Jetpack против iThemes: что лучше защищает ваш сайт WordPress?

Jetpack создан Automattic, разработчиком WordPress OG, поэтому он является популярным выбором и часто упоминается в рекомендациях. Он также имеет множество других функций для администрирования веб-сайтов, встроенных в премиальные планы, поэтому наличие всего на одной панели инструментов является привлекательным предложением.

iThemes рассказывает об отличной игре на своем веб-сайте и выглядит как самый доступный плагин безопасности WordPress для нескольких веб-сайтов. При цене 199 долларов в год за неограниченное количество веб-сайтов, чем больше у вас есть, тем большую отдачу вы получите за свои деньги.

Тем не менее, безопасность WordPress — это гораздо больше, чем фанфары. Обо всем этом мы поговорим в статье.

iThemes даже не стоит рассматривать как плагин безопасности. У него нет сканера или брандмауэра. И iThemes, и Jetpack не имеют средств для удаления вредоносных программ, поэтому, даже если Jetpack помечает вредоносное ПО, которое он пропускает в 60% случаев, вам нужно найти другой способ избавиться от него. Если вы действительно хотите защитить свой сайт WordPress, выберите MalCare.

Резюме сравнения Jetpack и iThemes

Между двумя плагинами нет реального сравнения: это как сравнивать телефон с двумя банками, соединенными ниткой.

Коротко о безопасности iThemes

Мы пришли к выводу, что iThemes — пустая трата времени и денег. Если у вас уже установлены iThemes, вам следует немедленно просканировать свой веб-сайт. Ваш сайт буквально не имеет безопасности.

iThemes полон простых функций, которые могут создать у неопытного пользователя иллюзию защищенного веб-сайта. Хотя он не претендует на очистку от вредоносных программ, он утверждает, что сканирует. В этом и заключается загвоздка: на веб-сайте iThemes прямо не указано, что он сканирует на наличие вредоносных программ или обнаруживает уязвимости. Это подразумевается использованием слова «сканировать» в непосредственной близости от слов «уязвимости» и «вредоносное ПО». Фактически, весь веб-сайт iThemes обманчиво сформулирован, чтобы показать, что ваш веб-сайт получает большую безопасность.

Спойлер: это не так. У нас было искушение прекратить тестирование прямо здесь, но в интересах справедливости мы его провели.

Вы можете использовать iThemes для включения двухфакторной аутентификации на странице входа и некоторых других функций защиты WordPress, таких как блокировка выполнения PHP в папках. Защита входа от грубой силы работает неравномерно, срабатывает только иногда.

Мы понимаем, почему на первый взгляд безопасность неограниченного количества сайтов всего за 199 долларов выглядит отличной сделкой. В действительности, однако, вы будете платить за двухфакторную аутентификацию — с множеством излишеств и ухищрений — и реализацию reCAPTCHA на своей странице входа.

Эти функции имеют ценность с точки зрения безопасности, но не добавляют реальной безопасности вашему веб-сайту. Другие, более надежные плагины безопасности будут иметь это как обычное дело. В качестве альтернативы вы можете выбрать специальный плагин.

В целом, тестирование iThemes было ужасным опытом, потому что мы можем только представить, сколько людей ошибочно полагают, что их сайты WordPress защищены. Если вы используете iThemes на своем веб-сайте WordPress, вам следует просканировать его прямо сейчас.

Коротко о безопасности Jetpack

В плане сканирования Jetpack есть сканер среднего уровня, который найдет в файлах некоторые вредоносные программы. Он также проделал разумную работу по обнаружению уязвимостей плагинов и тем. Однако мы не рекомендуем использовать план Security Daily, потому что Jetpack не является хорошим плагином безопасности. Он улавливает лишь небольшую часть вредоносных программ, и даже пропущенный 1% создаст хаос. Мы рекомендуем проводить глубокое сканирование для эффективного поиска вредоносных программ.

Бесплатный план Jetpack имеет защиту от грубой силы от атак при входе в систему, а обновление до плана сканирования даст вам достойный сканер. Нам также нравится, что Jetpack не обещает того, чего не делает, особенно если сравнивать это с iThemes.

Jetpack имеет хороший журнал действий, который отлично подходит для отладки проблем и является важным инструментом безопасности WordPress. Вы можете управлять всеми функциями своего веб-сайта с внешней панели управления WordPress.com, так что это тоже здорово. Jetpack также отправляет вам электронные письма, когда обнаруживает проблемы, требующие вашего внимания.

С другой стороны, защита от грубой силы не работает. Это достаточно плохо, но что еще хуже, так это пропущенные вредоносные программы и уязвимости. Мы сравнили результаты сканирования Jetpack с MalCare и обнаружили, что Jetpack не смог обнаружить около 30% файлов, зараженных вредоносным ПО. Из 3 уязвимых плагинов он пометил только 2.

Конечно, ни один плагин безопасности не идеален, и ландшафт угроз постоянно развивается. Однако, если бы нам пришлось выбирать подключаемый модуль безопасности, мы всегда выбирали бы тот, который обладает большей производительностью. Даже если один взлом проникнет на ваш сайт, будет бойня.

Что вы должны искать в решении безопасности

Отличный плагин безопасности сэкономит вам кучу денег в реальном выражении. Инвестирование в плагин безопасности может уберечь вас от потери дохода, заблокированной рекламы и плохого рейтинга SEO. Но поскольку все плагины безопасности не одинаковы, как выбрать лучший для своего сайта?

Когда мы тестировали плагины безопасности, мы искали эффективность и простоту их работы по следующим пунктам:

• Основные функции безопасности
  • Сканирование вредоносных программ
  • Очистка от вредоносных программ
  • Брандмауэр
  • Обнаружение уязвимостей
  • Защита входа от грубой силы
  • Журнал активности
• Полезные функции безопасности
  • Двухфакторная аутентификация
• Потенциальные проблемы
  • Влияние на ресурсы сервера

Наши непреложные критерии для хорошего плагина безопасности заключаются в том, что он должен защищать ваш сайт от хакеров и ботов, иметь возможность сканировать ваш сайт на наличие вредоносных программ и помогать вам очищать ваш сайт, чтобы он снова стал первоначальным. MalCare делает все эти вещи — и многое другое — без проблем, поэтому, естественно, у нас высокие стандарты.

Jetpack и iThemes: прямое сравнение функций

Когда мы начали тестировать другие подключаемые модули безопасности, мы очень быстро поняли, что существует множество функций, которые практически не влияют на безопасность веб-сайтов. Мы предполагаем, что в некоторых случаях они были плацебо, включенными для улучшения внешнего вида приборной панели и экрана настроек. Поэтому мы немного изменили наш процесс тестирования, сосредоточившись больше на реальных функциях безопасности, затем на так называемых функциях безопасности и, наконец, на других вещах, которые делают хороший плагин (пользовательский интерфейс, панель управления, цены и т. д.).

Сканирование вредоносных программ

Jetpack пропустил большую часть вредоносных программ. К нашему шоку, iThemes абсолютно ничего не обнаруживает.

Мы протестировали планы Jetpack Scan and Security Daily, потому что в их бесплатной версии вообще нет сканера.

Мы забросали Jetpack множеством вредоносных программ, и он пометил некоторые файлы, содержащие вредоносные программы. Некоторые из файлов с плохим кодом вообще не были помечены, поэтому сканер определенно не на 100%. Аварийные сигналы были по сути бессмысленными, поскольку отображались как «шаблон вредоносного кода».

Если бы мы сначала протестировали Jetpack, нас бы это не слишком впечатлило. Но, как назло, сначала мы попробовали iThemes. И мальчик, это снизило планку. К нашему полному недоверию, мы поняли, что сканер iThemes проверяет только наличие веб-сайта в черном списке Google.

Это буквально предел его возможностей сканирования. Оба наших плохих тестовых сайта получили чистую метку здоровья от iThemes, потому что они не находятся в черном списке Google.

Очистка от вредоносных программ

И Jetpack, и iThemes не претендуют на очистку от вредоносных программ, поэтому они, очевидно, не могут и не делают этого.

Детали плана Jetpack дали нам слабую надежду на то, что некоторые вредоносные программы могут быть исправлены автоматически, но ни один из наших взломанных файлов исправить не удалось. Плагин предлагает нам связаться с поставщиком услуг, чтобы удалить вредоносное ПО, или попробовать удалить его вручную, а затем снова запустить сканирование. Чтобы быть полезным, плохой код помечается в результатах сканирования, поэтому, предположительно, мы можем удалить его из файла.

Учитывая, что iThemes не может сканировать на наличие вредоносных программ, отсюда следует, что они не могут удалять вредоносные программы. Однако в свою защиту они не утверждают, что могут.

Очистка от вредоносных программ — самая сложная и кропотливая часть борьбы со взломом, и поэтому службы удаления взломов берут за это непомерно большие суммы. MalCare имеет функцию автоматической очистки, встроенную прямо в плагин (и подписку), что полностью устраняет необходимость в услугах по удалению взлома.

Брандмауэр

Здесь нет брандмауэров.

Одной из важнейших частей безопасности WordPress является брандмауэр. Брандмауэры блокируют вредоносный трафик и, следовательно, защищают ваш сайт от хакеров. Хакеры ищут уязвимости, чтобы использовать их на веб-сайтах, и брандмауэры играют важную роль в этом.

Ни Jetpack, ни iThemes не имеют брандмауэра. Знаете, какой плагин имеет интеллектуальный брандмауэр, специально разработанный для защиты веб-сайтов WordPress? MalCare.

Обнаружение уязвимостей

Jetpack обнаружил большинство уязвимостей на наших тестовых площадках. И снова iThemes потерпел неудачу, ничего не обнаружив.

Jetpack смог найти уязвимые плагины и предложить для них опцию автоматического исправления, которая, по сути, заключается в их обновлении. Поскольку в план Jetpack Security Daily встроено резервное копирование, мы смогли протестировать его, и он работал без проблем. Наше единственное предостережение заключалось в том, что сканер обнаружил только 2 из 3 уязвимых плагинов.

iThemes не может проверять версии плагинов и тем по внешнему виду. У него есть чрезвычайно избыточный счетчик на панели инструментов, который показывает сводку выполненных обновлений.

Защита входа от грубой силы

Jetpack элегантно блокирует повторяющиеся неудачные попытки входа в систему. Защита входа в iThemes ненадежна.

iThemes помечает каждый ошибочный вход в систему как попытку грубой силы, что излишне настораживает. Когда мы попытались взломать страницу входа для двух наших тестовых веб-сайтов, iThemes заблокировала попытку только на одном сайте.

Разница между сайтами в том, что на одном было вредоносное ПО, а на другом его не было. Мы попробовали и на третьем сайте, и защита от перебора вообще не сработала. В целом результаты были неоднозначными. Мы посчитали, что эта функция работает спорадически, что делает ее бесполезной.

Jetpack предлагает защиту от грубой силы на своем бесплатном плане. Количество попыток входа не ограничено, но вы увидите ненавязчивый цифровой вызов, добавленный на страницу входа после 10 неудачных попыток. Он регистрирует все неудачные попытки после первых 3 как злонамеренные попытки входа в систему, что справедливо.

Мы также ожидали, что наш IP-адрес будет заблокирован после попытки более 50 неправильных входов в систему менее чем за минуту. Ожидания в значительной степени подпитывались возможностью внесения IP-адресов администратора в белый список для предотвращения блокировки. Блокировки — это проклятие плохо написанных плагинов безопасности, поэтому, вероятно, эта опция вообще существует. Во всяком случае, мы пытались принудительно заблокировать IP, но не смогли.

Журнал активности

Журнал активности Jetpack великолепен, хотя данные доступны только за 30 дней. Журналы iThemes неполны и поэтому бесполезны.

Журнал активности — важный инструмент для защиты веб-сайтов, поскольку хакеры используют недостаточное ведение журналов для атаки на сайты. iThemes регистрирует действия пользователей, управление версиями, сканирование сайтов и атаки методом грубой силы. Мы не видели никаких других типов активности, зарегистрированных во время нашего окна тестирования. Взятый отдельно как журнал активности, мы оценили бы его производительность как удовлетворительную. Было бы лучше увидеть изменения, которые плагины внесли в настройки. Например, мы одновременно установили Jetpack, и он изменил множество настроек. Ничего из этого не появилось в журнале активности.

Однако, когда мы рассматриваем журнал активности iThemes вместе с несуществующим сканером и неоднородной защитой от перебора, наш рейтинг резко падает. Журналы — это место, где администратор может проверить состояние безопасности своего веб-сайта. Это должен быть снимок, и он просто не рисует правильную картину.

Jetpack, с другой стороны, имеет превосходный журнал активности. Вы почувствуете это на бесплатном плане, но вы увидите, что это действительно работает на платных планах. Он отслеживает все действия пользователя, угрозы (конечно, на премиум-плане) и даже изменения в настройках. Экран активности также действует как мини-панель, показывающая вещи, требующие внимания, такие как устаревшие плагины и темы или вредоносное ПО.

Наше единственное предостережение в отношении журнала активности Jetpack заключается в том, что даже в премиум-версии есть данные только за 30 дней. Этого недостаточно.

Двухфакторная аутентификация

iThemes имеет надежную функцию двухфакторной аутентификации. Jetpack вообще не имеет этой функции.

Забавная история: двухфакторная аутентификация — это первая функция, которую мы протестировали в iThemes, и она нас очень впечатлила. Есть много возможных настроек, и он работает без проблем из коробки. Пользователи могут иметь токен по своему выбору, и это прекрасно работает.

Однако — да, есть «однако» — в плане Pro было множество так называемых функций, которые фактически удаляли другие токены входа; а именно вход без пароля, доверенные устройства и волшебные ссылки. Все эти варианты предоставляют альтернативные методы входа в учетную запись и честно сводят на нет всю суть двухфакторной аутентификации: которая представляет собой дополнительный токен для входа в режиме реального времени. Так что мы были озадачены этим. Решение состоит в том, чтобы не использовать эти функции.

Jetpack не имеет двухфакторной аутентификации.

Использование ресурсов сервера

Сканирование Jetpack загружает ресурсы сервера. iThemes не сделал этого, потому что он ничего не делает. Так что нет вопроса использования сервера.

Теперь это интересно. Многие люди не учитывают, насколько сильно их плагины безопасности нагружают серверы их веб-сайтов. Если только они не получат электронное письмо от своего хостинг-провайдера, возможно. Для небольших сайтов это может не иметь большого значения. Но для больших сайтов? Вы обязательно должны учитывать последствия.

iThemes можно смело игнорировать, потому что ни сканирование, ни защита, ни очистка не означают загрузки. Это на самом деле выигрывает в этом вопросе, потому что даже сломанные часы показывают правильное время дважды в день.

Jetpack увеличил ресурсы нашего сервера во время сканирования. Наш сайт едва справляется с базой данных размером 60 МБ, поэтому для начала это действительно легкий сайт. Если бы наш веб-сайт был тяжелее или был бы сайтом электронной коммерции, влияние было бы гораздо более заметным, и поэтому это повод для беспокойства.

Оповещения

Jetpack отправляет оповещения по электронной почте об обнаруженных вредоносных программах и уязвимостях. iThemes вообще не отправляет оповещений.

Если что-то пойдет не так с вашим сайтом, вы хотите немедленно узнать об этом, чтобы решить эту проблему. Jetpack предупреждает вас о наличии вредоносных программ и потенциальных уязвимостей сразу после завершения сканирования. Есть также уведомления на панели инструментов о вредоносных программах. Это здорово, потому что эти оповещения имеют решающее значение. Вы хотите знать немедленно, когда дела плохи.

Однако мы также протестировали функцию мониторинга простоев, потому что она была частью плана, и нам было любопытно, как Jetpack справляется с простоями. Оказывается, Jetpack не предупредил нас, когда наши сайты вышли из строя. Мы пытались вывести сайт из строя различными способами: переименовав файл index.php, чтобы получить ошибку Forbidden; переименовать файл wp-load.php, чтобы веб-сайт был недоступен, и многое другое. Ни одна из этих вещей не вызвала вспышку на Jetpack.

Мониторинг времени простоя не является строго функцией безопасности, но время простоя является одним из симптомов вредоносного ПО. Кроме того, мы хотели бы знать, в какую секунду наш сайт вышел из строя. Это действительно так критично. Итак, мы не согласны с тем, как оценивать оповещения для Jetpack: с точки зрения безопасности они работают; но они все еще не выполняют обещания, которые они дают. Это заставляет нас опасаться доверять плагину вообще.

К этому моменту статьи вы знаете, что iThemes не принесли ничего полезного. Мы получили отчеты об изменении файлов, уведомления о том, когда мы сделали резервную копию базы данных, присоединились к сети грубой силы и другие подтверждения. Кроме того, мы получали ежедневный дайджест безопасности с абсолютно бесполезной информацией и еженедельное электронное письмо со списком обнаруженных уязвимостей WordPress.

Возможно, мы должны проверить темы и плагины нашего веб-сайта по этому удобному списку и принять необходимые меры. Однако мы устали делать это для одного сайта; забыть о двух других. Никто не может управлять большим количеством веб-сайтов.

Установка, настройка и удобство использования

Опять же, Jetpack превосходит iThemes здесь. Мы предполагаем, что в попытке выглядеть компетентным в вопросах безопасности iThemes заполнил весь плагин шумом. Просто нет другого способа описать это.

Установка iThemes кажется простой. Для начала не нужно было создавать учетную запись, что помогло нам сразу приступить к работе. Вы можете настроить параметры при установке или пропустить их позже. Но если вы пропустите конфигурацию, ваша панель безопасности не будет создана. Вот где легкая часть резко остановилась.

Параметры конфигурации сбивают с толку нового пользователя. Это создает впечатление детального контроля, но не оказывает реального влияния на безопасность. Мы просмотрели все настройки, чтобы понять, что нам нужно сделать, чтобы иметь безопасный веб-сайт, но в конечном итоге это была пустая трата времени с iThemes.

Установка Jetpack была немного болезненной. Вы не можете использовать какие-либо функции безопасности, если не создадите или не подключите учетную запись WordPress.com, которая служит внешней панелью управления.

Кроме того, вам постоянно предлагают выбрать план, и вас несколько раз забирают для этого из wp-admin. Наконец, чтобы получить хотя бы первое впечатление о плагине, мы выбрали план сканирования. Конфигурация была намного, намного проще, потому что вам не предоставляется лавина настроек и ненужных опций. Действительно ли нам нужно настраивать электронную почту методом перебора, которая отправляется администратору iThemes? Нет, мы действительно не делаем!

Панель инструментов iThemes бесполезна, потому что там нет реальной информации, связанной с безопасностью. Журналы грубой силы бессмысленны, если попытки не регистрируются правильно. Нам не нужен список сканирований о том, находится ли наш сайт в черном списке Google. Панель инструментов Jetpack wp-admin была лучше, но ненамного. Как бесплатный пользователь, вы в основном увидите, что ваш план может, но не делает. Будет счетчик предотвращенных злонамеренных атак, но нет подробных данных об этих атаках. Просто число — показатель тщеславия для Jetpack и, возможно, успокаивающий показатель для пугливого администратора.

iThemes: Дополнения

Мы видели много жалоб на то, что iThemes блокирует доступ администраторов к своим веб-сайтам. Вероятно, именно поэтому у них есть сложная функция белого списка IP-адресов, которая даже определяет ваш текущий IP-адрес. Мы пробовали это пару раз, и, поскольку IP-адреса устройств могут меняться, в белом списке было несколько IP-адресов. Интересно, что это должно убедить людей в том, что они не будут заблокированы на своем веб-сайте. Однако, исходя из наших знаний, вы все равно не можете заблокировать свой сайт с помощью iThemes, и это не имеет никакого отношения к белому списку.

Далее, в iThemes есть монитор изменения файлов. Мониторинг изменений в файлах имеет ограниченное значение для безопасности, поскольку файлы также можно редактировать для отображения неточной метки времени. Мы также были озадачены, увидев, что существует список исключений расширений файлов, который включает типы файлов, которые, как известно, содержат вредоносное ПО, например файлы .ico.

iThemes имеет чрезвычайно детализированную систему управления пользователями. Вы можете настроить параметры вплоть до роли пользователя. Однако во всем этом шуме скрыты некоторые довольно хорошие политики управления паролями: применять надежные пароли и отказываться от скомпрометированных паролей . У вас также могут быть пароли приложений, отличные от пароля вашей учетной записи, поэтому вы можете использовать XML-RPC.

Наконец, у iThemes есть некоторые функции защиты, которые мы опровергли в других статьях как противоречащие здравому смыслу. Например, не меняйте URL-адрес для входа. Сами iThemes говорят, что это плохая идея. Вы можете отключить редактор файлов, но его ценность ограничена, поскольку хакер с правами администратора может вместо этого установить плагин.

Единственная функция, которая, по нашему мнению, имеет смысл, — блокировать выполнение PHP в папке загрузки . Тем не менее, iThemes также предлагает вам сделать это для папок плагинов и тем, и это настоящее безумие. Некоторые плагины имеют сценарии, к которым нужно обращаться напрямую, и в этом случае они обязательно сломаются. Обычный пользователь не может определить, так ли это.

Реактивный ранец: Дополнительно

Jetpack связывает резервные копии с их безопасностью . Очевидно, что мы большие сторонники резервного копирования, поэтому мы полностью поддерживаем эту функцию. Мы не проверяли это, потому что технически это не функция безопасности, а действительно полезная вещь во всех случаях.

Удивительно, но Jetpack также имеет функцию предотвращения блокировки. Согласно их веб-сайту, ваш IP-адрес может быть заблокирован в рамках защиты от грубой силы, но мы не столкнулись с блокировкой, когда пытались взломать экран входа в систему. Вы можете добавить свой IP-адрес в этот белый список, но с изменением IP-адресов для устройств это бесполезно.

Когда вы создаете учетную запись Jetpack, вы фактически создаете учетную запись WordPress.com. Это также служит вашей внешней информационной панелью , и подавляющее большинство информации отображается здесь. Jetpack в вашем wp-admin — это скорее снимок.

Чего не хватает iThemes и Jetpack

И Jetpack, и iThemes не имеют брандмауэра, поэтому не могут защитить веб-сайты от определенных типов атак. Это вопиющая проблема, потому что, если у вас есть уязвимости на вашем сайте, сильный брандмауэр может значительно уменьшить количество эксплойтов.

Нам бы также хотелось увидеть в Jetpack еще несколько функций защиты, и, честно говоря, функции безопасности могли бы быть более надежными.

Jetpack против iThemes: цены + последние мысли

iThemes — пустая трата денег. План сканирования Jetpack составляет 80 долларов США за сайт в год для среднего сканера; план Security Daily не стоит своей цены.

Если вы читали какую-либо часть этой статьи, вы знаете, что iThemes не стоит ни копейки. Его единственное спасение — двухфакторная аутентификация, которую вы можете получить с бесплатным планом. План Pro балансирует на грани мошенничества.

Сканер Jetpack не идеален. Он не обнаружил ни все вредоносные программы, ни все уязвимости. Тем не менее, это было полезно с точки зрения точного определения файлов с вредоносным ПО. Об очистке от вредоносных программ речи не идет, поэтому, на наш взгляд, план Security Daily не стоит рассматривать с точки зрения безопасности.

Бесплатный план не является стартовым. Защита от грубой силы — важная функция, но хотелось бы видеть сканирование хотя бы здесь. Мы не можем проверить наличие вредоносных программ в бесплатном плане.

Лучшая альтернатива iThemes и Jetpack: MalCare

Лучшая безопасность, которую вы можете получить для своего веб-сайта WordPress, — это инвестировать в хороший плагин, который обеспечивает сканирование, очистку и защиту. MalCare — гораздо лучшая альтернатива iThemes и Jetpack по каждому из наших критериев тестирования.

На самом деле план MalCare Plus за 150 долларов сопоставим с планом Jetpack Security Daily за 300 долларов, с лучшими функциями и за полцены. Просто конкурса нет.

Заключение

Если вам нужно сэкономить, безопасность вашего веб-сайта не место для этого. Плата за плагин безопасности премиум-класса для защиты вашего веб-сайта является хорошей инвестицией, поскольку устранение последствий вредоносного ПО обходится гораздо дороже.

Есть какие-нибудь мысли, чтобы поделиться? Напишите нам. Мы были бы рады получить известия от вас!