Jetpack vs Wordfence: Qual é melhor?
Publicados: 2022-04-22Jetpack é um plug-in administrativo multifuncional e empacota backups, segurança, crescimento e velocidade em um plug-in prático e prático. Além disso, ele tem o prestígio de ser do estábulo da Automattic, então obviamente tem peso no domínio do WordPress.
Nosso outro concorrente é o Wordfence, sem dúvida o plugin de segurança WordPress mais popular hoje. Eles são conhecidos por sua abordagem de segurança sem prisioneiros e pelos excelentes recursos de segurança que desenvolvem de forma consistente.
Colocamos 5 plugins de segurança do WordPress à prova em uma série de testes que durou 1,5 meses. Queríamos descobrir como cada plug-in lida com malware, ataques, vulnerabilidades e muito mais.
Veredicto Talvez seja melhor fazer uma coisa muito bem do que fazer muitas coisas, mas ser mediano. Entre Jetpack vs Wordfence , porque independentemente de seu pedigree WordPress, Jetpack perdeu nesta batalha campal. O Wordfence é um ótimo plugin de segurança gratuito, com algumas desvantagens, mas ainda assim uma opção melhor para o Jetpack.
Nossa escolha
A ideia central por trás desta série de testes era encontrar o melhor plugin de segurança do WordPress para o seu site. Para isso, pegamos os 5 principais plugins, 3 sites de teste e reservamos 45 dias para descobrir todos os prós e contras de cada plugin.
Nossos 3 sites de teste foram configurados da seguinte forma: um blog simples com cerca de 500 posts, imagens e comentários como controle; um site com plugins e temas vulneráveis; e por último um site cheio de diferentes tipos de malware. Submetemos os plug-ins a ataques de injeção de SQL, ataques RCE e ataques de força bruta, ao mesmo tempo em que os colocamos contra o malware de redirecionamento, o pharma hack, o malware de palavras-chave japonesas e muito mais.
Cada plugin possui um conjunto diferente de recursos, mas para a segurança do WordPress, os mais importantes são o scanner, o limpador e o firewall. Há outros bons para ter também, mas estes são críticos.
Ao final de 45 dias, surgiu um vencedor claro: MalCare. Com um scanner sofisticado, limpador automático de malware e um firewall avançado, era impossível vencê-lo. Procurando o melhor plugin de segurança para o seu site WordPress? Escolha MalCare.
Resumo da comparação Jetpack vs Wordfence
Se você estava se perguntando, Jetpack vs Wordfence - qual escolher? Escolha Wordfence. É ordens de magnitude melhor como um plugin de segurança.
Gostamos da abordagem tudo-em-um do Jetpack para a administração do WordPress, mas realmente leva uma surra na frente de segurança, especialmente quando comparado ao Wordfence. Isso não significa que o Wordfence não tenha seus próprios problemas; apenas que é contextualmente melhor que o Jetpack.
Em última análise, nem o Jetpack nem o Wordfence são a melhor opção para a segurança do seu site. Entraremos em mais detalhes posteriormente neste artigo, mas se você quiser ir direto ao assunto, baixe o melhor plug-in de segurança da categoria: MalCare.
Jetpack em poucas palavras
O scanner de malware do Jetpack é, na melhor das hipóteses, medíocre. Ele será capaz de detectar alguns malwares em seu site. No entanto, não há opção de limpeza nem firewall. Embora existam alguns recursos de segurança decentes, eles têm menos impacto na segurança do site. No geral, o Jetpack não é uma boa opção.
Com qualquer plug-in de segurança, procuramos 3 fatores importantes antecipadamente: scanner de malware, limpador de malware e firewall. O Jetpack já foi reprovado em 2 de 3 dessa lista, então começamos verificando o scanner de malware.
Jetpack foi o segundo plugin que testamos, depois do iThemes e, francamente, ficamos felizes em ver algo funcionar como deveria. Obviamente, essa não é uma boa abordagem ao tentar ser objetivo, então lançamos muito malware no Jetpack para ver como ele reagiria. Lamentavelmente, o scanner de malware capturou cerca de 30% dos arquivos e pastas infectados em nosso site WordPress hackeado.
Quando testamos os outros recursos, como proteção de força bruta, funcionou de forma inconsistente. Algumas vezes os ataques foram interrompidos e outras vezes não conseguimos obter nenhuma resposta. O plugin também não detectou todas as vulnerabilidades no site. Os mais obscuros permaneceram despercebidos, embora contivessem sérias falhas de segurança. Nosso site de teste tinha apenas alguns temas e plugins vulneráveis, então o resultado de 2 em 3 não foi ruim. No entanto, com um site maior com mais software, essa proporção certamente será muito pior.
Mas não foi de todo ruim. O registro de atividades do Jetpack é realmente ótimo e fácil de usar. Nenhum jargão tecnológico obscuro que as pessoas não possam entender facilmente. Também gostamos do recurso de backups integrados, porque os backups podem ser a última graça salvadora de um site infectado. No entanto, não pudemos testar os backups porque estava fora do escopo deste experimento.
No geral, o Jetpack é um plugin de segurança abaixo da média. Nós esperávamos muito mais, considerando o enorme preço, mas ainda não é o fundo do barril para nós. Essa honra duvidosa vai para iThemes.
Wordfence em poucas palavras
Depois do MalCare, o Wordfence é o melhor plugin de segurança gratuito que testamos. Se você tiver orçamento zero para segurança de sites, o Wordfence fornecerá a melhor segurança de sites. O scanner detecta a maioria dos malwares baseados em arquivos e o reparo automático elimina a maioria deles. O firewall é um dos mais atualizados disponíveis, mas se você optar pela versão gratuita, saiba que ela não recebe atualizações em tempo real. O Wordfence também possui um serviço de remoção de malware, mas é caro.
Deixamos o Wordfence por último em nossa série de testes, porque estávamos super empolgados em experimentar o reconhecido peso pesado dos plugins de segurança do WordPress. Exceto pelo MalCare, os outros plugins foram decepcionantes na melhor das hipóteses, horripilantes na pior.
O scanner do Wordfence detectou todo o malware baseado em arquivo nos arquivos principais do WordPress, na raiz do site e nos arquivos e pastas de plugins e temas. Na superfície, isso pode parecer um ótimo scanner e, em muitos aspectos, é definitivamente acima da média. No entanto, o Wordfence não conseguiu detectar malware que foi escondido em plugins e temas premium e, em alguns casos, também no banco de dados.
A maior desvantagem do scanner, além do fato de que ele não pode verificar todos os cantos e recantos do seu site, é que nossos sites sofreram um impacto no desempenho. Wordfence usa recursos do servidor para fazer qualquer coisa no site. Isso não é bom.
Neste ponto, o Wordfence ainda é melhor do que todos os outros plugins de segurança que testamos. Nossa opinião subiu vários níveis quando tentamos o recurso de reparo automático e removeu todos os malwares detectados. É claro que ele não conseguiu remover o malware que não detectou, mas a remoção automática do malware é muito mais rápida do que esperar que um especialista em segurança limpe o site. Novamente, isso é muito melhor do que os outros plugins que testamos, exceto o MalCare.
Por fim, testamos o firewall, que foi eficaz em bloquear várias explorações, como injeção de SQL, ataques XSS e injeções remotas de código.
O Wordfence é um ótimo plugin de segurança gratuito, mas é propenso a falsos positivos e envia alertas para cada pequena coisa que o firewall bloqueia. Depois de alguns dias, não conseguimos encontrar o sinal por causa de todo o barulho. Francamente, muitos alertas são tão ruins quanto nenhum alerta, porque levam ao mesmo resultado: nenhuma ação.
Depois de verificarmos os 3 principais recursos de segurança, testamos a autenticação de dois fatores e a proteção de força bruta. Ambos funcionam muito bem. O Wordfence também detectou todas as vulnerabilidades em nossos sites, mesmo uma em um plugin obscuro que a maioria dos outros plugins não conseguiram detectar.
O que adoramos no Wordfence foi a ótima experiência do usuário. Nenhum jargão desnecessário e aterrorizante e termos de segurança complexos no painel. Linguagem simples, com recomendações claras para administradores iniciantes.
Ficamos surpresos que o Wordfence não tenha um log de atividades, exceto por um log bruto evidentemente destinado a desenvolvedores do Wordfence. Ele também não protege sites de bots ruins, o que é estranho.
Em resumo, o Wordfence é altamente recomendado para sites que não têm orçamento para segurança. É a melhor opção gratuita, mas mesmo assim não oferece total segurança. Para essa tranquilidade, você deve optar pelo MalCare.
Como escolher o melhor plugin de segurança
Com todos os conselhos equivocados de especialistas disponíveis online, a segurança do WordPress pode ser uma caixa preta na melhor das hipóteses. Muitos administradores querem ter certeza de que seus sites estão protegidos, mas não entendem os detalhes e, portanto, não sabem como escolher a melhor opção para seus sites.
Como parte desta série de testes, queríamos ter certeza de que apresentaríamos todos os nossos dados de maneira imparcial e acessível. Isso significava que precisávamos explicar como e por que chegamos às nossas conclusões.
Os plugins de segurança podem ter muitos recursos e, às vezes, esses recursos servem para obscurecer a ineficácia que está por trás de todo esse hype. Se uma lista enorme de recursos não é uma boa métrica para escolher um plugin, o que é? Bem, esses fatores:
- Recursos essenciais de segurança
- Verificação de malware
- Limpeza de malware
- Firewall
- Recursos de segurança bons para ter
- Detecção de vulnerabilidade
- Proteção de login de força bruta
- Registro de atividade
- Autenticação de dois fatores
- Problemas potenciais
- Impacto nos recursos do servidor
Como você pode ver, esta é uma lista muito curta. Mas esses são os fatores que impedirão que hackers explorem seu site e que malwares destruam seu site e sua paz de espírito. De todos os plugins que testamos, nenhum atingiu o ponto certo para nós.
Na verdade, o único plugin que acede a esta lista é o MalCare. Com o MalCare, seu site tem a garantia de um excelente scanner de malware, um limpador que remove automaticamente o malware sem quebrar seu site e um firewall que impede que hackers explorem vulnerabilidades. Você absolutamente não pode errar com o MalCare.
Worfence vs Jetpack Security: comparação direta de recursos
Para apresentar os resultados do nosso processo de teste de forma justa e concisa, organizamos os dados por recurso. Cada plug-in tem seus prós e contras e, dependendo do que você está procurando, esta seção o ajudará a avaliar o Wordfence e o Jetpack sobre os méritos desse recurso específico.
Organizamos a lista do mais importante para o menos e encapsulamos nossas experiências com configurações, instalação e outros aspectos dos plugins.
No entanto, se você preferir pular para a conclusão, recomendamos instalar o MalCare no seu site WordPress e encerrar o dia.
Verificação de malware
O scanner Wordfence encontrou todos os malwares baseados em arquivos nos principais arquivos e pastas do WordPress e plugins e temas gratuitos. Mas não conseguiu detectar malware no banco de dados do nosso site e coisas em alguns plugins e temas premium. O Jetpack encontrou aproximadamente 30% do malware em nosso site.
Depois de ativar o Wordfence, duas coisas acontecem imediatamente: a primeira verificação do site é iniciada e o firewall entra no modo de aprendizado. Abordaremos o firewall com mais detalhes posteriormente. Vimos que o scanner estava funcionando e logo atingiu 60%. E aí ficou por um tempo. Ok, achamos que ele precisa de mais tempo para funcionar, então o deixamos sozinho por algumas horas e voltamos para descobrir que ainda estava em 60%.
Acontece que os 60% não são uma barra de progresso para o scanner, mas um indicador da eficiência do scanner gratuito. Para chegar a 100%, você precisa atualizar para a versão pro. Esta foi a primeira e última instância de dissonância cognitiva com o Wordfence, então deixamos para lá.
Configuramos o Wordfence para verificar o site novamente e ficamos agradavelmente surpresos ao ver que ele foi concluído muito rapidamente. 37 segundos, para ser mais preciso, para nosso pequeno site cheio de malware. O scanner detectou todo o malware nos arquivos principais do WordPress e em plugins e temas gratuitos, mas nada dos premium nem do banco de dados. Portanto, apesar do Wordfence ser uma ótima alternativa para quase todos os nossos plugins (exceto o MalCare, é claro), o scanner é estritamente acima da média.
Nossa conclusão é que o banco de dados de malware do Wordfence é extenso e relativamente atualizado. No entanto, se a equipe do Wordfence não encontrar malware, ele não estará no banco de dados. Portanto, ele não pode proteger sites contra ameaças mais recentes.
Outra desvantagem do scanner é que ele gera muitos falsos positivos. Os falsos positivos são tão bons quanto nenhum alerta, porque levam à desconfiança dos alertas e à complacência.
Jetpack inclui um scanner de malware como parte de seus planos pagos. Embora não seja um patch no Wordfence, notamos que o Jetpack detectou alguns malwares. A porcentagem é consideravelmente menor que a do Wordfence, com cerca de 30-50% de eficácia, em comparação com a eficácia de 70-80% do Wordfence.
Limpeza de malware
O Jetpack não possui limpeza de malware, automática ou não. O Wordfence tem uma opção para reparar arquivos infectados, mas apenas o malware que ele realmente detecta em primeiro lugar. Por outro lado, o Wordfence possui um serviço premium de remoção de malware, que custa US$ 490 por site.
Após a verificação, o Wordfence lista os arquivos invadidos com uma recomendação para que os arquivos sejam limpos por seus especialistas profissionais do WordPress. Como alternativa, você pode tentar usar as duas opções de limpeza automatizadas no painel: exclua todos os arquivos apagáveis e repare todos os arquivos reparáveis.
Em nossos testes, a opção delete eliminou 1 arquivo com sucesso sem erros, deixando muitos outros arquivos ainda hackeados. Em seguida, tentei a opção de reparo, que corrigiu todos os arquivos mostrados na lista. Isso é ótimo, porque isso significava que não precisávamos buscar a remoção de malware separadamente.
Nossa única reclamação com todo esse episódio foi que houve avisos aterrorizantes de que nosso site pode quebrar se usarmos a opção de exclusão ou reparo. No entanto, nos certificamos de que tínhamos backups e alimentamos. O malware que encontramos ainda precisava ser removido, então os avisos nos fizeram debater brevemente se viver com malware era melhor do que quebrar o site. Não, esse não é o caso.
Como os outros plugins de segurança que testamos nem chegaram a esse ponto das festividades com sucesso, não nos preocupamos em verificá-los contra outros tipos de malware. No entanto, como o Wordfence acabou com o malware baseado em arquivo, adicionamos algumas curvas ao nosso repertório de testes.
Primeiro, algum malware de redirecionamento hackeado entrou no banco de dados do nosso site. Em seguida, adicionamos várias páginas de spam de hack de palavras-chave japonesas também. Além disso, inserimos scripts maliciosos em plugins premium e instalamos um plugin nulled nos sites de teste. Nós assumimos que isso faria o scanner funcionar, e eles absolutamente o fizeram. O scanner não registrou nenhum malware em pastas premium não essenciais.
O banco de dados de malware do Wordfence é abrangente, mas parece depender muito do que sua equipe já viu antes. É quando o reparo automático funciona. O Wordfence é incapaz de detectar malware obscuro ou malware em plugins e temas premium. O resultado líquido é que o limpador é realmente tão eficaz quanto o scanner, que é cerca de 70-80% eficaz por si só.
O próximo passo é optar pelo serviço de remoção de malware do Wordfence, que afirma remover todas as instâncias de malware, backdoors e, além disso, avalia o site quanto a vulnerabilidades e falhas de segurança. Como parte do pacote, o Wordfence o ajudará a remover seu site de qualquer lista negra, como a do Google, por exemplo. Há uma garantia de 1 ano para a limpeza, desde que você siga a lista de verificação pós-hack assiduamente ao pé da letra.
Observe que não podemos comentar sobre a eficácia do serviço de remoção de malware, pois não o testamos.
O Jetpack evita um pouco o assunto de limpeza de malware em seu site. Isso, por si só, é uma oferta inoperante de que eles não podem fazer isso. A limpeza de malware é sem dúvida a parte mais crítica e mais difícil da segurança do WordPress, visto que a remoção desajeitada pode danificar um site além do reparo. Se um plugin pode limpar malware com confiança, eles vão falar sobre isso com certeza.
Nossas expectativas em relação ao Jetpack não eram altas, especialmente depois que vimos que o scanner não pode sinalizar todos os malwares. Fomos justificados porque, mesmo com o malware sinalizado, o Jetpack não conseguiu fazer nada com ele. Os resultados da verificação mostram o código real que foi marcado como malware, e a sugestão em cada tag é pedir a um especialista para removê-lo. Portanto, não é abrangente nem útil.
Firewall
O Jetpack não tem firewall. O firewall de aplicativos da Web do Wordfence protegerá os sites de forma eficaz da maioria dos ataques principais e comuns. Um ponto de preocupação é que a versão gratuita recebe atualizações após a premium.
Um firewall é parte integrante da segurança do seu WordPress, porque impede que ataques do WordPress e tráfego malicioso cheguem ao seu site. Se os agentes mal-intencionados não conseguirem acessar seu site, eles não poderão explorar vulnerabilidades e, portanto, não poderão instalar malware. Pense em um firewall como o perímetro de segurança ao redor do seu site. O Jetpack não tem firewall, então esta seção é apenas sobre o Wordfence.
O firewall Wordfence entra diretamente no modo de aprendizado quando você instala o plug-in pela primeira vez. É recomendável que você deixe o modo de aprendizado por pelo menos uma semana para obter melhores resultados. Isso está correto, porque os firewalls exigem que o tráfego ao vivo bloqueie efetivamente no futuro. No nosso caso, nossos sites de teste não recebem nenhum tráfego, então desligamos o modo de aprendizado imediatamente e começamos a testar.
As versões gratuita e premium do firewall Wordfence impediram ataques com sucesso. Tentamos injeções de SQL, ataques de script entre sites, falsificações de solicitações entre sites e injeções de código remoto. Não foi possível explorar nenhuma das vulnerabilidades do site.
Mas havia uma pergunta. O painel do Wordfence mostra a eficácia do firewall gratuito em 35%, em oposição aos 100% propostos do firewall premium. Então, qual é a diferença entre as versões gratuita e premium?
A diferença é dupla: a primeira é quando o firewall é carregado em seu site; e a segunda é quando seu firewall recebe atualizações.
Ambos os fatores são diferenças não triviais e são cruciais para que o mesmo plugin possa ter uma diferença de eficácia de 65% entre suas versões gratuitas e premium. Vamos quebrar ambas as diferenças para explicar o que está acontecendo aqui.
Em primeiro lugar, seu site é carregado em uma ordem sequencial. O WordPress geralmente é o primeiro, com os arquivos e pastas principais, depois os plugins e temas e o banco de dados. Isso é conhecido como ordem de carregamento, e os arquivos mais importantes sempre são carregados primeiro porque são fundamentais para o resto do site. Por exemplo, sem wp-config, você não pode se conectar ao banco de dados. Este é um pequeno exemplo, mas é indicativo de quão importante é a ordem de carregamento ao lidar com segurança.
O firewall gratuito do Wordfence é carregado como um plug-in comum, o que significa que ele carrega após o WordPress, todos os arquivos principais e talvez junto com os outros plug-ins. Isso significa que o firewall não pode manter todo o tráfego malicioso longe do site, mas apenas parte dele.
Em segundo lugar, os firewalls são eficazes por causa das regras que contêm para filtrar o tráfego ruim. Essas regras precisam ser atualizadas regularmente para levar em conta as mudanças nas ameaças.
O firewall do MalCare, por exemplo, aprende com todos os sites que protege. Portanto, se o firewall bloquear uma ameaça em alguns sites, ele aprenderá que deve haver uma regra para essa ameaça e atualizará as regras de firewall em todos os outros 100.000 sites em que está instalado - mesmo antes que a ameaça atinja esses sites . Esse é o poder da proteção preventiva.
Portanto, embora o Wordfence tenha o firewall mais atualizado, os usuários de firewall gratuito obtêm atualizações mais tarde do que suas contrapartes premium. Se houvesse alguma indicação da duração do atraso, poderíamos dizer quanto é um risco calculado, porque mesmo uma pequena janela é problemática. No entanto, não há, então só podemos especular que é considerável. Quem sabe.
Detecção de vulnerabilidade
O Wordfence concentrou-se em todas as vulnerabilidades em nossos sites de teste, enquanto o Jetpack perdeu completamente algumas das menos conhecidas.
Durante a verificação inicial, o Wordfence nos alertou sobre todas as vulnerabilidades, sinalizando-as como ameaças críticas. Incluímos muitos plugins e temas obscuros, porque eles tropeçavam nos outros plugins de segurança durante suas varreduras. Alguns deles têm menos de 200 usuários e são altamente especializados. Então, pontos completos para o Wordfence nessa frente.
Um ponto extra que realmente gostamos é que o WordFence sinalizou plugins e temas desatualizados como ameaças médias. Isso é realmente importante, porque vulnerabilidades em software desatualizado são uma das principais causas de hacks bem-sucedidos em sites WordPress.
Curiosamente, você não pode corrigir vulnerabilidades no painel do WordFence. Vários plugins de segurança menores adicionam isso como um recurso de bônus, no entanto, em sua essência, o “recurso” apenas atualiza o software desatualizado – uma funcionalidade que já existe no painel wp-admin. Não há motivo real para replicar isso, a menos que o plug-in tenha atualizações gerenciadas como o MalCare.
O Jetpack falhou em nós e perdeu completamente o software obscuro e desatualizado. Não tão surpreendente, mas decepcionante, no entanto.
Proteção de login de força bruta
O Wordfence faz um ótimo trabalho ao proteger a página de login contra ataques de força bruta. O Jetpack adiciona um captcha ao wp-login, quando há várias falhas de login, mas não bloqueia o IP nem temporariamente.
Apenas para registro, o bloqueio de IP é um recurso impreciso para começar. Então, por que estamos apontando a inadequação do Jetpack nesse aspecto? Principalmente porque eles têm tantas configurações dedicadas à lista branca de IPs, na medida em que percebemos que estávamos em perigo iminente de nos bloquear. Mas nada. Se você vai falar muito sobre qualquer recurso, você precisa ter um bom acompanhamento. Isso é tudo.
Nós forçamos a página de login muitas vezes, e bem acima do nosso limite definido. A única diferença que vimos foi um captcha numérico que não existia antes. Foi sem qualquer marca, então vamos nos arriscar e assumir que era o Jetpack.
No geral, o captcha é uma solução elegante, mas inadequada, para ataques de força bruta na página de login. Ataques de força bruta podem sobrecarregar um site usando recursos do servidor, então eles precisam ser mantidos fora com mais do que apenas um captcha.
O Wordfence, por outro lado, funcionou como um campeão. Estamos um pouco assustados com um grande número de configurações para cada plugin, e às vezes isso pode significar que o plugin não funciona, então foi refrescante ver apenas algumas opções.
Embora a proteção de força bruta esteja habilitada por padrão, você pode personalizar as configurações na seção de firewall. Existem opções para definir o número de tentativas de login com falha que levam a um bloqueio temporário e até mesmo quanto tempo esse bloqueio deve durar. Inevitavelmente, vemos a opção da lista de permissões, mesmo sabendo que os IPs dos dispositivos são dinâmicos, então isso é indicativo na melhor das hipóteses, na pior das hipóteses inútil.
Você também encontrará as opções de senha forte aqui. Embora isso seja ótimo, na seção de firewall, a proteção de força bruta não é o local lógico para ter essas configurações. Sim, ambos estão relacionados à segurança de login, mas isso ainda requer um salto para se conectar. Estamos em dúvida sobre as pessoas encontrarem essas configurações muito úteis neste local remoto.
Registro de atividade
Gostamos muito do log de atividades do Jetpack, pois é uma das melhores versões que já vimos. Surpreendentemente, o Wordfence não possui um log de atividades.
Estamos realmente surpresos que o Wordfence não tenha um log de atividades porque é uma parte realmente importante da segurança do site. Os hackers aproveitam o registro insuficiente para atacar sites. Você definitivamente quer ter um registro de atividades confiável que tenha as informações corretas sobre os acontecimentos do seu site.
No Wordfence, há uma opção para habilitar a depuração, caso algo dê errado. A opção está enterrada na seção Diagnóstico em Ferramentas. Destina-se a tornar os logs de firewall mais detalhados. Também encontramos um log de atividades completo especificamente para eventos do Wordfence na seção Scan, mas não é isso que queremos dizer com log de atividades. Também se parece com um log bruto destinado aos desenvolvedores do Wordfence.
O recurso de registro de atividades do Jetpack é excelente e torna super fácil entender o que ocorreu no site. Ele está disponível para visualização nos planos gratuitos, mas precisa de uma assinatura premium para realmente ser útil. Os logs têm todas as informações de atividade de usuários, plugins e temas, com o recurso adicional de alertas para coisas que exigem atenção, como malware ou vulnerabilidades.
Nossa ressalva aqui é que os dados do registro de atividades estão disponíveis apenas por 30 dias. Teríamos preferido ver um prazo muito maior para que fosse realmente útil.
Autenticação de dois fatores
O Wordfence possui uma ótima autenticação de dois fatores, que funciona imediatamente. O Jetpack não tem esse recurso.
A autenticação de dois fatores não é um fator decisivo para um plug-in de segurança, porque existem plug-ins dedicados disponíveis para a funcionalidade. Portanto, não estamos sendo muito duros com o Jetpack por não incluí-lo.
No Wordfence, a autenticação de dois fatores funciona perfeitamente. O melhor de tudo, é simples de usar, sem um monte de opções confusas. Na verdade, costumava ser um recurso premium, que agora também está disponível para usuários gratuitos.
Uso de recursos do servidor
O Jetpack usará alguns recursos do servidor para suas verificações, mas não afetará perceptivelmente o desempenho. O Wordfence, por outro lado, é banido por certos hosts da web por causa da pressão que coloca nos recursos do servidor.
Percebemos que o Jetpack é leve em termos de segurança e tem um impacto semelhante nos recursos do servidor. Há uma queda notável no uso do disco, mas não vimos muito impacto no desempenho do site.
Wordfence era um vampiro de recursos do servidor. É verdade que verificamos o site muitas vezes e fizemos vários testes no malware, mas não esperávamos que o uso do disco disparasse 2-3x. Francamente, nossos locais de teste são pequenos, então a penalidade não foi séria. Mas estremecemos ao pensar no que aconteceria em um site de comércio eletrônico ou com muito conteúdo. Caramba.
Depois de ver várias mensagens em seu painel, é justo concluir que o Wordfence usa os recursos do site para fazer tudo: desde a verificação até a limpeza e tudo mais. O problema com isso é que desempenho e segurança não devem ser colocados um contra o outro em algum tipo de troca. Você não deve ter que comprometer qualquer um.
Alertas
O Jetpack envia um alerta estranho de vez em quando, enquanto o Wordfence pode afogar sua caixa de entrada em uma hora.
Em nossa opinião, os alertas precisam ser equilibrados. Você quer saber se algo deu errado com o seu site o mais rápido possível. Mas você não precisa de um alerta se alguém espirrar nas proximidades do seu site. O equilíbrio é fundamental.
Wordfence falha miseravelmente neste departamento. Os alertas de resultados de varredura, falsos positivos, bloqueios de firewall e muito mais são numerosos demais para serem contados. Francamente, um bom firewall deve bloquear ataques diretamente, sem criar um alerta toda vez.
Nesse caso, o Jetpack se sai muito bem. Você só recebe alertas para coisas importantes, como vulnerabilidades descobertas ou malware detectado; isto é, coisas que precisam de sua atenção imediata.
Instalação, configuração e usabilidade
Wordfence foi a instalação mais fácil de todos os tempos. Não posso dizer o mesmo sobre o Jetpack.
Wordfence foi tão grande a este respeito. Comece a usar o plug-in e ele mostra o caminho a seguir. Sem configurações complicadas. A linguagem utilizada é simples e acessível.
Gostamos especialmente de como há instruções curtas à medida que você visita cada seção no painel pela primeira vez. As explicações claras são fáceis de entender, e não há nada daquele gobbledegook tecnológico que geralmente acompanha essas coisas.
O design geral é muito intuitivo e projetado para fornecer uma visão geral da segurança do seu site. Se algo parecer confuso, clique em uma dica de ferramenta e seja levado à excelente documentação.
Se o Wordfence era fácil, o Jetpack era surpreendentemente complicado. A instalação se apóia fortemente na necessidade de atualização. Você ainda precisa escolher um plano, gratuito ou não, para continuar. Poderia ter sido muito melhor do que é.
Mochila a jato: Extras
O bom do Jetpack é que ele combina várias tarefas de administração do WordPress em um plugin. Possui backups, que sabemos serem super importantes para qualquer site. O painel externo está no WordPress.com, por isso é muito familiar de usar.
Dito tudo isso, teríamos dado ao Jetpack um sinal de positivo inequívoco como um plug-in de segurança sem frescuras e detalhes, se ele tivesse feito um bom trabalho protegendo nossos sites. Não foi assim, afinal, nenhum desses bens tem qualquer valor.
Wordfence: Extras
Wordfence é tudo sobre a segurança. Não há nada no plugin que seja adjacente à segurança, como a possibilidade de atualizar plugins como mencionamos anteriormente. Mas ainda há uma tonelada de extras.
A partir da instalação, a primeira coisa que notamos é uma seção de notificações para atualizações do site. Por exemplo, ele nos mostrou que 5 dos plugins do nosso site de teste precisavam ser atualizados.
Avançando, há um painel chamado status do Wordfence Central. Isso permite que você conecte sua conta a vários sites e veja o status de todos os seus sites no wp-admin deste site. Se isso soa confuso, é porque é confuso e nada intuitivo. Você realmente não deseja gerenciar vários sites a partir do painel de um site. Você precisa de um painel externo para isso, o que o Wordfence Central realmente é. Mas não faz um bom trabalho em trazer isso.
O Wordfence Central está bem, mas não chega nem perto dos recursos completos. Talvez sejamos mimados por causa do painel do MalCare, que parece um painel de controle de avião para sites. O Wordfence Central parece pesado para mais de 10 ou 20 sites e poderia ser muito melhor.
Na seção Ferramentas, há um painel para tráfego ao vivo. Inicialmente parece que é uma skin para o Google Analytics, mas acabou sendo mais do que isso. Ele registra os logs de tráfego do seu site e você pode ver exatamente que tipo de tráfego seu site recebe: humano, bot, aviso, bloqueado.
Achamos o Diagnostics bastante interessante, pois tinha muitas informações sobre o site; things like process owners and database tables, for instance. It is like a blueprint of the website, which the status of each of the specifications alongside. It doesn't look like something a normal user would need, but definitely could help out a developer.
What's missing from Jetpack and Wordfence
Ultimately, there is a lot missing from Jetpack: the scanner is below-average, there is no cleaner or firewall. The rest of the stuff is alright, but these three factors are non-negotiable for security.
Wordfence doesn't have bot protection, and surprisingly no activity log. Although it is a comprehensive security plugin, the drain on server resources and the tendency to cry wolf at the drop of a hat is off-putting.
Jetpack vs Wordfence: Pricing
Jetpack is exorbitant at $300 per year for the security suite. Wordfence premium is far more reasonable at $99 for the year, but the premium version isn't a significant upgrade on the free version.
Wordfence has a really great free version, and in our opinion the upgrade to premium doesn't add much more. The site license is still competitive at $99 a pop, and gets better with more websites.
The knockout punch from the Wordfence corner is their malware removal service. That will set you back a cool $490 per site cleanup. The 1-year guarantee is also subject to terms and conditions, so you shouldn't consider that a one-time expense.
Jetpack is really not worthy of that fancy price tag. There is little to say beyond that.
Better alternative to Jetpack and Wordfence: MalCare
The best investment you can make in your website is to invest in a good security plugin. By this point, you know what to look for in a security plugin. And you will find all those things and more in MalCare. MalCare scans, cleans and protects your website from exploits in a major way. It far outperforms all other plugins.
Plans for MalCare start at $99 for the Basic plan, which includes unlimited cleanups. Contrast that to Wordfence's $99 plan and $490 per cleanup needed thereafter and the choice becomes clear. MalCare all the way.
Conclusão
We really hope this article helps to clear any confusion with respect to WordPress security. It is admittedly hard to wade through all the misinformation available online to arrive at a good decision.
If you have any questions, please write to us. We would be happy to help, and thrilled to hear from you!