iThemes Security vs Wordfence: ce plugin de securitate ar trebui să alegeți?

Publicat: 2022-04-22

iThemes Security arată ca o ofertă grozavă la doar 199 USD pentru site-uri web nelimitate și, datorită prețului său imbatabil, a fost un concurent serios în cursa pluginurilor de securitate WordPress.

În celălalt colț avem Wordfence, grea de necontestat la această categorie. Wordfence este cunoscut pentru pluginul gratuit cu multe funcții, precum și pentru cercetarea și resursele lor de securitate. Pentru versiunea premium, fiecare site vă va plăti înapoi cu minimum 99 USD pe an; care este încă o afacere bună.

Chiar și în această etapă, nu există o comparație reală între cele două. Cu toate acestea, am rulat ambele printr-o baterie de teste.

În această serie, primele 5 plugin-uri de securitate au trecut prin lupte în stil gladiator cu malware, atacuri și vulnerabilități. Care a ieșit câștigător? Citiți mai departe pentru a afla.

VERDICT iThemes Security vs Wordfence este o competiție inegală. Pluginul gratuit al Wordfence este cu mult mai bun decât pluginul premium al iThemes Security. Wordfence are dezavantajele sale, dar cel puțin protejează într-o oarecare măsură site-ul web. iThemes, nu atât.

Alegerea noastră

În această serie, am vrut să testăm cele mai bune pluginuri de securitate WordPress pentru a afla care dintre ele funcționează cu adevărat. Pentru asta, am creat 3 site-uri web: Unul era un blog simplu, cu câteva plugin-uri și teme, ca control. Al doilea site web avea 3 plugin-uri învechite cu vulnerabilități. Am ales pluginuri care variau de la populare la obscure și aveau un set de vulnerabilități. Și, în cele din urmă, am avut un site web plin de programe malware.

3 site-uri web, 5 plugin-uri, 45 de zile. Am testat scanere de pluginuri, produse de curățare, firewall-uri, protecție împotriva boturilor, firewall-uri, jurnalele de activitate și multe altele. Am luat în considerare programele malware noi, malware vechi, malware bazat pe fișiere, malware baze de date, hack-uri de redirecționare, hack-uri farmaceutice, injecții SQL, atacuri cu forță brută și multe altele.

Rezultatele au fost clare: doar MalCare a putut scana, curăța și proteja site-urile web de testare. Dacă sunteți în căutarea liniștii cu securitatea WordPress, MalCare este calea de urmat.

Rezumatul comparației iThemes Security vs Wordfence

iThemes Security vs Wordfence este o idee simplă: Wordfence tot drumul.

Să considerăm că securitatea WordPress este un spectru între două extreme: lipsa protecției și un fals sentiment de securitate pe de o parte și false pozitive și avertismente îngrozitoare pe de altă parte. iThemes Security vă oferă un fals sentiment de securitate, iar Wordfence este cel care vă menține într-o stare de frică aproape constantă.

Comparație iThemes Security vs Wordfence

În opinia noastră, ambele nu sunt opțiuni bune. Cu toate acestea, Wordfence are o versiune gratuită excelentă, care vă va proteja site-ul în mare măsură, în timp ce chiar și versiunea premium a iThemes Security nu va face nimic pentru a vă proteja site-ul. Sfatul nostru pentru a evita ambele extreme și pentru a alege un plugin de securitate bun.

iThemes Securitate pe scurt

iThemes Security este de departe cel mai prost plugin de securitate WordPress pe care l-am văzut. Are câteva caracteristici bune, cum ar fi autentificarea cu doi factori și suportul puternic pentru parole, dar asta este tot. Nu există scaner de malware, nu poate curăța malware și nu are rost să discutăm despre un firewall. De fapt, dacă utilizați iThemes chiar acum, vă rugăm să vă scanați site-ul imediat.

Fapt distractiv: iThemes a fost primul plugin de securitate pe care l-am testat. Site-ul web și întregul proces de configurare ne-au dat impresia că, da, acești oameni știu despre ce înseamnă securitatea WordPress. Din păcate însă, niciunul dintre aceste cunoștințe nu pare să fi ajuns în pluginul real.

caracteristicile site-ului thethemes

iThemes Security este, de fapt, un scanner de malware, deoarece nu există niciun mecanism de curățare a malware. Nici site-ul nu spune că există un firewall. Acest lucru nu este grozav, deoarece scanarea este unul dintre pilonii securității WordPress, dar nu singurul. Cu toate acestea, puteți combina un amestec de diverse plugin-uri pentru a vă oferi această funcționalitate, dacă aveți în primul rând un scanner decent.

Ah, dar asta era problema. iThemes nu este un scanner de malware. Nu este un scaner de vulnerabilități. Scanează lista neagră Google pentru site-ul dvs. Știi, același lucru pe care îl poți face din pagina Raport de transparență, fără a fi nevoie să instalezi un plugin. Cel mai mare suspect a fost că scanarea a durat câteva secunde. Nu există nicio modalitate prin care un scaner poate parcurge toate fișierele și folderele site-ului web în câteva secunde literale.

Protecția prin forță brută pentru pagina de conectare a fost neregulată și inconsecventă, iar jurnalul de activitate a fost inutil. Mai multe despre asta mai târziu.

În plus, iThemes Security are o caracteristică excelentă de autentificare cu doi factori. De asemenea, ne-a plăcut cât de ușor a fost să implementăm reCAPTCHA pe wp-login. Și, în cele din urmă, setările de gestionare a parolelor utilizatorului au fost cu adevărat granulare și detaliate. În plus, există câteva funcții decente de întărire WordPress, cum ar fi blocarea execuției PHP în foldere.

În general, testarea iThemes Security a fost o experiență revelatoare. Luăm securitatea foarte în serios și am fost șocați să vedem cât de inteligentă și un set de funcții înșelătoare pot înșela administratorii să creadă că site-urile lor sunt protejate. De fapt, recomandăm insistent oricăror utilizatori iThemes să-și regândească complet securitatea și să-și scaneze site-ul imediat.

Wordfence pe scurt

Wordfence este cel mai bun plugin de securitate gratuit pe care l-am întâlnit după MalCare. Îl recomandăm cu căldură pentru site-urile web care au buget absolut zero pentru securitate. Firewall-ul blochează majoritatea atacurilor, scanerul detectează majoritatea malware-ului bazat pe fișiere, iar caracteristica de reparare a malware vă va ajuta să scăpați de majoritatea acestora. Dezavantajul este că vor exista o mulțime de fals pozitive, unele malware ratate, iar serviciile de curățare a hackurilor de urgență sunt exorbitante.

Am fost încântați să încercăm Wordfence, deoarece este cel mai utilizat plugin de securitate. Și după câteva experiențe oribile (citiți: iThemes), ar fi grozav să vedem cum s-a comportat pluginul cu securitatea WordPress.

Plugin de securitate Wordfence

Vom intra în mai multe detalii în secțiunile ulterioare, dar dorim să vorbim mai întâi despre aspectele majore ale securității aici.

Wordfence are un scaner decent, care a preluat tot malware-ul bazat pe fișiere pe care îl aveam în pluginurile și temele noastre gratuite. Dar, există câteva avertismente mari cu privire la eficacitatea sa. Scanerul nu poate detecta malware bazat pe baze de date și nici malware din pluginuri și teme premium. În plus, a fost nevoie de o taxă semnificativă pe site-ul nostru chiar și pentru a rula scanarea.

Apoi, am încercat repararea automată a programelor malware. Spre bucuria noastră, a reparat aproape imediat toate programele malware bazate pe fișiere de pe site; nu malware-ul bazat pe baze de date totuși. Dacă mă gândesc bine, aceasta nu este o performanță grozavă pentru un curățător, dar evident a fost mai bine decât ceilalți din această serie de testare că am fost cu adevărat încântați să vedem diferența.

Firewall-ul a fost destul de eficient, blocând majoritatea atacurilor WordPress majore și comune care afectează site-ul web. O problemă pe care o avem aici este că firewall-ul generează o mulțime de alerte pentru noi. Chiar trebuie să știm că cineva din Germania a încercat să spargă site-ul nostru de 20 de ori în ultimele 5 minute în 20 de notificări separate? Nu, noi nu. Inbox-ul nostru a fost înecat în alertele Wordfence în câteva zile și a fost imposibil să sortăm grâul din pleavă. De asemenea, utilizatorii gratuiti primesc actualizări de firewall mai târziu decât utilizatorii premium, așa că există o fereastră de oportunitate pentru ca hackerii să intre în site-uri web neprotejate.

Există și câteva funcții de securitate în rest. Wordfence rulează o navă slabă, iar toate celelalte funcționalități, cum ar fi actualizarea pluginurilor atunci când sunt detectate vulnerabilități, sunt lăsate la wp-admin. Are sens, pentru că de ce să-l dublezi pe același tablou de bord? Are o protecție destul de bună împotriva forței brute, iar autentificarea cu doi factori este robustă.

De asemenea, am fost îndrăgostiți de uriașa utilizare a pluginului. Limbajul este accesibil și simplu, fără a folosi un jargon excesiv. Funcțiile mai avansate destinate utilizatorilor cu putere sunt ascunse și în setări.

Cu toate acestea, am fost surprinși să observăm că nu există un jurnal de activitate ca atare, cu excepția unei liste cele mai ilizibile destinate dezvoltatorilor Wordfence. De asemenea, nu există nicio protecție împotriva botului pentru site-ul web. În cele din urmă, și cel mai blestemat pentru acest plugin, este nevoie de o cantitate imensă de resurse de server pentru a funcționa. Atât de mult încât gazdele web au interzis cu totul utilizarea Wordfence.

Una peste alta, Wordfence este un plugin de securitate excelent, dar nu cel mai bun pentru site-ul tău. MalCare este calea de urmat cu un scaner superb, curățarea eficientă a programelor malware și un firewall avansat cu actualizări în timp real.

Ce să cauți într-un plugin de securitate

Securitatea WordPress poate fi o fiară confuză cu care trebuie să o faceți, mai ales cu dezinformările considerabile disponibile online. Un lucru este sigur, hackerii vă pot costa venituri, afaceri, procese, cheltuieli din buzunar, branding, trafic organic și multe altele. Pluginul de securitate potrivit va contracara toate acestea, pe lângă faptul că vă va economisi timp și bani pentru a investi în alte domenii ale afacerii dumneavoastră.

Ne întâlnim adesea cu întrebarea: cum alegi pluginul de securitate potrivit pentru site-ul tău WordPress?

Răspunsul este de obicei o listă generală de caracteristici. Unele sunt vitale, altele nu atât de mult. Dar fiecare plugin dorește să vă vândă peste 100 de funcții, dintre care majoritatea au un impact redus sau deloc asupra securității site-ului dvs. Dar lista va încurca problema suficient de lungă pentru a face din nou o bătaie de cap din securitatea WordPress.

Așa că am compilat această listă esențială – și scurtă! – de funcții de securitate. Ar trebui să căutați un plugin de securitate care să bifeze în mare parte tot ce este din această listă și să obțineți alte soluții pentru funcțiile pe care nu le are.

  • Caracteristici esențiale de securitate
    • Scanare malware
    • Curățare malware
    • Firewall
  • Caracteristici de securitate bune de a avea
    • Detectarea vulnerabilităților
    • Protecție de conectare în forță brută
    • Jurnalul de activitate
    • Autentificare cu doi factori
  • Probleme potentiale
    • Impactul asupra resurselor serverului

Singurul plugin care se apropie de a atinge toate casetele este MalCare. Alegând MalCare, vă asigurați că site-ul dvs. beneficiază de cea mai bună securitate disponibilă din partea hackerilor și a programelor lor malware.

iThemes Security vs Wordfence: comparație directă a funcțiilor

În această secțiune, am detaliat constatările noastre în cazul în care sunteți interesat să citiți mai multe despre o anumită caracteristică. După 45 de zile de testare, am avut o mulțime de informații și o mulțime de constatări. Tot ceea ce este încapsulat aici pentru plăcerea dumneavoastră de a citi.

Funcțiile sunt ordonate de la cel mai mult la cel mai puțin important și evaluăm ambele pluginuri pe fiecare factor. Scopul nostru a fost să prezentăm tot ce am găsit cât mai corect posibil, astfel încât să nu ne reținem nicăieri.

Dacă doriți să ajungeți la cheia acestui exercițiu, instalați MalCare și nu va trebui să auziți despre unele dintre ororile pe care le-am descoperit.

Scanare malware

Scanerul Wordfence a detectat malware bazat pe fișiere pe site-ul nostru de testare, dar nu și malware din baza noastră de date. De asemenea, a ratat programele malware din pluginurile și temele premium. iThemes Security nu a scanat site-ul nostru web în primul rând, așa că evident că nu avea de gând să găsească niciun malware.

După instalarea Wordfence, se configurează automat prima scanare. Până acum, atât de grozav. A lăsat scanerul să termine și a explorat celelalte funcții timp de câteva ore. Doar ca sa vad ca era inca blocat la 60%. Având în vedere că site-ul era destul de mic, ce oferă?

Se pare că 60% nu este o bară de progres, ci un procent care indică eficacitatea scanerului gratuit. Pentru a obține 100%, ar trebui să faceți upgrade la versiunea pro a pluginului. Destul de corect, dar modul în care a fost afișat pe tabloul de bord a fost foarte confuz.

Starea scanării programelor malware Wordfence

Am repornit scanarea și am fost încântați să vedem că s-a terminat foarte repede. Scanerul a semnalat majoritatea malware-ului, deși nu tot. Malware-ul pe care l-a putut detecta cu ușurință se afla în fișierele de bază WordPress și în fișierele și folderele pluginurilor și temelor gratuite. A ratat programul malware de redirecționare piratat din baza de date și orice fișiere care erau în pluginuri și teme premium.

Am aruncat o mulțime de programe malware bazate pe fișiere la Wordfence și le-a detectat aproape pe toate. Are o bază de date extinsă de malware pentru algoritmul de potrivire a semnăturii, așa că ne așteptăm să detecteze aproximativ 70 până la 80% din malware. Nu este la fel de bun ca 95%, ca și în cazul MalCare, dar este mult mai bun decât toate celelalte pluginuri de securitate existente. Detectarea, la urma urmei, este jumătate din luptă.

Tabloul de bord pentru scanarea programelor malware Wordfence

Avertismentele pe care le avem cu Wordfence sunt că există o mulțime de alerte și un număr mare de fals pozitive. Ambii acești factori pot duce la pierderea impactului alertelor în timp, iar atunci există un pericol real ca o alertă autentică să treacă fără observație. De asemenea, scanările necesită o mulțime de resurse server pentru a fi executate. Vom vorbi mai multe despre asta într-o secțiune ulterioară.

Scanerul iThemes nu scanează deloc pentru malware. Verifică dacă site-ul dvs. este pe o listă neagră și, de asemenea, doar pe lista neagră. Sucuri are și această verificare, dar au avut decența să nu-l eticheteze, în primul rând, drept scaner și, în al doilea rând, să verifice mai mult decât lista neagră a Google. Site-urile noastre de testare nu au fost evident pe lista neagră, deoarece nu sunt indexate. Așadar, când raportul de scanare a programelor malware al iThemes ne-a oferit o soluție curată pentru un site plin de malware? Nu sunt impresionat.

scaner de teme

Curățare malware

iThemes Security nu are curățare malware, automată sau de altă natură. Wordfence poate repara fișierele malware, dar eficacitatea depinde de malware-ul detectat. Wordfence are un serviciu premium de eliminare a programelor malware, care costă 490 USD pe site.

După ce s-a terminat de scanat, Wordfence listează 2 opțiuni pentru a trata fișierele piratate, în afară de un CTA pentru a obține ajutor profesionist: ștergeți toate fișierele care pot fi șterse și reparați toate fișierele reparabile.

Opțiunea de ștergere a scăpat de 1 fișier cu succes fără erori, după ce a afișat un mesaj terifiant despre modul în care ștergerea fișierelor vă poate distruge site-ul. Este adevărat, dar malware-ul este și înfricoșător! Oricum, opțiunea a fost ceva asemănător unui squib umed, așa că am trecut la opțiunea de reparare. Opțiunea de reparare a avut un avertisment similar, dar ne-am alimentat și a reușit să repare majoritatea fișierelor. Când am rulat site-ul prin scanerul MalCare, site-ul nu conținea programe malware.

Ștergerea notificării fișierelor în Wordfence

Majoritatea celorlalte plugin-uri de securitate au eșuat în acest moment, așa că nu a trebuit să testăm mult mai mult. Ne-am obținut rezultatele. Cu toate acestea, baza de date de semnături malware a Wordfence este cuprinzătoare, așa că am lărgit rețeaua.

Am adăugat malware-ul de redirecționare piratat în baza de date a site-ului nostru web, cu câteva cazuri de hack-uri de cuvinte cheie japoneze pentru o bună măsură. Am ascuns, de asemenea, bucăți de programe malware în pluginurile și temele noastre premium, bănuind că aceste lucruri ar declanșa scanerul și dispozitivul de curățare. Și au făcut-o.

Concluzia care a reieșit a fost că, dacă echipa Wordfence a văzut malware-ul, atunci repararea fișierelor funcționează. Altfel nu. Wordfence eșuează și atunci când există malware în baza de date. Deci, malware precum cel al hack-ului de redirecționare sau chiar și cel mai nou malware vor fi ratați cu siguranță. De asemenea, va lipsi programele malware din fișierele WordPress non-core sau din pluginurile și temele non-publice. Wordfence nu poate găsi malware în pluginuri și teme premium.

În cazul în care reparația automată nu funcționează, puteți opta pentru serviciul de eliminare a malware-ului Wordfence. Serviciul elimină programele malware, ușile din spate și evaluează site-ul pentru vulnerabilități. Wordfence ajută, de asemenea, la eliminarea site-ului plin de programe malware din listele negre pe care ar fi ajuns. Curățarea site-ului este garantată timp de un an, numai dacă administratorul site-ului urmează instrucțiunile post-hack la literă. Nu putem comenta eficacitatea serviciului de eliminare a programelor malware, deoarece nu l-am încercat.

După cum am spus mai devreme, iThemes Security nu poate curăța programele malware, așa că nu mai trebuie spus nimic în acest sens.

Din experiența noastră, curățarea programelor malware este cel mai critic aspect al securității WordPress. Ar trebui cu siguranță să fie făcut doar de experți în securitate, deoarece există un potențial imens ca lucrurile să meargă îngrozitor de prost. MalCare vă oferă opțiunea de a șterge automat programele malware și de a accesa experți în securitate pentru a vă ajuta cu orice probleme care ar putea apărea.

Firewall

iThemes Security nu are un firewall. Wordfence are un firewall pentru aplicații web care protejează eficient de cele mai multe amenințări majore și comune. Dar versiunea gratuită primește actualizări mai târziu decât versiunea premium.

Un firewall WordPress este o parte importantă din arsenalul tău de securitate, deoarece ține departe atacurile și traficul rău intenționat prin utilizarea regulilor. În majoritatea pluginurilor de securitate pe care le-am analizat, am evitat să explicăm detaliile mai tehnice, deoarece nu avea niciun rost, deoarece firewall-urile erau fie teribile, fie inexistente. Dar cu Wordfence, lucrurile s-au complicat puțin.

Când am instalat Wordfence, firewall-ul a intrat direct în modul de învățare. Acesta este un pas necesar pentru ca firewall-ul să poată înțelege traficul normal al site-ului și, prin urmare, să blocheze mai eficient amenințările. Deoarece nu primim trafic pe site-urile noastre web, am dezactivat imediat modul de învățare, deși este recomandat să îl păstrați cel puțin o săptămână.

Modul de învățare pentru firewall Wordfence

Există o secțiune separată pentru gestionarea paravanului de protecție Wordfence, așa că am explorat-o în continuare. Prima dată când îl vedeți, vă explică ce este un firewall și ce face acesta pentru a vă proteja site-ul. De asemenea, introduce aici termenul „paravan de protecție a aplicațiilor web” cu o scurtă descriere.

După ce am testat atât firewall-urile gratuite, cât și cele premium, este clar că Wordfence are un firewall excelent în ambele versiuni. Amândoi au ținut departe o serie de atacuri de injecție SQL, falsuri de solicitări între site-uri, injecții de cod de la distanță și atacuri de scripting între site-uri. Nu am putut exploata vulnerabilitățile de plugin și teme.

Atunci ne-am gândit că ar trebui să săpăm mai profund: care este diferența dintre versiunile gratuite și cele premium?

În opțiunile de firewall, Wordfence explică diferența: versiunea gratuită se încarcă ca un plugin obișnuit, după ce WordPress s-a încărcat. În plus, versiunea premium primește actualizări de reguli în timp real, în timp ce versiunea gratuită primește actualizări după o perioadă de timp nespecificată.

Ambele lucruri ne-au dat o pauză.

În primul rând, un firewall ar trebui să se încarce mai întâi pentru cea mai bună protecție, cu toate acestea, majoritatea pluginurilor de securitate cu firewall-uri se încarcă adesea după WordPress ca un plugin obișnuit. Dacă acesta este cazul, paravanul de protecție Wordfence poate ține departe cea mai mare parte a traficului rău intenționat, dar cu siguranță nu tot.

În al doilea rând, Wordfence are cel mai actualizat firewall, totuși utilizatorii non-premium primesc actualizări mai târziu. Chiar și acea fereastră este problematică, deoarece hackerii pot ataca în timpul ei. Când firewall-ul gratuit primește actualizări ale regulilor: zile, săptămâni sau luni mai târziu? Cine știe.

Deloc surprinzător, iThemes nu are un firewall.

Detectarea vulnerabilităților

iThemes Security nu poate detecta vulnerabilități, cu atât mai puțin ajută la rezolvarea acestora. Wordfence a descoperit toate vulnerabilitățile pe care le-am introdus pe site, indiferent dacă erau populare sau obscure.

Wordfence a semnalat corect toate pluginurile învechite cu vulnerabilități descoperite drept amenințări critice. Am inclus și o grămadă de pluginuri obscure în listă, unele cu mai puțin de 200 de utilizatori. Celelalte plugin-uri nu au reușit să înțeleagă acele vulnerabilități, așa că este reconfortant să văd că Wordfence a făcut-o. Scanerul a semnalat chiar și pluginurile învechite ca o amenințare medie, ceea ce este excelent pentru că este întotdeauna bine să păstrați totul actualizat.

detectarea vulnerabilității wordfence

Nu puteți remedia vulnerabilitățile direct din tabloul de bord Wordfence. Majoritatea celorlalte plugin-uri, cum ar fi Jetpack și Sucuri, recomandau actualizări și vă permiteau să le efectuați din același panou. Dar privind în jurul Wordfence, nu există nicio modalitate de a face asta. Totuși, vă duce la tabloul de bord al actualizărilor, ceea ce este suficient de bun. Nu există niciun motiv logic pentru a replica funcționalitatea existentă care există deja pe wp-admin.

Interesant este că scanerul ne-a arătat și erori cu pluginurile iThemes și BackupBuddy pe care le instalasem pe unul dintre site-urile de testare. Se pare că există anomalii de codare în pluginuri.

Am sperat că scanerul iThemes verifică cel puțin vulnerabilități, având în vedere eșecul său abject ca scaner de malware. Da, nu.

În plus, tabloul de bord iThemes are un contor care indică câte actualizări au fost făcute de când a fost instalat pluginul. Ne imaginăm că această scuză slabă pentru o valoare ar trebui să fie utilă pentru a ține evidența actualizărilor de pluginuri și teme. Chiar nu este totuși.

Protecție de conectare în forță brută

iThemes uneori blochează atacurile cu forță brută, alteori nu. Wordfence blochează fără greșeală toate atacurile cu forță brută.

Cu iThemes, am văzut blocuri de forță brută inconsecvente. Când am încercat să introducem o serie de acreditări proaste pe pagina de conectare, iThemes a blocat doar încercările pe un site, dar nu și pe celălalt. Singura diferență dintre ambele site-uri a fost că primul avea programe malware, în timp ce al doilea nu. Programele malware sunt de obicei rezultatul unui atac de conectare de succes, așa că este puțin probabil ca această diferență să fie motivul. După câteva ore de încercare a testelor în mod repetat, rezultatele au fost neconcludente. În cele din urmă, am renunțat să încercăm să ne dăm seama ce pare a fi o eroare.

După acest exercițiu, într-o profundă frustrare, am verificat jurnalele iThemes. Fiecare încercare de conectare incorectă a fost înregistrată acolo ca un atac de forță brută, chiar și momentul în care ne-am uitat cu adevărat parola. Și totuși, pluginul nu le-a blocat pe toate. Foarte ciudat și, prin urmare, nesigur.

Cu Wordfence, ne-am uitat mai întâi la setări. Protecția forței brute este activată în mod implicit și puteți accesa secțiunea firewall pentru a personaliza opțiunile.

Puteți seta blocări pentru încercările incorecte de conectare și chiar cât timp va experimenta un utilizator blocarea după un anumit număr de încercări de conectare incorecte. Ceea ce este deosebit de grozav este că explică ce face fiecare opțiune în documentație excelentă și cum să o folosești cel mai eficient pentru a proteja site-ul.

Puteți seta o listă de permise pentru IP-uri care nu trebuie testate de firewall. Am văzut această caracteristică în multe plugin-uri, dar odată cu schimbarea IP-urilor dispozitivelor, nu are prea mult sens.

Opțiunile pentru parole puternice sunt și aici. Puteți aplica parole puternice, puteți preveni utilizarea parolelor găsite în încălcări ale datelor și multe altele.

protecția forței brute wordfence

În cele din urmă, ne-am apucat de testare, iar protecția cu forță brută funcționează exact conform setărilor pe care le-am ales. Perfect de fiecare dată.

accesul dumneavoastră la acest site a fost temporar limitat

Jurnalul de activitate

Jurnalul de activitate iThemes nu înregistrează toate evenimentele, deci este inutil. Wordfence nu are deloc un jurnal de activitate.

Suntem mari susținători ai umilului jurnal de activitate. Este un instrument de securitate necesar, deoarece hackerii profită de înregistrarea insuficientă pentru a ataca site-urile. În mod ideal, doriți un jurnal de încredere, care să conțină informațiile corecte despre evenimentele site-ului dvs.

Deci nu ca cel pe care îl are iThemes. Jurnalul de activitate iThemes promite informații bune, cum ar fi activitatea utilizatorilor, gestionarea versiunilor, scanările site-ului și atacurile cu forță brută. Dar acestea nu sunt înregistrate cu acuratețe, așa că nu se poate avea încredere că prezintă imaginea corectă. În afară de asta, nu există nimic despre pluginuri sau teme.

jurnalele de teme

Wordfence, în mod surprinzător, nu are un jurnal de activitate. Există o opțiune pentru a activa depanarea din secțiunea Diagnosticare din Instrumente, care permite jurnalelor de firewall să fie mai detaliate. Există un jurnal de activitate complet pentru evenimentele Wordfence doar în secțiunea Scanare, dar acesta nu este același lucru cu un jurnal de activitate. În plus, este un jurnal brut destinat exclusiv dezvoltatorilor Wordfence. Prin activarea modului de depanare, veți consuma și mai multe resurse de server. Este menționat foarte clar în acea secțiune.

jurnalul de activitate wordfence

Autentificare cu doi factori

iThemes are o autentificare superbă cu doi factori, care funcționează fără probleme. La fel și cu Wordfence.

Autentificarea cu doi factori funcționează perfect pe ambele pluginuri. Ambele au un set grozav de opțiuni și o configurare minimă. Cu Wordfence, autentificarea cu doi factori era o caracteristică premium pe care acum au activat-o și pentru utilizatorii gratuiti.

autentificare cu doi factori wordfence
Wordfence
temele 2fa
iThemes

Avem o singură observație mică cu versiunea iThemes pro. Există o mulțime de setări care elimină jetoanele de conectare în versiunea pro: autentificare fără parolă, dispozitive de încredere, linkuri magice și așa mai departe. În opinia noastră, ei se opun direct principiului autentificării cu doi factori, facilitând procesul de conectare.

Utilizarea resurselor serverului

iThemes este foarte amabil cu resursele serverului dvs., deoarece nu face absolut nimic. Wordfence este de fapt interzis de anumite gazde web din cauza costului său imens pentru resursele serverului.

Am fost destul de încântați să punem Wordfence în treabă. Cu toate acestea, adevărata surpriză a venit când am verificat performanța site-ului. Scanările s-au dublat și, în unele cazuri, s-au triplat, utilizarea discului site-ului nostru, pe măsură ce au avut loc scanările Wordfence. Recunoaștem că site-urile noastre de testare sunt foarte mici, deci nu consumă prea multe resurse pentru început, dar este totuși un salt semnificativ. Pe site-urile mai mari, penalizarea ar fi considerabilă.

De fapt, orice modificare a setărilor implicite vine cu un avertisment că vor fi consumate mai multe resurse de server. Apoi, este sigur să presupunem că Wordfence utilizează resursele serverului site-ului pentru a-și îndeplini toate sarcinile.

graficul consumului de resurse server wordfence

Ceea ce este destul de rău, dar se va înrăutăți cu firewall. Orice atac susținut va copleși site-ul chiar dacă este protejat împotriva acestor exploatații.

Utilizarea resurselor serverului apare rareori ca un punct de discuție în securitatea site-ului web, dar de multe ori pluginurile de securitate au un impact semnificativ asupra performanței site-ului. Atât de mult încât administratorul trebuie să facă un compromis între securitate și utilizare. Nu credem că acest lucru ar trebui să fie vreodată și poți să-ți iei tortul și să-l mănânci și cu MalCare.

iThemes este excelent pentru resursele serverului tău. Nu pot spune același lucru pentru securitatea site-ului dvs.

Alerte

iThemes nu vă trimite alerte. Wordfence trimite mult prea multe.

Alertele trebuie să atingă punctul favorabil dintre niciuna și prea multe. Ambele sunt extreme la fel de proaste, deoarece rezultatul net este că nu ai nicio idee care este de fapt securitatea site-ului tău.

Scanerul Wordfence poate genera o mulțime de false pozitive, așa că nu știi cu adevărat când site-ul tău este cu adevărat spart. După un moment, poate deveni ca băiatul care a strigat lupul. La fel și cu firewall-ul. Firewall-ul ar trebui să blocheze atacurile fără să tragă o alarmă de fiecare dată, deoarece nu are un scop. Prin urmare, opinia noastră este că Wordfence generează prea multe alarme pentru a fi deloc util.

iThemes trimite o grămadă de e-mailuri absolut banale, inutile: rapoarte de notificare de modificare a fișierelor, copii de siguranță ale bazei de date și alte confirmări ale setărilor noastre. Există, de asemenea, un rezumat zilnic de securitate despre site-ul nostru web și un raport săptămânal de vulnerabilitate. Ne imaginăm că acest lucru este pentru cunoștințele noastre, astfel încât să putem actualiza manual pluginurile și temele ofensatoare de pe unul sau mai multe site-uri web.

sinteză de securitate a temelor

Instalare, configurare și utilizare

Wordfence se instalează ca un farmec. Fără setări complexe și configurații obscure. iThemes, pe de altă parte, a fost foarte greu.

iThemes este înșelător de ușor de început și apoi se transformă încet într-o mulțime de setări inutile. Există o configurație lungă de parcurs înainte chiar de a crea tabloul de bord. Sincer să fiu, ar fi trebuit să citim semnele și să renunțăm la aceasta ca pe o cauză pierdută. Dar suntem lăcomi de pedeapsă prin care o putere pentru un bine mai mare.

configurarea temelor

Instalarea Wordfence a fost foarte ușoară și nu există opțiuni de configurare în avans. Primul ecran care apare este abonamentul prin e-mail, care afirmă clar că primești știri de securitate în căsuța de e-mail. Următorul ecran este o solicitare de upgrade la premium. În acest moment, nu știam ce caracteristici avea pluginul gratuit, așa că nu am introdus imediat licența noastră premium.

Există o explicație cu 3 instrumente pe măsură ce accesați tabloul de bord pe wp-admin pentru prima dată. Utilizabilitatea și limbajul sunt grozave pe Wordfence. Există explicații clare pentru caracteristici și modul în care acestea afectează securitatea. Nu este copleșitor și nici nu face ceva prost.

Designul tabloului de bord este foarte intuitiv și puteți vedea dintr-o privire toate aspectele importante ale securității legate de site-ul dvs. În general, prima noastră impresie despre Wordfence a fost grozavă.

În plus, Wordfence vă oferă recomandări utile pentru configurare. Documentația, pe care o puteți accesa din sfaturile instrumente de pe tabloul de bord, este foarte contextuală. Prezintă în mod clar ce face fiecare caracteristică și de ce, în plus față de modul în care o setați în mod optim pentru a funcționa pe site-ul dvs. web. Din nou, este de remarcat modul în care limbajul folosit este accesibil.

iThemes: Suplimente

După ce am analizat aspectele critice ale securității și am constatat că iThemes lipsesc grav, această secțiune pare aproape de râs.

iThemes a umplut pluginul cu o mulțime de funcții, care au un impact redus sau deloc asupra securității. Caz concret: funcția IP din lista albă. IP-urile dispozitivelor noastre se schimbă tot timpul, așa că nu este o garanție că anumiți oameni vor fi lăsați să treacă pe site, ceea ce este probabil ideea.

Există, de asemenea, un monitor de modificare a fișierelor, care trimite un raport la adresa ta de e-mail la fiecare 24 de ore. Raportul conține o listă cu toate fișierele modificate. Nu care a fost schimbarea, cine a făcut-o sau când s-a întâmplat exact. Nu, doar un e-mail care spune: „Bună ziua! Toate acestea de pe site-ul dvs. sunt acum diferite de ceea ce au fost ieri. Pa!"

modificarea fișierului cu teme

Odată ce am trecut peste iritarea noastră, am vrut să recunoaștem că iThemes are un sistem bun de gestionare a parolelor. Puteți aplica parole puternice și puteți refuza să permiteți folosirea parolelor compromise pe site. Nu am putut testa acest lucru în mod concludent, dar din nou rezultatele au fost neregulate.

profilele de securitate ale utilizatorilor themes

Există o caracteristică utilă de întărire: blocarea execuției PHP în folderul de încărcări. Celelalte sunt prostii.

Wordfence: Suplimente

Suplimentele Wordfence sunt toate strict legate de securitate. Nu există funcții utile adiacente, cum ar fi actualizări sau opțiuni de gestionare a utilizatorilor. Acestea fiind spuse, există o mulțime de plusuri.

După instalarea inițială, am văzut o secțiune de notificări pentru actualizările site-ului. Pe site-ul nostru de testare, ne-a arătat că 5 plugin-uri trebuiau actualizate.

Există o stare Wordfence Central care vă permite să gestionați mai multe site-uri de la wp-admin al fiecărui site. Acest lucru are sens dacă aveți câteva site-uri pe același cont, dar spațiul este limitat și nu va funcționa pentru agențiile cu sute de site-uri. Bine că există un tablou de bord extern. Trebuie să vă creați un cont pe site-ul web Wordfence pentru a accesa Wordfence Central. În opinia noastră, nu are sens să avem caseta centrală pe tabloul de bord al site-ului.

Am adăugat toate site-urile de testare la Wordfence Central și am obținut o vedere panoramică a tuturor acestora. Nu este cel mai bun aspect pentru mai mult de 20 de site-uri. Ideea este bună, execuția lipsește.

wordfence central

Apoi am verificat secțiunea Instrumente. Există un panou pentru trafic live, care la prima vedere părea o versiune a Google Analytics, dar s-a dovedit a fi mai mult decât atât. Puteți seta jurnalele de trafic să includă tot traficul sau doar traficul legat de securitate. Jurnalele sunt grozave, deoarece există o legendă clară care indică ce fel de trafic primește site-ul web: uman, bot, avertisment, blocat.

trafic live în wordfence

Există și o căutare Whois, în cazul în care doriți să vedeți cine vă atacă site-ul. Acesta este în cel mai bun caz un bidou, deoarece această funcție este ușor disponibilă și online.

Cel de diagnosticare este o caracteristică interesantă. Conține o mulțime de informații despre site, chiar de la proprietarii de procese la tabelele bazei de date și multe altele. Este ca o specificație a site-ului într-un singur loc, împreună cu starea fiecăruia dintre acele lucruri. Greu de imaginat cum ar folosi un utilizator obișnuit (non-dev) oricare dintre aceste informații, dar cu siguranță util pentru un dezvoltator.

diagnosticare în wordfence

Ce lipsește din iThemes Security și Wordfence

iThemes lipsește un scanner, un dispozitiv de curățare și un firewall. Also, it would be nice if it had functional brute force protection and activity log, and detected a vulnerability on occasion. One can hope.

Wordfence doesn't have bot protection nor an activity log. Other than that, it is a comprehensive and well-rounded security plugin.

Wordfence vs iThemes Security: Pricing

It is not worth buying iThemes Security, because its only worthwhile feature is two-factor authentication, which is available for free. Wordfence premium is available for $99 for the year, but the free version is strong enough on its own.

Wordfence's free plugin is really great, considering it is free. The premium licenses are at a max of $99 per site, and get progressively lower with the more licenses you purchase.

wordfence premium license details

The real kicker is the site cleaning service which is a hefty $490 per site, and although they say unlimited pages in the features, additional charges may apply for sites above 10 GB—which, fair enough. They do have a malware removal guarantee for 1 year, but there are caveats in the small print. So read those carefully.

After reading this article, you know that iThemes isn't worth your money. Use it for two-factor authentication or get a dedicated plugin for that feature.

iThemes pricing

Better alternative to iThemes Security and Wordfence: MalCare

The best thing you can do for your website is to invest in a good security plugin. The plugin should scan, clean and protect your website from all manner of threats. During our testing series, only one plugin stood out: MalCare. It outshines iThemes in every way, and has a much better scanning, auto-cleaning, firewall, and notifications compared to Wordfence. It is a no-brainer.

MalCare's $99 Basic plan includes unlimited cleanups, which is equivalent to Wordfence's $99 plan and $490 per cleanup needed thereafter.

Concluzie

We hope this article helped you decide on a way forward for your website security. If you have any questions or thoughts, do drop us a line. We would love to hear from you!