iThemes Security Vs Sucuri: Qual é o melhor plugin de segurança?
Publicados: 2023-04-19À primeira vista, o iThemes Security parece um plugin de segurança excelente e acessível para seus sites WordPress. Especialmente se você considerar que pode proteger sites ilimitados por apenas US$ 199.
Sucuri, por outro lado, é um dos plugins de segurança WordPress mais populares disponíveis. Ele é poderoso com um scanner e um firewall e também oferece remoção de malware. Portanto, já neste confronto direto, ele roubou uma marcha no iThemes. Por que? Porque o iThemes não possui nenhum desses recursos.
iThemes foi totalmente eliminado da corrida. Neste concurso, a Sucuri foi, sem dúvida, a vencedora. Dito isso, ainda não confiaríamos na Sucuri para proteger nosso site. Qual plug-in de segurança garante a proteção de sites WordPress contra hackers? A resposta é inequívoca: MalCare.
Resumo da comparação iThemes Security vs Sucuri
O iThemes Security é o placebo dos plug-ins de segurança do WordPress. Você acha que seu site está protegido contra hackers, mas tudo o que realmente o protege são pensamentos positivos e vibrações positivas. Sucuri é sem dúvida melhor, mas melhor é um termo relativo afinal. Não é um ótimo plugin de segurança.
Segurança iThemes em poucas palavras
O ponto principal é que o iThemes não protege seu site. Aconselhamos vivamente a ignorar completamente os iThemes se estiver a considerá-los para a segurança do WordPress. E se você já o tiver instalado, verifique seu site imediatamente. Seu site não tem segurança.
Nossas primeiras impressões de iThemes foram realmente favoráveis. O site fala um ótimo jogo e inspira confiança por causa da maneira autoritária com que falam sobre a segurança do WordPress. A única falha que pudemos ver foi que você não podia usar o plug-in para limpar malware. Isso não é o ideal, mas ainda pode funcionar como um scanner.
Ou então pensamos.
O scanner iThemes não detecta malware. De forma alguma. Podemos arriscar um palpite de que ele nem verifica arquivos e dados, porque a verificação termina em segundos. O que o 'scanner' do iThemes faz é verificar o Transparency Report do Google para ver se o seu site está nessa lista. Não precisamos de um plug-in de segurança para fazer isso. Voltamos a verificar o site e ficamos surpresos ao notar que os recursos não dizem explicitamente a verificação de malware. Apenas diz que a detecção de malware é uma das principais etapas da segurança do WordPress. Isso é duplo sentido, se alguma vez o vimos.
Ficamos tentados a descartar os testes do iThemes como inúteis, mas continuamos no interesse da justiça.
O plug-in possui um sólido recurso de autenticação de dois fatores, que você pode ativar na sua página de login. Ele também possui alguns recursos de proteção decentes, como bloquear a execução do PHP em pastas. Dito isto, a proteção de login de força bruta funciona apenas algumas vezes. Outra marca negra contra o plugin.
Nossa conclusão do uso do iThemes é que os únicos recursos de qualquer valor de segurança são a autenticação de dois fatores e a fácil implementação do reCAPTCHA no wp-login. No entanto, esses dois recursos não garantem uma conta de $ 199, porque existem plugins de segurança melhores que oferecem os mesmos recursos, além de alguma segurança real.
Testar iThemes foi uma experiência terrível porque não podemos imaginar a quantidade de sites que acreditam estar sendo protegidos por segurança inexistente. Na verdade, usuários do iThemes, você deve escanear seu site agora mesmo.
sucuri em poucas palavras
A Sucuri tem um firewall decente e ótimos serviços de remoção de malware, mas falhou espetacularmente como um scanner de malware. Se você não sabe que seu site tem malware, não há como se livrar dele. Esta é uma parte não negociável de um plug-in de segurança.
Quando começamos a testar a Sucuri, esperávamos muito dela. É um dos plugins de segurança mais populares para WordPress, e ficamos surpresos ao ver que o scanner falhou ao detectar qualquer malware em nosso site de teste hackeado. Entraremos em mais detalhes em uma seção posterior, mas isso define o tom de todo o nosso processo de teste.
Além da falha, a verificação em si leva muito tempo para ser concluída e consome nossos recursos de servidor para fazê-la. A própria Sucuri desencoraja muitos scans por causa do impacto no desempenho do site. É uma troca terrível entre desempenho e segurança, e simplesmente não deveria ser o caso.
Passando para os serviços de firewall e remoção de malware, a Sucuri se saiu bem. O firewall foi muito difícil de configurar e nos levou muito tempo para fazê-lo. Mas bloqueou os ataques que tentamos e não conseguimos explorar nenhuma vulnerabilidade.
O serviço de remoção de malware foi o destaque de nossa experiência de teste. Mesmo que o scanner tenha dado ao nosso site hackeado um atestado de integridade, sabíamos que ele estava cheio de malware. Em primeiro lugar, colocamos o malware lá e, em segundo lugar, as varreduras do MalCare confirmaram esse diagnóstico. A equipe da Sucuri removeu todos os vestígios de malware de nosso site e, como resultado, ele ficou completamente limpo. Fantástico! A cereja deste bolo é que você pode ter solicitações ilimitadas de remoção de malware como parte de seu plano, o que é um ótimo negócio.
Além do firewall, as configurações são muito obscuras. Ficamos intrigados com muito do jargão usado, e isso com experiência em segurança do WordPress. A interface não é fácil de usar e temos certeza de que muitas pessoas a acharão desnecessariamente alarmante. Ponto negativo para a Sucuri aí.
Em suma, não achamos que o Sucuri seja a melhor solução de segurança para um site WordPress. Essa honra vai para MalCare, por causa de um scanner que funciona sempre. MalCare também ganha pontos de bônus, não nos fazendo sentir obtusos.
Como escolher o plugin de segurança certo para o seu site WordPress
A segurança do seu site WordPress não é negociável. O malware pode causar inúmeras perdas para as empresas: perda de receita, ações judiciais, custos de limpeza, impacto na marca, perda de tráfego orgânico e muito mais. Investir no plug-in certo irá salvá-lo de hackers e malware, e dos problemas que o malware deixa em seu rastro.
A questão é: como você escolhe um plug-in de segurança eficaz para o seu site?
Quando configuramos nossos testes, havia vários fatores a considerar: segurança, é claro, mas também facilidade de uso e custo-benefício. No entanto, logo percebemos que todos os fatores além da segurança se tornaram sem sentido, porque a eficácia de um plug-in na segurança deve ser a única consideração.
Portanto, aqui estão os fatores a serem considerados ao selecionar um plug-in de segurança.
- Recursos de segurança essenciais
- Verificação de malware
- Limpeza de malware
- Firewall
- Recursos de segurança úteis
- Detecção de vulnerabilidade
- Proteção de login de força bruta
- Registro de atividade
- Autenticação de dois fatores
- Problemas potenciais
- Impacto nos recursos do servidor
Como você pode ver na lista, apenas 3 fatores são absolutamente essenciais. O MalCare é o melhor em todos os três: verificando e limpando malware que outros plug-ins certamente perderão e protegendo seu site contra tráfego malicioso com um poderoso firewall. Além disso, o MalCare faz isso melhor do que qualquer outro plugin de segurança atualmente disponível.
iThemes Security vs Sucuri: Comparação frente a frente de recursos
A maneira como estabelecemos essa comparação é primeiro considerar as características mais essenciais e, em seguida, discutir as outras observações que surgiram durante o teste. Muitas vezes, vimos recursos e configurações que não faziam quase nada (estamos falando de iThemes) e ainda assim pintavam uma elaborada ilusão de segurança.
Cortar o joio para chegar ao trigo não foi fácil, mas vamos apresentar todos os nossos dados da forma mais clara e justa possível.
Se você quiser pular esta desmontagem, recomendamos a instalação do MalCare.
Verificação de malware
Os scanners da Sucuri não detectaram nenhum malware em nosso site. A julgar pela rapidez com que terminou a verificação, o iThemes nem sequer escaneou nosso site em busca de malware.
As versões gratuitas e pagas da Sucuri têm scanners, então estávamos interessados em ver se o desempenho é diferente. A versão gratuita é alimentada pelo Sucuri SiteCheck, um utilitário online que verifica as partes publicamente visíveis do seu site em busca de malware. Claro, isso tem limitações, portanto, uma senha limpa do SiteCheck não é garantia de um site livre de malware.
O plano pago inclui um scanner de nível de servidor que você deve instalar em seu servidor web. Você pode fazer isso manualmente ou inserir seus detalhes de FTP no painel Sucuri para instalá-lo automaticamente. Foi um processo relativamente indolor.
O scanner está configurado para funcionar todos os dias, mas você pode digitalizar sob demanda - até certo ponto. Solicitações de verificação adicionais são colocadas em uma fila e, em seguida, executadas. A Sucuri adverte contra o uso de muitas varreduras porque as varreduras consomem recursos do servidor.
Isso nos deu uma pausa, porque então percebemos que a Sucuri usa os recursos do nosso site para executar varreduras. Com nossos sites de teste, o dreno não foi muito grave porque os sites são pequenos e não há tráfego externo. No entanto, definitivamente vimos um pontinho no uso da CPU. Mais sobre isso em uma seção posterior.
A versão pro também não detectou nenhum malware em nosso site invadido. Isso foi surpreendente, porque os resultados da verificação do MalCare identificaram claramente o malware. Por isso, levantamos uma solicitação de remoção manual. Assim que a solicitação foi atendida pela equipe da Sucuri, o site apareceu limpo no MalCare. Mas foi quando o scanner Sucuri sinalizou malware no site. Foi muito estranho.
Felizmente, não houve problemas com o scanner iThemes. Ele não verifica malware, puro e simples. O scanner iThemes apenas verifica se o seu site está na lista negra do Google. É isso. Não ficamos surpresos ao ver que nossos sites não estavam de fato na lista negra, considerando que não são indexados.
Limpeza de malware
A limpeza de malware não está na lista de recursos do iThemes, então obviamente não pode limpar malware. A Sucuri tem serviços ilimitados de remoção de malware como parte de seus planos pagos. Dependendo do seu plano, seu site será limpo entre 6 e 30 horas.
Embora os resultados da varredura da Sucuri dissessem que nosso site não tinha malware, obviamente sabíamos que não era o caso. Havia malware em todos os lugares: nos arquivos e no banco de dados. Também tínhamos um monte de backdoors lá para garantir. Os scanners MalCare confirmaram que nossos sites de teste estavam realmente infestados de malware.
Então, levantamos um pedido de remoção de malware com a Sucuri, indicando claramente que suspeitamos que haja malware no site. Para fazer uma solicitação, você precisa preencher um formulário e fornecer os detalhes do FTP para limpeza. E então espere pelos resultados.
Nota lateral: havia uma lista suspensa interessante no formulário de solicitação de remoção que lista possíveis sintomas que você pode estar vendo. Além disso, para nossa diversão, você tinha que indicar seu nível de proficiência técnica, então selecionamos: “ Sem proficiência, explique tudo claramente. ”
Crédito para Sucuri, sua equipe removeu todo o malware do nosso site. Além disso, embora os termos do nosso plano dissessem que poderíamos esperar uma resolução em 30 horas, recebemos uma resposta em menos de 10. Portanto, isso foi um grande sinal de positivo para o serviço de remoção de malware da Sucuri.
Confirmamos com o MalCare que todo o malware foi removido e, em seguida, ficamos surpresos ao ver que o scanner da Sucuri agora sinalizava o site como infectado - depois que a equipe o limpou. Isso foi estranho.
Por outro lado, o iThemes não pode limpar malware, então não havia nada para testar. Felizmente, eles não afirmam fazê-lo em seu site.
Francamente, a limpeza de malware é a parte mais difícil da segurança do WordPress e, muitas vezes, o aspecto mais caro. Os planos pagos da Sucuri têm limpezas ilimitadas, o que é ótimo porque, se as vulnerabilidades não forem corrigidas, o malware pode ocorrer novamente. Se tivéssemos uma falha para encontrar com o serviço de limpeza, seria necessário esperar um pouco pela resolução. No caso do malware, vimos as infecções crescerem exponencialmente em curtos períodos de tempo, portanto, isso é motivo de preocupação.
Com o MalCare, poderíamos usar a função de limpeza automática para eliminar o malware em minutos. Enquanto esperávamos o retorno da Sucuri, percebemos o imenso valor que uma limpeza rápida tem para um site crítico para os negócios.
Firewall
O firewall da Sucuri funciona, e guarda nossos ataques mais comuns. O iThemes não possui firewall.
Um firewall é um componente crítico na segurança do site, porque impede o tráfego malicioso e evita exploits. A essa altura do artigo, você não ficaria surpreso ao saber que o iThemes não possui um firewall. Por que isso? Ele falha em todos os outros aspectos como um plugin de segurança.
A Sucuri, por outro lado, protegeu nosso site dos ataques do wordpress. Nós o testamos contra vulnerabilidades como uploads de arquivos irrestritos, XSS e injeção de SQL. O firewall bloqueou todas as nossas tentativas de explorar essas vulnerabilidades e carregar malware no site. Não conseguimos testar ataques mais complexos, com toda a transparência.
Portanto o firewall da Sucuri funciona, mas também temos que mencionar como foi frustrante configurar o firewall. A maneira como o firewall funciona é que ele age como uma camada entre o tráfego de entrada e seu site. Portanto, todo o tráfego primeiro atinge o firewall da Sucuri e depois é redirecionado para o seu site.
Como você pode imaginar, isso requer alguma configuração. O domínio que você usa para o seu site deve apontar primeiro para a Sucuri, o tráfego é analisado e, em seguida, o tráfego permitido é enviado para o seu site. O que é ótimo, mas é difícil configurar o firewall se você não tiver experiência com servidores de nomes e configuração de DNS.
No geral, é muito melhor ter uma solução de segurança que funcione imediatamente. Nenhuma configuração complexa para proteger nosso site. Você sabe, como o tipo que você recebe com MalCare.
Detecção de vulnerabilidade
A Sucuri detectou a maioria das vulnerabilidades em nosso site, embora não todas. iThemes não encontrou nenhum.
Após habilitarmos o scanner do lado do servidor, a Sucuri detectou que tínhamos alguns plugins vulneráveis instalados no site. Não detectou todos, e a recomendação foi simplesmente atualizá-los.
Além disso, há uma visualização pós-hack no wp-admin que lista os plugins e temas atualmente instalados, suas versões instaladas e as últimas versões disponíveis. Na descrição desta seção, a Sucuri menciona que as vulnerabilidades estão ligadas à segurança do site, e é uma boa prática manter tudo atualizado. É improvável que alguém chegue lá em uma olhada de rotina no plug-in, portanto, não temos certeza de que o posicionamento seja útil.
Como parte da solicitação de remoção de malware, a Sucuri também nos enviou uma mensagem para recomendar que aplicássemos medidas de proteção e atualizássemos nossos (2 de 3) plug-ins vulneráveis. Isso faz parte da lista de verificação pós-hack.
O iThemes não sinaliza vulnerabilidades. No entanto, ele possui um contador extremamente inútil no painel, indicando quantas atualizações foram feitas desde o momento em que o plug-in foi instalado. Como essa informação pode ser útil, não podemos imaginar.
Proteção de login de força bruta
Sucuri deveria bloquear ataques de força bruta e alertá-lo, mas não o faz. O iThemes às vezes funciona, às vezes não. Difícil dizer o que é pior.
O iThemes registra cada tentativa incorreta de login como um ataque de força bruta, o que francamente é aterrorizante para o usuário ver. Em um caso, realmente esquecemos a senha.
Quando tentamos força bruta na página de login, vimos resultados desiguais. O iThemes bloqueou as tentativas em um site, mas não no outro. Tentamos descobrir o que estava causando essa discrepância, mas a única diferença era o malware no site. Como o malware geralmente é consequência de ataques de força bruta bem-sucedidos, não achamos que esse seja o motivo. Mais provavelmente, parece haver um bug que faz o recurso funcionar esporadicamente. Com efeito, é inútil.
A Sucuri deu esperança para nós, porque há um conjunto granular de opções para ataques de força bruta. Você pode definir o número de tentativas com falha que contam como um ataque de força bruta. Nós o configuramos para modestas 30 tentativas por hora, embora os ataques de login sejam geralmente várias 100 tentativas por minuto.
Depois de ver todas as configurações de bloqueios, ficamos um pouco apreensivos por sermos bloqueados do site. Desativamos o MalCare para que a proteção de login do MalCare não bloqueasse a tentativa. No entanto, nada aconteceu. Tentamos mais de 40 logins incorretos em 3 minutos, mas a Sucuri não emitiu nenhum alerta. Verifiquei os logs de auditoria e a autenticação com falha aparece bem. Mas, sem alertas. Sem bloqueios. Nada.
Registro de atividade
O iThemes possui um recurso de registro de atividades incompleto. Sucuri tem uma boa, mas pode ser obscura.
A Sucuri possui um recurso chamado Audit Logs, que rastreia todas as ações dos usuários, plugins e temas. O recurso funciona como esperado, porém uma das configurações nos deu uma pausa. Você precisa de uma chave de API para “impedir que invasores excluam logs”. Isso basicamente autoriza a Sucuri a coletar e armazenar dados sobre o site fora do site, o que é bom, mas a linguagem que eles usam é no mínimo chocante. Mais sobre isso na seção de usabilidade.
Embora os logs funcionem como, bem, logs e coletem o registro de data e hora, o usuário e a ação, eles podem ser muito obscuros. Por exemplo, instalamos um novo plug-in que aparece como plug-in ativado. Até agora tudo bem. E há mais 7 entradas no log que mostram o que a instalação afetou. Mas há pouca explicação sobre o que essas entradas significam. Esses arquivos ou pastas foram alterados, talvez? Não, depois percebemos que esse plug-in específico, que é um plug-in de galeria, alterou o modelo das postagens. Isso faz sentido, mas a revelação não veio da Sucuri.
Um log de atividades é uma parte importante do kit de ferramentas de segurança do seu site. Os hackers aproveitam o registro insuficiente para atacar sites e, portanto, você deve esperar um registro confiável em que possa confiar para compartilhar informações corretas sobre seu site.
Basicamente, não como o que o iThemes tem. O registro de atividades aqui contém algumas informações úteis, como atividade do usuário, gerenciamento de versão, varreduras de sites e ataques de força bruta. Nada sobre plugins ou temas. Há um recurso separado que também envia por e-mail um relatório de alteração de arquivo todos os dias. Em suma, os logs são inadequados porque não mostram uma imagem precisa do seu site.
Autenticação de dois fatores
O iThemes possui um ótimo recurso de autenticação de dois fatores que funciona imediatamente. Sucuri não.
Depois de destruir iThemes neste e em outros artigos semelhantes da série, estamos felizes em informar que este é um dos únicos recursos de segurança que realmente funcionam no iThemes - e funciona muito bem nisso.
O recurso de autenticação de dois fatores no iThemes é muito robusto. Ele tem uma tonelada de personalizações e funciona imediatamente sem problemas. O plug-in também ajuda a impor senhas fortes, que defendemos fortemente.
Nossa única preocupação aqui é que a versão iThemes pro possui várias configurações que removem tokens de login para facilitar o uso: login sem senha, dispositivos confiáveis, links mágicos e assim por diante. Embora sejam úteis para facilitar o processo de login, eles anulam o propósito da autenticação de dois fatores.
Procuramos autenticação de dois fatores quando testamos a Sucuri. Descobrimos que existe no painel da Sucuri. No entanto, ficamos surpresos e surpresos ao perceber que a autenticação de dois fatores está disponível para sua conta Sucuri, não para seu site WordPress.
Uso de recursos do servidor
O iThemes não drenará os recursos do seu servidor, porque não faz nada. A Sucuri prejudicará o desempenho do seu site com suas varreduras.
Curiosamente, as pessoas não costumam nos perguntar sobre os recursos do servidor no contexto da segurança. Mas, idealmente, você deseja que seu site seja protegido e não fique lento no processo. O scanner da Sucuri fará isso no seu site.
As varreduras da Sucuri afirmam usar os recursos do servidor do site. Na verdade, eles parecem desencorajar varreduras frequentes por esse motivo. Francamente, isso é terrível. Por que alguém deveria escolher entre desempenho e contas de servidor razoáveis de um lado e segurança do outro? Eles não estavam brincando embora. Houve um grande aumento nos recursos do servidor assim que instalamos o Sucuri e, em seguida, executamos uma segunda verificação. Se em um site pequeno a diferença é tão perceptível, em um site grande será consideravelmente mais.
Além disso, em Configurações gerais no painel, há uma configuração para Armazenamento de dados que parece indicar que a Sucuri armazena muitos dados (registros principalmente pela aparência) no próprio site. Provavelmente é por isso que uma chave de API é necessária, porque está tudo na pasta de uploads por padrão, que é uma pasta de acesso público. Existe uma opção para alterar o armazenamento para uma pasta não acessível ao público, mas esse deveria ser o padrão para começar.
O iThemes não esgotará os recursos do seu servidor. Como pode, quando não faz nada?
Alertas
O iThemes não o alerta para nada. A Sucuri sim, mas você precisa ter cuidado com os alertas que deseja receber. Sua caixa de entrada pode encher em horas.
A Sucuri permite que você configure alertas para serem enviados a pessoas específicas, personalize o formato dos alertas e muito mais. Você também pode adicionar intervalos de endereços IP para que esses endereços não sejam sinalizados para alertas. Esteja avisado para descrições cheias de jargões. O que é ' roteamento entre domínios sem classe '? Não queríamos saber, só queríamos proteger o site.
A julgar pelas configurações granulares de alertas, a Sucuri parece estar ciente de que eles podem enviar muitos alertas. Há uma configuração para configurar alertas máximos recebidos em uma hora, digamos até 5 e-mails. O problema com isso é: suponha que os 5 primeiros sejam falsos positivos e o 6º não seja? Há um aviso de isenção de responsabilidade - mas, novamente - é melhor ter as informações reais em vez de um recurso inútil. Nosso argumento aqui é que nenhum administrador verá a floresta por causa das árvores. Há muito barulho.
Surpreendentemente, ainda estamos revisando iThemes, não desistindo por uma causa perdida. O iThemes nos enviou relatórios de notificação de alteração de arquivo, backups de banco de dados e outras confirmações de nossas configurações. Também assinamos um resumo diário de segurança sobre nosso site e um relatório de vulnerabilidade uma vez por semana, presumivelmente para que possamos verificar isso em nossos sites. Já era ruim o suficiente com um site, com mais sites poderia ficar completamente fora de controle.
Instalação, configuração e usabilidade
A instalação do iThemes foi surpreendentemente difícil, devido às confusas opções de configuração. O Sucuri era bastante direto, mas as opções de configuração no plug-in eram terrivelmente assustadoras.
O iThemes foi o primeiro plug-in que testamos, então inicialmente parecia ser fácil. Ele também definiu o padrão para as configurações mais inúteis. Você precisa passar por uma configuração para poder criar um painel de segurança. Passamos por cada uma das configurações, mas nenhuma delas tem um impacto real na segurança, então as definimos aleatoriamente e deixamos por isso mesmo.
A Sucuri foi instalada sem problemas e o plug-in configurado sozinho. Tivemos que criar uma conta na Sucuri para acessar os recursos pagos. Além disso, vale ressaltar que para instalar o scanner do lado do servidor, você precisa usar o painel externo da Sucuri. Não é difícil de fazer se você tiver detalhes de FTP prontamente disponíveis, embora não vejamos muito sentido porque não detectou nenhum malware.
O painel do iThemes no seu wp-admin é ruído. Não há informações relacionadas à segurança que sejam relevantes.
O painel e as configurações da Sucuri são insanamente complicados. Passamos horas tentando descobrir o que eles querem dizer com os termos técnicos que usam. Em alguns casos, o plug-in informa a configuração recomendada, portanto, o usuário está trabalhando essencialmente com fé cega. O único problema é que a Sucuri não inspira fé cega, porque seu scanner de malware não funciona!
Desejamos que este plugin seja mais fácil de entender. Parece muito complicado e parece fazer um monte de coisas, mas não podemos ter certeza porque algumas das coisas que sabemos serem importantes, como proteção contra força bruta, parecem não funcionar.
O firewall e o scanner do lado do servidor devem ser ativados separadamente. Levamos mais de uma semana para descobrir este plugin com 3 sites. Estremecemos ao pensar no que aconteceria com alguém que manuseasse mais. É tão tedioso para configurar.
Queremos reiterar que as configurações são difíceis de entender para usuários não técnicos. Não sabíamos que havia algo chamado software de análise de log. Também vimos mensagens interessantes para o proxy reverso, onde a Sucuri nos diz para não nos preocuparmos com essa opção, a menos que saibamos o que é. Obrigado pela confusão com um lado de condescendência.
iThemes: Extras
Há um recurso de lista branca muito elaborado no iThemes, o que foi surpreendente até percebermos que parece haver um número excessivo de reclamações de bloqueio de sites que vimos. Há dois problemas com isso: um é que os IPs do dispositivo mudam, portanto, colocar seu IP na lista de permissões não é uma proteção tão segura quanto você pensaria; e dois, tentamos de tudo para acionar um bloqueio. Mas isso não aconteceu.
O monitor de alteração de arquivo é outro recurso que parece uma boa ideia, a menos que você saiba alguma coisa sobre segurança. Os hackers podem alterar os registros de data e hora do arquivo, até mesmo fazendo parecer que o arquivo não foi editado por anos. Além disso, há uma lista de exclusão de tipo de arquivo para este monitor. Francamente, isso mostra uma falta de compreensão do malware. O malware pode se esconder em qualquer arquivo, incluindo arquivos .ico, por exemplo.
O iThemes possui um bom sistema de gerenciamento de senhas. Você pode impor senhas fortes e recusar-se a permitir senhas comprometidas. Também é possível definir senhas de aplicativos para XML-RPC, se você quiser.
Por fim, o iThemes possui alguns recursos de proteção, a maioria dos quais não recomendamos. A única que faz sentido é bloquear a execução do PHP na pasta de uploads. Isso evita um certo tipo de ataque de malware. Os outros, recomendamos ignorar completamente.
Sucuri: extras
O painel da Sucuri no wp-admin parece bastante impressionante, mas logo de cara vimos que a maior infobox é a integridade do WordPress. Esperançosamente, isso é apenas para a versão gratuita que estamos usando atualmente, porque esta é essencialmente uma versão aprimorada de um monitor de alteração de arquivo para arquivos principais do WordPress.
Em alguns casos, podemos ver que é útil, considerando que muitos malwares entram nos arquivos principais. Por outro lado, também podemos ver que pode ser uma sinecura porque pessoas inexperientes podem acreditar que essa é a extensão do malware, o que é um pensamento assustador. Curiosamente, 2 dos 3 arquivos de integridade wordpress sinalizados eram do MalCare: o conector de emergência e o firewall.
Mais profundamente nas configurações, há um utilitário de comparação de integridade para comparar arquivos principais e encontrar diferenças. Isso pode ser mais fácil de usar do que um utilitário de verificação de diferenças online.
Havia um número considerável de opções de endurecimento: algumas úteis, outras nem tanto. Gostamos de poder bloquear o PHP na pasta de uploads, o firewall e ativar a atualização automática de chaves secretas, que altera os sais do wordpress.
No entanto, verificar a versão do WordPress, remover a versão do WordPress, evitar o vazamento de informações (remove o arquivo leia-me que o WordPress apenas recria) e verificar a conta de administrador padrão são recursos tolos com impacto minúsculo na segurança. Francamente, toda a indústria de segurança abandonou esses truques.
Se você optar por desativar o plug-in e o editor de temas, achará a atualização complicada. Ele inclui uma ressalva sobre alguns plugins e temas que precisam de acesso a arquivos PHP nessas pastas. Isso é inadequado. Caso em questão: a própria Sucuri salva arquivos PHP na pasta uploads. Eles não querem acessar seus próprios arquivos de seu painel externo? Ou isso é uma exceção à regra? Nesse caso, a regra parece flexível de maneiras ocultas do usuário.
Estávamos interessados em verificar o recurso pós-hack no painel wp-admin. Após a limpeza, você quer ter certeza de fazer tudo para proteger seu site de futuros hacks. Gostamos da ideia, até que procuramos um pouco mais.
Você pode atualizar as chaves secretas - alterar os sais do wordpress - no painel. O único problema com isso é que está em texto simples, visível para todos os administradores conectados ao wp-admin. Se um hacker tiver uma conta com acesso de administrador, isso é ridiculamente perigoso. Esse recurso só faz sentido se um usuário tiver verificado que nenhuma das contas de administrador está comprometida e, em seguida, alterar os salts. Um ponto que não é mencionado em nenhum lugar.
Você pode redefinir as senhas dos usuários. Novamente, um recurso aparentemente bom até você ler as letras miúdas: “Selecione usuários da lista para alterar suas senhas, encerrar suas sessões e enviar por e-mail um link de redefinição de senha. Esteja ciente de que o plug-in alterará as senhas antes de enviar os e-mails, o que significa que, se o seu servidor da Web não puder enviar e-mails, seus usuários serão bloqueados no site.”
Existe um local para ver as atualizações de plugins e temas disponíveis, que é o gerenciamento básico de versões. Ele não adiciona nada à funcionalidade existente do painel de administração. No entanto, pode servir para educar as pessoas de que plugins e temas desatualizados estão ligados à segurança.
O que está faltando no iThemes Security e Sucuri
O iThemes não possui firewall, o que é uma lacuna séria para a segurança do seu WordPress. Os firewalls protegem os sites de certos tipos de ataques e são inestimáveis se o seu site tiver vulnerabilidades.
O scanner de malware da Sucuri não é adequado. Portanto, mesmo que o serviço de remoção de malware seja ótimo, você deve adivinhar que há malware em seu site porque o scanner não o sinalizará.
iThemes Security vs Sucuri: Preços
O plano de plataforma básica da Sucuri de US$ 199,99 por ano por site é um bom negócio para serviços ilimitados de remoção de malware. No entanto, considerando que é suposto ter um scanner funcionando também, isso é tudo que o seu sub vai conseguir para você. iThemes não vale nada. Apenas não se incomode.
Deixamos nossa opinião sobre iThemes bastante clara neste artigo. O único recurso que vale a pena mencionar no iThemes é a autenticação de dois fatores, disponível no plano gratuito. Definitivamente, não recomendamos o plano Pro.
O preço da Sucuri é um roubo para um serviço de remoção de malware, mas a mosca na pomada é o scanner. Se você não sabe que tem malware, não pode enviar uma solicitação de remoção.
Melhor alternativa para iThemes Security e Sucuri: MalCare
Invista em um bom plug-in de segurança que escaneie, limpe e proteja seu site contra hackers. De todos os plugins que testamos para esta série, o MalCare se destaca como a melhor opção. O MalCare supera o iThemes em, bem, tudo, e procura por malware melhor do que o Sucuri.
Na verdade, o plano básico de US$ 99 da MalCare é melhor do que o plano de plataforma básica de US$ 199,99 da Sucuri, com remoção instantânea de malware também. Também inclui limpezas ilimitadas
Conclusão
A segurança do seu site é de suma importância. Vimos muitos clientes economizarem em um plug-in de segurança, apenas para enfrentar perdas devastadoras após um hack. Um cliente desistiu depois de um ponto e decidiu reconstruir seu site do zero. O malware é caro, o MalCare não.
O artigo ajudou você a tomar uma decisão? Adoraríamos saber! Deixe-nos cair uma linha.