iThemes Security vs Sucuri: care este mai bun plugin de securitate?

La prima vedere, iThemes Security arată ca un plugin de securitate excelent și accesibil pentru site-urile dvs. WordPress. Mai ales dacă considerați că puteți proteja site-uri web nelimitate pentru doar 199 USD.

Sucuri, pe de altă parte, este unul dintre cele mai populare pluginuri de securitate WordPress disponibile. Are un pumn cu un scanner și un firewall și oferă și eliminarea programelor malware. Deci, deja în acest head-to-head, a furat un marș pe iThemes. De ce? Pentru că iThemes nu are niciuna dintre aceste caracteristici.

iThemes au fost eliminate complet din cursă. La acest concurs, Sucuri a fost, fără îndoială, câștigătoare. Acestea fiind spuse, încă nu am avea încredere în Sucuri pentru a ne proteja site-ul. Ce plugin de securitate este garantat pentru a proteja site-urile WordPress de hackeri? Răspunsul este fără echivoc: MalCare.

Rezumatul comparației iThemes Security vs Sucuri

iThemes Security este placebo pentru pluginurile de securitate WordPress. Crezi că site-ul tău web este ferit de hackeri, dar tot ceea ce îl protejează de fapt este dorința și vibrațiile pozitive. Sucuri este, fără îndoială, mai bun, dar mai bine este un termen relativ până la urmă. Nu este un plugin de securitate grozav.

iThemes Securitate pe scurt

Concluzia este că iThemes nu vă protejează site-ul. Vă sfătuim insistent să omiteți cu totul iThemes dacă luați în considerare acest lucru pentru securitatea WordPress. Și dacă l-ați instalat deja, vă rugăm să vă scanați site-ul imediat. Site-ul dvs. nu are securitate.

Primele noastre impresii despre iThemes au fost de fapt favorabile. Site-ul web vorbește despre un joc grozav și dă încredere datorită modului autoritar în care vorbesc despre securitatea WordPress. Singurul defect pe care l-am putut vedea a fost că nu puteți folosi pluginul pentru a curăța programele malware. Nu este ideal, dar tot ar putea funcționa ca scaner.

Sau așa credeam noi.

Scanerul iThemes nu detectează programe malware. Deloc. Am risca să presupunem că nici măcar nu scanează fișiere și date, deoarece scanarea se termină în câteva secunde. Ceea ce face „scanerul” iThemes este să verifice Raportul de transparență al Google pentru a vedea dacă site-ul dvs. se află pe lista respectivă. Nu avem nevoie de un plugin de securitate pentru a face asta. Ne-am întors să verificăm site-ul și am fost uimiți să observăm că funcțiile nu spun în mod explicit scanare pentru malware. Spune doar că detectarea malware-ului este unul dintre pașii cheie în securitatea WordPress. Asta e vorba dublă, dacă am văzut-o vreodată.

Am fost tentați să anulăm testele iThemes ca fiind inutile, dar am continuat în interesul corectitudinii.

Pluginul are o caracteristică solidă de autentificare cu doi factori, pe care o puteți activa pe pagina de autentificare. Are, de asemenea, câteva caracteristici decente de întărire, cum ar fi blocarea execuției PHP în foldere. Acestea fiind spuse, protecția de conectare prin forță brută funcționează doar o parte din timp. Un alt semn negru pe plugin.

Rezultatul nostru din utilizarea iThemes este că singurele caracteristici ale oricărei valori de securitate sunt autentificarea cu doi factori și implementarea ușoară a reCAPTCHA pe wp-login. Cu toate acestea, aceste două caracteristici nu garantează o bancnotă de 199 USD, deoarece există plugin-uri de securitate mai bune care vor oferi aceleași caracteristici, în plus față de o anumită securitate reală.

Testarea iThemes a fost o experiență teribilă, deoarece nu ne putem imagina numărul de site-uri web care cred că sunt protejate de securitate inexistentă. De fapt, utilizatorii iThemes, ar trebui să vă scanați site-ul chiar acum.

Sucuri pe scurt

Sucuri are un firewall decent și servicii excelente de eliminare a malware-ului, dar a eșuat spectaculos ca scaner de malware. Dacă nu știți că site-ul dvs. are malware, nu există nicio modalitate de a scăpa de el. Aceasta este o parte nenegociabilă a unui plugin de securitate.

Când am început să testăm Sucuri, ne așteptam la multe de la el. Este unul dintre cele mai populare pluginuri de securitate pentru WordPress și am fost uimiți să vedem că scanerul nu a reușit să detecteze niciun program malware pe site-ul nostru de testare piratat. Vom intra în mai multe detalii într-o secțiune ulterioară, dar aceasta a dat tonul întregului nostru proces de testare.

Pe lângă eșec, scanarea în sine durează mult timp pentru a se finaliza și utilizează resursele serverului nostru pentru a o face. Sucuri înșiși descurajează prea multe scanări din cauza impactului asupra performanței site-ului. Este un compromis îngrozitor între performanță și securitate și pur și simplu nu ar trebui să fie cazul.

Trecând la serviciile de firewall și de eliminare a programelor malware, Sucuri s-a descurcat bine. Firewall-ul a fost foarte greu de configurat și ne-a luat o cantitate excesivă de timp pentru a face acest lucru. Dar a blocat atacurile pe care le-am încercat și nu am putut exploata nicio vulnerabilitate.

Serviciul de eliminare a programelor malware a fost însă punctul culminant al experienței noastre de testare. Chiar dacă scanerul a oferit site-ului nostru piratat o stare de sănătate curată, știam că este plin de programe malware. În primul rând, am pus malware-ul acolo, iar în al doilea rând, scanările MalCare au confirmat acest diagnostic. Echipa Sucuri a eliminat orice urmă de malware de pe site-ul nostru și, ca urmare, a fost curat. Fantastic! Cireasa acestui tort a fost că puteți avea solicitări nelimitate de eliminare a programelor malware ca parte a planului dvs., ceea ce este o afacere grozavă.

În afară de firewall, setările sunt foarte obscure. Ne-am trezit nedumeriți în legătură cu multe din jargonul folosit, și asta cu experiența în securitatea WordPress. Interfața nu este ușor de utilizat și suntem siguri că mulți oameni o vor considera inutil de alarmantă. Punct minus pentru Sucuri acolo.

Una peste alta, nu credem că Sucuri este cea mai bună soluție de securitate pentru un site web WordPress. Această onoare îi revine MalCare, datorită unui scaner care funcționează de fiecare dată. MalCare primește și puncte bonus care nu ne fac să ne simțim obtuși.

Cum să alegi pluginul de securitate potrivit pentru site-ul tău WordPress

Securitatea site-ului dvs. WordPress nu este negociabil. Programele malware pot cauza nenumărate pierderi pentru afaceri: pierderi de venituri, procese, costuri de curățare, impact asupra brandingului, pierderi de trafic organic și multe altele. Investiția în pluginul potrivit vă va salva de hackeri și programe malware și de problemele pe care le lasă în urma acestuia.

Întrebarea este totuși: cum alegi un plugin de securitate eficient pentru site-ul tău?

Când ne-am configurat testele, au fost mai mulți factori de luat în considerare: siguranța, desigur, dar și ușurința în utilizare și raportul calitate-preț. Cu toate acestea, ne-am dat seama curând că toți factorii, în afară de securitate, au devenit lipsiți de sens, deoarece cât de eficient este un plugin la securitate ar trebui să fie singurul aspect.

Deci, iată care sunt factorii de luat în considerare atunci când selectați un plugin de securitate.

• Caracteristici esențiale de securitate
  
  • Scanare malware
  • Curățare malware
  • Firewall
• Caracteristici de securitate bune de a avea
  
  • Detectarea vulnerabilităților
  • Protecție de conectare în forță brută
  • Jurnalul de activitate
  • Autentificare cu doi factori
• Probleme potentiale
  
  • Impactul asupra resurselor serverului

După cum puteți vedea din listă, doar 3 factori sunt complet esențiali. MalCare ași în toate cele 3: scanarea și curățarea programelor malware pe care alte plugin-uri sunt garantate să le rateze și protejarea site-ului dvs. de trafic rău intenționat cu un firewall puternic. Mai mult, MalCare o face mai bine decât orice alt plugin de securitate disponibil în prezent.

iThemes Security vs Sucuri: comparație directă a caracteristicilor

Modul în care am prezentat această comparație este să luăm mai întâi cele mai esențiale caracteristici și apoi să discutăm despre celelalte observații care au apărut în timpul testării. Destul de des, am văzut caracteristici și setări care nu au făcut aproape nimic (vorbim despre iThemes) și totuși au pictat o iluzie elaborată de securitate.

Tăierea pleava pentru a ajunge la grâu nu a fost ușor, dar vom prezenta toate datele noastre cât mai clar și corect posibil.

Dacă doriți să săriți peste această demontare, vă recomandăm să instalați MalCare.

Scanare malware

Scanerele Sucuri nu au detectat niciun program malware de pe site-ul nostru. Judecând după cât de repede a terminat scanarea, iThemes nici măcar nu a scanat site-ul nostru web pentru malware.

Versiunile gratuite și plătite ale Sucuri au ambele scanere, așa că am fost interesați să vedem dacă funcționează diferit. Versiunea gratuită este alimentată de Sucuri SiteCheck, un utilitar online care scanează părțile vizibile public ale site-ului dvs. web pentru malware. Desigur, acest lucru are limitări, așa că un chit curat de la SiteCheck nu este o garanție pentru un site web fără malware.

Planul plătit include un scanner la nivel de server pe care trebuie să îl instalați pe serverul dvs. web. Fie puteți face acest lucru manual, fie introduceți detaliile FTP în tabloul de bord Sucuri pentru a-l instala automat. A fost un proces relativ nedureros.

Scanerul este setat să ruleze în fiecare zi, dar puteți scana la cerere, într-o anumită măsură. Cererile de scanare suplimentare sunt puse într-o coadă și apoi executate. Sucuri avertizează împotriva folosirii prea multor scanări, deoarece scanările consumă resursele serverului.

Asta ne-a dat o pauză, pentru că atunci am realizat că Sucuri folosește resursele site-ului nostru pentru a rula scanări. Cu site-urile noastre de testare, scurgerea nu a fost prea severă, deoarece site-urile sunt mici și nu există trafic extern. Cu toate acestea, am văzut cu siguranță o problemă în utilizarea procesorului nostru. Mai multe despre asta într-o secțiune ulterioară.

De asemenea, versiunea pro nu a detectat niciun program malware pe site-ul nostru piratat. Acest lucru a fost surprinzător, deoarece rezultatele scanării noastre MalCare au identificat în mod clar malware-ul. Așa că am ridicat o cerere de eliminare manuală. Odată ce solicitarea a fost tratată de echipa lui Sucuri, site-ul a apărut curat pe MalCare. Dar atunci scanerul Sucuri a semnalat malware pe site. A fost foarte ciudat.

Din fericire, nu au existat probleme cu scanerul iThemes. Nu scanează pentru malware, pur și simplu. Scanerul iThemes verifică doar dacă site-ul dvs. se află pe lista neagră a Google. Asta este. Nu am fost surprinși să vedem că site-urile noastre nu erau de fapt pe lista neagră, având în vedere că nu sunt indexate.

Curățare malware

Curățarea programelor malware nu se află pe lista de funcții iThemes, așa că, evident, nu se poate curăța programele malware. Sucuri are servicii nelimitate de eliminare a programelor malware ca parte a planurilor plătite. În funcție de planul dvs., site-ul dvs. web va fi curățat în între 6 și 30 de ore.

Chiar dacă rezultatele scanării lui Sucuri spuneau că site-ul nostru web nu avea programe malware, știam evident că nu este cazul. Era malware peste tot: în fișiere și în baza de date. Aveam, de asemenea, o grămadă de uși din spate acolo pentru o măsură bună. Scanerele MalCare au confirmat că site-urile noastre de testare au fost într-adevăr infestate cu programe malware.

Așa că am ridicat o solicitare de eliminare a malware-ului lui Sucuri, indicând clar că bănuim că există malware pe site. Pentru a ridica o solicitare, trebuie să completați un formular și să furnizați detalii FTP pentru curățare. Și apoi așteptați rezultatele.

Notă secundară: a existat un meniu derulant interesant în formularul de solicitare de eliminare care enumeră simptomele potențiale pe care le puteți vedea. De asemenea, spre amuzamentul nostru, a trebuit să indicați nivelul dumneavoastră de competență tehnică, așa că am selectat: „ Fără competență, vă rugăm să explicați totul clar. ”

Multumim lui Sucuri, echipa lor a eliminat tot malware-ul de pe site-ul nostru. De asemenea, chiar dacă termenii planului nostru spuneau că ne putem aștepta la o rezoluție în 30 de ore, ne-am răspuns în mai puțin de 10. Așa că a fost un mare succes pentru serviciul de eliminare a malware-ului Sucuri.

Am confirmat cu MalCare că toate programele malware au fost eliminate și apoi am fost surprinși să vedem că scanerul lui Sucuri a semnalat acum site-ul ca infectat, după ce echipa lor a curățat. Era ciudat.

Pe de altă parte, iThemes nu poate curăța programele malware, așa că nu a fost nimic de testat. Din fericire, ei nu pretind că fac acest lucru pe site-ul lor.

Sincer, curățarea programelor malware este cea mai dificilă parte a securității WordPress și, adesea, aspectul cel mai scump. Planurile plătite ale Sucuri au curățări nelimitate, ceea ce este grozav deoarece dacă vulnerabilitățile nu sunt abordate, malware-ul poate reapari. Dacă am avut un defect de găsit la serviciul de curățenie, ar fi că trebuie să așteptați ceva timp pentru rezolvare. În cazul programelor malware, am văzut infecțiile crescând exponențial în intervale scurte de timp, așa că acesta este un motiv de îngrijorare.

Cu MalCare, am putea folosi funcția de curățare automată pentru a scăpa de malware în câteva minute. În timp ce așteptam ca Sucuri să revină la noi, ne-am dat seama de valoarea imensă pe care o curățare rapidă o are pentru un site web critic pentru afaceri.

Firewall

Firewall-ul lui Sucuri funcționează și păstrează cele mai comune atacuri ale noastre. iThemes nu are un firewall.

Un firewall este o componentă critică în securitatea site-ului web, deoarece împiedică traficul rău intenționat și previne exploatările. Până în acest moment al articolului, nu ați fi surprins să auziți că iThemes nu are un firewall. De ce ar fi? Eșuează în orice altă privință ca plugin de securitate.

Sucuri, pe de altă parte, ne-a protejat site-ul de atacurile wordpress. L-am testat împotriva vulnerabilităților, cum ar fi încărcările nerestricționate de fișiere, XSS și injecția SQL. Firewall-ul a blocat toate încercările noastre de a exploata aceste vulnerabilități și de a încărca programe malware pe site. Nu am putut testa atacuri mai complexe, în toată transparența.

Prin urmare, firewall-ul lui Sucuri funcționează, dar trebuie să menționăm și cât de frustrant a fost configurarea firewall-ului. Modul în care funcționează firewall-ul este că acționează ca un strat între traficul de intrare și site-ul dvs. Prin urmare, tot traficul lovește mai întâi firewall-ul lui Sucuri și apoi este redirecționat către site-ul dvs.

După cum vă puteți imagina, aceasta necesită o anumită configurație. Domeniul pe care îl utilizați pentru site-ul dvs. trebuie să indice mai întâi către Sucuri, traficul este analizat, iar apoi traficul permis este trimis către site-ul dvs. Ceea ce este grozav, dar este o durere să configurați firewall-ul dacă nu aveți experiență cu serverele de nume și configurația DNS.

În general, este mult mai bine să ai o soluție de securitate care să funcționeze imediat. Nicio configurație complexă pentru a ne proteja site-ul. Știi, ca genul pe care îl primești cu MalCare.

Detectarea vulnerabilităților

Sucuri a detectat majoritatea vulnerabilităților de pe site-ul nostru, deși nu toate. iThemes nu a găsit niciunul.

După ce am activat scanerul pe server, Sucuri a detectat că aveam câteva plugin-uri vulnerabile instalate pe site. Nu le-a detectat pe toate, iar recomandarea a fost pur și simplu să le actualizezi.

În plus, există o vizualizare post-hack pe wp-admin care listează pluginurile și temele instalate în prezent, versiunile lor instalate și cele mai recente versiuni disponibile. În descrierea acestei secțiuni, Sucuri menționează că vulnerabilitățile sunt legate de securitatea site-ului web și este o practică bună să păstrați totul actualizat. Este puțin probabil ca cineva să ajungă acolo la o privire de rutină prin plugin, așa că nu suntem siguri că plasarea este utilă.

Ca parte a solicitării de eliminare a programelor malware, Sucuri ne-a trimis și un mesaj prin care ne recomandă să aplicăm măsuri de întărire și să ne actualizăm pluginurile vulnerabile (2 din 3). Aceasta face parte din lista lor de verificare post-hack.

iThemes nu semnalează vulnerabilități. Cu toate acestea, are un contor extrem de inutil pe tabloul de bord, care indică câte actualizări au fost făcute din momentul în care pluginul a fost instalat. Nu putem înțelege cum aceste informații pot fi utile.

Protecție de conectare în forță brută

Sucuri ar trebui să blocheze atacurile de forță brută și să te alerteze, dar nu face nici una. iThemes uneori face, alteori nu. Greu de spus care este mai rău.

iThemes înregistrează fiecare încercare de conectare incorectă ca un atac de forță brută, ceea ce, sincer, este terifiant de văzut pentru un utilizator. Într-un caz, am uitat cu adevărat parola.

Când am încercat forțarea brută a paginii de conectare, am văzut rezultate neuniforme. iThemes a blocat încercările pe 1 site, dar nu pe celălalt. Am încercat să ne dăm seama ce a cauzat această discrepanță, dar singura diferență a fost malware-ul de pe site. Deoarece malware-ul este de obicei o consecință a atacurilor cu forță brută de succes, nu credem că acesta este motivul. Mai probabil, pare să existe o eroare care face ca funcția să funcționeze sporadic. De fapt, este inutil.

Sucuri și-a dat speranță pentru noi, pentru că există un set granular de opțiuni pentru atacurile cu forță brută. Puteți seta numărul de încercări nereușite care contează ca un atac cu forță brută. Am setat-o ​​la o valoare foarte modestă de 30 de încercări pe oră, chiar dacă atacurile de conectare sunt de obicei de câteva 100 de încercări pe minut.

După ce am văzut toate setările pentru blocări, am fost puțin îngrijorați să nu fim blocați de pe site. Dezactivasem MalCare, astfel încât protecția de conectare a lui MalCare să nu blocheze încercarea. Cu toate acestea, nu s-a întâmplat nimic. Am încercat peste 40 de autentificări incorecte în 3 minute și totuși Sucuri nu a lansat o alertă. Am verificat jurnalele de audit și autentificarea eșuată apare în regulă. Dar, fără alerte. Fără blocaje. Nimic.

Jurnalul de activitate

iThemes are o funcție de jurnal de activitate incompletă. Sucuri are unul bun, dar poate fi obscur.

Sucuri are o funcție numită Audit Logs, care urmărește toate acțiunile de la utilizatori, pluginuri și teme. Funcția funcționează conform așteptărilor, totuși una dintre setări ne-a dat o pauză. Aveți nevoie de o cheie API pentru a „preveni atacatorii să șteargă jurnalele”. Acest lucru îl autorizează practic pe Sucuri să colecteze și să stocheze date despre site-ul web în afara site-ului, ceea ce este în regulă, dar limbajul pe care îl folosesc este cel puțin șocant. Mai multe despre asta în secțiunea de utilizare.

În timp ce jurnalele funcționează ca, bine, jurnalele și colectează marcajul de timp, utilizatorul și acțiunea, ele pot fi foarte obscure. De exemplu, am instalat un nou plugin care apare ca plugin activat. Până acum, bine. Și mai sunt 7 intrări în jurnal care arată ce a afectat instalarea. Dar există puține explicații cu privire la ceea ce înseamnă aceste intrări. Acestea sunt fișiere sau foldere modificate, probabil? Nu, mai târziu ne-am dat seama că acest plugin special, care este un plugin de galerie, a schimbat șablonul pentru postări. Asta are sens, dar revelația nu a venit de la Sucuri.

Un jurnal de activitate este o parte importantă a setului dvs. de instrumente de securitate a site-ului dvs. web. Hackerii profită de înregistrarea insuficientă pentru a ataca site-urile și, prin urmare, ar trebui să așteptați un jurnal de încredere în care puteți avea încredere pentru a partaja informații corecte despre site-ul dvs.

Practic, nu ca cel pe care îl are iThemes. Jurnalul de activitate de aici conține câteva informații utile, cum ar fi activitatea utilizatorului, gestionarea versiunilor, scanările site-ului și atacurile cu forță brută. Totuși, nimic despre pluginuri sau teme. Există o funcție separată care vă trimite prin e-mail un raport de modificare a fișierelor în fiecare zi. Una peste alta, jurnalele sunt inadecvate, deoarece nu fac o imagine exactă a site-ului dvs. web.

Autentificare cu doi factori

iThemes are o caracteristică excelentă de autentificare cu doi factori care funcționează imediat. Sucuri nu.

După ce am aruncat la gunoi iThemes în acest articol și în alte articole similare din serie, suntem bucuroși să raportăm că aceasta este una dintre singurele caracteristici de securitate care funcționează de fapt pe iThemes - și funcționează destul de bine în acest sens.

Funcția de autentificare cu doi factori de pe iThemes este foarte robustă. Are o mulțime de personalizări și funcționează fără probleme. Pluginul ajută, de asemenea, la aplicarea parolelor puternice, pentru care susținem cu tărie.

Singura noastră preocupare aici este că versiunea iThemes pro are o mulțime de setări care elimină jetoanele de conectare pentru ușurință în utilizare: autentificare fără parolă, dispozitive de încredere, link-uri magice și așa mai departe. Deși acestea sunt utile pentru a ușura procesul de conectare, ele încalcă scopul autentificării cu doi factori.

Am căutat autentificarea cu doi factori când am testat Sucuri. Am descoperit că există pe tabloul de bord Sucuri. Cu toate acestea, am fost atât amuzați, cât și uimiți de realizarea că autentificarea cu doi factori este disponibilă pentru contul dvs. Sucuri, nu pentru site-ul dvs. WordPress.

Utilizarea resurselor serverului

iThemes nu vă va epuiza deloc resursele serverului, deoarece nu face nimic. Sucuri va afecta performanța site-ului dvs. cu scanările sale.

Interesant este că oamenii nu ne întreabă des despre resursele serverului în contextul securității. Dar, în mod ideal, doriți ca site-ul dvs. să fie protejat și să nu încetinească accesul cu crawlere în acest proces. Scannerul lui Sucuri va face asta pe site-ul dvs.  

Scanările Sucuri pretind că folosesc resursele serverului site-ului. De fapt, par să descurajeze scanările frecvente din acest motiv. Sincer, asta e groaznic. De ce ar trebui cineva să aleagă între performanță și facturi rezonabile de server pe de o parte și securitate pe de altă parte? Nu glumau însă. A existat o creștere uriașă a resurselor serverului de îndată ce am instalat Sucuri și apoi am efectuat o a doua scanare. Dacă pe un site mic diferența este atât de vizibilă, pe un site mare va fi considerabil mai mult.

În plus, în Setări generale de pe tabloul de bord, există o setare pentru Stocarea datelor care pare să indice că Sucuri stochează o mulțime de date (înregistrează în principal după aspectul lor) pe site-ul propriu-zis. Acesta este probabil motivul pentru care este necesară o cheie API, deoarece totul se află în folderul de încărcări în mod implicit, care este un folder accesibil public. Există o opțiune de a schimba spațiul de stocare într-un folder care nu este accesibil publicului, dar acesta ar fi trebuit să fie implicit pentru început.

iThemes nu va epuiza resursele serverului dvs. Cum poate, când nu face nimic?

Alerte

iThemes nu te alertează pentru nimic. Sucuri o face, dar trebuie să fii atent la ce alerte vrei să primești. Căsuța dvs. de e-mail s-ar putea umple în câteva ore.

Sucuri vă permite să configurați alerte pentru a fi trimise anumitor persoane, să personalizați formatul alertelor și multe altele. De asemenea, puteți adăuga intervale de adrese IP, astfel încât acele adrese să nu fie semnalate pentru alerte. Fiți avertizat însă pentru descrierile pline de jargon. Ce este „ rutarea fără clasă între domenii ”? Nu am vrut să știm, am vrut doar să protejăm site-ul.

Judecând după setările granulare pentru alerte, Sucuri pare să fie foarte conștient de faptul că pot trimite prea multe alerte. Există o setare pentru a configura alertele maxime primite într-o oră, să zicem până la 5 e-mailuri. Problema cu aceasta este: să presupunem că primele 5 au fost fals pozitive, iar al 6-lea nu este? Există o declinare a răspunderii acolo – dar din nou – mai bine să aveți informațiile reale decât o funcție inutilă. Rezultatul nostru aici este că niciun administrator nu va vedea pădurea pentru copaci. Este prea mult zgomot.

În mod surprinzător, încă revizuim iThemes, fără a renunța la el pentru o cauză pierdută. iThemes ne-a trimis rapoarte de notificare de modificare a fișierelor, copii de siguranță ale bazei de date și alte confirmări ale setărilor noastre. De asemenea, am fost abonați la un rezumat zilnic de securitate despre site-ul nostru și la un raport de vulnerabilitate o dată pe săptămână, probabil ca să le putem verifica pe site-urile noastre web. A fost destul de rău cu un singur site, cu mai multe site-uri ar putea scăpa complet de sub control.

Instalare, configurare și utilizare

Instalarea iThemes a fost surprinzător de grea, din cauza opțiunilor de configurare confuze. Sucuri a fost destul de simplu, dar opțiunile de configurare din plugin au fost îngrozitor de descurajante.

iThemes a fost primul plugin pe care l-am testat, așa că inițial părea a fi ușor. De asemenea, a stabilit bara pentru cele mai inutile setări. Trebuie să parcurgeți o configurație pentru a putea crea un tablou de bord de securitate. Am trecut prin fiecare dintre setări, dar niciuna dintre ele nu are un impact real asupra securității, așa că le-am stabilit la întâmplare și am lăsat-o așa.

Sucuri s-a instalat fără probleme, iar pluginul s-a configurat în mare parte singur. A trebuit să ne creăm un cont la Sucuri pentru a accesa funcțiile plătite. De asemenea, merită subliniat că pentru a instala scanerul pe server, trebuie să utilizați tabloul de bord extern Sucuri. Nu este greu de făcut dacă aveți detalii FTP disponibile, deși nu vedem prea mult rost, deoarece nu a detectat niciun malware.

Tabloul de bord iThemes de pe wp-admin este zgomot. Nu există informații relevante pentru securitate.

Tabloul de bord și setările lui Sucuri sunt nebun de complicate. Am petrecut ore întregi încercând să ne dăm seama ce înseamnă ei prin termenii tehnici pe care îi folosesc. În unele cazuri, pluginul vă spune setarea recomandată, astfel încât utilizatorul lucrează în esență la o credință oarbă. Singura problemă este că Sucuri nu inspiră credință oarbă, pentru că scanerul lor de malware nu funcționează!

Ne dorim ca acest plugin să fie mai ușor de înțeles. Pare foarte complicat și pare să facă o mulțime de lucruri, dar nu putem fi siguri pentru că unele dintre lucrurile pe care le știm că sunt importante, cum ar fi protecția forței brute, par să nu funcționeze.

Paravanul de protecție și scanerul pe partea de server trebuie să fie activate separat. Ne-a luat peste o săptămână să descoperim acest plugin cu 3 site-uri web. Ne înfiorăm să ne gândim ce s-ar întâmpla cu cineva care se ocupă mai mult. Este atât de plictisitor de configurat.

Dorim să reiterăm că setările sunt greu de înțeles pentru utilizatorii non-tech. Nu știam că există ceva numit un software de analiză a jurnalelor. Am văzut, de asemenea, mesaje interesante pentru proxy invers, unde Sucuri ne spune util să nu ne facem griji cu privire la această opțiune decât dacă știm ce este. Mulțumesc pentru confuzia cu o latură de condescendență.

iThemes: Suplimente

Există o funcție de listă albă foarte elaborată pe iThemes, care a fost surprinzător până când ne-am dat seama că par să existe un număr exagerat de plângeri de blocare a site-ului pe care le-am văzut. Există două probleme cu aceasta: una este că IP-urile dispozitivelor se schimbă, așa că introducerea pe lista albă a IP-ului dvs. nu este atât de mult o protecție pe cât ați crede că este; și doi, am încercat tot posibilul pentru a declanșa un blocaj. Dar nu sa întâmplat.

Monitorul de schimbare a fișierelor este o altă caracteristică care sună ca o idee bună, cu excepția cazului în care știți ceva despre securitate. Hackerii pot schimba marcajele de timp ale fișierelor, chiar și în măsura în care să pară ca fișierul nu a fost editat de ani de zile. În plus, există o listă de excludere a tipurilor de fișiere pentru acest monitor. Sincer, acest lucru arată o lipsă de înțelegere a programelor malware. Programele malware se pot ascunde în orice fișier, inclusiv fișierele .ico, de exemplu.

iThemes are un sistem bun de gestionare a parolelor. Puteți aplica parole puternice și puteți refuza să permiteți parole compromise. De asemenea, este posibil să setați parole de aplicație pentru XML-RPC, dacă alegeți.

În cele din urmă, iThemes are câteva caracteristici de întărire, dintre care majoritatea nu le recomandăm deloc. Singurul care are sens este să blochezi execuția PHP în folderul de încărcări. Acest lucru previne un anumit tip de atac de malware. Pe celelalte, vă recomandăm să le ignorați cu totul.

Sucuri: Suplimente

Tabloul de bord al lui Sucuri de pe wp-admin arată destul de impresionant, dar de la început am văzut că cea mai mare infobox este integritatea WordPress. Sperăm că aceasta este doar pentru versiunea gratuită pe care o folosim în prezent, deoarece aceasta este în esență o versiune îmbrăcată a unui monitor de modificare a fișierelor pentru fișierele de bază WordPress.

În unele cazuri, am putea vedea că este util, având în vedere că o mulțime de programe malware intră în fișierele de bază. Dimpotrivă, putem vedea și că poate fi o sinecure, deoarece oamenii fără experiență pot crede că aceasta este amploarea malware-ului, care este un gând înfricoșător. În mod amuzant, 2 din cele 3 fișiere de integritate wordpress pe care le-a semnalat erau de la MalCare: conectorul de urgență și firewall-ul.

Mai profund în setări, există un utilitar de diferență de integritate pentru a compara fișierele de bază și a găsi diferențele. Acest lucru ar putea fi mai ușor de utilizat decât un utilitar de verificare online.

Au existat un număr considerabil de opțiuni de întărire: unele utile, altele nu atât de mult. Ne-a plăcut să putem bloca PHP în folderul de încărcări, firewall și să activăm actualizarea automată a cheilor secrete, care schimbă sărurile wordpress.

Cu toate acestea, verificarea versiunii WordPress, eliminarea versiunii WordPress, evitarea scurgerii de informații (elimină fișierul readme pe care WordPress tocmai îl recreează) și verificarea contului de administrator implicit sunt toate funcții stupide cu un impact minuscul asupra securității. Sincer, întreaga industrie de securitate a trecut de la aceste trucuri.

Dacă alegeți să dezactivați pluginul și editorul de teme, actualizarea va fi dificilă. Include o avertizare cu privire la unele plugin-uri și teme care necesită acces la fișierele PHP din aceste foldere. Acest lucru este inadecvat. Caz concret: Sucuri salvează fișierele PHP în folderul de încărcări. Nu doresc acces la propriile fișiere din tabloul de bord extern? Sau este o excepție de la regulă? În acest caz, regula pare flexibilă în moduri care sunt ascunse utilizatorului.

Am fost interesați să verificăm funcția post-hack de pe tabloul de bord wp-admin. După curățare, doriți să vă asigurați că faceți totul pentru a vă proteja site-ul de viitoare hack-uri. Noua ne-a placut ideea, pana ne-am uitat putin mai departe.

Puteți actualiza cheile secrete — schimbați sărurile wordpress — din tabloul de bord. Singura problemă cu aceasta este că este în text simplu, vizibil pentru fiecare administrator conectat la wp-admin. Dacă un hacker are un cont cu acces de administrator, acest lucru este ridicol de periculos. Această caracteristică are sens numai dacă un utilizator a verificat că niciunul dintre conturile de administrator nu este compromis și apoi schimbă sărurile. Un punct care nu este menționat nicăieri.

Puteți reseta parolele utilizatorului. Din nou, o caracteristică aparent bună până când citiți literele mici: „Selectați utilizatorii din listă pentru a-și schimba parolele, a încheia sesiunile și a le trimite prin e-mail un link de resetare a parolei. Vă rugăm să fiți conștienți de faptul că pluginul va schimba parolele înainte de a trimite e-mailurile, ceea ce înseamnă că, dacă serverul dvs. web nu poate trimite e-mailuri, utilizatorii dvs. vor fi blocați pe site.”

Există un loc pentru a vedea actualizările de plugin și teme disponibile, care este gestionarea de bază a versiunilor. Nu adaugă nimic la funcționalitatea existentă a tabloului de bord administrativ. Cu toate acestea, poate servi pentru a educa oamenii că pluginurile și temele învechite sunt conectate la securitate.

Ce lipsește din iThemes Security și Sucuri

iThemes nu are un firewall, ceea ce este o lacună serioasă pentru securitatea WordPress. Firewall-urile protejează site-urile de anumite tipuri de atacuri și sunt de neprețuit dacă site-ul dvs. are vulnerabilități.

Scanerul de programe malware de la Sucuri nu este adecvat. Deci, chiar dacă serviciul de eliminare a malware-ului este excelent, trebuie să ghiciți că există malware pe site-ul dvs., deoarece scanerul nu îl va semnala.

iThemes Security vs Sucuri: prețuri

Planul Sucuri Basic Platform la 199,99 USD pe an pe site este o afacere bună pentru servicii nelimitate de eliminare a programelor malware. Cu toate acestea, având în vedere că ar trebui să aibă și un scaner funcțional, asta este tot ceea ce va primi submarinul pentru tine. iThemes nu valorează nimic. Doar nu te deranja.

Ne-am exprimat foarte clar părerea despre iThemes în acest articol. Singura caracteristică care merită menționată în iThemes este autentificarea cu doi factori, care este disponibilă în planul gratuit. Cu siguranță nu recomandăm planul Pro.

Prețul lui Sucuri este o fură pentru un serviciu de eliminare a programelor malware, dar musca din unguent este scanerul. Dacă nu știți că aveți programe malware, nu puteți trimite o cerere de eliminare.

Alternativă mai bună la iThemes Security și Sucuri: MalCare

Investește într-un plugin de securitate bun care va scana, curăța și vă va proteja site-ul de hackeri. Dintre toate pluginurile pe care le-am testat pentru această serie, MalCare se remarcă drept cea mai bună opțiune. MalCare depășește iThemes în, ei bine, totul și scanează pentru malware mai bine decât Sucuri.

De fapt, planul de bază de 99 USD al MalCare este mai bun decât planul Platformei de bază de 199,99 USD al Sucuri, cu eliminarea instantanee a malware-ului. Include, de asemenea, curățări nelimitate

Concluzie

Securitatea site-ului dvs. este de o importanță capitală. Am văzut mulți clienți zgâriind cu un plugin de securitate, doar pentru a se confrunta cu pierderi devastatoare după un hack. Un client a renunțat după un punct și a decis să-și reconstruiască site-ul de la zero. Malware este scump, MalCare nu.

Te-a ajutat articolul să iei o decizie? Ne-ar plăcea să știm! Dă-ne un rând.