Sucuri vs Wordfence: WordPress Web Siteniz İçin En İyi Güvenlik Eklentisi Hangisi?
Yayınlanan: 2022-04-22Wordfence ve Sucuri, WordPress güvenlik eklentilerinin ağır siklet şampiyonlarıdır. Herhangi bir konuşmada, kaçınılmaz olarak ortaya çıkarlar ve insanlar hangisinin en iyi güvenlik eklentisi olduğu konusunda bölünürler.
Sucuri, web sitesi yöneticisi tarafından kötü amaçlı yazılımları tespit etmek için yaygın olarak kullanılan popüler bir çevrimiçi tarayıcıya sahiptir. Eklentilerinin sunucu tarafı tarayıcısı, güvenlik duvarı ve diğer birçok güvenlik özelliği vardır. Sucuri, planlarından herhangi biriyle sınırsız kötü amaçlı yazılım temizleme sunar.
Wordfence, WordPress güvenlik eklentileri için tartışmasız liderdir. Ekip, güvenlik eklentisini çok sayıda eğitici içerikle tamamlayarak yöneticinin web sitelerini bilgisayar korsanlarından nasıl koruyacağını anlamasına yardımcı olur. Eklentinin bir tarayıcısı ve güvenlik duvarı vardır ve bazı kötü amaçlı yazılımları da kaldırabilir. Onlar da bir kötü amaçlı yazılım temizleme hizmetine sahipler, ancak bu isteğe bağlı bir premium özellik.
Sucuri ve Wordfence savaşında hangisinin daha iyi olduğunu cevaplamak için her iki eklentiyi de kapsamlı bir şekilde test ettik. Makalenin geri kalanında göreceğiniz gibi, testler, web sitenizin güvenliği için en iyi kararı verebilmeniz için eklentileri tetikleyecek şekilde tasarlanmıştır.
5 güvenlik eklentisi, 3 web sitesi, 45 gün ve bir sürü kötü amaçlı yazılım. Sonuçlar kesindi.
KARAR Sucuri vs Wordfence basit bir soru değil. Her ikisinde de kötü amaçlı yazılım tarayıcıları ve güvenlik duvarları bulunur. Wordfence'in otomatik bir temizleyicisi ve pahalı bir kötü amaçlı yazılım temizleme hizmeti vardır, oysa Sucuri'nin planları ile sınırsız temizleme vardır. Tüm faktörleri tarttıktan sonra, Wordfence kesinlikle kazanır. Daha fazlasını öğrenmek için okumaya devam edin.
bizim seçimimiz
Bu seri için 3 test web sitesi geliştirdik: ilk olarak, kontrol olarak çok sayıda resim ve yorum içeren basit bir blog; ikincisi, çok sayıda güvenlik açığı bulunan eklenti ve çeşitli düzeylerde belirsizliğe sahip temalar içeren bir site; ve son olarak, farklı türde kötü amaçlı yazılımlarla dolu bir site.
Etkili bir eklentinin kriterleri çok çeşitlidir, ancak basit bir soru üzerinde odaklanmak istedik: Eklenti, web sitenizi bilgisayar korsanlarına ve kötü amaçlı yazılımlara karşı koruma konusunda iyi bir iş çıkarıyor mu?
45 gün sonra cevabımızı aldık. 5 eklentiden 4'ü için cevap hayırdı. Tüm sayılarda 1 eklenti kazandı. Bu eklenti MalCare.
MalCare, ne kadar iyi gizlendiğinden bağımsız olarak dosyalardan, veri tabanından ve klasörlerden kötü amaçlı yazılımları alarak, gördüğümüz en iyi kötü amaçlı yazılım tarayıcısına sahiptir. Gerçekten çalışan, yalnızca kötü amaçlı yazılımları cerrahi hassasiyetle temizleyen otomatik bir temizleyiciye sahiptir. Ve son olarak, web sitenizden yararlanabilecek tehditleri engelleyen gelişmiş bir güvenlik duvarı.
WordPress siteniz için en iyi güvenlik eklentisi kesinlikle MalCare'dir.
Sucuri ve Wordfence karşılaştırmasının özeti
Bu meydan savaşında kazanan Wordfence. Yine de yakın bir çağrı olduğunu kabul etmeliyiz, çünkü Sucuri'nin de haklı olduğu noktalar var.
İnsanların hangisinin daha iyi olduğu konusunda neden bu kadar kafa yorduğunu görebiliriz çünkü Wordfence'in kusurları Sucuri'nin güçlü yönleridir ve bunun tersi de geçerlidir. Bu nedenle, bir kişinin kişisel deneyimine bağlı olarak, kendi sorunlarını çözen eklentiyi savunacaklar.
Ancak bu nedenle, tüm WordPress siteleri için hangisinin bütünsel olarak daha iyi olduğu konusunda nesnel bir cevap yoktur. Ve bunun cevabı hiçbiri değil. Güvenliğin bir yönünden veya diğerinden ödün vermek zorunda kalmamalısınız. Bunun yerine MalCare alarak hepsine sahip olun.
Özetle wordfence
Wordfence, MalCare'den sonra bir WordPress sitesi için en iyi güvenlik eklentisidir. Ücretsiz sürüm, harika güvenlik özellikleriyle sağlamdır. Tarayıcı, dosya tabanlı kötü amaçlı yazılımların çoğunu algılar ve algıladıklarının çoğunu temizleyebilir. Güvenlik duvarı en güncel olanlardan biridir ve çeşitli tehditleri engeller. Dezavantajları, web sitesi performansının Wordfence ile büyük bir darbe alması ve kötü amaçlı yazılım temizleme hizmetlerinin pahalı olmasıdır.
Wordfence'in tarayıcısı, ücretsiz eklentilerimize ve temalarımıza eklediğimiz tüm dosya tabanlı kötü amaçlı yazılımları tespit edebildi. Bu garip bir şekilde spesifik geliyorsa, çünkü öyle. Veritabanındaki kötü amaçlı yazılımları veya premium eklentilere ve temalara eklenen kötü amaçlı yazılımları algılayamadı. Bunun nedeni, Wordfence'in kullandığı dosya eşleştirme algılama mekanizmasının büyük ölçüde herkese açık koda dayanmasıdır.
Tarama sonuçları, kötü amaçlı yazılımları ve yüklü temalar ve eklentilerdeki güvenlik açıklarını işaretledi. İşin garibi, Wordfence ayrıca bazı premium eklentilerimizi kötü amaçlı yazılım veya hata olarak işaretledi. Bunlar, WordPress kodunu araştırmaya alıştığımız için görebildiğimiz yanlış pozitiflerdir. Ancak bazı web sitesi yöneticileri, bu nedenle, tamamen uygulanabilir eklentileri kaldırabilir.
Ayrıca, tarama sonuçları görüntülendikten sonra kötü amaçlı yazılım yüklü dosyaları otomatik olarak onarma seçeneği de vardı. Denedik ve işe yaradı. Algılanan tüm kötü amaçlı yazılımlar web sitesinden kaldırıldı. Tabii ki, ilk etapta tespit edemediği kötü amaçlı yazılımları onaramaz.
Ardından güvenlik duvarını denedik. Etkiliydi, üzerine attığımız birçok tehdidi engelledi. Ancak güvenlik duvarı bir tehdidi her engellediğinde bir uyarı aldık. Testlerimiz sırasında o kadar çok uyarı vardı ki, canlı bir sitede ne olacağını yalnızca hayal edebiliyoruz. Yönetici kesinlikle bunalır ve kritik uyarıları kaçırır.
Bu üç ana kriterin dışında Wordfence'de bir sürü başka seçenek de mevcut. Kaba kuvvet koruması mükemmeldir ve iki faktörlü kimlik doğrulama bir cazibe gibi çalışır.
Eklentiyi gerçekten birkaç basamak yukarı çeken şey, müthiş kullanılabilirliğiydi. Wordfence karmaşık bir güvenlik eklentisidir, ancak acemiler için de erişilebilirdir. İpuçları ve beraberindeki belgelerle birlikte panonun düzenlenme şekli, herkes yanlışlıkla sitelerini kullanılamaz hale getirmeden güvenlik eklentisini yapılandırabilir. Bu, bize göre, özellikle daha sonra göreceğiniz gibi, Sucuri ile karşılaştırıldığında çok büyük bir artı.
Wordfence, şaşırtıcı bir şekilde, çok tuhaf olduğunu düşündüğümüz bir etkinlik günlüğüne sahip değil. Ancak asıl olumsuzluk, bunun bir kaynak havuzu olmasıdır. Web sitemizde yaptığımız her tarama, disk kullanımını artırdı ve web sitesi performansını düşürdü. Bu nedenle birçok web sunucusu Wordfence'i yasakladı.
Özetle, Wordfence mükemmel bir güvenlik eklentisidir, ancak ciddi boşlukları vardır. Sahip olduğu tüm avantajlara ve kusurların hiçbirine rağmen, MalCare gidilecek yoldur.
Kısaca Sucuri
Sucuri'nin iyi bir güvenlik duvarı var ve kötü amaçlı yazılım temizleme hizmetleri harikaydı. Ancak kötü amaçlı yazılım tarayıcı, ekipleri daha sonra kaldırmasına rağmen herhangi bir kötü amaçlı yazılım tespit edemedi. Çalışan bir kötü amaçlı yazılım tarayıcısı olmayan bir güvenlik eklentisi etkisizdir.
Sucuri, MalCare ve Wordfence ile birlikte düşünülme şansı olan diğer tek eklentidir, çünkü en azından bazen bir güvenlik eklentisi olarak işlev görür. Jetpack ve iThemes iptal edildi.
Muhtemelen en popüler güvenlik eklentilerinden biridir, ancak yine de temel bir alanda başarısız olur: kötü amaçlı yazılım taraması. Daha sonra göreceğimiz gibi, kötü amaçlı yazılım temizleme hizmetleri birinci sınıf. Verimli ve hızlıydılar, beklediğimizden önce bize geri döndüler ve web sitesini temizlemekle iyi bir iş çıkardılar. Ancak, oluşturup kötü amaçlı yazılımlarla doldurduğumuz bir test web sitesi olmasaydı, tarayıcı bize hack'ler için temiz bir bilgi verdiği için, en başta virüs bulaştığını asla bilemezdik. Yani aslında Sucuri, arabayı atın önüne koymanın klasik bir örneğidir. Temizlenmesi için sitenin saldırıya uğradığını bilmelisiniz, ancak Sucuri'nin tarayıcısıyla saldırıya uğradığını bilmenin bir yolu yok.
Devam ederken, güvenlik duvarı iyi performans gösterdi. SQL enjeksiyonları ve uzaktan kod yürütme saldırıları gibi saldırıları kolay ve tutarlı bir şekilde dışarıda tuttu. Ama kurmak bir kabustu. Test siteleri kullandığımız için, ad sunucularını test web sitemiz yerine Sucuri'nin güvenlik duvarı IP'lerini gösterecek şekilde değiştirmekle ilgili çok fazla sorun vardı. Bu son cümleden herhangi biri mantıklı gelmediyse, sorun değil. Onu da yapılandırmak çok zamanımızı aldı. Adil olmak gerekirse, canlı sitelerinizde böyle bir zorlukla karşılaşmazsınız, ancak bunu bir sahneleme veya yerel siteye yapılandırmak istiyorsanız? Sorunları bekleyin.
Diğer yapılandırma seçeneklerine baktığımızda zaten güvenlik duvarından bıkmıştık. Neden her şey bu kadar karmaşık? Dil kafa karıştırıcı ve bazı durumlarda düpedüz küçümseyici. Ve bu, her güvenlik taramasının test web sitelerimizi yavaşlattığını fark etmeden önceydi. Sunucu disk kullanımını kontrol ettiğimizde endişe verici bir artış oldu.
Sucuri, kötü amaçlı yazılımları taramak için site kaynaklarını kullanır; çalışmayan bir tarayıcı, unutmayın. Bu yüzden olması gerekeni yapmıyor ve yine de site performansını mahvediyor. Sucuri için harika bir görünüm değil.
Hangi güvenlik eklentisi verdiğiniz paraya değer?
WordPress güvenlik tavsiyesi çoktur ve iyi niyetlidir, ancak genellikle kötü bir tavsiyedir. Şimdiye kadar gördüğümüz en kötü güvenlik eklentilerinden biri olan iThemes'i savunan insanları gördük, çünkü web siteleri hiç saldırıya uğramadı, eklentileri düzenli olarak güncellemeleri, iyi şifreler kullanmaları, boş yazılım kullanmamaları gerçeğini tamamen göz ardı ediyor. bir yığın şans. GoDaddy'de veri ihlali varsa web siteniz de olabilir.
İşin püf noktası, iyi bir güvenlik eklentisinin nasıl seçileceğidir. Güvenlikle ilgili olmayan şeylerden kurtulmak için önemli bir liste derledik.
- Temel güvenlik özellikleri
- Kötü amaçlı yazılım taraması
- Kötü amaçlı yazılım temizleme
- güvenlik duvarı
- İyi güvenlik özellikleri
- Güvenlik açığı algılama
- Kaba kuvvet oturum açma koruması
- Etkinlik günlüğü
- İki faktörlü kimlik doğrulama
- olası sorunlar
- Sunucu kaynakları üzerindeki etki
Gördüğünüz gibi, endişelenmeniz gereken sadece 3 temel özellik var. Bir güvenlik eklentisi şu 3 konuda harika olmalıdır: kötü amaçlı yazılım taraması, kötü amaçlı yazılım temizleme ve güvenlik duvarı. Diğer her şey sos. Kaba kuvvet korumasını veya iki faktörlü kimlik doğrulamayı bırakmıyoruz çünkü bunlar da önemli. Ancak bu işlevsellik için başka eklentiler alabilirsiniz.
MalCare, harika kötü amaçlı yazılım tarama ve temizleme özelliklerine ve tehditleri dışarıda tutan gelişmiş bir güvenlik duvarına sahip tek güvenlik eklentisidir. Diğer tüm eklentiler bir yerde veya diğerinde başarısız olur.
Sucuri vs Wordfence: Özelliklerin kafa kafaya karşılaştırılması
Doğru güvenlik eklentisini seçmek, özellikle de her birinin işe yarayacağını umarak her birini etkinlik açısından test etmeniz gerektiğinde şaşırtıcı bir deneyim olabilir.
Bu bölümde, özelliklere göre düzenlenmiş test sonuçlarımızı sunduk. Eklentiler arasında aynı özelliklerin karşılaştırılması ve karşılaştırılması, güvenlik eklentisinin etkinliğinin daha net bir resmini verir.
İnsanların web siteleri için daha iyi bir seçim yapmasına yardımcı olmak amacıyla sonuçlarımızı olabildiğince adil ve şeffaf bir şekilde açıkladık. Ancak, web sitelerinizi hızlı bir şekilde güvence altına almak istiyorsanız, bunun yerine MalCare'i yükleyin ve sona atlayın.
Kötü amaçlı yazılım taraması
Sucuri'nin 2 tarayıcısı vardır: SiteCheck adlı çevrimiçi tarayıcı ve eklentinin parçası olan sunucu düzeyinde tarayıcı. Her ikisi de kötü amaçlı yazılım algılamadı. Wordfence, çekirdek dosya ve klasörlerdeki ve ücretsiz eklentiler ve temalardaki kötü amaçlı komut dosyalarını algılayabilen iyi bir kötü amaçlı yazılım tarayıcısına sahiptir. Aksi takdirde, veritabanındaki kötü amaçlı yazılımları ve premium eklentileri ve temaları kaçırdı.
Birisinin WordPress'inin saldırıya uğradığından şüphelenmesi durumunda, Sucuri SiteCheck'i kötü amaçlı yazılımlar için birinci düzey bir teşhis olarak sıklıkla öneriyoruz. Web sitesinin tamamını tarayamaz, ancak yaygın kötü amaçlı yazılım bulaşmalarını hızlı bir şekilde ve açık amaç için bir eklenti yüklemeye gerek kalmadan tespit edebilir.
Web sitesine tam erişime sahip olacağı düşünüldüğünde, sunucu düzeyinde tarayıcıdan daha büyük beklentilerimiz vardı. Tarayıcının web sunucunuza yüklenmesi gerektiğinden kurulum diğer eklentilerden biraz farklıdır. Bu, manuel olarak veya kontrol panelinize FTP ayrıntılarını girerek yapılabilir. Kurulumu bitirdik ve taramanın tamamlanmasını bekledik.
Uzun bir süre sonra, tarama tamamlandı ve kötü amaçlı yazılım yüklü web sitemiz görünüşe göre bilgisayar korsanlarından arınmıştı. İlk seferde bir hata olup olmadığını görmek için taramayı ikinci kez çalıştırın. Hayır, Sucuri'ye göre hala kötü amaçlı yazılım yok. Büyük başarısızlık.
Kurulum sırasında, Sucuri günde bir kez çalışacak şekilde ayarlanır, ancak isteğe bağlı taramalar talep edebilirsiniz. İstekler kuyruğa alınır ve ardından uygunluk durumuna göre yürütülür. Eklentinin kendisi, web sitenizi taramanın sunucu kaynaklarını kullanacağı ve bu nedenle web sitenizin performansını etkileyeceği konusunda sizi uyaracaktır. Dürüst olmak gerekirse, bu korkunç çünkü güvenlik, performans ve kullanıcı deneyimi pahasına gelmemelidir. Buna başka bir bölümde daha ayrıntılı olarak gireceğiz.
Wordfence, yükleme sırasında otomatik olarak bir tarama da çalıştırır. Yine de burada biraz kafa karışıklığı oldu, çünkü gösterge tablosundaki yüzde çemberinin tarayıcının ilerlemesi olduğunu varsaydık. Birkaç saat boyunca %60'ı geçmediğini gördükten sonra, daha yakından baktık ve bunun bir tarayıcı verimliliği ölçümü olduğunu fark ettik. %100'e ulaşmak için eklentiyi yükseltmeniz gerekir.
Ne kadar zaman aldığını ölçmek için tarayıcıyı yeniden başlattık ve test alanlarımız küçük olduğu için tarayıcı bir dakikadan kısa sürede tamamlandı. Bu kesinlikle bir artı. Tarama sonuçları yalnızca ortalamanın üzerindeydi, mükemmel değildi, çünkü kötü amaçlı yazılımın tamamını değil çoğunu tespit etti.
Bunun nedeni, Wordfence'in kötü amaçlı yazılımları tespit etmek için imza eşleştirme kullanmasıdır. Bu, Wordfence tarayıcısının web sitenizin kodunu kötü amaçlı yazılım imzaları veritabanıyla karşılaştırdığı anlamına gelir. Bir eşleşme varsa, tarayıcı bunu kötü amaçlı yazılım olarak işaretler. Wordfence, güvenlik araştırmalarına dayanarak düzenli olarak güncelledikleri müthiş bir kötü amaçlı yazılım veritabanına sahip olsa da, ekibin veritabanında güncellemek için kötü amaçlı yazılımı görmüş olması gerekeceğinden ve kapsamlı araştırmadan bağımsız olarak, hiçbir zaman %100 tamamlanmış olamaz. kötü amaçlı yazılım her zaman görünür
Bu nedenle, Wordfence, WordPress çekirdek dosya ve klasörlerinde bulunan kötü amaçlı yazılımların yanı sıra ücretsiz eklentiler ve temalardaki kötü amaçlı komut dosyalarını alma konusunda ustadır. Ancak, örneğin Elementor gibi premium yazılımlardaki kötü amaçlı yazılımları tespit edemez, çünkü analiz için kaynak koduna erişimleri yoktur. Aynı nedenle, Wordfence veritabanındaki kötü amaçlı yazılımları tespit etmede de başarısız olur, çünkü bunun keşfedilmesi için imza eşleştirmenin ötesinde bir mekanizma gerekir.
Bununla birlikte, Wordfence tüm dosya tabanlı kötü amaçlı yazılımlarımızı tespit etti. Tahminimize göre, kötü amaçlı yazılımların %70 ila %80'ini tespit edebiliyor. Yanlış pozitiflere de eğilimlidir ve bir ton uyarı üretme eğilimindedir. Onu da ayrı bir bölümde ele alacağız.
Kötü amaçlı yazılım temizleme
Wordfence, kötü amaçlı yazılımları temizlemek için bir otomatik onarım özelliğine sahiptir, ancak daha karmaşık kötü amaçlı yazılımlar için etkinliği tartışmalıdır. Birinci sınıf bir kötü amaçlı yazılım temizleme hizmetine sahipler, ancak site başına 490 dolardan cebinizde bir delik açabilir. Öte yandan Sucuri, tüm planlarına dahil olan sınırsız bir manuel kötü amaçlı yazılım temizleme hizmetine sahiptir.
Sucuri'nin tarayıcısı sitemizde kötü amaçlı yazılım olmadığını söylese de -ki kesinlikle öyleydi- çok fazla bir şey beklemeden bir temizlik istedik. Ancak, site bize lekesiz olarak geri döndü. Kontrol etmek için MalCare'den geçirdik. İşin garibi, Sucuri ekibi sitemizi temizledikten sonra tarayıcı kötü amaçlı yazılımları işaretledi. Açıkça, bir yerde bir böcek.
Kötü amaçlı yazılım temizleme hizmeti çok hızlıydı. Planımız 30 saat içinde yanıt vermeyi garanti etse de, 10'dan daha kısa sürede temizlenmiş bir siteye kavuştuk. Bu harika. Belirtmek istediğimiz tek uyarı, saldırıya uğramış bir siteniz olduğunda zamanın çok önemli olduğudur. Kötü amaçlı yazılımın web sitenizde uzun süre yok olmasını göze alamazsınız. Google kara listesi, hızlı hareket etmenin ne kadar önemli olduğunun altını çizmek için kötü amaçlı yazılım bildirimlerine yanıt verme sürenizi de ölçer.
Kötü amaçlı yazılımın kaldırılması için Sucuri'den bir temizleme talebinde bulunmanız gerekir. Sağlayabileceğiniz tüm bilgileri içeren bir form doldurun ve ekip oradan görevi devralsın. Sucuri'den harika öneriler içeren bir hack sonrası kontrol listesi içeren bir mesaj aldık. Genel olarak, Sucuri ile kötü amaçlı yazılım temizleme özelliği bir başparmak yukarıya.
Wordfence, kontrol panelinde saldırıya uğramış dosyalarla başa çıkmak için 2 seçeneğe sahiptir: silinebilir tüm dosyaları silin ve tüm onarılabilir dosyaları onarın. Bu, uzman temizlik hizmetini tercih etmemizi öneren bir CTA'dan ayrıdır.
Her iki seçeneği de denedik ve ikisi de kötü amaçlı yazılımı web sitemizden kaldırma konusunda oldukça başarılıydı. Sorun şu ki, otomatik kaldırmadan önce, sitenin değişiklikler nedeniyle bozulduğuna dair korkunç uyarılar geliyor.
Test sitelerimiz BlogVault'ta yedekleniyor ve açıkçası bunların kırılması konusunda o kadar da telaşlı değildik. Çok fazla düşünmeden gücümüze güç katabilmiş olsak da, bunun nedeni onarım özelliğini test etmekle ilgilenmemizdi. Ancak, örneğin birinin e-ticaret mağazası veya yüksek trafikli bir web sitesi için durum çok farklı olacaktır.
Test serimizde, diğer güvenlik eklentilerinin çoğu başarısız olduğu için genellikle bu noktada durduk. Wordfence, web sitemizdeki tüm dosya tabanlı kötü amaçlı yazılımları temizledi, bu nedenle bu özelliği, veritabanı kötü amaçlı yazılımları ve bazı premium eklentilerimizde denedik. Tarayıcı bu kadar çok kötü amaçlı yazılımı tespit edemedi ve bu nedenle otomatik onarım bir seçenek bile değildi.
Diğer alternatif, kötü amaçlı yazılımın kaldırılmasını istemekti. Hizmet, kötü amaçlı yazılımları, arka kapıları kaldırmayı ve güvenlik açıklarını değerlendirerek web sitesinde bir güvenlik denetimi yapmayı iddia ediyor. Sitenizin bir kara listeye girmesi durumunda, Wordfence bundan da kurtulmanıza yardımcı olacaktır. Hizmet, site yöneticisinin mektuba yönelik saldırı sonrası önerileri takip edip etmemesine bağlı olarak bir yıl garantilidir. Lütfen dikkat: Denemediğimiz için Wordfence'in kötü amaçlı yazılım temizleme hizmetinin etkinliği hakkında konuşamayız.
Öte yandan, tüm kötü amaçlı yazılımları otomatik olarak kaldırmak için MalCare'i kullandık ve bunu sorunsuz bir şekilde yapabildik. Korkunç uyarı yok, gözden kaçan kötü amaçlı yazılım yok ve sitemiz dakikalar içinde gıcırtılı bir şekilde temizlendi. Web sitemiz için istediğimiz kötü amaçlı yazılım temizleme türü budur.
güvenlik duvarı
Hem Sucuri hem de Wordfence, en yaygın ve büyük tehditleri engelleyen harika güvenlik duvarlarına sahiptir. Ancak Sucuri'nin güvenlik duvarı, yüklemek için bir kabustu ve Wordfence'in ücretsiz güvenlik duvarı, endişe verici bir şekilde premium sürümlerinden daha sonra güncellemeler alıyor.
Sucuri'nin güvenlik duvarı, SQL enjeksiyonları, uzaktan enjeksiyonlar ve siteler arası komut dosyası çalıştırma saldırıları gibi saldırıları dışarıda tuttu. Test web sitemiz, örneğin güvenli olmayan dosya yüklemeleri gibi bir dizi güvenlik açığına sahipti ve güvenlik duvarının arkasında güvende kaldı.
Sucuri'nin güvenlik duvarı ile ilgili sorunumuz kurulumuydu. Güvenlik duvarını kullanmak için trafiğinizi ad sunucularına yönlendirmeniz gerekir, böylece kötü trafik filtrelenir ve web sitenize yalnızca iyi trafik gönderilir. Mükemmel fikir, ancak yapılandırmak için ne kabus. Test web sitelerimiz herhangi bir alan adı kayıt kuruluşuna bağlı değildi, bu yüzden bunu çözmek için mühendislik ekibini görevlendirmemiz gerekti.
Wordfence'in güvenlik duvarı da kutunun dışında çalışır ve saldırıları başarılı bir şekilde dışarıda tutar.
Kurulumdan hemen sonra güvenlik duvarı öğrenme moduna girdi. Wordfence, öğrenme modunu bir hafta boyunca açık bırakmamızı önerdi. Bu adil çünkü güvenlik duvarlarının nasıl etkili olunacağını öğrenmek için canlı trafiğe ihtiyacı var. Ancak, test web sitelerimize canlı trafik olmadığı için, bir hafta beklemenin pek bir anlamı olmadığını gördük ve hemen geri çevirdik.
Wordfence ile ücretsiz güvenlik duvarının yalnızca %35 oranında etkili olduğu varsayılmaktadır. Bu bizim açımızdan bir varsayım değil, aslında gösterge tablosunda. Durumun neden böyle olabileceğini anlamak için biraz daha derine indik. 2 neden var:
Bir: WordPress tamamlandıktan sonra ücretsiz güvenlik duvarı bir eklenti gibi yüklenir. Yükleme sırası, güvenliği önemli ölçüde etkiler, çünkü güvenlik duvarı WordPress çekirdeğinden sonra yüklenirse, bu, yalnızca bazı kötü amaçlı trafiği dışarıda tutabileceği anlamına gelir, hepsini değil.
İki: Wordfence en güncel güvenlik duvarına sahip olsa da, premium sürüm bu güncellemeleri gerçek zamanlı olarak alır. Ancak ücretsiz sürüm, belirtilmeyen bir süre sonra güncellemeleri alır. Gecikmenin ne olduğunu bilmemizin hiçbir yolu yok, ancak potansiyel olarak sorunlu. Sonuçta, bilgisayar korsanları pencereye saldırabilir.
En büyük hediye, Wordfence'in ücretsiz güvenlik duvarlarını premium sürümlerine kıyasla %35 oranında etkili olarak derecelendirmesidir. Harika değil.
Güvenlik açığı algılama
Wordfence, web sitemizdeki tüm güvenlik açıklarını tespit etme konusunda harika bir iş çıkardı. Sucuri, belirsiz olanları tamamen kaçırdı.
Wordfence'in bizi tüm güncel olmayan eklentiler konusunda orta düzeyde tehditler olarak uyardığını görmek bizi çok etkiledi. Güvenlik açıkları, kritik tehditler olarak doğru bir şekilde işaretlendi. Diğer güvenlik eklentileri, bir durumda siteler arası komut dosyası çalıştırma gibi ciddi güvenlik açıklarına karşı bizi hiç uyarmadan, daha belirsiz eklentilere ve temalara takıldı. Yani Wordfence burada koz olarak geldi.
Güvenlik açıklarını doğrudan Wordfence panosundan düzeltmek mümkün değildir, ancak bu mantıklıdır. Güvenlik açıklarını düzeltmek esasen eklentiyi veya temayı güncellemek anlamına gelir ve bu işlevsellik wp-admin'de zaten kolayca kullanılabilir. Wordfence, güncellemenin siteyi bozmadığından emin olmak için MalCare gibi bir görsel gerileme yapmadıkça, mevcut bir özelliği çoğaltmanın bir anlamı yoktur.
Wordfence ayrıca iThemes ve Backupbuddy için de hatalar verdi. Bu, web sitesinde yanlış pozitifleri işaretleme eğilimlerinin bir göstergesidir.
Sucuri, test web sitelerimizdeki en belirsiz güvenlik açıkları hariç hepsini tespit etti. Wordfence'in aksine, güncel olmayan yazılımınızı Sucuri panosundan güncelleyebilirsiniz. Güncellemeler wp-admin aracılığıyla kolayca mümkün olduğundan, yardımcı programı gerçekten görmüyoruz.
Saldırı sonrası sekmesi, en son sürümleriyle birlikte yüklü eklentilerin ve temaların sürümlerini listeler. Sucuri, kötü amaçlı yazılım bulaşmasına yol açabilecekleri için güncel olmayan yazılımlarla devam etme konusunda uyarıda bulunur.
İlginç bir şekilde, Sucuri'nin kötü amaçlı yazılım temizleme hizmeti bile web sitemizdeki yalnızca bazı güvenlik açıklarını tespit edebildi. Tarayıcıyla ilgili deneyimimiz göz önüne alındığında, kaldırma hizmetinin güvenlik açıklarını tespit etme konusunda daha iyi bir iş çıkaracağını düşündük. Durum böyle görünmüyor.
Kaba kuvvet oturum açma koruması
Wordfence, tüm kaba kuvvet saldırılarını engelleme konusunda mükemmel bir iş çıkarır. Sucuri'nin oturum açma koruma özelliği çalışmıyor gibi görünüyor.
Wordfence'de kaba kuvvet koruması varsayılan olarak etkindir. Kontrol panelinde ayarladığımız yapılandırmaya bağlı olarak, her seferinde mükemmel bir şekilde çalışır ve kullanıcıları çok fazla yanlış denemeyle kilitler.
Ayarları güvenlik duvarı bölümünde bulacaksınız. Seçenekler menüsünde özelleştirilecek pek çok şey vardır: yanlış oturum açma girişimleri için kilitler ayarlamak; bir kullanıcının ne kadar süre kilitlenme yaşayacağı; ve benzeri. Seçenekler çok fazla değil ve Wordfence her birini ikna edici bir şekilde ve harika belgelerle açıklıyor.
Güçlü parolalar uyguladığınızdan emin olarak ve bir veri ihlali durumunda keşfedilen parolaların kullanımını önleyerek parola yönetimi seçeneklerini burada da ayarlayabilirsiniz.
Bu bölümde IP'leri beyaz listeye eklemek mümkündür, ancak bunların etkinliği konusunda kararsızız. Cihaz IP'leri dinamiktir, bu nedenle izin verilenler listesine sahip olmak meşru bir kullanıcının kilitli olmadığını garanti etmez.
Sucuri'nin kaba kuvvet koruması beklendiği gibi çalışmadı. Bir kilitlenme yaşamadık ve bot değil insan olduğumuzdan emin olmak için bir captcha yoktu. Saldırılar denetim günlüklerinde görünmesine rağmen uyarı almadık. Genel olarak, özellik bir yıkamaydı.
Yine de, kontrol panelindeki yapılandırma seçeneklerini görmeyi düşünmezsiniz. O kadar çok seçenek vardı ki bir noktadan sonra sarsıldık. Sonuç olarak, tam tersi yerine, çalışan bir özelliğe sahip daha az seçeneği tercih ederdik.
Etkinlik günlüğü
Sucuri'nin bir denetim günlüğü var, ancak anlaşılması zor olabilir. Wordfence'in bir etkinlik günlüğü yok.
Sucuri, tüm kullanıcı eylemlerini, eklenti ve tema değişikliklerini izleyen bir denetim günlüğüne sahiptir. Günlükler, dosyalarda ve tablolarda yapılan tüm değişiklikleri gösterecektir, ki bu iyidir.
Günlükler, kullanıcı, eylem, zaman damgası vb. gibi gerekli bilgileri içerir. Ancak bazı durumlarda girişleri anlamak çok zordur. Örneğin, günlükleri test etmek için bir galeri eklentisi kurduk. Denetim günlüğündeki sonuç girişleri 7 farklı değişiklik gösterir. Girişlerden değişikliğin ne olduğu, neden olduğu veya kimin sorumlu olduğu net değildi. Bu nedenle, denetim günlüğü, Sucuri dilini konuşmayan biri için hemen hemen yararsızdır.
Web sitesi güvenliğinin temel direklerinden biri olduğunu düşünürsek, Wordfence'in bir etkinlik günlüğüne sahip olmadığını görmek bizi şaşırttı. Araçlar menüsünün Tanılama bölümünde, güvenlik duvarı günlüklerinin daha ayrıntılı olmasına neden olan hata ayıklamayı etkinleştirme seçeneği vardır, ancak bu, etkinlik günlüğüyle aynı şey değildir.
Uzun bir araştırmadan sonra, Tarama bölümünde özellikle Wordfence olayları için bir etkinlik günlüğü keşfettik. Yine de, yalnızca Wordfence geliştiricileri için tasarlanmış ham bir günlüktür.
İki faktörlü kimlik doğrulama
Wordfence, harika bir iki faktörlü kimlik doğrulama özelliğine sahiptir. Sucuri, web sitenizde bunu desteklemiyor.
Wordfence iki faktörlü kimlik doğrulama, deneyimi özelleştirmek için bir dizi kolay seçenekle kutudan çıktığı gibi çalışır. Eskiden premium bir özellikti, ancak o zamandan beri ücretsiz eklentiye de eklendi.
Sucuri, web siteniz için iki faktörlü kimlik doğrulamayı desteklemiyor, ancak bununla Sucuri hesabınızın güvenliğini sağlayabilirsiniz.
Sunucu kaynak kullanımı
Hem Sucuri hem de Wordfence kaynak domuzlarıdır. Taramalarda ve güvenlik duvarı nedeniyle disk kullanımında aşikar kesintiler gördük.
Bu, Wordfence ve Sucuri arasında seçim yapmak için hiçbir şeyin olmadığı bir faktördür: ikisi de eşit derecede kötü yaptı.
Bu eklentilerin web sitenizde gerçekleştirdiği her bir eylem, sunucu kaynaklarını tüketir. Web sitelerimiz nispeten küçüktür ve taramaları kurduğumuzda disk kullanımının iki katına, bazen üç katına çıktığını gördük. Bu, yükleme süresini, yanıt süresini ve web sitesindeki genel deneyimi etkiledi.
Bir WooCommerce web siteniz varsa veya yüksek trafiğe sahip bir web siteniz varsa, bu etki kullanıcılarınız tarafından fark edilir. Paylaşılan barındırmadaysanız, web barındırıcınız bayrakları yükseltir ve barındırma masraflarınız potansiyel olarak artabilir. Aslında, birçok web barındırıcısı bu nedenle Wordfence'i yasakladı.
İnsanlar güvenlikten bahsederken nadiren sunucu kaynakları hakkında konuşsa da, bu önemli bir faktördür. Hiç kimse performans veya güvenlikten ödün vermek zorunda kalmamalıdır. Her ikisini de optimize etmek tamamen mümkündür.
Yine de Sucuri veya Wordfence ile değil. Bunun için MalCare'e ihtiyacınız olacak.
uyarılar
Hem Sucuri hem de Wordfence, sayısız uyarı ve yanlış pozitiflerle ünlüdür.
WordPress yönetimi söz konusu olduğunda, müşterilerimizin üzerindeki yükü kaldırmaya kesinlikle inanıyoruz. Güvenlik duvarları trafiği sessizce engellemelidir. Bot koruması kutunun dışında çalışmalıdır. Yönetici, yalnızca dikkatlerini ve eylemlerini gerektiren bir şey olduğunda uyarılmalıdır. WordPress güvenliği stressiz ve kolay olmalıdır, aksi takdirde bir güvenlik eklentisinin anlamı nedir?
Görünüşe göre ne Sucuri ne de Wordfence bu düşünce okuluna üye değil, çünkü onların uyarıları çok büyük. Gelen kutularımız kısa sürede doldu. Çok fazla uyarı, hiç uyarı olmaması kadar kötüdür, çünkü sonuçta ikisi de gerektiğinde eylemsizliğe yol açar.
Kurulum, yapılandırma ve kullanılabilirlik
Wordfence, acemi bir kullanıcı için çok basit olacak şekilde tasarlanmıştır. Sucuri değil.
Wordfence'in kurulumu, konfigürasyonu ve genel kullanımı şimdiye kadar gördüğümüz en iyilerden biri. Her ana bölümde, en önemli ayarları ve özellikleri basit, tehdit edici olmayan bir dilde açıklayan izlenecek yollar vardır.
Wordfence, yapılandırma için harika önerilere sahiptir. Belgelerine, gösterge panosundaki araç ipuçlarından erişilebilir, bu da onu son derece bağlamsal hale getirir. Her özellik açık bir şekilde açıklanmıştır ve web sitenizde nasıl çalıştırılacağına ilişkin talimatlara anında erişilebilir.
Bunlar dikkat çekmek için garip şeyler gibi görünebilir. Ancak, Sucuri'yi daha önce denediyseniz, anlama kolaylığının herhangi bir kullanıcı deneyiminin önemsiz olmayan bir parçası olduğunun farkındasınızdır. Aslında, Sucuri'yi tek bir kelimeyle tanımlamamız gerekseydi, bu kelime şaşırtıcı olurdu.
Sucuri'yi kurmak kolaydı ve oradan yokuş aşağı gitti. Sunucu tarafı tarayıcıyı ve güvenlik duvarını kullanmak için bunları manuel olarak yapılandırmanız gerekir. O kadar çok seçenek var ki, güvenlik üzerinde gerçek bir etkisi olup olmadığını anlamaya ek olarak, onları anlamlandırmak için saatler harcadık.
Genel olarak, bu iki eklenti yelpazenin zıt uçlarındadır.
Wordfence: Ekstralar
Wordfence kesinlikle güvenliktir. Güncellemeler veya kullanıcı yönetimi seçenekleri gibi güvenliğe bitişik tek bir özellik, seçenek veya hat yoktur. Buna rağmen, birkaç ekstra var.
Site güncellemeleri için, kritik veya orta düzeyde tehditler oldukları için hangi eklentilerin ve temaların öncelikli olarak güncellenmesi gerektiğini bize gösteren bir bildirimler bölümü vardı.
Wordfence, aynı hesapta birden çok siteyi yönetmek için Wordfence Central adlı harici bir panoya sahiptir. Her bağlı sitenin wp-admin'inde de eşlik eden bir bölümü vardır, muhtemelen şu anda hangi sitede çalışıyor olursanız olun her siteye kuş bakışı bakabilirsiniz. Bize göre, bu sınırlı bir fayda sağlıyor ve yüzlerce yönetilen siteye sahip ajanslar için çalışmayacak.
Ardından Araçlar bölümüne baktık. Google Analytics'i kopyalıyor gibi görünen, ancak bundan daha fazlası olan canlı trafik için bir bölüm var. Bu günlükler, web sitesinin ne tür trafik aldığını görmek için trafiği bir anahtarla sınıflandırır: insan, bot, uyarı, engellendi.
Wp-admin'den çıkmadan saldırganın kim olduğunu görmek istemeniz durumunda Whois arama seçeneği bulunmaktadır. Yine, bu en iyi ihtimalle tesadüfi bir özelliktir.
Web sitesi hakkında çok fazla bilgi içerdiğinden, Teşhis'in gerçekten ilginç olduğunu düşündük. Süreç sahiplerinden veritabanı tablolarına kadar her şey çok ayrıntılı. Geliştiriciler bu bilgiyi son derece yararlı bulacaktır, çünkü hepsi tek bir yerde web sitesinin bir özelliği gibidir.
Sucuri: Ekstralar
Sucuri'nin eklentilerinde bir sürü ekstra fırfır ve kabartma var. Herhangi birinin güvenlik üzerinde bir etkisi olup olmadığı tamamen başka bir konudur.
Kurulumda göreceğiniz ilk şey WordPress bütünlük bilgi kutusudur. Gerçekten bir WordPress çekirdek dosya değiştirme izleyicisinin süslü bir versiyonudur. Açıkçası, WordPress çekirdek dosyaları için bir dosya değişikliği izleyicisine sahip olmak biraz yararlıdır, ancak etkinlik, sanıldığı kadar fazla değildir. Bilgisayar korsanları, bu önlemlere geçici bir çözüm bulmak için güncelleme zaman damgaları gibi dosya meta verilerini değiştirebilir ve değiştirecektir. Yani evet faydalı, ama çok değil.
Web sitesindeki çekirdek dosyaları orijinal WordPress kurulumuyla karşılaştırmak için bir bütünlük farkı yardımcı programı vardır. Kötü amaçlı yazılımları manuel olarak temizliyorsanız, kesinlikle önermiyoruz, çevrimiçi olanı kullanmaktan kesinlikle daha kolaydır.
Sucuri, birçok WordPress sertleştirme özelliğine sahiptir. PHP'yi karşıya yüklemeler klasöründe engellemek, bir saldırı kategorisine karşı koruma sağlar ve WordPress tuzlarını kontrol panelinden hızlı bir şekilde değiştirme yeteneğini seviyoruz. Yine de daha iyi yapılabilirdi. Bu özellik, wp-admin yerine Sucuri'nin harici kontrol panelinde olsaydı, daha güvenli olurdu. Bir bilgisayar korsanının wp-admin'e erişim sağladığını hayal edin, düz metinde oldukları için tuzlar kolayca tehlikeye girebilir.
Diğer seçeneklerden bazıları, WordPress sürümünü doğrulama, WordPress sürümünü kaldırma, bilgi sızıntısını önleme ve varsayılan yönetici hesabını doğrulama gibi sınırlı yardımcı programlardır. Güvenlik açısından anlamsızdırlar.
Diğer sertleşme özellikleri kafa karıştırıcıydı. Örneğin, eklenti ve tema düzenleyiciyi devre dışı bırakacak olsaydık, açıkları olan eklentileri ve temaları nasıl güncelleyebilirdik? En hafif tabirle ters etki.
The password management feature held some promise, but the warning would terrify all but the most brave: “Select users from the list in order to change their passwords, terminate their sessions and email them a password reset link. Please be aware that the plugin will change the passwords before sending the emails, meaning that if your web server is unable to send emails, your users will be locked out of the site.”
What's missing from Wordfence and Sucuri
Sucuri doesn't have a good malware scanner. The brute force login protection doesn't work, and it takes up too much of server resources. There is no bot protection either, and you would need a separate plugin for two-factor authentication.
Wordfence misses out on bot protection and an activity log. The scanner is above average; definitely a cut above the other security plugins available apart from MalCare. Apart from these things, it is an exceptional security plugin.
Wordfence vs Sucuri: Pricing
Sucuri's plans start at $199.99 a year per site, which is a great deal for unlimited malware removal. The firewall works well, but the scanner is a let down. Wordfence premium plans are at $99 for the year per site, with attractive bulk pricing options. However, our opinion is that the free version is almost as good as the premium version.
Sucuri is a winner when it comes to the unlimited malware removal feature. The support team was great, with a quick turnaround time, helpful response and a proactive post-hack checklist. But the malware scanner was a complete failure, and that's not a small flaw to overlook.
The free version of Wordfence is strong enough to stand on its own. The premium version is not all that different, the efficiency percentages on the dashboard notwithstanding. The real expense to consider with Wordfence is the cleaning service at $490 a pop, over and above the site license. If you are considering Wordfence seriously, read the fine print. Although they say unlimited pages, there are additional charges for sites above 10 GB. They guarantee the service for a year, but there are terms and conditions. None of this is unreasonable, but it is important to be aware before taking the plunge.
Better alternative to Wordfence and Sucuri: MalCare
The best security plugin for your website isn't Wordfence or Sucuri, it is MalCare. It has an excellent scanner that detects malware in all parts of your website: core WordPress, files and the database. Additionally, the auto-clean feature removes all malware surgically, without breaking your website.
MalCare has an advanced firewall that proactively blocks bad traffic from reaching your website. The brute force protection makes sure that your login page is safe from malicious attacks, and the bot protection goes even further to make sure only bad bots are kept away from your website.
There is a formidable support team of WordPress security experts to help with any issues that come up. Any malware removal cleanups necessary beyond the auto-clean are covered with the site license.
Thus, in a feature-to-feature comparison, MalCare undoubtedly comes out on top. MalCare's $99 plan is vastly better than Sucuri's $199.99 Basic Platform plan, and includes unlimited malware removal, which is over and above Wordfence's $99 plan.
Çözüm
When choosing a WordPress security plugin for your website, make sure to evaluate the scanner, cleaner and firewall. All the other features can be implemented with other plugins, but these 3 features form the essence of a good plugin.
At MalCare, our goal is to make security stress-free and painless, so that you can focus on the more important aspects of your website. Leave the security to us, as you grow your business.
We hope this comparison was helpful, as we have presented all our findings transparently. Have further questions? Drop us a line. Sizden haber almak isteriz.