak surowy dziennik przeznaczony dla programistów Wordfence.

Funkcja dziennika aktywności Jetpack jest doskonała i bardzo ułatwia zrozumienie, co wydarzyło się na stronie. Jest dostępny do podglądu w bezpłatnych planach, ale wymaga subskrypcji premium, aby naprawdę mógł być użyteczny. Dzienniki zawierają wszystkie informacje o aktywności użytkowników, wtyczek i motywów, z dodatkową funkcją alertów o rzeczach wymagających uwagi, takich jak złośliwe oprogramowanie lub luki w zabezpieczeniach.

Naszym zastrzeżeniem jest to, że dane dziennika aktywności są dostępne tylko przez 30 dni. Wolelibyśmy mieć znacznie dłuższe ramy czasowe, aby było to naprawdę przydatne.

Uwierzytelnianie dwuskładnikowe

Wordfence ma świetne uwierzytelnianie dwuskładnikowe, które działa po wyjęciu z pudełka. Jetpack nie ma tej funkcji.

Uwierzytelnianie dwuskładnikowe nie jest wyłącznikiem dla wtyczki bezpieczeństwa, ponieważ dostępne są dedykowane wtyczki dla tej funkcjonalności. Więc nie schodzimy zbyt mocno na Jetpack za to, że go nie uwzględniliśmy.

W Wordfence uwierzytelnianie dwuskładnikowe działa idealnie. Co najważniejsze, jest prosty w użyciu, bez całej masy mylących opcji. W rzeczywistości była to funkcja premium, która jest teraz dostępna również dla bezpłatnych użytkowników.

Wykorzystanie zasobów serwera

Jetpack użyje niektórych zasobów serwera do swoich skanowań, ale nie wpłynie w zauważalny sposób na wydajność. Z drugiej strony Wordfence jest zakazane przez niektórych hostów internetowych ze względu na to, jak bardzo obciąża zasoby serwera.

Zdaliśmy sobie sprawę, że Jetpack jest lekki pod względem bezpieczeństwa i ma podobny wpływ na zasoby serwera. Wystąpił zauważalny spadek wykorzystania dysku, ale nie zauważyliśmy zbyt dużego wpływu na wydajność witryny.

Wordfence był wampirem zasobów serwerów. To prawda, że ​​wielokrotnie skanowaliśmy witrynę i przeprowadziliśmy szereg testów na złośliwe oprogramowanie, ale nie spodziewaliśmy się, że użycie dysku wzrośnie 2-3-krotnie. Szczerze mówiąc, nasze strony testowe są małe, więc kara nie była poważna. Ale wzdrygamy się na myśl, co by się stało w witrynie e-commerce lub takiej, która zawiera dużo treści. Ojej.

Po obejrzeniu wielu wiadomości na swoim pulpicie nawigacyjnym można śmiało stwierdzić, że Wordfence wykorzystuje zasoby witryny do wszystkiego: od skanowania po czyszczenie i wszystko pomiędzy. Kłopot polega na tym, że wydajność i bezpieczeństwo nie powinny być przeciwstawiane sobie w jakimś kompromisie. Nie powinieneś iść na kompromis.

Alerty

Jetpack od czasu do czasu wysyła ci dziwny alert, podczas gdy Wordfence może zatopić twoją skrzynkę odbiorczą w ciągu godziny.

Naszym zdaniem alerty muszą być zrównoważone. Chcesz jak najszybciej wiedzieć, czy coś przybrało kształt gruszki z Twoją witryną. Ale nie potrzebujesz alertu, jeśli ktoś kichnie w pobliżu Twojej witryny. Równowaga jest kluczem.

Wordfence sromotnie zawodzi w tym dziale. Alerty z wyników skanowania, fałszywe alarmy, blokady zapory i wiele innych są zbyt liczne, aby je zliczyć. Szczerze mówiąc, dobra zapora powinna bezpośrednio blokować ataki, bez tworzenia za każdym razem alertu.

W tym przypadku Jetpack radzi sobie naprawdę dobrze. Otrzymujesz powiadomienia tylko o ważnych sprawach, takich jak wykryte luki w zabezpieczeniach lub wykryte złośliwe oprogramowanie; to znaczy rzeczy, które wymagają Twojej natychmiastowej uwagi.

Instalacja, konfiguracja i użyteczność

Wordfence był najłatwiejszą instalacją w historii. Nie mogę powiedzieć tego samego o Jetpack.

Wordfence było pod tym względem świetne. Zacznij korzystać z wtyczki, która wskaże Ci drogę do przodu. Żadnych skomplikowanych konfiguracji. Użyty język jest prosty i przystępny.

Szczególnie podobały nam się krótkie instrukcje, gdy po raz pierwszy odwiedzasz każdą sekcję na pulpicie nawigacyjnym. Jasne wyjaśnienia są łatwe do zrozumienia i nie ma w nich żadnego technicznego żarłoku, który zwykle towarzyszy tym rzeczom.

Ogólny projekt jest bardzo intuicyjny i zapewnia widok z lotu ptaka na bezpieczeństwo Twojej witryny. Jeśli coś wydaje się niejasne, kliknij podpowiedź i przejdź do ich doskonałej dokumentacji.

Jeśli Wordfence było łatwe, Jetpack był zaskakująco trudny. Instalacja mocno opiera się na potrzebie aktualizacji. Musisz nawet wybrać plan, darmowy lub inny, aby w ogóle kontynuować. Mogło być znacznie lepiej niż jest.

Plecak odrzutowy: Dodatki

Dobrą rzeczą w Jetpack jest to, że łączy wiele zadań administracyjnych WordPress w jedną wtyczkę. Ma kopie zapasowe, o których wiemy, że są bardzo ważne dla każdej witryny. Zewnętrzny pulpit nawigacyjny znajduje się na WordPress.com, więc jest bardzo znajomy w użyciu.

Powiedziawszy to wszystko, dalibyśmy Jetpackowi jednoznaczne kciuki jako wtyczkę bezpieczeństwa bez dodatków i furbelow, gdyby wykonał dobrą robotę chroniąc nasze strony internetowe. Tak się nie stało, ostatecznie żadne z tych dóbr, które warto mieć, nie ma żadnej wartości.

Wordfence: Dodatki

W Wordfence chodzi o bezpieczeństwo. We wtyczce nie ma nic, co byłoby nawet związane z bezpieczeństwem, jak wspomniana wcześniej możliwość aktualizacji wtyczek. Ale wciąż jest mnóstwo dodatków.

Zaczynając od instalacji, pierwszą rzeczą, jaką zauważyliśmy, jest sekcja powiadomień o aktualizacjach witryny. Na przykład pokazał nam, że 5 wtyczek naszej witryny testowej wymagało aktualizacji.

Idąc dalej, istnieje panel o nazwie Wordfence Central status. Dzięki temu możesz połączyć swoje konto z wieloma witrynami i zobaczyć stan wszystkich swoich witryn w wp-admin tej witryny. Jeśli brzmi to mylące, to dlatego, że jest mylące i wcale nie intuicyjne. Naprawdę nie chcesz zarządzać wieloma witrynami z pulpitu nawigacyjnego jednej witryny. Potrzebujesz do tego zewnętrznego dashboardu, którym tak naprawdę jest Wordfence Central. Ale kiepsko sobie z tym radzi.

Wordfence Central jest w porządku, ale nigdzie nie jest w pełni funkcjonalny. Być może rozpieszcza nas pulpit MalCare, który przypomina panel sterowania w samolocie dla stron internetowych. Wordfence Central wygląda nieporęcznie w przypadku ponad 10 lub 20 witryn i może być znacznie lepszy.

W sekcji Narzędzia znajduje się panel ruchu na żywo. Początkowo wygląda na to, że jest to skórka dla Google Analytics, ale okazało się, że to coś więcej. Rejestruje dzienniki ruchu w Twojej witrynie i możesz dokładnie zobaczyć, jaki rodzaj ruchu otrzymuje Twoja witryna: człowiek, bot, ostrzeżenie, zablokowany.

Pomyśleliśmy, że Diagnostyka była dość interesująca, ponieważ zawierała wiele informacji o witrynie; things like process owners and database tables, for instance. It is like a blueprint of the website, which the status of each of the specifications alongside. It doesn't look like something a normal user would need, but definitely could help out a developer.

What's missing from Jetpack and Wordfence

Ultimately, there is a lot missing from Jetpack: the scanner is below-average, there is no cleaner or firewall. The rest of the stuff is alright, but these three factors are non-negotiable for security.

Wordfence doesn't have bot protection, and surprisingly no activity log. Although it is a comprehensive security plugin, the drain on server resources and the tendency to cry wolf at the drop of a hat is off-putting.

Jetpack vs Wordfence: Pricing

Jetpack is exorbitant at $300 per year for the security suite. Wordfence premium is far more reasonable at $99 for the year, but the premium version isn't a significant upgrade on the free version.

Wordfence has a really great free version, and in our opinion the upgrade to premium doesn't add much more. The site license is still competitive at $99 a pop, and gets better with more websites.

The knockout punch from the Wordfence corner is their malware removal service. That will set you back a cool $490 per site cleanup. The 1-year guarantee is also subject to terms and conditions, so you shouldn't consider that a one-time expense.

Jetpack is really not worthy of that fancy price tag. There is little to say beyond that.

Better alternative to Jetpack and Wordfence: MalCare

The best investment you can make in your website is to invest in a good security plugin. By this point, you know what to look for in a security plugin. And you will find all those things and more in MalCare. MalCare scans, cleans and protects your website from exploits in a major way. It far outperforms all other plugins.

Plans for MalCare start at $99 for the Basic plan, which includes unlimited cleanups. Contrast that to Wordfence's $99 plan and $490 per cleanup needed thereafter and the choice becomes clear. MalCare all the way.

Wniosek

We really hope this article helps to clear any confusion with respect to WordPress security. It is admittedly hard to wade through all the misinformation available online to arrive at a good decision.

If you have any questions, please write to us. We would be happy to help, and thrilled to hear from you!