Sucuri Jetpack'e Karşı: Hangisi Daha İyi Güvenlik Eklentisi?
Yayınlanan: 2023-04-19WordPress güvenliği ile ilgili bir tartışmada, Sucuri kaçınılmaz olarak ortaya çıkıyor. Bugün mevcut olan en popüler güvenlik eklentilerinden biridir. Profesyonel planlar, bir sunucu tarafı tarayıcı, bir güvenlik duvarı ve sınırsız manuel kötü amaçlı yazılım temizleme ile birlikte gelir.
Jetpack, birçok WordPress işlevi için hepsi bir arada bir çözümdür; Automattic tarafından yapıldığı için şaşırtıcı değil. Ayrıca, birçok eklentinin işini tek bir eklentinin yapması çekici bir seçenektir, bu nedenle Jetpack, güvenlik eklentisi test serimizde oldukça iddialıdır.
Ancak, çanları ve ıslıkları göz ardı edersek, hangi güvenlik eklentisi WordPress sitenizi daha iyi korur?
Bu yanıtı almak için en iyi 5 güvenlik eklentisini test ettik. 45 gün boyunca eklentileri kötü amaçlı yazılımlara, güvenlik açıklarına, saldırılara ve çok daha fazlasına karşı test ettik. Sonuçlarımız ve en önemlisi hakkında daha fazlasını okumak için okumaya devam edin: gerçekten çalışan bir WordPress güvenlik eklentisi seçimimiz.
KARAR : Sucuri ve Jetpack arasında karar vermek zordu, çünkü ikisi de farklı şekillerde başarısız oldu. Sonuçta, Sucuri'nin Jetpack'e karşı kazandığını düşünüyoruz. Jetpack'in kötü amaçlı yazılım tarayıcısı, hiçbir şey algılayamayan Sucuri'nin aksine, kötü amaçlı yazılımların bir kısmını algılamayı başardı. Ancak Sucuri'nin kötü amaçlı yazılım temizleme hizmeti işi iyi yaptı, oysa Jetpack'in hiçbir temizleme seçeneği yoktu. Dürüst olmak gerekirse, ikisi de yeterince iyi olmasa da bizim tavsiyemiz MalCare.
bizim seçimimiz
En iyi 5 güvenlik eklentisinin her birini 45 günlük teste tabi tuttuk. 3 web sitesi kullandık: 1) kontrol olarak sıradan bir blog; 2) savunmasız eklentilere sahip bir blog ve 3) patron seviyesi olarak dosyalarda ve veritabanında kötü amaçlı yazılım bulunan bir site.
Makalenin ilerleyen kısımlarında her eklentiyi nasıl sıraladığımızı gösteren bir faktörler listesi var, ancak kısaca sonuçlarımıza ulaşmak için tarayıcıyı, temizleyiciyi ve güvenlik duvarını (eğer eklenti varsa) test ettik.
Web sitenizi bilgisayar korsanlarından ve onların kötü amaçlı yazılımlarından koruduğundan emin olabileceğiniz bir güvenlik eklentisi seçmeniz önemlidir. Bu eklenti şüphesiz MalCare'dir.
Sucuri ve Jetpack karşılaştırmasının özeti
Bu kazanan her şeyi alır yarışmasında Sucuri, sundukları mükemmel kötü amaçlı yazılım temizleme hizmetleri nedeniyle Jetpack'in önüne geçiyor. Ancak bu içi boş bir zafer çünkü Sucuri'nin tarayıcısı şimdiye kadar gördüğümüz en kötü tarayıcılardan biri.
Kısaca jetpack
Jetpack'in ücretli planlarında, web sitenizdeki bazı kötü amaçlı yazılımları tespit edecek ortalama bir kötü amaçlı yazılım tarayıcısı bulunur. Güvenlik özelliklerinin geri kalanı oldukça iyidir, ancak tarayıcıyı veya kötü amaçlı yazılım temizleme ve güvenlik duvarı eksikliğini telafi etmezler. Genel olarak, Jetpack bir bayan.
Jetpack, iThemes'ten hemen sonra test ettiğimiz ikinci eklentiydi ve olumlu bir şekilde etkilendik çünkü en azından bir şeyler yaptı. Açıkçası, bu onu iyi bir güvenlik eklentisi yapmaz.
Olumlu tarafı, Jetpack'in etkinlik günlüğü harika. Etkinlik günlüğü, hata ayıklama ve web sitesi güvenliği için kritik bir araçtır. Ayrıca WordPress.com'daki harici kontrol panelinin harika olduğunu ve çalışmak için tanıdık bir arayüz olduğunu düşünüyoruz. Yedeklemelerin büyük savunucuları olduğumuz için, Jetpack'in özelliklerinin bu kısmını seviyoruz.
Yukarıdakilerin hiçbiri ücretli bir plan için yeterli neden değil, çünkü Jetpack bozduramayacağı çok sayıda çek yazıyor. Tarayıcının iyi çalışmadığından daha önce bahsetmiştik. Web sitesindeki kötü amaçlı yazılımın yaklaşık %30'unu tespit etti. Kaba kuvvet koruması en iyi ihtimalle vasattır. Giriş sayfasına saldırmayı denedik ve birkaç başarısız girişten sonra bir captcha gördük. Ancak IP'miz işaretlenmedi ve e-posta uyarısı da almadık. Günlükleri kontrol ettiğimizde, saldırı yine de kaydedildi.
Ayrıca Jetpack, web sitesinin yalnızca bazı güvenlik açıklarını algılar. Kurduğumuz 3 sistemden 2 olarak işaretlendi. Web sitelerinin çok daha fazla güvenlik açığına sahip olduğu durumlarda, oran kesinlikle çok daha kötü olacaktır.
Hiçbir güvenlik eklentisi mükemmel değildir, ancak mükemmele olabildiğince yakın bir eklenti isteriz. Jetpack o eklenti değil.
Kısaca Sucuri
Güvenlik duvarı ve kötü amaçlı yazılım temizleme özellikleri iyi çalıştığı, ancak tarayıcı hiç çalışmadığı için Sucuri'den karışık bir eleştiri aldık. Kötü amaçlı yazılım taramasının %100 olması gerekir ve çalışan bir tarayıcı olmadan hiçbir güvenlik eklentisi buna değmez.
Sucuri, günümüzde mevcut olan en popüler WordPress güvenlik eklentilerinden biridir ve yine de kritik bir alanda yetersiz kalmaktadır: kötü amaçlı yazılım taraması. Tarayıcı çalışmazsa, web sitenize kötü amaçlı yazılım bulaştığını bilmenin hiçbir yolu yoktur. Ve bunun olduğunu bilmiyorsanız, onu ele almanın hiçbir yolu yoktur.
Diğer iki açıdan, yani güvenlik duvarı ve kötü amaçlı yazılım temizlemede, Sucuri başarılı oldu. Güvenlik duvarı saldırıların çoğunu engelledi ve kötü amaçlı yazılım temizleme hizmeti birinci sınıftı. Kontrol panelinde de bazı kullanışlı sağlamlaştırma seçenekleri var. Sınırsız kötü amaçlı yazılım temizleme isteği de, özellikle mevcut diğer bazı hizmetlerle karşılaştırıldığında çok önemlidir.
Öte yandan, yapılandırma ve ayarlar, özellikle de güvenlik duvarı tam bir kabustu. Bir etki alanı kayıt şirketi olmadan güvenlik duvarını kurmakta zorlandık ve açıkçası bu sinir bozucu bir süreçti. Güvenlik taramaları da web sitemizde farkı gördüğümüz ölçüde sunucu kaynaklarımıza yüklendi. Neyse ki web sitemiz özel barındırmadaydı, aksi takdirde paylaşılan barındırma şirketleri bize oldukça hızlı bir şekilde ihlal e-postası gönderirdi.
Buradaki çıkarım, Sucuri ile güvenlik ve performans arasında seçim yapmanız gerektiğidir. Bu yapılması gereken korkunç bir uzlaşma. Genel olarak, Sucuri hem iyi hem de kötü bir güvenlik eklentisidir ve bu nedenle bir çelişkidir. Güvenlik önlemi olarak bir çelişki önermiyoruz. Sadece söylüyorum.
WordPress için doğru güvenlik eklentisi nasıl seçilir
Sürekli değişen tehdit ortamında, web sitenizi, verilerinizi, ziyaretçilerinizi ve işletmenizi korumanın tek yolu bir güvenlik eklentisidir. Bilgisayar korsanları, insanlardan para, veri ve kimlik çalarak kötü amaçlı yazılımlarla muazzam hasara neden olur. Bir web sitesi sahibi olarak, bir güvenlik eklentisi, yönetim araç setinizin önemli bir parçasıdır.
Ancak, doğru güvenlik eklentisini seçmek kolay değildir. Her biri diğerinden daha iyi olduğunu iddia eden pek çok eklenti var. Peki doğru olanı nasıl seçersiniz?
Güvenlik açısından, bir güvenlik eklentisinin yalnızca 3 temel özelliği vardır: kötü amaçlı yazılım taraması, kötü amaçlı yazılım temizleme ve güvenlik duvarı. Diğer her şey bir bonus. Bu, kaba kuvvet korumasının önemli olmadığı anlamına gelmez, çünkü kesinlikle önemlidir. Ancak temel 3'e sahip değilseniz, diğerlerine de sahip olmayabilirsiniz.
Bir güvenlik eklentisini değerlendirirken, aramanız gereken faktörler şunlardır:
- Temel güvenlik özellikleri
- Kötü amaçlı yazılım taraması
- Kötü amaçlı yazılım temizleme
- güvenlik duvarı
- İyi güvenlik özellikleri
- Güvenlik açığı tespiti
- Kaba kuvvet oturum açma koruması
- Etkinlik günlüğü
- İki faktörlü kimlik doğrulama
- Potansiyel problemler
- Sunucu kaynakları üzerindeki etki
WordPress web sitelerini korumak için gereken tüm özelliklere sahip olan tek eklenti MalCare'dir. Bu makalede bahsetmeye devam ettiğimiz gibi, diğerlerinin her biri bir şekilde başarısız oldu, özellikle 3 temel alanda bizi hayal kırıklığına uğrattı.
Sucuri ve Jetpack: Özelliklerin bire bir karşılaştırması
Bu karşılaştırmayı olabildiğince yararlı kılmak için, bölümleri yukarıda sıraladığımız kriterlere göre düzenledik. Bunlar bir güvenlik eklentisinin en önemli yönleridir, ancak yapılandırma kolaylığı, paranın karşılığı vb. gibi diğer deneyimlerimize de değinmek istiyoruz.
Web sitenizin güvenliği için doğru kararı vermenize yardımcı olmak için bulgularımızı adil ve olabildiğince kısa bir şekilde sunduk. Ancak, hızlı bir şekilde bir güvenlik çözümüne ihtiyacınız varsa, benzersiz WordPress güvenliği için MalCare'i kurmanızı öneririz.
Kötü amaçlı yazılım taraması
Ne SiteCheck ne de Sucuri'nin sunucu düzeyindeki tarayıcısı, web sitemizdeki kötü amaçlı yazılımı tespit etmedi. Jetpack'in tarayıcısı bazı kötü amaçlı yazılımları tespit etti.
Sucuri'de iki kötü amaçlı yazılım tarayıcısı vardır: SiteCheck ve Sucuri kontrol panelinizden yüklemeniz gereken sunucu düzeyinde bir tarayıcı. Her ikisini de test etmek istedik, çünkü genellikle ücretsiz bir tarayıcı olan SiteCheck'i web siteleri için birinci düzey tanılama olarak öneriyoruz. SiteCheck, web sitenizin herkes tarafından görülebilen kısımlarını tarar, bu nedenle, temiz bir web sitesi garantisi olmayan kötü amaçlı yazılım bulamazsa. Ancak, kullanmak için SiteCheck'i yüklemeniz gerekmez. Pek çok yönetici, bir web barındırıcısının sitelerini askıya alması veya Google'ın siteyi kara listeye alması durumunda kullanmayı daha kolay buluyor.
Sucuri'nin premium planlarıyla birlikte gelen sunucu düzeyinde tarayıcıya geçerken, onu web sunucunuza yüklemeniz gerekir. Bunu manuel olarak yapma veya panonuzdan yapmak için FTP ayrıntılarınızı girme seçeneğiniz vardır. Tarayıcıyı kurduktan sonra web sitemizde kötü amaçlı yazılım olup olmadığını kontrol etmesi uzun zaman aldı.
Tarama tamamlandığında, sonuçlar web sitemizde kötü amaçlı yazılım bulunmadığını gösterdi. Sonuçlar yanlıştı çünkü web sitemiz hem dosyalarda hem de veritabanında kötü amaçlı yazılımlarla doluydu. Birkaç saat sonra taramayı tekrar çalıştırmayı denedik, ancak sonuçlar aynıydı. Görünüşe göre ciddi şekilde saldırıya uğramış web sitemizde kötü amaçlı yazılım yok.
Tarayıcı günde bir kez çalışacak şekilde ayarlanmıştır, ancak ad hoc taramalar talep edebilirsiniz. İstekler bir kuyruğa alınır ve ardından yürütülür. Buradaki tek şey, Sucuri'nin sizi çok fazla tarama yapma konusunda uyarmasıdır, çünkü taramalar sunucu kaynaklarını tüketir. Bu iyi değil. Taramalar bir web sitesinin kaynaklarını kullanmamalıdır çünkü bunun web sitesi üzerinde performans etkisi vardır. Bu noktaya yazının devamında döneceğiz.
Jetpack'in ücretli planlarında bir kötü amaçlı yazılım tarayıcısı var ve Sucuri'nin tarama kısmında nasıl ortaya çıktığını gördükten sonra, Jetpack'in aslında bazı kötü amaçlı yazılımları işaretlediğini görünce çok şaşırdık.
Ancak heyecan kısa sürdü, çünkü Jetpack tüm kötü amaçlı yazılımları işaretlemedi. Aslında, büyük bir kötü amaçlı yazılım yığını algılamadı. Dolayısıyla, bu açıdan Sucuri'den daha iyi olmasına rağmen, bazı kötü amaçlı yazılımları tespit etmek, kötü amaçlı yazılımları tespit etmemek kadar iyidir. Sonuç olarak, web sitesinin saldırıya uğraması muhtemeldir. Web sitenizin kapsamlı bir taraması için MalCare kötü amaçlı yazılım tarayıcısından başkasına bakmayın.
Kötü amaçlı yazılım temizleme
Jetpack'te kötü amaçlı yazılım temizleme yoktur. Sucuri, kötü amaçlı yazılımları web sitemizden 12 saat içinde temizleyen harika bir manuel kötü amaçlı yazılım temizleme hizmetine sahiptir.
Bu noktada Sucuri konusunda çelişkili durumdayız çünkü temizlik hizmetlerinden ciddi şekilde etkilenmiş olsak da, tarayıcı saldırıya uğramış sitemize temiz bir not vermişti. Bu sonuçlara göre, teorik olarak web sitemizde kötü amaçlı yazılım olduğunu bilemezdik. Ancak bu bir test faaliyeti olduğundan, sitemizde kesinlikle kötü amaçlı yazılım bulunduğunu bilerek manuel bir temizlik talep ettik.
Planımıza göre, temizliğimizin 30 saat içinde bitmiş olmasını bekleyebiliriz. Görünüşte, web siteniz saldırıya uğrarsa beklemek için uzun bir süre. Örneğin, web siteniz Google'ın kara listesindeyse, geçen zaman gelir kaybıdır. Ancak, temizlenmiş bir siteyi 10 saatten daha kısa sürede geri aldık. Çok etkilendik.
Sucuri'den kötü amaçlı yazılım temizleme talebinde bulunmak için, girebileceğiniz tüm ayrıntıları içeren bir form doldurmanız gerekir. Teknik becerilerinizi belirtin, FTP kimlik bilgilerinizi girin ve temizlenmiş bir siteyi geri alın. Temizlenen siteyi MalCare ile kontrol ettik ve gıcır gıcır temizdi. Fantastik! Ekip bize bir temizlik sonrası kontrol listesi verdi, web sitesindeki güvenlik açıkları konusunda bizi uyardı ve artık hazırdık.
Küçük bir şey dışında: Sucuri'nin ekibi kötü amaçlı yazılımı kaldırdıktan ve MalCare bunu onayladıktan sonra, Sucuri'nin tarayıcısı sitenin saldırıya uğradığını söyledi. Ekipleri tarafından temizlendikten sonra mı? Şekil git.
Jetpack'in güvenlik planları, bazı enfeksiyonlardan kurtulabileceklerini söyleseler de, kötü amaçlı yazılımların kaldırılmasını içermez. Kötü amaçlı yazılım tarayıcısını çalıştırdıktan sonra, bazı kötü amaçlı yazılımların işaretlendiğini ancak hiçbirinin düzeltilebilir olmadığını gördük. Aslında, işaretlenen tüm kötü amaçlı yazılım örneklerinde, Jetpack bir kötü amaçlı yazılım temizleme hizmetine başvurmamızı nazikçe önerir.
Jetpack ile ilgili endişemiz, kötü amaçlı yazılımın konumunu ve kodun kendisini işaretleyerek manuel temizlemeyi bir seçenek olarak savunması. Bu akıllıca bir karar değil. Saldırıya uğrayan web siteleri, özellikle kötü amaçlı yazılım her yerde saklanabileceğinden, mayın tarlasıdır. Kötü amaçlı yazılımların manuel olarak temizlenmesi insan hatasına açıktır ve web sitesini tamamen bozma riski taşır.
Kötü amaçlı yazılım temizleme hizmeti pahalı bir tekliftir ve web sitenizin tekrar saldırıya uğramayacağının garantisi yoktur. Bu durumda maliyetler önemli ölçüde artabilir. Sucuri'nin planlarında sınırsız temizlik var ki bu harika. Sucuri ile ilgili tek sorunumuz, tarayıcının sizi kötü amaçlı yazılımların çoğuna karşı uyarmayacağıdır, o halde ne zaman temizlik talebinde bulunacağınızı nasıl bilebilirsiniz?
MalCare'i kötü amaçlı yazılım taraması yapmak ve ayrıca web sitemizi dakikalar içinde temizlemek için kullandık. Otomatik temizleme özelliği, FTP kimlik bilgilerine ihtiyaç duymadan veya kaldırma talebinde bulunmadan sitemizdeki kötü amaçlı yazılımdan kurtuldu. Ağrısız, sorunsuz ve neredeyse anında oldu. Bunu yenmek zor.
güvenlik duvarı
Sucuri'nin güvenlik duvarı, en yaygın saldırılarla başa çıkma konusunda iyi bir iş çıkardı, ancak kurulumu bir kabustu. Jetpack'in güvenlik duvarı yoktur.
Sucuri, güvenlik planlarına dahil edilmiş bir güvenlik duvarına sahiptir, ancak aynı zamanda bağımsız güvenlik duvarı planlarına da sahiptir. Güvenlik duvarının etkinliğini test etmek istedik, bu yüzden onu web sitemize göre yapılandırmaya çalıştık.
Güvenlik duvarının nasıl çalıştığından bahsetmeden önce, Sucuri'nin güvenlik duvarını kurma deneyiminin ne kadar berbat olduğunu ifade etmek için zaman ayırmalıyız. Mevcut bir premium planımız vardı ve zaten güvenlik duvarı için yapılandırılmış bir web sitesi vardı. Bu yüzden, o web sitesini test web sitemizle değiştirmeye çalıştığımızda, Sucuri kımıldamayı reddetti.
Buradaki sorun, güvenlik duvarını kullanmak için web sitenizin DNS'sini güvenlik duvarının ad sunucularına yönlendirmeniz gerektiğidir. Bu, web sitenize gelen tüm trafiğin önce Sucuri'nin güvenlik duvarından geçeceği ve ardından web sitenize yönlendirileceği anlamına gelir. Bu kulağa karmaşık geliyorsa, bunun nedeni delicesine karmaşık olmasıdır.
Her halükarda, birkaç gün sonra sınırsız dosya yüklemeleri, XSS ve SQL enjeksiyonu gibi güvenlik açıklarına sahip bir test sitesi yapılandırabildik. Güvenlik duvarı, bu güvenlik açıklarından yararlanmaya ve kötü amaçlı dosyalar yüklemeye yönelik tüm girişimlerimizi engelledi.
Tüm şeffaflık içinde, verilen zaman diliminde daha karmaşık saldırıları test edemedik. Ancak Sucuri'nin güvenlik duvarına attığımız her şey durduruldu.
Güvenlik duvarları, web sitenizin güvenliğinin ayrılmaz bir parçasıdır. Bilgisayar korsanlarının web sitesindeki güvenlik açıklarından yararlanmasını engelleyerek kötü amaçlı yazılımları uzak tutarlar. Jetpack'te bir tane yok ve bu, güvenlik eklentilerinde açık bir delik.
MalCare, web sitenizi farklı saldırı türlerine karşı koruma konusunda mükemmel bir iş çıkarır. Ve Sucuri'nin aksine yapılandırması kolaydır.
Güvenlik açığı tespiti
Hem Jetpack hem de Sucuri, web sitelerimizdeki güvenlik açıklarından yalnızca bazılarını tespit etti.
Sucuri'nin sunucu tarafı tarayıcısını yükledikten sonra, tarama bize web sitemizde birkaç güvenlik açığı olduğunu söyledi. Tarayıcı, daha belirsiz olanlardan bazılarını algılamadı ve temel olarak güncel olmayan eklentileri ve temaları güncellememizi önerdi.
İlginç bir şekilde, wp-admin'deki Sucuri eklentisinde bir post-hack sekmesi var. En son sürümlerin yanı sıra, yüklü eklentilerin ve temaların sürümlerinin bir listesine sahiptir. Bu sayfadaki küçük yazıda Sucuri, güncel olmayan yazılımların bir güvenlik tehlikesi oluşturduğundan ve genellikle kötü amaçlı yazılım bulaşmasına yol açtığından bahseder.
Sucuri'nin ekibi ayrıca güvenlik açıklarını gidermek amacıyla güncel olmayan eklentileri ve temaları güncellemek için bize bir öneriler listesi gönderdi. Yine, güvenlik açıklarının yalnızca bazılarını tespit edebildiler, hepsini değil.
Jetpack'in tarayıcısı da bazı güvenlik açıklarını tespit etti ve bize bir otomatik düzeltme seçeneği verdi; esasen, onları güncelleyebiliriz. Bu örnekte Sucuri ve Jetpack arasında ayrım yapmak için çok az şey var. Jetpack arayüzünün yönetimi daha kolaydı, ancak Sucuri genel olarak çok daha karmaşık bir eklentidir.
Kaba kuvvet oturum açma koruması
Jetpack, birden fazla başarısız oturum açma girişiminden sonra oturum açma sayfasına bir captcha ekler, ancak IP'yi engellemez. Sucuri'nin çalışan bir oturum açma koruması özelliği yok gibi görünüyor.
Jetpack, ücretsiz ve ücretli planlarında kaba kuvvet oturum açma korumasına sahiptir. Giriş sayfasını kaba kuvvetle denediğimizde, 10 başarısız denemeden sonra sayısal bir captcha'nın eklendiğini gördük. Günlükler, ilk 3'ten sonraki tüm başarısız oturum açma girişimlerini kaba kuvvet saldırısı olarak gösterir.
Jetpack ayrıca ayrıntılı bir IP beyaz listesi özelliğine sahiptir, bu nedenle bir noktada web sitesine tamamen kilitlenebileceğimizi varsaydık. Ancak bu hiç olmadı. Yönetici hesabı için bir dakikadan kısa sürede 50'den fazla yanlış parola denedik ve hiçbir şey olmadı.
Açıkçası, IP beyaz listesi biraz göz yıkamadır. Cihaz IP'leri değişebilir, bu nedenle bir yöneticinin IP'sinin beyaz listeye eklenmesi olası bir kilitlemeye karşı garanti değildir. Ancak, özellik varsa, çalışması gerekir. Ama olmadı.
Sucuri'nin bu noktada Jetpack'ten çok daha iyi iş çıkaracağını düşündük çünkü kaba kuvvet uyarılarını yapılandırmak için ayrıntılı bir dizi seçeneğe sahip. Bir saldırının kaba kuvvet olarak kabul edildiği eşiği ayarlayabilirsiniz. Ancak sınırlar gerçekçi değildir, çünkü saatte 30 başarısız denemeyi bir saldırı olarak kabul etme seçeneği vardır, oysa gerçekte, bir kaba kuvvet saldırısı oturum açma sayfasını dakikada 100'den fazla istekle alt üst eder. Aslında, genellikle o kadar çok oturum açma isteği olur ki, sunucu bunları işlemekten aciz kalır.
Uzun lafın kısası, Sucuri giriş saldırıları konusunda bizi uyarmadı. Saldırılar denetim günlüklerinde göründü, ancak herhangi bir uyarı almadık.
Etkinlik günlüğü
Jetpack'in günlükleri harika. Her kullanıcıyı ve eklenti eylemini izlerler. Sucuri denetim günlükleri de çalışır, ancak tamamen anlaşılmaz olabilir.
Sucuri'nin denetim günlükleri, tüm kullanıcı eylemlerini, eklenti ve tema değişikliklerini izler. Herhangi bir dosyada ve tabloda yapılan tüm değişiklikler denetim günlüklerinde görünür. Şimdiye kadar, çok iyi. Sucuri'nin web sitesi günlüklerinizi site dışında kaydetmesine izin vererek, saldırganların günlükleri silmesini önlemek için bir API anahtarı ayarlama seçeneği de vardır.
Günlükler, kullanıcı, işlem, zaman damgası vb. gerekli bilgileri toplar. Ancak, bazı durumlarda bunların anlaşılmasının çok zor olduğunu fark ettik. Örnek olay: web sitemize bir galeri eklentisi yükledik. Günlükler, eklenti için 7 farklı giriş kaydetti ve bu da 7 dosyanın değiştirildiğini gösteriyor. Ya da biz öyle düşündük. Aslında gönderi şablonundaki değişiklikleri günlüğe kaydediyordu, ancak günlüklerden bunların hiçbirini çözemedik.
Jetpack'in harika bir etkinlik günlüğü özelliği vardır ve ücretsiz planlarda önizleme için kullanılabilir. Günlükler, algılanan kötü amaçlı yazılım veya güvenlik açıkları gibi acil dikkat gerektiren şeyleri göstermenin yanı sıra tüm kullanıcı, eklenti ve tema etkinliklerini gösterir.
Jetpack'in verileri ancak 30 güne kadar çıkıyor. İdeal olarak, günlükler çok daha uzun süre saklanmalıdır.
İki faktörlü kimlik doğrulama
Hiçbir güvenlik eklentisinde iki faktörlü kimlik doğrulama yoktur.
Bu bölümde konuşacak fazla bir şey yok çünkü ne Jetpack ne de Sucuri web siteleriniz için iki faktörlü kimlik doğrulamaya sahip değil.
Ancak eklentileri test ederken Sucuri'de iki faktörlü kimlik doğrulama aradık. Aslında Sucuri kontrol panelinde iki faktörlü kimlik doğrulama vardır, ancak Sucuri hesabınız için mevcuttu. Web siteniz değil.
Sunucu kaynak kullanımı
Her iki eklenti de web sitenizde tarama yapmak için sunucu kaynaklarını tüketecektir. Sucuri'nin tarayıcısı web sitemizi fark edilir şekilde yavaşlattı.
Sucuri'ye dürüstlüğü için puan veriyoruz, çünkü doğrudan kontrol panelinde taramalar için sunucu kaynaklarını kullandıklarını iddia ediyorlar. Bunun dışında, bunu yapmaları korkunç.
Sucuri taramaları, sunucu CPU kullanımımızda gözle görülür bir kesinti gösterdi. Ve test sitelerimiz küçüktür; en büyüğü için 100 MB'tan biraz fazla. Bir WooCommerce sitemiz veya büyük bir veritabanına sahip olsaydık, web sitesinin performansı ciddi şekilde etkilenirdi. Ayrıca, Sucuri taramaları da oldukça fazla zaman alır. Yani etki bir süre daha devam edecekti.
CPU kullanımının yanı sıra, wp-admin'deki Genel Ayarlar'da, Sucuri'nin veri depolamak için sunucunuzu kullandığını göreceksiniz. Depolama alanı önemsiz olsa bile, kullanılan web sitenizin sunucu alanıdır.
Jetpack ayrıca sunucu kaynakları üzerinde de etkili oldu. Tamam, Sucuri'nin taramaları kadar belirgin değildi, ama yine de hiç de ideal değil.
Doğrusu bu gidişattan etkilenmedik. Hiçbir web sitesi yöneticisi güvenlik ve performans arasında seçim yapmak zorunda kalmamalıdır. İkisinden birinin olmaması, geliri büyük ölçüde etkileyebilir, bu nedenle bu bir değiş tokuş olmamalıdır.
Uyarılar
Sucuri'nin uyarıları gelen kutunuzu bir saat içinde doldurabilir, bu nedenle hangi konuda uyarı almak istediğinizden kesinlikle emin olmanız gerekir. Jetpack, yalnızca kritik şeyler hakkında uyarılar gönderir.
Sucuri, uyarıların biçimini özelleştirmenize, belirli eylemler için göndermenize, belirli kişilere göndermenize vb. olanak tanır. Bir uyarıyı tetiklememeleri için belirli IP'leri yok sayacak bir ayar da yapılandırabilirsiniz.
Sucuri'nin uyarıları için çok sayıda seçenek şaşırtıcı. Tabii ki, onu yalnızca bir kez gerçekten yapılandırmanız ve sonra unutup gitmeniz gerekiyor. Ama gerçekten, seçeneklerin kendileri özel olarak anılmayı hak ediyor. Ve sayı yeterince göz korkutucu değilse, teknoloji konuşması tamamen iticiydi.
Sonuçta, uyarılar yararlı olamayacak kadar ayrıntılıdır. Bir yönetici, ele alınması gereken şeyler konusunda onları uyarmak ve tüm gürültüyü filtrelemek için güvenlik eklentisine güvenebilmelidir. Sucuri'nin durumunda, tüm gürültüde sinyali kaçırmak için iyi bir şans olduğundan oldukça eminiz.
Jetpack, uyarıları zarif bir şekilde ele alır. Gözden geçirilecek bir milyon seçenek yok ve eklenti size dikkat etmeniz gereken şeyler hakkında uyarılar gönderecek. Örneğin, güvenlik açıkları ve kötü amaçlı yazılımlar gibi.
Ek olarak, Jetpack'in kesinti izleme özelliğini de test ettik. Site çökerse bizi uyarması gerekiyordu ama olmadı. Siteyi birkaç farklı şekilde kilitledik ve Jetpack'in bu çökmeleri hiç kaydetmediğini gördük.
Kesinti izleme, böyle bir güvenlik özelliği olmasa da, web siteniz için önemli bir ölçümdür. Çökmüş veya çökmüş web siteleri genellikle bilgisayar korsanı etkinliğinin veya kötü amaçlı yazılımın bir göstergesidir. Jetpack'in kapalı kalma süresi özelliği çalışmıyor.
Kurulum, yapılandırma ve kullanılabilirlik
Sucuri başlangıçta kolaydı, ancak giderek daha zor hale geldi. Jetpack'in yapılandırılması kolaydı, ancak arayüz sizi sürekli olarak yükseltmeye teşvik ediyor.
Jetpack kurulumu sıkıcıydı. Eklentiniz yüklü olmasına rağmen, bir WordPress.com kontrol paneli oluşturmadan ilerlemeniz mümkün değildir. Yine de harici panonuz olarak hizmet eder, bu nedenle hesaba ihtiyacınız vardır. Bunun ne zaman ve neden gerekli olduğuna dair net bir anlayış olmadan, kendi kontrol panelinizden Jetpack'in kontrol paneline gidip gelmek biraz rahatsız edici.
Sucuri'nin kurulumu kolaydı ve ön uç tarayıcı hemen çalışmaya başladı. Güvenlik duvarı ve sunucu tarafı tarayıcı gibi ücretli özelliklere erişmek için Sucuri'de bir hesap oluşturmanız gerekir. Ancak ücretsiz sürüm kendi kendine yeterlidir.
Jetpack'in harici kontrol paneli, wp-admin'i taklit ettiği için kullanımı rahattır. Ancak, planınıza bağlı olarak tonlarca kilitli özellik vardır, bu nedenle her yerde "yükseltme" görmek en iyi kullanıcı deneyimi değildir. Bazı ölçümler güvenlik açısından işe yaramaz, bu nedenle genel olarak Jetpack'in arayüzüne hayran değiliz.
Bunu söyledikten sonra Jetpack'in arayüzünü Sucuri'ninkine tercih ederdik. Sucuri'yi tek bir kelimeyle tanımlamamız gerekseydi, bu kelime kafa karışıklığı olurdu. Yapılandırma ve ayarlarda çok fazla teknoloji jargonu var. Aslında bazı terimlerin ne anlama geldiğini anlamaya çalışmak için saatler harcadık. Ayrıca, açıklamalar yararsızdır ve bazı durumlarda küçümseyicidir. Neden kimsenin etkili bir şekilde şunu söyleyen açıklamalar yazmanın iyi bir fikir olduğunu düşündüğünden emin değilim: Bunun ne anlama geldiğini bilmiyorsanız, en iyisi onu kendi haline bırakın.
Sucuri'nin güvenlik duvarını kurmak tam bir kabustu. Bir etki alanı kayıt kuruluşuna erişiminiz ve ad sunucularıyla (güncellenmesi tesadüfen birkaç saat süren) uğraşma bilginiz varsa, bu basit görünebilir. Test sitemizin bir etki alanı yok, çünkü Google'ın onu dizine eklemesini veya insanların yanlışlıkla siteye girmesini istemiyoruz, bu nedenle ad sunucularını değiştirmek basit bir iş değildi. Birisi bir hazırlık sahasında güvenlik duvarını kurmak isterse, bunu mühendislik yardımı olmadan yapmak zor olacaktır.
Jetpack: Ekstralar
Jetpack, birden fazla WordPress yönetici görevini tek bir eklentide birleştirir, bu nedenle birçok ekstra vardır. Herhangi bir web sitesi için yedeklere sahip olmak çok önemli olduğundan, yedekleri olmasını seviyoruz. Bunun dışında, WordPress.com hesabının kullanımı tanıdıktır, ancak bir hesapta birden fazla web siteniz varsa, yönetim için bunlar arasında geçiş yapmak sıkıcıdır.
Sucuri: Ekstralar
Sucuri'nin eklentisinde tonlarca ekstra zil ve ıslık var. Güvenlikten daha fazlasını sunan Jetpack'in aksine, Sucuri yalnızca güvenlikle ilgilidir. Bu nedenle, güvenlik üzerinde nelerin etkisi olabileceğini görmek için özellikleri araştırmaya çalıştık.
Eklentiyi yüklediğinizde göreceğiniz ilk ve en büyük WordPress bütünlük bilgi kutusudur. Gerçekten etkileyici görünüyor, ancak aslında bir WordPress temel dosya değiştirme izleyicisinin çok şık bir versiyonu. Özellikle kötü amaçlı yazılımların çekirdek dosyaları düzenli olarak istila ettiği bilindiğinden, çekirdek dosyalar için bir dosya değişiklik izleyicisine sahip olmanın açıkça bazı yararları vardır. Ancak öne çıkması ve yerleşimi bizce yanıltıcıdır. Bir dosya değişikliği izleyicisi, WordPress güvenliğinin kapsamı değildir. Açıkçası, bu başlangıç bile değil.
Web sitesindeki temel dosyaları orijinal yapıyla karşılaştırmak için bir bütünlük fark yardımcı programı da vardır. Kötü amaçlı yazılımları manuel olarak temizliyorsanız, çekirdek dosyalar için çevrimiçi bir diffchecker kullanmaktan daha kolaydır.
Sucuri, bir ton WordPress sağlamlaştırma seçeneğine sahiptir. Bazıları yararlıdır, diğerleri ise o zamandan beri güvenlik açısından yararlı olmaktan çıkan eski bilgisayar korsanlarıdır.
Örneğin, yüklemeler klasöründe PHP'yi engellemek iyi bir fikirdir ve WordPress tuzlarını kontrol panelinden kolayca değiştirebilme yeteneği de öyle. Ancak bu yine de kesin bir onay değildir. Özelliğin wp-admin yerine Sucuri kontrol panelinde olması çok daha güvenli olurdu. Bir bilgisayar korsanı web sitesinin arka ucuna erişim kazanırsa, tuzlar düz metin olarak gösterildiğinden tehlikeye girer.
WordPress sürümünü doğrulamak, WordPress sürümünü kaldırmak, bilgi sızıntısını önlemek ve varsayılan yönetici hesabını doğrulamak gibi şeyler anlamsız güvenlik özellikleridir. Web sitesini somut yollarla güvence altına almak için çok az şey yapıyorlar. Güvenlik endüstrisini unutun, bilgisayar korsanları bile bu numaralardan uzaklaştı.
Sertleştirme özelliklerinden bazıları bizi şaşırttı. Eklenti ve tema düzenleyiciyi devre dışı bırakmayı seçersek, güvenlik açıkları keşfedildiğinde eklentilerimizi ve temalarımızı nasıl güncelleriz? Ayrıca Sucuri, PHP dosyalarını yüklemeler klasöründe saklar, bu nedenle tüm harici erişimi kesmek, kendi dosyalarına erişemeyecekleri anlamına gelir. Belki onlara bu erişime izin veren bir kural vardır, ancak bu bir son kullanıcı için hiç de net değildir.
Bir şifre yönetimi özelliği var, ancak beraberindeki uyarı çoğu kişiyi kullanmaktan korkutabilir: “Şifrelerini değiştirmek, oturumlarını sonlandırmak ve onlara bir şifre sıfırlama bağlantısı göndermek için listeden kullanıcıları seçin. Lütfen eklentinin e-postaları göndermeden önce şifreleri değiştireceğini unutmayın; bu, web sunucunuz e-posta gönderemezse, kullanıcılarınızın siteye erişiminin engelleneceği anlamına gelir."
Jetpack ve Sucuri'de eksik olan nedir?
Sucuri ile ilgili en büyük sorunumuz, kötü amaçlı yazılım tarayıcısının çalışmamasıdır. Sucuri'nin web sitelerinde ne kadar yaygın kullanıldığını düşünürsek, bazı kötü amaçlı yazılımları tespit etmesini beklerdik. Ama hiçbir şey algılamadı! Bize göre affedilemez.
Jetpack'te güvenlik duvarı veya otomatikleştirilmiş veya başka türlü kötü amaçlı yazılım temizleme yoktur. Zaten web sitesinde bulunan kötü amaçlı yazılımı bulma işinin yarısını yapar, ancak onu kaldırmak veya korumak için hiçbir şey yapmaz. Güvenlik açısından hiçbir yerde yeterli değil.
Sucuri ve Jetpack: Fiyatlandırma
Sucuri'nin en düşük prim planı, site başına yılda 199,99 ABD dolarıdır. Sahip olabileceğiniz sınırsız kötü amaçlı yazılım temizleme istekleri için iyi bir anlaşma. Güvenlik duvarı da iyi, ancak tarayıcı berbat. Tamamen para için değer değildir. Jetpack, 300 dolarlık fiyat etiketi için iyi bir güvenlik eklentisi değil.
Bir güvenlik eklentisi için 300 $ ödeyecek olsaydık, o eklentiden çok şey isterdik: hatasız bir kötü amaçlı yazılım tarayıcısı, bir güvenlik duvarı ve temizleme seçenekleri. Jetpack'te bunların hiçbiri yok. Bazı kötü amaçlı yazılımların tanımlanmasına, bazı güvenlik açıklarının tespit edilmesine ve ortalama kaba kuvvet korumasına sahip olunmasına yardımcı oldu.
Sınırsız kötü amaçlı yazılım temizleme, Sucuri'nin lehine büyük bir pozitif. Yanıt süresi harikaydı, bizimle paylaşılan bir hack sonrası kontrol listesi vardı ve tüm kötü amaçlı yazılımlar temizlendi. Ancak - ve bu büyük bir ama - kötü amaçlı yazılım tarayıcısı tamamen başarısız oldu. O kadar hayal kırıklığına uğradık ki, bir kötü amaçlı yazılım titreşimi algılamadı. Yine de ekip her şeyi temizledi. Sucuri, manuel kötü amaçlı yazılım temizleme enerjisinin bir kısmını tarayıcıya getirebilirse, müthiş bir eklenti haline gelebilir. O zamana kadar, çok değil.
Jetpack ve Sucuri'ye daha iyi bir alternatif: MalCare
Bu makalede, yoğun test oturumlarından elde ettiğimiz tüm bulguları sunduk. Ne Jetpack ne de Sucuri, WordPress web sitelerini bilgisayar korsanlarından ve kötü amaçlı yazılımlarından korumak için etkili bir şekilde çalışmaz. Makalenin buraya kadarını okuduysanız, güvenliğin pazarlık konusu olmadığını biliyorsunuzdur. Bu nedenle, sağlam ve güvenilir bir güvenlik eklentisine yatırım yapmak ilerlemenin yoludur.
Bugün mevcut olan en iyi WordPress güvenlik eklentisi MalCare'dir. MalCare, web sitenizi saldırılara karşı korumak için birinci sınıf bir kötü amaçlı yazılım tarayıcısına, otomatik kötü amaçlı yazılım temizlemeye ve gelişmiş bir güvenlik duvarına sahiptir.
Diğer tüm güvenlik eklentileri arasında özellikten özelliğe bir karşılaştırmada, MalCare ayrıca önemli ölçüde daha ekonomiktir. Jetpack'in ağır 300 $'ına karşı, MalCare'in 150 $'lık planı, daha birçok özellik için çok daha iyi bir anlaşma. Sucuri için benzer şekilde, MalCare'in 99 dolarlık planı, 199,99 dolarlık Temel Platform planından çok daha iyi.
Çözüm
Bir güvenlik eklentisi, yönetim araç setinizin önemli bir parçasıdır. Minimum müdahale gerektirmesi ve kutunun dışında çalışması gereken şeylerden biridir. MalCare, diğer eklentilerin çoğunun getirdiği gereksiz gürültü olmadan en iyi güvenliğe sahiptir. Gelirinizi bilgisayar korsanlarından korumak değerli bir yatırımdır.
Bu makale yardımcı oldu mu? Bize bir satır bırakın ve bize bildirin. Sizden haber almak isteriz!