iThemes Security Vs Sucuri: ปลั๊กอินความปลอดภัยไหนดีกว่ากัน?

เผยแพร่แล้ว: 2023-04-19

เมื่อมองแวบแรก iThemes Security ดูเหมือนปลั๊กอินความปลอดภัยที่ยอดเยี่ยมและราคาย่อมเยาสำหรับเว็บไซต์ WordPress ของคุณ โดยเฉพาะอย่างยิ่งหากคุณพิจารณาว่าคุณสามารถปกป้องเว็บไซต์ได้ไม่จำกัดในราคาเพียง $199

ในทางกลับกัน Sucuri เป็นหนึ่งในปลั๊กอินความปลอดภัย WordPress ที่ได้รับความนิยมสูงสุด มันอัดแน่นด้วยเครื่องสแกนและไฟร์วอลล์และเสนอการกำจัดมัลแวร์ด้วย ดังนั้นแล้วในการเผชิญหน้ากันนี้ มันได้ขโมยการเดินขบวนบน iThemes ทำไม เนื่องจาก iThemes ไม่มีคุณสมบัติเหล่านี้

iThemes ถูกเขี่ยออกจากการแข่งขันโดยสิ้นเชิง ในการแข่งขันครั้งนี้ Sucuri เป็นผู้ชนะอย่างไม่ต้องสงสัย ต้องบอกว่าเรายังคงไม่ไว้วางใจ Sucuri ในการปกป้องเว็บไซต์ของเรา ปลั๊กอินความปลอดภัยใดรับประกันว่าจะปกป้องเว็บไซต์ WordPress จากแฮกเกอร์ คำตอบนั้นชัดเจน: MalCare

สรุปการเปรียบเทียบ iThemes Security กับ Sucuri

iThemes Security เป็นปลั๊กอินความปลอดภัยของ WordPress คุณคิดว่าเว็บไซต์ของคุณปลอดภัยจากแฮ็กเกอร์ แต่สิ่งที่ป้องกันได้จริงคือความคิดที่ปรารถนาดีและความรู้สึกเชิงบวก Sucuri นั้นดีกว่าอย่างไม่ต้องสงสัย แต่ก็ดีกว่าเป็นคำที่เกี่ยวข้อง ไม่ใช่ปลั๊กอินความปลอดภัยที่ดี

การเปรียบเทียบ iThemes Security กับ Sucuri

สรุปความปลอดภัยของ iThemes

สิ่งสำคัญที่สุดคือ iThemes ไม่ปกป้องเว็บไซต์ของคุณ เราขอแนะนำให้ข้าม iThemes ไปเลยหากคุณกำลังพิจารณาเพื่อความปลอดภัยของ WordPress และหากคุณติดตั้งไว้แล้ว โปรดสแกนเว็บไซต์ของคุณทันที เว็บไซต์ของคุณไม่มีการรักษาความปลอดภัย

ความประทับใจครั้งแรกของเราที่มีต่อ iThemes นั้นค่อนข้างดี เว็บไซต์พูดถึงเกมที่ยอดเยี่ยมและปลูกฝังความมั่นใจเนื่องจากวิธีที่เชื่อถือได้ซึ่งพวกเขาพูดถึงความปลอดภัยของ WordPress ข้อบกพร่องเดียวที่เราเห็นคือคุณไม่สามารถใช้ปลั๊กอินเพื่อล้างมัลแวร์ได้ ไม่เหมาะ แต่ก็ยังสามารถใช้เป็นเครื่องสแกนได้

หรืออย่างที่เราคิด

คุณลักษณะของเว็บไซต์ไอธีมส์

เครื่องสแกน iThemes ตรวจไม่พบมัลแวร์ เลย. เราคงเสี่ยงที่จะเดาว่ามันไม่ได้สแกนไฟล์และข้อมูลด้วยซ้ำ เพราะการสแกนเสร็จสิ้นในไม่กี่วินาที สิ่งที่ 'สแกนเนอร์' ของ iThemes ทำคือตรวจสอบรายงานเพื่อความโปร่งใสของ Google เพื่อดูว่าเว็บไซต์ของคุณอยู่ในรายการนั้นหรือไม่ เราไม่จำเป็นต้องมีปลั๊กอินความปลอดภัยในการทำเช่นนั้น เรากลับไปตรวจสอบเว็บไซต์และต้องตะลึงเมื่อทราบว่าฟีเจอร์ดังกล่าวไม่ได้ระบุอย่างชัดเจนว่าให้สแกนหามัลแวร์ มันบอกว่าการตรวจจับมัลแวร์เป็นหนึ่งในขั้นตอนสำคัญในการรักษาความปลอดภัยของ WordPress นั่นเป็นสองเท่าถ้าเราเคยเห็นมัน

เราถูกล่อลวงให้เขียนการทดสอบ iThemes ว่าไร้ประโยชน์ แต่ยังคงดำเนินต่อไปเพื่อความยุติธรรม

ปลั๊กอินมีคุณลักษณะการรับรองความถูกต้องด้วยสองปัจจัยซึ่งคุณสามารถเปิดใช้งานได้ในหน้าเข้าสู่ระบบของคุณ นอกจากนี้ยังมีคุณสมบัติการเสริมความแข็งแกร่งที่ดีเช่นการบล็อกการดำเนินการ PHP ในโฟลเดอร์ ต้องบอกว่าการป้องกันการเข้าสู่ระบบแบบเดรัจฉานบังคับใช้งานได้ในบางครั้งเท่านั้น อีกเครื่องหมายสีดำกับปลั๊กอิน

สิ่งที่หลีกเลี่ยงจากการใช้ iThemes คือคุณลักษณะเฉพาะของค่าความปลอดภัยใด ๆ คือการตรวจสอบสิทธิ์แบบสองปัจจัยและการนำ reCAPTCHA ไปใช้งานบน wp-login ที่ง่ายดาย ฟีเจอร์ทั้งสองนี้ไม่รับประกันการเรียกเก็บเงิน $199 เนื่องจากมีปลั๊กอินความปลอดภัยที่ดีกว่าที่จะนำเสนอฟีเจอร์เดียวกัน นอกเหนือไปจากความปลอดภัยจริงบางอย่าง

การทดสอบ iThemes เป็นประสบการณ์ที่เลวร้ายเพราะเราไม่สามารถจินตนาการได้ว่ามีเว็บไซต์จำนวนเท่าใดที่เชื่อว่าพวกเขาได้รับการปกป้องจากการรักษาความปลอดภัยที่ไม่มีอยู่จริง ในความเป็นจริง ผู้ใช้ iThemes คุณควรสแกนเว็บไซต์ของคุณทันที

Sucuri สรุป

Sucuri มีไฟร์วอลล์ที่เหมาะสมและบริการกำจัดมัลแวร์ที่ยอดเยี่ยม แต่ล้มเหลวอย่างมากในฐานะเครื่องสแกนมัลแวร์ หากคุณไม่ทราบว่าเว็บไซต์ของคุณมีมัลแวร์ ไม่มีทางที่จะกำจัดมันได้ นี่เป็นส่วนที่ไม่สามารถต่อรองได้ของปลั๊กอินความปลอดภัย

เมื่อเราเริ่มทดสอบ Sucuri เราคาดหวังอย่างมากจากการทดสอบนี้ เป็นหนึ่งในปลั๊กอินความปลอดภัยยอดนิยมสำหรับ WordPress และเรารู้สึกทึ่งเมื่อเห็นว่าเครื่องสแกนตรวจไม่พบมัลแวร์บนไซต์ทดสอบที่ถูกแฮ็กของเรา เราจะลงรายละเอียดเพิ่มเติมในส่วนถัดไป แต่นี่จะเป็นตัวกำหนดแนวทางสำหรับกระบวนการทดสอบทั้งหมดของเรา

ปลั๊กอินความปลอดภัย Sucuri

นอกเหนือจากความล้มเหลว การสแกนเองใช้เวลานานกว่าจะเสร็จสิ้นและใช้ทรัพยากรเซิร์ฟเวอร์ของเราในการดำเนินการ Sucuri เองไม่สนับสนุนการสแกนมากเกินไปเนื่องจากส่งผลกระทบต่อประสิทธิภาพของเว็บไซต์ เป็นการแลกเปลี่ยนที่น่ากลัวระหว่างประสิทธิภาพและความปลอดภัย และไม่ควรเป็นเช่นนั้น

การย้ายไปยังบริการกำจัดไฟร์วอลล์และมัลแวร์ Sucuri ทำได้ดี ไฟร์วอลล์นั้นกำหนดค่าได้ยากมาก และเราใช้เวลามากเกินไปในการดำเนินการดังกล่าว แต่มันปิดกั้นการโจมตีที่เราพยายาม และเราไม่สามารถใช้ประโยชน์จากช่องโหว่ใดๆ

บริการกำจัดมัลแวร์เป็นจุดเด่นของประสบการณ์การทดสอบของเรา แม้ว่าเครื่องสแกนจะทำให้เว็บไซต์ที่ถูกแฮ็กของเรามีสุขภาพที่ดี แต่เราก็รู้ว่ามันเต็มไปด้วยมัลแวร์ อย่างแรก เราวางมัลแวร์ไว้ที่นั่น และการสแกน MalCare อย่างที่สองก็ยืนยันการวินิจฉัยนี้ ทีมงานของ Sucuri ได้ลบร่องรอยของมัลแวร์ทั้งหมดออกจากไซต์ของเรา และผลที่ตามมาก็คือมันสะอาดหมดจด มหัศจรรย์! ข้อดีของเค้กนี้คือคุณสามารถขอลบมัลแวร์ได้ไม่จำกัดซึ่งเป็นส่วนหนึ่งของแผนของคุณ ซึ่งถือว่าดีมาก

นอกเหนือจากไฟร์วอลล์แล้ว การตั้งค่ายังคลุมเครือมาก เราพบว่าตัวเองกำลังงุนงงกับศัพท์แสงจำนวนมากที่ใช้ และนั่นคือความเชี่ยวชาญในการรักษาความปลอดภัยของ WordPress อินเทอร์เฟซไม่เป็นมิตรกับผู้ใช้ และเรามั่นใจว่าหลายคนจะพบว่ามันน่าตกใจโดยไม่จำเป็น จุดลบสำหรับ Sucuri ที่นั่น

สรุปแล้ว เราไม่คิดว่า Sucuri จะเป็นโซลูชั่นรักษาความปลอดภัยที่ดีที่สุดสำหรับเว็บไซต์ WordPress รางวัลดังกล่าวตกเป็นของ MalCare เนื่องจากเครื่องสแกนที่ทำงานทุกครั้ง MalCare ยังได้รับคะแนนโบนัสที่ไม่ทำให้เรารู้สึกอึดอัด

วิธีเลือกปลั๊กอินความปลอดภัยที่เหมาะสมสำหรับเว็บไซต์ WordPress ของคุณ

ความปลอดภัยสำหรับเว็บไซต์ WordPress ของคุณนั้นไม่สามารถต่อรองได้ มัลแวร์สามารถก่อให้เกิดความสูญเสียนับไม่ถ้วนสำหรับธุรกิจ: การสูญเสียรายได้ การฟ้องร้อง ค่าใช้จ่ายในการล้างข้อมูล ผลกระทบต่อการสร้างแบรนด์ การสูญเสียการเข้าชมแบบออร์แกนิก และอื่นๆ อีกมากมาย การลงทุนในปลั๊กอินที่เหมาะสมจะช่วยคุณประหยัดจากแฮกเกอร์และมัลแวร์ และปัญหาที่มัลแวร์ปล่อยให้เกิดขึ้น

คำถามก็คือ คุณจะเลือกปลั๊กอินความปลอดภัยที่มีประสิทธิภาพสำหรับเว็บไซต์ของคุณได้อย่างไร

เมื่อเราตั้งค่าการทดสอบ มีหลายปัจจัยที่ต้องพิจารณา ได้แก่ ความปลอดภัย แน่นอนว่ายังใช้งานง่ายและคุ้มค่าเงินอีกด้วย อย่างไรก็ตาม ในไม่ช้าเราก็ตระหนักว่าปัจจัยทั้งหมดนอกเหนือจากความปลอดภัยกลายเป็นเรื่องไร้ความหมาย เพราะควรคำนึงถึงประสิทธิภาพของปลั๊กอินในด้านความปลอดภัยเท่านั้น

ต่อไปนี้คือปัจจัยที่ต้องพิจารณาเมื่อเลือกปลั๊กอินความปลอดภัย

  • คุณลักษณะด้านความปลอดภัยที่จำเป็น
    • การสแกนมัลแวร์
    • การทำความสะอาดมัลแวร์
    • ไฟร์วอลล์
  • คุณสมบัติด้านความปลอดภัยที่ดี
    • การตรวจจับช่องโหว่
    • การป้องกันการเข้าสู่ระบบกำลังดุร้าย
    • บันทึกกิจกรรม
    • การรับรองความถูกต้องด้วยสองปัจจัย
  • ปัญหาที่อาจเกิดขึ้น
    • ผลกระทบต่อทรัพยากรเซิร์ฟเวอร์

ดังที่คุณเห็นจากรายการ มีเพียง 3 ปัจจัยที่จำเป็นอย่างยิ่ง MalCare เหนือกว่าทั้ง 3 ข้อ: สแกนและล้างมัลแวร์ที่รับประกันว่าปลั๊กอินอื่นจะพลาด และปกป้องเว็บไซต์ของคุณจากทราฟฟิกที่เป็นอันตรายด้วยไฟร์วอลล์อันทรงพลัง นอกจากนี้ MalCare ยังทำงานได้ดีกว่าปลั๊กอินความปลอดภัยอื่น ๆ ที่มีอยู่ในปัจจุบัน

iThemes Security vs Sucuri: การเปรียบเทียบคุณสมบัติแบบตัวต่อตัว

วิธีที่เราจัดทำการเปรียบเทียบนี้คือการใช้คุณสมบัติที่สำคัญที่สุดก่อน แล้วจึงหารือเกี่ยวกับข้อสังเกตอื่นๆ ที่เกิดขึ้นระหว่างการทดสอบ บ่อยครั้งที่เราเห็นฟีเจอร์และการตั้งค่าที่ไม่ได้ทำอะไรเลย (เรากำลังพูดถึง iThemes) และยังสร้างภาพลวงตาของการรักษาความปลอดภัยอย่างละเอียด

การตัดแกลบเพื่อให้ได้ข้าวสาลีนั้นไม่ใช่เรื่องง่าย แต่เราจะนำเสนอข้อมูลทั้งหมดของเราอย่างชัดเจนและยุติธรรมที่สุดเท่าที่จะเป็นไปได้

หากคุณต้องการข้ามขั้นตอนนี้ เราขอแนะนำให้ติดตั้ง MalCare

การสแกนมัลแวร์

เครื่องสแกนของ Sucuri ไม่พบมัลแวร์บนเว็บไซต์ของเรา เมื่อพิจารณาจากความรวดเร็วในการสแกน iThemes ไม่ได้สแกนเว็บไซต์ของเราเพื่อหามัลแวร์เลยด้วยซ้ำ

ทั้งเวอร์ชั่นฟรีและเสียเงินของ Sucuri มีสแกนเนอร์ ดังนั้นเราจึงสนใจที่จะดูว่ามันทำงานแตกต่างกันหรือไม่ เวอร์ชันฟรีขับเคลื่อนโดย Sucuri SiteCheck ซึ่งเป็นโปรแกรมอรรถประโยชน์ออนไลน์ที่จะสแกนหามัลแวร์ในส่วนที่เปิดเผยต่อสาธารณะในเว็บไซต์ของคุณ แน่นอนว่าสิ่งนี้มีข้อจำกัด ดังนั้น Clean chit จาก SiteCheck จึงไม่ใช่การรับประกันว่าเว็บไซต์จะปราศจากมัลแวร์

ผลการตรวจสอบไซต์ของ Sucuri

แผนการชำระเงินประกอบด้วยเครื่องสแกนระดับเซิร์ฟเวอร์ที่คุณต้องติดตั้งบนเว็บเซิร์ฟเวอร์ของคุณ คุณสามารถดำเนินการด้วยตนเองหรือป้อนรายละเอียด FTP ของคุณลงในแดชบอร์ด Sucuri เพื่อติดตั้งโดยอัตโนมัติ เป็นกระบวนการที่ค่อนข้างไม่เจ็บปวด

เครื่องสแกนถูกตั้งค่าให้ทำงานทุกวัน แต่คุณสามารถสแกนตามต้องการได้ในระดับหนึ่ง คำขอสแกนเพิ่มเติมจะถูกใส่ลงในคิวและดำเนินการ Sucuri เตือนไม่ให้ใช้การสแกนมากเกินไป เนื่องจากการสแกนใช้ทรัพยากรเซิร์ฟเวอร์จนหมด

นั่นทำให้เราหยุดชั่วคราวเพราะเราตระหนักว่า Sucuri ใช้ทรัพยากรของเว็บไซต์ของเราเพื่อเรียกใช้การสแกน สำหรับไซต์ทดสอบของเรา การระบายน้ำไม่รุนแรงเกินไปเนื่องจากไซต์มีขนาดเล็กและไม่มีการจราจรภายนอก อย่างไรก็ตาม เราเห็นการใช้งาน CPU ของเราลดลงอย่างแน่นอน เพิ่มเติมในส่วนต่อมา

เวอร์ชันโปรไม่พบมัลแวร์ใดๆ บนเว็บไซต์ที่ถูกแฮ็กของเรา ซึ่งเป็นเรื่องที่น่าแปลกใจเพราะผลการสแกน MalCare ของเราระบุมัลแวร์ได้อย่างชัดเจน ดังนั้นเราจึงส่งคำขอลบด้วยตนเอง เมื่อทีมของ Sucuri จัดการคำขอแล้ว เว็บไซต์ก็ปรากฏขึ้นบน MalCare แต่นั่นเป็นเวลาที่เครื่องสแกน Sucuri ตั้งค่าสถานะมัลแวร์บนเว็บไซต์ มันแปลกมาก

เครื่องสแกนฝั่งเซิร์ฟเวอร์ sucuri

โชคดีที่ไม่มีปัญหากับเครื่องสแกน iThemes ไม่สแกนหามัลแวร์ บริสุทธิ์และเรียบง่าย เครื่องสแกน iThemes เพียงตรวจสอบว่าเว็บไซต์ของคุณอยู่ในบัญชีดำของ Google หรือไม่ แค่นั้นแหละ. เราไม่แปลกใจเลยที่เห็นว่าเว็บไซต์ของเราไม่ได้อยู่ในบัญชีดำ เนื่องจากไม่ได้จัดทำดัชนี

สแกนเนอร์ไอธีม

การทำความสะอาดมัลแวร์

การล้างมัลแวร์ไม่ได้อยู่ในรายการคุณสมบัติ iThemes ดังนั้นจึงไม่สามารถล้างมัลแวร์ได้ Sucuri มีบริการกำจัดมัลแวร์แบบไม่จำกัดซึ่งเป็นส่วนหนึ่งของแผนชำระเงิน เว็บไซต์ของคุณจะได้รับการทำความสะอาดภายใน 6 ถึง 30 ชั่วโมง ทั้งนี้ขึ้นอยู่กับแผนของคุณ

แม้ว่าผลการสแกนของ Sucuri จะบอกว่าเว็บไซต์ของเราไม่มีมัลแวร์ แต่เห็นได้ชัดว่าไม่ใช่กรณีนี้ มีมัลแวร์อยู่ทุกที่: ในไฟล์และในฐานข้อมูล เรายังมีแบ็คดอร์จำนวนมากในนั้นเพื่อการวัดที่ดี เครื่องสแกน MalCare ยืนยันว่าเว็บไซต์ทดสอบของเราติดมัลแวร์จริงๆ

ดังนั้นเราจึงส่งคำขอลบมัลแวร์กับ Sucuri ซึ่งแสดงให้เห็นอย่างชัดเจนว่าเราสงสัยว่ามีมัลแวร์อยู่ในไซต์ หากต้องการส่งคำขอ คุณต้องกรอกแบบฟอร์มและระบุรายละเอียด FTP เพื่อทำความสะอาด แล้วก็รอผล

หมายเหตุด้านข้าง: มีเมนูแบบเลื่อนลงที่น่าสนใจในแบบฟอร์มคำขอให้นำออก ซึ่งแสดงรายการอาการที่อาจเกิดขึ้นที่คุณอาจพบ นอกจากนี้ เพื่อความสนุกของเรา คุณต้องระบุระดับความสามารถทางเทคนิคของคุณ เราจึงเลือก: “ ไม่มีความชำนาญ โปรดอธิบายทุกอย่างชัดเจน

เครดิต Sucuri ทีมงานของพวกเขาลบมัลแวร์ทั้งหมดออกจากไซต์ของเรา นอกจากนี้ แม้ว่าเงื่อนไขของแผนของเรากล่าวว่าเราสามารถคาดหวังการแก้ปัญหาได้ภายใน 30 ชั่วโมง แต่เราได้รับการตอบกลับภายในเวลาไม่ถึง 10 ชั่วโมง นั่นจึงเป็นการยกนิ้วให้กับบริการกำจัดมัลแวร์ของ Sucuri

sucuri กำจัดมัลแวร์

เรายืนยันกับ MalCare ว่ามัลแวร์ทั้งหมดถูกลบออกแล้ว และจากนั้นก็ต้องประหลาดใจที่เห็นว่าตอนนี้เครื่องสแกนของ Sucuri ตั้งค่าสถานะไซต์ว่าติดไวรัสแล้ว หลังจากที่ทีมของพวกเขาเข้าไปทำความสะอาด เป็นเรื่องแปลก

ในทางกลับกัน iThemes ไม่สามารถล้างมัลแวร์ได้ ดังนั้นจึงไม่มีอะไรให้ทดสอบ โชคดีที่พวกเขาไม่ได้เรียกร้องให้ทำเช่นนั้นบนเว็บไซต์ของพวกเขา

ตรงไปตรงมา การล้างมัลแวร์เป็นส่วนที่ยากที่สุดของการรักษาความปลอดภัยของ WordPress และมักจะเป็นส่วนที่แพงที่สุด แผนชำระเงินของ Sucuri มีการล้างข้อมูลไม่จำกัด ซึ่งถือว่ายอดเยี่ยมมากเพราะหากไม่มีการแก้ไขช่องโหว่ มัลแวร์อาจเกิดขึ้นอีก หากเราพบข้อบกพร่องจากบริการทำความสะอาด คุณต้องรอสักครู่เพื่อแก้ไข ในกรณีของมัลแวร์ เราพบว่าการติดไวรัสเพิ่มขึ้นอย่างทวีคูณในช่วงเวลาสั้นๆ ดังนั้นนี่จึงเป็นสาเหตุที่น่ากังวล

ด้วย MalCare เราสามารถใช้ฟังก์ชันล้างอัตโนมัติเพื่อกำจัดมัลแวร์ในไม่กี่นาที ในขณะที่เรากำลังรอให้ Sucuri กลับมาหาเรา เราก็ได้ตระหนักถึงคุณค่ามหาศาลที่การล้างข้อมูลอย่างรวดเร็วมีต่อเว็บไซต์ที่สำคัญต่อธุรกิจ

ไฟร์วอลล์

ไฟร์วอลล์ของ Sucuri ใช้งานได้และป้องกันการโจมตีที่พบบ่อยที่สุดของเรา iThemes ไม่มีไฟร์วอลล์

ไฟร์วอลล์เป็นองค์ประกอบสำคัญในการรักษาความปลอดภัยของเว็บไซต์ เนื่องจากป้องกันทราฟฟิกที่เป็นอันตรายและป้องกันการใช้ประโยชน์ เมื่อมาถึงจุดนี้ในบทความนี้ คุณจะไม่แปลกใจเลยที่ได้ยินว่า iThemes ไม่มีไฟร์วอลล์ ทำไมมัน? มันล้มเหลวทุกประการในฐานะปลั๊กอินความปลอดภัย

ในทางกลับกัน Sucuri ปกป้องเว็บไซต์ของเราจากการโจมตีด้วย wordpress เราทดสอบกับช่องโหว่ต่างๆ เช่น การอัปโหลดไฟล์ไม่จำกัด, XSS และการแทรก SQL ไฟร์วอลล์ปิดกั้นความพยายามทั้งหมดของเราที่จะใช้ประโยชน์จากช่องโหว่เหล่านี้และอัปโหลดมัลแวร์ไปยังเว็บไซต์ เราไม่สามารถทดสอบการโจมตีที่ซับซ้อนมากกว่านี้ได้ด้วยความโปร่งใสทั้งหมด

บันทึกไฟร์วอลล์ sucuri

ดังนั้นไฟร์วอลล์ของ Sucuri จึงใช้งานได้ แต่เราต้องพูดถึงด้วยว่าการกำหนดค่าไฟร์วอลล์นั้นน่าผิดหวังเพียงใด วิธีการทำงานของไฟร์วอลล์คือทำหน้าที่เหมือนเลเยอร์ระหว่างทราฟฟิกที่เข้ามาและเว็บไซต์ของคุณ ดังนั้นการรับส่งข้อมูลทั้งหมดจะเข้าสู่ไฟร์วอลล์ของ Sucuri ก่อน จากนั้นจึงเปลี่ยนเส้นทางไปยังเว็บไซต์ของคุณ

อย่างที่คุณจินตนาการได้ การดำเนินการนี้ต้องใช้การกำหนดค่าบางอย่าง โดเมนที่คุณใช้สำหรับเว็บไซต์ของคุณต้องชี้ไปที่ Sucuri ก่อน ทราฟฟิกจะได้รับการวิเคราะห์ จากนั้นทราฟฟิกที่อนุญาตจะถูกส่งต่อไปยังเว็บไซต์ของคุณ ซึ่งเป็นสิ่งที่ดี แต่การตั้งค่าไฟร์วอลล์นั้นเป็นเรื่องยุ่งยากหากคุณไม่มีความเชี่ยวชาญเกี่ยวกับเนมเซิร์ฟเวอร์และการกำหนดค่า DNS

การกำหนดค่าไฟร์วอลล์ sucuri

โดยรวมแล้ว จะดีกว่ามากหากมีโซลูชันการรักษาความปลอดภัยที่ใช้งานได้ทันที ไม่มีการกำหนดค่าที่ซับซ้อนเพื่อปกป้องเว็บไซต์ของเรา คุณรู้ไหมว่าเหมือนกับที่คุณได้รับจาก MalCare

การตรวจจับช่องโหว่

Sucuri ตรวจพบช่องโหว่ส่วนใหญ่บนเว็บไซต์ของเรา แม้ว่าจะไม่ใช่ทั้งหมดก็ตาม ไม่พบ iThemes เลย

หลังจากที่เราเปิดใช้งานเครื่องสแกนฝั่งเซิร์ฟเวอร์ Sucuri ตรวจพบว่าเราติดตั้งปลั๊กอินที่มีช่องโหว่บางตัวบนเว็บไซต์ ตรวจไม่พบทั้งหมด และคำแนะนำก็คือให้อัปเดตเท่านั้น

นอกจากนี้ยังมีมุมมองหลังการแฮ็กบน wp-admin ที่แสดงรายการปลั๊กอินและธีมที่ติดตั้งอยู่ในปัจจุบัน เวอร์ชันที่ติดตั้งและเวอร์ชันล่าสุดที่มี ในคำอธิบายของส่วนนี้ Sucuri ระบุว่าช่องโหว่เชื่อมโยงกับความปลอดภัยของเว็บไซต์ และเป็นแนวทางปฏิบัติที่ดีในการอัปเดตทุกอย่าง ไม่น่าจะมีใครไปถึงที่นั่นเมื่อมองผ่านปลั๊กอินเป็นประจำ ดังนั้นเราจึงไม่แน่ใจว่าตำแหน่งนี้มีประโยชน์

ในฐานะส่วนหนึ่งของคำขอลบมัลแวร์ Sucuri ยังได้ส่งข้อความถึงเราเพื่อแนะนำให้เราใช้มาตรการเข้มงวดและอัปเดตปลั๊กอินที่มีช่องโหว่ (2 จาก 3) ของเรา นี่เป็นส่วนหนึ่งของรายการตรวจสอบหลังการแฮ็ก

iThemes ไม่ระบุช่องโหว่ อย่างไรก็ตาม มันมีตัวนับที่ไร้ประโยชน์เหลือเกินบนแดชบอร์ด ซึ่งบ่งชี้ว่ามีการอัปเดตกี่ครั้งแล้วตั้งแต่ติดตั้งปลั๊กอิน ข้อมูลนี้จะมีประโยชน์อย่างไรเราไม่สามารถเข้าใจได้

การป้องกันการเข้าสู่ระบบกำลังดุร้าย

Sucuri ควรจะป้องกันการโจมตีด้วยกำลังเดรัจฉานและเตือนคุณ แต่ก็ไม่ทำเช่นนั้น iThemes บางครั้งก็มี บางครั้งก็ไม่ พูดยากว่าอันไหนแย่กว่ากัน

iThemes จะบันทึกความพยายามในการเข้าสู่ระบบที่ไม่ถูกต้องแต่ละครั้งว่าเป็นการโจมตีแบบเดรัจฉาน ซึ่งเป็นสิ่งที่น่ากลัวสำหรับผู้ใช้ที่เห็น ในกรณีหนึ่ง เราลืมรหัสผ่านจริงๆ

เมื่อเราพยายามดุร้ายบังคับหน้าเข้าสู่ระบบ เราพบผลลัพธ์ที่ไม่สม่ำเสมอ iThemes บล็อกความพยายามใน 1 ไซต์ แต่ไม่ใช่อีกไซต์หนึ่ง เราพยายามหาสาเหตุของความคลาดเคลื่อนนี้ แต่สิ่งที่แตกต่างเพียงอย่างเดียวคือมัลแวร์บนเว็บไซต์ เนื่องจากโดยปกติแล้วมัลแวร์เป็นผลมาจากการโจมตีด้วยกำลังเดรัจฉานที่ประสบความสำเร็จ เราจึงไม่คิดว่านี่คือเหตุผล มีแนวโน้มว่าจะมีข้อบกพร่องที่ทำให้ฟีเจอร์นี้ทำงานเป็นระยะๆ ผลก็คือไม่มีจุดหมาย

Sucuri มอบความหวังให้กับเรา เพราะมีตัวเลือกมากมายสำหรับการโจมตีด้วยกำลังดุร้าย คุณสามารถกำหนดจำนวนความพยายามที่ล้มเหลวซึ่งนับเป็นการโจมตีแบบเดรัจฉาน เราตั้งค่าให้พยายามเพียง 30 ครั้งต่อชั่วโมง แม้ว่าปกติแล้วการโจมตีการเข้าสู่ระบบจะอยู่ที่ 100 ครั้งต่อนาทีก็ตาม

กำลังเดรัจฉาน sucuri

หลังจากเห็นการตั้งค่าทั้งหมดสำหรับการล็อก เราก็รู้สึกกังวลเล็กน้อยเกี่ยวกับการถูกล็อกไม่ให้เข้าเว็บไซต์ เราได้ปิด MalCare เพื่อให้การป้องกันการเข้าสู่ระบบของ MalCare ไม่ปิดกั้นความพยายาม อย่างไรก็ตาม ไม่มีอะไรเกิดขึ้น เราพยายามเข้าสู่ระบบที่ไม่ถูกต้องมากกว่า 40 ครั้งใน 3 นาที แต่ Sucuri ก็ไม่ได้แจ้งเตือน ตรวจสอบบันทึกการตรวจสอบและการรับรองความถูกต้องที่ล้มเหลวปรากฏขึ้นทั้งหมด แต่ไม่มีการแจ้งเตือน ไม่มีการล็อค ไม่มีอะไร.

บันทึกกิจกรรม

iThemes มีคุณสมบัติบันทึกกิจกรรมที่ไม่สมบูรณ์ Sucuri มีดีแต่ปิดบังได้

Sucuri มีคุณลักษณะที่เรียกว่าบันทึกการตรวจสอบ ซึ่งจะติดตามการดำเนินการทั้งหมดจากผู้ใช้ ปลั๊กอิน และธีม คุณลักษณะนี้ทำงานตามที่คาดไว้ แต่การตั้งค่าอย่างใดอย่างหนึ่งทำให้เราหยุดชั่วคราว คุณต้องมีคีย์ API เพื่อ "ป้องกันผู้โจมตีจากการลบบันทึก" สิ่งนี้โดยทั่วไปอนุญาตให้ Sucuri รวบรวมและจัดเก็บข้อมูลเกี่ยวกับเว็บไซต์นอกสถานที่ ซึ่งก็ใช้ได้ แต่ภาษาที่พวกเขาใช้นั้นสั่นคลอนที่จะพูดน้อยที่สุด เพิ่มเติมเกี่ยวกับสิ่งนั้นในส่วนการใช้งาน

แม้ว่าบันทึกจะทำงานเหมือนบันทึกและรวบรวมการประทับเวลา ผู้ใช้และการดำเนินการ แต่ก็อาจไม่ชัดเจนนัก ตัวอย่างเช่น เราติดตั้งปลั๊กอินใหม่ซึ่งแสดงเป็นปลั๊กอินที่เปิดใช้งาน จนถึงตอนนี้ดีมาก และมีอีก 7 รายการในบันทึกซึ่งแสดงว่าการติดตั้งได้รับผลกระทบอย่างไร แต่มีคำอธิบายเล็กน้อยว่ารายการเหล่านี้หมายถึงอะไร ไฟล์หรือโฟลเดอร์เหล่านี้มีการเปลี่ยนแปลงหรือไม่ ไม่ เราทราบในภายหลังว่าปลั๊กอินเฉพาะนี้ซึ่งเป็นปลั๊กอินแกลเลอรีได้เปลี่ยนเทมเพลตสำหรับโพสต์ นั่นสมเหตุสมผลแล้ว แต่การเปิดเผยไม่ได้มาจาก Sucuri

บันทึกการตรวจสอบ sucuri

บันทึกกิจกรรมเป็นส่วนสำคัญของชุดเครื่องมือรักษาความปลอดภัยเว็บไซต์ของคุณ แฮ็กเกอร์ใช้ประโยชน์จากการบันทึกที่ไม่เพียงพอในการโจมตีไซต์ ดังนั้นคุณควรรอบันทึกที่เชื่อถือได้ซึ่งคุณสามารถเชื่อถือได้ในการแบ่งปันข้อมูลที่ถูกต้องเกี่ยวกับเว็บไซต์ของคุณ

โดยทั่วไปไม่เหมือนกับ iThemes ที่มี บันทึกกิจกรรมที่นี่มีข้อมูลที่เป็นประโยชน์ เช่น กิจกรรมของผู้ใช้ การจัดการเวอร์ชัน การสแกนไซต์ และการโจมตีด้วยกำลังดุร้าย ไม่มีอะไรเกี่ยวกับปลั๊กอินหรือธีม มีคุณลักษณะแยกต่างหากที่จะส่งรายงานการเปลี่ยนแปลงไฟล์ให้คุณทางอีเมลทุกวันเช่นกัน สรุปแล้ว บันทึกนั้นไม่เพียงพอเนื่องจากไม่ได้วาดภาพที่ถูกต้องของเว็บไซต์ของคุณ

บันทึกรายการ

การรับรองความถูกต้องด้วยสองปัจจัย

iThemes มีคุณสมบัติการตรวจสอบสิทธิ์แบบสองปัจจัยที่ยอดเยี่ยมที่ใช้งานได้ทันที ซูคุริไม่

หลังจากทิ้ง iThemes ในบทความนี้และบทความอื่นๆ ที่คล้ายกันในซีรีส์นี้ เรายินดีที่จะรายงานว่านี่เป็นหนึ่งในฟีเจอร์ความปลอดภัยเดียวที่ใช้งานได้จริงบน iThemes—และใช้งานได้ค่อนข้างดี

คุณลักษณะการตรวจสอบสิทธิ์แบบสองปัจจัยบน iThemes นั้นแข็งแกร่งมาก มีการปรับแต่งมากมายและใช้งานได้ทันทีโดยไม่ต้องยุ่งยาก ปลั๊กอินยังช่วยบังคับใช้รหัสผ่านที่รัดกุม ซึ่งเราสนับสนุนอย่างยิ่ง

รายการ 2fa

ข้อกังวลเดียวของเราที่นี่คือ iThemes เวอร์ชันโปรมีการตั้งค่ามากมายที่ลบโทเค็นการเข้าสู่ระบบเพื่อให้ง่ายต่อการใช้งาน: การเข้าสู่ระบบแบบไม่ใช้รหัสผ่าน อุปกรณ์ที่เชื่อถือได้ แมจิกลิงก์ และอื่นๆ แม้ว่าสิ่งเหล่านี้จะมีประโยชน์ในการทำให้กระบวนการเข้าสู่ระบบราบรื่นขึ้น แต่ก็ทำลายวัตถุประสงค์ของการตรวจสอบสิทธิ์แบบสองปัจจัย

เรามองหาการรับรองความถูกต้องด้วยสองปัจจัยเมื่อเราทดสอบ Sucuri เราพบว่ามีอยู่ในแดชบอร์ดของ Sucuri อย่างไรก็ตาม เราทั้งขบขันและสับสนเมื่อตระหนักว่าการรับรองความถูกต้องด้วยสองปัจจัยนั้นมีให้สำหรับบัญชี Sucuri ของคุณ ไม่ใช่สำหรับเว็บไซต์ WordPress ของคุณ

ซูคูริ 2fa
อาจจะดีที่มีสิ่งนี้สำหรับเว็บไซต์ของเราด้วย คุณว่าไหม?

การใช้ทรัพยากรเซิร์ฟเวอร์

iThemes จะไม่ระบายทรัพยากรเซิร์ฟเวอร์ของคุณเลย เพราะมันไม่ได้ทำอะไรเลย Sucuri จะทำให้ประสิทธิภาพเว็บไซต์ของคุณเป็นง่อยด้วยการสแกน

น่าสนใจ ผู้คนมักไม่ถามเราเกี่ยวกับทรัพยากรเซิร์ฟเวอร์ในบริบทของการรักษาความปลอดภัย แต่ในทางที่ดีคุณต้องการให้เว็บไซต์ของคุณได้รับการปกป้องและไม่ทำให้การรวบรวมข้อมูลล่าช้าในกระบวนการนี้ เครื่องสแกนของ Sucuri จะทำเช่นนั้นกับไซต์ของคุณ  

การสแกน Sucuri อ้างว่าใช้ทรัพยากรเซิร์ฟเวอร์ของเว็บไซต์ทันที อันที่จริง ดูเหมือนว่าจะไม่สนับสนุนการสแกนบ่อยๆ ด้วยเหตุผลดังกล่าว ตรงไปตรงมานี้แย่มาก ทำไมทุกคนถึงต้องเลือกระหว่างประสิทธิภาพและค่าเซิร์ฟเวอร์ที่เหมาะสมในด้านหนึ่งและความปลอดภัยในอีกด้านหนึ่ง พวกเขาไม่ได้ล้อเล่นแม้ว่า ทรัพยากรเซิร์ฟเวอร์พุ่งสูงขึ้นทันทีที่เราติดตั้ง Sucuri จากนั้นทำการสแกนครั้งที่สอง หากในไซต์เล็ก ๆ จะเห็นความแตกต่างได้ชัดเจนมาก ในไซต์ขนาดใหญ่จะมีมากกว่านั้นมาก

การใช้งานซีพียูซูคูริ

นอกจากนี้ ในการตั้งค่าทั่วไปบนแดชบอร์ด ยังมีการตั้งค่าสำหรับการจัดเก็บข้อมูลซึ่งดูเหมือนจะระบุว่า Sucuri จัดเก็บข้อมูลจำนวนมาก (บันทึกส่วนใหญ่ตามรูปลักษณ์ของมัน) บนเว็บไซต์ นี่อาจเป็นเหตุผลว่าทำไมคีย์ API จึงจำเป็น เพราะคีย์ทั้งหมดจะอยู่ในโฟลเดอร์อัปโหลดโดยค่าเริ่มต้น ซึ่งเป็นโฟลเดอร์ที่เข้าถึงได้แบบสาธารณะ มีตัวเลือกในการเปลี่ยนที่เก็บข้อมูลเป็นโฟลเดอร์ที่ไม่สามารถเข้าถึงได้โดยสาธารณะ แต่นั่นควรเป็นค่าเริ่มต้นตั้งแต่เริ่มต้น

iThemes จะไม่ระบายทรัพยากรเซิร์ฟเวอร์ของคุณ เป็นไปได้ไง ในเมื่อมันทำอะไรไม่ได้

การแจ้งเตือน

iThemes ไม่แจ้งเตือนคุณเลย Sucuri ทำ แต่คุณต้องระวังเกี่ยวกับการแจ้งเตือนที่คุณต้องการรับ กล่องจดหมายของคุณอาจเต็มภายในไม่กี่ชั่วโมง

Sucuri ให้คุณตั้งค่าการแจ้งเตือนเพื่อส่งไปยังบุคคลที่ต้องการ ปรับแต่งรูปแบบของการแจ้งเตือน และอื่นๆ อีกมากมาย คุณยังสามารถเพิ่มช่วงที่อยู่ IP เพื่อให้ที่อยู่เหล่านั้นไม่ถูกตั้งค่าสถานะสำหรับการแจ้งเตือน ได้รับคำเตือนสำหรับคำอธิบายที่เต็มไปด้วยศัพท์แสง ' การกำหนดเส้นทางระหว่างโดเมนแบบไม่มีคลาส ' คืออะไร เราไม่ได้อยากรู้แค่อยากปกป้องเว็บไซต์

เมื่อพิจารณาจากการตั้งค่าแบบละเอียดสำหรับการแจ้งเตือน Sucuri ดูเหมือนจะตระหนักดีว่าพวกเขาอาจส่งการแจ้งเตือนมากเกินไป มีการตั้งค่าเพื่อกำหนดค่าการแจ้งเตือนสูงสุดที่ได้รับในหนึ่งชั่วโมง พูดได้สูงสุด 5 อีเมล ปัญหาคือ: สมมติว่า 5 รายการแรกเป็นผลบวกลวง และรายการที่ 6 ไม่ใช่ มีข้อจำกัดความรับผิดชอบอยู่ที่นั่น—แต่ขอย้ำอีกครั้ง—ดีกว่าที่จะมีข้อมูลจริงเทียบกับฟีเจอร์ที่ไม่มีประโยชน์ ประเด็นของเราคือแอดมินคนไหนไม่ได้ไปดูป่าหาต้นไม้ มีเสียงรบกวนมากเกินไป

การแจ้งเตือน sucuri
นี่ไม่ใช่รายการทั้งหมดโดยบังเอิญ มีอะไรอีกมากมาย

น่าแปลกที่เรายังคงตรวจสอบ iThemes โดยไม่ละทิ้งสาเหตุที่หายไป iThemes ส่งรายงานการแจ้งเตือนการเปลี่ยนแปลงไฟล์ การสำรองฐานข้อมูล และการยืนยันการตั้งค่าอื่นๆ ให้กับเรา นอกจากนี้ เรายังสมัครรับข้อมูลสรุปความปลอดภัยรายวันเกี่ยวกับเว็บไซต์ของเรา และรายงานช่องโหว่สัปดาห์ละครั้ง สันนิษฐานว่าเพื่อให้เราตรวจสอบสิ่งเหล่านั้นกับเว็บไซต์ของเราได้ มันแย่พอแล้วกับเว็บไซต์เดียว ยิ่งมีเว็บไซต์มากเท่าไหร่ก็ยิ่งดีมากขึ้นเท่านั้น

สรุปความปลอดภัยของไอธีม

การติดตั้ง การกำหนดค่า และการใช้งาน

การติดตั้ง iThemes นั้นยากอย่างน่าประหลาดใจ เนื่องจากตัวเลือกการกำหนดค่าที่สับสน Sucuri ค่อนข้างตรงไปตรงมา แต่ตัวเลือกการกำหนดค่าในปลั๊กอินนั้นน่ากลัวมาก

iThemes เป็นปลั๊กอินตัวแรกที่เราทดสอบ ดังนั้นในตอนแรกมันจึงดูเหมือนง่าย นอกจากนี้ยังกำหนดแถบสำหรับการตั้งค่าที่ไร้ประโยชน์ที่สุด คุณต้องผ่านการกำหนดค่าจึงจะสามารถสร้างแดชบอร์ดความปลอดภัยได้ เราผ่านการตั้งค่าแต่ละอย่าง แต่ไม่มีการตั้งค่าใดที่มีผลกระทบต่อความปลอดภัยอย่างแท้จริง เราจึงตั้งค่าแบบสุ่มและปล่อยไว้อย่างนั้น

การตั้งค่าธีม

ติดตั้ง Sucuri โดยไม่ต้องยุ่งยาก และส่วนใหญ่ติดตั้งปลั๊กอินด้วยตัวเอง เราต้องสร้างบัญชีกับ Sucuri เพื่อเข้าถึงคุณสมบัติแบบชำระเงิน นอกจากนี้ ควรสังเกตว่าในการติดตั้งเครื่องสแกนฝั่งเซิร์ฟเวอร์ คุณต้องใช้แดชบอร์ดภายนอกของ Sucuri ไม่ใช่เรื่องยากหากคุณมีรายละเอียด FTP พร้อมใช้งาน แม้ว่าเราจะไม่เห็นประโยชน์มากนักเนื่องจากตรวจไม่พบมัลแวร์ใดๆ

แดชบอร์ด iThemes บน wp-admin ของคุณมีเสียงรบกวน ไม่มีข้อมูลเกี่ยวกับความปลอดภัยที่เกี่ยวข้อง

แดชบอร์ดและการตั้งค่าของ Sucuri นั้นซับซ้อนอย่างเหลือเชื่อ เราใช้เวลาหลายชั่วโมงในการพยายามหาความหมายของคำศัพท์ทางเทคนิคที่พวกเขาใช้ ในบางกรณี ปลั๊กอินจะบอกคุณถึงการตั้งค่าที่แนะนำ ดังนั้นผู้ใช้จึงทำงานด้วยความเชื่อที่มืดบอด ปัญหาเดียวคือ Sucuri ไม่ได้สร้างศรัทธาแบบมืดบอด เพราะโปรแกรมสแกนมัลแวร์ไม่ทำงาน!

เราหวังว่าปลั๊กอินนี้จะเข้าใจง่ายขึ้น มันดูซับซ้อนมากและดูเหมือนจะทำอะไรได้หลายอย่าง แต่เราไม่สามารถแน่ใจได้เพราะบางสิ่งที่เรารู้ว่ามีความสำคัญ เช่น การป้องกันด้วยกำลังเดรัจฉาน ดูเหมือนจะไม่ได้ผล

ต้องเปิดใช้งานไฟร์วอลล์และเครื่องสแกนฝั่งเซิร์ฟเวอร์แยกกัน เราใช้เวลากว่าหนึ่งสัปดาห์ในการหาปลั๊กอินนี้จาก 3 เว็บไซต์ เราตัวสั่นเมื่อคิดว่าจะเกิดอะไรขึ้นกับใครบางคนที่จัดการมากกว่านี้ มันน่าเบื่อมากที่จะตั้งค่า

เราต้องการย้ำอีกครั้งว่าการตั้งค่านั้นเข้าใจยากสำหรับผู้ใช้ที่ไม่มีเทคโนโลยี เราไม่ทราบว่ามีสิ่งที่เรียกว่าซอฟต์แวร์วิเคราะห์บันทึก นอกจากนี้ เรายังเห็นข้อความที่น่าสนใจสำหรับ reverse proxy โดยที่ Sucuri บอกเราอย่างเป็นประโยชน์ว่าไม่ต้องกังวลเกี่ยวกับตัวเลือกนี้ เว้นแต่เราจะรู้ว่ามันคืออะไร ขอบคุณสำหรับความสับสนกับด้านของความเอื้ออาทร

กล้องจุลทรรศน์ซูคูริ

iThemes: พิเศษ

มีฟีเจอร์ whitelist ที่ซับซ้อนมากใน iThemes ซึ่งน่าประหลาดใจจนกระทั่งเราตระหนักว่าดูเหมือนว่าจะมีข้อร้องเรียนเกี่ยวกับการปิดเว็บไซต์จำนวนมากเกินไปที่เราเคยเห็น มีปัญหาอยู่สองประการ: ประการแรกคือ IP ของอุปกรณ์เปลี่ยนไป ดังนั้นการอนุญาต IP ของคุณจึงไม่ใช่การป้องกันมากเท่าที่คุณคิด; และสอง เราพยายามทุกวิถีทางเพื่อกระตุ้นการล็อก แต่มันไม่ได้เกิดขึ้น

ตัวตรวจสอบการเปลี่ยนแปลงไฟล์เป็นอีกคุณสมบัติหนึ่งที่ฟังดูเป็นความคิดที่ดี เว้นแต่คุณจะรู้อะไรเกี่ยวกับความปลอดภัย แฮ็กเกอร์สามารถเปลี่ยนการประทับเวลาของไฟล์ได้ แม้กระทั่งในระดับที่ทำให้ดูเหมือนว่าไฟล์ไม่ได้ถูกแก้ไขเป็นเวลาหลายปี นอกจากนี้ยังมีรายการยกเว้นประเภทไฟล์สำหรับมอนิเตอร์นี้ ตรงไปตรงมา นี่แสดงถึงการขาดความเข้าใจเกี่ยวกับมัลแวร์ มัลแวร์สามารถซ่อนตัวอยู่ในไฟล์ใดก็ได้ รวมถึงไฟล์ .ico เป็นต้น

เปลี่ยนไฟล์ itemes

iThemes มีระบบจัดการรหัสผ่านที่ดี คุณสามารถบังคับใช้รหัสผ่านที่รัดกุมและปฏิเสธไม่ให้รหัสผ่านถูกบุกรุกได้ นอกจากนี้ยังสามารถตั้งรหัสผ่านแอปพลิเคชันสำหรับ XML-RPC ได้หากคุณเลือก

โปรไฟล์ความปลอดภัยของผู้ใช้ ithemes

ประการสุดท้าย iThemes มีคุณลักษณะบางอย่างที่ทำให้แข็ง ซึ่งส่วนใหญ่เราไม่แนะนำเลย สิ่งเดียวที่สมเหตุสมผลคือการบล็อกการดำเนินการ PHP ในโฟลเดอร์อัปโหลด สิ่งนี้จะป้องกันการโจมตีของมัลแวร์บางประเภท ส่วนอื่นๆ เราขอแนะนำให้เพิกเฉยโดยสิ้นเชิง

Sucuri: พิเศษ

แดชบอร์ดของ Sucuri บน wp-admin ดูน่าประทับใจทีเดียว แต่ทันทีที่เราเห็นว่ากล่องข้อมูลที่ใหญ่ที่สุดคือความสมบูรณ์ของ WordPress หวังว่านี่จะเป็นเพียงเวอร์ชันฟรีที่เรากำลังใช้อยู่เท่านั้น เพราะนี่คือเวอร์ชันที่ปรับแต่งแล้วของการตรวจสอบการเปลี่ยนแปลงไฟล์สำหรับไฟล์หลักของ WordPress

ความสมบูรณ์ของไฟล์ sucuri wp

ในบางกรณี เราอาจเห็นว่ามีประโยชน์ เมื่อพิจารณาจากมัลแวร์จำนวนมากที่เข้าไปในไฟล์หลัก ในทางกลับกัน เราสามารถเห็นได้ว่ามันอาจเป็นภัยเนื่องจากผู้ที่ไม่มีประสบการณ์อาจเชื่อว่านั่นคือขอบเขตของมัลแวร์ซึ่งเป็นความคิดที่น่ากลัว น่าตลกตรงที่ไฟล์ความสมบูรณ์ของ wordpress 2 ใน 3 ไฟล์ที่ถูกตั้งค่าสถานะมาจาก MalCare: ตัวเชื่อมต่อฉุกเฉินและไฟร์วอลล์

ลึกลงไปในการตั้งค่า มียูทิลิตี Integrity diff เพื่อเปรียบเทียบไฟล์หลักและค้นหาความแตกต่าง นี่อาจใช้งานได้ง่ายกว่ายูทิลิตี diffchecker ออนไลน์

ตัวตรวจสอบความแตกต่างของ sucuri

มีตัวเลือกการชุบแข็งจำนวนมาก: บางอย่างมีประโยชน์ บางอย่างไม่มาก เราชอบที่สามารถบล็อก PHP ในโฟลเดอร์อัปโหลด ไฟร์วอลล์ และเปิดใช้งานการอัปเดตคีย์ลับอัตโนมัติ ซึ่งเปลี่ยนเกลือของเวิร์ดเพรส

อย่างไรก็ตาม การตรวจสอบเวอร์ชันของ WordPress, การลบเวอร์ชันของ WordPress, หลีกเลี่ยงการรั่วไหลของข้อมูล (ลบไฟล์ readme ที่ WordPress เพิ่งสร้างใหม่) และการตรวจสอบบัญชีผู้ดูแลระบบเริ่มต้นล้วนเป็นฟีเจอร์ไร้สาระที่มีผลกระทบต่อความปลอดภัยเพียงเล็กน้อย ตรงไปตรงมา อุตสาหกรรมการรักษาความปลอดภัยทั้งหมดได้ย้ายจากกลอุบายเหล่านี้

ซูคูริ wp แข็งตัว

หากคุณเลือกที่จะปิดใช้งานตัวแก้ไขปลั๊กอินและธีม คุณจะพบว่าการอัปเดตเป็นเรื่องยุ่งยาก มีข้อแม้เกี่ยวกับปลั๊กอินและธีมบางอย่างที่ต้องเข้าถึงไฟล์ PHP ในโฟลเดอร์เหล่านี้ สิ่งนี้ไม่เพียงพอ ประเด็น: Sucuri เองบันทึกไฟล์ PHP ในโฟลเดอร์อัพโหลด พวกเขาไม่ต้องการเข้าถึงไฟล์ของตนเองจากแดชบอร์ดภายนอกหรือไม่ หรือว่าเป็นข้อยกเว้นของกฎ? ในกรณีนี้ กฎดูเหมือนยืดหยุ่นในลักษณะที่ซ่อนจากผู้ใช้

เราสนใจที่จะตรวจสอบคุณสมบัติหลังการแฮ็กบนแดชบอร์ด wp-admin หลังจากทำความสะอาด คุณต้องการให้แน่ใจว่าคุณทำทุกอย่างเพื่อปกป้องเว็บไซต์ของคุณจากการแฮ็กในอนาคต เราชอบแนวคิดนี้จนกระทั่งเรามองหาเพิ่มเติมอีกเล็กน้อย

คุณสามารถอัปเดตคีย์ลับ—เปลี่ยนเกลือของเวิร์ดเพรส—จากแดชบอร์ด ปัญหาเดียวของสิ่งนี้คือมันเป็นข้อความล้วนซึ่งมองเห็นได้สำหรับผู้ดูแลระบบทุกคนที่ลงชื่อเข้าใช้ wp-admin หากแฮ็กเกอร์มีบัญชีที่มีสิทธิ์เข้าถึงระดับผู้ดูแลระบบ นี่ถือเป็นเรื่องอันตรายอย่างยิ่ง คุณลักษณะนี้เหมาะสมก็ต่อเมื่อผู้ใช้ตรวจสอบแล้วว่าไม่มีบัญชีผู้ดูแลระบบใดถูกบุกรุก จากนั้นจึงเปลี่ยนค่าเกลือ จุดที่ไม่ได้กล่าวถึงที่ใด

คุณสามารถรีเซ็ตรหัสผ่านของผู้ใช้ได้ อีกครั้ง คุณลักษณะที่ดูเหมือนจะดีจนกว่าคุณจะอ่านรายละเอียด: “เลือกผู้ใช้จากรายการเพื่อเปลี่ยนรหัสผ่าน ยุติเซสชัน และส่งลิงก์รีเซ็ตรหัสผ่านทางอีเมล โปรดทราบว่าปลั๊กอินจะเปลี่ยนรหัสผ่านก่อนส่งอีเมล หมายความว่าหากเว็บเซิร์ฟเวอร์ของคุณไม่สามารถส่งอีเมลได้ ผู้ใช้ของคุณจะถูกล็อกไม่ให้เข้าใช้งานไซต์”

มีที่สำหรับดูการอัปเดตปลั๊กอินและธีมซึ่งเป็นการจัดการเวอร์ชันพื้นฐาน ไม่ได้เพิ่มอะไรให้กับฟังก์ชันแดชบอร์ดของผู้ดูแลระบบที่มีอยู่ อย่างไรก็ตาม อาจใช้เพื่อให้ความรู้แก่ผู้คนว่าปลั๊กอินและธีมที่ล้าสมัยเชื่อมต่อกับความปลอดภัย

สิ่งที่ขาดหายไปจาก iThemes Security และ Sucuri

iThemes ไม่มีไฟร์วอลล์ ซึ่งเป็นช่องโหว่ที่สำคัญสำหรับความปลอดภัยของ WordPress ของคุณ ไฟร์วอลล์ปกป้องไซต์จากการโจมตีบางประเภท และจะมีประโยชน์อย่างยิ่งหากเว็บไซต์ของคุณมีช่องโหว่

โปรแกรมสแกนมัลแวร์ของ Sucuri ไม่เพียงพอ ดังนั้น แม้ว่าบริการกำจัดมัลแวร์จะยอดเยี่ยม แต่คุณต้องเดาว่ามีมัลแวร์อยู่ในเว็บไซต์ของคุณ เพราะสแกนเนอร์จะไม่ตั้งค่าสถานะนั้น

iThemes Security กับ Sucuri: ราคา

แผนแพลตฟอร์มพื้นฐานของ Sucuri ที่ราคา $199.99 ต่อปีต่อไซต์เป็นข้อตกลงที่ดีสำหรับบริการกำจัดมัลแวร์แบบไม่จำกัด อย่างไรก็ตาม เมื่อพิจารณาว่าควรมีเครื่องสแกนที่ใช้งานได้ด้วย นั่นคือทั้งหมดที่ย่อยจะได้รับสำหรับคุณ iThemes ไม่คุ้มค่าอะไรเลย อย่าเพิ่งรำคาญ

เราได้แสดงความคิดเห็นเกี่ยวกับ iThemes ไว้อย่างชัดเจนในบทความนี้ ฟีเจอร์เดียวที่ควรค่าแก่การกล่าวถึงใน iThemes คือการรับรองความถูกต้องด้วยสองปัจจัย ซึ่งมีอยู่ในแผนบริการฟรี เราไม่แนะนำแผน Pro อย่างแน่นอน

ราคา iThemes
ราคา iThemes

ราคาของ Sucuri เป็นการขโมยบริการกำจัดมัลแวร์ แต่แมลงวันในครีมคือสแกนเนอร์ หากคุณไม่ทราบว่าคุณมีมัลแวร์ คุณจะไม่สามารถส่งคำขอให้ลบได้

ราคาซูริ
ราคาซูกุริ

ทางเลือกที่ดีกว่าสำหรับ iThemes Security และ Sucuri: MalCare

ลงทุนในปลั๊กอินความปลอดภัยที่ดีที่จะสแกน ทำความสะอาด และปกป้องเว็บไซต์ของคุณจากแฮกเกอร์ ในบรรดาปลั๊กอินทั้งหมดที่เราทดสอบสำหรับซีรีส์นี้ MalCare เป็นตัวเลือกที่ดีที่สุด MalCare เหนือกว่า iThemes ในทุกอย่าง และสแกนหามัลแวร์ได้ดีกว่า Sucuri

ในความเป็นจริงแผนพื้นฐาน $ 99 ของ MalCare ดีกว่าแผนแพลตฟอร์มพื้นฐาน $ 199.99 ของ Sucuri โดยมีการกำจัดมัลแวร์ทันทีเช่นกัน นอกจากนี้ยังรวมถึงการล้างข้อมูลไม่จำกัด

บทสรุป

ความปลอดภัยของเว็บไซต์ของคุณมีความสำคัญยิ่ง เราเห็นลูกค้าจำนวนมากไม่ใช้ปลั๊กอินความปลอดภัย แต่ต้องเผชิญกับการสูญเสียครั้งใหญ่หลังการแฮ็ก ลูกค้ารายหนึ่งยอมแพ้และตัดสินใจสร้างเว็บไซต์ใหม่ตั้งแต่เริ่มต้น มัลแวร์มีราคาแพง แต่ MalCare ไม่ใช่

บทความนี้ช่วยคุณในการตัดสินใจหรือไม่? เราชอบที่จะรู้! อย่าวางสายเรา