Sucuri Vs Jetpack: какой плагин безопасности лучше?

При обсуждении безопасности WordPress неизбежно всплывает Sucuri. Это один из самых популярных плагинов безопасности, доступных сегодня. Планы Pro поставляются со сканером на стороне сервера, брандмауэром и неограниченным удалением вредоносных программ вручную.

Jetpack — это универсальное решение для многих функций WordPress; не удивительно, так как он построен Automattic. Кроме того, наличие одного плагина, выполняющего работу многих, является привлекательным вариантом, поэтому Jetpack является серьезным соперником в нашей серии тестирования плагинов безопасности.

Но если не обращать внимания на навороты, какой плагин безопасности лучше защищает ваш сайт WordPress?

Мы протестировали 5 лучших плагинов безопасности, чтобы получить этот ответ. В течение 45 дней мы проверяли плагины на предмет вредоносных программ, уязвимостей, атак и многого другого. Читайте дальше, чтобы узнать больше о наших результатах и, самое главное, о нашем выборе плагина безопасности WordPress, который действительно работает.

ВЕРДИКТ : Sucuri против Jetpack было трудно решить, потому что обе потерпели неудачу по-разному. В конечном счете, мы считаем, что Sucuri побеждает Jetpack. Сканер вредоносных программ Jetpack смог обнаружить некоторые вредоносные программы, в отличие от сканера Sucuri, который ничего не обнаружил. Но служба удаления вредоносных программ Sucuri хорошо справилась со своей задачей, тогда как у Jetpack вообще не было возможностей для очистки. Честно говоря, хотя ни один из них не был достаточно хорош, поэтому мы рекомендуем MalCare.

Наш выбор

Мы подвергли каждый из 5 лучших плагинов безопасности 45-дневному тестированию. Мы использовали 3 сайта: 1) обычный блог в качестве контроля; 2) блог с уязвимыми плагинами и 3) сайт с вредоносными программами в файлах и базах уровня босса.

Далее в статье приведен список факторов, показывающих, как мы ранжировали каждый плагин, но вкратце мы протестировали сканер, очиститель и брандмауэр (если он был у плагина), чтобы получить наши результаты.

Важно выбрать плагин безопасности, который, как вы можете быть уверены, защитит ваш сайт от хакеров и их вредоносных программ. Этот плагин, без сомнения, MalCare.

Резюме сравнения Sucuri и Jetpack

В этом конкурсе «победитель получает все» Sucuri опережает Jetpack благодаря превосходным услугам по удалению вредоносных программ, которые они предлагают. Однако это пустая победа, потому что сканер Sucuri — один из худших, которые мы когда-либо видели.

Коротко о джетпаке

Платные планы Jetpack имеют средний сканер вредоносных программ, который обнаружит некоторые вредоносные программы на вашем веб-сайте. Остальные функции безопасности достаточно хороши, но они не компенсируют сканер или отсутствие очистки от вредоносных программ и брандмауэра. В целом, Jetpack — это промах.

Jetpack был вторым плагином, который мы тестировали, сразу после iThemes, и мы были приятно впечатлены, потому что, по крайней мере, он что-то делал. Очевидно, это не делает его хорошим плагином безопасности.

С положительной стороны, журнал активности Jetpack великолепен. Журнал активности – важный инструмент для отладки и обеспечения безопасности веб-сайта. Мы также считаем, что внешняя панель инструментов на WordPress.com великолепна и представляет собой знакомый интерфейс для работы. Поскольку мы большие сторонники резервного копирования, нам нравится эта часть функций Jetpack.

Ничто из вышеперечисленного не является достаточной причиной для перехода на платный план, потому что Jetpack выписывает много чеков, которые не может обналичить. Мы уже упоминали, что сканер работал плохо. Он обнаружил около 30% вредоносных программ на сайте. Защита от грубой силы в лучшем случае посредственная. Мы попытались атаковать страницу входа и после нескольких неудачных попыток входа увидели капчу. Но наш IP не был помечен, и мы не получили оповещения по электронной почте. Однако, когда мы проверили логи, атака была зафиксирована.

Кроме того, Jetpack обнаруживает только некоторые уязвимости веб-сайта. Из 3 установленных нами уязвимостей он пометил 2. В тех случаях, когда веб-сайты имеют гораздо больше уязвимостей, соотношение наверняка будет намного хуже.

Ни один плагин безопасности не идеален, но мы бы хотели, чтобы он был как можно ближе к идеалу. Jetpack — это не тот плагин.

Сукури в двух словах

Sucuri получил неоднозначный отзыв от нас, потому что его функции брандмауэра и очистки от вредоносных программ работали хорошо, но сканер не работал вообще. Сканирование вредоносных программ должно быть 100%, и ни один плагин безопасности не стоит того без работающего сканера.

Sucuri — один из самых популярных плагинов безопасности WordPress, доступных на сегодняшний день, но он не справляется с одной критической областью: сканированием вредоносных программ. Если сканер не работает, невозможно узнать, заражен ли ваш сайт вредоносным ПО. И если вы не знаете, что это так, вы никак не сможете решить эту проблему.

В двух других аспектах, брандмауэре и очистке от вредоносных программ, Sucuri показал себя хорошо. Брандмауэр блокировал большинство атак, а служба удаления вредоносных программ работала на высшем уровне. На приборной панели также есть несколько полезных параметров усиления. Неограниченное количество запросов на удаление вредоносного ПО также имеет большое значение, особенно по сравнению с некоторыми другими доступными сервисами.

С другой стороны, конфигурация и настройки были кошмаром, особенно брандмауэр. Мы изо всех сил пытались установить брандмауэр без регистратора домена, и, честно говоря, это был разочаровывающий процесс. Сканирование безопасности также загрузило ресурсы нашего сервера до такой степени, что мы увидели разницу на нашем веб-сайте. К счастью, наш веб-сайт находился на выделенном хостинге, иначе компании, предоставляющие виртуальный хостинг, довольно быстро отправили бы нам электронное письмо о нарушении.

Вывод здесь заключается в том, что вам придется выбирать между безопасностью и производительностью с Sucuri. Это ужасный компромисс. В целом, Sucuri является как хорошим, так и плохим плагином безопасности, и, следовательно, противоречием. Мы не рекомендуем противоречие в качестве меры безопасности. Просто говорю.

Как выбрать правильный плагин безопасности для WordPress

В постоянно меняющемся ландшафте угроз плагин безопасности — это единственный способ защитить ваш веб-сайт, данные, посетителей и бизнес. Хакеры наносят огромный ущерб вредоносными программами, крадя деньги, данные и личные данные людей. Как владелец веб-сайта, плагин безопасности является неотъемлемой частью вашего набора инструментов администрирования.

Однако выбрать правильный плагин безопасности непросто. Существует так много плагинов, каждый из которых утверждает, что лучше другого. Так как же выбрать правильный?

С точки зрения безопасности, есть только 3 основные функции плагина безопасности: сканирование на наличие вредоносных программ, очистка от вредоносных программ и брандмауэр. Все остальное бонус. Это не значит, что защита от грубой силы не важна, потому что она определенно важна. Но если у вас нет основных 3, то у вас может не быть и остальных.

При оценке подключаемого модуля безопасности следует учитывать следующие факторы:

• Основные функции безопасности
  
  • Сканирование вредоносных программ
  • Очистка от вредоносных программ
  • Брандмауэр
• Полезные функции безопасности
  
  • Обнаружение уязвимостей
  • Защита входа от грубой силы
  • Журнал активности
  • Двухфакторная аутентификация
• Потенциальные проблемы
  
  • Влияние на ресурсы сервера

Единственный плагин, который имеет все функции, необходимые для защиты веб-сайтов WordPress, — это MalCare. Как мы продолжаем говорить в этой статье, каждый из остальных так или иначе потерпел неудачу, особенно подведя нас в трех основных областях.

Sucuri vs Jetpack: прямое сравнение функций

Чтобы сделать это сравнение максимально полезным, мы организовали разделы на основе перечисленных выше критериев. Это наиболее важные аспекты подключаемого модуля безопасности, но мы также хотим коснуться и других аспектов, таких как простота настройки, соотношение цены и качества и так далее.

Мы представили наши результаты объективно и максимально кратко, чтобы помочь вам принять правильное решение в отношении безопасности вашего веб-сайта. Однако, если вам нужно быстрое решение для обеспечения безопасности, мы рекомендуем вам установить MalCare для непревзойденной безопасности WordPress.

Сканирование вредоносных программ

Ни SiteCheck, ни серверный сканер Sucuri не обнаружили вредоносных программ на нашем сайте. Сканер Jetpack обнаружил некоторые вредоносные программы.

В Sucuri есть два сканера вредоносных программ: SiteCheck и сканер на уровне сервера, который необходимо установить с панели управления Sucuri. Мы хотели протестировать и то, и другое, потому что часто рекомендуем бесплатный сканер SiteCheck в качестве средства диагностики первого уровня для веб-сайтов. SiteCheck сканирует общедоступные части вашего веб-сайта, поэтому, если он не находит вредоносное ПО, это не является гарантией чистоты веб-сайта. Однако вам не нужно устанавливать SiteCheck, чтобы использовать его. Поэтому многим администраторам проще использовать его в случае, если веб-хост приостановил работу своего сайта или Google внес его в черный список.

Переходя к сканеру уровня сервера, который поставляется с премиум-планами Sucuri, вам необходимо установить его на свой веб-сервер. У вас есть выбор: сделать это вручную или ввести данные FTP с панели управления. После того, как мы его установили, сканеру потребовалось много времени, чтобы проверить наш сайт на наличие вредоносных программ.

Когда сканирование было завершено, результаты показали, что наш веб-сайт не содержит вредоносных программ. Результаты оказались неверными, так как наш сайт был переполнен вредоносными программами как в файлах, так и в базе данных. Затем мы попытались запустить сканирование еще раз через несколько часов, но результаты были такими же. На нашем серьезно взломанном веб-сайте, по-видимому, не было вредоносного ПО.

Сканер настроен на запуск один раз в день, но вы можете запросить сканирование ad hoc. Запросы помещаются в очередь и затем выполняются. Единственное здесь то, что Sucuri предупреждает вас о слишком большом количестве сканирований, потому что сканирование потребляет ресурсы сервера. Это не хорошо. Сканирование не должно занимать ресурсы веб-сайта, поскольку это влияет на производительность веб-сайта. Мы вернемся к этому моменту позже в статье.

В платных планах Jetpack есть сканер вредоносных программ, и, увидев, как Sucuri не справляется со сканированием, мы были приятно удивлены, увидев, что Jetpack действительно пометил некоторые вредоносные программы.

Волнение было недолгим, потому что Jetpack не помечал все вредоносные программы. На самом деле, он не обнаружил большого количества вредоносных программ. Таким образом, хотя в этом отношении он работал лучше, чем Sucuri, обнаружение некоторых вредоносных программ так же хорошо, как и отсутствие вредоносных программ. В результате сайт, скорее всего, останется взломанным. Для тщательного сканирования вашего веб-сайта воспользуйтесь сканером вредоносных программ MalCare.

Очистка от вредоносных программ

Jetpack не имеет очистки от вредоносных программ. У Sucuri есть отличная служба ручной очистки от вредоносных программ, которая избавилась от вредоносных программ с нашего сайта в течение 12 часов.

На данный момент у нас есть противоречия по поводу Sucuri, потому что, хотя мы были серьезно впечатлены их службой очистки, сканер дал нашему взломанному сайту чистую метку. Основываясь на этих результатах, теоретически мы бы не знали, что на нашем сайте есть вредоносное ПО. Но поскольку это была тестовая деятельность, мы запросили ручную очистку, зная, что на нашем сайте определенно есть вредоносное ПО.

Согласно нашему плану, мы могли ожидать, что наша очистка будет завершена в течение 30 часов. На первый взгляд, если ваш сайт взломают, ждать придется долго. Например, если ваш веб-сайт находится в черном списке Google, прошедшее время — это потерянный доход. Тем не менее, мы вернули очищенный сайт менее чем за 10 часов. Мы были очень впечатлены.

Чтобы запросить очистку от вредоносных программ от Sucuri, вам нужно заполнить форму со всеми данными, которые вы можете указать. Укажите свои технические возможности, введите свои учетные данные FTP, и вы получите очищенный сайт обратно. Мы проверили очищенный сайт с помощью MalCare, и он оказался безупречно чистым. Фантастика! Команда предоставила нам контрольный список после очистки, предупредила нас об уязвимостях на веб-сайте, и мы были готовы к работе.

За исключением одной мелочи: после того, как команда Sucuri удалила вредоносное ПО, а MalCare подтвердила это, сканер Sucuri сообщил, что сайт был взломан. После того, как его почистила их команда? Иди разберись.

Планы безопасности Jetpack не включают удаление вредоносных программ, хотя они говорят, что могут избавиться от некоторых инфекций. После запуска сканера вредоносных программ мы увидели, что некоторые вредоносные программы были помечены, но ни одну из них нельзя было исправить. Фактически, во всех отмеченных экземплярах вредоносного ПО Jetpack любезно рекомендует нам обратиться в службу удаления вредоносных программ.

Нас беспокоит то, что Jetpack, помечая местонахождение вредоносного ПО и самого кода, предлагает ручную очистку как вариант. Это не мудрое решение. Взломанные веб-сайты — это минные поля, тем более что вредоносное ПО может спрятаться где угодно. Ручная очистка вредоносных программ подвержена человеческим ошибкам и может привести к полной поломке веб-сайта.

Услуга по удалению вредоносного ПО — дорогое предложение, и нет никакой гарантии, что ваш сайт снова не будет взломан. Расходы в этом случае могут значительно возрасти. В планах Sucuri неограниченная уборка, и это здорово. Наша единственная проблема с Sucuri заключается в том, что сканер не предупредит вас о большинстве вредоносных программ, так как же вы узнаете, когда запрашивать очистку?

Мы использовали MalCare для сканирования на наличие вредоносных программ, а также для очистки нашего веб-сайта за считанные минуты. Функция автоматической очистки избавила нас от вредоносных программ с нашего сайта без необходимости ввода учетных данных FTP или запроса на удаление. Это было безболезненно, плавно и почти мгновенно. Трудно победить это.

Брандмауэр

Брандмауэр Sucuri неплохо справлялся с наиболее распространенными атаками, но его установка была кошмаром. Jetpack не имеет брандмауэра.

У Sucuri есть брандмауэр, включенный в планы безопасности, но также есть и отдельные планы брандмауэра. Мы хотели проверить эффективность брандмауэра, поэтому попытались настроить его на нашем веб-сайте.

Прежде чем мы даже поговорим о том, как работает брандмауэр, мы должны потратить время, чтобы выразить, насколько ужасен опыт установки брандмауэра Sucuri. У нас был существующий премиум-план, и уже был веб-сайт, настроенный на брандмауэр. Поэтому, когда мы попытались заменить этот веб-сайт нашим тестовым веб-сайтом, Sucuri просто отказался сдвинуться с места.

Проблема здесь в том, что для использования брандмауэра вы должны указать DNS вашего веб-сайта на серверы имен брандмауэра. Это означает, что весь трафик, попадающий на ваш сайт, сначала пройдет через брандмауэр Sucuri, а затем будет перенаправлен на ваш сайт. Если это звучит сложно, то это потому, что это безумно сложно.

В любом случае, через несколько дней мы смогли настроить тестовый сайт с такими уязвимостями, как неограниченная загрузка файлов, XSS и SQL-инъекция. Брандмауэр блокировал все наши попытки использовать эти уязвимости и загружать вредоносные файлы.

При всей прозрачности мы не смогли протестировать более сложные атаки в заданный период времени. Однако все, что мы бросали в брандмауэр Sucuri, было остановлено.

Брандмауэры являются неотъемлемой частью безопасности вашего сайта. Они защищают от вредоносных программ, не позволяя хакерам использовать уязвимости на веб-сайте. У Jetpack его нет, и это зияющая дыра в их плагине безопасности.

MalCare отлично справляется с защитой вашего сайта от разного рода атак. И его легко настроить в отличие от Sucuri.

Обнаружение уязвимостей

И Jetpack, и Sucuri обнаружили лишь некоторые уязвимости на наших сайтах.

Как только мы установили серверный сканер Sucuri, сканирование показало, что на нашем веб-сайте есть несколько уязвимостей. Сканер не обнаружил некоторые из наиболее малоизвестных и в основном рекомендовал обновить устаревшие плагины и темы.

Интересно, что в плагине Sucuri на wp-admin есть вкладка пост-хака. В нем есть список версий установленных плагинов и тем, а также последние версии. Мелким шрифтом на этой странице Сукури упоминает, что устаревшее программное обеспечение представляет собой угрозу безопасности и часто приводит к заражению вредоносным ПО.

Команда Sucuri также прислала нам список рекомендаций по обновлению устаревших плагинов и тем для устранения уязвимостей. Опять же, им удалось обнаружить только некоторые уязвимости, а не все.

Сканер Jetpack также обнаружил некоторые уязвимости и дал нам возможность автоматического исправления; по сути, мы могли бы обновить их. В данном случае мало что отличает Sucuri от Jetpack. Интерфейс Jetpack был проще в управлении, но опять же Sucuri в целом гораздо более сложный плагин.

Защита входа от грубой силы

Jetpack добавляет капчу на страницу входа после нескольких неудачных попыток входа, но не блокирует IP-адрес. Судя по всему, в Sucuri нет функционирующей функции защиты входа в систему.

Jetpack имеет защиту от грубой силы на своих бесплатных и платных планах. Когда мы попытались взломать страницу входа, мы увидели, что после 10 неудачных попыток была добавлена ​​числовая капча. Журналы показывают все неудачные попытки входа в систему после первых 3 как атаку грубой силы.

Jetpack также имеет тщательно продуманную функцию белого списка IP-адресов, поэтому мы предполагали, что в какой-то момент мы можем быть полностью заблокированы на веб-сайте. Однако этого вовсе не произошло. Мы попробовали более 50 неправильных паролей для учетной записи администратора менее чем за минуту, и ничего не произошло.

Откровенно говоря, белый список IP-адресов — это немного для промывания глаз. IP-адреса устройств могут меняться, поэтому добавление IP-адреса администратора в белый список не является гарантией от потенциальной блокировки. Однако, если функция существует, она должна работать. Но это не так.

Мы думали, что Sucuri справится с этим намного лучше, чем Jetpack, потому что у него есть сложный набор параметров для настройки предупреждений о грубой силе. Вы можете установить порог, при котором атака считается грубой силой. Однако ограничения нереалистичны, потому что есть возможность считать 30 неудачных попыток в час атакой, тогда как в действительности атака грубой силы избивает страницу входа со скоростью более 100 запросов в минуту. На самом деле обычно так много запросов на вход, что сервер не в состоянии их обработать.

Короче говоря, Sucuri не предупредил нас об атаках на вход в систему. Атаки действительно отражались в журналах аудита, но мы не получали никаких предупреждений.

Журнал активности

Журналы Jetpack великолепны. Они отслеживают каждое действие пользователя и плагина. Журналы аудита Sucuri тоже работают, но могут быть совершенно непонятными.

Журналы аудита Sucuri отслеживают все действия пользователя, а также изменения плагинов и тем. Все изменения, внесенные в любые файлы и таблицы, отображаются в журналах аудита. Все идет нормально. Существует также возможность установить ключ API, чтобы предотвратить удаление журналов злоумышленниками, позволяя Sucuri сохранять журналы вашего веб-сайта за пределами сайта.

Журналы собирают необходимую информацию, такую ​​как пользователь, действие, отметка времени и т. д. Однако мы заметили, что в некоторых случаях их очень трудно понять. Показательный пример: мы установили плагин галереи на наш сайт. В журналах было зарегистрировано 7 различных записей для плагина, что указывает на то, что 7 файлов были изменены. Или мы так думали. На самом деле это регистрировало изменения в шаблоне сообщения, но мы не могли ничего понять из журналов.

Jetpack имеет отличную функцию журнала активности, и она доступна для предварительного просмотра на бесплатных планах. Журналы показывают всю активность пользователей, плагинов и тем, а также показывают вещи, требующие немедленного внимания, такие как обнаруженные вредоносные программы или уязвимости.

Однако данные Jetpack идут только до 30 дней. В идеале журналы должны сохраняться в течение гораздо более длительного периода времени.

Двухфакторная аутентификация

Ни один из плагинов безопасности не имеет двухфакторной аутентификации.

В этом разделе не о чем говорить, потому что ни Jetpack, ни Sucuri не имеют двухфакторной аутентификации для ваших сайтов.

Однако, когда мы тестировали плагины, мы искали двухфакторную аутентификацию на Sucuri. На панели инструментов Sucuri на самом деле есть двухфакторная аутентификация, но она была доступна для вашей учетной записи Sucuri. Не ваш сайт.

Использование ресурсов сервера

Оба плагина будут потреблять ресурсы сервера для сканирования вашего сайта. Сканер Sucuri заметно замедлил работу нашего сайта.

Мы даем Sucuri баллы за честность, потому что они утверждают, что используют ресурсы сервера для сканирования прямо на панели инструментов. Кроме того, хотя, это ужасно, что они делают это.

Сканирование Sucuri показало заметный скачок в использовании ЦП нашего сервера. И наши тестовые площадки маленькие; чуть больше 100 МБ для самого большого. Если бы у нас был сайт WooCommerce или сайт с большой базой данных, производительность сайта серьезно пострадала бы. Кроме того, сканирование Sucuri также занимает значительное количество времени. Так что воздействие будет продолжаться некоторое время.

Помимо использования ЦП, в общих настройках на wp-admin вы увидите, что Sucuri использует ваш сервер для хранения данных. Даже если место для хранения незначительно, суть остается в том, что используется пространство сервера вашего веб-сайта.

Jetpack также оказал влияние на ресурсы сервера. Конечно, это было не так заметно, как при сканировании Sucuri, но все же не идеально.

Честно говоря, нас такое положение вещей не впечатляет. Ни один администратор веб-сайта не должен выбирать между безопасностью и производительностью. Отсутствие любого из них может серьезно повлиять на доход, поэтому это не должно быть компромиссом.

Оповещения

Оповещения Sucuri могут заполнить ваш почтовый ящик за час, поэтому вам нужно быть абсолютно уверенным в том, о чем вы хотите получать оповещения. Jetpack отправляет оповещения только о критически важных вещах.

Sucuri позволяет настраивать формат оповещений, отправлять их для определенных действий, отправлять их определенным людям и так далее. Вы также можете настроить параметр для игнорирования определенных IP-адресов, чтобы они не вызывали оповещение.

Огромное количество вариантов предупреждений Sucuri ошеломляет. Конечно, вам действительно нужно настроить его только один раз, а затем забыть об этом. Но на самом деле сами опции заслуживают отдельного упоминания. И если цифра была недостаточно устрашающей, то техническая речь была совершенно отталкивающей.

В конечном счете, оповещения слишком детализированы, чтобы быть полезными. Администратор должен иметь возможность полагаться на свой плагин безопасности, чтобы предупредить его о вещах, с которыми необходимо разобраться, и отфильтровать весь шум. В случае с Sucuri мы почти уверены, что есть большая вероятность пропустить сигнал среди всего шума.

Jetpack элегантно обрабатывает предупреждения. Нет миллиона вариантов, которые можно просмотреть, и плагин будет отправлять вам оповещения о вещах, требующих вашего внимания. Например, уязвимости и вредоносные программы.

Кроме того, мы также протестировали функцию мониторинга простоев Jetpack. Он должен предупредить нас, если сайт выйдет из строя, но этого не произошло. Мы вызывали сбой сайта несколькими способами и увидели, что Jetpack вообще не регистрирует эти сбои.

Хотя мониторинг времени простоя не является функцией безопасности как таковой, это важный показатель для вашего веб-сайта. Неработающие или аварийно работающие веб-сайты часто являются признаком хакерской активности или вредоносного ПО. Функция простоя Jetpack не работает.

Установка, настройка и удобство использования

Сукури вначале было легко, но постепенно становилось все сложнее. Jetpack было легко настроить, но интерфейс постоянно подталкивает вас к обновлению.

Установка Jetpack была утомительной. Несмотря на то, что ваш плагин установлен, вы не сможете двигаться дальше, не создав панель управления WordPress.com. Однако он служит вашей внешней панелью инструментов, поэтому вам нужна учетная запись. Просто немного сбивает с толку то, что меня перебрасывают с вашей собственной панели на панель управления Jetpack без четкого понимания того, когда и почему это требуется.

Установка Sucuri прошла легко, и фронтенд-сканер сразу же заработал. Чтобы получить доступ к платным функциям, таким как брандмауэр и сканер на стороне сервера, вам необходимо создать учетную запись на Sucuri. Однако бесплатная версия самодостаточна.

Внешняя панель управления Jetpack удобна в использовании, поскольку она имитирует wp-admin. Тем не менее, существует множество заблокированных функций в зависимости от вашего плана, поэтому не лучший пользовательский интерфейс везде видеть «обновление». Некоторые показатели бесполезны с точки зрения безопасности, поэтому в целом интерфейс Jetpack нам не нравится.

Сказав это, мы бы предпочли интерфейс Jetpack интерфейсу Sucuri. Если бы нам пришлось описать Сукури одним словом, это слово было бы путаницей. В конфигурации и настройках так много технического жаргона. На самом деле мы часами пытались понять, что вообще означают некоторые термины. Кроме того, описания бесполезны, а в некоторых случаях снисходительны. Не знаю, почему кто-то решил, что писать описания, которые эффективно говорят: если вы не знаете, что это значит, лучше оставить это в покое.

Настройка брандмауэра Sucuri была кошмаром. Это может показаться простым, если у вас есть доступ к регистратору домена и ноу-хау, чтобы возиться с серверами имен (которые, кстати, обновляются несколько часов). У нашего тестового сайта нет домена, потому что мы не хотим, чтобы Google проиндексировал его или люди случайно попали на него, поэтому изменение серверов имен было непростой задачей. Если бы кто-то захотел установить брандмауэр на промежуточном сайте, ему было бы трудно обойтись без инженерной помощи.

Реактивный ранец: Дополнительно

Jetpack объединяет несколько задач администрирования WordPress в один плагин, так что есть много дополнений. Нам нравится, что у него есть резервные копии, потому что резервные копии очень важны для любого веб-сайта. Помимо этого, учетная запись WordPress.com привычна для использования, хотя, если у вас есть несколько веб-сайтов в одной учетной записи, утомительно переключаться между ними для управления.

Сукури: Дополнения

У Sucuri есть масса дополнительных наворотов в своем плагине. В отличие от Jetpack, который предлагает больше, чем безопасность, Sucuri — это только безопасность. Поэтому мы попытались покопаться в функциях, чтобы увидеть, что может повлиять на безопасность.

Когда вы устанавливаете плагин, первое и самое большое, что вы увидите, — это информационное окно целостности WordPress. Выглядит очень впечатляюще, но на самом деле это сильно наряженная версия основного монитора изменений файлов WordPress. Очевидно, есть некоторая польза в наличии монитора изменений файлов для основных файлов, тем более что вредоносное ПО, как известно, регулярно заражает основные файлы. Однако известность и расположение, на наш взгляд, вводят в заблуждение. Монитор изменений файлов не является мерой безопасности WordPress. Честно говоря, это даже не начало.

Существует также утилита сравнения целостности для сравнения файлов ядра на веб-сайте с исходной сборкой. Это проще, чем использовать онлайн-проверку различий для основных файлов, если вы очищаете вредоносное ПО вручную.

У Sucuri есть масса вариантов усиления безопасности WordPress. Некоторые из них полезны, в то время как другие являются более старыми хаками, которые с тех пор перестали быть полезными с точки зрения безопасности.

Например, блокировка PHP в папке загрузок — хорошая идея, как и возможность легко изменить соли WordPress с панели инструментов. Но это не безоговорочное одобрение. Было бы намного безопаснее иметь эту функцию на панели инструментов Sucuri, а не на wp-admin. Если хакер получит доступ к серверной части веб-сайта, соли будут скомпрометированы, поскольку они отображаются в виде открытого текста.

Такие вещи, как проверка версии WordPress, удаление версии WordPress, предотвращение утечки информации и проверка учетной записи администратора по умолчанию, являются бессмысленными функциями безопасности. Они очень мало делают для защиты веб-сайта конкретными способами. Забудьте об индустрии безопасности, даже хакеры отказались от этих уловок.

Некоторые особенности упрочнения нас озадачили. Если бы мы решили отключить редактор плагинов и тем, как бы мы обновили наши плагины и темы при обнаружении уязвимостей? Кроме того, Sucuri хранит файлы PHP в папке для загрузки, поэтому отключение любого внешнего доступа означает, что они не смогут получить доступ к своим собственным файлам. Возможно, есть правило, разрешающее им такой доступ, но это совершенно непонятно конечному пользователю.

Существует функция управления паролями, но сопровождающее предупреждение отпугнет большинство людей от ее использования: «Выберите пользователей из списка, чтобы изменить их пароли, завершить их сеансы и отправить им по электронной почте ссылку для сброса пароля. Имейте в виду, что плагин изменит пароли перед отправкой электронных писем, а это означает, что если ваш веб-сервер не сможет отправлять электронные письма, ваши пользователи будут заблокированы на сайте».

Чего не хватает Jetpack и Sucuri

Наша самая большая проблема с Sucuri заключается в том, что сканер вредоносных программ не работает. Мы ожидали, что он обнаружит некоторые вредоносные программы, учитывая, насколько широко Sucuri используется на веб-сайтах. Но ничего не обнаружил! Непростительно, на наш взгляд.

Jetpack не имеет ни брандмауэра, ни очистки от вредоносных программ, автоматизированной или какой-либо другой. Он делает половину работы по поиску вредоносных программ, которые уже есть на веб-сайте, но ничего не делает для их удаления или защиты. Нигде близко к адекватным, с точки зрения безопасности.

Sucuri против Jetpack: цены

Самый низкий премиальный план Sucuri стоит 199,99 долларов в год за сайт. Это хорошая сделка для неограниченного количества запросов на удаление вредоносных программ, которые вы можете иметь. Брандмауэр тоже приличный, но сканер ужасен. Это не совсем соотношение цены и качества. Jetpack не является хорошим плагином безопасности для ценника в 300 долларов.

Если бы мы собирались заплатить 300 долларов за плагин безопасности, мы бы потребовали от этого плагина многого: безошибочный сканер вредоносных программ, брандмауэр и возможности очистки. У Jetpack нет ни того, ни другого. Это помогло идентифицировать некоторые вредоносные программы, обнаружить некоторые уязвимости и обеспечить среднюю защиту от грубой силы.

Неограниченное удаление вредоносных программ — огромный плюс в пользу Sucuri. Время отклика было отличным, нам поделились контрольным списком после взлома, и все вредоносное ПО было очищено. Но — и это большое но — сканер вредоносных программ потерпел полную неудачу. Мы были так разочарованы, что он не обнаружил мерцания вредоносного ПО. И тем не менее, команда все это убрала. Если бы Sucuri мог передать сканеру часть энергии для ручной очистки от вредоносных программ, он стал бы грозным плагином. А пока не очень.

Лучшая альтернатива Jetpack и Sucuri: MalCare

В этой статье мы представили все наши результаты сессий интенсивного тестирования. Ни Jetpack, ни Sucuri не работают эффективно для защиты веб-сайтов WordPress от хакеров и их вредоносных программ. Если вы дочитали статью до этого места, то знаете, что безопасность не подлежит обсуждению. Поэтому инвестирование в надежный плагин безопасности — это путь вперед.

Лучший доступный сегодня плагин безопасности WordPress — MalCare. MalCare имеет первоклассный сканер вредоносных программ, автоматическую очистку от вредоносных программ и расширенный брандмауэр для защиты вашего сайта от атак.

При сравнении функций всех других плагинов безопасности MalCare также оказывается значительно более экономичным. По сравнению с огромными 300 долларами Jetpack план MalCare за 150 долларов является гораздо лучшим предложением для многих других функций. Точно так же и для Sucuri план MalCare за 99 долларов намного лучше, чем их план Basic Platform за 199,99 долларов.

Заключение

Плагин безопасности является неотъемлемой частью вашего административного инструментария. Это одна из тех вещей, которые должны требовать минимального вмешательства и работать из коробки. MalCare имеет лучшую безопасность, без ненужного шума, который приносят большинство других плагинов. Это выгодное вложение для защиты ваших доходов от хакеров.

Эта статья помогла? Напишите нам и дайте нам знать. Мы были бы рады получить известия от вас!