Sucuri Vs Jetpack: Która wtyczka bezpieczeństwa jest lepsza?

W dyskusji na temat bezpieczeństwa WordPress nieuchronnie pojawia się Sucuri. Jest to jedna z najpopularniejszych obecnie dostępnych wtyczek bezpieczeństwa. Plany pro obejmują skaner po stronie serwera, zaporę ogniową i nieograniczone ręczne usuwanie złośliwego oprogramowania.

Jetpack to kompleksowe rozwiązanie dla wielu funkcji WordPress; nic dziwnego, ponieważ jest zbudowany przez Automattic. Ponadto posiadanie jednej wtyczki wykonującej pracę wielu jest atrakcyjną opcją, więc Jetpack jest bardzo pretendentem do naszej serii testów wtyczek bezpieczeństwa.

Ale jeśli zlekceważymy dzwonki i gwizdki, która wtyczka bezpieczeństwa lepiej chroni Twoją witrynę WordPress?

Przetestowaliśmy 5 najlepszych wtyczek bezpieczeństwa, aby uzyskać tę odpowiedź. Przez 45 dni sprawdzaliśmy wtyczki pod kątem złośliwego oprogramowania, luk w zabezpieczeniach, ataków i nie tylko. Czytaj dalej, aby dowiedzieć się więcej o naszych wynikach, a co najważniejsze: o naszym wyborze wtyczki bezpieczeństwa WordPress, która faktycznie działa.

WERDYKT : Decyzja Sucuri vs Jetpack była trudna, ponieważ oba zawiodły na różne sposoby. Ostatecznie uważamy, że Sucuri wygrywa z Jetpack. Skaner złośliwego oprogramowania Jetpack zdołał wykryć część złośliwego oprogramowania, w przeciwieństwie do skanera Sucuri, który niczego nie wykrył. Ale usługa usuwania złośliwego oprogramowania Sucuri dobrze sobie poradziła, podczas gdy Jetpack nie miał żadnych opcji czyszczenia. Szczerze mówiąc, chociaż żaden z nich nie był wystarczająco dobry, więc naszą rekomendacją jest MalCare.

Nasz wybór

Każdą z 5 najlepszych wtyczek zabezpieczających poddaliśmy 45-dniowym testom. Użyliśmy 3 stron internetowych: 1) zwykły blog jako kontrola; 2) blog z podatnymi na ataki wtyczkami oraz 3) witryna ze złośliwym oprogramowaniem w plikach i bazie danych na poziomie szefa.

W dalszej części artykułu znajduje się lista czynników, która pokazuje, jak uszeregowaliśmy każdą wtyczkę, ale w skrócie przetestowaliśmy skaner, program czyszczący i zaporę ogniową (jeśli wtyczka ją posiadała), aby uzyskać nasze wyniki.

Ważne jest, aby wybrać wtyczkę bezpieczeństwa, co do której możesz mieć pewność, że chroni Twoją witrynę przed hakerami i ich złośliwym oprogramowaniem. Ta wtyczka to bez wątpienia MalCare.

Podsumowanie porównania Sucuri vs Jetpack

W tym konkursie, w którym zwycięzca bierze wszystko, Sucuri wyprzedza Jetpack dzięki doskonałym usługom usuwania złośliwego oprogramowania, które oferują. Jest to jednak puste zwycięstwo, ponieważ skaner Sucuri jest jednym z najgorszych, jakie do tej pory widzieliśmy.

Jetpack w skrócie

Płatne plany Jetpack mają przeciętny skaner złośliwego oprogramowania, który wykryje niektóre złośliwe oprogramowanie w Twojej witrynie. Pozostałe funkcje bezpieczeństwa są dość dobre, ale nie rekompensują skanera ani braku czyszczenia złośliwego oprogramowania i zapory. Ogólnie rzecz biorąc, Jetpack to porażka.

Jetpack był drugą wtyczką, którą testowaliśmy, zaraz po iThemes, i byliśmy pod wrażeniem, ponieważ przynajmniej coś zrobiła. Oczywiście nie oznacza to, że jest to dobra wtyczka bezpieczeństwa.

Z drugiej strony dziennik aktywności Jetpack jest świetny. Dziennik aktywności to kluczowe narzędzie do debugowania i zabezpieczania witryny. Uważamy również, że zewnętrzny pulpit nawigacyjny na WordPress.com jest świetny i jest znajomym interfejsem do pracy. Ponieważ jesteśmy wielkimi zwolennikami tworzenia kopii zapasowych, podoba nam się ta część funkcji Jetpack.

Żadne z powyższych nie jest jednak wystarczającym powodem, aby skorzystać z płatnego planu, ponieważ Jetpack wystawia wiele czeków, których nie może spieniężyć. Wspomnieliśmy już, że skaner nie działał dobrze. Wykrył około 30% złośliwego oprogramowania na stronie. Ochrona przed brutalną siłą jest co najwyżej przeciętna. Próbowaliśmy zaatakować stronę logowania i po kilku nieudanych logowaniach zobaczyliśmy captcha. Ale nasz adres IP nie został oznaczony, ani nie otrzymaliśmy powiadomienia e-mail. Kiedy sprawdziliśmy dzienniki, atak został jednak zarejestrowany.

Ponadto Jetpack wykrywa tylko niektóre luki w zabezpieczeniach witryny. Z 3, które zainstalowaliśmy, oznaczono 2. W przypadkach, gdy strony internetowe mają znacznie więcej luk, stosunek z pewnością będzie znacznie gorszy.

Żadna wtyczka bezpieczeństwa nie jest idealna, ale chcielibyśmy takiej, która jest jak najbardziej zbliżona do ideału. Jetpack nie jest tą wtyczką.

Sucuri w skrócie

Sucuri ma od nas mieszane recenzje, ponieważ jego zapora ogniowa i funkcje czyszczenia złośliwego oprogramowania działały dobrze, ale skaner w ogóle nie działał. Skanowanie złośliwego oprogramowania musi być w 100% skuteczne, a żadna wtyczka bezpieczeństwa nie jest tego warta bez działającego skanera.

Sucuri jest jedną z najpopularniejszych obecnie dostępnych wtyczek bezpieczeństwa WordPress, a mimo to nie spełnia jednego krytycznego obszaru: skanowania złośliwego oprogramowania. Jeśli skaner nie działa, nie ma sposobu, aby wiedzieć, że Twoja witryna jest zainfekowana złośliwym oprogramowaniem. A jeśli nie wiesz, że tak jest, nie ma sposobu, aby temu zaradzić.

W pozostałych dwóch aspektach, firewall i usuwanie złośliwego oprogramowania, Sucuri wypadła dobrze. Zapora zablokowała większość ataków, a usługa usuwania złośliwego oprogramowania była na najwyższym poziomie. Na desce rozdzielczej znajduje się również kilka przydatnych opcji utwardzania. Nieograniczone żądania usunięcia złośliwego oprogramowania to także świetna okazja, zwłaszcza w porównaniu z niektórymi innymi dostępnymi usługami.

Z drugiej strony konfiguracja i ustawienia były koszmarem, zwłaszcza zapora ogniowa. Zmagaliśmy się z instalacją zapory bez rejestratora domen i szczerze mówiąc, był to frustrujący proces. Skany bezpieczeństwa obciążyły również nasze zasoby serwera do tego stopnia, że ​​zauważyliśmy różnicę na naszej stronie internetowej. Na szczęście nasza witryna znajdowała się na dedykowanym hostingu, w przeciwnym razie firmy oferujące hosting współdzielony dość szybko wysłałyby do nas e-mail z informacją o naruszeniu zasad.

Na wynos tutaj jest to, że musisz wybierać między bezpieczeństwem a wydajnością z Sucuri. To straszny kompromis. Ogólnie rzecz biorąc, Sucuri jest zarówno dobrą, jak i złą wtyczką bezpieczeństwa, a zatem sprzecznością. Nie zalecamy sprzeczności jako środka bezpieczeństwa. Tylko mówię.

Jak wybrać odpowiednią wtyczkę bezpieczeństwa dla WordPress

W stale zmieniającym się krajobrazie zagrożeń wtyczka zabezpieczająca to jedyny sposób ochrony witryny, danych, odwiedzających i firmy. Hakerzy powodują ogromne szkody za pomocą złośliwego oprogramowania, kradnąc pieniądze, dane i tożsamości od ludzi. Jako właściciel witryny, wtyczka bezpieczeństwa jest istotną częścią Twojego zestawu narzędzi administracyjnych.

Jednak wybór odpowiedniej wtyczki zabezpieczającej nie jest prosty. Jest tak wiele wtyczek, z których każda twierdzi, że jest lepsza od następnej. Jak więc wybrać ten właściwy?

Jeśli chodzi o bezpieczeństwo, istnieją tylko 3 podstawowe funkcje wtyczki zabezpieczającej: skanowanie złośliwego oprogramowania, usuwanie złośliwego oprogramowania i zapora ogniowa. Wszystko inne to bonus. Nie oznacza to, że ochrona przed brutalną siłą nie jest ważna, ponieważ z pewnością jest. Ale jeśli nie masz niezbędnych 3, równie dobrze możesz nie mieć pozostałych.

Oceniając wtyczkę bezpieczeństwa, należy zwrócić uwagę na następujące czynniki:

• Podstawowe funkcje bezpieczeństwa
  
  • Skanowanie złośliwego oprogramowania
  • Czyszczenie złośliwego oprogramowania
  • Zapora ogniowa
• Funkcje bezpieczeństwa, które warto mieć
  
  • Wykrywanie luk w zabezpieczeniach
  • Brutalna ochrona logowania
  • Dziennik aktywności
  • Uwierzytelnianie dwuskładnikowe
• Potencjalne problemy
  
  • Wpływ na zasoby serwera

Jedyną wtyczką, która ma wszystkie funkcje potrzebne do ochrony stron WordPress, jest MalCare. Jak będziemy mówić o tym w tym artykule, każdy z pozostałych zawiodł w taki czy inny sposób, szczególnie zawiódł nas w 3 podstawowych obszarach.

Sucuri vs Jetpack: Bezpośrednie porównanie funkcji

Aby to porównanie było jak najbardziej przydatne, zorganizowaliśmy sekcje w oparciu o kryteria wymienione powyżej. Są to najważniejsze aspekty wtyczki zabezpieczającej, ale chcemy również poruszyć nasze inne doświadczenia, takie jak łatwość konfiguracji, stosunek jakości do ceny i tak dalej.

Przedstawiliśmy nasze ustalenia w sposób rzetelny i możliwie zwięzły, aby pomóc Ci podjąć właściwą decyzję dotyczącą bezpieczeństwa Twojej witryny. Jeśli jednak potrzebujesz szybko rozwiązania bezpieczeństwa, zalecamy zainstalowanie MalCare, aby uzyskać niezrównane bezpieczeństwo WordPress.

Skanowanie złośliwego oprogramowania

Ani SiteCheck, ani skaner na poziomie serwera Sucuri nie wykryły złośliwego oprogramowania na naszej stronie internetowej. Skaner Jetpack wykrył część złośliwego oprogramowania.

Sucuri ma dwa skanery złośliwego oprogramowania: SiteCheck i skaner na poziomie serwera, który należy zainstalować z pulpitu nawigacyjnego Sucuri. Chcieliśmy przetestować oba, ponieważ często polecamy SiteCheck, darmowy skaner, jako diagnostykę pierwszego stopnia dla stron internetowych. SiteCheck skanuje publicznie widoczne części Twojej witryny, więc jeśli nie znajdzie złośliwego oprogramowania, nie gwarantuje to, że witryna jest czysta. Jednak nie musisz instalować SiteCheck, aby z niego korzystać. Tak wielu administratorów uważa, że ​​korzystanie z nich jest łatwiejsze w przypadku zawieszenia witryny przez hosta internetowego lub umieszczenia jej na czarnej liście przez Google.

Przechodząc do skanera na poziomie serwera, który jest dostarczany z planami premium Sucuri, musisz zainstalować go na swoim serwerze internetowym. Możesz zrobić to ręcznie lub wprowadzić dane FTP, aby to zrobić z pulpitu nawigacyjnego. Po zainstalowaniu skaner potrzebował dużo czasu na sprawdzenie naszej witryny pod kątem złośliwego oprogramowania.

Po zakończeniu skanowania wyniki pokazały, że nasza witryna jest wolna od złośliwego oprogramowania. Wyniki były błędne, ponieważ nasza strona była pełna złośliwego oprogramowania, zarówno w plikach, jak iw bazie danych. Kilka godzin później próbowaliśmy ponownie uruchomić skanowanie, ale wyniki były takie same. Najwyraźniej na naszej poważnie zhakowanej stronie nie było złośliwego oprogramowania.

Skaner jest ustawiony na uruchamianie raz dziennie, ale możesz poprosić o skanowanie ad hoc. Żądania są umieszczane w kolejce, a następnie wykonywane. Jedyną rzeczą jest to, że Sucuri ostrzega przed uruchomieniem zbyt wielu skanów, ponieważ skany zużywają zasoby serwera. To nie jest dobrze. Skanowanie nie powinno zajmować zasobów witryny, ponieważ ma to wpływ na jej wydajność. Wrócimy do tego punktu w dalszej części artykułu.

Jetpack ma skaner złośliwego oprogramowania w swoich płatnych planach, a po zobaczeniu, jak Sucuri wypadła w części skanującej, byliśmy mile zaskoczeni, widząc, że Jetpack faktycznie oznaczył niektóre złośliwe oprogramowanie.

Emocje były jednak krótkotrwałe, ponieważ Jetpack nie oznaczył wszystkich złośliwych programów. W rzeczywistości nie wykrył dużej części złośliwego oprogramowania. Więc chociaż pod tym względem radził sobie lepiej niż Sucuri, wykrycie niektórych złośliwych programów jest tak samo dobre, jak wykrycie braku złośliwego oprogramowania. W rezultacie witryna prawdopodobnie pozostanie zaatakowana przez hakerów. Aby dokładnie przeskanować swoją witrynę, nie szukaj dalej niż skaner złośliwego oprogramowania MalCare.

Czyszczenie złośliwego oprogramowania

Jetpack nie ma czyszczenia złośliwego oprogramowania. Sucuri ma świetną usługę ręcznego czyszczenia złośliwego oprogramowania, która pozbyła się złośliwego oprogramowania z naszej witryny w ciągu 12 godzin.

W tym momencie jesteśmy w konflikcie co do Sucuri, ponieważ podczas gdy byliśmy pod wrażeniem ich usługi sprzątania, skaner dał naszej zhakowanej stronie czysty znak. Na podstawie tych wyników teoretycznie nie wiedzielibyśmy, że nasza witryna zawiera złośliwe oprogramowanie. Ale ponieważ była to czynność testowa, poprosiliśmy o ręczne oczyszczenie, wiedząc, że nasza witryna zdecydowanie zawiera złośliwe oprogramowanie.

Zgodnie z naszym planem mogliśmy spodziewać się, że sprzątanie zostanie zakończone w ciągu 30 godzin. Na pierwszy rzut oka to długi czas oczekiwania, jeśli Twoja witryna została zhakowana. Jeśli na przykład Twoja witryna znajduje się na czarnej liście Google, upływający czas to utracone przychody. Jednak odzyskaliśmy oczyszczoną witrynę w mniej niż 10 godzin. Byliśmy pod wrażeniem.

Aby poprosić Sucuri o usunięcie złośliwego oprogramowania, musisz wypełnić formularz ze wszystkimi szczegółami, które możesz wprowadzić. Wskaż swoje umiejętności techniczne, wprowadź swoje dane uwierzytelniające FTP, a odzyskasz wyczyszczoną witrynę. Sprawdziliśmy wyczyszczoną stronę za pomocą MalCare i była ona nieskazitelnie czysta. Fantastyczny! Zespół dał nam listę kontrolną po czyszczeniu, ostrzegł nas przed lukami w zabezpieczeniach witryny i mogliśmy zaczynać.

Z wyjątkiem jednej małej rzeczy: po tym, jak zespół Sucuri usunął złośliwe oprogramowanie, a MalCare to potwierdziło, skaner Sucuri powiedział, że witryna została zhakowana. Po wyczyszczeniu przez ich zespół? Domyśl.

Plany bezpieczeństwa Jetpack nie obejmują usuwania złośliwego oprogramowania, chociaż twierdzą, że mogą pozbyć się niektórych infekcji. Po uruchomieniu skanera złośliwego oprogramowania zauważyliśmy, że niektóre złośliwe oprogramowanie zostało oznaczone, ale żadnego z nich nie można było naprawić. W rzeczywistości we wszystkich zgłoszonych przypadkach złośliwego oprogramowania firma Jetpack uprzejmie zaleca skontaktowanie się z usługą usuwania złośliwego oprogramowania.

Nasz problem z Jetpack polega na tym, że oznaczając lokalizację złośliwego oprogramowania i sam kod, wydaje się, że zaleca on ręczne czyszczenie jako opcję. To nie jest mądra decyzja. Zhakowane strony internetowe to pola minowe, zwłaszcza że złośliwe oprogramowanie może się ukryć wszędzie. Ręczne czyszczenie złośliwego oprogramowania jest podatne na błędy ludzkie i grozi całkowitym uszkodzeniem witryny.

Usługa usuwania złośliwego oprogramowania to droga propozycja i nie ma gwarancji, że Twoja witryna nie zostanie ponownie zhakowana. W takim przypadku koszty mogą znacznie wzrosnąć. Plany Sucuri mają nieograniczone porządki, co jest świetne. Nasz jedyny problem z Sucuri polega na tym, że skaner nie ostrzega o większości złośliwego oprogramowania, więc skąd wiesz, kiedy poprosić o oczyszczenie?

Użyliśmy MalCare do skanowania w poszukiwaniu złośliwego oprogramowania, a także do czyszczenia naszej witryny w ciągu kilku minut. Funkcja automatycznego czyszczenia pozbyła się złośliwego oprogramowania z naszej witryny, bez potrzeby poświadczeń FTP lub prośby o usunięcie. To było bezbolesne, płynne i prawie natychmiastowe. Trudno to pobić.

Zapora ogniowa

Zapora Sucuri poradziła sobie z większością typowych ataków, ale jej instalacja była koszmarem. Jetpack nie ma firewalla.

Sucuri ma zaporę dołączoną do swoich planów bezpieczeństwa, ale ma również samodzielne plany zapory. Chcieliśmy przetestować skuteczność zapory, więc spróbowaliśmy skonfigurować ją na naszej stronie internetowej.

Zanim jeszcze porozmawiamy o tym, jak działa zapora ogniowa, musimy poświęcić trochę czasu, aby wyrazić, jak okropne jest doświadczenie związane z instalacją zapory sieciowej Sucuri. Mieliśmy istniejący plan premium i była już skonfigurowana strona internetowa dla zapory. Kiedy więc próbowaliśmy zastąpić tę witrynę naszą witryną testową, Sucuri po prostu odmówiła ustąpienia.

Problem polega na tym, że aby korzystać z zapory, musisz skierować DNS swojej witryny na serwery nazw zapory. Co oznacza, że ​​cały ruch docierający do Twojej witryny najpierw przejdzie przez zaporę sieciową Sucuri, a następnie zostanie przekierowany do Twojej witryny. Jeśli brzmi to skomplikowanie, to dlatego, że jest szalenie skomplikowane.

W każdym razie po kilku dniach byliśmy w stanie skonfigurować witrynę testową z lukami, takimi jak nieograniczone przesyłanie plików, XSS i iniekcja SQL. Zapora blokowała wszystkie nasze próby wykorzystania tych luk i przesyłania złośliwych plików.

Przy całej przejrzystości nie byliśmy w stanie przetestować bardziej złożonych ataków w naszych ramach czasowych. Jednak cokolwiek rzuciliśmy w zaporę Sucuri, zostało zatrzymane.

Zapory sieciowe są integralną częścią bezpieczeństwa Twojej witryny. Chronią przed złośliwym oprogramowaniem, uniemożliwiając hakerom wykorzystywanie luk w zabezpieczeniach witryny. Jetpack go nie ma, a to dziura w ich wtyczce bezpieczeństwa.

MalCare doskonale radzi sobie z ochroną Twojej witryny przed różnymi rodzajami ataków. I jest łatwy w konfiguracji w przeciwieństwie do Sucuri.

Wykrywanie luk w zabezpieczeniach

Zarówno Jetpack, jak i Sucuri wykryły tylko niektóre luki w naszych witrynach internetowych.

Po zainstalowaniu skanera po stronie serwera Sucuri, skan powiedział nam, że mamy kilka luk w zabezpieczeniach naszej witryny. Skaner nie wykrył niektórych bardziej niejasnych i zasadniczo zalecił aktualizację przestarzałych wtyczek i motywów.

Co ciekawe, na wtyczce Sucuri na wp-admin znajduje się zakładka po włamaniu. Zawiera listę wersji zainstalowanych wtyczek i motywów wraz z najnowszymi wersjami. Małym drukiem na tej stronie Sucuri wspomina, że ​​nieaktualne oprogramowanie stanowi zagrożenie dla bezpieczeństwa i często prowadzi do infekcji złośliwym oprogramowaniem.

Zespół Sucuri przesłał nam również listę zaleceń dotyczących aktualizacji nieaktualnych wtyczek i motywów w celu usunięcia luk w zabezpieczeniach. Ponownie, byli w stanie wykryć tylko niektóre luki, a nie wszystkie.

Skaner Jetpack wykrył również niektóre luki i dał nam opcję automatycznej naprawy; zasadniczo moglibyśmy je zaktualizować. W tym przypadku niewiele różni się od Sucuri i Jetpack. Interfejs Jetpack był łatwiejszy w zarządzaniu, ale z drugiej strony Sucuri jest ogólnie znacznie bardziej skomplikowaną wtyczką.

Brutalna ochrona logowania

Jetpack dodaje captcha do strony logowania po wielu nieudanych próbach logowania, ale nie blokuje adresu IP. Wydaje się, że Sucuri nie ma działającej funkcji ochrony logowania.

Jetpack ma ochronę logowania przed brutalną siłą w swoich bezpłatnych i płatnych planach. Kiedy próbowaliśmy brutalnie wymusić stronę logowania, zobaczyliśmy, że po 10 nieudanych próbach dodano numeryczną captcha. Dzienniki pokazują wszystkie nieudane próby logowania po pierwszych 3 jako atak siłowy.

Jetpack ma również rozbudowaną funkcję białej listy adresów IP, więc założyliśmy, że w pewnym momencie możemy zostać całkowicie zablokowani na stronie. Jednak tak się wcale nie stało. Wypróbowaliśmy ponad 50 niepoprawnych haseł do konta administratora w mniej niż minutę i nic się nie stało.

Szczerze mówiąc, biała lista adresów IP to trochę mydlenie oczu. Adresy IP urządzeń mogą się zmieniać, więc umieszczenie adresu IP administratora na białej liście nie gwarantuje ochrony przed potencjalną blokadą. Jeśli jednak funkcja istnieje, powinna działać. Ale tak się nie stało.

Pomyśleliśmy, że Sucuri poradzi sobie w tym punkcie znacznie lepiej niż Jetpack, ponieważ ma rozbudowany zestaw opcji do konfigurowania alertów o brutalnej sile. Możesz ustawić próg, przy którym atak jest uważany za brutalną siłę. Limity są jednak nierealne, ponieważ istnieje możliwość uznania 30 nieudanych prób na godzinę za atak, podczas gdy w rzeczywistości atak siłowy uderza w stronę logowania z prędkością ponad 100 żądań na minutę. W rzeczywistości jest zwykle tak wiele żądań logowania, że ​​serwer nie jest w stanie ich obsłużyć.

Krótko mówiąc, Sucuri nie powiadomiła nas o atakach związanych z logowaniem. Ataki pojawiły się w dziennikach kontroli, ale nie otrzymaliśmy żadnych alertów.

Dziennik aktywności

Dzienniki Jetpack są świetne. Śledzą każde działanie użytkownika i wtyczki. Dzienniki kontroli Sucuri również działają, ale mogą być całkowicie niezrozumiałe.

Dzienniki kontroli Sucuri śledzą wszystkie działania użytkowników oraz zmiany wtyczek i motywów. Wszystkie zmiany dokonane w dowolnych plikach i tabelach pojawiają się w dziennikach kontroli. Jak na razie dobrze. Istnieje również opcja ustawienia klucza API, aby uniemożliwić atakującym usuwanie dzienników, umożliwiając Sucuri zapisywanie dzienników witryny poza witryną.

Dzienniki zbierają wymagane informacje, takie jak użytkownik, czynność, znacznik czasu itp. Zauważyliśmy jednak, że w niektórych przypadkach są one bardzo trudne do zrozumienia. Przykład: zainstalowaliśmy wtyczkę galerii na naszej stronie internetowej. Dzienniki zarejestrowały 7 różnych wpisów dotyczących wtyczki, wskazując, że 7 plików zostało zmienionych. Albo tak myśleliśmy. W rzeczywistości było to rejestrowanie zmian w szablonie posta, ale nie mogliśmy tego wywnioskować z dzienników.

Jetpack ma świetną funkcję dziennika aktywności i jest dostępny do podglądu w bezpłatnych planach. Dzienniki pokazują całą aktywność użytkowników, wtyczek i motywów, a także elementy wymagające natychmiastowej uwagi, takie jak wykryte złośliwe oprogramowanie lub luki w zabezpieczeniach.

Dane Jetpack sięgają jednak tylko 30 dni. W idealnej sytuacji dzienniki powinny zapisywać się przez znacznie dłuższy okres czasu.

Uwierzytelnianie dwuskładnikowe

Żadna wtyczka bezpieczeństwa nie ma uwierzytelniania dwuskładnikowego.

W tej sekcji nie ma wiele do omówienia, ponieważ ani Jetpack, ani Sucuri nie mają uwierzytelniania dwuskładnikowego dla twoich stron internetowych.

Jednak podczas testowania wtyczek szukaliśmy uwierzytelniania dwuskładnikowego w Sucuri. W rzeczywistości na pulpicie nawigacyjnym Sucuri dostępne jest uwierzytelnianie dwuskładnikowe, ale było ono dostępne dla Twojego konta Sucuri. Nie Twoja witryna.

Wykorzystanie zasobów serwera

Obie wtyczki zużywają zasoby serwera do skanowania Twojej witryny. Skaner Sucuri zauważalnie spowolnił naszą stronę internetową.

Dajemy Sucuri punkty za uczciwość, ponieważ twierdzą, że używają zasobów serwera do skanowania bezpośrednio na pulpicie nawigacyjnym. Poza tym to straszne, że to robią.

Skany Sucuri wykazały zauważalny skok w wykorzystaniu procesora naszego serwera. A nasze strony testowe są małe; niewiele więcej niż 100 MB dla największego. Gdybyśmy mieli witrynę WooCommerce lub taką z dużą bazą danych, wydajność witryny byłaby poważnie ograniczona. Ponadto skany Sucuri również zajmują dużo czasu. Więc wpływ trwałby przez jakiś czas.

Oprócz użycia procesora, w ustawieniach ogólnych na wp-admin zobaczysz, że Sucuri używa twojego serwera do przechowywania danych. Nawet jeśli przestrzeń dyskowa jest znikoma, chodzi o to, że wykorzystuje się miejsce na serwerze Twojej witryny.

Jetpack miał również wpływ na zasoby serwera. To prawda, nie było to tak zauważalne jak skany Sucuri, ale nadal nie jest idealne.

Szczerze mówiąc, nie jesteśmy pod wrażeniem tego stanu rzeczy. Żaden administrator witryny nie powinien wybierać między bezpieczeństwem a wydajnością. Brak któregokolwiek z nich może mieć znaczący wpływ na przychody, więc nie powinno to być kompromisem.

Alerty

Alerty Sucuri mogą zapełnić Twoją skrzynkę odbiorczą w ciągu godziny, więc musisz być absolutnie pewien, o czym chcesz otrzymywać powiadomienia. Jetpack wysyła alerty tylko o krytycznych rzeczach.

Sucuri pozwala dostosować format alertów, wysyłać je do określonych działań, wysyłać je do określonych osób i tak dalej. Możesz także skonfigurować ustawienie, aby ignorować określone adresy IP, aby nie wyzwalały alertu.

Sama liczba opcji alertów Sucuri jest oszałamiająca. Oczywiście wystarczy to skonfigurować tylko raz, a potem o tym zapomnieć. Ale tak naprawdę same opcje zasługują na szczególną uwagę. A jeśli liczba nie była wystarczająco zniechęcająca, mowa o technologii była całkowicie odrażająca.

Ostatecznie alerty są zbyt szczegółowe, aby były przydatne. Administrator powinien móc polegać na swojej wtyczce bezpieczeństwa, aby ostrzegać go o rzeczach, którymi należy się zająć, i odfiltrowywać cały hałas. W przypadku Sucuri jesteśmy prawie pewni, że istnieje duże prawdopodobieństwo przeoczenia sygnału w całym szumie.

Jetpack elegancko obsługuje alerty. Nie ma miliona opcji do przeszukiwania, a wtyczka wyśle ​​​​Ci alerty o rzeczach, które wymagają Twojej uwagi. Na przykład luki w zabezpieczeniach i złośliwe oprogramowanie.

Nawiasem mówiąc, przetestowaliśmy również funkcję monitorowania przestojów w Jetpack. Ma nas ostrzec, jeśli strona ulegnie awarii, ale tak się nie stało. Zaatakowaliśmy witrynę na kilka różnych sposobów i zobaczyliśmy, że Jetpack w ogóle nie zarejestrował tych awarii.

Chociaż monitorowanie przestojów nie jest funkcją bezpieczeństwa jako taką, jest ważnym wskaźnikiem dla Twojej witryny. Niedziałające lub ulegające awariom strony internetowe często wskazują na aktywność hakerów lub złośliwe oprogramowanie. Funkcja przestoju Jetpack nie działa.

Instalacja, konfiguracja i użyteczność

Sucuri było łatwe na początku, ale stopniowo stawało się coraz trudniejsze. Jetpack był łatwy w konfiguracji, ale interfejs nieustannie zachęca do aktualizacji.

Instalacja Jetpack była żmudna. Chociaż Twoja wtyczka jest zainstalowana, nie ma sposobu, aby przejść dalej bez utworzenia pulpitu nawigacyjnego WordPress.com. Służy jednak jako zewnętrzny pulpit nawigacyjny, więc potrzebujesz konta. Przenoszenie tam i z powrotem z własnego pulpitu na Jetpack bez jasnego zrozumienia, kiedy i dlaczego jest to wymagane, jest po prostu trochę niepokojące.

Instalacja Sucuri była łatwa, a skaner frontendowy zaczął działać od razu. Aby uzyskać dostęp do płatnych funkcji, takich jak zapora ogniowa i skaner po stronie serwera, musisz utworzyć konto w Sucuri. Jednak darmowa wersja jest samowystarczalna.

Zewnętrzny pulpit nawigacyjny Jetpack jest wygodny w użyciu, ponieważ naśladuje wp-admin. Istnieje jednak mnóstwo zablokowanych funkcji w zależności od twojego planu, więc nie jest najlepszym doświadczeniem użytkownika widzieć „uaktualnienie” wszędzie. Niektóre wskaźniki są bezużyteczne z punktu widzenia bezpieczeństwa, więc ogólnie nie jesteśmy zachwyceni interfejsem Jetpack.

Powiedziawszy to, wolelibyśmy interfejs Jetpack od Sucuri. Gdybyśmy mieli opisać Sucuri jednym słowem, byłoby to zamieszanie. W konfiguracji i ustawieniach jest tyle żargonu technicznego. W rzeczywistości spędziliśmy godziny, próbując dowiedzieć się, co oznaczają niektóre terminy. Ponadto opisy są nieprzydatne, aw niektórych przypadkach protekcjonalne. Nie jestem pewien, dlaczego ktokolwiek pomyślał, że dobrym pomysłem jest pisanie opisów, które skutecznie mówią: jeśli nie wiesz, co to znaczy, najlepiej zostaw to w spokoju.

Konfigurowanie zapory sieciowej Sucuri było koszmarem. Może się to wydawać proste, jeśli masz dostęp do rejestratora domen i wiedzę, jak majstrować przy serwerach nazw (których aktualizacja zajmuje kilka godzin). Nasza witryna testowa nie ma domeny, ponieważ nie chcemy, aby Google ją indeksował, a ludzie trafiali na nią przypadkowo, więc zmiana serwerów nazw nie była prostym zadaniem. Gdyby ktoś chciał skonfigurować zaporę ogniową w miejscu przejściowym, miałby trudności bez pomocy inżynierów.

Plecak odrzutowy: Dodatki

Jetpack łączy wiele zadań administracyjnych WordPress w jedną wtyczkę, więc jest wiele dodatków. Podoba nam się, że ma kopie zapasowe, ponieważ kopie zapasowe są bardzo ważne dla każdej witryny. Poza tym konto WordPress.com jest znane w użyciu, chociaż jeśli masz wiele witryn na jednym koncie, nudne jest przełączanie się między nimi w celu zarządzania.

Sucuri: Dodatki

Sucuri ma mnóstwo dodatkowych dzwonków i gwizdków w swojej wtyczce. W przeciwieństwie do Jetpack, który oferuje więcej niż bezpieczeństwo, Sucuri dotyczy tylko bezpieczeństwa. Próbowaliśmy więc pogrzebać w funkcjach, aby zobaczyć, co może mieć wpływ na bezpieczeństwo.

Po zainstalowaniu wtyczki pierwszym i największym, jaki zobaczysz, jest infobox integralności WordPress. Wygląda naprawdę imponująco, ale w rzeczywistości jest to bardzo ubrana wersja głównego monitora zmian plików WordPress. Istnieje oczywiście pewne narzędzie do monitorowania zmian plików dla plików podstawowych, zwłaszcza że złośliwe oprogramowanie regularnie infekuje pliki podstawowe. Jednak naszym zdaniem wyeksponowanie i umiejscowienie jest mylące. Monitor zmian plików nie jest zakresem bezpieczeństwa WordPress. Szczerze mówiąc, to nawet nie jest początek.

Istnieje również narzędzie do porównywania integralności, które pozwala porównywać podstawowe pliki w witrynie z oryginalną kompilacją. Jest to łatwiejsze niż korzystanie z internetowego narzędzia do sprawdzania różnic dla podstawowych plików, jeśli ręcznie usuwasz złośliwe oprogramowanie.

Sucuri ma mnóstwo opcji utwardzania WordPress. Niektóre z nich są przydatne, podczas gdy inne to starsze hacki, które od tego czasu przestały być przydatne pod względem bezpieczeństwa.

Na przykład blokowanie PHP w folderze przesyłania jest dobrym pomysłem, podobnie jak możliwość łatwej zmiany soli WordPress z pulpitu nawigacyjnego. Nie jest to jednak jednoznaczne poparcie. O wiele bezpieczniej byłoby mieć tę funkcję na desce rozdzielczej Sucuri niż na wp-admin. Jeśli haker uzyska dostęp do zaplecza witryny, sole zostaną naruszone, ponieważ są wyświetlane w postaci zwykłego tekstu.

Rzeczy takie jak weryfikacja wersji WordPress, usuwanie wersji WordPress, unikanie wycieku informacji i weryfikacja domyślnego konta administratora to bezsensowne funkcje bezpieczeństwa. Robią bardzo niewiele, aby zabezpieczyć witrynę w konkretny sposób. Zapomnij o branży bezpieczeństwa, nawet hakerzy odeszli od tych sztuczek.

Niektóre funkcje utwardzania zaskoczyły nas. Gdybyśmy zdecydowali się wyłączyć edytor wtyczek i motywów, w jaki sposób zaktualizowalibyśmy nasze wtyczki i motywy po wykryciu luk w zabezpieczeniach? Ponadto Sucuri przechowuje pliki PHP w folderze przesyłania, więc odcięcie dostępu z zewnątrz oznacza, że ​​nie będą mogli uzyskać dostępu do własnych plików. Być może istnieje reguła, która umożliwia im ten dostęp, ale w ogóle nie jest to jasne dla użytkownika końcowego.

Istnieje funkcja zarządzania hasłami, ale towarzyszące jej ostrzeżenie odstraszyłoby większość ludzi od korzystania z niej: „Wybierz użytkowników z listy, aby zmienić ich hasła, zakończyć ich sesje i wysłać im e-mailem łącze do resetowania hasła. Należy pamiętać, że wtyczka zmieni hasła przed wysłaniem wiadomości e-mail, co oznacza, że ​​jeśli serwer WWW nie będzie mógł wysyłać wiadomości e-mail, użytkownicy zostaną zablokowani na stronie”.

Czego brakuje w Jetpack i Sucuri

Naszym największym problemem z Sucuri jest fakt, że skaner złośliwego oprogramowania nie działa. Spodziewalibyśmy się, że wykryje część złośliwego oprogramowania, biorąc pod uwagę, jak szeroko Sucuri jest używany na stronach internetowych. Ale nic nie wykrył! Naszym zdaniem niewybaczalne.

Jetpack nie ma zapory ogniowej ani czyszczenia złośliwego oprogramowania, zautomatyzowanego ani innego. Wykonuje połowę zadania polegającego na znalezieniu złośliwego oprogramowania, które jest już na stronie internetowej, ale nie usuwa go ani nie chroni. Nigdzie blisko odpowiedniego, jeśli chodzi o bezpieczeństwo.

Sucuri kontra Jetpack: ceny

Najniższy plan premium Sucuri kosztuje 199,99 USD rocznie na witrynę. To dobra okazja na nieograniczone żądania usunięcia złośliwego oprogramowania, które możesz mieć. Zapora ogniowa jest również przyzwoita, ale skaner jest okropny. To nie jest całkowicie stosunek jakości do ceny. Jetpack nie jest dobrą wtyczką zabezpieczającą za cenę 300 USD.

Gdybyśmy mieli zapłacić 300 USD za wtyczkę zabezpieczającą, żądalibyśmy dużo tej wtyczki: niezawodnego skanera złośliwego oprogramowania, zapory ogniowej i opcji czyszczenia. Jetpack nie ma żadnego z nich. Pomogło to w zidentyfikowaniu niektórych złośliwych programów, wykryciu niektórych luk w zabezpieczeniach i zapewnieniu przeciętnej ochrony przed brutalną siłą.

Nieograniczone usuwanie złośliwego oprogramowania jest ogromnym plusem na korzyść Sucuri. Czas reakcji był świetny, udostępniono nam listę kontrolną po włamaniu, a całe złośliwe oprogramowanie zostało wyczyszczone. Ale — i to jest duże ale — skaner złośliwego oprogramowania okazał się kompletną porażką. Byliśmy tak rozczarowani, że nie wykrył żadnego złośliwego oprogramowania. A jednak zespół wszystko oczyścił. Gdyby Sucuri mógł wnieść trochę energii do ręcznego czyszczenia złośliwego oprogramowania do skanera, stałby się potężną wtyczką. Do tego czasu jednak nie tak bardzo.

Lepsza alternatywa dla Jetpack i Sucuri: MalCare

W tym artykule przedstawiliśmy wszystkie nasze wnioski z intensywnych sesji testowych. Ani Jetpack, ani Sucuri nie działają skutecznie w celu ochrony witryn WordPress przed hakerami i ich złośliwym oprogramowaniem. Jeśli przeczytałeś ten artykuł do końca, wiesz, że bezpieczeństwo nie podlega negocjacjom. Tak więc inwestowanie w solidną i niezawodną wtyczkę bezpieczeństwa jest drogą do przodu.

Najlepszą dostępną obecnie wtyczką zabezpieczającą WordPress jest MalCare. MalCare ma najwyższej klasy skaner złośliwego oprogramowania, automatyczne czyszczenie złośliwego oprogramowania i zaawansowaną zaporę ogniową, która chroni Twoją witrynę przed atakami.

W porównaniu funkcji do funkcji wszystkich innych wtyczek zabezpieczających MalCare okazuje się również znacznie bardziej ekonomiczny. W porównaniu z ogromnymi 300 USD Jetpack, plan MalCare za 150 USD jest znacznie lepszą ofertą dla wielu innych funkcji. Podobnie w przypadku Sucuri, plan MalCare za 99 USD jest znacznie lepszy niż plan platformy podstawowej za 199,99 USD.

Wniosek

Wtyczka bezpieczeństwa jest istotną częścią Twojego zestawu narzędzi administracyjnych. Jest to jedna z tych rzeczy, które powinny wymagać minimalnej interwencji i pracy od razu po wyjęciu z pudełka. MalCare ma najlepsze zabezpieczenia, bez niepotrzebnego hałasu, który przynosi większość innych wtyczek. Warto zainwestować w ochronę swoich dochodów przed hakerami.

Czy ten artykuł pomógł? Napisz do nas i daj nam znać. Chcielibyśmy usłyszeć od Ciebie!