iThemes Security против Wordfence: какой плагин безопасности выбрать?

iThemes Security выглядит очень выгодно всего за 199 долларов за неограниченное количество веб-сайтов, и из-за его непревзойденной цены он был серьезным соперником в гонке плагинов безопасности WordPress.

В другом углу у нас есть Wordfence, бесспорный тяжеловес в этой категории. Wordfence известен многофункциональным бесплатным плагином, а также исследованиями в области безопасности и ресурсами. Для премиум-версии каждый сайт обойдется вам минимум в 99 долларов в год; что по-прежнему является хорошей сделкой.

Даже на этом этапе между ними нет реального сравнения. Тем не менее, мы провели серию тестов.

В этой серии 5 лучших плагинов безопасности прошли гладиаторские бои с вредоносными программами, атаками и уязвимостями. Кто из них вышел победителем? Читай дальше что бы узнать.

ВЕРДИКТ iThemes Security vs Wordfence — неравная конкуренция. Бесплатный плагин Wordfence на несколько порядков лучше премиум-плагина iThemes Security. У Wordfence есть свои недостатки, но, по крайней мере, он в какой-то степени защищает сайт. iThemes, не очень.

Наш выбор

В этой серии мы хотели протестировать лучшие плагины безопасности WordPress, чтобы выяснить, какой из них действительно работает. Для этого мы создали 3 веб-сайта: один из них был простым блогом с несколькими плагинами и темами в качестве элемента управления. На втором сайте было 3 устаревших плагина с уязвимостями. Мы выбрали плагины, которые варьировались от популярных до малоизвестных, и имели набор уязвимостей. И, наконец, у нас был веб-сайт, пронизанный вредоносным ПО.

3 сайта, 5 плагинов, 45 дней. Мы протестировали сканеры плагинов, очистители, брандмауэры, защиту от ботов, брандмауэры, журналы активности и многое другое. Мы учитывали новые вредоносные программы, старые вредоносные программы, вредоносные программы на основе файлов, вредоносные программы для баз данных, взломы с переадресацией, взломы фармацевтических компаний, SQL-инъекции, атаки методом грубой силы и многое другое.

Результаты были однозначны: только MalCare смогла сканировать, очищать и защищать тестовые веб-сайты. Если вы ищете душевное спокойствие с безопасностью WordPress, MalCare — это то, что вам нужно.

Резюме сравнения iThemes Security и Wordfence

iThemes Security против Wordfence — это не проблема: Wordfence на всем пути.

Давайте рассмотрим безопасность WordPress как спектр между двумя крайностями: отсутствие защиты и ложное чувство безопасности, с одной стороны, и ложные срабатывания и ужасные предупреждения, с другой. iThemes Security дает вам ложное чувство безопасности, а Wordfence держит вас в состоянии почти постоянного страха.

По нашему мнению, оба варианта не являются хорошими. Тем не менее, у Wordfence есть отличная бесплатная версия, которая в значительной степени защитит ваш сайт, тогда как даже премиум-версия iThemes Security ничего не сделает для защиты вашего сайта. Наш совет: избегайте обеих крайностей и выбирайте хороший плагин безопасности.

Коротко о безопасности iThemes

iThemes Security — это, безусловно, худший плагин безопасности WordPress, который мы когда-либо видели. У него есть несколько хороших функций, таких как двухфакторная аутентификация и поддержка надежных паролей, но это все. Сканера вредоносных программ нет, он не может удалять вредоносное ПО, и нет смысла обсуждать брандмауэр. На самом деле, если вы используете iThemes прямо сейчас, немедленно просканируйте свой веб-сайт.

Забавный факт: iThemes был первым протестированным плагином безопасности. Веб-сайт и весь процесс установки создали у нас впечатление, что да, эти ребята знают, что такое безопасность WordPress. К сожалению, ни одно из этих ноу-хау не вошло в реальный плагин.

iThemes Security, по сути, является сканером вредоносных программ, потому что не существует механизма для очистки от вредоносных программ. На сайте не сказано, что есть брандмауэр. Это не очень хорошо, потому что сканирование является одним из столпов безопасности WordPress, но не единственным. Тем не менее, вы можете объединить различные плагины, чтобы предоставить вам эту функциональность, если у вас есть приличный сканер.

Ах, но в этом была проблема. iThemes не является сканером вредоносных программ. Это не сканер уязвимостей. Он сканирует черный список Google для вашего сайта. Вы знаете, то же самое вы можете сделать на странице отчета о прозрачности, без необходимости установки плагина. Самым большим преимуществом было то, что сканирование длилось секунды. Сканер не может просмотреть все файлы и папки сайта буквально за секунды.

Защита от грубой силы для страницы входа была неоднородной и непоследовательной, а журнал активности был бесполезен. Подробнее об этом позже.

С другой стороны, iThemes Security имеет отличную функцию двухфакторной аутентификации. Нам также понравилось, как легко было внедрить reCAPTCHA на wp-login. И, наконец, настройки управления паролями пользователей были очень подробными и детализированными. Кроме того, есть несколько достойных функций защиты WordPress, таких как блокировка выполнения PHP в папках.

В целом, тестирование iThemes Security стало откровением. Мы очень серьезно относимся к безопасности, и мы были потрясены, увидев, как умные формулировки и вводящий в заблуждение набор функций могут обмануть администраторов, заставив их думать, что их сайты защищены. На самом деле, мы настоятельно рекомендуем всем пользователям iThemes полностью переосмыслить свою безопасность и немедленно сканировать свой веб-сайт.

В двух словах

Wordfence — лучший бесплатный плагин безопасности, который мы встречали после MalCare. Мы настоятельно рекомендуем его для веб-сайтов, у которых абсолютно нулевой бюджет на безопасность. Брандмауэр блокирует большинство атак, сканер обнаруживает большинство файловых вредоносных программ, а функция восстановления вредоносных программ поможет вам избавиться от большинства из них. Недостатком является то, что будет множество ложных срабатываний, некоторые пропущенные вредоносные программы, а услуги по экстренной очистке от взлома будут непомерно высокими.

Мы были рады попробовать Wordfence, потому что это наиболее широко используемый плагин безопасности. И после некоторых ужасных событий (читай: iThemes) было бы здорово посмотреть, как плагин справляется с безопасностью WordPress.

Мы рассмотрим более подробно в следующих разделах, но сначала хотим поговорить об основных аспектах безопасности.

Wordfence имеет приличный сканер, который обнаружил все файловые вредоносные программы, которые были в наших бесплатных плагинах и темах. Но есть некоторые большие предостережения относительно его эффективности. Сканер не может обнаружить вредоносное ПО на основе базы данных, а также вредоносное ПО в премиум-плагинах и темах. Кроме того, на нашем веб-сайте потребовались заметные потери даже для запуска сканирования.

Затем мы попробовали автоматическое восстановление вредоносных программ. К нашему удовольствию, он почти сразу восстановил все файловые вредоносные программы с веб-сайта; не вредоносное ПО на основе базы данных. Если подумать, это не лучшая производительность для уборщика, но он явно лучше, чем другие в этой серии тестов, и мы были искренне рады увидеть разницу.

Брандмауэр был довольно эффективным, блокируя большинство основных и распространенных атак WordPress, от которых страдает веб-сайт. Одна из проблем, которые у нас есть, заключается в том, что брандмауэр генерирует для нас массу предупреждений. Нам действительно нужно знать, что кто-то из Германии пытался взломать наш сайт 20 раз за последние 5 минут в 20 отдельных уведомлениях? Нет, мы не делаем. Наш почтовый ящик за несколько дней утонул в оповещениях Wordfence, и невозможно было отделить зерна от плевел. Кроме того, бесплатные пользователи получают обновления брандмауэра позже, чем премиум-пользователи, поэтому у хакеров есть возможность взломать незащищенные веб-сайты.

В остальном также есть несколько функций безопасности. Wordfence работает с минимальными затратами, а все остальные функции, такие как обновление плагинов при обнаружении уязвимостей, остаются за wp-admin. Имеет смысл, потому что зачем дублировать его на той же приборной панели? Он имеет довольно хорошую защиту от грубой силы, а двухфакторная аутентификация надежна.

Мы также были очарованы огромным удобством использования плагина. Язык доступен и прост, без использования чрезмерного жаргона. Более продвинутые функции, предназначенные для опытных пользователей, также спрятаны в настройках.

Однако мы были удивлены, обнаружив, что журнала активности как такового нет, за исключением самого нечитаемого списка, предназначенного для разработчиков Wordfence. Кроме того, на сайте вообще нет защиты от ботов. Наконец, что наиболее опасно для этого плагина, для его работы требуется огромное количество ресурсов сервера. Настолько, что веб-хосты вообще запретили использование Wordfence.

В общем, Wordfence — отличный плагин безопасности, но не лучший для вашего сайта. MalCare — это превосходный сканер, эффективная очистка от вредоносных программ и усовершенствованный брандмауэр с обновлениями в реальном времени.

Что искать в плагине безопасности

Безопасность WordPress может быть запутанным зверем, особенно в связи со значительной дезинформацией, доступной в Интернете. Одно можно сказать наверняка: хакеры могут стоить вам дохода, бизнеса, судебных исков, личных расходов, брендинга, органического трафика и многого другого. Правильный плагин безопасности противодействует всему этому, а также экономит ваше время и деньги, которые можно инвестировать в другие области вашего бизнеса.

Мы часто сталкиваемся с вопросом: как выбрать правильный плагин безопасности для своего сайта WordPress?

Ответ обычно представляет собой длинный список функций. Какие-то жизненно важные, какие-то не очень. Но каждый плагин хочет продать вам более 100 своих функций, большинство из которых практически не влияют на безопасность вашего сайта. Но этот список запутает проблему достаточно долго, чтобы безопасность WordPress снова стала головной болью.

Итак, мы составили этот важный — и краткий! — список функций безопасности. Вам следует поискать плагин безопасности, который помечает почти все в этом списке, и получить другие решения для функций, которых у него нет.

• Основные функции безопасности
  • Сканирование вредоносных программ
  • Очистка от вредоносных программ
  • Межсетевой экран
• Полезные функции безопасности
  • Обнаружение уязвимостей
  • Защита входа от грубой силы
  • Журнал активности
  • Двухфакторная аутентификация
• Потенциальные проблемы
  • Влияние на ресурсы сервера

Единственный плагин, который близок к тому, чтобы соответствовать всем требованиям, — это MalCare. Выбирая MalCare, вы гарантируете, что ваш веб-сайт получит наилучшую доступную защиту от хакеров и их вредоносных программ.

iThemes Security против Wordfence: прямое сравнение функций

В этом разделе мы подробно описали наши выводы на тот случай, если вам интересно узнать больше о конкретной функции. После 45 дней тестирования у нас было много информации и множество выводов. Все, что инкапсулировано здесь для вашего удовольствия от чтения.

Функции упорядочены от наиболее важных к наименее важным, и мы оцениваем оба плагина по каждому фактору. Нашей целью было представить все, что мы нашли, как можно более объективно, поэтому мы ни в чем не сдерживались.

Если вы хотите просто добраться до сути этого упражнения, установите MalCare, и вам не придется слышать о некоторых ужасах, которые мы обнаружили.

Сканирование вредоносных программ

Сканер Wordfence обнаружил файловое вредоносное ПО на нашем тестовом веб-сайте, но не обнаружил вредоносное ПО в нашей базе данных. Он также пропустил вредоносное ПО в премиальных плагинах и темах. iThemes Security изначально не сканировала наш веб-сайт, поэтому, очевидно, не собиралась находить какие-либо вредоносные программы.

После установки Wordfence автоматически настраивает первое сканирование. До сих пор так здорово. Оставил сканер доделывать и несколько часов изучал другие функции. Только чтобы увидеть, что он все еще застрял на 60%. Учитывая, что сайт был довольно маленьким, что дает?

Оказывается, 60% — это не индикатор выполнения, а процент, указывающий на эффективность бесплатного сканера. Чтобы получить полные 100%, вам необходимо перейти на профессиональную версию плагина. Справедливо, но то, как это отображалось на приборной панели, было очень запутанным.

Мы перезапустили сканирование и были рады видеть, что оно завершилось очень быстро. Сканер пометил большую часть вредоносного ПО, хотя и не все. Вредоносное ПО, которое было легко обнаружено, находилось в основных файлах WordPress, а также в файлах и папках бесплатных плагинов и тем. Он пропустил взломанную вредоносную программу перенаправления в базе данных и любые файлы, которые были в премиальных плагинах и темах.

Мы забросали Wordfence множеством файловых вредоносных программ, и он обнаружил почти все из них. Он имеет обширную базу данных вредоносных программ для алгоритма сопоставления сигнатур, поэтому мы ожидаем, что он обнаружит от 70 до 80% вредоносных программ. Это не так хорошо, как 95%, как у MalCare, но это намного лучше, чем у всех других плагинов безопасности. В конце концов, обнаружение — это полдела.

Предостережения, которые у нас есть с Wordfence, заключаются в том, что есть масса предупреждений и большое количество ложных срабатываний. Оба эти фактора могут привести к тому, что оповещения со временем потеряют свое влияние, и тогда возникает реальная опасность, что подлинное оповещение может остаться незамеченным. Кроме того, для выполнения сканирования требуется много ресурсов сервера. Мы поговорим об этом подробнее в следующем разделе.

Сканер iThemes вообще не сканирует на наличие вредоносных программ. Он проверяет, находится ли ваш сайт в черном списке, и это тоже только один черный список. У Sucuri тоже есть такая проверка, но у них хватило совести, во-первых, не пометить ее как сканер, а, во-вторых, проверить не только черный список Google. Наши тестовые сайты явно не попали в черный список, потому что не индексируются. Итак, когда отчет iThemes о сканировании вредоносных программ дал нам чистую метку для сайта, полного вредоносных программ? Не впечатлил.

Очистка от вредоносных программ

В iThemes Security нет очистки от вредоносных программ, автоматической или иной. Wordfence может восстанавливать вредоносные файлы, но эффективность зависит от обнаруженного вредоносного ПО. У Wordfence есть служба удаления вредоносных программ премиум-класса, стоимость которой составляет 490 долларов за сайт.

После завершения сканирования Wordfence перечисляет 2 варианта работы со взломанными файлами, кроме CTA для получения профессиональной помощи: удалить все удаляемые файлы и восстановить все файлы, которые можно восстановить.

Опция удаления успешно избавилась от 1 файла без ошибок, после показа ужасающего сообщения о том, что удаление файлов может сломать ваш сайт. Это правда, но вредоносное ПО тоже страшно! В любом случае, вариант был чем-то вроде сырого пиропатрона, поэтому вместо этого перешел к варианту ремонта. Параметр восстановления имел аналогичное предупреждение, но мы включили его, и он смог восстановить большинство файлов. Когда мы проверили сайт через сканер MalCare, на сайте не было вредоносных программ.

Большинство других подключаемых модулей безопасности на этом этапе отказали, поэтому нам не пришлось проводить дополнительные испытания. Мы получили наши результаты. Однако база данных сигнатур вредоносного ПО Wordfence является всеобъемлющей, поэтому мы расширили сеть.

Мы добавили взломанное вредоносное ПО с переадресацией в базу данных нашего веб-сайта, а также несколько экземпляров взлома с ключевыми словами на японском языке. Мы также спрятали фрагменты вредоносного ПО в наших премиальных плагинах и темах, полагая, что это может привести к срабатыванию сканера и очистителя. И они сделали.

Был сделан вывод, что если команда Wordfence увидела вредоносное ПО, то восстановление файлов работает. В противном случае это не так. Wordfence также дает сбой, когда в базе данных есть вредоносное ПО. Таким образом, вредоносное ПО, подобное взлому с перенаправлением, или даже более новое вредоносное ПО определенно будет пропущено. Он также пропустит вредоносное ПО в неосновных файлах WordPress или непубличных плагинах и темах. Wordfence не может найти вредоносное ПО в премиальных плагинах и темах.

Если автоматическое восстановление не работает, вы можете выбрать службу удаления вредоносных программ Wordfence. Сервис удаляет вредоносное ПО, бэкдоры и оценивает сайт на наличие уязвимостей. Wordfence также помогает исключить зараженный вредоносным ПО сайт из любых черных списков, в которые он мог попасть. Очистка сайта гарантируется в течение года, только если администратор сайта неукоснительно следует инструкциям после взлома. Мы не можем комментировать эффективность службы удаления вредоносных программ, так как не пробовали ее.

Как мы уже говорили ранее, iThemes Security не может удалять вредоносные программы, поэтому больше нечего сказать по этому поводу.

По нашему опыту, очистка от вредоносных программ является наиболее важным аспектом безопасности WordPress. Это определенно должны делать только эксперты по безопасности, потому что существует огромный потенциал того, что что-то пойдет не так. MalCare дает вам возможность автоматически удалять вредоносные программы и обращаться к экспертам по безопасности, чтобы помочь с любыми проблемами, которые могут возникнуть.

Межсетевой экран

iThemes Security не имеет брандмауэра. Wordfence имеет брандмауэр веб-приложений, который эффективно защищает от большинства основных и распространенных угроз. Но бесплатная версия получает обновления позже, чем премиум-версия.

Брандмауэр WordPress является важной частью вашего арсенала безопасности, поскольку он защищает от атак и вредоносного трафика с помощью правил. В большинстве проверенных нами плагинов безопасности мы избегали объяснения технических подробностей, поскольку в этом не было смысла, потому что брандмауэры были либо ужасными, либо вовсе отсутствовали. Но с Wordfence все стало немного сложнее.

Когда мы установили Wordfence, брандмауэр сразу перешел в режим обучения. Это обязательный шаг, чтобы брандмауэр мог понимать нормальный трафик сайта и, следовательно, более эффективно блокировать угрозы. Поскольку у нас нет трафика на наши веб-сайты, мы сразу отключили режим обучения, хотя рекомендуется оставить его включенным как минимум на неделю.

Существует отдельный раздел для управления брандмауэром Wordfence, поэтому мы рассмотрели его далее. Когда вы впервые видите его, он объясняет, что такое брандмауэр и что он делает для защиты вашего сайта. Здесь также вводится термин «брандмауэр веб-приложений» с кратким описанием.

После тестирования как бесплатного, так и платного брандмауэра стало ясно, что Wordfence имеет отличный брандмауэр в обеих версиях. Оба они предотвратили серию атак с внедрением SQL-кода, подделку межсайтовых запросов, удаленное внедрение кода и атаки с использованием межсайтовых сценариев. Нам не удалось воспользоваться уязвимостями плагинов и тем.

Именно тогда мы подумали, что нужно копнуть глубже: в чем разница между бесплатной и премиальной версиями?

В параметрах брандмауэра Wordfence объясняет разницу: бесплатная версия загружается как обычный плагин после загрузки WordPress. Кроме того, премиум-версия получает обновления правил в режиме реального времени, тогда как бесплатная версия получает обновления через неопределенный промежуток времени.

Обе эти вещи заставили нас задуматься.

Во-первых, брандмауэр должен загружаться первым для лучшей защиты, однако большинство плагинов безопасности с брандмауэрами часто загружаются после WordPress, как обычный плагин. Если это так, брандмауэр Wordfence может блокировать большую часть вредоносного трафика, но, конечно, не весь.

Во-вторых, Wordfence имеет самый обновленный брандмауэр, однако пользователи, не являющиеся премиум-пользователями, получают обновления позже. Даже это окно проблематично, потому что хакеры могут атаковать во время него. Когда бесплатный брандмауэр получает обновления правил: через несколько дней, недель или месяцев? Кто знает.

Неудивительно, что у iThemes нет брандмауэра.

Обнаружение уязвимостей

iThemes Security не может обнаружить уязвимости, а тем более помочь их устранить. Wordfence обнаружил все уязвимости, которые мы запихнули на веб-сайт, независимо от того, были они популярными или малоизвестными.

Wordfence правильно пометил все устаревшие плагины с обнаруженными уязвимостями как критические угрозы. Мы также включили в список несколько малоизвестных плагинов, некоторые из которых имеют менее 200 пользователей. Другие плагины не смогли выявить эти уязвимости, поэтому приятно видеть, что Wordfence это сделал. Сканер даже помечал устаревшие плагины как среднюю угрозу, что отлично, потому что всегда полезно обновлять все.

Вы не можете исправить уязвимости непосредственно с панели инструментов Wordfence. Большинство других плагинов, таких как Jetpack и Sucuri, рекомендовали обновления и позволяли выполнять их с той же панели. Но, глядя на Wordfence, сделать это невозможно. Тем не менее, вы попадаете на панель обновлений, что достаточно хорошо. Нет никакой логической причины копировать существующую функциональность, которая уже существует на wp-admin.

Интересно, что сканер также показал нам ошибки с плагинами iThemes и BackupBuddy, которые мы установили на одном из тестовых сайтов. Похоже, в плагинах есть аномалии кодирования.

Мы надеялись, что сканер iThemes по крайней мере проверит наличие уязвимостей, учитывая его ужасную неудачу в качестве сканера вредоносных программ. Да, нет.

Кроме того, на панели инструментов iThemes есть счетчик, который показывает, сколько обновлений было сделано с момента установки плагина. Мы полагаем, что это плохое оправдание для метрики должно быть полезно для отслеживания обновлений плагинов и тем. Хотя на самом деле это не так.

Защита входа от грубой силы

iThemes иногда блокирует атаки грубой силы, иногда нет. Wordfence безошибочно блокирует все атаки грубой силы.

В iThemes мы видели непоследовательные блоки грубой силы. Когда мы попытались ввести серию неправильных учетных данных на странице входа, iThemes заблокировала попытки только на одном сайте, но не на другом. Единственная разница между обоими сайтами заключалась в том, что на первом было вредоносное ПО, а на втором — нет. Вредоносное ПО обычно является результатом успешной атаки входа в систему, так что эта разница вряд ли может быть причиной. После нескольких часов повторных попыток тестирования результаты оказались неубедительными. Мы, наконец, отказались от попыток выяснить, что кажется ошибкой.

После этого упражнения в глубоком разочаровании мы проверили журналы iThemes. Каждая неверная попытка входа регистрировалась там как атака методом перебора, даже когда мы действительно забыли свой пароль. И все же плагин не заблокировал их все. Очень странно и потому ненадежно.

С Wordfence мы сначала рассмотрели настройки. Защита от грубой силы включена по умолчанию, и вы можете перейти в раздел брандмауэра, чтобы настроить параметры.

Вы можете установить блокировки для неправильных попыток входа в систему и даже время, в течение которого пользователь будет испытывать блокировку после определенного количества неправильных попыток входа. Что особенно здорово, так это то, что они объясняют, что делает каждый параметр в отличной документации, и как наиболее эффективно использовать его для защиты сайта.

Вы можете установить белый список для IP-адресов, которые не должны проверяться брандмауэром. Мы видели эту функцию во многих плагинах, но с изменением IP-адресов устройств она не имеет большого смысла.

Варианты надежного пароля также здесь. Вы можете применять надежные пароли, предотвращать использование паролей, обнаруженных при утечке данных, и многое другое.

Наконец, мы приступили к тестированию, и защита от перебора работает именно в соответствии с выбранными нами настройками. Каждый раз идеально.

Журнал активности

Журнал активности iThemes не регистрирует все события, поэтому он бесполезен. В Wordfence вообще нет журнала действий.

Мы большие сторонники скромного журнала активности. Это необходимый инструмент безопасности, потому что хакеры используют недостаточную регистрацию для атак на сайты. В идеале вам нужен надежный журнал, содержащий правильную информацию о том, что происходит на вашем веб-сайте.

Так что не так, как у iThemes. Журнал активности iThemes обещает полезную информацию, такую ​​​​как активность пользователей, управление версиями, сканирование сайтов и атаки методом перебора. Но они не регистрируются точно, поэтому нельзя доверять правильному изображению. Кроме того, нет ничего о плагинах или темах.

У Wordfence, что удивительно, нет журнала действий. Существует возможность включить отладку в разделе «Диагностика» в разделе «Инструменты», что позволяет сделать журналы брандмауэра более подробными. Полный журнал действий для событий Wordfence есть только в разделе «Сканирование», но это не то же самое, что журнал действий. Кроме того, это необработанный журнал, предназначенный исключительно для разработчиков Wordfence. Включив режим отладки, вы также будете потреблять больше ресурсов сервера. В этом разделе очень четко сказано.

Двухфакторная аутентификация

iThemes имеет превосходную двухфакторную аутентификацию, которая без проблем работает сразу после установки. То же самое с Wordfence.

Двухфакторная аутентификация отлично работает на обоих плагинах. Оба имеют большой набор опций и минимальную настройку. В Wordfence двухфакторная аутентификация раньше была премиальной функцией, которую они теперь включили и для бесплатных пользователей.

У нас есть только одно небольшое наблюдение с профессиональной версией iThemes. В профессиональной версии есть множество настроек, которые удаляют токены входа: вход без пароля, доверенные устройства, магические ссылки и так далее. На наш взгляд, они прямо противоречат принципу двухфакторной аутентификации, упрощая процесс входа в систему.

Использование ресурсов сервера

iThemes очень бережно относится к ресурсам вашего сервера, так как вообще ничего не делает. Wordfence фактически запрещен некоторыми веб-хостами из-за его огромной стоимости ресурсов сервера.

Мы были очень рады испытать Wordfence. Однако настоящим сюрпризом стало, когда мы проверили работоспособность сайта. Сканирование удвоило, а в некоторых случаях утроило использование диска нашим веб-сайтом, поскольку имело место сканирование Wordfence. Мы признаем, что наши тестовые сайты очень маленькие, поэтому они не потребляют слишком много ресурсов для начала, но, тем не менее, это значительный скачок. На больших сайтах штраф будет значительным.

Фактически, любые изменения настроек по умолчанию сопровождаются предупреждением о том, что ресурсы сервера будут потребляться больше. Тогда можно с уверенностью предположить, что Wordfence использует ресурсы сервера сайта для выполнения всех своих задач.

Что достаточно плохо, но станет еще хуже с брандмауэром. Любые продолжительные атаки перегрузят веб-сайт, даже если он защищен от этих эксплойтов.

Использование ресурсов сервера редко упоминается в качестве темы для обсуждения безопасности веб-сайта, но часто плагины безопасности заметно снижают производительность веб-сайта. Настолько, что администратору приходится искать компромисс между безопасностью и удобством использования. Мы не думаем, что это когда-либо должно иметь место, и вы можете получить свой пирог и съесть его вместе с MalCare.

iThemes отлично подходит для ресурсов вашего сервера. Чего не скажешь о безопасности вашего сайта.

Оповещения

iThemes не отправляет вам никаких предупреждений. Wordfence отправляет слишком много.

Оповещения должны найти золотую середину между отсутствием оповещений и их слишком большим количеством. Обе крайности одинаково плохи, потому что в результате вы понятия не имеете, какова на самом деле безопасность вашего веб-сайта.

Сканер Wordfence может генерировать много ложных срабатываний, поэтому вы не знаете, когда ваш сайт действительно взломан. Через какое-то время это может стать похоже на мальчика, который кричал «волк». То же самое с брандмауэром. Брандмауэр должен просто блокировать атаки, не поднимая каждый раз тревогу, поскольку он не служит цели. Поэтому мы считаем, что Wordfence генерирует слишком много сигналов тревоги, чтобы быть вообще полезным.

iThemes присылает кучу совершенно банальных, бесполезных писем: отчеты об изменениях файлов, резервные копии баз данных и прочие подтверждения наших настроек. Также существует ежедневный дайджест безопасности нашего веб-сайта и еженедельный отчет об уязвимостях. Мы предполагаем, что это сделано для нашего сведения, поэтому мы можем вручную обновлять вызывающие нарушение плагины и темы на одном или нескольких веб-сайтах.

Установка, настройка и удобство использования

Wordfence устанавливается как шарм. Никаких сложных настроек и непонятных конфигураций. iThemes, с другой стороны, было очень сложно.

iThemes обманчиво прост для начала, а затем постепенно превращается в множество бесполезных настроек. Перед созданием приборной панели необходимо пройти долгую настройку. Честно говоря, мы должны были прочитать знаки и отказаться от этого как от безнадежного дела. Но мы жадны до наказания, которое прорывается к лучшему.

Установка Wordfence была очень простой, и нет никаких предварительных настроек. Первый всплывающий экран — это подписка по электронной почте, в которой четко указано, что вы получаете новости безопасности в свой почтовый ящик. На следующем экране предлагается обновиться до премиум-класса. На данный момент мы не знали, какие функции есть у бесплатного плагина, поэтому мы не сразу вставили нашу премиум-лицензию.

Существует пошаговое руководство с 3 подсказками, когда вы впервые посещаете панель инструментов на wp-admin. Удобство использования и язык в Wordfence потрясающие. Даются четкие объяснения функций и того, как они влияют на безопасность. Это не ошеломляет и не делает глупостей.

Дизайн панели инструментов очень интуитивно понятен, и вы можете сразу увидеть все важные аспекты безопасности, связанные с вашим сайтом. В целом, наше первое впечатление от Wordfence было потрясающим.

Кроме того, Wordfence дает вам полезные рекомендации по настройке. Документация, к которой вы можете получить доступ из всплывающих подсказок на панели инструментов, очень контекстуальна. В нем четко изложено, что делает каждая функция и почему, в дополнение к тому, как настроить ее оптимальным образом для работы на вашем веб-сайте. Опять же, следует отметить доступность используемого языка.

iThemes: Дополнения

После рассмотрения критических аспектов безопасности и обнаружения серьезных недостатков iThemes этот раздел кажется почти смехотворным.

iThemes наполнил плагин большим количеством функций, которые практически не влияют на безопасность. Показательный пример: функция белого списка IP. IP-адреса наших устройств постоянно меняются, так что это не гарантия того, что определенные люди будут пропущены на сайт, что, по-видимому, и важно.

Существует также монитор изменения файлов, который отправляет отчет на ваш адрес электронной почты каждые 24 часа. Отчет содержит список всех измененных файлов. Не то, что это было за изменение, кто его сделал или когда именно это произошло. Нет, просто электронное письмо, в котором говорится: «Привет! Все это на вашем сайте сейчас отличается от того, что было вчера. Пока!"

Преодолев раздражение, мы хотели признать, что в iThemes есть хорошая система управления паролями. Вы можете установить надежные пароли и запретить использование скомпрометированных паролей на сайте. Мы не смогли окончательно проверить это, но опять же результаты были неоднородными.

Есть одна полезная функция усиления защиты: блокировка выполнения PHP в папке uploads. Остальные ерунда.

Wordfence: Дополнения

Все дополнения Wordfence строго связаны с безопасностью. Нет смежных полезных функций, таких как обновления или параметры управления пользователями. Сказав это, есть много дополнений.

После первоначальной установки мы увидели раздел уведомлений об обновлениях сайта. На нашем тестовом сайте он показал нам, что необходимо обновить 5 плагинов.

Существует статус Wordfence Central, который позволяет вам управлять несколькими сайтами из wp-admin каждого сайта. Это имеет смысл, если у вас есть несколько сайтов в одной учетной записи, но пространство ограничено и не подойдет для агентств с сотнями сайтов. Хорошо, что есть внешняя приборная панель. Вы должны создать учетную запись на веб-сайте Wordfence, чтобы получить доступ к Wordfence Central. На наш взгляд, нет смысла размещать центральное поле на панели инструментов сайта.

Мы добавили все тестовые площадки в Wordfence Central и получили представление о них с высоты птичьего полета. Это не лучший макет для более чем 20 сайтов. Задумка хорошая, реализации нет.

Затем мы проверили раздел «Инструменты». Есть панель для живого трафика, которая на первый взгляд казалась версией Google Analytics, но оказалась чем-то большим. Вы можете настроить журналы трафика так, чтобы они включали весь трафик или только трафик, связанный с безопасностью. Журналы великолепны, потому что есть четкая легенда, указывающая, какой трафик получает сайт: человек, бот, предупреждение, блокировка.

Существует также поиск Whois, если вы хотите увидеть, кто атакует ваш сайт. Это в лучшем случае излишество, потому что эта функция также легко доступна в Интернете.

Диагностика — интересная функция. Он содержит целую кучу информации о веб-сайте, от владельцев процессов до таблиц базы данных и многого другого. Это похоже на спецификацию веб-сайта в одном месте вместе со статусом каждой из этих вещей. Трудно представить, как обычный пользователь (не разработчик) воспользуется этой информацией, но определенно пригодится разработчику.

Чего не хватает в iThemes Security и Wordfence

В iThemes отсутствуют сканер, очиститель и брандмауэр. Also, it would be nice if it had functional brute force protection and activity log, and detected a vulnerability on occasion. One can hope.

Wordfence doesn't have bot protection nor an activity log. Other than that, it is a comprehensive and well-rounded security plugin.

Wordfence vs iThemes Security: Pricing

It is not worth buying iThemes Security, because its only worthwhile feature is two-factor authentication, which is available for free. Wordfence premium is available for $99 for the year, but the free version is strong enough on its own.

Wordfence's free plugin is really great, considering it is free. The premium licenses are at a max of $99 per site, and get progressively lower with the more licenses you purchase.

The real kicker is the site cleaning service which is a hefty $490 per site, and although they say unlimited pages in the features, additional charges may apply for sites above 10 GB—which, fair enough. They do have a malware removal guarantee for 1 year, but there are caveats in the small print. So read those carefully.

After reading this article, you know that iThemes isn't worth your money. Use it for two-factor authentication or get a dedicated plugin for that feature.

Better alternative to iThemes Security and Wordfence: MalCare

The best thing you can do for your website is to invest in a good security plugin. The plugin should scan, clean and protect your website from all manner of threats. During our testing series, only one plugin stood out: MalCare. It outshines iThemes in every way, and has a much better scanning, auto-cleaning, firewall, and notifications compared to Wordfence. It is a no-brainer.

MalCare's $99 Basic plan includes unlimited cleanups, which is equivalent to Wordfence's $99 plan and $490 per cleanup needed thereafter.

Вывод

We hope this article helped you decide on a way forward for your website security. If you have any questions or thoughts, do drop us a line. We would love to hear from you!