iThemes Security vs Wordfence: Qual plug-in de segurança você deve escolher?

O iThemes Security parece um ótimo negócio por apenas US $ 199 para sites ilimitados e, devido ao seu preço imbatível, tem sido um concorrente sério na corrida de plugins de segurança do WordPress.

No outro canto temos Wordfence, o peso pesado indiscutível nesta categoria. O Wordfence é conhecido pelo plug-in gratuito com muitos recursos e por sua pesquisa e recursos de segurança. Para a versão premium, cada site custará um mínimo de US$ 99 por ano; que ainda é um bom negócio.

Mesmo nesta fase, não há comparação real entre os dois. No entanto, executamos ambos através de uma bateria de testes.

Nesta série, os 5 principais plugins de segurança passaram por batalhas no estilo gladiador com malware, ataques e vulnerabilidades. Qual deles saiu o vencedor? Leia mais para descobrir.

VERDICT iThemes Security vs Wordfence é uma competição desigual. O plugin gratuito do Wordfence é muito melhor do que o plugin premium do iThemes Security. O Wordfence tem suas desvantagens, mas pelo menos protege o site até certo ponto. iThemes, nem tanto.

Nossa escolha

Nesta série, queríamos testar os principais plugins de segurança do WordPress para descobrir qual deles realmente funciona. Para isso, criamos 3 sites: Um era um blog simples, com alguns plugins e temas, como controle. O segundo site tinha 3 plugins desatualizados com vulnerabilidades. Escolhemos plugins que variavam de populares a obscuros e tinham um conjunto de vulnerabilidades. E, finalmente, tivemos um site cheio de malware.

3 sites, 5 plugins, 45 dias. Testamos scanners de plugins, limpadores, firewalls, proteção de bots, firewalls, logs de atividades e muito mais. Contabilizamos novos malwares, malwares antigos, malwares baseados em arquivos, malwares de banco de dados, hacks de redirecionamento, hacks farmacêuticos, injeções de SQL, ataques de força bruta e muito mais.

Os resultados foram claros: apenas o MalCare conseguiu escanear, limpar e proteger os sites de teste. Se você está procurando tranquilidade com a segurança do seu WordPress, o MalCare é o caminho a percorrer.

Resumo da comparação iThemes Security vs Wordfence

iThemes Security vs Wordfence é um acéfalo: Wordfence até o fim.

Vamos considerar a segurança do WordPress como um espectro entre dois extremos: sem proteção e uma falsa sensação de segurança de um lado, e falsos positivos e avisos terríveis do outro. O iThemes Security oferece uma falsa sensação de segurança, e o Wordfence é aquele que o mantém em um estado de medo quase constante.

Em nossa opinião considerada, ambos não são boas opções. No entanto, o Wordfence possui uma excelente versão gratuita que protegerá seu site em grande parte, enquanto mesmo a versão premium do iThemes Security não fará nada para proteger seu site. Nosso conselho para evitar os dois extremos e optar por um bom plug-in de segurança.

Segurança iThemes em poucas palavras

O iThemes Security é de longe o pior plugin de segurança do WordPress que já vimos. Ele tem alguns bons recursos, como autenticação de dois fatores e suporte a senhas fortes, mas é isso. Não há scanner de malware, ele não pode limpar malware e não faz sentido discutir um firewall. Na verdade, se você usa o iThemes agora, verifique seu site imediatamente.

Curiosidade: iThemes foi o primeiro plugin de segurança que testamos. O site e todo o processo de configuração nos deram a impressão de que, sim, esses caras sabem do que se trata a segurança do WordPress. Infelizmente, porém, nenhum desses conhecimentos parece ter chegado ao plugin real.

O iThemes Security é um scanner de malware, na verdade, porque não há mecanismo para limpar malware. Nem o site diz que existe um firewall. Isso não é ótimo, porque a digitalização é um dos pilares da segurança do WordPress, mas não o único. No entanto, você pode reunir uma mistura de vários plugins para fornecer essa funcionalidade, se você tiver um scanner decente em primeiro lugar.

Ah, mas esse era o problema. iThemes não é um scanner de malware. Não é um scanner de vulnerabilidade. Ele verifica a lista negra do Google para o seu site. Você sabe, a mesma coisa que você pode fazer na página do Transparency Report, sem precisar instalar um plugin. A maior oferta foi que a varredura durou segundos. Não há como um scanner passar por todos os arquivos e pastas do site em segundos literais.

A proteção de força bruta para a página de login era irregular e inconsistente, e o log de atividades era inútil. Mais sobre isso mais tarde.

No lado positivo, o iThemes Security possui um excelente recurso de autenticação de dois fatores. Também gostamos de como foi fácil implementar o reCAPTCHA no wp-login. E, finalmente, as configurações de gerenciamento de senha do usuário eram realmente granulares e detalhadas. Além disso, existem alguns recursos decentes de proteção do WordPress, como bloquear a execução do PHP em pastas.

No geral, testar o iThemes Security foi uma experiência reveladora. Levamos a segurança muito a sério, e ficamos chocados ao ver como o palavreado inteligente e um conjunto de recursos enganosos podem enganar o administrador a pensar que seus sites estão protegidos. Na verdade, recomendamos fortemente a todos os usuários do iThemes que repensem completamente sua segurança e verifiquem seu site imediatamente.

Wordfence em poucas palavras

Wordfence é o melhor plugin de segurança gratuito que encontramos depois do MalCare. É altamente recomendável para sites com orçamento absolutamente zero para segurança. O firewall bloqueia a maioria dos ataques, o scanner detecta a maioria dos malwares baseados em arquivos e o recurso de reparo de malware o ajudará a se livrar da maioria deles. A desvantagem é que haverá uma tonelada de falsos positivos, alguns malwares perdidos e os serviços de limpeza de hack de emergência são exorbitantes.

Ficamos empolgados em experimentar o Wordfence, porque é o plug-in de segurança mais usado. E depois de algumas experiências horríveis (leia: iThemes), seria ótimo ver como o plugin lidava com a segurança do WordPress.

Entraremos em mais detalhes em seções posteriores, mas queremos falar sobre os principais aspectos de segurança aqui primeiro.

Wordfence tem um scanner decente, que pegou todo o malware baseado em arquivo que tínhamos em nossos plugins e temas gratuitos. Mas, existem algumas grandes ressalvas sobre sua eficácia. O scanner não pode detectar malware baseado em banco de dados, nem malware em plugins e temas premium. Além disso, foi um pedágio notável em nosso site para executar a verificação.

Em seguida, tentamos o reparo automático de malware. Para nossa alegria, ele reparou quase imediatamente todo o malware baseado em arquivo do site; não o malware baseado em banco de dados embora. Pensando bem, este não é um ótimo desempenho para um limpador, mas obviamente foi melhor do que os outros nesta série de testes que ficamos genuinamente satisfeitos em ver a diferença.

O firewall foi bastante eficaz, bloqueando a maioria dos principais e comuns ataques do WordPress que afetam o site. Um problema que temos aqui é que o firewall gera uma tonelada de alertas para nós. Nós realmente precisamos saber que alguém da Alemanha tentou hackear nosso site 20 vezes nos últimos 5 minutos em 20 notificações separadas? Não, nós não. Nossa caixa de entrada foi afogada em alertas do Wordfence em poucos dias, e era impossível separar o joio do trigo. Além disso, os usuários gratuitos obtêm atualizações de firewall mais tarde do que os usuários premium, portanto, há uma janela de oportunidade para os hackers invadirem sites desprotegidos.

Existem alguns recursos de segurança de outra forma também. O Wordfence executa um navio enxuto, e todas as outras funcionalidades, como atualizar plugins quando vulnerabilidades são detectadas, são deixadas para wp-admin. Faz sentido, porque por que duplicá-lo no mesmo painel? Tem uma proteção de força bruta muito boa e a autenticação de dois fatores é robusta.

Também ficamos apaixonados pela imensa usabilidade do plugin. A linguagem é acessível e direta, sem o uso de jargão excessivo. Recursos mais avançados destinados a usuários avançados também estão escondidos nas configurações.

No entanto, ficamos surpresos ao notar que não há log de atividades como tal, exceto uma lista ilegível destinada aos desenvolvedores do Wordfence. Além disso, não há proteção de bot para o site. Finalmente, e mais condenável para este plugin, é preciso uma enorme quantidade de recursos do servidor para funcionar. Tanto que os hosts da web proibiram completamente o uso do Wordfence.

Em suma, o Wordfence é um excelente plugin de segurança, mas não o melhor para o seu site. O MalCare é o caminho a seguir com um scanner excelente, limpeza eficaz de malware e um firewall avançado com atualizações em tempo real.

O que procurar em um plugin de segurança

A segurança do WordPress pode ser uma fera confusa para lidar, especialmente com a considerável desinformação disponível online. Uma coisa é certa, os hackers podem lhe custar receita, negócios, ações judiciais, despesas diretas, branding, tráfego orgânico e muito mais. O plugin de segurança certo irá neutralizar tudo isso, além de economizar tempo e dinheiro para investir em outras áreas do seu negócio.

Muitas vezes nos deparamos com a pergunta: como você escolhe o plug-in de segurança certo para o seu site WordPress?

A resposta é geralmente uma lista de recursos. Alguns são vitais, outros nem tanto. Mas todo plugin quer vender seus mais de 100 recursos, a maioria dos quais tem pouco ou nenhum impacto na segurança do seu site. Mas a lista irá confundir o problema por tempo suficiente para tornar a segurança do WordPress uma dor de cabeça novamente.

Por isso, compilamos esta lista essencial — e curta! — de recursos de segurança. Você deve procurar um plug-in de segurança que marque quase tudo nesta lista e obter outras soluções para os recursos que ele não possui.

• Recursos essenciais de segurança
  • Verificação de malware
  • Limpeza de malware
  • Firewall
• Recursos de segurança bons para ter
  • Detecção de vulnerabilidade
  • Proteção de login de força bruta
  • Registro de atividade
  • Autenticação de dois fatores
• Problemas potenciais
  • Impacto nos recursos do servidor

O único plugin que chega perto de acertar todas as caixas é o MalCare. Ao escolher o MalCare, você garante que seu site tenha a melhor segurança disponível contra hackers e seus malwares.

iThemes Security vs Wordfence: comparação direta de recursos

Nesta seção, detalhamos nossas descobertas caso você esteja interessado em ler mais sobre um recurso específico. Após 45 dias de testes, tivemos muitas informações e muitas descobertas. Tudo o que está encapsulado aqui para o seu prazer de leitura.

Os recursos são ordenados do mais para o menos importante, e avaliamos ambos os plugins em cada fator. Nosso objetivo era apresentar tudo o que encontramos da maneira mais justa possível, para que não nos retivessemos em nenhum lugar.

Se você quiser apenas chegar ao cerne deste exercício, instale o MalCare e você não precisaria ouvir sobre alguns dos horrores que descobrimos.

Verificação de malware

O scanner do Wordfence detectou malware baseado em arquivo em nosso site de teste, mas não o malware em nosso banco de dados. Também perdeu malware em plugins e temas premium. O iThemes Security não escaneou nosso site em primeiro lugar, então obviamente não iria encontrar nenhum malware.

Depois de instalar o Wordfence, ele configura a primeira verificação automaticamente. Tão longe tão bom. Deixou o scanner para terminar e explorou os outros recursos por algumas horas. Só para ver que ainda estava preso em 60%. Considerando que o site era bem pequeno, o que dá?

Acontece que 60% não é uma barra de progresso, mas uma porcentagem que indica a eficácia do scanner gratuito. Para obter 100% completo, você precisaria atualizar para a versão pro do plugin. É justo, mas a maneira como foi exibida no painel foi muito confusa.

Reiniciamos a verificação e ficamos satisfeitos em ver que ela terminou muito rapidamente. O scanner sinalizou a maioria dos malwares, embora não todos. O malware que foi facilmente detectado estava nos arquivos principais do WordPress e nos arquivos e pastas de plugins e temas gratuitos. Ele perdeu o malware de redirecionamento hackeado no banco de dados e todos os arquivos que estavam em plugins e temas premium.

Lançamos muitos malwares baseados em arquivos no Wordfence e ele detectou quase todos. Ele possui um extenso banco de dados de malware para o algoritmo de correspondência de assinatura, portanto, esperamos que ele detecte cerca de 70 a 80% do malware. Isso não é tão bom quanto 95%, como no MalCare, mas é muito melhor do que todos os outros plugins de segurança disponíveis. A detecção, afinal, é metade da batalha.

As advertências que temos com o Wordfence são que há uma tonelada de alertas e um alto número de falsos positivos. Ambos os fatores podem fazer com que os alertas percam seu impacto ao longo do tempo, e então existe um perigo real de que um alerta genuíno possa passar despercebido. Além disso, as verificações consomem muitos recursos do servidor para serem executadas. Falaremos mais sobre isso em uma seção posterior.

O scanner iThemes não procura malware. Ele verifica se o seu site está em uma lista negra, e isso também é apenas uma lista negra. A Sucuri também tem esse cheque, mas eles tiveram a decência de, em primeiro lugar, não rotulá-lo como scanner, e, em segundo lugar, verificar mais do que apenas a lista negra do Google. Nossos sites de teste obviamente não estavam na lista negra, porque não estão indexados. Então, quando o relatório de varredura de malware do iThemes nos deu uma ficha limpa para um site cheio de malware? Não estou impressionado.

Limpeza de malware

O iThemes Security não possui limpeza de malware, automática ou não. O Wordfence pode reparar arquivos de malware, mas a eficácia depende do malware detectado. O Wordfence possui um serviço premium de remoção de malware, que custa US $ 490 por site.

Após a verificação, o Wordfence lista 2 opções para lidar com arquivos invadidos - além de um CTA para obter ajuda profissional: exclua todos os arquivos excluíveis e repare todos os arquivos reparáveis.

A opção de exclusão eliminou 1 arquivo com sucesso sem erros, depois de mostrar uma mensagem aterrorizante sobre como a exclusão de arquivos pode quebrar seu site. É verdade, mas o malware também é assustador! De qualquer forma, a opção era algo como um aborto úmido, então passou para a opção de reparo. A opção de reparo tinha um aviso semelhante, mas conseguimos reparar a maioria dos arquivos. Quando executamos o site pelo scanner do MalCare, o site estava livre de malware.

A maioria dos outros plugins de segurança falhou neste momento, então não tivemos que testar muito mais. Tínhamos obtido nossos resultados. No entanto, o banco de dados de assinatura de malware do Wordfence é abrangente, então ampliamos a rede.

Adicionamos o malware de redirecionamento hackeado ao banco de dados do nosso site, com algumas instâncias do hack de palavras-chave japonesas para uma boa medida. Também ocultamos pedaços de malware em nossos plugins e temas premium, suspeitando que essas coisas atrapalhariam o scanner e o limpador. E eles fizeram.

A conclusão que surgiu foi que, se a equipe do Wordfence viu o malware, o reparo dos arquivos funciona. Caso contrário, não. O Wordfence também falha quando há malware no banco de dados. Portanto, malware como o do hack de redirecionamento ou até mesmo malware mais recente definitivamente fará falta. Ele também perderá malware em arquivos não essenciais do WordPress ou plugins e temas não públicos. O Wordfence não consegue encontrar malware em plugins e temas premium.

Caso o reparo automático não funcione, você pode optar pelo serviço de remoção de malware do Wordfence. O serviço remove malware, backdoors e avalia o site em busca de vulnerabilidades. O Wordfence também ajuda a remover o site cheio de malware de qualquer lista negra em que ele possa ter chegado. A limpeza do site é garantida por um ano, somente se o administrador do site seguir as instruções pós-hack ao pé da letra. Não podemos comentar sobre a eficácia do serviço de remoção de malware, pois não o testamos.

Como dissemos antes, o iThemes Security não pode limpar malware, então nada mais a ser dito nessa frente.

Em nossa experiência, a limpeza de malware é o aspecto mais crítico da segurança do WordPress. Definitivamente, isso deve ser feito apenas por especialistas em segurança, porque há um enorme potencial para que as coisas dêem terrivelmente errado. O MalCare oferece a opção de limpar malware automaticamente e acessar especialistas em segurança para ajudar com quaisquer problemas que possam surgir.

Firewall

O iThemes Security não possui firewall. O Wordfence possui um firewall de aplicativo da Web que protege da maioria das ameaças principais e comuns de forma eficaz. Mas a versão gratuita recebe atualizações posteriores à versão premium.

Um firewall WordPress é uma parte importante do seu arsenal de segurança, pois impede ataques e tráfego malicioso por meio do uso de regras. Na maioria dos plugins de segurança que analisamos, evitamos explicar os detalhes mais técnicos, pois não fazia sentido porque os firewalls eram terríveis ou inexistentes. Mas com o Wordfence, as coisas ficaram um pouco mais complicadas.

Quando instalamos o Wordfence, o firewall entrou diretamente no modo de aprendizado. Essa é uma etapa necessária para que o firewall possa entender o tráfego normal do site e, portanto, bloquear as ameaças com mais eficiência. Como não recebemos nenhum tráfego para nossos sites, desativamos o modo de aprendizado imediatamente, embora seja recomendável mantê-lo por pelo menos uma semana.

Há uma seção separada para gerenciar o firewall do Wordfence, então exploramos isso a seguir. A primeira vez que você o vê, ele explica o que é um firewall e o que ele faz para proteger seu site. Ele também introduz o termo 'firewall de aplicativo da web' aqui com uma breve descrição.

Depois de testar os firewalls gratuitos e premium, fica claro que o Wordfence possui um excelente firewall em ambas as versões. Ambos evitaram uma série de ataques de injeção de SQL, falsificações de solicitações entre sites, injeções remotas de código e ataques de script entre sites. Não conseguimos explorar vulnerabilidades de plugins e temas.

Foi aí que pensamos que deveríamos nos aprofundar: qual é a diferença entre as versões gratuita e premium?

Nas opções de firewall, o Wordfence explica a diferença: a versão gratuita carrega como um plugin normal, após o WordPress ser carregado. Além disso, a versão premium recebe atualizações de regras em tempo real, enquanto a versão gratuita recebe atualizações após um período de tempo não especificado.

Ambas as coisas nos deram uma pausa.

Em primeiro lugar, um firewall deve ser carregado primeiro para obter a melhor proteção, no entanto, a maioria dos plug-ins de segurança com firewalls geralmente carregam após o WordPress como um plug-in comum. Se este for o caso, o firewall Wordfence pode manter a maior parte do tráfego malicioso, mas certamente não todo.

Em segundo lugar, o Wordfence possui o firewall mais atualizado, no entanto, os usuários não premium obtêm atualizações posteriormente. Mesmo essa janela é problemática, porque os hackers podem atacar durante ela. Quando o firewall gratuito recebe atualizações de regras: dias, semanas ou meses depois? Quem sabe.

Sem surpresa, o iThemes não possui um firewall.

Detecção de vulnerabilidade

O iThemes Security não pode detectar vulnerabilidades, muito menos ajudar a resolvê-las. O Wordfence captou todas as vulnerabilidades que colocamos no site, independentemente de serem populares ou obscuras.

Wordfence sinalizou todos os plugins desatualizados com vulnerabilidades descobertas corretamente como ameaças críticas. Também incluímos vários plugins obscuros na lista, alguns com menos de 200 usuários. Os outros plugins não foram capazes de detectar essas vulnerabilidades, por isso é animador ver que o Wordfence o fez. O scanner até sinalizou plugins desatualizados como uma ameaça média, o que é excelente porque é sempre bom manter tudo atualizado.

Você não pode corrigir vulnerabilidades diretamente do painel do Wordfence. A maioria dos outros plugins, como Jetpack e Sucuri, recomendavam atualizações e permitiam que você as executasse no mesmo painel. Mas olhando ao redor do Wordfence, não há como fazer isso. No entanto, ele leva você ao painel de atualizações, o que é bom o suficiente. Não há razão lógica para replicar a funcionalidade existente que já existe no wp-admin.

Curiosamente, o scanner também nos mostrou erros com os plugins iThemes e BackupBuddy que instalamos em um dos sites de teste. Parece haver anomalias de codificação nos plugins.

Esperávamos que o scanner iThemes verificasse pelo menos vulnerabilidades, considerando sua falha abjeta como um scanner de malware. É, não.

Além disso, o painel do iThemes possui um contador que indica quantas atualizações foram feitas desde que o plugin foi instalado. Imaginamos que essa desculpa ruim para uma métrica deve ser útil para acompanhar as atualizações de plugins e temas. Mas realmente não é.

Proteção de login de força bruta

iThemes às vezes bloqueia ataques de força bruta, às vezes não. Wordfence bloqueia todos os ataques de força bruta infalivelmente.

Com iThemes, vimos blocos de força bruta inconsistentes. Quando tentamos inserir uma série de credenciais incorretas na página de login, o iThemes bloqueou apenas as tentativas em um site, mas não no outro. A única diferença entre os dois sites era que o primeiro tinha malware, enquanto o segundo não. O malware geralmente é o resultado de um ataque de login bem-sucedido, portanto, é improvável que essa diferença seja o motivo. Depois de várias horas tentando os testes repetidamente, os resultados foram inconclusivos. Finalmente desistimos de tentar descobrir o que parece ser um bug.

Após este exercício em profunda frustração, verificamos os logs do iThemes. Cada tentativa de login incorreta foi registrada lá como um ataque de força bruta, mesmo no momento em que realmente esquecemos nossa senha. E, no entanto, o plugin não bloqueou todos eles. Muito estranho e, portanto, não confiável.

Com o Wordfence, primeiro analisamos as configurações. A proteção de força bruta é habilitada por padrão e você pode acessar a seção de firewall para personalizar as opções.

Você pode definir bloqueios para tentativas de login incorretas e até por quanto tempo um usuário ficará bloqueado após um certo número de tentativas de login incorretas. O que é especialmente ótimo é que eles explicam o que cada opção faz em uma ótima documentação e como usá-la de maneira mais eficaz para proteger o site.

Você pode definir uma lista de permissões para IPs que não devem ser testados pelo firewall. Vimos esse recurso em muitos plugins, mas com a mudança de IPs de dispositivos, não faz muito sentido.

As opções de senha forte também estão aqui. Você pode impor senhas fortes, impedir o uso de senhas encontradas em violações de dados e muito mais.

Finalmente, começamos a testar, e a proteção de força bruta funciona exatamente de acordo com as configurações que escolhemos. Perfeito cada vez.

Registro de atividade

O log de atividades do iThemes não registra todos os eventos, por isso é inútil. O Wordfence não possui um log de atividades.

Somos grandes defensores do registro de atividades humilde. É uma ferramenta de segurança necessária porque os hackers aproveitam o registro insuficiente para atacar sites. Idealmente, você deseja um log confiável que tenha as informações corretas sobre os acontecimentos do seu site.

Então, não como o iThemes tem. O log de atividades do iThemes promete boas informações, como atividade do usuário, gerenciamento de versões, varreduras de sites e ataques de força bruta. Mas estes não são registrados com precisão, portanto, não podem ser confiáveis ​​para apresentar a imagem correta. Além disso, não há nada sobre plugins ou temas.

O Wordfence, surpreendentemente, não possui um registro de atividades. Há uma opção para habilitar a depuração na seção Diagnóstico em Ferramentas, que permite que os logs do firewall sejam mais detalhados. Há um log de atividades completo para eventos do Wordfence apenas na seção Scan, mas isso não é a mesma coisa que um log de atividades. Além disso, é um log bruto destinado exclusivamente aos desenvolvedores do Wordfence. Ao habilitar o modo de depuração, você também consumirá mais recursos do servidor. Está dito muito claramente nessa seção.

Autenticação de dois fatores

O iThemes possui uma excelente autenticação de dois fatores que funciona perfeitamente fora da caixa. O mesmo com Wordfence.

A autenticação de dois fatores funciona perfeitamente em ambos os plugins. Ambos têm um grande conjunto de opções e configuração mínima. Com o Wordfence, a autenticação de dois fatores costumava ser um recurso premium que agora eles também habilitaram para usuários gratuitos.

Temos apenas uma pequena observação com a versão pro do iThemes. Existem muitas configurações que removem tokens de login na versão pro: login sem senha, dispositivos confiáveis, links mágicos e assim por diante. Em nossa opinião, eles se opõem diretamente ao princípio da autenticação de dois fatores, facilitando o processo de login.

Uso de recursos do servidor

O iThemes é muito gentil com os recursos do seu servidor, pois não faz nada. Wordfence é realmente banido por certos hosts da web devido ao seu imenso custo para os recursos do servidor.

Estávamos muito animados para colocar o Wordfence à prova. No entanto, a verdadeira surpresa veio quando verificamos o desempenho do site. As verificações dobraram e, em alguns casos, triplicaram o uso do disco do nosso site, pois as verificações do Wordfence ocorreram. Reconhecemos que nossos sites de teste são muito pequenos, então eles não consomem muitos recursos para começar, mas mesmo assim é um salto significativo. Em sites maiores, a penalidade seria considerável.

Na verdade, qualquer alteração nas configurações padrão vem com um aviso de que haverá mais recursos do servidor consumidos. É seguro assumir que o Wordfence usa recursos do servidor do site para executar todas as suas tarefas.

O que é ruim o suficiente, mas vai ficar muito pior com o firewall. Quaisquer ataques sustentados sobrecarregarão o site, mesmo que esteja protegido contra essas explorações.

O uso de recursos do servidor raramente é um ponto de discussão na segurança do site, mas geralmente os plug-ins de segurança têm um impacto perceptível no desempenho do site. Tanto que o administrador tem que fazer uma troca entre segurança e usabilidade. Achamos que isso nunca deveria ser o caso, e você pode ter seu bolo e comê-lo também com MalCare.

iThemes é ótimo para os recursos do seu servidor. Não posso dizer o mesmo para a segurança do seu site.

Alertas

O iThemes não envia alertas. Wordfence envia muitos.

Os alertas precisam atingir o ponto ideal entre nenhum e muitos. Ambos são extremos igualmente ruins, porque o resultado líquido é que você não tem ideia do que realmente é a segurança do seu site.

O scanner do Wordfence pode gerar muitos falsos positivos, então você realmente não sabe quando seu site é realmente invadido. Depois de um certo ponto, pode se tornar como o menino que gritou lobo. O mesmo com o firewall. O firewall deve apenas bloquear ataques sem disparar um alarme a cada vez, pois não serve a um propósito. Portanto, nossa opinião é que o Wordfence gera muitos alarmes para ser útil.

iThemes envia um monte de e-mails totalmente banais e inúteis: relatórios de notificação de alteração de arquivo, backups de banco de dados e outras confirmações de nossas configurações. Há também um resumo de segurança diário sobre nosso site e um relatório semanal de vulnerabilidades. Imaginamos que isso seja para nosso conhecimento, para que possamos atualizar os plugins e temas ofensivos em nossos um ou vários sites manualmente.

Instalação, configuração e usabilidade

Wordfence instala como um encanto. Sem configurações complexas e configurações obscuras. O iThemes, por outro lado, foi muito difícil.

O iThemes é enganosamente fácil de começar e depois se transforma lentamente em muitas configurações inúteis. Há uma longa configuração para percorrer antes mesmo de o painel ser criado. Para ser honesto, deveríamos ter lido os sinais e dado este como uma causa perdida. Mas nós somos glutões de punição que força para um bem maior.

A instalação do Wordfence foi muito fácil e não há opções de configuração iniciais. A primeira tela que aparece é a assinatura de e-mail, que indica claramente que você recebe notícias de segurança em sua caixa de entrada. A próxima tela é um prompt para atualizar para premium. Neste ponto, não sabíamos quais recursos o plugin gratuito tinha, então não colocamos nossa licença premium imediatamente.

Há um passo a passo de 3 dicas de ferramenta ao visitar o painel no wp-admin pela primeira vez. A usabilidade e a linguagem são ótimas no Wordfence. Existem explicações claras sobre os recursos e como eles afetam a segurança. Não é avassalador, nem faz coisas idiotas.

O design do painel é muito intuitivo e você pode ver rapidamente todos os aspectos importantes de segurança relacionados ao seu site. No geral, nossa primeira impressão do Wordfence foi ótima.

Além disso, o Wordfence oferece recomendações úteis para configuração. A documentação, que você pode acessar nas dicas de ferramentas no painel, é altamente contextual. Ele define claramente o que cada recurso faz e por que, além de como configurá-lo de maneira ideal para funcionar em seu site. Novamente, vale ressaltar como a linguagem utilizada é acessível.

iTemas: Extras

Depois de analisar os aspectos críticos de segurança e encontrar o iThemes severamente ausente, esta seção parece quase risível.

iThemes encheu o plugin com uma grande quantidade de recursos, que têm pouco ou nenhum impacto na segurança. Caso em questão: o recurso de IP da lista de permissões. Os IPs de nossos dispositivos mudam o tempo todo, portanto, isso não é garantia de que certas pessoas terão acesso ao site, o que presumivelmente é o ponto.

Há também um monitor de alteração de arquivos, que envia um relatório para seu endereço de e-mail a cada 24 horas. O relatório contém uma lista de todos os arquivos alterados. Não qual foi a mudança, quem a fez ou quando exatamente aconteceu. Não, apenas um e-mail dizendo: “Olá! Tudo isso em seu site agora é diferente do que era ontem. Tchau!"

Uma vez que superamos nossa irritação, queríamos reconhecer que o iThemes tem um bom sistema de gerenciamento de senhas. Você pode impor senhas fortes e se recusar a permitir que senhas comprometidas sejam usadas no site. Não conseguimos testar isso de forma conclusiva, mas novamente os resultados foram irregulares.

Existe um recurso útil de proteção: bloquear a execução do PHP na pasta de uploads. Os outros são um absurdo.

Wordfence: Extras

Os extras do Wordfence são todos estritamente relacionados à segurança. Nenhum recurso útil adjacente, como atualizações ou opções de gerenciamento de usuários. Dito isto, há um monte de extras.

Após a instalação inicial, vimos uma seção de notificações para atualizações do site. Em nosso site de teste, ele nos mostrou que 5 plugins precisavam ser atualizados.

Existe um status do Wordfence Central que permite gerenciar vários sites a partir do wp-admin de cada site. Isso faz sentido se você tiver alguns sites na mesma conta, mas o espaço é limitado e não funcionará para agências com centenas de sites. Ainda bem que há um painel externo. Você precisa criar uma conta no site do Wordfence para acessar o Wordfence Central. Em nossa opinião, não faz sentido ter a caixa central no painel do site.

Adicionamos todos os sites de teste ao Wordfence Central e obtivemos uma visão geral de todos eles. Não é o melhor layout para mais de 20 sites. A ideia é boa, falta a execução.

Em seguida, verificamos a seção Ferramentas. Há um painel para tráfego ao vivo, que à primeira vista parecia uma versão do Google Analytics, mas acabou sendo mais do que isso. Você pode definir os logs de tráfego para incluir todo o tráfego ou apenas o tráfego relacionado à segurança. Os logs são ótimos, pois há uma legenda clara para indicar que tipo de tráfego o site está recebendo: humano, bot, aviso, bloqueado.

Há também uma pesquisa Whois, caso você queira ver quem está atacando seu site. Na melhor das hipóteses, isso é uma frescura, porque esse recurso também está facilmente disponível online.

O Diagnostics é um recurso interessante. Ele contém um monte de informações sobre o site, desde proprietários de processos até tabelas de banco de dados e muito mais. É como uma especificação do site em um só lugar, junto com o status de cada uma dessas coisas. Difícil imaginar como um usuário comum (não-dev) usaria qualquer uma dessas informações, mas definitivamente útil para um desenvolvedor.

O que está faltando no iThemes Security e Wordfence

iThemes está faltando um scanner, limpador e firewall. Also, it would be nice if it had functional brute force protection and activity log, and detected a vulnerability on occasion. One can hope.

Wordfence doesn't have bot protection nor an activity log. Other than that, it is a comprehensive and well-rounded security plugin.

Wordfence vs iThemes Security: Pricing

It is not worth buying iThemes Security, because its only worthwhile feature is two-factor authentication, which is available for free. Wordfence premium is available for $99 for the year, but the free version is strong enough on its own.

Wordfence's free plugin is really great, considering it is free. The premium licenses are at a max of $99 per site, and get progressively lower with the more licenses you purchase.

The real kicker is the site cleaning service which is a hefty $490 per site, and although they say unlimited pages in the features, additional charges may apply for sites above 10 GB—which, fair enough. They do have a malware removal guarantee for 1 year, but there are caveats in the small print. So read those carefully.

After reading this article, you know that iThemes isn't worth your money. Use it for two-factor authentication or get a dedicated plugin for that feature.

Better alternative to iThemes Security and Wordfence: MalCare

The best thing you can do for your website is to invest in a good security plugin. The plugin should scan, clean and protect your website from all manner of threats. During our testing series, only one plugin stood out: MalCare. It outshines iThemes in every way, and has a much better scanning, auto-cleaning, firewall, and notifications compared to Wordfence. It is a no-brainer.

MalCare's $99 Basic plan includes unlimited cleanups, which is equivalent to Wordfence's $99 plan and $490 per cleanup needed thereafter.

Conclusão

We hope this article helped you decide on a way forward for your website security. If you have any questions or thoughts, do drop us a line. Gostaríamos muito de ouvir de você!