iThemes Security vs Sucuri: Hangisi Daha İyi Güvenlik Eklentisi?
Yayınlanan: 2023-04-19İlk bakışta iThemes Security, WordPress web siteleriniz için harika ve uygun fiyatlı bir güvenlik eklentisi gibi görünüyor. Özellikle sınırsız web sitesini sadece 199$'a koruyabileceğinizi düşünüyorsanız.
Sucuri ise mevcut en popüler WordPress güvenlik eklentilerinden biridir. Bir tarayıcı ve bir güvenlik duvarı ile yumruk atıyor ve kötü amaçlı yazılım temizleme de sunuyor. Yani zaten bu kafa kafaya durumda, iThemes'te bir yürüyüş çaldı. Neden? Çünkü iThemes bu özelliklerin hiçbirine sahip değil.
iThemes yarıştan tamamen elendi. Bu yarışmada kazanan şüphesiz Sucuri oldu. Bununla birlikte, web sitemizi koruma konusunda yine de Sucuri'ye güvenmeyiz. Hangi güvenlik eklentisinin WordPress web sitelerini bilgisayar korsanlarından koruması garanti edilir? Cevap kesin: MalCare.
iThemes Security ile Sucuri karşılaştırmasının özeti
iThemes Security, WordPress güvenlik eklentilerinin plasebosudur. Web sitenizin bilgisayar korsanlarından korunduğunu düşünüyorsunuz, ancak aslında onu koruyan tek şey hüsnükuruntu ve olumlu hisler. Sucuri şüphesiz daha iyidir, ancak daha iyi sonuçta göreceli bir terimdir. Harika bir güvenlik eklentisi değil.
Özetle iThemes Güvenliği
Sonuç olarak, iThemes web sitenizi korumaz. WordPress güvenliği için düşünüyorsanız, iThemes'i tamamen atlamanızı şiddetle tavsiye ederiz. Zaten yüklediyseniz, lütfen hemen web sitenizi tarayın. Web sitenizin güvenliği yoktur.
iThemes ile ilgili ilk izlenimlerimiz aslında olumluydu. Web sitesi harika bir oyundan bahsediyor ve WordPress güvenliği hakkında yetkili bir şekilde konuştukları için güven aşılıyor. Görebildiğimiz tek kusur, eklentiyi kötü amaçlı yazılımları temizlemek için kullanamamanızdı. Bu ideal değil ama yine de bir tarayıcı olarak çalışabilir.
Ya da biz öyle düşündük.
iThemes tarayıcı kötü amaçlı yazılımı algılamaz. Hiç. Tarama saniyeler içinde bittiği için dosyaları ve verileri taramadığını bile tahmin edebiliriz. iThemes 'tarayıcısının' yaptığı, web sitenizin bu listede olup olmadığını görmek için Google'ın Şeffaflık Raporunu kontrol etmektir. Bunu yapmak için bir güvenlik eklentisine ihtiyacımız yok. Web sitesini kontrol etmek için geri döndük ve özelliklerin açıkça kötü amaçlı yazılım taraması yapmadığını görünce şaşırdık. Sadece kötü amaçlı yazılım tespitinin WordPress güvenliğindeki en önemli adımlardan biri olduğunu söylüyor. Daha önce görmüş olsaydık, bu çift konuşmaydı.
iThemes testlerini işe yaramaz olarak yazma eğilimindeydik, ancak adalet adına devam ettik.
Eklenti, giriş sayfanızda etkinleştirebileceğiniz sağlam bir iki faktörlü kimlik doğrulama özelliğine sahiptir. Ayrıca, klasörlerde PHP yürütmesini engellemek gibi bazı iyi sağlamlaştırma özelliklerine de sahiptir. Bununla birlikte, kaba kuvvet oturum açma koruması yalnızca bazı zamanlarda çalışır. Eklentiye karşı başka bir kara leke.
iThemes kullanımından çıkardığımız sonuç, herhangi bir güvenlik değerinin tek özelliğinin iki faktörlü kimlik doğrulama ve wp-login üzerinde reCAPTCHA'nın kolay uygulanması olmasıdır. Bununla birlikte, bu iki özellik 199 dolarlık bir faturayı garanti etmez, çünkü bazı gerçek güvenliğe ek olarak aynı özellikleri sunan daha iyi güvenlik eklentileri vardır.
iThemes'i test etmek korkunç bir deneyimdi çünkü var olmayan bir güvenlikle korunduklarına inanan web sitelerinin sayısını hayal bile edemiyoruz. Aslında, iThemes kullanıcıları, web sitenizi hemen taramanız gerekir.
Kısaca Sucuri
Sucuri'nin iyi bir güvenlik duvarı ve harika kötü amaçlı yazılım temizleme hizmetleri var, ancak bir kötü amaçlı yazılım tarayıcısı olarak olağanüstü başarısız oldu. Web sitenizde kötü amaçlı yazılım olduğunu bilmiyorsanız, ondan kurtulmanın bir yolu yoktur. Bu, bir güvenlik eklentisinin pazarlık konusu olmayan bir parçasıdır.
Sucuri'yi test etmeye başladığımızda ondan çok şey bekliyorduk. WordPress için en popüler güvenlik eklentilerinden biridir ve tarayıcının saldırıya uğramış test sitemizde herhangi bir kötü amaçlı yazılım tespit edemediğini görünce hayrete düştük. Daha sonraki bir bölümde daha fazla ayrıntıya gireceğiz, ancak bu, tüm test sürecimizin tonunu belirledi.
Başarısızlığın yanı sıra, taramanın kendisinin tamamlanması uzun zaman alır ve bunu yapmak için sunucu kaynaklarımızı kullanır. Sucuri, web sitesinin performansı üzerindeki etkisi nedeniyle çok fazla taramayı caydırıyor. Performans ve güvenlik arasında olması korkunç bir değiş tokuş ve durum böyle olmamalı.
Güvenlik duvarı ve kötü amaçlı yazılım temizleme hizmetlerine geçen Sucuri iyi iş çıkardı. Güvenlik duvarını yapılandırmak çok zordu ve bunu yapmak çok fazla zamanımızı aldı. Ancak denediğimiz saldırıları engelledi ve herhangi bir güvenlik açığından yararlanamadık.
Kötü amaçlı yazılım temizleme hizmeti, test deneyimimizin en önemli noktasıydı. Tarayıcı, saldırıya uğramış web sitemize temiz bir sağlık raporu vermesine rağmen, kötü amaçlı yazılımla dolu olduğunu biliyorduk. Her şeyden önce, kötü amaçlı yazılımı oraya yerleştirdik ve ikinci olarak MalCare taramaları bu teşhisi doğruladı. Sucuri ekibi, sitemizdeki tüm kötü amaçlı yazılım izlerini kaldırdı ve sonuç olarak site son derece temizdi. Fantastik! Bu pastadaki kiraz, planınızın bir parçası olarak sınırsız kötü amaçlı yazılım temizleme isteğine sahip olabilmenizdi ki bu çok önemli.
Güvenlik duvarı dışında ayarlar çok belirsiz. Kullanılan jargonun çoğu konusunda kafamızı karıştırırken bulduk ve bu, WordPress güvenliğindeki uzmanlığımızdan kaynaklanıyor. Arayüz kullanıcı dostu değildir ve birçok kişinin onu gereksiz yere endişe verici bulacağından eminiz. Orada Sucuri için eksi puan.
Sonuç olarak, Sucuri'nin bir WordPress web sitesi için en iyi güvenlik çözümü olduğunu düşünmüyoruz. Bu onur, her seferinde çalışan bir tarayıcı sayesinde MalCare'e gidiyor. MalCare ayrıca bizi aptal hissettirmeyen bonus puanlar alıyor.
WordPress web siteniz için doğru güvenlik eklentisini nasıl seçersiniz?
WordPress web siteniz için güvenlik tartışılamaz. Kötü amaçlı yazılım işletmeler için sayısız kayba neden olabilir: gelir kaybı, davalar, temizleme maliyetleri, markalaşma üzerindeki etki, organik trafik kaybı ve çok daha fazlası. Doğru eklentiye yatırım yapmak sizi bilgisayar korsanlarından ve kötü amaçlı yazılımlardan ve kötü amaçlı yazılımların ardında bıraktığı sorunlardan kurtaracaktır.
Yine de soru şu: web siteniz için etkili bir güvenlik eklentisini nasıl seçersiniz?
Testlerimizi kurarken göz önünde bulundurmamız gereken birkaç faktör vardı: elbette güvenlik, ama aynı zamanda kullanım kolaylığı ve paranın karşılığı. Ancak kısa sürede güvenlik dışındaki tüm faktörlerin anlamsız hale geldiğini fark ettik, çünkü bir eklentinin güvenlikte ne kadar etkili olduğu tek düşünce olmalıdır.
İşte bir güvenlik eklentisi seçerken dikkate alınması gereken faktörler.
- Temel güvenlik özellikleri
- Kötü amaçlı yazılım taraması
- Kötü amaçlı yazılım temizleme
- güvenlik duvarı
- İyi güvenlik özellikleri
- Güvenlik açığı tespiti
- Kaba kuvvet oturum açma koruması
- Etkinlik günlüğü
- İki faktörlü kimlik doğrulama
- Potansiyel problemler
- Sunucu kaynakları üzerindeki etki
Listeden de görebileceğiniz gibi, sadece 3 faktör tamamen gereklidir. MalCare 3'te de başarılı: diğer eklentilerin kaçırması garanti edilen kötü amaçlı yazılımları tarama ve temizleme ve güçlü bir güvenlik duvarı ile web sitenizi kötü niyetli trafikten koruma. Ayrıca, MalCare bunu şu anda mevcut olan diğer tüm güvenlik eklentilerinden daha iyi yapıyor.
iThemes Security ve Sucuri: Özelliklerin birebir karşılaştırması
Bu karşılaştırmayı ortaya koyma şeklimiz, önce en temel özellikleri ele almak ve ardından test sırasında ortaya çıkan diğer gözlemleri tartışmaktır. Oldukça sık, neredeyse hiçbir şey yapmayan (iThemes'ten bahsediyoruz) ve yine de ayrıntılı bir güvenlik yanılsaması çizen özellikler ve ayarlar gördük.
Buğdaya ulaşmak için samanı ayıklamak kolay olmadı, ancak tüm verilerimizi olabildiğince açık ve adil bir şekilde sunacağız.
Bu ayırma işlemini atlamak istiyorsanız, MalCare'i yüklemenizi öneririz.
Kötü amaçlı yazılım taraması
Sucuri'nin tarayıcıları web sitemizde herhangi bir kötü amaçlı yazılım tespit etmedi. Taramayı ne kadar hızlı bitirdiğine bakılırsa, iThemes web sitemizde kötü amaçlı yazılım taraması bile yapmadı.
Sucuri'nin ücretsiz ve ücretli sürümlerinin her ikisi de tarayıcıya sahiptir, bu nedenle farklı performans gösterip göstermediğini görmek istedik. Ücretsiz sürüm, web sitenizin herkes tarafından görülebilen kısımlarını kötü amaçlı yazılımlara karşı tarayan çevrimiçi bir yardımcı program olan Sucuri SiteCheck tarafından desteklenmektedir. Elbette bunun sınırlamaları vardır, bu nedenle SiteCheck'ten temiz bir onay, kötü amaçlı yazılımdan arınmış bir web sitesi için garanti değildir.
Ücretli plan, web sunucunuza yüklemeniz gereken sunucu düzeyinde bir tarayıcı içerir. Bunu manuel olarak yapabilir veya FTP ayrıntılarınızı otomatik olarak yüklemek için Sucuri kontrol panelinize girebilirsiniz. Nispeten ağrısız bir süreçti.
Tarayıcı her gün çalışacak şekilde ayarlanmıştır, ancak talep üzerine - bir dereceye kadar - tarama yapabilirsiniz. Ek tarama istekleri bir kuyruğa alınır ve ardından yürütülür. Sucuri, taramalar sunucu kaynaklarını tükettiği için çok fazla tarama yapılmaması konusunda uyarıda bulunuyor.
Bu bizi duraksattı çünkü daha sonra Sucuri'nin web sitemizin kaynaklarını tarama yapmak için kullandığını fark ettik. Test sitelerimizde, siteler küçük olduğundan ve dış trafik olmadığı için akış çok şiddetli değildi. Ancak, CPU kullanımımızda kesinlikle bir sinyal gördük. Daha sonraki bir bölümde bununla ilgili daha fazla bilgi.
Profesyonel sürüm ayrıca saldırıya uğramış web sitemizde herhangi bir kötü amaçlı yazılım tespit etmedi. Bu şaşırtıcıydı, çünkü MalCare tarama sonuçlarımız kötü amaçlı yazılımın yerini açıkça belirledi. Bu nedenle, bir manuel kaldırma talebinde bulunduk. Talep, Sucuri'nin ekibi tarafından işlendikten sonra, site MalCare'de temiz bir şekilde ortaya çıktı. Ancak bu, Sucuri tarayıcının web sitesindeki kötü amaçlı yazılımı işaretlediği zamandı. Çok garipti.
Şans eseri, iThemes tarayıcıda herhangi bir muamma yoktu. Saf ve basit bir şekilde kötü amaçlı yazılım taraması yapmaz. iThemes tarayıcı yalnızca web sitenizin Google'ın kara listesinde olup olmadığını kontrol eder. Bu kadar. Dizine eklenmemiş oldukları düşünüldüğünde, sitelerimizin aslında kara listede olmadığını görmek bizi şaşırtmadı.
Kötü amaçlı yazılım temizleme
Kötü amaçlı yazılım temizleme, iThemes özellik listesinde yer almadığından, kötü amaçlı yazılımları temizleyemeyeceği açıktır. Sucuri, ücretli planlarının bir parçası olarak sınırsız kötü amaçlı yazılım temizleme hizmetlerine sahiptir. Planınıza bağlı olarak, web siteniz 6 ila 30 saat arasında temizlenecektir.
Sucuri'nin tarama sonuçları web sitemizde kötü amaçlı yazılım olmadığını söylese de, durumun böyle olmadığını açıkça biliyorduk. Her yerde kötü amaçlı yazılım vardı: dosyalarda ve veritabanında. Ayrıca, iyi bir önlem olarak orada bir sürü arka kapımız vardı. MalCare tarayıcıları, test sitelerimizin gerçekten de kötü amaçlı yazılımlarla dolu olduğunu doğruladı.
Bu nedenle, Sucuri'ye, sitede kötü amaçlı yazılım olduğundan şüphelendiğimizi açıkça belirten bir kötü amaçlı yazılımın kaldırılması talebinde bulunduk. Bir istekte bulunmak için bir form doldurmanız ve temizlik için FTP ayrıntılarını sağlamanız gerekir. Ve sonra sonuçları bekleyin.
Ek not: Kaldırma talebi formunda, görüyor olabileceğiniz olası semptomları listeleyen ilginç bir açılır liste vardı. Ayrıca, bizi eğlendirmek için, teknik yeterlilik seviyenizi belirtmeniz gerekiyordu, biz de şunu seçtik: “ Yeterlilik yok, lütfen her şeyi net bir şekilde açıklayın. ”
Sucuri'ye teşekkür ederiz, ekipleri sitemizden tüm kötü amaçlı yazılımları kaldırdı. Ayrıca, plan şartlarımız 30 saat içinde bir çözüm bekleyebileceğimizi söylese de, 10 saatten daha kısa bir süre içinde yanıt aldık. Bu, Sucuri'nin kötü amaçlı yazılım temizleme hizmeti için büyük bir olumluydu.
MalCare ile tüm kötü amaçlı yazılımların kaldırıldığını doğruladık ve ekibi temizledikten sonra Sucuri'nin tarayıcısının siteyi virüslü olarak işaretlediğini görünce şaşırdık.
Öte yandan, iThemes kötü amaçlı yazılımları temizleyemez, dolayısıyla test edilecek bir şey yoktur. Neyse ki, web sitelerinde bunu iddia etmiyorlar.
Açıkçası, kötü amaçlı yazılım temizleme, WordPress güvenliğinin en zor ve genellikle en pahalı yönüdür. Sucuri'nin ücretli planlarında sınırsız temizleme vardır, bu harika çünkü güvenlik açıkları giderilmezse kötü amaçlı yazılım yeniden ortaya çıkabilir. Temizlik hizmetinde bulabileceğimiz bir hata olsaydı, çözüm için bir süre beklemeniz gerekirdi. Kötü amaçlı yazılım söz konusu olduğunda, enfeksiyonların kısa sürede katlanarak büyüdüğünü gördük, bu nedenle bu bir endişe kaynağı.
MalCare ile, kötü amaçlı yazılımdan dakikalar içinde kurtulmak için otomatik temizleme işlevini kullanabiliriz. Sucuri'nin bize geri dönmesini beklerken, iş açısından kritik bir web sitesi için hızlı bir temizliğin sahip olduğu muazzam değeri fark ettik.
güvenlik duvarı
Sucuri'nin güvenlik duvarı çalışır ve en yaygın saldırılarımızı korur. iThemes'in güvenlik duvarı yoktur.
Güvenlik duvarı, kötü amaçlı trafiği dışarıda tuttukları ve açıklardan yararlanmaları önledikleri için web sitesi güvenliğinde kritik bir bileşendir. Makalenin bu noktasında, iThemes'in bir güvenlik duvarı olmadığını duymak sizi şaşırtmaz. Neden olsun ki? Bir güvenlik eklentisi olarak diğer her açıdan başarısız olur.
Sucuri ise web sitemizi wordpress saldırılarına karşı korumuştur. Sınırsız dosya yüklemeleri, XSS ve SQL enjeksiyonu gibi güvenlik açıklarına karşı test ettik. Güvenlik duvarı, bu güvenlik açıklarından yararlanmaya ve web sitesine kötü amaçlı yazılım yüklemeye yönelik tüm girişimlerimizi engelledi. Tamamen şeffaf bir şekilde daha karmaşık saldırıları test edemedik.
Bu nedenle Sucuri'nin güvenlik duvarı çalışıyor, ancak güvenlik duvarını yapılandırmanın ne kadar sinir bozucu olduğundan da bahsetmemiz gerekiyor. Güvenlik duvarının çalışma şekli, gelen trafik ile web siteniz arasında bir katman gibi davranmasıdır. Bu nedenle, tüm trafik önce Sucuri'nin güvenlik duvarına çarpar ve ardından web sitenize yönlendirilir.
Tahmin edebileceğiniz gibi, bu biraz yapılandırma gerektiriyor. Web siteniz için kullandığınız alan adının önce Sucuri'yi göstermesi gerekir, trafik analiz edilir ve ardından izin verilen trafik web sitenize iletilir. Bu harika, ancak ad sunucuları ve DNS yapılandırması konusunda uzmanlığınız yoksa güvenlik duvarını kurmak zahmetlidir.
Genel olarak, kutudan çıkar çıkmaz çalışan bir güvenlik çözümüne sahip olmak çok daha iyidir. Web sitemizi korumak için karmaşık yapılandırma yok. Bilirsin, MalCare ile aldığın türden.
Güvenlik açığı tespiti
Sucuri, hepsini olmasa da web sitemizdeki güvenlik açıklarının çoğunu tespit etti. iThemes hiç bulamadı.
Sunucu tarafı tarayıcıyı etkinleştirdikten sonra Sucuri, web sitesinde kurulu birkaç savunmasız eklentimiz olduğunu tespit etti. Hepsini algılamadı ve öneri basitçe güncellemekti.
Ek olarak, wp-admin'de şu anda yüklü eklentileri ve temaları, bunların yüklü sürümlerini ve mevcut en son sürümleri listeleyen bir hack sonrası görünümü vardır. Bu bölümün açıklamasında Sucuri, güvenlik açıklarının web sitesi güvenliğine bağlı olduğunu ve her şeyi güncel tutmanın iyi bir uygulama olduğunu belirtiyor. Eklenti aracılığıyla rutin bir bakışta kimsenin oraya inmesi pek olası değildir, bu nedenle yerleşimin yararlı olduğundan emin değiliz.
Sucuri, kötü amaçlı yazılımın kaldırılması talebinin bir parçası olarak bize, güçlendirme önlemleri uygulamamızı ve (3'te 2) savunmasız eklentilerimizi güncellememizi öneren bir mesaj da gönderdi. Bu, hack sonrası kontrol listelerinin bir parçasıdır.
iThemes güvenlik açıklarını işaretlemez. Bununla birlikte, kontrol panelinde, eklentinin yüklendiği andan itibaren kaç güncelleme yapıldığını gösteren, son derece işe yaramaz bir sayacı vardır. Bu bilginin nasıl yararlı olabileceğini anlayamıyoruz.
Kaba kuvvet oturum açma koruması
Sucuri'nin kaba kuvvet saldırılarını engellemesi ve sizi uyarması gerekiyor, ancak ikisini de yapmıyor. iThemes bazen yapar, bazen yapmaz. Hangisinin daha kötü olduğunu söylemek zor.
iThemes, her yanlış oturum açma girişimini bir kaba kuvvet saldırısı olarak günlüğe kaydeder ki bu, açıkçası bir kullanıcının görmesi için dehşet vericidir. Bir durumda, şifreyi gerçekten unuttuk.
Giriş sayfasını zorlamayı denediğimizde eşit olmayan sonuçlar gördük. iThemes, 1 sitedeki girişimleri engelledi, ancak diğerini engellemedi. Bu tutarsızlığa neyin neden olduğunu bulmaya çalıştık, ancak tek fark web sitesindeki kötü amaçlı yazılımdı. Kötü amaçlı yazılımlar genellikle başarılı kaba kuvvet saldırılarının bir sonucu olduğundan, sebebin bu olduğunu düşünmüyoruz. Büyük olasılıkla, özelliğin ara sıra çalışmasına neden olan bir hata var gibi görünüyor. Aslında anlamsızdır.
Sucuri bizim için umut verdi çünkü kaba kuvvet saldırıları için ayrıntılı bir dizi seçenek var. Bir kaba kuvvet saldırısı olarak sayılan başarısız girişimlerin sayısını ayarlayabilirsiniz. Oturum açma saldırıları genellikle dakikada birkaç 100 deneme olsa da, bunu saatte çok mütevazı bir 30 deneme olarak ayarladık.
Kilitlemeler için tüm ayarları gördükten sonra, sitenin dışında kalma konusunda biraz endişeliydik. MalCare'in oturum açma koruması girişimi engellemesin diye MalCare'i kapatmıştık. Ancak hiçbir şey olmadı. 3 dakikada 40'tan fazla yanlış oturum açmayı denedik, ancak Sucuri henüz bir uyarı vermedi. Denetim günlüklerini kontrol ettim ve başarısız kimlik doğrulaması tamam görünüyor. Ancak uyarı yok. Lokavt yok. Hiç bir şey.
Etkinlik günlüğü
iThemes, tamamlanmamış bir etkinlik günlüğü özelliğine sahiptir. Sucuri'nin iyi bir tane var ama belirsiz olabilir.
Sucuri, kullanıcıların, eklentilerin ve temaların tüm eylemlerini izleyen Denetim Günlükleri adlı bir özelliğe sahiptir. Özellik beklendiği gibi çalışıyor, ancak ayarlardan biri bizi duraklattı. "Saldırganların günlükleri silmesini önlemek" için bir API anahtarına ihtiyacınız var. Bu temelde Sucuri'ye site dışında web sitesi hakkında veri toplama ve depolama yetkisi verir, bu iyidir, ancak kullandıkları dil en hafif tabirle sarsıcıdır. Kullanılabilirlik bölümünde bununla ilgili daha fazla bilgi.
Günlükler, günlükler gibi çalışır ve zaman damgası, kullanıcı ve eylemi toplarken, çok belirsiz olabilirler. Örneğin, eklenti etkinleştirildi olarak görünen yeni bir eklenti kurduk. Şimdiye kadar, çok iyi. Ve günlükte kurulumun neyi etkilediğini gösteren 7 giriş daha var. Ancak bu girişlerin ne anlama geldiğine dair çok az açıklama var. Bunlar değiştirilmiş dosya veya klasörler olabilir mi? Hayır, daha sonra bir galeri eklentisi olan bu özel eklentinin gönderiler için şablonu değiştirdiğini fark ettik. Bu mantıklı, ancak vahiy Sucuri'den gelmedi.
Etkinlik günlüğü, web sitenizin güvenlik araç setinin önemli bir parçasıdır. Bilgisayar korsanları, sitelere saldırmak için yetersiz günlük kaydından yararlanır ve bu nedenle, web siteniz hakkında doğru bilgileri paylaşmak için güvenebileceğiniz güvenilir bir günlük tutmalısınız.
Temel olarak, iThemes'in sahip olduğu gibi değil. Buradaki etkinlik günlüğü, kullanıcı etkinliği, sürüm yönetimi, site taramaları ve kaba kuvvet saldırıları gibi bazı yararlı bilgiler içerir. Yine de eklentiler veya temalar hakkında hiçbir şey yok. Size her gün bir dosya değişikliği raporu e-postası gönderen ayrı bir özellik de vardır. Sonuç olarak, günlükler yetersiz çünkü web sitenizin doğru bir resmini çizmiyorlar.
İki faktörlü kimlik doğrulama
iThemes, kullanıma hazır harika bir iki faktörlü kimlik doğrulama özelliğine sahiptir. Sucuri değil.
Bu ve dizideki diğer benzer makalelerdeki iThemes'i çöpe attıktan sonra, bunun iThemes'te gerçekten çalışan ve bu konuda oldukça iyi çalışan yegane güvenlik özelliklerinden biri olduğunu bildirmekten mutluluk duyuyoruz.
iThemes'teki iki faktörlü kimlik doğrulama özelliği çok sağlamdır. Bir ton özelleştirmeye sahiptir ve kutudan çıkar çıkmaz sorunsuz çalışır. Eklenti ayrıca, şiddetle savunduğumuz güçlü parolaların uygulanmasına da yardımcı olur.
Buradaki tek endişemiz, iThemes pro sürümünün kullanım kolaylığı için oturum açma belirteçlerini kaldıran bir ton ayara sahip olmasıdır: parolasız oturum açma, güvenilir cihazlar, sihirli bağlantılar vb. Bunlar, oturum açma sürecini yumuşatmak için yararlı olsa da, iki faktörlü kimlik doğrulamanın amacını ortadan kaldırır.
Sucuri'yi test ettiğimizde iki faktörlü kimlik doğrulama aradık. Sucuri kontrol panelinde var olduğunu bulduk. Ancak, iki faktörlü kimlik doğrulamanın WordPress web siteniz için değil, Sucuri hesabınız için mevcut olduğunun farkına vardığımızda hem eğlendik hem de şaşırdık.
Sunucu kaynak kullanımı
iThemes hiçbir şey yapmadığı için sunucu kaynaklarınızı hiç tüketmez. Sucuri, taramalarıyla web sitenizin performansını düşürür.
İlginç bir şekilde, insanlar bize güvenlik bağlamında sunucu kaynakları hakkında soru sormazlar. Ancak ideal olarak, web sitenizin korunmasını ve süreçte yavaşlamamasını istiyorsunuz. Sucuri'nin tarayıcısı bunu sitenize yapar.
Sucuri taramaları, web sitesinin sunucu kaynaklarını doğrudan kullandığını iddia eder. Aslında, bu nedenle sık tarama yapmaktan vazgeçiyor gibi görünüyorlar. Açıkçası, bu korkunç. Neden birisi bir tarafta performans ve makul sunucu faturaları ile diğer tarafta güvenlik arasında seçim yapmak zorunda kalsın? Yine de şaka yapmıyorlardı. Sucuri'yi kurar kurmaz sunucu kaynaklarında büyük bir artış oldu ve ardından ikinci bir tarama gerçekleştirdik. Küçük bir sitede fark çok belirginse, büyük bir sitede fark çok daha fazla olacaktır.
Ek olarak, kontrol panelindeki Genel Ayarlar'da, Sucuri'nin web sitesinin kendisinde çok fazla veri (çoğunlukla görünüşe göre günlükler) depoladığını gösteren bir Veri Depolama ayarı vardır. Muhtemelen bir API anahtarının gerekli olmasının nedeni budur, çünkü tümü varsayılan olarak herkesin erişebileceği bir klasör olan yüklemeler klasöründedir. Depolamayı herkes tarafından erişilemeyen bir klasöre değiştirme seçeneği vardır, ancak başlangıçta varsayılan değer bu olmalıdır.
iThemes, sunucu kaynaklarınızı tüketmez. Hiçbir şey yapmadığında nasıl olabilir?
Uyarılar
iThemes sizi hiçbir şey için uyarmaz. Sucuri alır, ancak hangi uyarıları almak istediğiniz konusunda dikkatli olmanız gerekir. Gelen kutunuz saatler içinde dolabilir.
Sucuri, belirli kişilere gönderilecek uyarıları ayarlamanıza, uyarıların biçimini özelleştirmenize ve çok daha fazlasına olanak tanır. Ayrıca, bu adreslerin uyarılar için işaretlenmemesi için IP adresi aralıkları da ekleyebilirsiniz. Yine de jargonla dolu açıklamalar için uyarılırsınız. ' sınıfsız etki alanları arası yönlendirme ' nedir? Bilmek istemedik, sadece web sitesini korumak istedik.
Uyarılar için ayrıntılı ayarlara bakılırsa Sucuri, potansiyel olarak çok fazla uyarı gönderdiklerinin kesinlikle farkında gibi görünüyor. Bir saat içinde alınan maksimum uyarıları yapılandırmak için bir ayar vardır, örneğin 5 e-postaya kadar. Bununla ilgili sorun şudur: İlk 5'in yanlış pozitif olduğunu ve 6.'nın olmadığını varsayalım? Orada bir sorumluluk reddi beyanı var - ama yine de - işe yaramaz bir özellik yerine gerçek bilgilere sahip olmak daha iyidir. Buradaki çıkarımımız, herhangi bir yöneticinin ağaçlar için ormanı görmeyeceğidir. Sadece çok fazla gürültü var.
Şaşırtıcı bir şekilde, hala iThemes'i gözden geçiriyoruz, kayıp bir amaç için ondan vazgeçmiyoruz. iThemes bize dosya değişikliği bildirim raporları, veritabanı yedekleri ve ayarlarımızın diğer onaylarını gönderdi. Ayrıca web sitemizle ilgili günlük bir güvenlik özetine ve haftada bir güvenlik açığı raporuna abone olduk, muhtemelen bunları web sitelerimizle karşılaştırabilmemiz için. Bir siteyle zaten yeterince kötüydü, daha fazla siteyle tamamen kontrolden çıkabilirdi.
Kurulum, yapılandırma ve kullanılabilirlik
Kafa karıştırıcı yapılandırma seçenekleri nedeniyle iThemes kurulumu şaşırtıcı derecede zordu. Sucuri oldukça basitti, ancak eklentideki yapılandırma seçenekleri korkunç derecede yıldırıcıydı.
iThemes, test ettiğimiz ilk eklentiydi, bu yüzden başlangıçta kolay görünüyordu. Ayrıca en yararsız ayarlar için çıtayı ayarladı. Bir güvenlik panosu oluşturabilmek için bir yapılandırmadan geçmeniz gerekir. Ayarların her birini inceledik, ancak hiçbirinin güvenlik üzerinde gerçek bir etkisi olmadı, bu yüzden onları rastgele ayarladık ve olduğu gibi bıraktık.
Sucuri sorunsuz bir şekilde kuruldu ve eklenti çoğunlukla kendi kendine kuruldu. Ücretli özelliklere erişmek için Sucuri ile bir hesap oluşturmamız gerekiyordu. Ayrıca, sunucu tarafı tarayıcıyı kurmak için Sucuri harici kontrol panelini kullanmanız gerektiğini belirtmekte fayda var. Herhangi bir kötü amaçlı yazılım algılamadığı için pek bir anlam görmesek de, hazır FTP ayrıntılarınız varsa bunu yapmak zor değil.
Wp-admin'inizdeki iThemes panosu gürültüdür. İlgili güvenlikle ilgili hiçbir bilgi yoktur.
Sucuri'nin kontrol paneli ve ayarları inanılmaz derecede karmaşık. Kullandıkları teknik terimlerle ne demek istediklerini anlamaya çalışmak için saatler harcadık. Bazı durumlarda, eklenti size önerilen ayarı söyler, bu nedenle kullanıcı temelde körü körüne çalışır. Tek sorun, Sucuri'nin kötü amaçlı yazılım tarayıcısı çalışmadığı için körü körüne inanca ilham vermemesi!
Bu eklentinin anlaşılmasının daha kolay olmasını diliyoruz. Çok karmaşık görünüyor ve pek çok şey yapıyor gibi görünüyor, ancak kaba kuvvet koruması gibi önemli olduğunu bildiğimiz bazı şeyler işe yaramadığı için emin olamayız.
Güvenlik duvarı ve sunucu tarafı tarayıcının ayrı olarak etkinleştirilmesi gerekir. 3 web sitesiyle bu eklentiyi bulmamız bir haftadan fazla sürdü. Daha fazlasını idare eden birine ne olacağını düşünmek için titriyoruz. Kurulumu çok sıkıcı.
Teknik olmayan kullanıcılar için ayarların anlaşılmasının zor olduğunu yinelemek istiyoruz. Günlük analiz yazılımı diye bir şey olduğunu bilmiyorduk. Ayrıca, ters proxy için ilginç mesajlar gördük; burada Sucuri, ne olduğunu bilmediğimiz sürece bu seçenek hakkında endişelenmememizi yararlı bir şekilde söylüyor. Bir küçümseme tarafıyla karıştırdığınız için teşekkürler.
iThemes: Ekstralar
iThemes'te çok ayrıntılı bir beyaz liste özelliği var ve bu, gördüğümüz aşırı sayıda site kilitleme şikayeti olduğunu fark edene kadar şaşırtıcıydı. Bununla ilgili iki sorun vardır: Birincisi, cihaz IP'lerinin değişmesidir, bu nedenle IP'nizi beyaz listeye almak sandığınız kadar güvenli değildir; ve ikincisi, bir kilitlemeyi tetiklemek için mümkün olan her şeyi denedik. Ama olmadı.
Dosya değişikliği izleme, güvenlik hakkında bir şey bilmiyorsanız iyi bir fikir gibi görünen başka bir özelliktir. Bilgisayar korsanları, dosyayı yıllardır düzenlenmemiş gibi gösterecek ölçüde bile dosya zaman damgalarını değiştirebilir. Ek olarak, bu monitör için bir dosya türü dışlama listesi vardır. Açıkçası, bu kötü amaçlı yazılım anlayışının eksikliğini gösterir. Kötü amaçlı yazılım, örneğin .ico dosyaları da dahil olmak üzere herhangi bir dosyada saklanabilir.
iThemes'in iyi bir parola yönetim sistemi vardır. Güçlü parolalar uygulayabilir ve güvenliği ihlal edilmiş parolalara izin vermeyi reddedebilirsiniz. İsterseniz XML-RPC için uygulama şifreleri ayarlamak da mümkündür.
Son olarak, iThemes'in bazı güçlendirme özellikleri vardır ve bunların çoğunu hiç önermeyiz. Mantıklı olan tek şey, yüklemeler klasöründe PHP yürütmesini engellemektir. Bu, belirli bir kötü amaçlı yazılım saldırısını önler. Diğerleri, tamamen göz ardı etmenizi öneririz.
Sucuri: Ekstralar
Sucuri'nin wp-admin'deki kontrol paneli oldukça etkileyici görünüyor, ancak ilk bakışta en büyük bilgi kutusunun WordPress bütünlüğü olduğunu gördük. Umarız bu yalnızca şu anda kullandığımız ücretsiz sürüm içindir, çünkü bu aslında WordPress çekirdek dosyaları için bir dosya değiştirme izleyicisinin giydirilmiş bir sürümüdür.
Bazı durumlarda, çekirdek dosyalara çok sayıda kötü amaçlı yazılımın girdiğini düşünürsek, bunun yararlı olduğunu görebiliriz. Tersine, bunun bir günah olabileceğini de görebiliriz çünkü deneyimsiz insanlar kötü amaçlı yazılımın kapsamının bu kadar olduğuna inanabilir ki bu korkutucu bir düşüncedir. Yeterince komik, işaretlediği 3 wordpress bütünlük dosyasından 2'si MalCare'dendi: acil durum konektörü ve güvenlik duvarı.
Ayarların daha derinlerinde, çekirdek dosyaları karşılaştırmak ve farklılıkları bulmak için bir bütünlük farkı yardımcı programı vardır. Bu, çevrimiçi diffchecker yardımcı programından daha kolay kullanılabilir.
Hatırı sayılır sayıda sertleştirme seçeneği vardı: bazıları yararlı, diğerleri pek değil. Yüklemeler klasöründe, güvenlik duvarında PHP'yi bloke edebilmeyi ve wordpress tuzlarını değiştiren otomatik gizli anahtar güncellemesini etkinleştirebilmeyi sevdik.
Bununla birlikte, WordPress sürümünü doğrulamak, WordPress sürümünü kaldırmak, bilgi sızıntısını önlemek (WordPress'in yeniden oluşturduğu beni oku dosyasını kaldırır) ve varsayılan yönetici hesabını doğrulamak, tümü küçük güvenlik etkisine sahip aptalca özelliklerdir. Açıkçası, tüm güvenlik endüstrisi bu hilelerden yola çıktı.
Eklentiyi ve tema düzenleyiciyi devre dışı bırakmayı seçerseniz, güncellemeyi zor bulacaksınız. Bu klasörlerdeki PHP dosyalarına erişmesi gereken bazı eklentiler ve temalar hakkında bir uyarı içerir. Bu yetersiz. Konuyla ilgili örnek: Sucuri, PHP dosyalarını yüklemeler klasörüne kaydeder. Harici panolarından kendi dosyalarına erişmek istemiyorlar mı? Yoksa bu kuralın bir istisnası mı? Bu durumda, kural kullanıcıdan gizlenen şekillerde esnek görünür.
wp-admin kontrol panelindeki hack sonrası özelliğini kontrol etmek istiyorduk. Temizledikten sonra, web sitenizi gelecekteki saldırılardan korumak için her şeyi yaptığınızdan emin olmak istersiniz. Biraz daha ileriye bakana kadar fikri beğendik.
Kontrol panelinden gizli anahtarları güncelleyebilirsiniz - wordpress tuzlarını değiştirebilirsiniz. Bununla ilgili tek sorun, wp-admin'de oturum açmış her yönetici tarafından görülebilen düz metin olmasıdır. Bir bilgisayar korsanının yönetici erişimine sahip bir hesabı varsa, bu gülünç derecede tehlikelidir. Bu özellik yalnızca, bir kullanıcı yönetici hesaplarından hiçbirinin güvenliğinin ihlal edilmediğini doğruladığında ve ardından tuzları değiştirdiğinde anlamlıdır. Hiçbir yerde bahsedilmeyen bir nokta.
Kullanıcı parolalarını sıfırlayabilirsiniz. Yine, ince yazıyı okuyana kadar görünüşte iyi bir özellik: “Parolalarını değiştirmek, oturumlarını sonlandırmak ve onlara bir parola sıfırlama bağlantısı e-postası göndermek için listeden kullanıcıları seçin. Lütfen eklentinin e-postaları göndermeden önce şifreleri değiştireceğini unutmayın; bu, web sunucunuz e-posta gönderemezse, kullanıcılarınızın siteye erişiminin engelleneceği anlamına gelir."
Temel sürüm yönetimi olan mevcut eklenti ve tema güncellemelerini görebileceğiniz bir yer var. Mevcut yönetici panosu işlevine hiçbir şey eklemez. Ancak, eski eklentilerin ve temaların güvenlikle bağlantılı olduğu konusunda insanları eğitmeye hizmet edebilir.
iThemes Security ve Sucuri'de eksik olan nedir?
iThemes, WordPress güvenliğiniz için ciddi bir boşluk olan bir güvenlik duvarına sahip değildir. Güvenlik duvarları, siteleri belirli saldırı türlerinden korur ve web sitenizde güvenlik açıkları varsa çok değerlidir.
Sucuri'nin kötü amaçlı yazılım tarayıcısı yeterli değil. Bu nedenle, kötü amaçlı yazılım temizleme hizmeti harika olsa da, tarayıcı onu işaretlemeyeceği için web sitenizde kötü amaçlı yazılım olduğunu tahmin etmeniz gerekir.
iThemes Security vs Sucuri: Fiyatlandırma
Sucuri'nin site başına yılda 199,99 ABD doları olan Temel Platform planı, sınırsız kötü amaçlı yazılım temizleme hizmetleri için iyi bir anlaşmadır. Bununla birlikte, çalışan bir tarayıcıya da sahip olması gerektiği düşünüldüğünde, denizaltınızın size alacağı tek şey bu. iThemes hiçbir şeye değmez. Sadece zahmet etme.
Bu makalede iThemes hakkındaki görüşümüzü fazlasıyla netleştirdik. iThemes'te bahsetmeye değer tek özellik, ücretsiz planda bulunan iki faktörlü kimlik doğrulamadır. Pro planını kesinlikle önermiyoruz.
Sucuri'nin fiyatlandırması, bir kötü amaçlı yazılım temizleme hizmeti için çalmak, ancak merhemdeki sinek tarayıcıdır. Kötü amaçlı yazılımınız olduğunu bilmiyorsanız, kaldırılması için istek gönderemezsiniz.
iThemes Security ve Sucuri'ye daha iyi bir alternatif: MalCare
Web sitenizi tarayacak, temizleyecek ve bilgisayar korsanlarından koruyacak iyi bir güvenlik eklentisine yatırım yapın. Bu seri için test ettiğimiz tüm eklentiler arasında MalCare en iyi seçenek olarak öne çıkıyor. MalCare, iThemes'i her şeyde gölgede bırakır ve kötü amaçlı yazılımları Sucuri'den daha iyi tarar.
Aslında, MalCare'in 99 $'lık Temel planı, Sucuri'nin 199.99 $' lık Temel Platform planından daha iyidir ve aynı zamanda anında kötü amaçlı yazılımları da kaldırır. Ayrıca sınırsız temizleme içerir
Çözüm
Web sitenizin güvenliği her şeyden önemlidir. Pek çok müşterinin bir güvenlik eklentisinden kaçıp bir hack'ten sonra yıkıcı kayıplarla karşı karşıya kaldığını gördük. Bir müşteri bir noktadan sonra pes etti ve web sitesini sıfırdan yeniden kurmaya karar verdi. Kötü amaçlı yazılım pahalıdır, MalCare değildir.
Makale karar vermenize yardımcı oldu mu? Bilmek isteriz! Bize bir satır bırakın.