Jetpack vs iThemes: qual é a melhor segurança para o seu site WordPress?

O Jetpack é desenvolvido pela Automattic, o desenvolvedor OG WordPress, por isso é uma escolha popular e aparece muito nas recomendações. Ele também possui muitos outros recursos para administração de sites incorporados aos planos premium, portanto, ter tudo em um painel é uma proposta atraente.

O iThemes oferece um ótimo jogo em seu site e parece o plug-in de segurança WordPress mais acessível para vários sites. Por US $ 199 por ano para sites ilimitados, quanto mais você tiver, mais retorno obterá pelo seu investimento.

No entanto, há muito mais na segurança do WordPress do que fanfarra. Falaremos sobre tudo isso no artigo.

O iThemes nem vale a pena considerar como um plugin de segurança. Ele não tem um scanner ou firewall. Tanto o iThemes quanto o Jetpack não têm meios de remoção de malware, portanto, mesmo que o Jetpack tenha sinalizado malware - que ele perde 60% das vezes - você precisa encontrar outra maneira de se livrar dele. Se você realmente deseja proteger seu site WordPress, escolha o MalCare.

Resumo da comparação entre Jetpack e iThemes

Não há comparação real entre os 2 plugins: é como comparar um telefone com duas latas conectadas por string.

Segurança iThemes em poucas palavras

Chegamos à conclusão de que o iThemes é uma perda de tempo e dinheiro. Se você tiver iThemes instalado agora, você deve escanear seu site imediatamente. Seu site literalmente não tem segurança.

O iThemes está repleto de recursos simples que podem dar a um usuário inexperiente a ilusão de um site seguro. Embora não pretenda limpar malware, afirma fazer a varredura. É aí que reside o problema: o site iThemes não afirma explicitamente que verifica malware ou que detecta vulnerabilidades. Implica isso usando a palavra 'varredura' em estreita proximidade com as palavras 'vulnerabilidades' e 'malware'. Na verdade, todo o site da iThemes é enganosamente redigido para transmitir que seu site está obtendo grande segurança.

Alerta de spoiler: não é. Ficamos tentados a parar de testar ali mesmo, mas avançamos no interesse da justiça.

Você pode usar o iThemes para habilitar bem a autenticação de dois fatores em sua página de login e alguns outros recursos de proteção do WordPress, como bloquear a execução do PHP em pastas. A proteção de login de força bruta funciona de forma desigual, funcionando apenas algumas vezes.

Entendemos porque, à primeira vista, a segurança para sites ilimitados por apenas $ 199 parece um ótimo negócio. Na verdade, no entanto, você estaria pagando pela autenticação de dois fatores - com muitos enfeites e detalhes - e pela implementação do reCAPTCHA em sua página de login.

Esses recursos têm valor do ponto de vista da segurança, mas não adicionam nenhuma segurança real ao seu site. Outros plug-ins de segurança mais robustos os terão como padrão. Como alternativa, você pode optar por um plug-in dedicado.

No geral, testar o iThemes foi uma experiência terrível, porque podemos imaginar quantas pessoas têm a impressão equivocada de que seus sites WordPress estão protegidos. Se você usa iThemes em seu site WordPress, você deve escanear seu site agora mesmo.

Segurança do Jetpack em poucas palavras

O plano Scan do Jetpack possui um scanner de nível médio que encontrará alguns malwares nos arquivos. Ele também fez um trabalho razoável ao detectar vulnerabilidades de plugins e temas. No entanto, não recomendamos o uso do plano Security Daily, porque o Jetpack não é um bom plug-in de segurança. Ele captura apenas uma pequena fração do malware, e mesmo o 1% perdido causará estragos. Recomendamos uma varredura profunda para encontrar malware de forma eficaz.

O plano gratuito do Jetpack tem proteção de força bruta contra ataques de login, e a atualização para o plano Scan oferece um scanner decente. Também gostamos que o Jetpack não prometa nada que não faça, especialmente quando comparamos isso com o iThemes.

O Jetpack possui um bom log de atividades, ótimo para depurar problemas e uma ferramenta importante na segurança do WordPress. Você pode gerenciar todas as funcionalidades do seu site a partir de um painel externo do WordPress.com, o que também é ótimo. O Jetpack também envia e-mails quando detecta problemas que requerem sua atenção.

Por outro lado, a proteção de login de força bruta não funciona. Isso já é ruim o suficiente, mas o pior são os malwares e vulnerabilidades perdidos. Comparamos os resultados da verificação do Jetpack com os do MalCare e descobrimos que o Jetpack não foi capaz de detectar cerca de 30% dos arquivos infectados por malware. Dos 3 plugins vulneráveis, ele sinalizou apenas 2.

Concedido, nenhum plug-in de segurança é perfeito e o cenário de ameaças está em constante evolução. No entanto, se tivéssemos que escolher um plugin de segurança, sempre escolheríamos um com melhor desempenho. Mesmo que um hack chegue ao seu site, haverá uma carnificina.

O que você deve procurar em uma solução de segurança

Um ótimo plug-in de segurança economiza muito dinheiro em termos reais. Investir em um plug-in de segurança pode evitar perda de receita, anúncios bloqueados e classificações de SEO ruins. Mas como todos os plugins de segurança não são construídos da mesma forma, como você escolhe o melhor para o seu site?

Quando testamos os plugins de segurança, procuramos a eficácia e a facilidade de seu desempenho nos seguintes pontos:

• Recursos de segurança essenciais
  • Verificação de malware
  • Limpeza de malware
  • Firewall
  • Detecção de vulnerabilidade
  • Proteção de login de força bruta
  • Registro de atividade
• Recursos de segurança úteis
  • Autenticação de dois fatores
• Problemas potenciais
  • Impacto nos recursos do servidor

Nosso critério não negociável para um bom plug-in de segurança é que ele deve proteger seu site contra hackers e bots, ser capaz de escanear seu site em busca de malware e ajudá-lo a limpar seu site para que fique intacto novamente. MalCare faz todas essas coisas - e muito mais - perfeitamente, então naturalmente temos altos padrões.

Jetpack vs iThemes: comparação frente a frente de recursos

Quando começamos a testar outros plugins de segurança, percebemos rapidamente que existem muitos recursos que têm pouco ou nenhum impacto na segurança dos sites. Em alguns casos, eram placebos, incluídos para deixar o painel e a tela de configurações mais bonitos, imaginamos. Então, refatoramos um pouco nosso processo de teste, focando mais nos recursos de segurança reais, depois nos chamados recursos de segurança e, finalmente, nas outras coisas que contribuem para um bom plug-in (UI, painel, preços, etc.)

Verificação de malware

O Jetpack perdeu a maior parte do malware. Para nossa surpresa, o iThemes não detecta absolutamente nada.

Testamos os planos Scan and Security Daily do Jetpack, porque a versão gratuita deles não possui scanner.

Lançamos muitos malwares no Jetpack e ele sinalizou alguns dos arquivos que continham malware. Alguns dos arquivos que tinham código incorreto não foram sinalizados, então o scanner definitivamente não está 100%. Os alarmes eram essencialmente sem sentido, porque apareciam como “padrão de código malicioso”.

Se tivéssemos testado o Jetpack primeiro, não teríamos ficado muito impressionados com isso. Mas, por sorte, tentamos primeiro o iThemes. E cara, isso colocou a fasquia baixa. Para nossa total descrença, percebemos que o scanner iThemes só verifica se o site está listado na lista negra do Google.

Essa é literalmente a extensão de seus recursos de digitalização. Ambos os nossos sites de teste ruins obtiveram uma boa saúde do iThemes, porque eles não estão na lista negra do Google.

Limpeza de malware

Tanto o Jetpack quanto o iThemes não afirmam limpar malware, então obviamente não podem e não limpam.

Os detalhes do plano do Jetpack nos deram uma vaga esperança de que alguns malwares pudessem ser corrigidos automaticamente, mas nenhum de nossos arquivos hackeados era corrigível. O plug-in sugere que entremos em contato com um provedor de serviços para remover o malware ou tente removê-lo manualmente e execute a verificação novamente. Em um esforço para ser útil, o código inválido é marcado nos resultados da verificação, portanto, presumivelmente, podemos excluí-lo do arquivo.

Considerando que o iThemes não pode escanear malware, segue-se que ele não pode limpar malware. Em sua defesa, porém, eles não afirmam ser capazes.

A limpeza de malware é a parte mais difícil e complicada de lidar com um hack e, portanto, os serviços de remoção de hack cobram quantias exorbitantes para fazer isso. O MalCare possui um recurso de limpeza automática embutido no plug-in (e na assinatura), eliminando completamente a necessidade de serviços de remoção de hackers.

Firewall

Não há firewalls aqui.

Uma das partes críticas da segurança do WordPress é um firewall. Os firewalls impedem o tráfego malicioso e, portanto, protegem seu site contra hackers. Os hackers procuram vulnerabilidades para explorar em sites, e os firewalls são fundamentais para fazer isso.

Nem o Jetpack nem o iThemes têm firewall. Sabe qual plugin possui um firewall inteligente, projetado especificamente para proteger sites WordPress? MalCare.

Detecção de vulnerabilidade

O Jetpack detectou a maioria das vulnerabilidades em nossos sites de teste. Mais uma vez, o iThemes falhou, não detectando nada.

O Jetpack foi capaz de detectar plug-ins vulneráveis ​​e oferecer uma opção de correção automática para eles, que é essencialmente atualizá-los. Como o plano Security Daily do Jetpack tem backups integrados, pudemos testá-lo e funcionou perfeitamente. Nossa única ressalva aqui foi que o scanner detectou apenas 2 dos 3 plugins vulneráveis.

O iThemes é incapaz de verificar as versões do plug-in e do tema ao que parece. Ele tem um contador extremamente redundante no painel que mostra um resumo das atualizações que foram feitas.

Proteção de login de força bruta

O Jetpack bloqueia tentativas repetidas de login com elegância. A proteção de login do iThemes não é confiável.

O iThemes marca cada login errado como uma tentativa de força bruta, o que era desnecessariamente alarmante. Quando tentamos usar força bruta na página de login de 2 de nossos sites de teste, o iThemes bloqueou a tentativa em apenas 1 site.

A diferença entre os sites é que um tinha malware e o outro não. Tentamos no terceiro site também, e a proteção contra força bruta não funcionou. No geral, os resultados foram inconclusivos. Achamos que o recurso funciona esporadicamente, o que o torna inútil.

O Jetpack oferece proteção contra ataques de força bruta em seu plano gratuito. As tentativas de login não são limitadas, mas você verá um desafio numérico discreto adicionado à página de login após 10 tentativas malsucedidas. Ele registra todas as tentativas com falha após as 3 primeiras como tentativas de login maliciosas, o que é justo.

Também esperávamos que nosso IP fosse bloqueado depois de tentar mais de 50 logins incorretos em menos de um minuto. A expectativa foi amplamente alimentada pela opção de colocar IPs de administrador na lista de permissões para evitar bloqueios. Os bloqueios são a ruína dos plug-ins de segurança mal codificados, então provavelmente é por isso que essa opção existe. De qualquer forma, tentamos forçar um bloqueio de IP, mas não conseguimos.

Registro de atividade

O registro de atividades do Jetpack é ótimo, embora os dados estejam disponíveis apenas por 30 dias. Os logs do iThemes estão incompletos e, portanto, não são úteis.

Um registro de atividades é uma ferramenta crítica para proteger sites, porque os hackers aproveitam o registro insuficiente para atacar sites. O iThemes registra a atividade do usuário, gerenciamento de versão, varreduras de sites e ataques de força bruta. Não vimos nenhum outro tipo de atividade registrada durante nossa janela de teste. Tomado isoladamente como um log de atividades, classificaríamos seu desempenho como justo. Teria sido melhor ter visto as alterações que os plugins fizeram nas configurações. Por exemplo, instalamos o Jetpack ao mesmo tempo e ele mudou muitas configurações. Nada disso apareceu no log de atividades.

No entanto, quando consideramos o log de atividades do iThemes junto com o scanner inexistente e a proteção de força bruta irregular, nossa classificação despenca. Os logs são onde o administrador iria verificar o status de segurança de seu site. É para ser um instantâneo e simplesmente não pinta a imagem correta.

O Jetpack, por outro lado, possui um excelente registro de atividades. Você tem uma amostra disso no plano gratuito, mas vê que realmente funciona nos planos pagos. Ele rastreia todas as ações do usuário, ameaças (isso é em um plano premium, é claro) e até alterações nas configurações. A tela de atividades também funciona como um minipainel, indicando coisas que precisam de atenção, como plugins e temas desatualizados ou malware.

Nossa única ressalva com o log de atividades do Jetpack é que mesmo a versão premium possui dados de apenas 30 dias. Não é o suficiente.

Autenticação de dois fatores

O iThemes possui um recurso robusto de autenticação de dois fatores. O Jetpack não tem esse recurso.

História divertida: a autenticação de dois fatores é o primeiro recurso que testamos com o iThemes e ficamos bastante impressionados. Existem muitas personalizações possíveis e funciona perfeitamente imediatamente. Os usuários podem ter o token de sua escolha e funciona muito bem.

No entanto - sim, existe um 'porém' - o plano profissional tinha vários recursos chamados que na verdade removiam outros tokens de login; ou seja, login sem senha, dispositivos confiáveis ​​e links mágicos. Todas essas opções fornecem métodos alternativos para fazer login em uma conta e negam honestamente todo o ponto da autenticação de dois fatores: que é um token de login adicional em tempo real. Então ficamos confusos com isso. A solução é não usar esses recursos.

O Jetpack não tem autenticação de dois fatores.

Uso de recursos do servidor

A verificação do Jetpack sobrecarrega os recursos do servidor. iThemes não porque, bem, não faz nada. Portanto, não há dúvida de uso do servidor.

Agora este é interessante. Muitas pessoas não consideram quanta carga seus plugins de segurança colocam em seus servidores de sites. A menos que recebam um e-mail do provedor de hospedagem, talvez. Para sites menores, isso pode não ser um grande problema. Mas para grandes sites? Você absolutamente tem que considerar as implicações.

iThemes, podemos ignorar com segurança porque nenhuma varredura, nenhuma proteção, nenhuma limpeza significa nenhuma carga. Na verdade, ganha esse ponto, porque até um relógio quebrado está certo duas vezes por dia.

O Jetpack fez com que os recursos do nosso servidor aumentassem durante a verificação. Nosso site mal chega a um banco de dados de 60 MB, então é realmente um site leve, para começar. Se nosso site fosse mais pesado ou um site de comércio eletrônico, o impacto seria muito mais visível e, portanto, é motivo de preocupação.

Alertas

O Jetpack envia alertas por e-mail para malware e vulnerabilidades detectados. O iThemes não envia nenhum tipo de alerta.

Se algo der errado com seu site, você quer saber imediatamente para poder resolvê-lo. O Jetpack alerta você sobre a presença de malware e possíveis vulnerabilidades instantaneamente após a conclusão da verificação. Há também notificações do painel para malware. Isso é ótimo, porque esses alertas são de missão crítica. Você quer saber instantaneamente quando as coisas estão ruins.

No entanto, também testamos o recurso de monitoramento de tempo de inatividade, porque fazia parte do plano e estávamos curiosos para saber como o Jetpack lida com o tempo de inatividade. Acontece que o Jetpack não nos alertou quando nossos sites caíram. Tentamos travar o site de várias maneiras: renomeando o arquivo index.php para obtermos um erro de Proibido; renomear o arquivo wp-load.php para que o site não possa ser acessado e muito mais. Nenhuma dessas coisas causou um pontinho no Jetpack.

O monitoramento do tempo de inatividade não é estritamente um recurso de segurança, mas o tempo de inatividade é um dos sintomas de malware. Além disso, gostaríamos de saber o segundo em que nosso site caiu. É realmente tão crítico. Portanto, estamos em conflito sobre como classificar os alertas do Jetpack: do ponto de vista da segurança, eles funcionam; mas ainda não cumprem as promessas que fazem. Isso nos deixa cautelosos quanto a confiar no plug-in.

A essa altura do artigo, você sabe que o iThemes não fez nada de útil. Recebemos relatórios de alteração de arquivo, notificações de quando fizemos um backup do banco de dados, ingressamos na rede de força bruta e outras confirmações. Além disso, recebemos um resumo diário de segurança com informações absolutamente inúteis e um e-mail semanal com a lista de vulnerabilidades do WordPress que foram descobertas.

Talvez devêssemos verificar os temas e plug-ins de nosso site em relação a esta lista útil e tomar as medidas necessárias. No entanto, cansamos de fazer isso para um site; esqueça os outros dois. É impossível para qualquer pessoa com um número considerável de sites gerenciar.

Instalação, configuração e usabilidade

Mais uma vez, o Jetpack supera o iThemes aqui. No que presumimos ser um esforço para parecer competente em segurança, o iThemes encheu todo o plugin de ruído. Simplesmente não há outra maneira de descrevê-lo.

A instalação do iThemes parece ser fácil. Não havia necessidade de criar uma conta para começar, o que nos ajudou a começar imediatamente. Você pode optar por definir as configurações na instalação ou pular para fazê-lo mais tarde. Mas se você pular a configuração, seu painel de segurança não será criado. Foi aí que a parte fácil parou bruscamente.

As opções de configuração são confusas para um novo usuário. Dá a impressão de controle granular, mas não tem impacto real na segurança. Percorremos todas as configurações para entender o que precisávamos fazer para ter um site seguro, mas no final das contas foi uma perda de tempo com o iThemes.

A instalação do Jetpack foi um pouco dolorosa. Você não pode avançar com nenhum dos recursos de segurança, a menos que crie ou conecte uma conta WordPress.com, que serve como painel externo.

Além disso, você continua sendo solicitado a escolher um plano e é retirado do wp-admin várias vezes para fazer isso. Por fim, para obter pelo menos uma primeira impressão do plug-in, optamos por um plano de digitalização. A configuração foi muito, muito mais fácil, porque você não é apresentado a uma avalanche de personalizações e opções desnecessárias. Nós realmente precisamos personalizar o e-mail de força bruta que vai para o administrador, iThemes? Não, nós realmente não!

O painel do iThemes é inútil, porque não há informações reais relacionadas à segurança. Os logs de força bruta não têm sentido se as tentativas não forem registradas corretamente. Não precisamos de uma lista de varreduras sobre se nosso site está ou não na lista negra do Google. O painel Jetpack wp-admin era melhor, mas apenas um pouco. Como usuário gratuito, você verá principalmente o que seu plano pode fazer, mas não faz. Haverá um contador para evitar ataques maliciosos, mas nenhum dado granular sobre esses ataques. Apenas um número é uma métrica de vaidade para o Jetpack e talvez uma métrica reconfortante para administradores nervosos.

iThemes: Extras

Vimos muitas reclamações sobre administradores sendo bloqueados em seus sites pelo iThemes. Então, presumivelmente, é por isso que eles têm um recurso elaborado de lista de permissões de IP que até detecta seu IP atual. Tentamos isso algumas vezes e, como os IPs dos dispositivos podem mudar, a lista de permissões tinha vários IPs. Curiosamente, isso deve garantir às pessoas que elas não serão bloqueadas em seu site. No entanto, com base em nossos aprendizados, você não pode realmente ficar bloqueado em seu site com iThemes de qualquer maneira, e isso não tem nada a ver com a lista de permissões.

Em seguida, o iThemes possui um monitor de alteração de arquivo. O monitoramento de alterações de arquivo tem um valor de segurança limitado, porque os arquivos também podem ser editados para mostrar um registro de data e hora impreciso. Também ficamos perplexos ao ver que existe uma lista de exclusão de extensão de arquivo, que inclui tipos de arquivo conhecidos por conter malware, como arquivos .ico, por exemplo.

O iThemes possui um sistema de gerenciamento de usuários extraordinariamente granular. Você pode definir as configurações até a função do usuário. No entanto, escondidas em todo esse barulho estão algumas boas políticas de gerenciamento de senhas: imponha senhas fortes e recuse senhas comprometidas . Você também pode ter senhas de aplicativos diferentes da senha da sua conta, para poder usar o XML-RPC.

Por fim, o iThemes possui alguns recursos de fortalecimento, que desmentimos em outros artigos como sendo contra-intuitivos. Por exemplo, não altere sua URL de login. Os próprios iThemes dizem que é uma má ideia. Você pode desabilitar o editor de arquivos, mas é de valor limitado porque um hacker com acesso de administrador pode instalar um plug-in.

O único recurso que achamos que faz sentido é bloquear a execução do PHP na pasta de uploads . No entanto, o iThemes também sugere que você faça isso para as pastas de plugins e temas, e isso é pura loucura. Alguns plugins possuem scripts que precisam ser acessados ​​diretamente, e certamente quebrarão neste caso. É impossível para um usuário normal determinar se este é o caso.

Jetpack: Extras

Jetpack agrupa backups com sua segurança . Obviamente, somos grandes defensores dos backups, por isso somos totalmente a favor desse recurso. Não o testamos porque, tecnicamente, não é um recurso de segurança, mas um recurso realmente bom de se ter em todos os casos.

Surpreendentemente, o Jetpack também possui um recurso de prevenção de bloqueio. De acordo com o site deles, seu IP pode ser bloqueado como parte da proteção de força bruta, mas não encontramos um bloqueio quando tentamos usar força bruta na tela de login. Você pode adicionar seu endereço IP a esta lista de permissões, mas com a alteração de endereços IP para dispositivos, isso não é útil.

Quando você cria uma conta Jetpack, na verdade está criando uma conta WordPress.com. Isso também serve como seu painel externo e a grande maioria das informações é mostrada aqui. O Jetpack no seu wp-admin é mais um instantâneo.

O que está faltando no iThemes e no Jetpack

Tanto o Jetpack quanto o iThemes não possuem firewall, portanto, não podem proteger sites de certos tipos de ataques. Este é um problema flagrante, porque se você tiver vulnerabilidades em seu site, um firewall forte pode reduzir significativamente o número de exploits.

Gostaríamos de ver mais alguns recursos de proteção no Jetpack também e, francamente, os recursos de segurança poderiam ser mais robustos.

Jetpack vs iThemes: preços + considerações finais

iThemes é um desperdício de dinheiro. O plano de digitalização do Jetpack é de US$ 80 por site por ano para um scanner médio; o plano Security Daily não vale o preço.

Se você leu qualquer parte deste artigo, sabe que o iThemes não vale um centavo. Sua única graça salvadora é a autenticação de dois fatores, que você pode obter com o plano gratuito. O plano Pro oscila à beira de ser uma farsa.

O scanner do Jetpack não é perfeito. Não detectou todos os malwares nem todas as vulnerabilidades. No entanto, foi útil em termos de identificação de arquivos com malware. Não há limpeza de malware para falar, então, em nossa opinião, o plano Security Daily não vale a pena considerar do ponto de vista da segurança.

O plano gratuito não é inicial. A proteção contra força bruta é um recurso importante, mas gostaríamos de ver a varredura pelo menos aqui também. Não há como verificar a presença de malware no plano gratuito.

Melhor alternativa para iThemes e Jetpack: MalCare

A melhor segurança que você pode obter para o seu site WordPress é investir em um bom plug-in que oferece digitalização, limpeza e proteção. O MalCare é uma alternativa muito melhor para iThemes e Jetpack em todos os nossos critérios de teste.

Na verdade, o plano $ 150 Plus da MalCare é comparável ao plano Security Daily de $ 300 da Jetpack, com melhores recursos e pela metade do preço. Simplesmente não há concurso.

Conclusão

Se você precisa economizar, a segurança do seu site não é o lugar para fazê-lo. Pagar por um plug-in de segurança premium para proteger seu site é um bom investimento porque é muito mais caro lidar com as consequências do malware.

Tem alguma ideia para compartilhar? Deixe-nos cair uma linha. Gostaríamos muito de ouvir de você!