Jetpack против Wordfence: что лучше?
Опубликовано: 2022-04-22Jetpack — это многоцелевой административный плагин, объединяющий резервные копии, безопасность, рост и скорость в одном удобном плагине. Кроме того, у него есть отличительная черта стабильной версии Automattic, поэтому он, очевидно, имеет вес в домене WordPress.
Другой наш соперник — Wordfence, пожалуй, самый популярный на сегодняшний день плагин безопасности WordPress. Они известны своим подходом к безопасности, который не берет в плен, и потрясающими ресурсами безопасности, которые они постоянно развивают.
Мы проверили 5 плагинов безопасности WordPress в серии тестов, которая длилась 1,5 месяца. Мы хотели выяснить, как каждый плагин справляется с вредоносными программами, атаками, уязвимостями и многим другим.
ВЕРДИКТ Возможно, лучше делать что-то одно хорошо, чем делать много вещей, но быть средним. Между Jetpack и Wordfence , потому что, несмотря на свою родословную WordPress, Jetpack проиграл в этой решающей битве. Wordfence — отличный бесплатный плагин безопасности, с некоторыми недостатками, но все же лучший вариант для Jetpack.
Наш выбор
Основная идея этой серии тестов заключалась в том, чтобы найти лучший плагин безопасности WordPress для вашего сайта. С этой целью мы взяли 5 лучших плагинов, 3 тестовых сайта и выделили 45 дней, чтобы выяснить все плюсы и минусы каждого плагина.
Наши 3 тестовых сайта были настроены следующим образом: простой блог с примерно 500 постами, изображениями и комментариями в качестве контроля; сайт с уязвимыми плагинами и темами; и, наконец, сайт, полный различных типов вредоносных программ. Мы подвергли плагины атакам SQL-инъекций, RCE-атакам и атакам грубой силы, а также противопоставили их вредоносному ПО с перенаправлением, взлому фармацевтики, вредоносному ПО с ключевыми словами на японском языке и многим другим.
Каждый плагин может похвастаться своим набором функций, но для безопасности WordPress наиболее важными из них являются сканер, очиститель и брандмауэр. Есть и другие приятные моменты, но они имеют решающее значение.
По прошествии 45 дней выявился один явный победитель: MalCare. Со сложным сканером, автоматической очисткой от вредоносных программ и продвинутым брандмауэром победить было невозможно. Ищете лучший плагин безопасности для вашего сайта WordPress? Выберите MalCare.
Резюме сравнения Jetpack и Wordfence
Если вам интересно, Jetpack или Wordfence — что выбрать? Выберите Вордфенс. Это на порядки лучше в качестве плагина безопасности.
Нам нравится комплексный подход Jetpack к администрированию WordPress, но он действительно проигрывает в плане безопасности, особенно по сравнению с Wordfence. Это не означает, что у Wordfence нет собственных проблем; просто это контекстуально лучше, чем Jetpack.
В конечном счете, ни Jetpack, ни Wordfence не являются лучшим вариантом для обеспечения безопасности вашего сайта. Мы рассмотрим более подробно позже в этой статье, но если вы хотите перейти к делу, загрузите лучший в своем классе плагин безопасности: MalCare.
Коротко о джетпаке
Сканер вредоносных программ Jetpack в лучшем случае посредственный. Он сможет обнаружить некоторые вредоносные программы на вашем сайте. Однако нет ни опции очистки, ни брандмауэра. Хотя есть некоторые достойные функции безопасности, они меньше влияют на безопасность веб-сайта. В целом, Jetpack — не лучший вариант.
С любым подключаемым модулем безопасности мы заранее ищем 3 важных фактора: сканер вредоносных программ, средство очистки от вредоносных программ и брандмауэр. Jetpack уже завалил 2 из 3 из этого списка, поэтому мы начали с проверки сканера вредоносных программ.
Jetpack был вторым плагином, который мы тестировали, после iThemes, и, честно говоря, мы были рады видеть, что что-то работает так, как предполагалось. Очевидно, что это не лучший подход, если пытаться быть объективным, поэтому мы забросали Jetpack множеством вредоносных программ, чтобы посмотреть, как он отреагирует. К сожалению, сканер вредоносных программ обнаружил около 30% зараженных файлов и папок на нашем взломанном веб-сайте WordPress.
Когда мы опробовали другие функции, такие как защита от грубой силы, она работала непоследовательно. Иногда атаки останавливали, а иногда нам не удавалось добиться какого-либо ответа. Плагин также обнаружил не все уязвимости на сайте. Более малоизвестные из них остались незамеченными, хотя и содержали серьезные недостатки в безопасности. На нашем тестовом сайте было всего несколько уязвимых тем и плагинов, поэтому результат 2 из 3 был неплохим. Однако с более крупным сайтом и большим количеством программного обеспечения это соотношение наверняка будет намного хуже.
Хотя все было не так уж и плохо. Журнал активности Jetpack действительно отличный и удобный. Нет непонятного технического жаргона, который люди не могут легко понять. Нам также понравилась встроенная функция резервного копирования, потому что резервные копии могут быть последним спасением от зараженного сайта. Однако мы не смогли протестировать резервные копии, потому что это не входило в задачи данного эксперимента.
В целом, Jetpack — плагин безопасности ниже среднего. Мы ожидали гораздо большего, учитывая огромный ценник, но это все еще не самое дно для нас. Эта сомнительная честь принадлежит iThemes.
В двух словах
После MalCare Wordfence — лучший бесплатный плагин безопасности, который мы тестировали. Если у вас нулевой бюджет на безопасность веб-сайта, Wordfence обеспечит вам наилучшую защиту веб-сайта. Сканер обнаруживает большинство файловых вредоносных программ, и автоматическое восстановление избавит от большинства из них. Брандмауэр является одним из самых обновленных доступных, но если вы выберете бесплатную версию, вы должны знать, что он не получает обновления в реальном времени. В Wordfence также есть служба удаления вредоносных программ, но она дорогая.
Мы оставили Wordfence последним в нашей серии тестов, потому что мы были очень взволнованы, чтобы опробовать признанный тяжеловес плагинов безопасности WordPress. За исключением MalCare, другие плагины в лучшем случае разочаровывали, а в худшем — ужасали.
Сканер Wordfence обнаружил все файловые вредоносные программы в основных файлах WordPress, корне сайта, а также в файлах и папках плагинов и тем. На первый взгляд это может выглядеть как отличный сканер, и во многих отношениях он определенно выше среднего. Однако Wordfence не смог обнаружить вредоносное ПО, которое было скрыто в премиальных плагинах и темах, а в некоторых случаях и в базе данных.
Основным недостатком сканера, помимо того факта, что он не может проверить каждый уголок вашего веб-сайта, является то, что наши веб-сайты пострадали от производительности. Wordfence использует ресурсы сервера, чтобы делать что-либо на веб-сайте. Это не хорошо.
На данный момент Wordfence по-прежнему лучше всех других протестированных нами плагинов безопасности. Наше мнение поднялось на несколько ступеней, когда мы попробовали функцию автоматического восстановления, которая удалила все обнаруженные вредоносные программы. Конечно, он не смог удалить вредоносное ПО, которое не обнаружил, но автоматическое удаление вредоносного ПО происходит намного быстрее, чем ожидание, пока эксперт по безопасности очистит веб-сайт. Опять же, это намного лучше, чем другие протестированные нами плагины, за исключением MalCare.
Наконец, мы опробовали брандмауэр, который эффективно блокировал несколько эксплойтов, таких как SQL-инъекция, XSS-атаки и удаленное внедрение кода.
Wordfence — отличный бесплатный плагин безопасности, но он склонен к ложным срабатываниям и отправке предупреждений о каждой мелочи, которую блокирует брандмауэр. Через несколько дней мы не смогли найти сигнал из-за шума. Откровенно говоря, слишком много предупреждений так же плохо, как и отсутствие предупреждений, потому что они приводят к одному и тому же результату: бездействию.
После того, как мы проверили 3 основные функции безопасности, мы опробовали двухфакторную аутентификацию и защиту от грубой силы. Оба работают очень хорошо. Wordfence также обнаружил все уязвимости на наших веб-сайтах, даже одну в малоизвестном плагине, который не удалось обнаружить большинству других плагинов.
Что нам очень понравилось в Wordfence, так это отличный пользовательский интерфейс. Никакого лишнего, ужасающего жаргона и сложных терминов безопасности на дашборде. Простой язык, с четкими рекомендациями для начинающих админов.
Мы были удивлены, что в Wordfence нет журнала действий, за исключением необработанного журнала, который, очевидно, предназначен для разработчиков Wordfence. Он также не защищает сайты от плохих ботов, что странно.
Таким образом, Wordfence настоятельно рекомендуется для веб-сайтов, у которых нет бюджета на безопасность. Это лучший бесплатный вариант, но даже в этом случае он не обеспечивает полной безопасности. Для этого душевного спокойствия вам следует выбрать MalCare.
Как выбрать лучший плагин безопасности
Со всеми ошибочными советами экспертов, доступными в Интернете, безопасность WordPress может быть черным ящиком даже в лучшие времена. Многие администраторы хотят быть уверены, что их сайты защищены, но не понимают деталей и поэтому не знают, как выбрать наилучший вариант для своих сайтов.
В рамках этой серии тестов мы хотели убедиться, что все наши данные представлены непредвзято и доступно. Это означало, что нам нужно было объяснить, как и почему мы пришли к таким выводам.
Плагины безопасности могут иметь массу функций, и иногда эти функции служат для того, чтобы скрыть неэффективность, которая скрывается за всей этой шумихой. Если огромный список функций не является хорошей метрикой для выбора плагина, то что же? Итак, эти факторы:
- Основные функции безопасности
- Сканирование вредоносных программ
- Очистка от вредоносных программ
- Межсетевой экран
- Полезные функции безопасности
- Обнаружение уязвимостей
- Защита входа от грубой силы
- Журнал активности
- Двухфакторная аутентификация
- Потенциальные проблемы
- Влияние на ресурсы сервера
Как видите, это очень короткий список. Но это факторы, которые не позволят хакерам использовать ваш веб-сайт, а вредоносному ПО — нарушить ваш веб-сайт и душевное спокойствие. Из всех протестированных нами плагинов ни один не подошел нам.
На самом деле, единственный плагин, который входит в этот список, — это MalCare. С MalCare ваш веб-сайт обеспечен отличным сканером вредоносных программ, очистителем, который автоматически удаляет вредоносные программы, не нарушая работу вашего сайта, и брандмауэром, который не позволяет хакерам использовать уязвимости. Вы абсолютно не ошибетесь с MalCare.
Worfence vs Jetpack Security: прямое сравнение функций
Чтобы представить результаты нашего процесса тестирования честно и лаконично, мы организовали данные по функциям. У каждого плагина есть свои плюсы и минусы, и в зависимости от того, что вы ищете, этот раздел поможет вам оценить как Wordfence, так и Jetpack по достоинству этой конкретной функции.
Мы организовали список от самого важного к наименее важному и обобщили наш опыт настройки, установки и других аспектов плагинов.
Однако, если вы предпочитаете пропустить заключение, мы рекомендуем установить MalCare на свой веб-сайт WordPress и положить этому конец.
Сканирование вредоносных программ
Сканер Wordfence обнаружил все файловые вредоносные программы в основных файлах и папках WordPress, а также в бесплатных плагинах и темах. Но он не смог обнаружить вредоносное ПО в базе данных нашего веб-сайта и в некоторых премиальных плагинах и темах. Jetpack обнаружил примерно 30% вредоносных программ на нашем сайте.
Как только вы активируете Wordfence, сразу же происходят две вещи: начинается первое сканирование сайта, и брандмауэр переходит в режим обучения. Мы рассмотрим брандмауэр более подробно позже. Мы увидели, что сканер работает, и вскоре он достиг 60%. А потом он остался там на некоторое время. Хорошо, мы посчитали, что ему нужно больше времени для запуска, поэтому оставили его в покое на несколько часов и, вернувшись, обнаружили, что он по-прежнему составляет 60%.
Как оказалось, 60% — это не индикатор выполнения сканера, а показатель эффективности бесплатного сканера. Чтобы получить 100%, вам нужно перейти на профессиональную версию. Это был первый и последний случай когнитивного диссонанса с Wordfence, так что мы его оставили.
Мы настроили Wordfence на повторное сканирование веб-сайта и были приятно удивлены, увидев, что оно закончилось очень быстро. 37 секунд, если быть точным, для нашего крошечного веб-сайта, зараженного вредоносным ПО. Сканер обнаружил все вредоносное ПО в основных файлах WordPress и в бесплатных плагинах и темах, но ничего из премиальных и из базы данных. Таким образом, несмотря на то, что Wordfence является потрясающей альтернативой почти всем нашим плагинам (кроме MalCare, конечно), сканер строго выше среднего.
Наш вывод заключается в том, что база данных вредоносных программ Wordfence обширна и относительно актуальна. Однако, если команда Wordfence не обнаружила вредоносное ПО, его не будет в базе данных. Поэтому он не может защитить веб-сайты от новых угроз.
Еще одним недостатком сканера является то, что он генерирует много ложных срабатываний. Ложные срабатывания так же хороши, как отсутствие предупреждений, потому что они приводят к недоверию к предупреждениям и самоуспокоенности.
Jetpack включает в себя сканер вредоносных программ как часть своих платных планов. Хотя это не патч для Wordfence, мы отметили, что Jetpack обнаружил некоторые вредоносные программы. Однако этот процент значительно меньше, чем у Wordfence, с эффективностью около 30-50% по сравнению с эффективностью Wordfence 70-80%.
Очистка от вредоносных программ
Jetpack не имеет очистки от вредоносных программ, автоматической или иной. Wordfence имеет возможность восстанавливать зараженные файлы, но только те вредоносные программы, которые он действительно обнаруживает. С другой стороны, у Wordfence есть услуга удаления вредоносных программ премиум-класса, которая стоит умопомрачительных 490 долларов за сайт.
После сканирования Wordfence перечисляет взломанные файлы с рекомендацией о том, чтобы их очистили их профессиональные эксперты по WordPress. В качестве альтернативы вы можете попробовать использовать два варианта автоматической очистки на панели инструментов: удалить все удаляемые файлы и восстановить все файлы, которые можно восстановить.
В наших тестах опция удаления успешно избавилась от 1 файла без ошибок, оставив множество других файлов взломанными. Затем попробовал вариант восстановления, который исправил все файлы, показанные в списке. Это здорово, потому что это означало, что нам не нужно было отдельно заниматься удалением вредоносных программ.
Единственная наша проблема со всем этим эпизодом заключалась в том, что были ужасающие предупреждения о том, что наш сайт может сломаться, если мы воспользуемся опцией удаления или восстановления. Мы позаботились о том, чтобы у нас были резервные копии, и включили питание. Обнаруженное нами вредоносное ПО по-прежнему необходимо было удалить, поэтому предупреждения заставили нас вкратце обсудить, лучше ли жить с вредоносным ПО, чем взламывать сайт. Нет, это совсем не так.
Поскольку другие протестированные нами плагины безопасности даже не достигли этой точки успешно, мы не стали проверять их на наличие каких-либо других типов вредоносных программ. Однако, поскольку Wordfence быстро справился с вредоносной программой на основе файлов, мы добавили в наш репертуар тестирования несколько хитростей.
Во-первых, некоторые взломанные вредоносные программы перенаправления попали в базу данных нашего веб-сайта. Затем мы добавили несколько спам-страниц с ключевыми словами на японском языке. Также мы вставляли вредоносные скрипты в премиум-плагины и устанавливали обнуленный плагин на тестовые сайты. Мы предполагали, что это приведет к срабатыванию сканера, и они действительно сработали. Сканер не зарегистрировал никаких вредоносных программ в непрофильных папках премиум-класса.
База вредоносных программ Wordfence обширна, но, похоже, в значительной степени опирается на то, что их команда видела раньше. Вот когда автоматический ремонт работает. Wordfence не может обнаруживать неизвестные вредоносные программы или вредоносные программы в премиальных плагинах и темах. Конечным результатом является то, что очиститель действительно настолько же эффективен, как и сканер, который сам по себе эффективен примерно на 70-80%.
Следующим шагом является выбор службы удаления вредоносных программ Wordfence, которая утверждает, что удаляет все экземпляры вредоносных программ, бэкдоры и, кроме того, оценивает сайт на наличие уязвимостей и пробелов в безопасности. В рамках пакета Wordfence поможет вам исключить ваш веб-сайт из любых черных списков, таких как, например, Google. На очистку предоставляется 1-летняя гарантия, при условии, что вы неукоснительно следуете контрольному списку после взлома.
Обратите внимание, что мы не можем комментировать эффективность службы удаления вредоносных программ, так как не пробовали ее.
Jetpack немного уклоняется от темы очистки от вредоносных программ на своем веб-сайте. Это само по себе явный признак того, что они не могут этого сделать. Очистка от вредоносных программ, возможно, является самой важной и самой сложной частью безопасности WordPress, поскольку неуклюжее удаление может повредить веб-сайт без возможности восстановления. Если плагин может уверенно очищать вредоносное ПО, о нем обязательно будут говорить.
Наши ожидания от Jetpack были невысокими, особенно после того, как мы увидели, что сканер не может помечать все вредоносные программы. Мы были оправданы, потому что даже с обнаруженным вредоносным ПО Jetpack ничего не мог с ним поделать. Результаты сканирования показывают фактический код, который был помечен как вредоносное ПО, и предложение по каждому тегу состоит в том, чтобы попросить эксперта удалить его. Так что это не является исчерпывающим и полезным.
Межсетевой экран
Jetpack не имеет брандмауэра. Брандмауэр веб-приложений Wordfence эффективно защитит веб-сайты от большинства основных и распространенных атак. Одна из проблем заключается в том, что бесплатная версия получает обновления после премиум-версии.
Брандмауэр является неотъемлемой частью вашей безопасности WordPress, потому что он предотвращает атаки WordPress и вредоносный трафик на ваш сайт. Если злоумышленники не смогут получить доступ к вашему веб-сайту, они не смогут воспользоваться уязвимостями и, следовательно, не смогут установить вредоносное ПО. Думайте о брандмауэре как о периметре безопасности вокруг вашего сайта. В Jetpack нет брандмауэра, поэтому этот раздел посвящен только Wordfence.
Брандмауэр Wordfence сразу переходит в режим обучения при первой установке плагина. Для достижения наилучших результатов рекомендуется оставить его в режиме обучения как минимум на неделю. Это правильно, потому что брандмауэры требуют активного трафика для эффективной блокировки в будущем. В нашем случае наши тестовые сайты не получают трафика, поэтому мы сразу отключили режим обучения и приступили к тестированию.
Как бесплатная, так и премиальная версии брандмауэра Wordfence успешно защищали от атак. Мы пробовали SQL-инъекции, атаки с использованием межсайтовых сценариев, подделку межсайтовых запросов и удаленные инъекции кода. Нам не удалось использовать ни одну из уязвимостей на сайте.
Хотя был один вопрос. Панель инструментов Wordfence показывает эффективность бесплатного брандмауэра на уровне 35%, в отличие от предлагаемых 100% брандмауэра премиум-класса. Так в чем же тогда разница между бесплатной и премиальной версиями?
Разница двоякая: во-первых, когда брандмауэр загружается на ваш сайт; и второй, когда ваш брандмауэр получает обновления.
Оба эти фактора являются нетривиальными различиями и имеют решающее значение для того, как один и тот же плагин может иметь разницу в эффективности 65% между их бесплатной и премиальной версиями. Мы разберем оба различия, чтобы объяснить, что здесь происходит.
Во-первых, ваш сайт загружается последовательно. WordPress, как правило, сначала с основными файлами и папками, затем с плагинами и темами и базой данных. Это известно как порядок загрузки, и наиболее важные файлы всегда загружаются первыми, потому что они играют важную роль для остальной части сайта. Например, без wp-config вы не сможете подключиться к базе данных. Это небольшой пример, но он показывает, насколько важен порядок загрузки при работе с безопасностью.
Бесплатный брандмауэр Wordfence загружается как обычный плагин, что означает, что он загружается после WordPress, всех основных файлов и, возможно, вместе с другими плагинами. Это означает, что брандмауэр не может защитить сайт от всего вредоносного трафика, а только от его части.
Во-вторых, брандмауэры эффективны благодаря содержащимся в них правилам фильтрации нежелательного трафика. Эти правила необходимо регулярно обновлять с учетом меняющихся угроз.
Например, брандмауэр MalCare учится на всех веб-сайтах, которые он защищает. Таким образом, если брандмауэр блокирует угрозу на нескольких веб-сайтах, он узнает, что для этой угрозы должно существовать правило, и обновляет правила брандмауэра на всех остальных 100 000+ веб-сайтах, на которых он установлен, даже до того, как угроза попадет на эти веб-сайты. . В этом сила превентивной защиты.
Таким образом, хотя Wordfence имеет самый обновленный брандмауэр, пользователи бесплатных брандмауэров получают обновления позже, чем их премиальные аналоги. Если бы было какое-то указание на продолжительность задержки, мы могли бы сказать, насколько велик расчетный риск, потому что даже маленькое окно проблематично. Однако его нет, поэтому мы можем только предполагать, что он значителен. Кто знает.
Обнаружение уязвимостей
Wordfence сосредоточился на всех уязвимостях на наших тестовых веб-сайтах, тогда как Jetpack полностью пропустил некоторые из менее известных.
Во время первоначального сканирования Wordfence предупредил нас обо всех уязвимостях, пометив их как критические угрозы. Мы включили много непонятных плагинов и тем, потому что они сбивали с толку другие плагины безопасности во время их сканирования. У некоторых из них менее 200 пользователей, и они очень нишевые. Так что все указывает на Wordfence на этом фронте.
Дополнительный момент, который нам очень понравился, заключается в том, что WordFence помечает устаревшие плагины и темы как средние угрозы. Это действительно важно, поскольку уязвимости в устаревшем программном обеспечении являются основной причиной успешных взломов веб-сайтов WordPress.
Интересно, что вы не можете исправить уязвимости с панели инструментов WordFence. Несколько меньших плагинов безопасности добавляют это в качестве бонусной функции, однако по своей сути «функция» просто обновляет устаревшее программное обеспечение — функция, которая уже существует на панели инструментов wp-admin. Нет никакой реальной причины повторять это, если только плагин не управляет обновлениями, как это делает MalCare.
Jetpack выбился из колеи и вообще пропустил малоизвестное устаревшее программное обеспечение. Не то чтобы удивительно, но тем не менее разочаровывает.
Защита входа от грубой силы
Wordfence отлично защищает страницу входа в систему от атак грубой силы. Jetpack добавляет капчу в wp-login при нескольких неудачных входах, но не блокирует IP даже временно.
Для справки: блокировка IP — это неточная функция для начала. Так почему же мы указываем на неадекватность Jetpack в этом отношении? Главным образом потому, что у них так много настроек, предназначенных для внесения IP-адресов в белый список, что мы решили, что нам грозит неминуемая опасность заблокировать себя. Но ничего. Если вы собираетесь так много говорить о какой-либо функции, вам нужно хорошо ее довести до конца. Это все.
Мы много раз перебирали страницу входа в систему, и это значительно превышало установленный лимит. Единственным отличием, которое мы увидели, была числовая капча, которой раньше не было. Это был минус какой-либо брендинг, поэтому мы рискнем и предположим, что это был Jetpack.
В целом, капча — элегантное, но неадекватное решение для атак методом грубой силы на странице входа. Атаки грубой силы могут перегрузить веб-сайт, используя ресурсы сервера, поэтому их нужно предотвращать с помощью чего-то большего, чем просто капча.
Wordfence, с другой стороны, работал как чемпион. Нас несколько напугало огромное количество настроек для каждого плагина, и иногда это может означать, что плагин не работает, поэтому было приятно увидеть всего несколько вариантов.
Хотя защита от перебора включена по умолчанию, вы можете настроить параметры в разделе брандмауэра. Существуют параметры, позволяющие установить количество неудачных попыток входа в систему, которые приводят к временной блокировке, и даже продолжительность этой блокировки. Мы неизбежно видим параметр списка разрешенных, хотя мы знаем, что IP-адреса устройств являются динамическими, так что это в лучшем случае показательно, а в худшем — бессмысленно.
Здесь вы также найдете варианты надежного пароля. Хотя это здорово иметь, в разделе брандмауэра защита от грубой силы не является логичным местом для этих настроек. Да, они оба связаны с безопасностью входа в систему, но для подключения все же требуется скачок. Мы сомневаемся, что люди найдут эти очень полезные настройки в этом отдаленном месте.
Журнал активности
Нам очень понравился журнал активности Jetpack, так как это одна из лучших версий, которые мы видели. Удивительно, но в Wordfence нет журнала действий.
Мы очень удивлены, что Wordfence не имеет журнала действий, потому что это действительно важная часть безопасности веб-сайта. Хакеры пользуются недостаточным ведением журналов для атаки на сайты. Вы определенно хотите иметь надежный журнал активности, который содержит правильную информацию о том, что происходит на вашем веб-сайте.
В Wordfence есть возможность включить отладку на случай, если что-то пойдет не так. Эта опция скрыта глубоко внутри раздела «Диагностика» в разделе «Инструменты». Он предназначен для того, чтобы сделать журналы брандмауэра более подробными. Мы также нашли полный журнал действий специально для событий Wordfence в разделе «Сканирование», но это не то, что мы подразумеваем под журналом действий. Он также выглядит как необработанный журнал, предназначенный для разработчиков Wordfence.
Функция журнала активности Jetpack превосходна и позволяет очень легко понять, что произошло на веб-сайте. Он доступен для предварительного просмотра в бесплатных планах, но для его действительного использования требуется премиум-подписка. В журналах содержится вся информация об активности пользователей, плагинов и тем, а также дополнительная функция предупреждений о вещах, требующих внимания, таких как вредоносные программы или уязвимости.
Наша оговорка заключается в том, что данные журнала активности доступны только в течение 30 дней. Мы бы предпочли увидеть гораздо более длительные временные рамки, чтобы это было действительно полезно.
Двухфакторная аутентификация
Wordfence имеет отличную двухфакторную аутентификацию, которая работает из коробки. Jetpack не имеет этой функции.
Двухфакторная аутентификация не является препятствием для подключаемого модуля безопасности, поскольку для этой функции доступны специальные подключаемые модули. Так что мы не слишком сильно осуждаем Jetpack за то, что не включили его.
В Wordfence двухфакторная аутентификация работает отлично. Лучше всего то, что он прост в использовании, без целой кучи запутанных опций. Фактически, раньше это была премиальная функция, которая теперь доступна и для бесплатных пользователей.
Использование ресурсов сервера
Jetpack будет использовать некоторые ресурсы сервера для сканирования, но это не повлияет на производительность. Wordfence, с другой стороны, запрещен некоторыми веб-хостами из-за того, насколько сильно он нагружает ресурсы сервера.
Мы поняли, что Jetpack является чем-то легким с точки зрения безопасности и оказывает аналогичное влияние на ресурсы сервера. Заметен скачок в использовании диска, но мы не заметили большого влияния на производительность веб-сайта.
Wordfence был вампиром серверных ресурсов. Конечно, мы много раз сканировали веб-сайт и провели множество тестов на вредоносное ПО, но мы не ожидали, что использование диска резко возрастет в 2-3 раза. Откровенно говоря, наши испытательные полигоны маленькие, поэтому штраф был несерьезным. Но мы содрогаемся при мысли о том, что произойдет на сайте электронной коммерции или на сайте с большим количеством контента. Угу.
Увидев кучу сообщений на панели инструментов, можно сделать вывод, что Wordfence использует ресурсы сайта для всего: от сканирования до очистки и всего, что между ними. Проблема в том, что производительность и безопасность не должны противопоставляться друг другу в каком-то компромиссе. Вы не должны идти на компромисс ни в том, ни в другом.
Оповещения
Jetpack время от времени отправляет вам странное оповещение, тогда как Wordfence может заглушить ваш почтовый ящик за час.
На наш взгляд, оповещения должны быть сбалансированы. Вы хотите знать, если что-то пошло не так с вашим сайтом как можно скорее. Но вам не нужно оповещение, если кто-то чихнет в непосредственной близости от вашего сайта. Баланс является ключевым.
Wordfence с треском проваливается в этом отделе. Предупреждений о результатах сканирования, ложных срабатываниях, блокировках брандмауэра и многом другом слишком много, чтобы сосчитать. Откровенно говоря, хороший брандмауэр должен блокировать атаки напрямую, не создавая каждый раз предупреждение.
В этом случае Jetpack действительно хорош. Вы получаете оповещения только о важных вещах, таких как обнаруженные уязвимости или обнаруженные вредоносные программы; то есть вещи, которые требуют вашего немедленного внимания.
Установка, настройка и удобство использования
Wordfence была самой простой установкой. Чего не скажешь о Jetpack.
В этом отношении Wordfence был великолепен. Начните использовать плагин, и он укажет вам путь вперед. Никаких сложных конфигураций. Используемый язык прост и доступен.
Нам особенно понравилось, как есть короткие пошаговые руководства, когда вы впервые посещаете каждый раздел на панели инструментов. Четкие объяснения легко понять, и в них нет той технической чепухи, которая обычно сопровождает эти вещи.
Общий дизайн очень интуитивно понятен и разработан, чтобы дать вам представление о безопасности вашего сайта с высоты птичьего полета. Если что-то кажется запутанным, щелкните всплывающую подсказку и перейдите к их превосходной документации.
Если Wordfence был простым, то Jetpack оказался на удивление сложным. Установка сильно зависит от необходимости обновления. Вам даже нужно выбрать план, бесплатный или нет, чтобы продолжить. Могло быть намного лучше, чем есть.
Реактивный ранец: Дополнительно
Преимущество Jetpack в том, что он объединяет несколько задач администрирования WordPress в один плагин. У него есть резервные копии, которые, как мы знаем, очень важны для любого веб-сайта. Внешняя панель инструментов находится на WordPress.com, поэтому она очень знакома для использования.
Сказав все это, мы бы безоговорочно одобрили Jetpack как плагин безопасности без излишеств и излишеств, если бы он хорошо справился с защитой наших веб-сайтов. Это не так, поэтому в конечном итоге ни одно из этих благ не представляет никакой ценности.
Wordfence: Дополнения
Wordfence — это безопасность. В плагине нет ничего, что было бы даже связано с безопасностью, например, возможность обновления плагинов, как мы упоминали ранее. Но есть еще масса дополнений.
Начиная с установки, первое, что мы заметили, — это раздел уведомлений об обновлениях сайта. Например, он показал нам, что 5 плагинов нашего тестового сайта нуждаются в обновлении.
Двигаясь вперед, есть панель под названием Wordfence Central status. Это позволяет вам подключить свою учетную запись к нескольким веб-сайтам и видеть статус всех ваших веб-сайтов в wp-admin этого веб-сайта. Если это звучит запутанно, то это потому, что это запутанно и совсем не интуитивно понятно. Вы действительно не хотите управлять несколькими веб-сайтами с панели управления одного веб-сайта. Для этого вам нужна внешняя панель инструментов, которой на самом деле является Wordfence Central. Но он плохо справляется с этим.
Wordfence Central в порядке, но далеко не полнофункциональный. Возможно, мы избалованы приборной панелью MalCare, которая напоминает панель управления самолетом для веб-сайтов. Wordfence Central выглядит громоздким для чего-то большего, чем 10 или 20 сайтов, и мог бы быть намного лучше.
В разделе «Инструменты» есть панель для живого трафика. Сначала это выглядело как скин для Google Analytics, но оказалось, что это нечто большее. Он записывает журналы трафика на ваш сайт, и вы можете точно увидеть, какой трафик получает ваш сайт: человек, бот, предупреждение, заблокированный.
Мы подумали, что Диагностика была довольно интересной, так как в ней было много информации о веб-сайте; такие вещи, как владельцы процессов и таблицы базы данных, например. It is like a blueprint of the website, which the status of each of the specifications alongside. It doesn't look like something a normal user would need, but definitely could help out a developer.
What's missing from Jetpack and Wordfence
Ultimately, there is a lot missing from Jetpack: the scanner is below-average, there is no cleaner or firewall. The rest of the stuff is alright, but these three factors are non-negotiable for security.
Wordfence doesn't have bot protection, and surprisingly no activity log. Although it is a comprehensive security plugin, the drain on server resources and the tendency to cry wolf at the drop of a hat is off-putting.
Jetpack vs Wordfence: Pricing
Jetpack is exorbitant at $300 per year for the security suite. Wordfence premium is far more reasonable at $99 for the year, but the premium version isn't a significant upgrade on the free version.
Wordfence has a really great free version, and in our opinion the upgrade to premium doesn't add much more. The site license is still competitive at $99 a pop, and gets better with more websites.
The knockout punch from the Wordfence corner is their malware removal service. That will set you back a cool $490 per site cleanup. The 1-year guarantee is also subject to terms and conditions, so you shouldn't consider that a one-time expense.
Jetpack is really not worthy of that fancy price tag. There is little to say beyond that.
Better alternative to Jetpack and Wordfence: MalCare
The best investment you can make in your website is to invest in a good security plugin. By this point, you know what to look for in a security plugin. And you will find all those things and more in MalCare. MalCare scans, cleans and protects your website from exploits in a major way. It far outperforms all other plugins.
Plans for MalCare start at $99 for the Basic plan, which includes unlimited cleanups. Contrast that to Wordfence's $99 plan and $490 per cleanup needed thereafter and the choice becomes clear. MalCare all the way.
Вывод
We really hope this article helps to clear any confusion with respect to WordPress security. It is admittedly hard to wade through all the misinformation available online to arrive at a good decision.
If you have any questions, please write to us. We would be happy to help, and thrilled to hear from you!