Sucuri vs Wordfence: qual plugin de segurança é melhor para o seu site WordPress

Wordfence e Sucuri são os campeões peso-pesados ​​dos plugins de segurança do WordPress. Em qualquer conversa, eles inevitavelmente surgem e as pessoas ficam divididas sobre qual é o melhor plugin de segurança.

A Sucuri tem um scanner online popular, que é amplamente usado pelo administrador do site para detectar malware. Seu plugin também possui um scanner do lado do servidor, um firewall e muitos outros recursos de segurança. A Sucuri oferece remoção ilimitada de malware com qualquer um de seus planos.

Wordfence é o líder indiscutível para plugins de segurança WordPress. A equipe complementa seu plug-in de segurança com muito conteúdo educacional, ajudando o administrador a entender como proteger seu site contra hackers. O plugin possui um scanner e firewall e também pode remover alguns malwares. Eles também têm um serviço de remoção de malware, mas esse é um recurso premium sob demanda.

Para responder qual é o melhor na batalha Sucuri vs Wordfence, testamos os dois plugins extensivamente. Como você verá no restante do artigo, os testes foram projetados para fazer os plugins tropeçarem para que você possa tomar a melhor decisão para a segurança do seu site.

5 plugins de segurança, 3 sites, 45 dias e muito malware. Os resultados foram conclusivos.

VEREDITO Sucuri vs Wordfence não é uma pergunta simples. Ambos têm scanners de malware e firewalls. O Wordfence possui um limpador automático e um serviço caro de remoção de malware, enquanto o Sucuri possui apenas limpezas ilimitadas com seus planos. Depois de pesar todos os fatores, o Wordfence é o vencedor com certeza. Continue a ler para saber mais.

Nossa escolha

Para esta série, desenvolvemos 3 sites de teste: primeiro, um blog simples com muitas imagens e comentários como controle; segundo, um site com muitos plugins vulneráveis ​​e temas de vários níveis de obscuridade; e, por último, um site carregado com diferentes tipos de malware.

Os critérios para um plug-in eficaz são múltiplos, mas queríamos nos concentrar em uma pergunta simples: o plug-in faz um bom trabalho ao proteger seu site contra hackers e malware?

45 dias depois, tivemos nossa resposta. Para 4 de 5 plugins, a resposta foi não. 1 plugin ganhou em todos os aspectos. Esse plugin é o MalCare.

O MalCare tem o melhor scanner de malware que já vimos, detectando malware de arquivos, banco de dados e pastas, independentemente de quão bem ele esteja oculto. Possui um limpador automático que realmente funciona, limpando apenas malware com precisão cirúrgica. E, finalmente, um firewall avançado que bloqueia ameaças que podem explorar seu site.

O melhor plugin de segurança para o seu site WordPress é inequivocamente MalCare.

Resumo da comparação Sucuri vs Wordfence

Nesta batalha campal, Wordfence é o vencedor. Temos que admitir que foi por pouco, porque a Sucuri também tem seus pontos.

Podemos ver por que as pessoas ficam tão preocupadas sobre qual é o melhor, porque as falhas do Wordfence são os pontos fortes da Sucuri e vice-versa. Portanto, dependendo da experiência pessoal de um indivíduo, eles defenderão o plug-in que resolveu seu problema específico.

Mas por causa disso, não há uma resposta objetiva sobre qual é holisticamente melhor para todos os sites WordPress. E a resposta para isso é nenhum. Você não deve comprometer um aspecto de segurança ou outro. Tenha tudo isso adquirindo o MalCare.

Wordfence em poucas palavras

Wordfence é o melhor plugin de segurança para um site WordPress depois do MalCare. A versão gratuita é robusta, com ótimos recursos de segurança. O scanner detecta a maioria dos malwares baseados em arquivos e é capaz de limpar a maior parte do que detecta. O firewall é um dos mais atualizados e bloqueia várias ameaças. As desvantagens são que o desempenho do site sofre um grande impacto com o Wordfence, e seu serviço de limpeza de malware é caro.

O scanner do Wordfence foi capaz de detectar todos os malwares baseados em arquivos que inserimos em nossos plugins e temas gratuitos. Se isso soa estranhamente específico, é porque é. Ele não conseguiu detectar malware que estava no banco de dados, nem malware inserido em plugins e temas premium. Isso ocorre porque o mecanismo de detecção de correspondência de arquivos que o Wordfence usa depende muito do código disponível publicamente.

Os resultados da verificação sinalizaram malware e vulnerabilidades nos temas e plugins instalados. Curiosamente, o Wordfence também sinalizou alguns de nossos plugins premium como malware ou erros. Esses são falsos positivos, que podemos ver porque estamos acostumados a vasculhar o código do WordPress. Mas alguns administradores de sites podem acabar removendo plugins perfeitamente viáveis ​​por causa disso.

Além disso, havia uma opção para reparar automaticamente os arquivos carregados de malware após a exibição dos resultados da verificação. Nós tentamos, e funcionou. Todo o malware detectado foi removido do site. Claro, ele não pode reparar malware que não foi capaz de detectar em primeiro lugar.

Em seguida, tentamos o firewall. Foi eficaz, bloqueando muitas das ameaças que lançamos nele. Mas toda vez que o firewall bloqueava uma ameaça, recebíamos um alerta. Houve tantos alertas durante nossos testes que só podemos imaginar o que acontecerá em um site ao vivo. O administrador certamente ficará sobrecarregado e perderá os alertas críticos.

Além desses três critérios principais, existem várias outras opções disponíveis no Wordfence. A proteção de força bruta é excelente e a autenticação de dois fatores funciona como um encanto.

O que realmente levou o plugin a vários níveis foi sua ótima usabilidade. O Wordfence é um plugin de segurança complexo, mas também acessível para iniciantes. A forma como o painel está disposto, com as dicas e documentação que o acompanha, qualquer pessoa pode configurar o plug-in de segurança, sem inutilizar acidentalmente o site. Esta é uma grande vantagem em nossa opinião, especialmente quando comparada com a Sucuri, como você verá mais adiante.

O Wordfence surpreendentemente não possui um log de atividades, o que achamos muito estranho. Mas o verdadeiro infortúnio é que é um sumidouro de recursos. Cada varredura que executamos em nosso site fez com que o uso do disco aumentasse e o desempenho do site despencasse. É por esta razão que muitos hosts da web baniram o Wordfence.

Em resumo, o Wordfence é um excelente plugin de segurança, mas com sérias lacunas. Por todos os benefícios que tem e nenhuma das falhas, MalCare é o caminho a percorrer.

Sucuri em poucas palavras

A Sucuri tem um bom firewall e seu serviço de remoção de malware foi ótimo. Mas o scanner de malware não conseguiu detectar nenhum malware, mesmo que sua equipe o tenha removido mais tarde. Um plug-in de segurança sem um scanner de malware em funcionamento é ineficaz.

Sucuri é o único outro plugin que tem alguma chance de ser considerado junto com MalCare e Wordfence, porque pelo menos funciona como um plugin de segurança às vezes. Jetpack e iThemes foram baixas.

É sem dúvida um dos plugins de segurança mais populares, mas ainda falha em uma área fundamental: verificação de malware. Como veremos mais adiante, seu serviço de remoção de malware é de primeira linha. Eles foram eficientes e rápidos, voltando para nós antes do esperado e fazendo um bom trabalho na limpeza do site. No entanto, se não fosse um site de teste que criamos e enchemos de malware, nunca saberíamos que ele estava infectado, porque o scanner nos deu uma ficha limpa para hacks. Então, com efeito, Sucuri é um caso clássico de colocar a carruagem na frente dos bois. Você precisa saber que o site foi hackeado para limpá-lo, mas não há como saber que foi hackeado com o scanner da Sucuri.

Seguindo em frente, o firewall teve um bom desempenho. Ele impediu ataques como injeções de SQL e ataques de execução remota de código com facilidade e consistência. Mas foi um pesadelo para configurar. Como estamos usando sites de teste, houve muitos problemas em alterar os servidores de nomes para apontar para os IPs do firewall da Sucuri em vez do nosso site de teste. Se alguma dessa última frase não fez sentido, tudo bem. Levamos séculos para configurá-lo também. Para ser justo, você não encontrará tanta dificuldade em seus sites ao vivo, mas se quiser configurá-lo para um site de teste ou local? Espere problemas.

Já estávamos frustrados com o firewall, quando analisamos as outras opções de configuração. Por que tudo é tão complicado? A linguagem é confusa e, em alguns casos, francamente condescendente. E isso foi antes de percebermos que cada verificação de segurança tornava nossos sites de teste mais lentos. Quando verificamos o uso do disco do servidor, houve um aumento alarmante.

A Sucuri usa os recursos do site para verificar se há malware — um verificador que não funciona, lembre-se. Portanto, ele não faz o que deveria e ainda prejudica o desempenho do site. Não é um ótimo visual para Sucuri.

Qual plugin de segurança vale o seu dinheiro?

O conselho de segurança do WordPress é legião e bem-intencionado, mas geralmente é um mau conselho. Vimos pessoas defendendo o iThemes - um dos piores plugins de segurança que já vimos - porque seus sites nunca foram invadidos, descartando completamente o fato de que eles atualizam os plugins regularmente, usam boas senhas, não usam software nulo e têm uma grande dose de sorte. Se o GoDaddy pode ter uma violação de dados, seu site também pode.

O cerne da questão é como escolher um bom plugin de segurança. Compilamos uma lista essencial, eliminando coisas que não estão relacionadas à segurança.

• Recursos essenciais de segurança
  • Verificação de malware
  • Limpeza de malware
  • Firewall
• Recursos de segurança bons para ter
  • Detecção de vulnerabilidade
  • Proteção de login de força bruta
  • Registro de atividade
  • Autenticação de dois fatores
• Problemas potenciais
  • Impacto nos recursos do servidor

Como você pode ver, existem apenas 3 recursos essenciais com os quais você precisa se preocupar. Um plug-in de segurança deve ser ótimo nessas 3 coisas: verificação de malware, limpeza de malware e firewall. Todo o resto é molho. Não estamos descartando a proteção de força bruta ou a autenticação de dois fatores, porque isso também é importante. Mas você pode obter outros plugins para essa funcionalidade.

O MalCare é o único plug-in de segurança que possui excelentes recursos de varredura e limpeza de malware e um firewall avançado que impede a entrada de ameaças. Todos os outros plugins falham em um lugar ou outro.

Sucuri vs Wordfence: comparação direta de recursos

Escolher o plug-in de segurança certo pode ser uma experiência desconcertante, especialmente quando você precisa testar a eficácia de cada um, esperando o tempo todo que funcione.

Nesta seção, apresentamos nossos resultados de teste organizados por recurso. Comparar e contrastar os mesmos recursos entre plugins fornece uma imagem mais clara da eficácia do plugin de segurança.

Apresentamos nossos resultados da forma mais justa e transparente possível, com o objetivo de ajudar as pessoas a fazer uma escolha melhor para seus sites. No entanto, se você quiser proteger seus sites rapidamente, instale o MalCare e pule para o final.

Verificação de malware

A Sucuri possui 2 scanners: um online chamado SiteCheck, e um nível de servidor que faz parte do plugin. Ambos não detectaram malware. O Wordfence possui um scanner de malware decente, que pode detectar scripts maliciosos em arquivos e pastas principais e em plugins e temas gratuitos. Caso contrário, ele perdeu malware no banco de dados e plugins e temas premium.

Muitas vezes recomendamos o Sucuri SiteCheck como um diagnóstico de primeiro nível para malware, caso alguém suspeite que seu WordPress foi hackeado. Ele não pode escanear o site completo, mas pode identificar infecções de malware comuns rapidamente e sem a necessidade de instalar um plugin para o propósito expresso.

Tínhamos maiores expectativas do scanner em nível de servidor, considerando que ele teria acesso total ao site. A instalação é um pouco diferente em comparação com outros plugins, pois o scanner precisa ser instalado em seu servidor web. Isso pode ser feito manualmente ou inserindo detalhes de FTP em seu painel. Concluímos a instalação e aguardamos a conclusão da verificação.

Um tempo considerável depois, a verificação foi concluída e nosso site repleto de malware estava aparentemente livre de hacks. Executei a varredura uma segunda vez para ver se havia um erro na primeira vez. Não, ainda sem malware de acordo com a Sucuri. Falha grave.

Na instalação, o Sucuri é configurado para ser executado uma vez por dia, mas você pode solicitar varreduras sob demanda. As solicitações são enfileiradas e executadas com base na disponibilidade. O próprio plug-in irá avisá-lo de que a verificação do seu site consumirá recursos do servidor e, portanto, afetará o desempenho do seu site. Honestamente, isso é terrível porque a segurança não deve prejudicar o desempenho e a experiência do usuário. Entraremos nisso com mais detalhes em outra seção.

O Wordfence também executa uma verificação automaticamente na instalação. No entanto, houve um pouco de confusão aqui, porque assumimos que o círculo de porcentagem no painel era o progresso do scanner. Depois de vermos que não passava de 60% por algumas horas, analisamos mais de perto e percebemos que era uma medida da eficiência do scanner. Para chegar a 100%, você precisa atualizar o plugin.

Reiniciei o scanner para avaliar quanto tempo levou e, como nossos locais de teste são pequenos, o scanner foi concluído em menos de um minuto. Isso é definitivamente uma vantagem. Os resultados da verificação foram apenas acima da média, mas não perfeitos, porque detectou a maior parte do malware, não todo.

A razão para isso é que o Wordfence usa a correspondência de assinatura para detectar malware. Isso significa que o scanner Wordfence compara o código do seu site com um banco de dados de assinaturas de malware. Se houver uma correspondência, o scanner a sinalizará como malware. Embora o Wordfence tenha um formidável banco de dados de malware, que eles atualizam regularmente com base em suas pesquisas de segurança, ele nunca pode estar 100% completo porque a equipe precisaria ter visto o malware para atualizá-lo no banco de dados e, independentemente da pesquisa abrangente, novos malware aparece o tempo todo

Portanto, o Wordfence é adepto de pegar malware encontrado em arquivos e pastas principais do WordPress, bem como scripts maliciosos em plugins e temas gratuitos. Mas ele não consegue detectar malware em softwares premium, como o Elementor, por exemplo, porque eles não têm acesso ao código-fonte para análise. Pela mesma razão, o Wordfence também falha na detecção de malware no banco de dados, porque isso requer um mecanismo além da correspondência de assinatura para descobrir.

Dito isto, o Wordfence detectou todos os nossos malwares baseados em arquivos. Pela nossa estimativa, é capaz de detectar 70 a 80% de malware. Também é propenso a falsos positivos e tende a gerar uma tonelada de alertas. Chegaremos a isso em uma seção separada também.

Limpeza de malware

O Wordfence possui um recurso de reparo automático para limpar malware, mas a eficácia é discutível para malware mais complexo. Eles têm um serviço premium de remoção de malware, mas pode abrir um buraco no bolso por US$ 490 por site. A Sucuri, por outro lado, possui um serviço de limpeza manual de malware ilimitado incluído em todos os seus planos.

Mesmo que o scanner da Sucuri tenha dito que nosso site não tinha malware – o que definitivamente tinha – nós solicitamos uma limpeza, sem esperar muito. No entanto, o site voltou para nós impecável. Passamos pelo MalCare para verificar. Curiosamente, após a equipe da Sucuri limpar nosso site, o scanner sinalizou malware nele. Claramente, um bug em algum lugar.

O serviço de remoção de malware foi muito rápido. Embora nosso plano garantisse uma resposta em 30 horas, recebemos um site limpo em menos de 10. Isso é ótimo. O único cuidado que gostaríamos de salientar é que, quando você tem um site invadido, o tempo é essencial. Você não pode se dar ao luxo de ter malware em seu site por muito tempo. Apenas para ressaltar a importância de agir rápido, a lista negra do Google também mede seu tempo de resposta a notificações de malware.

Para remoção de malware, você precisa solicitar uma limpeza da Sucuri. Preencha um formulário com todas as informações que você pode fornecer, e a equipe assume a partir daí. Recebemos uma mensagem da Sucuri com uma lista de verificação pós-hack com ótimas recomendações. Portanto, no geral, o recurso de limpeza de malware com o Sucuri é positivo.

O Wordfence tem 2 opções para lidar com arquivos invadidos no painel: exclua todos os arquivos apagáveis ​​e repare todos os arquivos reparáveis. Isso além de um CTA sugerindo que optamos por seu serviço de limpeza especializado.

Tentamos as duas opções e ambas foram bastante bem-sucedidas na remoção do malware do nosso site. O problema é que a remoção automática é precedida por avisos terríveis de quebra do site devido a alterações.

Nossos sites de teste são copiados no BlogVault e, francamente, não estávamos tão preocupados com a quebra deles. Embora tenhamos conseguido passar sem pensar muito, é porque estávamos interessados ​​em testar o recurso de reparo. No entanto, o caso seria muito diferente para, digamos, a loja de comércio eletrônico de alguém ou um site de alto tráfego.

Em nossa série de testes, geralmente paramos nesse ponto porque a maioria dos outros plugins de segurança falharam. O Wordfence limpou todo o malware baseado em arquivo do nosso site, então tentamos o recurso com malware de banco de dados e alguns em nossos plugins premium. O scanner não foi capaz de detectar esse monte de malware e, portanto, o reparo automático não era uma opção.

A outra alternativa era solicitar a remoção do malware. O serviço pretende remover malware, backdoors e fazer uma auditoria de segurança do site, avaliando vulnerabilidades. Caso seu site tenha chegado a uma lista negra, o Wordfence também ajudará a se livrar disso. O serviço é garantido por um ano, dependendo se o administrador do site seguiu as recomendações pós-hack ao pé da letra. Observação: não podemos falar sobre a eficácia do serviço de remoção de malware do Wordfence, pois não o testamos.

Por outro lado, usamos o MalCare para remover todo o malware automaticamente e conseguimos fazer isso sem problemas. Nenhum aviso terrível, nenhum malware perdido, e nosso site ficou completamente limpo em minutos. Esse é o tipo de limpeza de malware que queremos para nosso site.

Firewall

Tanto o Sucuri quanto o Wordfence possuem ótimos firewalls que bloqueiam as ameaças mais comuns e importantes. Mas o firewall da Sucuri foi um pesadelo para instalar, e o firewall gratuito do Wordfence, de forma preocupante, recebe atualizações mais tarde do que sua versão premium.

O firewall da Sucuri evitou ataques como injeções de SQL, injeções remotas e ataques de script entre sites. Nosso site de teste tinha uma tonelada de vulnerabilidades, como uploads de arquivos não seguros, por exemplo, e permaneceu seguro atrás do firewall.

Nosso problema com o firewall da Sucuri foi sua instalação. Para usar o firewall, você precisa apontar seu tráfego para seus servidores de nomes, para que o tráfego ruim seja filtrado e apenas o tráfego bom seja enviado para o seu site. Excelente ideia, mas que pesadelo configurar. Nossos sites de teste não estavam vinculados a nenhum registrador de domínio, então tivemos que convocar a equipe de engenharia para descobrir isso.

O firewall do Wordfence também funciona fora da caixa e impede ataques com sucesso.

Logo após a instalação, o firewall entrou no modo de aprendizado. O Wordfence recomendou que deixássemos o modo de aprendizado ativado por uma semana. Isso é justo, porque os firewalls precisam de tráfego ao vivo para aprender a ser eficazes. No entanto, como não temos tráfego ao vivo para nossos sites de teste, vimos pouco sentido em esperar uma semana e o liberamos imediatamente.

Com o Wordfence, o firewall gratuito é supostamente apenas 35% eficaz. Esta não é uma suposição de nossa parte, mas está realmente no painel. Nós cavamos um pouco mais fundo para descobrir por que esse poderia ser o caso. Existem 2 motivos:

Um: o firewall gratuito é carregado como um plugin, após o término do WordPress. A ordem de carregamento afeta a segurança significativamente, porque se o firewall for carregado após o núcleo do WordPress, isso significa que ele pode impedir apenas algum tráfego malicioso, não todo.

Dois: Embora o Wordfence tenha o firewall mais atualizado, a versão premium recebe essas atualizações em tempo real. A versão gratuita, no entanto, recebe atualizações após um período de tempo não especificado. Não temos como saber qual é o atraso, mas é potencialmente problemático. Afinal, os hackers podem atacar na janela.

A maior oferta é que o próprio Wordfence classifica seu firewall gratuito com 35% de eficácia em comparação com a versão premium. Nada bom.

Detecção de vulnerabilidade

O Wordfence fez um excelente trabalho ao detectar todas as vulnerabilidades em nosso site. Sucuri perdeu completamente os obscuros.

Ficamos impressionados ao ver que o Wordfence nos alertou sobre todos os plugins desatualizados como ameaças médias. As vulnerabilidades foram sinalizadas corretamente como ameaças críticas. Outros plugins de segurança tropeçaram nos plugins e temas mais obscuros, não nos alertando sobre suas vulnerabilidades graves, como scripts entre sites em um caso. Então Wordfence veio trunfo aqui.

Não é possível corrigir vulnerabilidades diretamente do painel do Wordfence, mas isso faz sentido. Corrigir vulnerabilidades significa essencialmente atualizar o plugin ou tema, e essa funcionalidade já está facilmente disponível no wp-admin. A menos que o Wordfence tivesse uma regressão visual como o MalCare para garantir que a atualização não quebrasse o site, não faz sentido replicar um recurso existente.

O Wordfence também apresentou erros para iThemes e Backupbuddy. Isso é indicativo de sua tendência de sinalizar falsos positivos no site.

A Sucuri detectou todas as vulnerabilidades, exceto as mais obscuras, em nossos sites de teste. Você pode atualizar seu software desatualizado no painel da Sucuri, ao contrário do Wordfence. Nós realmente não vemos o utilitário, pois as atualizações são facilmente possíveis através do wp-admin.

A guia pós-hack lista as versões dos plugins e temas instalados, juntamente com suas versões mais recentes. A Sucuri adverte contra continuar com software desatualizado porque pode levar a infecções por malware.

Curiosamente, mesmo o serviço de remoção de malware da Sucuri só conseguiu detectar algumas das vulnerabilidades em nosso site. Dada a nossa experiência com o scanner, pensamos que o serviço de remoção faria um trabalho melhor na detecção de vulnerabilidades. Isso não parece ser o caso.

Proteção de login de força bruta

O Wordfence faz um excelente trabalho ao bloquear todos os ataques de força bruta. O recurso de proteção de login da Sucuri parece não funcionar.

A proteção de força bruta é habilitada por padrão no Wordfence. Funciona perfeitamente todas as vezes, bloqueando usuários com muitas tentativas incorretas, com base na configuração que definimos no painel.

Você encontrará as configurações na seção de firewall. Há muitas coisas para personalizar no menu de opções: configurar bloqueios para tentativas incorretas de login; quanto tempo um usuário experimentará o bloqueio; e assim por diante. As opções não são esmagadoras, e o Wordfence explica cada uma de forma convincente e com ótima documentação.

Você também pode definir opções de gerenciamento de senhas aqui, certificando-se de aplicar senhas fortes e impedindo o uso de senhas descobertas em uma violação de dados.

É possível colocar IPs na lista de permissões nesta seção, mas somos ambivalentes sobre sua eficácia. Os IPs dos dispositivos são dinâmicos, portanto, ter uma lista de permissões não garante que um usuário legítimo não seja bloqueado.

A proteção de força bruta da Sucuri não funcionou como esperado. Não experimentamos um bloqueio, nem havia um captcha para garantir que éramos humanos e não bots. Não recebemos alertas, embora os ataques tenham aparecido nos logs de auditoria. No geral, o recurso foi um esmaecimento.

Você não pensaria que ver as opções de configuração no painel. Havia tantas opções, estávamos cambaleando depois de um ponto. Em suma, preferimos menos opções com um recurso que funcione, e não o oposto.

Registro de atividade

A Sucuri tem um log de auditoria, mas pode ser difícil de compreender. O Wordfence não possui um log de atividades.

A Sucuri possui um log de auditoria que rastreia todas as ações do usuário e alterações de plugins e temas. Os logs mostrarão todas as alterações feitas em arquivos e tabelas, o que é bom.

Os logs possuem informações necessárias como usuário, ação, timestamp, etc. Mas em alguns casos, as entradas são muito difíceis de entender. Por exemplo, para testar os logs, instalamos um plugin de galeria. As entradas resultantes no log de auditoria mostram 7 alterações diferentes. Não ficou claro nas entradas qual era a mudança, por que estava acontecendo ou quem era o responsável. Portanto, o log de auditoria é quase inútil para quem não fala Sucuri.

Ficamos surpresos ao ver que o Wordfence não possui um log de atividades, considerando que é um dos pilares da segurança do site. Há uma opção para habilitar a depuração na seção Diagnósticos do menu Ferramentas, o que faz com que os logs do firewall fiquem mais detalhados, mas isso não é a mesma coisa que um log de atividades.

Depois de muito pesquisar, descobrimos um log de atividades especificamente para eventos do Wordfence na seção Scan. No entanto, é um log bruto, claramente destinado apenas aos desenvolvedores do Wordfence.

Autenticação de dois fatores

O Wordfence possui um ótimo recurso de autenticação de dois fatores. A Sucuri não suporta isso em seu site.

A autenticação de dois fatores do Wordfence funciona imediatamente, com um conjunto fácil de opções para personalizar a experiência. Costumava ser um recurso premium, mas também foi adicionado ao plugin gratuito.

A Sucuri não oferece suporte à autenticação de dois fatores para seu site, mas você pode proteger sua conta Sucuri com ela.

Uso de recursos do servidor

Tanto o Sucuri quanto o Wordfence são porcos de recursos. Vimos blips inconfundíveis no uso do disco com varreduras e por causa do firewall.

Este é um fator em que não há nada a escolher entre Wordfence e Sucuri: ambos se saíram igualmente mal.

Cada ação que esses plugins executam em seu site consome recursos do servidor. Nossos sites são relativamente pequenos e vimos o uso do disco dobrar e às vezes triplicar quando configuramos as verificações. Isso afetou o tempo de carregamento, o tempo de resposta e a experiência geral no site.

Se você tiver um site WooCommerce ou um com tráfego intenso, esse efeito será perceptível para seus usuários. Se você estiver em hospedagem compartilhada, seu host levantará bandeiras e suas despesas de hospedagem podem aumentar potencialmente. De fato, muitos hosts da web baniram o Wordfence por esse motivo.

Embora as pessoas raramente falem sobre recursos de servidor ao discutir segurança, esse é um fator importante. Ninguém deveria ter que comprometer o desempenho ou a segurança. É perfeitamente possível otimizar ambos.

Não com Sucuri ou Wordfence, no entanto. Para isso, você precisará do MalCare.

Alertas

Tanto a Sucuri quanto a Wordfence são notórias por inúmeros alertas e falsos positivos.

Acreditamos firmemente em tirar o fardo de nossos clientes quando se trata de administração do WordPress. Os firewalls devem bloquear o tráfego silenciosamente. A proteção do bot deve funcionar imediatamente. O administrador só deve ser alertado se houver algo que precise de atenção e ação. A segurança do WordPress deve ser fácil e sem estresse, caso contrário, qual é o objetivo de um plug-in de segurança?

Aparentemente, nem a Sucuri nem a Wordfence concordam com essa escola de pensamento, porque seus alertas são esmagadores. Nossas caixas de entrada foram inundadas em nenhum momento. Muitos alertas são tão ruins quanto nenhum alerta, porque, em última análise, ambos levam à inação quando necessário.

Instalação, configuração e usabilidade

O Wordfence foi projetado para ser muito simples para um usuário iniciante. Sucuri não é.

A instalação, configuração e uso geral do Wordfence é um dos melhores que já vimos. Há orientações em cada seção principal, explicando as configurações e recursos mais importantes em linguagem simples e não ameaçadora.

Wordfence tem ótimas recomendações para configuração. Sua documentação está acessível nas dicas de ferramentas no painel, tornando-a altamente contextual. Cada recurso é claramente explicado e as instruções sobre como fazê-lo funcionar em seu site são instantaneamente acessíveis.

Estas podem parecer coisas estranhas para apontar. No entanto, se você já experimentou o Sucuri, percebe que a facilidade de compreensão é uma parte não trivial de qualquer experiência do usuário. Na verdade, se tivéssemos que descrever Sucuri em uma palavra, essa palavra seria desconcertante.

Instalar a Sucuri foi fácil, e a partir daí foi ladeira abaixo. Para usar o scanner e o firewall do lado do servidor, você precisa configurá-los manualmente. São tantas opções que passamos horas tentando entendê-las, além de descobrir se elas tiveram algum impacto real na segurança.

No geral, esses dois plugins estão em extremos opostos do espectro.

Wordfence: Extras

Wordfence é estritamente segurança. Não há um único recurso, opção ou linha que seja adjacente à segurança, como atualizações ou opções de gerenciamento de usuários. Apesar disso, existem vários extras.

Havia uma seção de notificações para atualizações do site, que nos mostrava quais plugins e temas precisavam ser atualizados com prioridade porque eram ameaças críticas ou médias.

Wordfence tem um painel externo para gerenciar vários sites na mesma conta chamada Wordfence Central. Ele também tem uma seção de acompanhamento no wp-admin de cada site conectado, presumivelmente para que você tenha uma visão geral de todos os sites, independentemente de qual site você está trabalhando no momento. Em nossa opinião, isso é de utilidade limitada e não funcionará para agências com centenas de sites gerenciados.

Em seguida, analisamos a seção Ferramentas. Há uma seção para tráfego ao vivo, que parecia replicar o Google Analytics, mas era mais do que isso. Esses logs classificam o tráfego com uma chave para ver que tipo de tráfego o site está recebendo: humano, bot, aviso, bloqueado.

Existe uma opção de pesquisa Whois, caso você queira ver quem é o invasor sem sair do wp-admin. Novamente, este é um recurso incidental na melhor das hipóteses.

Achamos muito interessante o Diagnostics, pois tinha muitas informações sobre o site. Tudo é muito granular lá, desde proprietários de processos até tabelas de banco de dados. Os desenvolvedores acharão essa informação muito útil, porque é como uma especificação do site em um só lugar.

Sucuri: Extras

Sucuri tem muitos detalhes extras e furbelows em seu plugin. Se algum tem impacto na segurança é outra questão.

A primeira coisa que você verá na instalação é a caixa de informações de integridade do WordPress. É realmente uma versão sofisticada de um monitor de alteração de arquivo principal do WordPress. Obviamente, é um pouco útil ter um monitor de alteração de arquivos para os arquivos principais do WordPress, mas a eficácia não é tanto quanto parece. Os hackers podem e irão alterar os metadados do arquivo, como os carimbos de data e hora de atualização, para contornar essas medidas. Então sim útil, mas não tanto.

Existe um utilitário de comparação de integridade para comparar os arquivos principais no site com a instalação original do WordPress. Certamente é mais fácil do que usar um online, se você estiver limpando o malware manualmente – o que não recomendamos.

Sucuri tem muitos recursos de proteção do WordPress. Bloquear o PHP na pasta de uploads protege contra uma categoria de hacks, e gostamos da capacidade de alterar os sais do WordPress rapidamente no painel. Mas poderia ter sido feito melhor. Se o recurso estivesse no painel externo da Sucuri e não no wp-admin, teria sido mais seguro. Imagine que um hacker tenha acesso ao wp-admin, os sais seriam facilmente comprometidos, pois estão em texto simples.

Algumas das outras opções são de utilidade limitada, como verificar a versão do WordPress, remover a versão do WordPress, evitar vazamento de informações e verificar a conta de administrador padrão. Eles não têm sentido do ponto de vista da segurança.

Outras características de endurecimento foram confusas. Por exemplo, se desativássemos o plugin e o editor de temas, como poderíamos atualizar plugins e temas com vulnerabilidades? Contraproducente para dizer o mínimo.

The password management feature held some promise, but the warning would terrify all but the most brave: “Select users from the list in order to change their passwords, terminate their sessions and email them a password reset link. Please be aware that the plugin will change the passwords before sending the emails, meaning that if your web server is unable to send emails, your users will be locked out of the site.”

What's missing from Wordfence and Sucuri

Sucuri doesn't have a good malware scanner. The brute force login protection doesn't work, and it takes up too much of server resources. There is no bot protection either, and you would need a separate plugin for two-factor authentication.

Wordfence misses out on bot protection and an activity log. The scanner is above average; definitely a cut above the other security plugins available apart from MalCare. Apart from these things, it is an exceptional security plugin.

Wordfence vs Sucuri: Pricing

Sucuri's plans start at $199.99 a year per site, which is a great deal for unlimited malware removal. The firewall works well, but the scanner is a let down. Wordfence premium plans are at $99 for the year per site, with attractive bulk pricing options. However, our opinion is that the free version is almost as good as the premium version.

Sucuri is a winner when it comes to the unlimited malware removal feature. The support team was great, with a quick turnaround time, helpful response and a proactive post-hack checklist. But the malware scanner was a complete failure, and that's not a small flaw to overlook.

The free version of Wordfence is strong enough to stand on its own. The premium version is not all that different, the efficiency percentages on the dashboard notwithstanding. The real expense to consider with Wordfence is the cleaning service at $490 a pop, over and above the site license. If you are considering Wordfence seriously, read the fine print. Although they say unlimited pages, there are additional charges for sites above 10 GB. They guarantee the service for a year, but there are terms and conditions. None of this is unreasonable, but it is important to be aware before taking the plunge.

Better alternative to Wordfence and Sucuri: MalCare

The best security plugin for your website isn't Wordfence or Sucuri, it is MalCare. It has an excellent scanner that detects malware in all parts of your website: core WordPress, files and the database. Additionally, the auto-clean feature removes all malware surgically, without breaking your website.

MalCare has an advanced firewall that proactively blocks bad traffic from reaching your website. The brute force protection makes sure that your login page is safe from malicious attacks, and the bot protection goes even further to make sure only bad bots are kept away from your website.

There is a formidable support team of WordPress security experts to help with any issues that come up. Any malware removal cleanups necessary beyond the auto-clean are covered with the site license.

Thus, in a feature-to-feature comparison, MalCare undoubtedly comes out on top. MalCare's $99 plan is vastly better than Sucuri's $199.99 Basic Platform plan, and includes unlimited malware removal, which is over and above Wordfence's $99 plan.

Conclusão

When choosing a WordPress security plugin for your website, make sure to evaluate the scanner, cleaner and firewall. All the other features can be implemented with other plugins, but these 3 features form the essence of a good plugin.

At MalCare, our goal is to make security stress-free and painless, so that you can focus on the more important aspects of your website. Leave the security to us, as you grow your business.

We hope this comparison was helpful, as we have presented all our findings transparently. Have further questions? Drop us a line. We would love to hear from you.