iThemes Security против Sucuri: какой плагин безопасности лучше?

На первый взгляд iThemes Security выглядит как отличный и доступный плагин безопасности для ваших веб-сайтов WordPress. Особенно, если учесть, что вы можете защитить неограниченное количество сайтов всего за 199 долларов.

Sucuri, с другой стороны, является одним из самых популярных доступных плагинов безопасности WordPress. Он оснащен сканером и брандмауэром, а также предлагает удаление вредоносных программ. Так что уже в этом противостоянии он опередил iThemes. Почему? Потому что у iThemes нет ни одной из этих функций.

iThemes вообще выбыли из гонки. В этом состязании Сукури, несомненно, стал победителем. Сказав это, мы все равно не доверили бы Sucuri защиту нашего сайта. Какой плагин безопасности гарантированно защитит сайты WordPress от хакеров? Ответ однозначен: MalCare.

Резюме сравнения iThemes Security и Sucuri

iThemes Security — это плацебо плагинов безопасности WordPress. Вы думаете, что ваш сайт защищен от хакеров, но на самом деле все, что его защищает, — это принятие желаемого за действительное и положительные эмоции. Sucuri, несомненно, лучше, но лучше, в конце концов, понятие относительное. Это не отличный плагин безопасности.

Коротко о безопасности iThemes

Суть в том, что iThemes не защищает ваш сайт. Мы настоятельно рекомендуем вообще пропустить iThemes, если вы рассматриваете его для безопасности WordPress. И если он у вас уже установлен, немедленно просканируйте свой сайт. Ваш сайт не защищен.

Наши первые впечатления от iThemes были на самом деле благоприятными. Веб-сайт рассказывает об отличной игре и внушает доверие благодаря авторитетному тому, как они говорят о безопасности WordPress. Единственный недостаток, который мы заметили, заключался в том, что вы не могли использовать плагин для очистки от вредоносных программ. Это не идеально, но все же может работать как сканер.

Или мы так думали.

Сканер iThemes не обнаруживает вредоносное ПО. Совсем. Рискнем предположить, что он даже не сканирует файлы и данные, потому что сканирование завершается за считанные секунды. Что делает «сканер» iThemes, так это проверяет отчет о прозрачности Google, чтобы узнать, есть ли ваш сайт в этом списке. Для этого нам не нужен плагин безопасности. Мы вернулись, чтобы проверить веб-сайт, и были ошеломлены, отметив, что функции явно не говорят о сканировании на наличие вредоносных программ. Это просто говорит о том, что обнаружение вредоносных программ является одним из ключевых шагов в обеспечении безопасности WordPress. Это двусмысленность, если мы когда-либо видели это.

У нас был соблазн списать тесты iThemes как бесполезные, но мы продолжили в интересах справедливости.

Плагин имеет надежную функцию двухфакторной аутентификации, которую вы можете включить на странице входа. Он также имеет некоторые достойные функции защиты, такие как блокировка выполнения PHP в папках. Сказав это, защита от грубой силы при входе в систему работает только в некоторых случаях. Еще одна черная метка против плагина.

Наш вывод об использовании iThemes заключается в том, что единственными функциями, имеющими какое-либо значение безопасности, являются двухфакторная аутентификация и простая реализация reCAPTCHA при входе в wp. Однако эти две функции не требуют счета в 199 долларов, потому что есть лучшие плагины безопасности, которые будут предлагать те же функции в дополнение к некоторой реальной безопасности.

Тестирование iThemes было ужасным опытом, потому что мы не можем представить количество веб-сайтов, которые считают, что они защищены несуществующей системой безопасности. На самом деле, пользователи iThemes, вы должны сканировать свой сайт прямо сейчас.

Сукури в двух словах

У Sucuri есть достойный брандмауэр и отличные службы удаления вредоносных программ, но он потерпел неудачу в качестве сканера вредоносных программ. Если вы не знаете, что на вашем сайте есть вредоносное ПО, избавиться от него невозможно. Это неотъемлемая часть плагина безопасности.

Когда мы начали тестировать Sucuri, мы ожидали от нее многого. Это один из самых популярных плагинов безопасности для WordPress, и мы были ошеломлены, увидев, что сканер не смог обнаружить вредоносное ПО на нашем взломанном тестовом сайте. Мы рассмотрим более подробно в следующем разделе, но это задало тон всему нашему процессу тестирования.

Помимо сбоя, само сканирование занимает много времени и использует ресурсы нашего сервера для его выполнения. Сами Sucuri не рекомендуют слишком много сканирований из-за влияния на производительность веб-сайта. Это ужасный компромисс между производительностью и безопасностью, и этого не должно быть.

Что касается брандмауэра и служб удаления вредоносных программ, Sucuri преуспела. Брандмауэр было очень сложно настроить, и на это у нас ушло слишком много времени. Но он заблокировал атаки, которые мы пробовали, и мы не смогли использовать какие-либо уязвимости.

Тем не менее, служба удаления вредоносных программ была основным моментом нашего тестирования. Несмотря на то, что сканер дал нашему взломанному веб-сайту справку о здоровье, мы знали, что он полон вредоносных программ. Во-первых, мы поместили туда вредоносное ПО, а во-вторых, сканирование MalCare подтвердило этот диагноз. Команда Sucuri удалила с нашего сайта все следы вредоносного ПО, и в результате он стал безупречно чистым. Фантастика! Вишенкой на этом торте было то, что вы можете иметь неограниченное количество запросов на удаление вредоносных программ как часть вашего плана, и это очень выгодно.

Помимо брандмауэра, настройки очень неясны. Мы обнаружили, что ломаем голову над большим количеством используемого жаргона, и это связано с опытом в области безопасности WordPress. Интерфейс не удобен для пользователя, и мы уверены, что многие люди сочтут его излишне тревожным. Минус балл Сукури есть.

В общем, мы не думаем, что Sucuri — лучшее решение для обеспечения безопасности веб-сайта WordPress. Эта честь принадлежит MalCare из-за сканера, который работает каждый раз. MalCare также получает бонусные баллы, не заставляя нас чувствовать себя тупыми.

Как выбрать правильный плагин безопасности для вашего сайта WordPress

Безопасность вашего сайта WordPress не подлежит обсуждению. Вредоносное ПО может привести к бесчисленным потерям для бизнеса: потеря доходов, судебные иски, затраты на очистку, влияние на брендинг, потеря органического трафика и многое другое. Инвестирование в правильный плагин убережет вас от хакеров и вредоносного ПО, а также от проблем, которые оставляет после себя вредоносное ПО.

Однако возникает вопрос: как выбрать эффективный плагин безопасности для своего сайта?

Когда мы настраивали наши тесты, нужно было учитывать несколько факторов: безопасность, конечно, но также простота использования и соотношение цены и качества. Однако вскоре мы поняли, что все факторы, кроме безопасности, стали бессмысленными, потому что единственным соображением должно быть то, насколько эффективен плагин в плане безопасности.

Итак, вот факторы, которые следует учитывать при выборе плагина безопасности.

• Основные функции безопасности
  
  • Сканирование вредоносных программ
  • Очистка от вредоносных программ
  • Брандмауэр
• Полезные функции безопасности
  
  • Обнаружение уязвимостей
  • Защита входа от грубой силы
  • Журнал активности
  • Двухфакторная аутентификация
• Потенциальные проблемы
  
  • Влияние на ресурсы сервера

Как видно из списка, только 3 фактора являются абсолютно существенными. MalCare превосходит все 3: сканирование и удаление вредоносного ПО, которое другие плагины гарантированно пропустят, и защита вашего веб-сайта от вредоносного трафика с помощью мощного брандмауэра. Более того, MalCare делает это лучше, чем любой другой доступный в настоящее время плагин безопасности.

iThemes Security против Sucuri: прямое сравнение функций

То, как мы изложили это сравнение, состоит в том, чтобы сначала взять наиболее важные функции, а затем обсудить другие наблюдения, которые возникли во время тестирования. Довольно часто мы видели функции и настройки, которые почти ничего не делали (мы говорим об iThemes), но при этом создавали тщательно продуманную иллюзию безопасности.

Прорваться через плевелы, чтобы добраться до пшеницы, было непросто, но мы собираемся представить все наши данные максимально ясно и объективно.

Если вы хотите пропустить этот демонтаж, мы рекомендуем установить MalCare.

Сканирование вредоносных программ

Сканеры Sucuri не обнаружили никаких вредоносных программ на нашем сайте. Судя по тому, как быстро он закончил сканирование, iThemes вообще не сканировал наш сайт на наличие вредоносных программ.

В бесплатной и платной версиях Sucuri есть сканеры, поэтому нам было интересно посмотреть, работает ли он по-разному. Бесплатная версия основана на Sucuri SiteCheck, онлайн-утилите, которая сканирует общедоступные части вашего веб-сайта на наличие вредоносных программ. Конечно, у этого есть ограничения, поэтому чистая проверка от SiteCheck не является гарантией отсутствия вредоносных программ на веб-сайте.

Платный план включает в себя сканер на уровне сервера, который необходимо установить на веб-сервер. Либо вы можете сделать это вручную, либо ввести свои данные FTP на панель инструментов Sucuri, чтобы установить его автоматически. Это был относительно безболезненный процесс.

Сканер настроен на ежедневный запуск, но вы можете сканировать по запросу — в определенной степени. Дополнительные запросы сканирования помещаются в очередь и затем выполняются. Sucuri предостерегает от использования слишком большого количества сканирований, поскольку сканирование использует ресурсы сервера.

Это заставило нас задуматься, потому что потом мы поняли, что Sucuri использует ресурсы нашего веб-сайта для сканирования. С нашими тестовыми сайтами утечка была не слишком серьезной, потому что сайты маленькие и нет внешнего трафика. Тем не менее, мы определенно увидели всплеск в использовании нашего процессора. Подробнее об этом в следующем разделе.

Pro-версия также не обнаружила никаких вредоносных программ на нашем взломанном веб-сайте. Это было удивительно, потому что результаты сканирования MalCare четко выявили вредоносное ПО. Поэтому мы подняли запрос на удаление вручную. Как только команда Sucuri обработала запрос, сайт MalCare появился чистым. Но именно тогда сканер Sucuri обнаружил на веб-сайте вредоносное ПО. Это было очень странно.

К счастью, со сканером iThemes не возникло проблем. Он не сканирует на наличие вредоносных программ, чисто и просто. Сканер iThemes просто проверяет, находится ли ваш сайт в черном списке Google. Вот и все. Мы не удивились, увидев, что наши сайты на самом деле не попали в черный список, учитывая, что они не индексируются.

Очистка от вредоносных программ

Очистка от вредоносных программ не входит в список функций iThemes, поэтому, очевидно, не может удалять вредоносные программы. Sucuri предлагает неограниченные услуги по удалению вредоносных программ в рамках своих платных планов. В зависимости от вашего плана, ваш сайт будет очищен от 6 до 30 часов.

Несмотря на то, что результаты сканирования Sucuri показали, что на нашем веб-сайте нет вредоносных программ, мы, очевидно, знали, что это не так. Вредоносное ПО было везде: в файлах и в базе данных. У нас также была куча бэкдоров для хорошей меры. Сканеры MalCare подтвердили, что наши тестовые сайты действительно заражены вредоносным ПО.

Поэтому мы направили Sucuri запрос на удаление вредоносного ПО, четко указав, что мы подозреваем, что на сайте есть вредоносное ПО. Чтобы создать запрос, вам необходимо заполнить форму и предоставить данные FTP для очистки. А потом ждать результатов.

Примечание: в форме запроса на удаление было интересное раскрывающееся меню, в котором перечислены потенциальные симптомы, которые вы можете наблюдать. Кроме того, к нашему удовольствию, вы должны были указать свой уровень технического мастерства, поэтому мы выбрали: « Нет профессионального уровня, пожалуйста, объясните все четко. ”

Спасибо Sucuri, их команда удалила все вредоносные программы с нашего сайта. Кроме того, несмотря на то, что в условиях нашего плана говорилось, что мы можем ожидать решения проблемы в течение 30 часов, мы получили ответ менее чем через 10 часов.

Мы подтвердили MalCare, что все вредоносные программы были удалены, а затем были удивлены, увидев, что сканер Sucuri теперь помечает сайт как зараженный — после того, как их команда провела очистку. Это было странно.

С другой стороны, iThemes не умеет очищать вредоносные программы, поэтому тестировать было нечего. К счастью, они не претендуют на это на своем веб-сайте.

Честно говоря, очистка от вредоносных программ — самая сложная часть безопасности WordPress и часто самый дорогой аспект. Платные планы Sucuri имеют неограниченное количество очисток, и это здорово, потому что, если уязвимости не будут устранены, вредоносное ПО может появиться снова. Если бы у нас была проблема с уборкой, это было бы то, что вам нужно подождать некоторое время для решения. Что касается вредоносного ПО, мы наблюдаем экспоненциальный рост заражений за короткие промежутки времени, так что это повод для беспокойства.

С MalCare мы могли бы использовать функцию автоматической очистки, чтобы избавиться от вредоносных программ за считанные минуты. Пока мы ждали ответа Sucuri, мы осознали огромную ценность быстрой очистки для важного для бизнеса веб-сайта.

Брандмауэр

Брандмауэр Sucuri работает и сдерживает самые распространенные атаки. iThemes не имеет брандмауэра.

Брандмауэр является критически важным компонентом безопасности веб-сайта, поскольку он блокирует вредоносный трафик и предотвращает использование эксплойтов. К этому моменту статьи вы не удивитесь, узнав, что у iThemes нет брандмауэра. С чего бы это? Во всех остальных отношениях он не работает как плагин безопасности.

Sucuri, с другой стороны, защитил наш сайт от атак WordPress. Мы протестировали его на такие уязвимости, как неограниченная загрузка файлов, XSS и SQL-инъекция. Брандмауэр заблокировал все наши попытки использовать эти уязвимости и загрузить вредоносное ПО на сайт. Мы не смогли протестировать более сложные атаки со всей прозрачностью.

Таким образом, брандмауэр Sucuri работает, но мы также должны упомянуть, как сложно было настроить брандмауэр. Принцип работы брандмауэра заключается в том, что он действует как слой между входящим трафиком и вашим сайтом. Поэтому весь трафик сначала попадает на брандмауэр Sucuri, а затем перенаправляется на ваш сайт.

Как вы понимаете, это требует некоторой настройки. Домен, который вы используете для своего веб-сайта, должен сначала указывать на Sucuri, трафик анализируется, а затем разрешенный трафик направляется на ваш веб-сайт. Это здорово, но очень сложно настроить брандмауэр, если у вас нет опыта работы с серверами имен и конфигурацией DNS.

В целом, гораздо лучше иметь готовое решение для обеспечения безопасности. Никаких сложных настроек для защиты нашего сайта. Вы знаете, вроде того, что вы получаете с MalCare.

Обнаружение уязвимостей

Sucuri обнаружил большинство уязвимостей на нашем сайте, хотя и не все. iThemes ничего не нашел.

После того, как мы включили сканер на стороне сервера, Sucuri обнаружил, что на веб-сайте установлено несколько уязвимых плагинов. Он не обнаружил их все, и было рекомендовано просто обновить их.

Кроме того, на wp-admin есть представление после взлома, в котором перечислены установленные в настоящее время плагины и темы, их установленные версии и последние доступные версии. В описании этого раздела Sucuri упоминает, что уязвимости связаны с безопасностью веб-сайта, и рекомендуется постоянно обновлять все. Маловероятно, что кто-то попадет туда при обычном просмотре плагина, поэтому мы не уверены, что это место полезно.

В рамках запроса на удаление вредоносных программ Sucuri также отправила нам сообщение с рекомендацией применить меры по усилению защиты и обновить наши (2 из 3) уязвимых плагинов. Это часть их контрольного списка после взлома.

iThemes не помечает уязвимости. Однако у него есть чрезвычайно бесполезный счетчик на панели инструментов, показывающий, сколько обновлений было сделано с момента установки плагина. Как эта информация может быть полезна, мы не можем понять.

Защита входа от грубой силы

Предполагается, что Sucuri блокирует атаки грубой силы и предупреждает вас, но этого не происходит. iThemes иногда работает, иногда нет. Трудно сказать, что хуже.

iThemes регистрирует каждую неправильную попытку входа в систему как атаку грубой силы, что, откровенно говоря, ужасает пользователя. В одном случае мы действительно забыли пароль.

Когда мы попытались взломать страницу входа, мы увидели неравномерные результаты. iThemes заблокировал попытки на 1 сайте, но не на другом. Мы попытались выяснить, в чем причина такого несоответствия, но единственная разница заключалась в вредоносном ПО на сайте. Поскольку вредоносное ПО обычно является следствием успешных атак методом грубой силы, мы не думаем, что это является причиной. Скорее всего, есть ошибка, из-за которой функция работает спорадически. По сути, это бессмысленно.

Sucuri давал нам надежду, потому что есть детальный набор вариантов атак грубой силы. Вы можете установить количество неудачных попыток, которые считаются атакой грубой силы. Мы установили его на очень скромные 30 попыток в час, несмотря на то, что атаки входа обычно составляют несколько 100 попыток в минуту.

Увидев все настройки блокировки, мы немного опасались, что нас заблокируют на сайте. Мы отключили MalCare, чтобы защита входа в систему MalCare не блокировала попытку. Однако ничего не произошло. Мы попробовали более 40 неправильных входов в систему за 3 минуты, но Sucuri не выдал предупреждения. Проверил журналы аудита, и неудачная аутентификация показывает все в порядке. Но никаких предупреждений. Никаких блокировок. Ничего.

Журнал активности

iThemes имеет неполную функцию журнала активности. У Sucuri есть хороший, но он может быть непонятным.

В Sucuri есть функция под названием «Журналы аудита», которая отслеживает все действия пользователей, плагинов и тем. Функция работает, как и ожидалось, однако одна из настроек заставила нас задуматься. Вам нужен ключ API, чтобы «запретить злоумышленникам удалять журналы». Это в основном разрешает Sucuri собирать и хранить данные о веб-сайте за пределами сайта, что нормально, но язык, который они используют, мягко говоря, раздражает. Подробнее об этом в разделе юзабилити.

Хотя журналы работают как журналы и собирают метку времени, пользователя и действие, они могут быть очень неясными. Например, мы установили новый плагин, который отображается как активированный плагин. Все идет нормально. И еще 7 записей в журнале, которые показывают, на что повлияла установка. Но мало пояснений относительно того, что означают эти записи. Возможно, это измененные файлы или папки? Нет, позже мы поняли, что этот конкретный плагин, который является плагином галереи, изменил шаблон для постов. Это имеет смысл, но откровение пришло не от Сукури.

Журнал активности — важная часть инструментария безопасности вашего сайта. Хакеры пользуются недостаточным ведением журналов для атаки на сайты, поэтому вам следует дождаться надежного журнала, которому вы можете доверять, чтобы делиться достоверной информацией о своем веб-сайте.

В принципе, не так, как у iThemes. Журнал активности содержит некоторую полезную информацию, такую ​​как активность пользователя, управление версиями, сканирование сайта и атаки методом перебора. Ничего о плагинах или темах. Существует отдельная функция, которая также ежедневно отправляет вам по электронной почте отчет об изменении файла. В целом журналы неадекватны, потому что они не дают точной картины вашего веб-сайта.

Двухфакторная аутентификация

В iThemes есть отличная функция двухфакторной аутентификации, которая работает «из коробки». Сукури нет.

После разоблачения iThemes в этой и других подобных статьях этой серии мы рады сообщить, что это одна из немногих функций безопасности, которые действительно работают в iThemes — и работают в этом довольно хорошо.

Функция двухфакторной аутентификации в iThemes очень надежна. Он имеет массу настроек и работает из коробки без проблем. Плагин также помогает применять надежные пароли, за что мы настоятельно рекомендуем.

Нас беспокоит только то, что профессиональная версия iThemes имеет массу настроек, которые удаляют токены входа для простоты использования: вход без пароля, доверенные устройства, волшебные ссылки и так далее. Хотя они полезны для облегчения процесса входа в систему, они противоречат цели двухфакторной аутентификации.

Мы искали двухфакторную аутентификацию, когда тестировали Sucuri. Мы обнаружили, что он существует на приборной панели Sucuri. Однако нас одновременно позабавило и озадачило осознание того, что двухфакторная аутентификация доступна для вашей учетной записи Sucuri, а не для вашего веб-сайта WordPress.

Использование ресурсов сервера

iThemes вообще не будет расходовать ресурсы вашего сервера, потому что ничего не делает. Sucuri снизит производительность вашего сайта своими сканированиями.

Интересно, что нас не часто спрашивают о ресурсах сервера в контексте безопасности. Но в идеале вы хотите, чтобы ваш сайт был защищен и не замедлял сканирование в процессе. Сканер Sucuri сделает это с вашим сайтом.  

Sucuri сканирует заявление о прямом использовании ресурсов сервера веб-сайта. Фактически, по этой причине они, похоже, не одобряют частое сканирование. Честно говоря, это ужасно. Почему кто-то должен выбирать между производительностью и разумными счетами за сервер, с одной стороны, и безопасностью, с другой? Хотя они не шутили. Как только мы установили Sucuri, а затем запустили второе сканирование, произошел огромный всплеск ресурсов сервера. Если на маленьком сайте разница так заметна, то на большом сайте она будет значительно больше.

Кроме того, в «Общих настройках» на панели инструментов есть параметр «Хранение данных», который, по-видимому, указывает на то, что Sucuri хранит множество данных (в основном журналы, судя по их внешнему виду) на самом веб-сайте. Вероятно, поэтому ключ API необходим, потому что он по умолчанию находится в папке загрузок, которая является общедоступной папкой. Существует возможность изменить хранилище на непублично доступную папку, но это должно было быть по умолчанию с самого начала.

iThemes не будет истощать ресурсы вашего сервера. Как он может, когда он ничего не делает?

Оповещения

iThemes ни о чем вас не предупреждает. Sucuri это делает, но вам нужно быть осторожным с тем, какие оповещения вы хотите получать. Ваш почтовый ящик может заполниться за несколько часов.

Sucuri позволяет настраивать оповещения для отправки определенным людям, настраивать формат оповещений и многое другое. Вы также можете добавить диапазоны IP-адресов, чтобы эти адреса не помечались для предупреждений. Однако будьте осторожны с жаргонными описаниями. Что такое « бесклассовая междоменная маршрутизация »? Мы не хотели знать, просто хотели защитить сайт.

Судя по подробным настройкам оповещений, Sucuri, похоже, остро осознает, что потенциально может отправлять слишком много оповещений. Существует настройка для настройки максимального количества предупреждений, полученных в час, скажем, до 5 электронных писем. Проблема в следующем: предположим, что первые 5 были ложными срабатываниями, а шестой — нет? Там есть заявление об отказе от ответственности, но опять же — лучше иметь актуальную информацию, чем бесполезную функцию. Мы пришли к выводу, что ни один админ не увидит леса за деревьями. Просто слишком много шума.

Удивительно, но мы до сих пор пересматриваем iThemes, а не отказываемся от него за безнадежное дело. iThemes отправили нам отчеты об изменениях файлов, резервные копии базы данных и другие подтверждения наших настроек. Мы также подписались на ежедневный дайджест безопасности о нашем веб-сайте и отчет об уязвимостях раз в неделю, предположительно, чтобы мы могли сверять их с нашими веб-сайтами. Это было достаточно плохо с одним сайтом, с большим количеством сайтов все могло выйти из-под контроля.

Установка, настройка и удобство использования

Установка iThemes оказалась на удивление сложной из-за запутанных параметров конфигурации. Sucuri был довольно простым, но параметры конфигурации в плагине были ужасно сложными.

iThemes был первым плагином, который мы тестировали, поэтому изначально он казался простым. Он также установил планку для самых бесполезных настроек. Вы должны пройти настройку, чтобы иметь возможность создать панель безопасности. Мы рассмотрели все настройки, но ни одна из них не оказывает реального влияния на безопасность, поэтому мы установили их случайным образом и на этом остановились.

Sucuri устанавливается без суеты, и в основном плагин настраивается самостоятельно. Нам пришлось создать учетную запись в Sucuri, чтобы получить доступ к платным функциям. Также стоит отметить, что для установки сканера на стороне сервера необходимо использовать внешнюю панель управления Sucuri. Это нетрудно сделать, если у вас есть легкодоступные данные FTP, хотя мы не видим особого смысла, поскольку он не обнаружил никаких вредоносных программ.

Панель инструментов iThemes на вашем wp-admin — это шум. Нет важной информации, связанной с безопасностью.

Приборная панель и настройки Sucuri безумно сложны. Мы часами пытались понять, что они подразумевают под техническими терминами, которые используют. В некоторых случаях плагин сообщает вам рекомендуемые настройки, поэтому пользователь, по сути, работает на слепую веру. Единственная проблема заключается в том, что Sucuri не внушает слепой веры, потому что их сканер вредоносных программ не работает!

Мы хотим, чтобы этот плагин был проще для понимания. Это выглядит очень сложным и, кажется, делает много вещей, но мы не можем быть уверены, потому что некоторые вещи, которые, как мы знаем, важны, например, защита от грубой силы, похоже, не работают.

Брандмауэр и сканер на стороне сервера должны быть включены отдельно. Нам потребовалось больше недели, чтобы понять этот плагин с 3 веб-сайтами. Мы содрогаемся при мысли о том, что случилось бы с кем-то, кто справился бы с большим количеством. Это так утомительно настраивать.

Мы хотим повторить, что настройки сложны для понимания нетехническими пользователями. Мы не знали, что существует нечто, называемое программным обеспечением для анализа журналов. Мы также видели интересные сообщения для обратного прокси-сервера, где Sucuri услужливо советует нам не беспокоиться об этой опции, если мы не знаем, что это такое. Спасибо за путаницу со снисходительностью.

iThemes: Дополнения

В iThemes есть очень сложная функция белого списка, что было удивительно, пока мы не поняли, что мы видели чрезмерное количество жалоб на блокировку сайта. С этим есть две проблемы: первая заключается в том, что IP-адреса устройств меняются, поэтому добавление вашего IP-адреса в белый список не является такой надежной защитой, как вы думаете; и во-вторых, мы сделали все возможное, чтобы вызвать блокировку. Но этого не произошло.

Монитор изменений файлов — еще одна функция, которая кажется хорошей идеей, если только вы ничего не знаете о безопасности. Хакеры могут изменять временные метки файлов, вплоть до того, что создается впечатление, что файл не редактировался годами. Кроме того, для этого монитора существует список исключений типов файлов. Откровенно говоря, это свидетельствует о непонимании вредоносного ПО. Вредоносное ПО может скрываться в любом файле, включая, например, файлы .ico.

iThemes имеет хорошую систему управления паролями. Вы можете применять надежные пароли и не разрешать скомпрометированные пароли. При желании также можно установить пароли приложений для XML-RPC.

Наконец, iThemes имеет некоторые функции повышения безопасности, большинство из которых мы вообще не рекомендуем. Единственное, что имеет смысл, — заблокировать выполнение PHP в папке загрузок. Это предотвращает определенный тип атаки вредоносного ПО. Остальные мы рекомендуем вообще игнорировать.

Сукури: Дополнения

Панель инструментов Sucuri на wp-admin выглядит довольно впечатляюще, но сразу же мы увидели, что самое большое информационное окно — это целостность WordPress. Надеюсь, это только для бесплатной версии, которую мы используем в настоящее время, потому что это, по сути, переодетая версия монитора изменений файлов для основных файлов WordPress.

В некоторых случаях мы могли видеть, что это полезно, учитывая, что в файлы ядра попадает много вредоносных программ. И наоборот, мы также можем видеть, что это может быть синекурой, потому что неопытные люди могут полагать, что это масштаб вредоносного ПО, что является пугающей мыслью. Как ни странно, 2 из 3 помеченных файлов целостности WordPress были от MalCare: аварийный соединитель и брандмауэр.

Глубже в настройках есть утилита сравнения целостности для сравнения файлов ядра и поиска различий. Это может быть проще в использовании, чем онлайн-утилита для проверки различий.

Вариантов усиления было немало: одни полезные, другие не очень. Нам понравилась возможность блокировать PHP в папке загрузки, брандмауэре и активировать автоматическое обновление секретных ключей, которое меняет соли WordPress.

Однако проверка версии WordPress, удаление версии WordPress, предотвращение утечки информации (удаление файла readme, который WordPress просто воссоздает) и проверка учетной записи администратора по умолчанию — все это глупые функции с незначительным влиянием на безопасность. Откровенно говоря, вся индустрия безопасности ушла от этих уловок.

Если вы решите отключить плагин и редактор тем, обновление будет сложным. Он включает предостережение о том, что некоторым плагинам и темам требуется доступ к файлам PHP в этих папках. Это неадекватно. Показательный пример: Sucuri сами сохраняют файлы PHP в папке для загрузки. Разве им не нужен доступ к своим файлам со своей внешней панели инструментов? Или это исключение из правил? В этом случае правило кажется гибким, скрытым от пользователя.

Нам было интересно проверить функцию пост-хака на панели управления wp-admin. После очистки вы хотите убедиться, что делаете все возможное, чтобы защитить свой сайт от будущих взломов. Нам понравилась идея, пока мы не посмотрели немного дальше.

Вы можете обновить секретные ключи — изменить соли WordPress — с панели управления. Единственная проблема заключается в том, что это открытый текст, видимый каждому администратору, вошедшему в wp-admin. Если у хакера есть учетная запись с правами администратора, это невероятно опасно. Эта функция имеет смысл только в том случае, если пользователь убедился, что ни одна из учетных записей администратора не скомпрометирована, а затем меняет соли. Пункт, который нигде не упоминается.

Вы можете сбросить пароли пользователей. Опять же, на первый взгляд хорошая функция, пока вы не прочтете мелкий шрифт: «Выберите пользователей из списка, чтобы изменить их пароли, завершить их сеансы и отправить им по электронной почте ссылку для сброса пароля. Имейте в виду, что плагин изменит пароли перед отправкой электронных писем, а это означает, что если ваш веб-сервер не сможет отправлять электронные письма, ваши пользователи будут заблокированы на сайте».

Есть место, где можно увидеть доступные обновления плагинов и тем, что является базовым управлением версиями. Он ничего не добавляет к существующей функциональности панели администратора. Тем не менее, он может служить для информирования людей о том, что устаревшие плагины и темы связаны с безопасностью.

Чего не хватает в iThemes Security и Sucuri

iThemes не имеет брандмауэра, что является серьезным недостатком для вашей безопасности WordPress. Брандмауэры защищают сайты от определенных типов атак и бесценны, если ваш сайт имеет уязвимости.

Сканер вредоносных программ Sucuri не подходит. Таким образом, несмотря на то, что служба удаления вредоносных программ великолепна, вы должны догадаться, что на вашем веб-сайте есть вредоносное ПО, потому что сканер не собирается его помечать.

iThemes Security против Sucuri: цены

План базовой платформы Sucuri по цене 199,99 долларов США в год за сайт — это хорошая сделка для неограниченных услуг по удалению вредоносных программ. Однако, учитывая, что у него также должен быть работающий сканер, это все, что ваш сабвуфер получит для вас. iThemes ничего не стоит. Просто не беспокойтесь.

В этой статье мы четко изложили свое мнение об iThemes. Единственная функция, о которой стоит упомянуть в iThemes, — это двухфакторная аутентификация, доступная в бесплатном плане. Мы определенно не рекомендуем план Pro.

Цены Sucuri — это кража для службы удаления вредоносных программ, но ложкой дегтя является сканер. Если вы не знаете, что у вас есть вредоносное ПО, вы не можете отправить запрос на удаление.

Лучшая альтернатива iThemes Security и Sucuri: MalCare

Инвестируйте в хороший плагин безопасности, который будет сканировать, очищать и защищать ваш сайт от хакеров. Из всех плагинов, которые мы тестировали для этой серии, MalCare выделяется как лучший вариант. MalCare превосходит iThemes во всем и сканирует на наличие вредоносных программ лучше, чем Sucuri.

На самом деле базовый план MalCare за 99 долларов лучше, чем план базовой платформы Sucuri за 199,99 долларов, а также с мгновенным удалением вредоносных программ. Он также включает в себя неограниченное количество уборок.

Заключение

Безопасность вашего сайта имеет первостепенное значение. Мы видели, как многие клиенты экономили на подключаемом модуле безопасности только для того, чтобы столкнуться с огромными потерями после взлома. Один клиент через какое-то время сдался и решил перестроить свой веб-сайт с нуля. Вредоносное ПО стоит дорого, MalCare — нет.

Статья помогла вам принять решение? Мы хотели бы знать! Напишите нам.