Sucuri vs Wordfence: какой плагин безопасности лучше всего подходит для вашего сайта WordPress
Опубликовано: 2022-04-22Wordfence и Sucuri являются лидерами среди плагинов безопасности WordPress. В любом разговоре они неизбежно всплывают, и люди расходятся во мнениях относительно того, какой из них является лучшим плагином безопасности.
У Sucuri есть популярный онлайн-сканер, который широко используется администраторами веб-сайтов для обнаружения вредоносных программ. Их плагин также имеет сканер на стороне сервера, брандмауэр и многие другие функции безопасности. Sucuri предлагает неограниченное удаление вредоносных программ с любым из своих планов.
Wordfence — бесспорный лидер среди плагинов безопасности WordPress. Команда дополняет свой плагин безопасности большим количеством образовательного контента, помогая администратору понять, как защитить свой сайт от хакеров. Плагин имеет сканер и брандмауэр, а также может удалять некоторые вредоносные программы. У них тоже есть служба удаления вредоносных программ, но это платная функция по требованию.
Чтобы ответить, какой из них лучше в битве Sucuri против Wordfence, мы тщательно протестировали оба плагина. Как вы увидите в остальной части статьи, тесты были разработаны для того, чтобы плагины срабатывали, чтобы вы могли принять наилучшее решение для безопасности вашего сайта.
5 плагинов безопасности, 3 веб-сайта, 45 дней и множество вредоносных программ. Результаты были убедительными.
ВЕРДИКТ Sucuri vs Wordfence — не простой вопрос. Оба имеют сканеры вредоносных программ и брандмауэры. У Wordfence есть автоматический очиститель и дорогая служба удаления вредоносных программ, в то время как у Sucuri просто неограниченные возможности очистки в своих планах. После взвешивания всех факторов Wordfence определенно является победителем. Читай дальше, чтобы узнать больше.
Наш выбор
Для этой серии мы разработали 3 тестовых веб-сайта: первый — простой блог с большим количеством изображений и комментариев в качестве контроля; во-вторых, сайт с множеством уязвимых плагинов и тем разной степени неизвестности; и, наконец, сайт, загруженный различными вредоносными программами.
Критерии эффективности плагина разнообразны, но мы хотели сосредоточиться на одном простом вопросе: хорошо ли плагин защищает ваш сайт от хакеров и вредоносных программ?
45 дней спустя мы получили ответ. Для 4 из 5 плагинов ответ был отрицательным. 1 плагин выиграл по всем пунктам. Этот плагин — MalCare.
MalCare имеет лучший сканер вредоносных программ, который мы видели, обнаруживая вредоносные программы из файлов, баз данных и папок, независимо от того, насколько хорошо они скрыты. Он имеет автоматический очиститель, который действительно работает, очищая только вредоносные программы с хирургической точностью. И, наконец, расширенный брандмауэр, который блокирует угрозы, которые могут использовать ваш сайт.
Лучший плагин безопасности для вашего сайта WordPress — однозначно MalCare.
Резюме сравнения Sucuri и Wordfence
В этой ожесточенной битве Wordfence стал победителем. Мы должны признать, что это было близкое решение, потому что у Sucuri тоже есть свои преимущества.
Мы можем понять, почему люди так беспокоятся о том, какой из них лучше, потому что недостатки Wordfence — это сильные стороны Sucuri, и наоборот. Таким образом, в зависимости от личного опыта человека, они будут выступать за плагин, который решит их конкретную проблему.
Но из-за этого нет объективного ответа о том, какой из них в целом лучше для всех сайтов WordPress. И ответ на это - ни то, ни другое. Вы не должны идти на компромисс в отношении того или иного аспекта безопасности. Получите все это, получив вместо этого MalCare.
В двух словах
Wordfence — лучший плагин безопасности для сайта WordPress после MalCare. Бесплатная версия надежна, с отличными функциями безопасности. Сканер обнаруживает большинство вредоносных программ на основе файлов и может удалить большую часть того, что он обнаруживает. Брандмауэр является одним из самых обновленных и блокирует несколько угроз. Недостатком является то, что Wordfence сильно снижает производительность веб-сайта, а их услуги по очистке от вредоносных программ стоят дорого.
Сканер Wordfence смог обнаружить все файловые вредоносные программы, которые мы вставили в наши бесплатные плагины и темы. Если это звучит странно конкретно, это потому, что так оно и есть. Он не смог обнаружить вредоносное ПО, которое было в базе данных, а также вредоносное ПО, вставленное в премиум-плагины и темы. Это связано с тем, что используемый Wordfence механизм обнаружения соответствия файлов в значительной степени зависит от общедоступного кода.
Результаты сканирования выявили вредоносные программы и уязвимости в установленных темах и плагинах. Как ни странно, Wordfence также пометил некоторые из наших премиальных плагинов как вредоносные программы или ошибки. Это ложные срабатывания, которые мы можем видеть, потому что привыкли копаться в коде WordPress. Но из-за этого некоторые администраторы веб-сайтов могут в конечном итоге удалить вполне жизнеспособные плагины.
Кроме того, была возможность автоматически восстанавливать зараженные вредоносным ПО файлы после отображения результатов сканирования. Мы попробовали, и это сработало. Все обнаруженные вредоносные программы были удалены с сайта. Конечно, он не может исправить вредоносное ПО, которое не смог обнаружить изначально.
Затем мы попробовали брандмауэр. Он был эффективен, блокируя множество угроз, которые мы на него бросали. Но каждый раз, когда брандмауэр блокировал угрозу, мы получали оповещение. Во время нашего тестирования было так много предупреждений, что мы можем только представить, что произойдет на живом сайте. Администратор обязательно будет перегружен и пропустит критические оповещения.
Помимо этих трех основных критериев, в Wordfence доступно множество других вариантов. Защита от грубой силы превосходна, а двухфакторная аутентификация работает как шарм.
Что действительно подняло плагин на несколько ступеней, так это его потрясающее удобство использования. Wordfence — это сложный плагин безопасности, но он также доступен для новичков. То, как устроена панель инструментов, с советами и сопроводительной документацией, любой может настроить плагин безопасности, не делая случайно свой сайт непригодным для использования. На наш взгляд, это огромный плюс, особенно по сравнению с Sucuri, как вы увидите позже.
Удивительно, но Wordfence не имеет журнала активности, что нам показалось очень странным. Но настоящий минус в том, что это поглотитель ресурсов. Каждое сканирование, которое мы запускали на нашем веб-сайте, вызывало всплеск использования диска и резкое падение производительности веб-сайта. Именно по этой причине многие веб-хостинги запретили Wordfence.
Таким образом, Wordfence — отличный плагин безопасности, но с серьезными недостатками. Несмотря на все преимущества и отсутствие недостатков, MalCare — это то, что вам нужно.
Сукури в двух словах
У Sucuri есть хороший брандмауэр, и их служба удаления вредоносных программ была отличной. Но сканер вредоносных программ не смог обнаружить никаких вредоносных программ, хотя их команда удалила их позже. Плагин безопасности без работающего сканера вредоносных программ неэффективен.
Sucuri — единственный другой плагин, который может рассматриваться наряду с MalCare и Wordfence, потому что он, по крайней мере, иногда работает как плагин безопасности. Jetpack и iThemes были списаны.
Это, пожалуй, один из самых популярных плагинов безопасности, но он по-прежнему не работает в фундаментальной области: сканирование вредоносных программ. Как мы увидим позже, их служба удаления вредоносных программ является первоклассной. Они были эффективными и быстрыми, связались с нами раньше, чем мы ожидали, и хорошо справились с очисткой веб-сайта. Однако, если бы это не был тестовый веб-сайт, который мы создали и начинили вредоносным ПО, мы бы никогда не узнали, что он заражен, в первую очередь, потому что сканер выдал нам чистую метку для взлома. Так что, по сути, Сукури — это классический случай, когда телега ставится впереди лошади. Вы должны знать, что сайт взломан, чтобы очистить его, но нет никакого способа узнать, что он взломан с помощью сканера Sucuri.
Двигаясь дальше, брандмауэр работал хорошо. Он легко и последовательно защищал от таких атак, как SQL-инъекции и атаки с удаленным выполнением кода. Но это был кошмар, чтобы настроить. Поскольку мы используем тестовые сайты, было много проблем с изменением серверов имен, чтобы они указывали на IP-адреса брандмауэра Sucuri, а не на наш тестовый сайт. Если что-то из последнего предложения не имеет смысла, ничего страшного. Нам потребовались годы, чтобы настроить его тоже. Честно говоря, вы не столкнетесь с такими трудностями на своих живых сайтах, но если вы хотите настроить его на промежуточный или локальный сайт? Ожидайте проблем.
Мы уже разочаровались в брандмауэре, когда рассмотрели другие параметры конфигурации. Почему все так сложно? Язык сбивает с толку, а в некоторых случаях и откровенно снисходителен. И это было до того, как мы поняли, что каждое сканирование системы безопасности замедляло работу наших тестовых веб-сайтов. Когда мы проверили использование дискового пространства сервера, произошел тревожный всплеск.
Sucuri использует ресурсы сайта для сканирования на наличие вредоносных программ — сканер, который, как вы помните, не работает. Таким образом, он не делает то, что должен, и все еще снижает производительность сайта. Не лучший вид для Sucuri.
Какой плагин безопасности стоит ваших денег?
Советов по безопасности WordPress много, и они благонамеренны, но часто это плохой совет. Мы видели людей, пропагандирующих iThemes — один из худших плагинов безопасности, которые мы когда-либо видели, — потому что их веб-сайты никогда не взламывались, полностью игнорируя тот факт, что они регулярно обновляют плагины, используют хорошие пароли, не используют обнуленное программное обеспечение и изрядная доза удачи. Если у GoDaddy может быть утечка данных, то же самое может быть и с вашим веб-сайтом.
Суть вопроса в том, как выбрать хороший плагин безопасности. Мы составили необходимый список, избавившись от вещей, не связанных с безопасностью.
- Основные функции безопасности
- Сканирование вредоносных программ
- Очистка от вредоносных программ
- Межсетевой экран
- Полезные функции безопасности
- Обнаружение уязвимостей
- Защита входа от грубой силы
- Журнал активности
- Двухфакторная аутентификация
- Потенциальные проблемы
- Влияние на ресурсы сервера
Как видите, есть только 3 основные функции, о которых вам нужно беспокоиться. Плагин безопасности должен отлично справляться с этими тремя вещами: сканированием вредоносных программ, очисткой от вредоносных программ и брандмауэром. Все остальное подливка. Мы не отказываемся от защиты от грубой силы или двухфакторной аутентификации, потому что это тоже важно. Но вы можете получить другие плагины для этой функциональности.
MalCare — единственный подключаемый модуль безопасности, обладающий отличными возможностями сканирования и очистки от вредоносных программ, а также усовершенствованным брандмауэром, защищающим от угроз. Любой другой плагин терпит неудачу в одном месте или другом.
Sucuri vs Wordfence: прямое сравнение функций
Выбор правильного плагина безопасности может быть запутанным опытом, особенно когда вам нужно протестировать каждый из них на эффективность, надеясь, что он работает.
В этом разделе мы представили результаты тестирования, организованные по функциям. Сравнение и противопоставление одних и тех же функций плагинов дает более четкое представление об эффективности плагина безопасности.
Мы изложили наши результаты максимально честно и прозрачно, чтобы помочь людям сделать лучший выбор для своих веб-сайтов. Однако, если вы хотите быстро обезопасить свои веб-сайты, установите вместо него MalCare и пропустите его до конца.
Сканирование вредоносных программ
У Sucuri есть 2 сканера: онлайн-сканер под названием SiteCheck и сканер на уровне сервера, который является частью плагина. Оба не обнаружили вредоносных программ. Wordfence имеет приличный сканер вредоносных программ, который может обнаруживать вредоносные скрипты в основных файлах и папках, а также в бесплатных плагинах и темах. В противном случае он пропускал вредоносное ПО в базе данных, а также премиальные плагины и темы.
Мы часто рекомендуем Sucuri SiteCheck в качестве первого уровня диагностики вредоносных программ, если кто-то подозревает, что их WordPress был взломан. Он не может сканировать весь веб-сайт, но может быстро выявлять распространенные вредоносные программы и без необходимости установки специального плагина.
У нас были большие ожидания от сканера на уровне сервера, учитывая, что он будет иметь полный доступ к веб-сайту. Установка немного отличается от других плагинов, потому что сканер необходимо установить на ваш веб-сервер. Это можно сделать вручную или введя сведения о FTP на панели инструментов. Мы закончили установку и дождались завершения сканирования.
Значительное время спустя сканирование было завершено, и наш веб-сайт, зараженный вредоносным ПО, по-видимому, не был взломан. Запустите сканирование во второй раз, чтобы увидеть, была ли ошибка в первый раз. Нет, по словам Сукури, вредоносного ПО все еще нет. Крупный провал.
При установке Sucuri настроен на запуск один раз в день, но вы можете запросить сканирование по требованию. Запросы ставятся в очередь, а затем выполняются в зависимости от доступности. Сам плагин предупредит вас, что сканирование вашего сайта будет использовать ресурсы сервера и, следовательно, повлияет на производительность вашего сайта. Честно говоря, это ужасно, потому что безопасность не должна достигаться за счет производительности и пользовательского опыта. Мы рассмотрим это более подробно в другом разделе.
Wordfence также автоматически запускает сканирование при установке. Однако здесь возникла небольшая путаница, потому что мы предположили, что процентный круг на приборной панели — это прогресс сканера. После того, как мы увидели, что он не превышал 60% в течение нескольких часов, мы присмотрелись и поняли, что это измерение эффективности сканера. Чтобы получить 100%, вам нужно обновить плагин.
Перезапустил сканер, чтобы оценить, сколько времени это заняло, и, поскольку наши тестовые площадки небольшие, сканирование было выполнено менее чем за минуту. Это определенно плюс. Результаты сканирования были только выше среднего, но не идеальными, потому что они обнаружили большую часть вредоносного ПО, а не все.
Причина этого в том, что Wordfence использует сопоставление сигнатур для обнаружения вредоносных программ. Это означает, что сканер Wordfence сравнивает код вашего веб-сайта с базой данных сигнатур вредоносных программ. Если есть совпадение, сканер помечает его как вредоносное ПО. Несмотря на то, что Wordfence имеет внушительную базу данных вредоносных программ, которую они регулярно обновляют на основе своих исследований в области безопасности, она никогда не может быть завершена на 100%, потому что команде необходимо увидеть вредоносное ПО, чтобы обновить его в базе данных, и независимо от всестороннего исследования новые вредоносное ПО появляется постоянно
Таким образом, Wordfence умеет обнаруживать вредоносное ПО, обнаруженное в основных файлах и папках WordPress, а также вредоносные скрипты в бесплатных плагинах и темах. Но он не может обнаружить вредоносное ПО в премиальном программном обеспечении, таком как Elementor, например, потому что у них нет доступа к исходному коду для анализа. По той же причине Wordfence также не может обнаружить вредоносное ПО в базе данных, поскольку для его обнаружения требуется механизм, выходящий за рамки сопоставления сигнатур.
При этом Wordfence обнаружил все наши файловые вредоносные программы. По нашей оценке, он способен обнаруживать от 70 до 80% вредоносных программ. Он также подвержен ложным срабатываниям и имеет тенденцию генерировать массу предупреждений. Об этом мы также поговорим в отдельном разделе.
Очистка от вредоносных программ
Wordfence имеет функцию автоматического восстановления для очистки вредоносных программ, но эффективность более сложных вредоносных программ является спорной. У них есть услуга удаления вредоносных программ премиум-класса, но она может продырявить дыру в кармане по цене 490 долларов за сайт. Sucuri, с другой стороны, имеет неограниченную ручную очистку от вредоносных программ, включенную во все их планы.
Несмотря на то, что сканер Sucuri сказал, что на нашем сайте нет вредоносного ПО, а оно определенно было, мы запросили очистку, не ожидая многого. Однако сайт вернулся к нам безупречным. Мы прогнали его через MalCare для проверки. Как ни странно, после того, как команда Sucuri очистила наш сайт, сканер пометил на нем вредоносное ПО. Понятно, где-то баг.
Служба удаления вредоносных программ была очень быстрой. Хотя наш план гарантировал ответ в течение 30 часов, мы получили очищенный сайт менее чем за 10. Это потрясающе. Единственное предостережение, на которое мы хотели бы обратить внимание, это то, что когда у вас есть взломанный сайт, время имеет существенное значение. Вы не можете позволить вредоносному ПО долго томиться на вашем сайте. Просто чтобы подчеркнуть, насколько важно действовать быстро, черный список Google также измеряет время вашего ответа на уведомления о вредоносных программах.
Для удаления вредоносных программ вам необходимо запросить очистку от Sucuri. Заполните форму со всей информацией, которую вы можете предоставить, и команда приступит к работе. Мы получили сообщение от Sucuri с контрольным списком после взлома с отличными рекомендациями. В целом, функция очистки от вредоносных программ с помощью Sucuri заслуживает одобрения.
У Wordfence есть 2 варианта работы со взломанными файлами на панели инструментов: удалить все удаляемые файлы и восстановить все файлы, которые можно восстановить. Это помимо CTA, предлагающего нам выбрать их экспертную услугу по уборке.
Мы попробовали оба варианта, и оба они довольно успешно удалили вредоносное ПО с нашего веб-сайта. Проблема в том, что автоматическому удалению предшествуют грозные предупреждения о поломке сайта из-за изменений.
Резервные копии наших тестовых сайтов хранятся в BlogVault, и, честно говоря, мы не особо беспокоились о том, что они сломаются. Хотя мы смогли пройти без особых раздумий, это потому, что мы были заинтересованы в тестировании функции ремонта. Однако дело обстоит иначе, скажем, в чьем-то интернет-магазине или на веб-сайте с высокой посещаемостью.
В нашей серии тестов мы обычно останавливались на этом этапе, потому что большинство других подключаемых модулей безопасности не работали. Wordfence очистил наш веб-сайт от всех файловых вредоносных программ, поэтому мы попробовали эту функцию с вредоносными программами для баз данных и некоторыми из наших премиальных плагинов. Сканер не смог обнаружить такое количество вредоносного ПО, поэтому автоматическое восстановление даже не рассматривалось.
Другой альтернативой было запросить удаление вредоносных программ. Служба предназначена для удаления вредоносных программ, бэкдоров и проведения аудита безопасности веб-сайта с оценкой уязвимостей. Если ваш сайт попал в черный список, Wordfence поможет избавиться и от этого. Услуга предоставляется в течение года, в зависимости от того, следовал ли администратор сайта рекомендациям после взлома. Обратите внимание: мы не можем говорить об эффективности службы удаления вредоносных программ Wordfence, так как не пробовали ее.
С другой стороны, мы использовали MalCare для автоматического удаления всех вредоносных программ, и мы смогли сделать это без проблем. Никаких страшных предупреждений, никаких пропущенных вредоносных программ, и наш сайт стал безупречно чистым за считанные минуты. Именно такую очистку от вредоносных программ мы и хотим для нашего веб-сайта.
Межсетевой экран
И Sucuri, и Wordfence имеют отличные брандмауэры, которые блокируют наиболее распространенные и серьезные угрозы. Но установить брандмауэр Sucuri было кошмаром, а бесплатный брандмауэр Wordfence, к сожалению, получает обновления позже, чем их премиум-версия.
Брандмауэр Sucuri защищал от таких атак, как SQL-инъекции, удаленные инъекции и атаки с использованием межсайтовых сценариев. Наш тестовый веб-сайт имел массу уязвимостей, таких как незащищенная загрузка файлов, например, и оставался в безопасности за брандмауэром.
Наша проблема с брандмауэром Sucuri заключалась в его установке. Чтобы использовать брандмауэр, вам нужно направить свой трафик на их серверы имен, чтобы отфильтровать плохой трафик и направить на ваш сайт только хороший трафик. Отличная идея, но какой кошмар для настройки. Наши тестовые веб-сайты не были привязаны ни к одному регистратору доменов, поэтому нам пришлось привлечь команду инженеров, чтобы выяснить это.
Брандмауэр Wordfence также работает «из коробки» и успешно защищает от атак.
Сразу после установки брандмауэр перешел в режим обучения. Wordfence рекомендовал оставить режим обучения на неделю. Это справедливо, потому что межсетевым экранам нужен живой трафик, чтобы научиться работать эффективно. Однако, поскольку у нас нет живого трафика на наши тестовые веб-сайты, мы не видели смысла ждать неделю и сразу отключили его.
С Wordfence бесплатный брандмауэр якобы эффективен только на 35%. Это не предположение с нашей стороны, а фактически на приборной панели. Мы копнули немного глубже, чтобы понять, почему это может быть так. Есть 2 причины:
Первый: бесплатный брандмауэр загружается как плагин после завершения работы WordPress. Порядок загрузки значительно влияет на безопасность, потому что, если брандмауэр загружается после ядра WordPress, это означает, что он может блокировать только часть вредоносного трафика, а не весь.
Второе: хотя Wordfence имеет самый обновленный брандмауэр, премиум-версия получает эти обновления в режиме реального времени. Однако бесплатная версия получает обновления через неопределенный промежуток времени. У нас нет возможности узнать, что такое задержка, но это потенциально проблематично. В конце концов, хакеры могут ударить в окно.
Самым большим преимуществом является то, что сами Wordfence оценивают эффективность своего бесплатного брандмауэра на 35% по сравнению с его премиальной версией. Не хорошо.
Обнаружение уязвимостей
Wordfence отлично справился с обнаружением всех уязвимостей на нашем сайте. Сукури вообще пропустил малоизвестные.
Мы были впечатлены, увидев, что Wordfence предупредил нас обо всех устаревших плагинах как о средней угрозе. Уязвимости были правильно помечены как критические угрозы. Другие плагины безопасности спотыкались о более малоизвестные плагины и темы, совсем не предупреждая нас об их серьезных уязвимостях, таких как межсайтовый скриптинг в одном случае. Так что Wordfence оказался здесь козырем.
Невозможно исправить уязвимости непосредственно с панели инструментов Wordfence, но в этом есть смысл. Исправление уязвимостей, по сути, означает обновление плагина или темы, и эта функциональность уже легко доступна на wp-admin. Если Wordfence не имеет визуальной регрессии, такой как MalCare, чтобы убедиться, что обновление не сломает сайт, нет смысла копировать существующую функцию.
Wordfence также выдал ошибки для iThemes и Backupbuddy. Это свидетельствует об их склонности отмечать ложные срабатывания на веб-сайте.
Sucuri обнаружила все уязвимости, кроме самых малоизвестных, на наших тестовых сайтах. Однако вы можете обновить устаревшее программное обеспечение с панели инструментов Sucuri, в отличие от Wordfence. Мы действительно не видим утилиту, так как обновления легко возможны через wp-admin.
На вкладке post-hack перечислены версии установленных плагинов и тем, а также их последние версии. Sucuri предостерегает от продолжения использования устаревшего программного обеспечения, поскольку оно может привести к заражению вредоносным ПО.
Интересно, что даже служба удаления вредоносных программ Sucuri смогла обнаружить только некоторые уязвимости на нашем веб-сайте. Учитывая наш опыт работы со сканером, мы подумали, что служба удаления лучше справится с обнаружением уязвимостей. Похоже, это не так.
Защита входа от грубой силы
Wordfence отлично блокирует все атаки грубой силы. Функция защиты входа Sucuri не работает.
Защита от грубой силы включена по умолчанию в Wordfence. Каждый раз он работает отлично, блокируя пользователей со слишком большим количеством неправильных попыток, в зависимости от конфигурации, которую мы установили на панели инструментов.
Вы найдете настройки в разделе брандмауэра. В меню параметров можно настроить множество параметров: установка блокировки при неправильных попытках входа в систему; сколько времени пользователь будет испытывать блокировку; и так далее. Вариантов не так много, и Wordfence объясняет каждый из них убедительно и с отличной документацией.
Здесь вы также можете установить параметры управления паролями, чтобы обеспечить использование надежных паролей и предотвратить использование паролей, обнаруженных при утечке данных.
В этом разделе можно внести IP-адреса в белый список, но мы неоднозначно относимся к их эффективности. IP-адреса устройств являются динамическими, поэтому наличие белого списка не гарантирует, что законный пользователь не будет заблокирован.
Защита Sucuri от грубой силы не сработала должным образом. У нас не было ни блокировки, ни проверки, чтобы убедиться, что мы люди, а не боты. Мы не получали предупреждений, несмотря на то, что атаки были зарегистрированы в журналах аудита. В целом, функция была размытой.
Вы бы так не подумали, если бы увидели параметры конфигурации на приборной панели. Было так много вариантов, что мы шатались после точки. В целом, мы бы предпочли меньше вариантов с работающей функцией, чем наоборот.
Журнал активности
У Sucuri есть журнал аудита, но его сложно понять. В Wordfence нет журнала действий.
У Sucuri есть журнал аудита, который отслеживает все действия пользователя, а также изменения плагинов и тем. В журналах будут отображаться все изменения, внесенные в файлы и таблицы, и это хорошо.
В журналах есть необходимая информация, такая как пользователь, действие, отметка времени и т. д. Но в некоторых случаях записи очень трудно понять. Например, для проверки журналов мы установили плагин галереи. Полученные записи в журнале аудита показывают 7 различных изменений. Из записей не было ясно, что это за изменение, почему оно происходит и кто несет за это ответственность. Поэтому журнал аудита практически бесполезен для тех, кто не говорит на сукури.
Мы были удивлены, увидев, что Wordfence не имеет журнала действий, учитывая, что это один из столпов безопасности веб-сайта. В разделе «Диагностика» меню «Инструменты» есть возможность включить отладку, что приводит к тому, что журналы брандмауэра становятся более подробными, но это не то же самое, что журнал активности.
После долгих поисков мы обнаружили журнал активности специально для событий Wordfence в разделе «Сканирование». Однако это необработанный журнал, явно предназначенный только для разработчиков Wordfence.
Двухфакторная аутентификация
В Wordfence есть отличная функция двухфакторной аутентификации. Sucuri не поддерживает его на вашем сайте.
Двухфакторная аутентификация Wordfence работает сразу после установки, с простым набором параметров для индивидуальной настройки. Раньше это была премиальная функция, но с тех пор она была добавлена и в бесплатный плагин.
Sucuri не поддерживает двухфакторную аутентификацию для вашего веб-сайта, но с ее помощью вы можете защитить свою учетную запись Sucuri.
Использование ресурсов сервера
И Sucuri, и Wordfence — пожиратели ресурсов. Мы видели безошибочные всплески использования диска при сканировании и из-за брандмауэра.
Это один из факторов, по которому нечего выбирать между Wordfence и Sucuri: они оба показали себя одинаково плохо.
Каждое действие, которое эти плагины выполняют на вашем сайте, потребляет ресурсы сервера. Наши веб-сайты относительно небольшие, и мы видели, что использование диска удваивается, а иногда и утраивается, когда мы настраиваем сканирование. Это повлияло на время загрузки, время отклика и общее впечатление от веб-сайта.
Если у вас есть веб-сайт WooCommerce или веб-сайт с высокой посещаемостью, этот эффект будет заметен для ваших пользователей. Если вы используете виртуальный хостинг, ваш веб-хостинг поднимет флаги, и ваши расходы на хостинг потенциально могут увеличиться. Фактически, многие веб-хостинги запретили Wordfence именно по этой причине.
Хотя люди редко говорят о ресурсах сервера при обсуждении безопасности, это важный фактор. Никто не должен идти на компромисс ни с производительностью, ни с безопасностью. Вполне возможно оптимизировать и то, и другое.
Однако не с Sucuri или Wordfence. Для этого вам понадобится MalCare.
Оповещения
И Sucuri, и Wordfence печально известны бесчисленными предупреждениями и ложными срабатываниями.
Мы твердо верим в то, что нам нужно снять с наших клиентов бремя администрирования WordPress. Брандмауэры должны незаметно блокировать трафик. Защита от ботов должна работать из коробки. Администратор должен быть предупрежден только в том случае, если есть что-то, что требует его внимания и действий. Безопасность WordPress должна быть простой и легкой, иначе какой смысл в плагине безопасности?
По-видимому, ни Sucuri, ни Wordfence не придерживаются этой точки зрения, потому что их оповещения ошеломляют. Наши почтовые ящики мгновенно заполнились. Слишком много предупреждений так же плохо, как и отсутствие предупреждений, потому что в конечном итоге и то, и другое приводит к бездействию, когда это необходимо.
Установка, настройка и удобство использования
Wordfence разработан, чтобы быть очень простым для начинающего пользователя. Сукури нет.
Установка, настройка и общее использование Wordfence — одни из лучших, которые мы когда-либо видели. В каждом основном разделе есть пошаговые инструкции, объясняющие наиболее важные настройки и функции простым, безопасным языком.
У Wordfence есть отличные рекомендации по настройке. Их документация доступна из всплывающих подсказок на панели инструментов, что делает ее очень контекстуальной. Каждая функция четко объяснена, а инструкции о том, как заставить ее работать на вашем веб-сайте, доступны мгновенно.
Это может показаться странным. Однако, если вы когда-либо пробовали Sucuri, вы понимаете, что простота понимания — нетривиальная часть любого пользовательского опыта. На самом деле, если бы нам пришлось описать Сукури одним словом, это слово сбило бы с толку.
Установить Sucuri было легко, а дальше все пошло под откос. Для использования сканера на стороне сервера и брандмауэра их необходимо настроить вручную. Вариантов так много, что мы потратили часы, пытаясь разобраться в них, в дополнение к выяснению того, действительно ли они влияют на безопасность.
В целом, эти два плагина находятся на противоположных концах спектра.
Wordfence: Дополнения
Wordfence — это строго безопасность. Нет ни одной функции, параметра или строки, которые были бы даже связаны с безопасностью, например, обновления или параметры управления пользователями. Несмотря на это, есть несколько дополнений.
Был раздел уведомлений об обновлениях сайта, который показывал нам, какие плагины и темы необходимо обновлять в первую очередь, поскольку они представляли собой либо критические, либо средние угрозы.
Wordfence имеет внешнюю панель инструментов для управления несколькими сайтами в одной учетной записи, которая называется Wordfence Central. Он также имеет сопроводительный раздел о wp-admin каждого подключенного сайта, предположительно, чтобы вы могли видеть каждый сайт с высоты птичьего полета, независимо от того, над каким сайтом вы сейчас работаете. На наш взгляд, это имеет ограниченную полезность и не будет работать для агентств с сотнями управляемых сайтов.
Далее мы рассмотрели раздел «Инструменты». Есть раздел для живого трафика, который, казалось бы, повторяет Google Analytics, но не только. Эти журналы классифицируют трафик с помощью ключа, чтобы увидеть, какой тип трафика получает веб-сайт: человек, бот, предупреждение, заблокированный.
Существует опция поиска Whois, если вы хотите узнать, кто злоумышленник, не выходя из wp-admin. Опять же, это в лучшем случае случайная особенность.
Мы подумали, что Диагностика была действительно интересной, так как в ней было много информации о сайте. Там все очень гранулировано, начиная от владельцев процессов и заканчивая таблицами базы данных. Разработчики найдут эту информацию чрезвычайно полезной, потому что она похожа на спецификацию веб-сайта, собранную в одном месте.
Сукури: Дополнения
В плагине Sucuri много дополнительных излишеств и фишек. Другое дело, влияют ли они на безопасность.
Первое, что вы увидите при установке, — это информационное окно целостности WordPress. Это действительно модная версия основного монитора изменений файлов WordPress. Очевидно, что иметь монитор изменений файлов для основных файлов WordPress несколько полезно, но его эффективность не так велика, как кажется. Хакеры могут и будут изменять метаданные файлов, такие как метки времени обновления, чтобы обойти эти меры. Так что да полезно, но не так много.
Существует утилита сравнения целостности для сравнения основных файлов на веб-сайте с оригинальной установкой WordPress. Это, безусловно, проще, чем использовать онлайн, если вы очищаете вредоносное ПО вручную, что мы совсем не рекомендуем.
Sucuri имеет множество функций повышения безопасности WordPress. Блокировка PHP в папке загрузки защищает от одной категории взломов, и нам нравится возможность быстро менять соли WordPress с панели управления. Хотя можно было сделать лучше. Если бы эта функция была на внешней панели инструментов Sucuri, а не на wp-admin, это было бы безопаснее. Представьте, что хакер получает доступ к wp-admin, соли будут легко скомпрометированы, поскольку они находятся в открытом виде.
Некоторые другие параметры имеют ограниченную полезность, например, проверка версии WordPress, удаление версии WordPress, предотвращение утечки информации и проверка учетной записи администратора по умолчанию. Они бессмысленны с точки зрения безопасности.
Смущали и другие особенности закалки. Например, если бы мы отключили редактор плагинов и тем, как бы мы могли обновлять плагины и темы с уязвимостями? Контрпродуктивно, мягко говоря.
The password management feature held some promise, but the warning would terrify all but the most brave: “Select users from the list in order to change their passwords, terminate their sessions and email them a password reset link. Please be aware that the plugin will change the passwords before sending the emails, meaning that if your web server is unable to send emails, your users will be locked out of the site.”
What's missing from Wordfence and Sucuri
Sucuri doesn't have a good malware scanner. The brute force login protection doesn't work, and it takes up too much of server resources. There is no bot protection either, and you would need a separate plugin for two-factor authentication.
Wordfence misses out on bot protection and an activity log. The scanner is above average; definitely a cut above the other security plugins available apart from MalCare. Apart from these things, it is an exceptional security plugin.
Wordfence vs Sucuri: Pricing
Sucuri's plans start at $199.99 a year per site, which is a great deal for unlimited malware removal. The firewall works well, but the scanner is a let down. Wordfence premium plans are at $99 for the year per site, with attractive bulk pricing options. However, our opinion is that the free version is almost as good as the premium version.
Sucuri is a winner when it comes to the unlimited malware removal feature. The support team was great, with a quick turnaround time, helpful response and a proactive post-hack checklist. But the malware scanner was a complete failure, and that's not a small flaw to overlook.
The free version of Wordfence is strong enough to stand on its own. The premium version is not all that different, the efficiency percentages on the dashboard notwithstanding. The real expense to consider with Wordfence is the cleaning service at $490 a pop, over and above the site license. If you are considering Wordfence seriously, read the fine print. Although they say unlimited pages, there are additional charges for sites above 10 GB. They guarantee the service for a year, but there are terms and conditions. None of this is unreasonable, but it is important to be aware before taking the plunge.
Better alternative to Wordfence and Sucuri: MalCare
The best security plugin for your website isn't Wordfence or Sucuri, it is MalCare. It has an excellent scanner that detects malware in all parts of your website: core WordPress, files and the database. Additionally, the auto-clean feature removes all malware surgically, without breaking your website.
MalCare has an advanced firewall that proactively blocks bad traffic from reaching your website. The brute force protection makes sure that your login page is safe from malicious attacks, and the bot protection goes even further to make sure only bad bots are kept away from your website.
There is a formidable support team of WordPress security experts to help with any issues that come up. Any malware removal cleanups necessary beyond the auto-clean are covered with the site license.
Thus, in a feature-to-feature comparison, MalCare undoubtedly comes out on top. MalCare's $99 plan is vastly better than Sucuri's $199.99 Basic Platform plan, and includes unlimited malware removal, which is over and above Wordfence's $99 plan.
Вывод
When choosing a WordPress security plugin for your website, make sure to evaluate the scanner, cleaner and firewall. All the other features can be implemented with other plugins, but these 3 features form the essence of a good plugin.
At MalCare, our goal is to make security stress-free and painless, so that you can focus on the more important aspects of your website. Leave the security to us, as you grow your business.
We hope this comparison was helpful, as we have presented all our findings transparently. Have further questions? Drop us a line. Мы были бы рады получить известия от вас.