Sucuri vs Wordfence: która wtyczka bezpieczeństwa jest najlepsza dla Twojej witryny WordPress?

Wordfence i Sucuri są mistrzami wagi ciężkiej w zakresie wtyczek bezpieczeństwa WordPress. W każdej rozmowie nieuchronnie pojawiają się, a ludzie są podzieleni co do tego, która z nich jest najlepszą wtyczką bezpieczeństwa.

Sucuri ma popularny skaner online, który jest szeroko wykorzystywany przez administratorów witryny do wykrywania złośliwego oprogramowania. Ich wtyczka ma również skaner po stronie serwera, zaporę ogniową i wiele innych funkcji bezpieczeństwa. Sucuri oferuje nieograniczone usuwanie złośliwego oprogramowania z dowolnym ze swoich planów.

Wordfence jest niekwestionowanym liderem w zakresie wtyczek bezpieczeństwa WordPress. Zespół uzupełnia swoją wtyczkę bezpieczeństwa o wiele treści edukacyjnych, pomagając administratorowi zrozumieć, jak chronić swoją witrynę przed hakerami. Wtyczka ma skaner i zaporę ogniową, a także może usuwać niektóre złośliwe oprogramowanie. Oni również mają usługę usuwania złośliwego oprogramowania, ale jest to funkcja premium na żądanie.

Aby odpowiedzieć, która z nich jest lepsza w bitwie Sucuri vs Wordfence, dokładnie przetestowaliśmy obie wtyczki. Jak zobaczysz w dalszej części artykułu, testy zostały zaprojektowane tak, aby wtyczki działały, abyś mógł podjąć najlepszą decyzję dotyczącą bezpieczeństwa swojej witryny.

5 wtyczek bezpieczeństwa, 3 strony internetowe, 45 dni i mnóstwo złośliwego oprogramowania. Wyniki były rozstrzygające.

OCENA Sucuri vs Wordfence nie jest prostym pytaniem. Oba mają skanery złośliwego oprogramowania i zapory sieciowe. Wordfence ma automatyczne czyszczenie i kosztowną usługę usuwania złośliwego oprogramowania, podczas gdy Sucuri ma po prostu nieograniczone czyszczenie swoich planów. Po rozważeniu wszystkich czynników Wordfence jest z pewnością zwycięzcą. Czytaj dalej, aby dowiedzieć się więcej.

Nasz wybór

Na potrzeby tej serii opracowaliśmy 3 testowe strony internetowe: po pierwsze prosty blog z dużą ilością obrazów i komentarzy jako kontrolką; po drugie, witryna z wieloma wrażliwymi wtyczkami i motywami o różnym stopniu zaciemnienia; i wreszcie witryna załadowana różnymi rodzajami złośliwego oprogramowania.

Kryteria skutecznej wtyczki są różnorodne, ale chcieliśmy sprowadzić jedno proste pytanie: czy wtyczka dobrze chroni Twoją witrynę przed hakerami i złośliwym oprogramowaniem?

45 dni później otrzymaliśmy odpowiedź. W przypadku 4 z 5 wtyczek odpowiedź brzmiała „nie”. 1 wtyczka wygrana pod każdym względem. Ta wtyczka to MalCare.

MalCare ma najlepszy skaner złośliwego oprogramowania, jaki widzieliśmy, wyłapujący złośliwe oprogramowanie z plików, bazy danych i folderów, niezależnie od tego, jak dobrze jest ukryty. Ma automatyczne urządzenie czyszczące, które faktycznie działa, czyszcząc tylko złośliwe oprogramowanie z chirurgiczną precyzją. I wreszcie zaawansowana zapora, która blokuje zagrożenia, które mogą wykorzystać Twoją witrynę.

Najlepszą wtyczką bezpieczeństwa dla Twojej witryny WordPress jest jednoznacznie MalCare.

Podsumowanie porównania Sucuri vs Wordfence

W tej zaciętej bitwie zwycięzcą jest Wordfence. Trzeba przyznać, że było to bardzo bliskie, bo Sucuri też ma swoje zalety.

Widzimy, dlaczego ludzie tak się przejmują tym, który z nich jest lepszy, ponieważ wady Wordfence są mocnymi stronami Sucuri i vice versa. Tak więc, w zależności od osobistych doświadczeń danej osoby, będą opowiadać się za wtyczką, która rozwiązała ich konkretny problem.

Ale z tego powodu nie ma obiektywnej odpowiedzi na to, która z nich jest holistycznie lepsza dla wszystkich witryn WordPress. A odpowiedź na to nie brzmi. Nie powinieneś iść na kompromis w jednym lub innym aspekcie bezpieczeństwa. Miej to wszystko, zamiast tego pobierz MalCare.

Wordfence w pigułce

Wordfence to najlepsza wtyczka bezpieczeństwa dla witryny WordPress po MalCare. Darmowa wersja jest solidna i ma świetne funkcje bezpieczeństwa. Skaner wykrywa większość złośliwego oprogramowania opartego na plikach i jest w stanie wyczyścić większość wykrytego oprogramowania. Firewall jest jednym z najbardziej aktualnych i blokuje kilka zagrożeń. Minusy polegają na tym, że Wordfence ma ogromny wpływ na wydajność strony internetowej, a ich usługa czyszczenia złośliwego oprogramowania jest droga.

Skaner Wordfence był w stanie wykryć wszystkie złośliwe oprogramowanie oparte na plikach, które umieściliśmy w naszych darmowych wtyczkach i motywach. Jeśli brzmi to dziwnie specyficznie, to dlatego, że tak jest. Nie mógł wykryć złośliwego oprogramowania, które znajdowało się w bazie danych, ani złośliwego oprogramowania wstawionego do wtyczek i motywów premium. Dzieje się tak, ponieważ mechanizm wykrywania dopasowania plików używany przez Wordfence w dużej mierze opiera się na publicznie dostępnym kodzie.

Wyniki skanowania oznaczyły złośliwe oprogramowanie oraz luki w zainstalowanych motywach i wtyczkach. Co zabawne, Wordfence oznaczyło również niektóre z naszych wtyczek premium jako złośliwe oprogramowanie lub błędy. Są to fałszywe alarmy, które jesteśmy w stanie zobaczyć, ponieważ jesteśmy przyzwyczajeni do grzebania w kodzie WordPress. Jednak niektórzy administratorzy witryn mogą z tego powodu usunąć całkowicie opłacalne wtyczki.

Istniała również opcja automatycznej naprawy plików zainfekowanych złośliwym oprogramowaniem po wyświetleniu wyników skanowania. Próbowaliśmy i zadziałało. Całe wykryte złośliwe oprogramowanie zostało usunięte ze strony. Oczywiście nie może naprawić złośliwego oprogramowania, którego nie był w stanie wykryć w pierwszej kolejności.

Następnie wypróbowaliśmy zaporę. To było skuteczne, blokując wiele zagrożeń, które mu rzuciliśmy. Ale za każdym razem, gdy zapora blokowała zagrożenie, otrzymywaliśmy alert. Podczas naszych testów było tak wiele alertów, że możemy sobie tylko wyobrazić, co stanie się na działającej witrynie. Administrator z pewnością zostanie przytłoczony i przegapi krytyczne alerty.

Oprócz tych trzech głównych kryteriów, w Wordfence dostępnych jest wiele innych opcji. Ochrona przed brutalną siłą jest doskonała, a uwierzytelnianie dwuskładnikowe działa jak urok.

To, co naprawdę podniosło wtyczkę o kilka stopni, to jej niesamowita użyteczność. Wordfence to złożona wtyczka bezpieczeństwa, ale jest również przystępna dla nowicjuszy. Sposób ułożenia pulpitu nawigacyjnego, wskazówki i towarzysząca dokumentacja, każdy może skonfigurować wtyczkę bezpieczeństwa bez przypadkowego uniemożliwienia korzystania z witryny. To naszym zdaniem ogromny plus, zwłaszcza w zestawieniu z Sucuri, o czym przekonacie się później.

Co zaskakujące, Wordfence nie ma dziennika aktywności, co naszym zdaniem było bardzo dziwne. Ale prawdziwym minusem jest to, że jest to pochłaniacz zasobów. Każde skanowanie, które przeprowadziliśmy w naszej witrynie, powodowało gwałtowny wzrost wykorzystania dysku i spadek wydajności witryny. Z tego powodu wielu hostów internetowych zablokowało Wordfence.

Podsumowując, Wordfence to doskonała wtyczka bezpieczeństwa, ale z poważną luką. Mimo wszystkich korzyści, jakie ma, i żadnej z wad, MalCare jest drogą do zrobienia.

Sucuri w pigułce

Sucuri ma dobrą zaporę ogniową, a ich usługa usuwania złośliwego oprogramowania była świetna. Jednak skaner złośliwego oprogramowania nie wykrył żadnego złośliwego oprogramowania, mimo że ich zespół usunął je później. Wtyczka bezpieczeństwa bez działającego skanera złośliwego oprogramowania jest nieskuteczna.

Sucuri jest jedyną inną wtyczką, która ma szansę być brana pod uwagę obok MalCare i Wordfence, ponieważ czasami przynajmniej działa jako wtyczka bezpieczeństwa. Jetpack i iThemes były odpisami.

Jest to prawdopodobnie jedna z najpopularniejszych wtyczek bezpieczeństwa, ale nadal zawodzi w podstawowym obszarze: skanowaniu złośliwego oprogramowania. Jak zobaczymy później, ich usługa usuwania złośliwego oprogramowania jest na najwyższym poziomie. Byli wydajni i szybcy, wrócili do nas przed naszymi oczekiwaniami i wykonali dobrą robotę przy czyszczeniu strony internetowej. Gdyby jednak nie była to witryna testowa, którą stworzyliśmy i wypchana złośliwym oprogramowaniem, nigdy nie wiedzielibyśmy, że jest zainfekowana, ponieważ skaner dał nam czysty komunikat o włamaniach. W efekcie Sucuri jest więc klasycznym przypadkiem stawiania powozu przed koniem. Musisz wiedzieć, że witryna została zhakowana, aby ją wyczyścić, ale nie ma sposobu, aby wiedzieć, że została zhakowana za pomocą skanera Sucuri.

Idąc dalej, zapora działała dobrze. W łatwy i spójny sposób zapobiegał atakom, takim jak wstrzykiwanie SQL i zdalne wykonywanie kodu. Ale to był koszmar. Ponieważ używamy witryn testowych, było wiele problemów ze zmianą serwerów nazw tak, aby wskazywały adresy IP zapory sieciowej Sucuri zamiast naszej testowej witryny. Jeśli którekolwiek z tego ostatniego zdania nie miało sensu, to w porządku. Skonfigurowanie go również zajęło nam wieki. Szczerze mówiąc, nie napotkasz takich trudności na swoich aktywnych witrynach, ale jeśli chcesz skonfigurować go jako witrynę pomostową lub lokalną? Spodziewaj się problemów.

Byliśmy już sfrustrowani firewallem, kiedy przyjrzeliśmy się innym opcjom konfiguracyjnym. Dlaczego wszystko jest takie skomplikowane? Język jest zagmatwany, aw niektórych przypadkach wręcz protekcjonalny. I to zanim zdaliśmy sobie sprawę, że każdy skan bezpieczeństwa spowalnia nasze testowe strony internetowe. Kiedy sprawdziliśmy wykorzystanie dysku serwera, nastąpił alarmujący wzrost.

Sucuri wykorzystuje zasoby witryny do skanowania w poszukiwaniu złośliwego oprogramowania — pamiętaj, że skaner, który nie działa. Więc nie robi tego, co powinien, i nadal niszczy wydajność witryny. Niezbyt dobry wygląd dla Sucuri.

Która wtyczka bezpieczeństwa jest warta twoich pieniędzy?

Porady dotyczące bezpieczeństwa WordPress są niezliczone i mają dobre intencje, ale często są to złe rady. Widzieliśmy ludzi opowiadających się za iThemes – jedną z najgorszych wtyczek bezpieczeństwa, jakie kiedykolwiek widzieliśmy – ponieważ ich witryny nigdy nie zostały zhakowane, całkowicie pomijając fakt, że regularnie aktualizują wtyczki, używają dobrych haseł, nie używają zerowego oprogramowania i potężna dawka szczęścia. Jeśli GoDaddy może mieć naruszenie danych, to samo może dotyczyć Twojej witryny.

Sednem sprawy jest wybór dobrej wtyczki zabezpieczającej. Stworzyliśmy niezbędną listę, pozbywając się rzeczy, które nie są związane z bezpieczeństwem.

• Podstawowe funkcje bezpieczeństwa
  • Skanowanie złośliwego oprogramowania
  • Czyszczenie złośliwego oprogramowania
  • Zapora
• Warto mieć zabezpieczenia
  • Wykrywanie luk
  • Ochrona logowania brute force
  • Dziennik aktywności
  • Uwierzytelnianie dwuskładnikowe
• Potencjalne problemy
  • Wpływ na zasoby serwera

Jak widać, są tylko 3 podstawowe funkcje, o które musisz się martwić. Wtyczka bezpieczeństwa powinna być świetna w tych 3 rzeczach: skanowanie złośliwego oprogramowania, czyszczenie złośliwego oprogramowania i zapora sieciowa. Wszystko inne to sos. Nie odrzucamy ochrony brute force ani uwierzytelniania dwuskładnikowego, ponieważ one też są ważne. Ale możesz uzyskać inne wtyczki do tej funkcji.

MalCare to jedyna wtyczka bezpieczeństwa, która ma świetne możliwości skanowania i czyszczenia złośliwego oprogramowania oraz zaawansowaną zaporę ogniową, która chroni przed zagrożeniami. Każda inna wtyczka zawodzi w jednym lub drugim miejscu.

Sucuri vs Wordfence: bezpośrednie porównanie funkcji

Wybór odpowiedniej wtyczki bezpieczeństwa może być oszałamiającym doświadczeniem, zwłaszcza gdy musisz przetestować każdą z nich pod kątem skuteczności, mając cały czas nadzieję, że zadziała.

W tej sekcji przedstawiliśmy wyniki naszych testów uporządkowane według funkcji. Porównywanie i kontrastowanie tych samych funkcji w różnych wtyczkach daje wyraźniejszy obraz skuteczności wtyczki bezpieczeństwa.

Przedstawiliśmy nasze wyniki tak uczciwie i przejrzyście, jak to tylko możliwe, aby pomóc ludziom dokonać lepszego wyboru ich witryn. Jeśli jednak chcesz szybko zabezpieczyć swoje strony internetowe, zainstaluj MalCare i przejdź do końca.

Skanowanie złośliwego oprogramowania

Sucuri ma 2 skanery: internetowy o nazwie SiteCheck i serwerowy, który jest częścią wtyczki. Oba nie wykryły złośliwego oprogramowania. Wordfence ma przyzwoity skaner złośliwego oprogramowania, który może wykrywać złośliwe skrypty w podstawowych plikach i folderach oraz w bezpłatnych wtyczkach i motywach. W przeciwnym razie brakowało złośliwego oprogramowania w bazie danych oraz wtyczek i motywów premium.

Często zalecamy Sucuri SiteCheck jako diagnostykę pierwszego poziomu pod kątem złośliwego oprogramowania na wypadek, gdyby ktoś podejrzewał, że jego WordPress został zhakowany. Nie może przeskanować całej witryny, ale może szybko zidentyfikować najczęstsze infekcje złośliwym oprogramowaniem, bez konieczności instalowania wtyczki specjalnie do tego celu.

Większe oczekiwania mieliśmy wobec skanera na poziomie serwera, biorąc pod uwagę, że miałby pełny dostęp do strony internetowej. Instalacja jest nieco inna w porównaniu do innych wtyczek, ponieważ skaner musi być zainstalowany na twoim serwerze WWW. Można to zrobić ręcznie lub wprowadzając dane FTP na pulpicie nawigacyjnym. Zakończyliśmy instalację i czekaliśmy na zakończenie skanowania.

Po pewnym czasie skanowanie zostało ukończone, a nasza wyładowana złośliwym oprogramowaniem witryna była najwyraźniej wolna od włamań. Uruchom skanowanie po raz drugi, aby sprawdzić, czy za pierwszym razem wystąpił błąd. Nie, według Sucuri nadal nie ma złośliwego oprogramowania. Poważna awaria.

Podczas instalacji Sucuri jest skonfigurowane do uruchamiania raz dziennie, ale możesz poprosić o skanowanie na żądanie. Żądania są umieszczane w kolejce, a następnie wykonywane na podstawie dostępności. Sama wtyczka ostrzeże Cię, że skanowanie Twojej witryny zużyje zasoby serwera, a tym samym wpłynie na wydajność Twojej witryny. Szczerze mówiąc, jest to okropne, ponieważ bezpieczeństwo nie powinno odbywać się kosztem wydajności i doświadczenia użytkownika. Omówimy to bardziej szczegółowo w innej sekcji.

Wordfence uruchamia również skanowanie automatycznie podczas instalacji. Było tu jednak trochę zamieszania, ponieważ założyliśmy, że kółko procentowe na desce rozdzielczej jest postępem skanera. Po tym, jak zobaczyliśmy, że przez kilka godzin nie przekroczył 60%, przyjrzeliśmy się dokładniej i zdaliśmy sobie sprawę, że jest to miara wydajności skanera. Aby uzyskać 100%, musisz zaktualizować wtyczkę.

Ponownie uruchomiono skaner, aby sprawdzić, ile czasu to zajęło, a ponieważ nasze witryny testowe są małe, skaner został wykonany w mniej niż minutę. To zdecydowanie plus. Wyniki skanowania były jednak tylko ponadprzeciętne, a nie doskonałe, ponieważ wykryto większość złośliwego oprogramowania, a nie całość.

Powodem tego jest to, że Wordfence wykorzystuje dopasowanie sygnatur do wykrywania złośliwego oprogramowania. Oznacza to, że skaner Wordfence porównuje kod Twojej witryny z bazą danych sygnatur złośliwego oprogramowania. Jeśli istnieje dopasowanie, skaner oznacza je jako złośliwe oprogramowanie. Chociaż Wordfence ma potężną bazę danych złośliwego oprogramowania, którą regularnie aktualizuje na podstawie swoich badań bezpieczeństwa, nigdy nie może być ona w 100% kompletna, ponieważ zespół musiałby zobaczyć złośliwe oprogramowanie, aby zaktualizować je w bazie danych, i niezależnie od kompleksowych badań, nowe złośliwe oprogramowanie pojawia się cały czas

Dlatego Wordfence jest biegły w wykrywaniu złośliwego oprogramowania znajdującego się w głównych plikach i folderach WordPress, a także złośliwych skryptów w bezpłatnych wtyczkach i motywach. Ale nie może wykryć złośliwego oprogramowania w oprogramowaniu premium, takim jak na przykład Elementor, ponieważ nie mają one dostępu do kodu źródłowego do analizy. Z tego samego powodu Wordfence nie wykrywa złośliwego oprogramowania w bazie danych, ponieważ do jego wykrycia potrzebny jest mechanizm wykraczający poza dopasowywanie sygnatur.

Biorąc to pod uwagę, Wordfence wykrył wszystkie nasze złośliwe oprogramowanie oparte na plikach. Według naszych szacunków jest w stanie wykryć od 70 do 80% złośliwego oprogramowania. Jest również podatny na fałszywe alarmy i zwykle generuje mnóstwo alertów. O tym też przejdziemy w osobnej sekcji.

Czyszczenie złośliwego oprogramowania

Wordfence ma funkcję automatycznej naprawy, która usuwa złośliwe oprogramowanie, ale skuteczność jest dyskusyjna w przypadku bardziej złożonego złośliwego oprogramowania. Oferują usługę usuwania złośliwego oprogramowania premium, ale mogą wywiercić dziurę w kieszeni za 490 USD za witrynę. Z drugiej strony Sucuri ma nieograniczoną usługę ręcznego czyszczenia złośliwego oprogramowania dołączoną do wszystkich swoich planów.

Mimo że skaner Sucuri stwierdził, że nasza witryna nie zawiera złośliwego oprogramowania — co na pewno ma — poprosiliśmy o wyczyszczenie, nie spodziewając się zbyt wiele. Jednak strona wróciła do nas bez skazy. Przeprowadziliśmy to przez MalCare, aby to sprawdzić. Co dziwne, po tym, jak zespół Sucuri oczyścił naszą witrynę, skaner oznaczył na niej złośliwe oprogramowanie. Najwyraźniej gdzieś błąd.

Usługa usuwania złośliwego oprogramowania była bardzo szybka. Chociaż nasz plan gwarantował odpowiedź w ciągu 30 godzin, wyczyściliśmy witrynę w mniej niż 10. To wspaniale. Jedyne ostrzeżenie, na które chcielibyśmy zwrócić uwagę, to fakt, że w przypadku zhakowanej witryny liczy się czas. Nie możesz sobie pozwolić na to, aby złośliwe oprogramowanie długo gniło w Twojej witrynie. Aby podkreślić, jak ważne jest szybkie działanie, czarna lista Google mierzy również czas reakcji na powiadomienia o złośliwym oprogramowaniu.

Aby usunąć złośliwe oprogramowanie, musisz poprosić Sucuri o wyczyszczenie. Wypełnij formularz wszystkimi informacjami, które możesz podać, a zespół zajmie się stamtąd. Otrzymaliśmy wiadomość zwrotną od Sucuri z listą kontrolną po włamaniu ze świetnymi rekomendacjami. Ogólnie rzecz biorąc, funkcja czyszczenia złośliwego oprogramowania za pomocą Sucuri jest kciukiem w górę.

Wordfence ma 2 opcje postępowania z zhakowanymi plikami na pulpicie nawigacyjnym: usuń wszystkie usuwalne pliki i napraw wszystkie pliki, które można naprawić. Jest to poza CTA sugerującym, że wybieramy ich fachową usługę sprzątania.

Wypróbowaliśmy obie opcje i obie z powodzeniem usunęły złośliwe oprogramowanie z naszej witryny. Problem polega na tym, że automatyczne usunięcie jest poprzedzone strasznymi ostrzeżeniami o zepsuciu strony z powodu zmian.

Kopie zapasowe naszych witryn testowych znajdują się na BlogVault i, szczerze mówiąc, nie byliśmy tak zaniepokojeni, że się zepsują. Chociaż udało nam się przejść bez zbytniego namysłu, to dlatego, że byliśmy zainteresowani przetestowaniem funkcji naprawy. Jednak sprawa wyglądałaby zupełnie inaczej w przypadku, powiedzmy, czyjegoś sklepu internetowego lub witryny o dużym natężeniu ruchu.

W naszej serii testów zwykle zatrzymaliśmy się w tym momencie, ponieważ większość innych wtyczek bezpieczeństwa zawiodła. Wordfence wyczyścił wszystkie złośliwe oprogramowanie oparte na plikach z naszej witryny, więc wypróbowaliśmy tę funkcję ze złośliwym oprogramowaniem baz danych i niektórymi z naszych wtyczek premium. Skaner nie był w stanie wykryć tak dużej ilości złośliwego oprogramowania, dlatego automatyczna naprawa nie była nawet opcją.

Inną alternatywą było żądanie usunięcia złośliwego oprogramowania. Usługa ma na celu usunięcie złośliwego oprogramowania, backdoorów i przeprowadzenie audytu bezpieczeństwa witryny pod kątem luk w zabezpieczeniach. Jeśli Twoja witryna trafiła na czarną listę, Wordfence również pomoże się jej pozbyć. Usługa jest gwarantowana przez rok, w zależności od tego, czy administrator witryny co do joty zastosował się do zaleceń po włamaniu. Uwaga: nie możemy mówić o skuteczności usługi usuwania złośliwego oprogramowania Wordfence, ponieważ jej nie wypróbowaliśmy.

Z drugiej strony wykorzystaliśmy MalCare do automatycznego usunięcia całego złośliwego oprogramowania i byliśmy w stanie to zrobić bez problemu. Żadnych strasznych ostrzeżeń, żadnego przeoczonego złośliwego oprogramowania, a nasza strona była błyskawicznie czysta w ciągu kilku minut. To jest rodzaj czyszczenia złośliwego oprogramowania, którego chcemy dla naszej witryny.

Zapora

Zarówno Sucuri, jak i Wordfence mają świetne zapory sieciowe, które blokują większość powszechnych i głównych zagrożeń. Ale zapora sieciowa Sucuri była koszmarem do zainstalowania, a bezpłatna zapora sieciowa Wordfence niepokojąco otrzymuje aktualizacje później niż ich wersja premium.

Zapora sieciowa Sucuri chroniła przed atakami, takimi jak wstrzykiwanie SQL, zdalne wstrzykiwanie i ataki typu cross-site scripting. Nasza witryna testowa miała mnóstwo luk w zabezpieczeniach, takich jak na przykład przesyłanie niezabezpieczonych plików, i pozostawała bezpieczna za zaporą sieciową.

Naszym problemem z zaporą sieciową Sucuri była jej instalacja. Aby korzystać z zapory, musisz skierować swój ruch na ich serwery nazw, aby zły ruch został odfiltrowany i tylko dobry ruch był przesyłany do Twojej witryny. Świetny pomysł, ale co za koszmar do skonfigurowania. Nasze witryny testowe nie były dołączone do żadnych rejestratorów domen, więc musieliśmy zatrudnić zespół inżynierów, aby to rozgryźć.

Zapora ogniowa Wordfence również działa po wyjęciu z pudełka i skutecznie chroni przed atakami.

Zaraz po instalacji zapora przeszła w tryb uczenia. Wordfence zalecił pozostawienie trybu nauki włączonego na tydzień. Jest to uczciwe, ponieważ zapory sieciowe potrzebują ruchu na żywo, aby nauczyć się, jak być skutecznym. Ponieważ jednak nie mamy ruchu na żywo w naszych testowych witrynach, nie widzieliśmy sensu czekać przez tydzień i od razu to wyszło.

W przypadku Wordfence darmowa zapora ogniowa jest podobno skuteczna tylko w 35%. To nie jest założenie z naszej strony, ale tak naprawdę znajduje się na desce rozdzielczej. Pokopaliśmy trochę głębiej, żeby dowiedzieć się, dlaczego tak się dzieje. Są 2 powody:

Po pierwsze: bezpłatna zapora ładuje się jak wtyczka po zakończeniu działania WordPressa. Kolejność ładowania znacząco wpływa na bezpieczeństwo, ponieważ jeśli zapora ładuje się po rdzeniu WordPress, oznacza to, że może powstrzymać tylko część złośliwego ruchu, a nie cały.

Po drugie: podczas gdy Wordfence ma najbardziej zaktualizowaną zaporę ogniową, wersja premium otrzymuje te aktualizacje w czasie rzeczywistym. Darmowa wersja otrzymuje jednak aktualizacje po nieokreślonym czasie. Nie wiemy, jakie jest opóźnienie, ale jest ono potencjalnie problematyczne. Hakerzy mogą przecież uderzyć w okno.

Największą zaletą jest to, że Wordfence ocenia swoją darmową zaporę ogniową na 35% w porównaniu z wersją premium. Nie najlepiej.

Wykrywanie luk

Wordfence wykonało świetną robotę, wykrywając wszystkie luki w naszej witrynie. Sucuri całkowicie tęskniła za niejasnymi.

Byliśmy pod wrażeniem, że Wordfence ostrzegał nas, że wszystkie nieaktualne wtyczki są średnimi zagrożeniami. Luki zostały poprawnie oznaczone jako zagrożenia krytyczne. Inne wtyczki bezpieczeństwa potknęły się o bardziej niejasne wtyczki i motywy, nie informując nas wcale o ich poważnych lukach w zabezpieczeniach, takich jak cross-site scripting w jednym przypadku. Więc Wordfence okazał się tutaj atutem.

Nie da się naprawić luk bezpośrednio z pulpitu Wordfence, ale ma to sens. Naprawianie luk w zabezpieczeniach zasadniczo oznacza aktualizację wtyczki lub motywu, a ta funkcja jest już łatwo dostępna w wp-admin. O ile Wordfence nie miało regresji wizualnej, takiej jak MalCare, aby upewnić się, że aktualizacja nie zepsuje witryny, nie ma sensu replikować istniejącej funkcji.

Wordfence wyświetlał również błędy dla iThemes i Backupbuddy. Wskazuje to na ich tendencję do oznaczania fałszywych trafień na stronie internetowej.

Sucuri wykrył wszystkie poza najbardziej niejasnymi lukami w naszych testowych witrynach internetowych. Możesz zaktualizować swoje przestarzałe oprogramowanie z pulpitu nawigacyjnego Sucuri, w przeciwieństwie do Wordfence. Tak naprawdę nie widzimy tego narzędzia, ponieważ aktualizacje są łatwo możliwe dzięki wp-admin.

Zakładka po włamaniu zawiera listę zainstalowanych wtyczek i motywów wraz z ich najnowszymi wersjami. Sucuri ostrzega przed kontynuowaniem korzystania z nieaktualnego oprogramowania, ponieważ może ono prowadzić do infekcji złośliwym oprogramowaniem.

Co ciekawe, nawet usługa usuwania złośliwego oprogramowania Sucuri była w stanie wykryć tylko niektóre luki w naszej witrynie. Biorąc pod uwagę nasze doświadczenie ze skanerem, pomyśleliśmy, że usługa usuwania lepiej poradzi sobie z wykrywaniem luk w zabezpieczeniach. Wydaje się, że tak nie jest.

Ochrona logowania brute force

Wordfence doskonale blokuje wszystkie ataki typu brute force. Wygląda na to, że funkcja ochrony logowania Sucuri nie działa.

Ochrona przed atakami siłowymi jest domyślnie włączona w programie Wordfence. Za każdym razem działa idealnie, blokując użytkowników przy zbyt wielu błędnych próbach, na podstawie konfiguracji, którą ustawiliśmy na desce rozdzielczej.

Ustawienia znajdziesz w sekcji zapory. Istnieje wiele rzeczy do dostosowania w menu opcji: ustawianie blokad dla niepoprawnych prób logowania; ile czasu użytkownik doświadczy blokady; i tak dalej. Opcje nie są przytłaczające, a Wordfence wyjaśnia każdy z nich przekonująco i ze świetną dokumentacją.

Możesz tutaj również ustawić opcje zarządzania hasłami, upewniając się, że wymuszasz silne hasła i zapobiegasz używaniu haseł wykrytych w przypadku naruszenia danych.

W tej sekcji można dodać adresy IP do białej listy, ale mamy ambiwalentny stosunek do ich skuteczności. Adresy IP urządzeń są dynamiczne, więc posiadanie listy dozwolonych nie gwarantuje, że uprawniony użytkownik nie zostanie zablokowany.

Ochrona przed brutalną siłą Sucuri nie działała zgodnie z oczekiwaniami. Nie doświadczyliśmy blokady, nie było też captcha, aby upewnić się, że jesteśmy ludźmi, a nie botami. Nie otrzymaliśmy alertów, mimo że ataki pojawiały się w dziennikach audytu. Ogólnie rzecz biorąc, ta funkcja była wymyta.

Nie pomyślałbyś tak, aby zobaczyć opcje konfiguracji na desce rozdzielczej. Możliwości było tak wiele, że po punkcie się podkręcaliśmy. Podsumowując, wolelibyśmy mniej opcji z funkcją, która działa, niż odwrotnie.

Dziennik aktywności

Sucuri ma dziennik kontroli, ale może być trudny do zrozumienia. Wordfence nie posiada dziennika aktywności.

Sucuri posiada dziennik audytu, który śledzi wszystkie działania użytkowników oraz zmiany wtyczek i motywów. Dzienniki pokażą wszystkie zmiany dokonane w plikach i tabelach, co jest dobre.

Dzienniki zawierają niezbędne informacje, takie jak użytkownik, działanie, znacznik czasu itp. Jednak w niektórych przypadkach wpisy są bardzo trudne do zrozumienia. Na przykład, aby przetestować logi, zainstalowaliśmy wtyczkę galerii. Wynikowe wpisy w dzienniku audytu pokazują 7 różnych zmian. Z wpisów nie wynikało jasno, na czym polegała zmiana, dlaczego do niej doszło ani kto był za nią odpowiedzialny. Dlatego dziennik audytu jest prawie bezużyteczny dla każdego, kto nie mówi sucuri.

Byliśmy zaskoczeni, że Wordfence nie posiada dziennika aktywności, ponieważ jest to jeden z filarów bezpieczeństwa stron internetowych. Istnieje możliwość włączenia debugowania w sekcji Diagnostyka w menu Narzędzia, co powoduje, że dzienniki zapory stają się bardziej szczegółowe, ale to nie to samo, co dziennik aktywności.

Po długich poszukiwaniach odkryliśmy dziennik aktywności przeznaczony specjalnie dla zdarzeń Wordfence w sekcji Skanowanie. Jest to jednak surowy dziennik, wyraźnie przeznaczony tylko dla programistów Wordfence.

Uwierzytelnianie dwuskładnikowe

Wordfence ma świetną funkcję uwierzytelniania dwuskładnikowego. Sucuri nie obsługuje tego w Twojej witrynie.

Uwierzytelnianie dwuskładnikowe Wordfence działa od razu po wyjęciu z pudełka, z łatwym zestawem opcji umożliwiających dostosowanie doświadczenia. Kiedyś była to funkcja premium, ale od tego czasu została również dodana do darmowej wtyczki.

Sucuri nie obsługuje uwierzytelniania dwuskładnikowego w Twojej witrynie, ale możesz za jego pomocą zabezpieczyć swoje konto Sucuri.

Wykorzystanie zasobów serwera

Zarówno Sucuri, jak i Wordfence są świniami zasobów. Widzieliśmy wyraźne spadki wykorzystania dysku podczas skanowania i z powodu zapory.

Jest to jeden czynnik, w którym nie ma nic do wyboru między Wordfence a Sucuri: obaj radzili sobie równie źle.

Każda czynność wykonywana przez te wtyczki w Twojej witrynie zużywa zasoby serwera. Nasze strony internetowe są stosunkowo małe, a podczas konfigurowania skanów zaobserwowaliśmy, jak zużycie dysku podwaja się, a czasem nawet trzykrotnie. Wpłynęło to na czas ładowania, czas odpowiedzi i ogólne wrażenia na stronie.

Jeśli masz witrynę WooCommerce lub taką, na której jest duży ruch, efekt ten będzie zauważalny dla Twoich użytkowników. Jeśli korzystasz z hostingu współdzielonego, Twój host internetowy podniesie flagi, a Twoje wydatki na hosting mogą potencjalnie wzrosnąć. W rzeczywistości wielu hostów internetowych zakazało Wordfence właśnie z tego powodu.

Chociaż ludzie rzadko rozmawiają o zasobach serwera podczas omawiania bezpieczeństwa, jest to ważny czynnik. Nikt nie powinien iść na kompromis w kwestii wydajności lub bezpieczeństwa. Optymalizacja obu jest całkowicie możliwa.

Ale nie z Sucuri czy Wordfence. Do tego potrzebujesz MalCare.

Alerty

Zarówno Sucuri, jak i Wordfence są znane z niezliczonych alertów i fałszywych alarmów.

Mocno wierzymy w zdejmowanie ciężaru z naszych klientów, jeśli chodzi o administrację WordPress. Zapory sieciowe powinny cicho blokować ruch. Ochrona przed botami powinna działać po wyjęciu z pudełka. Administrator powinien być ostrzegany tylko wtedy, gdy jest coś, co wymaga jego uwagi i działania. Bezpieczeństwo WordPressa powinno być bezstresowe i łatwe, w przeciwnym razie jaki jest sens wtyczki zabezpieczającej?

Najwyraźniej ani Sucuri, ani Wordfence nie zgadzają się z tą szkołą myślenia, ponieważ ich alarmy są przytłaczające. Nasze skrzynki pocztowe zostały zalane w mgnieniu oka. Zbyt wiele alertów jest tak samo złe, jak ich brak, ponieważ ostatecznie oba prowadzą do bezczynności, gdy jest to konieczne.

Instalacja, konfiguracja i użyteczność

Wordfence został zaprojektowany tak, aby był bardzo prosty dla początkującego użytkownika. Sucuri nie jest.

Instalacja, konfiguracja i ogólne użytkowanie Wordfence jest jednym z najlepszych, jakie kiedykolwiek widzieliśmy. W każdej głównej sekcji znajdują się instrukcje wyjaśniające najważniejsze ustawienia i funkcje w prostym, nieszkodliwym języku.

Wordfence ma świetne rekomendacje dotyczące konfiguracji. Ich dokumentacja jest dostępna z podpowiedzi na pulpicie nawigacyjnym, dzięki czemu jest wysoce kontekstowa. Każda funkcja jest jasno wyjaśniona, a instrukcje, jak sprawić, by działały w Twojej witrynie, są natychmiast dostępne.

Może się to wydawać dziwne. Jeśli jednak kiedykolwiek próbowałeś Sucuri, zdajesz sobie sprawę, że łatwość zrozumienia jest nietrywialną częścią każdego doświadczenia użytkownika. W rzeczywistości, gdybyśmy mieli opisać Sucuri jednym słowem, byłoby to zdumiewające.

Instalacja Sucuri była łatwa i stamtąd poszła w dół. Aby korzystać ze skanera i zapory po stronie serwera, należy je skonfigurować ręcznie. Jest tak wiele opcji, że spędziliśmy godziny, próbując je zrozumieć, a także dowiedzieć się, czy mają realny wpływ na bezpieczeństwo.

Ogólnie rzecz biorąc, te dwie wtyczki znajdują się na przeciwległych końcach spektrum.

Wordfence: Dodatki

Wordfence to stricte bezpieczeństwo. Nie ma ani jednej funkcji, opcji ani linii, która byłaby nawet związana z zabezpieczeniami, jak aktualizacje lub opcje zarządzania użytkownikami. Mimo to jest kilka dodatków.

Istniała sekcja powiadomień o aktualizacjach witryny, która pokazywała nam, które wtyczki i motywy należy zaktualizować w pierwszej kolejności, ponieważ były to zagrożenia krytyczne lub średnie.

Wordfence posiada zewnętrzny pulpit nawigacyjny do zarządzania wieloma witrynami na tym samym koncie o nazwie Wordfence Central. Ma również odpowiednią sekcję na wp-admin każdej połączonej witryny, prawdopodobnie dzięki czemu masz widok z lotu ptaka na każdą witrynę, niezależnie od tego, nad którą witryną obecnie pracujesz. Naszym zdaniem ma to ograniczoną użyteczność i nie będzie działać w przypadku agencji z setkami zarządzanych witryn.

Następnie przyjrzeliśmy się sekcji Narzędzia. Istnieje sekcja dla ruchu na żywo, która wydawała się replikować Google Analytics, ale była czymś więcej. Te dzienniki klasyfikują ruch za pomocą klucza, aby zobaczyć, jaki rodzaj ruchu otrzymuje witryna: człowiek, bot, ostrzeżenie, zablokowany.

Dostępna jest opcja wyszukiwania Whois, na wypadek gdybyś chciał zobaczyć, kto jest atakującym bez opuszczania wp-admin. Znowu jest to w najlepszym wypadku funkcja przypadkowa.

Pomyśleliśmy, że Diagnostyka była naprawdę interesująca, ponieważ zawierała wiele informacji o witrynie. Tam wszystko jest bardzo szczegółowe, od właścicieli procesów po tabele bazy danych. Deweloperzy uznają te informacje za bardzo przydatne, ponieważ są one jak specyfikacja witryny w jednym miejscu.

Sucuri: Dodatki

Sucuri ma w swojej wtyczce wiele dodatkowych ozdobników i furbelowów. To, czy którykolwiek z nich ma wpływ na bezpieczeństwo, to zupełnie inna sprawa.

Pierwszą rzeczą, którą zobaczysz podczas instalacji, jest infobox o integralności WordPressa. To naprawdę fantazyjna wersja głównego monitora zmiany plików WordPress. Oczywiście przydatne jest posiadanie monitora zmian plików dla podstawowych plików WordPress, ale skuteczność nie jest tak duża, jak się wydaje. Hakerzy mogą i będą zmieniać metadane plików, takie jak aktualizowanie sygnatur czasowych, aby obejść te środki. Więc tak przydatne, ale nie tak bardzo.

Istnieje narzędzie do porównywania integralności, które porównuje podstawowe pliki na stronie z oryginalną instalacją WordPress. Jest to z pewnością łatwiejsze niż korzystanie z Internetu, jeśli usuwasz złośliwe oprogramowanie ręcznie — czego w ogóle nie zalecamy.

Sucuri ma wiele funkcji hartowania WordPress. Zablokowanie PHP w folderze uploads chroni przed jedną kategorią włamań i podoba nam się możliwość szybkiej zmiany soli WordPress z pulpitu nawigacyjnego. Można było jednak zrobić to lepiej. Gdyby ta funkcja znajdowała się na zewnętrznym desce rozdzielczej Sucuri, a nie na wp-admin, byłaby bezpieczniejsza. Wyobraź sobie, że haker uzyskuje dostęp do wp-admin, sole zostałyby łatwo skompromitowane, ponieważ są w zwykłym tekście.

Niektóre inne opcje mają ograniczoną użyteczność, jak weryfikacja wersji WordPressa, usuwanie wersji WordPressa, unikanie wycieku informacji i weryfikacja domyślnego konta administratora. Są bez znaczenia z punktu widzenia bezpieczeństwa.

Inne cechy utwardzania były mylące. Na przykład, gdybyśmy mieli wyłączyć edytor wtyczek i motywów, w jaki sposób moglibyśmy aktualizować wtyczki i motywy z lukami? Co najmniej odwrotny do zamierzonego.

The password management feature held some promise, but the warning would terrify all but the most brave: “Select users from the list in order to change their passwords, terminate their sessions and email them a password reset link. Please be aware that the plugin will change the passwords before sending the emails, meaning that if your web server is unable to send emails, your users will be locked out of the site.”

What's missing from Wordfence and Sucuri

Sucuri doesn't have a good malware scanner. The brute force login protection doesn't work, and it takes up too much of server resources. There is no bot protection either, and you would need a separate plugin for two-factor authentication.

Wordfence misses out on bot protection and an activity log. The scanner is above average; definitely a cut above the other security plugins available apart from MalCare. Apart from these things, it is an exceptional security plugin.

Wordfence vs Sucuri: Pricing

Sucuri's plans start at $199.99 a year per site, which is a great deal for unlimited malware removal. The firewall works well, but the scanner is a let down. Wordfence premium plans are at $99 for the year per site, with attractive bulk pricing options. However, our opinion is that the free version is almost as good as the premium version.

Sucuri is a winner when it comes to the unlimited malware removal feature. The support team was great, with a quick turnaround time, helpful response and a proactive post-hack checklist. But the malware scanner was a complete failure, and that's not a small flaw to overlook.

The free version of Wordfence is strong enough to stand on its own. The premium version is not all that different, the efficiency percentages on the dashboard notwithstanding. The real expense to consider with Wordfence is the cleaning service at $490 a pop, over and above the site license. If you are considering Wordfence seriously, read the fine print. Although they say unlimited pages, there are additional charges for sites above 10 GB. They guarantee the service for a year, but there are terms and conditions. None of this is unreasonable, but it is important to be aware before taking the plunge.

Better alternative to Wordfence and Sucuri: MalCare

The best security plugin for your website isn't Wordfence or Sucuri, it is MalCare. It has an excellent scanner that detects malware in all parts of your website: core WordPress, files and the database. Additionally, the auto-clean feature removes all malware surgically, without breaking your website.

MalCare has an advanced firewall that proactively blocks bad traffic from reaching your website. The brute force protection makes sure that your login page is safe from malicious attacks, and the bot protection goes even further to make sure only bad bots are kept away from your website.

There is a formidable support team of WordPress security experts to help with any issues that come up. Any malware removal cleanups necessary beyond the auto-clean are covered with the site license.

Thus, in a feature-to-feature comparison, MalCare undoubtedly comes out on top. MalCare's $99 plan is vastly better than Sucuri's $199.99 Basic Platform plan, and includes unlimited malware removal, which is over and above Wordfence's $99 plan.

Wniosek

When choosing a WordPress security plugin for your website, make sure to evaluate the scanner, cleaner and firewall. All the other features can be implemented with other plugins, but these 3 features form the essence of a good plugin.

At MalCare, our goal is to make security stress-free and painless, so that you can focus on the more important aspects of your website. Leave the security to us, as you grow your business.

We hope this comparison was helpful, as we have presented all our findings transparently. Have further questions? Drop us a line. Bardzo chcielibyśmy usłyszeć od Ciebie.