Sucuri Vs Jetpack: Qual é o melhor plugin de segurança?

Em uma discussão sobre a segurança do WordPress, inevitavelmente surge a Sucuri. É um dos plugins de segurança mais populares disponíveis atualmente. Os planos pro vêm com um scanner do lado do servidor, um firewall e remoção manual ilimitada de malware.

O Jetpack é uma solução completa para muitas funcionalidades do WordPress; não é surpreendente, pois é construído pela Automattic. Além disso, ter um plug-in para fazer o trabalho de muitos é uma opção atraente, portanto, o Jetpack é um concorrente em nossa série de testes de plug-ins de segurança.

Mas se desconsiderarmos os sinos e assobios, qual plugin de segurança protege melhor o seu site WordPress?

Testamos os 5 principais plugins de segurança para obter essa resposta. Durante 45 dias, testamos os plugins contra malware, vulnerabilidades, ataques e muito mais. Continue lendo para saber mais sobre nossos resultados e, o mais importante: nossa escolha de um plug-in de segurança do WordPress que realmente funciona.

VEREDITO : Sucuri vs Jetpack foi difícil de decidir, porque ambos falharam de maneiras diferentes. No final das contas, achamos que a Sucuri vence o Jetpack. O scanner de malware do Jetpack conseguiu detectar parte do malware, em contraste com o da Sucuri, que falhou em detectar qualquer coisa. Mas o serviço de remoção de malware da Sucuri funcionou bem, enquanto o Jetpack não tinha nenhuma opção de limpeza. Honestamente, embora nenhum deles fosse bom o suficiente, nossa recomendação é o MalCare.

Nossa escolha

Submetemos cada um dos 5 principais plugins de segurança a 45 dias de testes. Usamos 3 sites: 1) um blog comum como controle; 2) um blog com plugins vulneráveis ​​e 3) um site com malware nos arquivos e banco de dados como nível de chefe.

Há uma lista de fatores posteriormente no artigo para mostrar como classificamos cada plug-in, mas, em resumo, testamos o scanner, o limpador e o firewall (se o plug-in tiver um) para chegar aos nossos resultados.

É importante escolher um plug-in de segurança que você possa ter certeza de que protege seu site contra hackers e seus malwares. Esse plugin é, sem dúvida, MalCare.

Resumo da comparação entre Sucuri e Jetpack

Neste concurso onde o vencedor leva tudo, a Sucuri está à frente da Jetpack devido aos excelentes serviços de remoção de malware que oferece. No entanto, é uma vitória vazia, pois o scanner da Sucuri é um dos piores que vimos até agora.

Jetpack em poucas palavras

Os planos pagos do Jetpack têm um scanner de malware médio, que detectará alguns dos malwares em seu site. O resto dos recursos de segurança são razoavelmente bons, mas não compensam o scanner ou a falta de limpeza de malware e firewall. No geral, o Jetpack é uma falta.

O Jetpack foi o segundo plugin que testamos, logo após o iThemes, e ficamos favoravelmente impressionados porque pelo menos fez alguma coisa. Obviamente, isso não o torna um bom plugin de segurança.

Do lado positivo, o log de atividades do Jetpack é ótimo. Um log de atividades é uma ferramenta crítica para depuração e segurança do site. Também achamos que o painel externo do WordPress.com é excelente e uma interface familiar para trabalhar. Como somos grandes defensores dos backups, gostamos dessa parte dos recursos do Jetpack.

Nenhuma das opções acima é motivo suficiente para optar por um plano pago, porque o Jetpack emite muitos cheques que não pode descontar. Já mencionamos que o scanner não funcionou bem. Ele detectou cerca de 30% do malware no site. A proteção contra força bruta é, na melhor das hipóteses, medíocre. Tentamos atacar a página de login e, após alguns logins com falha, vimos um captcha. Mas nosso IP não foi sinalizado e nem recebemos um alerta por e-mail. Quando checamos os logs, o ataque foi registrado.

Além disso, o Jetpack detecta apenas algumas das vulnerabilidades do site. Dos 3 que instalamos, ele sinalizou 2. Nos casos em que os sites têm muito mais vulnerabilidades, a proporção com certeza será muito pior.

Nenhum plug-in de segurança é perfeito, mas queremos um que seja o mais próximo possível da perfeição. Jetpack não é esse plugin.

sucuri em poucas palavras

A Sucuri tem uma crítica mista nossa, porque seus recursos de firewall e limpeza de malware funcionaram bem, mas o scanner não funcionou. A varredura de malware precisa ser 100% e nenhum plug-in de segurança vale a pena sem um scanner em funcionamento.

O Sucuri é um dos plug-ins de segurança mais populares do WordPress disponíveis atualmente e, no entanto, falha em uma área crítica: verificação de malware. Se o scanner não funcionar, não há como saber que seu site está infectado por malware. E se você não sabe que é, não há como lidar com isso.

Nos outros dois aspectos, firewall e limpeza de malware, a Sucuri se saiu bem. O firewall bloqueou a maioria dos ataques e o serviço de remoção de malware foi excelente. Existem algumas opções úteis de proteção no painel também. Solicitações ilimitadas de remoção de malware também são um ótimo negócio, especialmente quando comparadas a alguns dos outros serviços disponíveis.

Por outro lado, a configuração e as configurações eram um pesadelo, especialmente o firewall. Lutamos para instalar o firewall sem um registrador de domínio e, francamente, foi um processo frustrante. As varreduras de segurança também carregaram nossos recursos de servidor na medida em que vimos a diferença em nosso site. Felizmente, nosso site estava em hospedagem dedicada, caso contrário, as empresas de hospedagem compartilhada teriam nos atingido com um e-mail de violação rapidamente.

A conclusão aqui é que você deve escolher entre segurança e desempenho com a Sucuri. Esse é um compromisso terrível de se fazer. No geral, o Sucuri é um plugin de segurança bom e ruim e, portanto, uma contradição. Não recomendamos uma contradição como medida de segurança. Apenas dizendo.

Como escolher o plugin de segurança certo para WordPress

Em um cenário de ameaças em constante mudança, um plug-in de segurança é a única maneira de proteger seu site, dados, visitantes e negócios. Os hackers causam danos tremendos com malware, roubando dinheiro, dados e identidades das pessoas. Como proprietário de um site, um plug-in de segurança é uma parte essencial do seu kit de ferramentas de administração.

No entanto, escolher o plug-in de segurança certo não é simples. Existem tantos plugins, cada um alegando ser melhor que o outro. Então, como você escolhe o caminho certo?

Em termos de segurança, existem apenas 3 recursos essenciais de um plug-in de segurança: verificação de malware, limpeza de malware e firewall. Tudo além é um bônus. Isso não quer dizer que a proteção contra força bruta não seja importante, porque certamente é. Mas se você não tem os 3 essenciais, então também pode não ter os outros.

Ao avaliar um plugin de segurança, estes são os fatores que você deve procurar:

• Recursos de segurança essenciais
  
  • Verificação de malware
  • Limpeza de malware
  • Firewall
• Recursos de segurança úteis
  
  • Detecção de vulnerabilidade
  • Proteção de login de força bruta
  • Registro de atividade
  • Autenticação de dois fatores
• Problemas potenciais
  
  • Impacto nos recursos do servidor

O único plug-in que possui todos os recursos necessários para proteger sites WordPress é o MalCare. Como continuamos a falar neste artigo, cada um dos outros falhou de uma forma ou de outra, especialmente nos decepcionando nas 3 áreas essenciais.

Sucuri vs Jetpack: Comparação frente a frente de recursos

Para tornar essa comparação o mais útil possível, organizamos as seções com base em nossos critérios listados acima. Esses são os aspectos mais importantes de um plug-in de segurança, mas também queremos abordar nossas outras experiências, como facilidade de configuração, valor pelo dinheiro e assim por diante.

Apresentamos nossas descobertas de forma justa e da forma mais concisa possível para ajudá-lo a tomar a decisão certa para a segurança do seu site. No entanto, se você precisar de uma solução de segurança rapidamente, recomendamos que instale o MalCare para uma segurança incomparável do WordPress.

Verificação de malware

Nem o SiteCheck nem o scanner de nível de servidor da Sucuri detectaram o malware em nosso site. O scanner do Jetpack detectou parte do malware.

A Sucuri tem dois scanners de malware: SiteCheck e um scanner de nível de servidor que você precisa instalar a partir do seu painel Sucuri. Queríamos testar ambos, porque geralmente recomendamos o SiteCheck, um scanner gratuito, como um diagnóstico de primeiro nível para sites. O SiteCheck verifica as partes publicamente visíveis do seu site, portanto, apenas se não encontrar malware, isso não é garantia de um site limpo. No entanto, você não precisa instalar o SiteCheck para usá-lo. Muitos administradores acham mais fácil usá-lo no caso de um host da web ter suspendido seu site ou o Google o ter colocado na lista negra.

Passando para o scanner de nível de servidor, que vem com os planos premium da Sucuri, você precisa instalá-lo em seu servidor web. Você tem a opção de fazê-lo manualmente ou inserir seus detalhes de FTP para fazê-lo em seu painel. Depois de instalado, o scanner demorou muito para verificar nosso site em busca de malware.

Quando a verificação foi concluída, os resultados mostraram que nosso site estava livre de malware. Os resultados estavam errados, porque nosso site estava cheio de malware, tanto nos arquivos quanto no banco de dados. Em seguida, tentamos executar a varredura novamente algumas horas depois, mas os resultados foram os mesmos. Aparentemente, não havia malware em nosso site severamente invadido.

O scanner está configurado para ser executado uma vez por dia, mas você pode solicitar varreduras ad hoc. As requisições são colocadas em uma fila e então executadas. A única coisa aqui é que a Sucuri avisa sobre a execução de muitas varreduras, porque as varreduras consomem recursos do servidor. Isso não é bom. As verificações não devem ocupar os recursos de um site porque isso afeta o desempenho do site. Voltaremos a esse ponto mais adiante neste artigo.

O Jetpack tem um scanner de malware em seus planos pagos e, depois de ver como o Sucuri falhou na parte de digitalização, ficamos agradavelmente surpresos ao ver que o Jetpack realmente sinalizou alguns dos malwares.

A empolgação durou pouco, porque o Jetpack não sinalizou todos os malwares. Na verdade, ele não detectou uma grande quantidade de malware. Portanto, embora tenha se saído melhor do que o Sucuri nesse aspecto, detectar algum malware é tão bom quanto não detectar nenhum malware. Como resultado, o site provavelmente permanecerá invadido. Para uma verificação completa do seu site, não procure mais do que o scanner de malware MalCare.

Limpeza de malware

Jetpack não tem limpeza de malware. A Sucuri tem um ótimo serviço manual de limpeza de malware que eliminou o malware de nosso site em 12 horas.

Estamos em conflito com a Sucuri neste ponto, porque, embora estivéssemos seriamente impressionados com o serviço de limpeza, o scanner deu ao nosso site hackeado uma ficha limpa. Com base nesses resultados, teoricamente não saberíamos que nosso site tinha malware. Mas como essa era uma atividade de teste, solicitamos uma limpeza manual sabendo que nosso site definitivamente tinha malware.

De acordo com nosso plano, poderíamos esperar que nossa limpeza fosse concluída em 30 horas. Aparentemente, é muito tempo de espera se o seu site for invadido. Se o seu site estiver na lista negra do Google, por exemplo, o tempo que passa é perda de receita. No entanto, recuperamos um site limpo em menos de 10 horas. Ficamos super impressionados.

Para solicitar uma limpeza de malware da Sucuri, você precisa preencher um formulário com todos os detalhes que você pode inserir. Indique suas habilidades técnicas, insira suas credenciais de FTP e você receberá um site limpo de volta. Verificamos o site limpo com MalCare e estava completamente limpo. Fantástico! A equipe nos deu uma lista de verificação pós-limpeza, nos alertou sobre vulnerabilidades no site e estávamos prontos.

Exceto por uma pequena coisa: depois que a equipe da Sucuri removeu o malware e o MalCare o confirmou, o scanner da Sucuri disse que o site foi hackeado. Depois de limpo pela equipe? Vai saber.

Os planos de segurança do Jetpack não incluem a remoção de malware, embora digam que podem se livrar de algumas infecções. Depois de executar o scanner de malware, vimos que alguns dos malwares foram sinalizados, mas nada foi corrigido. Na verdade, em todas as instâncias sinalizadas de malware, o Jetpack gentilmente recomenda que abordemos um serviço de remoção de malware.

Nossa preocupação com o Jetpack é que, ao sinalizar a localização do malware e o próprio código, ele parece defender a limpeza manual como uma opção. Esta não é uma decisão sábia. Sites invadidos são campos minados, especialmente porque o malware pode se esconder em qualquer lugar. A limpeza manual de malware é propensa a erro humano e corre o risco de quebrar completamente o site.

Um serviço de remoção de malware é uma proposta cara e não há garantia de que seu site não será invadido novamente. Os custos podem se acumular significativamente nesse caso. Os planos da Sucuri têm limpezas ilimitadas, o que é ótimo. Nosso único problema com o Sucuri é que o scanner não o alertará sobre a maior parte do malware, então como você saberia quando solicitar uma limpeza?

Usamos o MalCare para verificar malware e também para limpar nosso site em minutos. O recurso de limpeza automática eliminou o malware de nosso site, sem a necessidade de credenciais de FTP ou solicitação de remoção. Foi indolor e sem costura, e quase instantâneo. Difícil de superar isso.

Firewall

O firewall da Sucuri fez um trabalho decente ao lidar com os ataques mais comuns, mas foi um pesadelo para instalar. Jetpack não tem firewall.

A Sucuri possui um firewall incluído em seus planos de segurança, mas também possui planos de firewall autônomos. Queríamos testar a eficácia do firewall, então tentamos configurá-lo em nosso site.

Antes mesmo de falarmos sobre o funcionamento do firewall, precisamos tirar um tempo para expressar o quão ruim é a experiência de instalar o firewall da Sucuri. Tínhamos um plano premium existente e já havia um site configurado para o firewall. Então, quando tentamos substituir aquele site pelo nosso site de teste, a Sucuri simplesmente se recusou a ceder.

O problema aqui é que, para usar o firewall, você precisa apontar o DNS do seu site para os servidores de nomes do firewall. O que significa que todo o tráfego que atinge o seu site passará primeiro pelo firewall da Sucuri e depois será redirecionado para o seu site. Se isso parece complicado, é porque é insanamente complicado.

De qualquer forma, conseguimos configurar um site de teste com vulnerabilidades como uploads irrestritos de arquivos, XSS e injeção de SQL após alguns dias. O firewall bloqueou todas as nossas tentativas de explorar essas vulnerabilidades e fazer upload de arquivos maliciosos.

Com toda a transparência, não fomos capazes de testar ataques mais complexos em nosso período de tempo determinado. No entanto, tudo o que jogamos no firewall da Sucuri foi interrompido.

Os firewalls são parte integrante da segurança do seu site. Eles impedem a entrada de malware impedindo que hackers explorem vulnerabilidades no site. O Jetpack não tem um, e isso é uma lacuna no plug-in de segurança.

O MalCare faz um excelente trabalho protegendo seu site contra diferentes tipos de ataques. E é fácil de configurar ao contrário da Sucuri.

Detecção de vulnerabilidade

Tanto o Jetpack quanto o Sucuri detectaram apenas algumas das vulnerabilidades em nossos sites.

Assim que instalamos o scanner do lado do servidor da Sucuri, a varredura nos disse que tínhamos algumas vulnerabilidades em nosso site. O scanner não detectou alguns dos mais obscuros e basicamente recomendou que atualizássemos os plugins e temas desatualizados.

Curiosamente, há uma guia pós-hack no plugin Sucuri no wp-admin. Possui uma lista de versões dos plugins e temas instalados, juntamente com as versões mais recentes. Nas letras pequenas desta página, a Sucuri menciona que o software desatualizado é um risco à segurança e geralmente leva a infecções por malware.

A equipe da Sucuri também nos enviou uma lista de recomendações para atualizar os plugins e temas desatualizados, de forma a solucionar as vulnerabilidades. Mais uma vez, eles só conseguiram detectar algumas das vulnerabilidades, não todas.

O scanner do Jetpack também detectou algumas das vulnerabilidades e nos deu uma opção de correção automática; essencialmente, poderíamos atualizá-los. Há pouco para diferenciar entre Sucuri e Jetpack neste caso. A interface do Jetpack era mais fácil de gerenciar, mas, novamente, o Sucuri é um plugin muito mais complicado em geral.

Proteção de login de força bruta

O Jetpack adiciona um captcha à página de login após várias tentativas de login com falha, mas não bloqueia o IP. Sucuri não parece ter um recurso de proteção de login em funcionamento.

O Jetpack tem proteção de login de força bruta em seus planos gratuitos e pagos. Quando tentamos usar força bruta na página de login, vimos um captcha numérico sendo adicionado após 10 tentativas malsucedidas. Os logs mostram todas as tentativas de login com falha após as 3 primeiras como um ataque de força bruta.

O Jetpack também possui um elaborado recurso de lista de permissões de IP, então presumimos que em algum momento poderíamos ser totalmente bloqueados do site. No entanto, isso não aconteceu. Tentamos mais de 50 senhas incorretas para a conta de administrador em menos de um minuto e nada aconteceu.

Francamente, a lista de permissões de IP é meio que um colírio. Os IPs do dispositivo podem mudar, portanto, colocar o IP de um administrador na lista de permissões não é garantia contra um possível bloqueio. No entanto, se o recurso existir, ele deve funcionar. Mas isso não aconteceu.

Achamos que o Sucuri se sairia muito melhor do que o Jetpack nesse ponto, porque ele possui um conjunto elaborado de opções para configurar alertas de força bruta. Você pode definir o limite no qual um ataque é considerado força bruta. Os limites são irreais, porque existe a opção de considerar 30 tentativas malsucedidas por hora como um ataque, enquanto, na realidade, um ataque de força bruta atinge a página de login com mais de 100 solicitações por minuto. Na verdade, geralmente há tantos pedidos de login que o servidor é incapaz de lidar com eles.

Para encurtar a história, a Sucuri não nos alertou sobre ataques de login. Os ataques apareceram nos logs de auditoria, mas não recebemos nenhum alerta.

Registro de atividade

Os logs do Jetpack são ótimos. Eles rastreiam todas as ações do usuário e do plug-in. Os logs de auditoria da Sucuri também funcionam, mas podem ser totalmente incompreensíveis.

Os logs de auditoria da Sucuri rastreiam todas as ações do usuário e alterações de plugins e temas. Todas as alterações feitas em quaisquer arquivos e tabelas aparecem nos logs de auditoria. Até agora tudo bem. Há também uma opção para definir uma chave de API para impedir que invasores excluam logs, permitindo que a Sucuri salve os logs do seu site externamente.

Os logs coletam as informações necessárias, como usuário, ação, timestamp, etc. No entanto, notamos que, em alguns casos, eles são muito difíceis de entender. Caso em questão: instalamos um plug-in de galeria em nosso site. Os logs registraram 7 entradas diferentes para o plugin, indicando que 7 arquivos foram alterados. Ou então pensamos. Na verdade, estava registrando alterações no modelo de postagem, mas não conseguimos descobrir nada disso nos logs.

O Jetpack possui um ótimo recurso de registro de atividades e está disponível para visualização nos planos gratuitos. Os logs mostram todas as atividades de usuários, plugins e temas, além de mostrar coisas que requerem atenção imediata, como malware detectado ou vulnerabilidades.

Os dados do Jetpack só vão até 30 dias. Idealmente, os logs devem ser salvos por um período de tempo muito mais longo.

Autenticação de dois fatores

Nenhum dos plug-ins de segurança possui autenticação de dois fatores.

Não há muito o que falar nesta seção, pois nem o Jetpack nem a Sucuri possuem autenticação de dois fatores para seus sites.

No entanto, quando estávamos testando os plugins, procuramos a autenticação de dois fatores na Sucuri. De fato, existe autenticação de dois fatores no painel da Sucuri, mas estava disponível para sua conta Sucuri. Não é o seu site.

Uso de recursos do servidor

Ambos os plug-ins consumirão recursos do servidor para realizar varreduras em seu site. O scanner da Sucuri tornou nosso site consideravelmente mais lento.

Damos pontos à Sucuri pela honestidade, porque eles afirmam usar recursos do servidor para varreduras diretamente no painel. Fora isso, é terrível que eles façam isso.

As varreduras da Sucuri mostraram uma falha perceptível no uso da CPU do nosso servidor. E nossos locais de teste são pequenos; pouco mais de 100 MB para o maior. Se tivéssemos um site WooCommerce ou um com um grande banco de dados, o desempenho do site seria seriamente afetado. Além disso, as varreduras da Sucuri também levam um tempo considerável. Portanto, o impacto duraria algum tempo.

Além do uso da CPU, nas configurações gerais do wp-admin, você verá que a Sucuri usa seu servidor para armazenar dados. Mesmo que o espaço de armazenamento seja insignificante, o ponto é que é o espaço do servidor do seu site que está sendo usado.

O Jetpack também teve um impacto nos recursos do servidor. Concedido, não foi tão perceptível quanto as varreduras da Sucuri, mas ainda não é o ideal.

Honestamente, não estamos impressionados com esse estado de coisas. Nenhum administrador de site deveria ter que escolher entre segurança e desempenho. A falta de qualquer um deles pode afetar a receita de maneiras importantes, portanto, não deve ser um trade-off.

Alertas

Os alertas da Sucuri podem encher sua caixa de entrada em uma hora, então você precisa estar absolutamente certo sobre o que deseja ser alertado. O Jetpack envia alertas apenas sobre coisas críticas.

A Sucuri permite personalizar o formato dos alertas, enviá-los para ações específicas, enviá-los para determinadas pessoas e assim por diante. Você também pode definir uma configuração para ignorar determinados IPs para que eles não acionem um alerta.

O grande número de opções para os alertas da Sucuri é impressionante. É claro que você realmente só precisa configurá-lo uma vez e depois esquecê-lo. Mas, na verdade, as opções em si merecem uma menção especial. E se o número não fosse assustador o suficiente, o jargão técnico era totalmente desanimador.

Em última análise, os alertas são muito granulares para serem úteis. Um administrador deve poder confiar em seu plug-in de segurança para alertá-lo sobre coisas que precisam ser tratadas e filtrar todo o ruído. No caso da Sucuri, temos quase certeza de que há uma boa chance de perder o sinal com todo o ruído.

O Jetpack lida com alertas com elegância. Não há um milhão de opções para analisar, e o plug-in enviará alertas sobre coisas que precisam de sua atenção. Como vulnerabilidades e malware, por exemplo.

Além disso, também testamos o recurso de monitoramento de tempo de inatividade do Jetpack. Ele deveria nos alertar se o site cair, mas isso não aconteceu. Nós travamos o site de algumas maneiras diferentes e vimos que o Jetpack não registrou essas falhas.

Embora o monitoramento do tempo de inatividade não seja um recurso de segurança como tal, é uma métrica importante para o seu site. Sites fora do ar ou com falhas geralmente são uma indicação de atividade de hacker ou malware. O recurso de tempo de inatividade do Jetpack não funciona.

Instalação, configuração e usabilidade

Sucuri era fácil no começo, mas foi ficando cada vez mais difícil. O Jetpack foi fácil de configurar, mas a interface constantemente estimula você a fazer uma atualização.

A instalação do Jetpack foi tediosa. Embora seu plug-in esteja instalado, não há como avançar sem criar um painel do WordPress.com. Ele serve como seu painel externo, então você precisa da conta. É um pouco desconcertante ser levado de seu próprio painel para o do Jetpack sem uma compreensão clara de quando e por que isso é necessário.

A instalação do Sucuri foi fácil e o scanner front-end começou a funcionar imediatamente. Para acessar os recursos pagos, como o firewall e o scanner do lado do servidor, você precisa criar uma conta na Sucuri. No entanto, a versão gratuita é autossuficiente.

O painel externo do Jetpack é confortável de usar porque imita o wp-admin. No entanto, há uma tonelada de recursos bloqueados, dependendo do seu plano, portanto, não é a melhor experiência do usuário ver 'atualizar' em todos os lugares. Algumas das métricas são inúteis do ponto de vista da segurança, portanto, no geral, não gostamos da interface do Jetpack.

Dito isso, preferimos a interface do Jetpack à da Sucuri. Se tivéssemos que descrever a Sucuri em uma palavra, essa palavra seria confusão. Há tanto jargão técnico na configuração e configurações. Na verdade, passamos horas tentando descobrir o que alguns dos termos significavam. Além disso, as descrições são inúteis e, em alguns casos, condescendentes. Não sei por que alguém pensou que era uma boa ideia escrever descrições que efetivamente dizem: se você não sabe o que isso significa, é melhor deixar como está.

Configurar o firewall da Sucuri foi um pesadelo. Pode parecer simples se você tiver acesso a um registrador de domínio e o know-how para mexer com servidores de nomes (que, aliás, levam algumas horas para serem atualizados). Nosso site de teste não tem um domínio, porque não queremos que o Google o indexe ou que as pessoas acessem acidentalmente, portanto, alterar os servidores de nomes não foi uma tarefa simples. Se alguém quisesse configurar o firewall em um site de teste, acharia difícil fazê-lo sem assistência de engenharia.

Jetpack: Extras

O Jetpack combina várias tarefas administrativas do WordPress em um plug-in, portanto, há muitos extras. Gostamos que tenha backups, porque os backups são super importantes para qualquer site. Fora isso, a conta WordPress.com é familiar de usar, embora se você tiver vários sites em uma conta, é tedioso alternar entre eles para gerenciamento.

Sucuri: extras

Sucuri tem uma tonelada de sinos e assobios extras em seu plugin. Ao contrário do Jetpack que oferece mais do que segurança, o Sucuri é apenas segurança. Então, tentamos pesquisar os recursos para ver o que poderia ter um impacto na segurança.

Ao instalar o plug-in, o primeiro e maior que você verá é a caixa de informações de integridade do WordPress. Parece realmente impressionante, mas na verdade é uma versão muito elegante de um monitor de alteração de arquivo principal do WordPress. Obviamente, há alguma utilidade em ter um monitor de alteração de arquivo para arquivos principais, especialmente porque o malware é conhecido por infestar arquivos principais regularmente. No entanto, o destaque e o posicionamento são enganosos, em nossa opinião. Um monitor de alteração de arquivo não é a extensão da segurança do WordPress. Francamente, não é nem o começo.

Há também um utilitário de comparação de integridade para comparar arquivos principais no site com a compilação original. É mais fácil do que usar um diffchecker online para arquivos principais, se você estiver limpando o malware manualmente.

A Sucuri tem várias opções de fortalecimento do WordPress. Alguns deles são úteis, enquanto outros são hacks mais antigos que deixaram de ser úteis em termos de segurança.

Por exemplo, bloquear o PHP na pasta de uploads é uma boa ideia, assim como a capacidade de alterar os sais do WordPress facilmente no painel. Mas isso não é um endosso inequívoco. Teria sido muito mais seguro ter o recurso no painel da Sucuri do que no wp-admin. Se um hacker obtiver acesso ao back-end do site, os sais serão comprometidos porque são mostrados em texto simples.

Coisas como verificar a versão do WordPress, remover a versão do WordPress, evitar vazamento de informações e verificar a conta de administrador padrão são recursos de segurança sem sentido. Eles fazem muito pouco para proteger o site de maneira concreta. Esqueça o setor de segurança, até os hackers abandonaram esses truques.

Alguns dos recursos de endurecimento nos deixaram intrigados. Se optássemos por desabilitar o plugin e o editor de temas, como atualizaríamos nossos plugins e temas quando as vulnerabilidades fossem descobertas? Além disso, a Sucuri armazena arquivos PHP na pasta de uploads, portanto, cortar todos os acessos externos significa que eles não poderão acessar seus próprios arquivos. Talvez haja uma regra que permita esse acesso, mas isso não é claro para um usuário final.

Existe um recurso de gerenciamento de senha, mas o aviso que o acompanha assustaria a maioria das pessoas de usá-lo: “Selecione usuários da lista para alterar suas senhas, encerrar suas sessões e enviar por e-mail um link de redefinição de senha. Esteja ciente de que o plug-in alterará as senhas antes de enviar os e-mails, o que significa que, se o seu servidor da Web não puder enviar e-mails, seus usuários serão bloqueados no site.”

O que falta na Jetpack e na Sucuri

Nosso maior problema com a Sucuri é o fato de que o scanner de malware não funciona. Esperávamos que ele detectasse parte do malware, considerando o quão amplamente o Sucuri é usado em sites. Mas não detectou nada! Imperdoável em nossa opinião.

O Jetpack não possui firewall nem limpeza de malware, automatizada ou não. Ele faz metade do trabalho de encontrar o malware que já está no site, mas nada para removê-lo ou protegê-lo. Nem perto de adequado, em termos de segurança.

Sucuri vs Jetpack: Preços

O plano premium mais baixo da Sucuri chega a $ 199,99 por ano por site. É um bom negócio para as solicitações ilimitadas de remoção de malware que você pode ter. O firewall também é decente, mas o scanner é péssimo. Não é totalmente valor para o dinheiro. O Jetpack não é um bom plug-in de segurança pelo preço de US$ 300.

Se fôssemos pagar US$ 300 por um plug-in de segurança, pediríamos muito desse plug-in: um verificador de malware infalível, um firewall e opções de limpeza. Jetpack não tem nada disso. Ajudou a identificar alguns dos malwares, detectar algumas das vulnerabilidades e ter proteção média contra força bruta.

A remoção ilimitada de malware é um grande ponto positivo a favor da Sucuri. O tempo de resposta foi ótimo, houve uma lista de verificação pós-hack compartilhada conosco e todo o malware foi limpo. Mas - e este é um grande mas - o scanner de malware foi um fracasso total. Ficamos tão desapontados que não detectamos nem um lampejo de malware. E, no entanto, a equipe limpou tudo. Se a Sucuri pudesse trazer um pouco da energia manual de limpeza de malware para o scanner, ela se tornaria um plug-in formidável. Até então, porém, não tanto.

Melhor alternativa para Jetpack e Sucuri: MalCare

Neste artigo, apresentamos todas as nossas descobertas em sessões de testes intensivos. Nem o Jetpack nem o Sucuri funcionam de forma eficaz para proteger os sites do WordPress contra hackers e seus malwares. Se você leu este artigo até aqui, sabe que a segurança não é negociável. Portanto, investir em um plug-in de segurança sólido e confiável é o caminho a seguir.

O melhor plugin de segurança do WordPress disponível hoje é o MalCare. O MalCare possui um scanner de malware de alto nível, limpeza automatizada de malware e um firewall avançado para proteger seu site contra ataques.

Em uma comparação recurso a recurso entre todos os outros plugins de segurança, o MalCare também é significativamente mais econômico. Contra os pesados ​​$ 300 do Jetpack, o plano de $ 150 do MalCare é um negócio muito melhor para muitos outros recursos. Da mesma forma para a Sucuri, o plano de $ 99 da MalCare é muito melhor do que o plano de plataforma básica de $ 199,99.

Conclusão

Um plug-in de segurança é uma parte essencial do seu kit de ferramentas administrativas. É uma daquelas coisas que devem exigir intervenção mínima e trabalhar fora da caixa. O MalCare tem a melhor segurança, sem o ruído desnecessário que a maioria dos outros plugins traz para a mesa. É um investimento que vale a pena proteger sua receita contra hackers.

Este artigo ajudou? Deixe-nos cair uma linha e deixe-nos saber. Gostaríamos muito de ouvir de você!