iThemes Security 与 Sucuri:哪个安全插件更好?

已发表: 2023-04-19

乍一看,iThemes Security 看起来像是适用于您的 WordPress 网站的一款出色且价格合理的安全插件。 特别是如果您认为只需 199 美元就可以保护无限的网站。

另一方面,Sucuri 是最受欢迎的 WordPress 安全插件之一。 它配备了扫描仪和防火墙,还提供恶意软件清除功能。 因此,在这场正面交锋中,它已经抢占了 iThemes 的先机。 为什么? 因为 iThemes 没有任何这些功能。

iThemes 完全被淘汰出局。 在这场较量中,苏库里无疑是赢家。 话虽如此,我们仍然不会相信 Sucuri 会保护我们的网站。 哪个安全插件可以保证保护 WordPress 网站免受黑客攻击? 答案很明确:MalCare。

iThemes Security 与 Sucuri 比较摘要

iThemes Security 是 WordPress 安全插件的安慰剂。 您认为您的网站免受黑客攻击,但实际上保护它的只是一厢情愿的想法和积极的氛围。 Sucuri 无疑更好,但更好毕竟是一个相对的术语。 它不是一个很好的安全插件。

iThemes Security 与 Sucuri 比较

简而言之,iThemes 安全性

底线是 iThemes 不保护您的网站。 如果您正在考虑 WordPress 安全性,我们强烈建议您完全跳过 iThemes。 如果您已经安装了它,请立即扫描您的网站。 您的网站没有安全保障。

我们对 iThemes 的第一印象实际上是不错的。 该网站谈论了一场伟大的比赛,并且由于他们谈论 WordPress 安全性的权威方式而灌输了信心。 我们能看到的唯一缺陷是您无法使用该插件来清除恶意软件。 这并不理想,但它仍然可以用作扫描仪。

或者我们是这么想的。

ithemes网站功能

iThemes 扫描仪不检测恶意软件。 完全没有。 我们可能会猜测它甚至不扫描文件和数据,因为扫描会在几秒钟内完成。 iThemes“扫描器”所做的是检查谷歌的透明度报告,看看你的网站是否在该列表中。 我们不需要安全插件来做到这一点。 我们回去查看该网站,惊讶地发现该功能并未明确表示扫描恶意软件。 它只是说恶意软件检测是 WordPress 安全的关键步骤之一。 如果我们见过它,那是双重说法。

我们很想将 iThemes 测试视为无用,但为了公平起见继续进行。

该插件确实具有可靠的双因素身份验证功能,您可以在登录页面上启用该功能。 它还具有一些不错的强化功能,例如阻止文件夹中的 PHP 执行。 话虽如此,暴力登录保护仅在某些时候有效。 该插件的另一个黑点。

我们使用 iThemes 的收获是,任何安全价值的唯一特征是双因素身份验证和在 wp-login 上轻松实施 reCAPTCHA。 然而,这两个功能并不需要 199 美元的账单,因为除了一些实际的安全性之外,还有更好的安全插件可以提供相同的功能。

测试 iThemes 是一次糟糕的经历,因为我们无法想象有多少网站认为它们受到不存在的安全保护。 事实上,iThemes 用户,您现在应该扫描您的网站。

简而言之

Sucuri 拥有不错的防火墙和出色的恶意软件清除服务,但作为恶意软件扫描程序却惨遭失败。 如果您不知道您的网站有恶意软件,就没有办法摆脱它。 这是安全插件不可协商的部分。

当我们开始测试 Sucuri 时,我们对它寄予厚望。 它是 WordPress 最受欢迎的安全插件之一,我们惊讶地发现扫描器未能在我们被黑的测试站点上检测到任何恶意软件。 我们将在后面的部分中进行更详细的介绍,但这为我们的整个测试过程定下了基调。

Sucuri 安全插件

除了失败之外,扫描本身需要很长时间才能完成,并且会耗尽我们的服务器资源。 由于对网站性能的影响,Sucuri 自己不鼓励过多的扫描。 在性能和安全性之间进行权衡是一种可怕的取舍,而且不应该是这种情况。

转向防火墙和恶意软件清除服务,Sucuri 做得很好。 防火墙很难配置,而且花费了我们过多的时间。 但它阻止了我们尝试的攻击,我们无法利用任何漏洞。

不过,恶意软件清除服务是我们测试体验的亮点。 尽管扫描器为我们被黑的网站提供了健康状况良好的证明,但我们知道它充满了恶意软件。 首先,我们将恶意软件放在那里,其次,MalCare 扫描证实了这一诊断。 Sucuri 团队从我们的网站上删除了所有恶意软件痕迹,结果它非常干净。 极好的! 这个蛋糕上的樱桃是您可以将无限制的恶意软件删除请求作为您计划的一部分,这是一个很好的选择。

除了防火墙之外,设置非常隐蔽。 我们发现自己对使用的许多行话感到困惑,而这与 WordPress 安全方面的专业知识有关。 该界面不是用户友好的,我们相信很多人会发现它不必要地令人担忧。 那里的 Sucuri 减分。

总而言之,我们认为 Sucuri 不是 WordPress 网站的最佳安全解决方案。 这一荣誉归于 MalCare,因为扫描仪每次都能正常工作。 MalCare 还获得奖励积分,不会让我们感到迟钝。

如何为您的 WordPress 网站选择合适的安全插件

您的 WordPress 网站的安全性是不容商量的。 恶意软件会给企业造成无数损失:收入损失、诉讼、清理成本、品牌影响、有机流量损失等等。 投资正确的插件将使您免受黑客和恶意软件的侵害,并避免恶意软件带来的问题。

但问题是:您如何为您的网站选择有效的安全插件?

当我们设置测试时,有几个因素需要考虑:当然是安全性,还有易用性和物有所值。 然而,我们很快意识到,除了安全之外的所有因素都变得毫无意义,因为插件在安全方面的有效性应该是唯一的考虑因素。

所以这里是选择安全插件时要考虑的因素。

  • 基本安全功能
    • 恶意软件扫描
    • 恶意软件清理
    • 防火墙
  • 必备的安全功能
    • 漏洞检测
    • 暴力登录保护
    • 活动日志
    • 双因素身份验证
  • 潜在问题
    • 对服务器资源的影响

从列表中可以看出,只有 3 个因素是完全必要的。 MalCare 在所有 3 个方面都是王牌:扫描和清除其他插件肯定会错过的恶意软件,并使用强大的防火墙保护您的网站免受恶意流量的侵害。 此外,MalCare 比当前可用的任何其他安全插件做得更好。

iThemes Security vs Sucuri:功能的正面比较

我们进行这种比较的方式是首先采用最基本的功能,然后讨论在测试过程中出现的其他观察结果。 很多时候,我们看到的功能和设置几乎什么都不做(我们谈论的是 iThemes),但却描绘了一种精心设计的安全幻觉。

拨乱反正并不容易,但我们将尽可能清晰、公平地展示我们的所有数据。

如果您想跳过此拆解,我们建议安装 MalCare。

恶意软件扫描

Sucuri 的扫描仪没有在我们的网站上检测到任何恶意软件。 从完成扫描的速度来看,iThemes 甚至根本没有扫描我们网站的恶意软件。

Sucuri 的免费和付费版本都有扫描仪,所以我们很想看看它的表现是否不同。 免费版本由 Sucuri SiteCheck 提供支持,这是一个在线实用程序,可以扫描您网站的公开可见部分以查找恶意软件。 当然,这有局限性,因此 SiteCheck 的干净提示并不能保证网站没有恶意软件。

Sucuri 现场检查结果

付费计划包括一个服务器级扫描仪,您必须将其安装到您的网络服务器上。 您可以手动执行此操作,或者将您的 FTP 详细信息输入到您的 Sucuri 仪表板以自动安装它。 这是一个相对轻松的过程。

扫描仪设置为每天运行,但您可以在一定程度上按需扫描。 额外的扫描请求被放入一个队列然后被执行。 Sucuri 警告不要使用过多的扫描,因为扫描会耗尽服务器资源。

这让我们停下来,因为我们随后意识到 Sucuri 使用我们网站的资源来运行扫描。 对于我们的测试站点,流失并不太严重,因为这些站点很小并且没有外部流量。 但是,我们确实看到了 CPU 使用率的波动。 更多内容在后面的部分。

专业版也没有在我们被黑的网站上检测到任何恶意软件。 这是令人惊讶的,因为我们的 MalCare 扫描结果清楚地指出了恶意软件。 所以我们提出了手动删除请求。 Sucuri 的团队处理了请求后,该网站在 MalCare 上显示为干净。 但那是 Sucuri 扫描仪在网站上标记恶意软件的时候。 这很奇怪。

sucuri 服务器端扫描仪

幸运的是,iThemes 扫描仪没有遇到任何难题。 它不扫描恶意软件,纯粹而简单。 iThemes 扫描仪仅检查您的网站是否在 Google 的黑名单中。 就是这样。 考虑到我们的网站没有被编入索引,我们并不惊讶地发现我们的网站实际上不在黑名单上。

主题扫描仪

恶意软件清理

恶意软件清除不在 iThemes 功能列表中,因此显然无法清除恶意软件。 Sucuri 的付费计划中包含无限制的恶意软件清除服务。 根据您的计划,您的网站将在 6 到 30 小时内得到清理。

尽管 Sucuri 的扫描结果表明我们的网站没有恶意软件,但我们显然知道事实并非如此。 恶意软件无处不在:在文件和数据库中。 我们在那里也有一堆后门,以备不时之需。 MalCare 扫描仪确认我们的测试站点确实感染了恶意软件。

因此,我们向 Sucuri 提出了恶意软件删除请求,明确表示我们怀疑网站上存在恶意软件。 要提出请求,您需要填写表格并提供 FTP 详细信息以进行清理。 然后等待结果。

旁注:删除请求表单中有一个有趣的下拉列表,其中列出了您可能会看到的潜在症状。 另外,让我们觉得有趣的是,你必须表明你的技术熟练程度,所以我们选择了:“没有熟练程度,请解释清楚。

感谢 Sucuri,他们的团队从我们的网站上删除了所有恶意软件。 此外,尽管我们的计划条款说我们可以在 30 小时内得到解决,但我们在不到 10 小时内就收到了回复。因此,这对 Sucuri 的恶意软件删除服务来说是一个巨大的赞许。

删除 sucuri 恶意软件

我们与 MalCare 确认所有恶意软件都已被删除,然后惊讶地发现 Sucuri 的扫描器现在将站点标记为受感染——在他们的团队清理之后。这很奇怪。

另一方面,iThemes 无法清除恶意软件,因此没有什么可测试的。 值得庆幸的是,他们并没有在他们的网站上声称这样做。

坦率地说,恶意软件清除是 WordPress 安全性中最困难的部分,通常也是最昂贵的方面。 Sucuri 的付费计划提供无限清理,这非常棒,因为如果不解决漏洞,恶意软件可能会再次出现。 如果我们发现清洁服务有问题,那将是您需要等待一段时间才能解决。 就恶意软件而言,我们已经看到感染在短时间内呈指数级增长,因此这是一个值得关注的问题。

借助 MalCare,我们可以使用自动清理功能在几分钟内清除恶意软件。 在等待 Sucuri 回复我们的过程中,我们意识到快速清理对于业务关键型网站的巨大价值。

防火墙

Sucuri 的防火墙有效,并保留了我们最常见的攻击。 iThemes 没有防火墙。

防火墙是网站安全的重要组成部分,因为它们可以阻止恶意流量并防止漏洞利用。 到本文的这一点,您听到 iThemes 没有防火墙就不会感到惊讶了。 为什么会这样? 作为安全插件,它在其他方面都失败了。

另一方面,Sucuri 保护我们的网站免受 wordpress 攻击。 我们针对不受限制的文件上传、XSS 和 SQL 注入等漏洞进行了测试。 防火墙阻止了我们利用这些漏洞将恶意软件上传到网站的所有尝试。 我们无法完全透明地测试更复杂的攻击。

sucuri 防火墙日志

因此 Sucuri 的防火墙是有效的,但我们也不得不提到配置防火墙是多么令人沮丧。 防火墙的工作方式是它充当传入流量和您的网站之间的一层。 因此,所有流量首先会到达 Sucuri 的防火墙,然后再重定向到您的网站。

可以想象,这需要一些配置。 您用于网站的域必须首先指向 Sucuri,分析流量,然后将允许的流量转发到您的网站。 这很好,但是如果您不具备名称服务器和 DNS 配置方面的专业知识,那么设置防火墙会很痛苦。

sucuri防火墙配置

总的来说,拥有一个开箱即用的安全解决方案要好得多。 没有复杂的配置来保护我们的网站。 你知道,就像你从 MalCare 得到的那种。

漏洞检测

Sucuri 检测到我们网站上的大部分漏洞,尽管不是全部。 iThemes 没有找到任何。

在我们启用服务器端扫描程序后,Sucuri 检测到我们在网站上安装了一些易受攻击的插件。 它没有检测到所有这些,建议只是更新它们。

此外,wp-admin 上有一个 post-hack 视图,列出了当前安装的插件和主题、它们的安装版本和最新的可用版本。 在本节的描述中,Sucuri 确实提到漏洞与网站安全相关,保持所有内容更新是一个很好的做法。 不太可能有人会在常规浏览插件时登陆那里,因此我们不确定该位置是否有用。

作为恶意软件删除请求的一部分,Sucuri 还向我们发送了一条消息,建议我们采取强化措施并更新我们的(3 个中的 2 个)易受攻击的插件。 这是他们的 post-hack 清单的一部分。

iThemes 不标记漏洞。 然而,它在仪表板上有一个非常无用的计数器,指示从安装插件时起已经完成了多少更新。 这些信息如何有用,我们无法理解。

暴力登录保护

Sucuri 应该可以阻止暴力攻击并提醒您,但两者都没有。 iThemes 有时会,有时不会。 很难说哪个更糟。

iThemes 将每次不正确的登录尝试记录为暴力攻击,坦率地说,这让用户看到很可怕。 在一种情况下,我们真的忘记了密码。

当我们尝试暴力破解登录页面时,我们看到了参差不齐的结果。 iThemes 阻止了 1 个站点的尝试,但没有阻止另一个站点的尝试。 我们试图找出造成这种差异的原因,但唯一的区别是网站上的恶意软件。 由于恶意软件通常是暴力攻击成功的结果,我们认为这不是原因。 更有可能的是,似乎存在使该功能偶尔工作的错误。 实际上,这是毫无意义的。

Sucuri 给我们带来了希望,因为有一组细粒度的暴力攻击选项。 您可以设置算作暴力攻击的失败尝试次数。 我们将其设置为非常适度的每小时 30 次尝试,尽管登录攻击通常是每分钟数百次尝试。

sucuri蛮力

在看到所有锁定设置后,我们有点担心被锁定在站点之外。 我们关闭了 MalCare,因此 MalCare 的登录保护不会阻止尝试。 然而,什么也没有发生。 我们在 3 分钟内尝试了 40 多次错误登录,但 Sucuri 没有发出警报。 检查审计日志,失败的身份验证显示正常。 但是,没有警报。 没有停工。 没有什么。

活动日志

iThemes 具有不完整的活动日志功能。 Sucuri 有一个很好的,但可能晦涩难懂。

Sucuri 有一个称为审计日志的功能,它跟踪来自用户、插件和主题的所有操作。 该功能按预期工作,但是其中一个设置让我们停顿了一下。 您需要一个 API 密钥来“防止攻击者删除日志”。 这基本上授权 Sucuri 在异地收集和存储有关网站的数据,这很好,但他们使用的语言至少可以说是刺耳的。 有关更多信息,请参见可用性部分。

虽然日志的工作方式类似于日志,并收集时间戳、用户和操作,但它们可能非常模糊。 例如,我们安装了一个新插件,它显示为插件已激活。 到目前为止,一切都很好。 日志中还有 7 个条目显示安装所影响的内容。 但是对于这些条目的含义几乎没有解释。 这些可能是更改过的文件或文件夹吗? 不,我们后来意识到这个特定的插件,它是一个画廊插件,改变了帖子的模板。 这是有道理的,但启示并非来自 Sucuri。

sucuri 审计日志

活动日志是网站安全工具包的重要组成部分。 黑客利用日志记录不足来攻击网站,因此您应该坚持使用您可以信任的可靠日志来共享有关您网站的正确信息。

基本上,不像 iThemes 那样。 这里的活动日志有一些有用的信息,比如用户活动、版本管理、站点扫描和暴力攻击。 不过,与插件或主题无关。 还有一个单独的功能,每天都会通过电子邮件向您发送文件更改报告。 总而言之,日志是不充分的,因为它们没有描绘出您网站的准确画面。

主题日志

双因素身份验证

iThemes 有一个很棒的双因素身份验证功能,开箱即用。 苏库里没有。

在这篇文章和该系列中的其他类似文章中对 iThemes 进行了破坏之后,我们很高兴地报告说,这是真正在 iThemes 上起作用的仅有的安全功能之一,并且在这方面工作得相当好。

iThemes 上的双因素身份验证功能非常强大。 它有大量的定制,开箱即用,没有麻烦。 该插件还有助于强制执行我们强烈提倡的强密码。

ithemes 2fa

我们在这里唯一担心的是,iThemes 专业版有大量设置可以删除登录令牌以便于使用:无密码登录、可信设备、魔术链接等。 虽然这些有助于简化登录过程,但它们破坏了双因素身份验证的目的。

我们在测试 Sucuri 时寻找双因素身份验证。 我们发现它存在于 Sucuri 仪表板上。 然而,当我们意识到双因素身份验证可用于您的 Sucuri 帐户而不是您的 WordPress 网站时,我们既感到好笑又感到困惑。

苏库里2fa
我们的网站也有这个可能会很好,你不觉得吗?

服务器资源使用

iThemes 根本不会耗尽​​您的服务器资源,因为它什么都不做。 Sucuri 会通过扫描削弱您网站的性能。

有趣的是,人们并不经常在安全上下文中询问我们有关服务器资源的问题。 但理想情况下,您希望您的网站受到保护并且不会在此过程中缓慢爬行。 Sucuri 的扫描仪会对您的站点执行此操作。  

Sucuri 扫描声称完全使用网站的服务器资源。 事实上,出于这个原因,他们似乎不鼓励频繁扫描。 坦率地说,这太可怕了。 为什么任何人都必须在一方面的性能和合理的服务器账单与另一方面的安全性之间做出选择? 不过他们不是在开玩笑。 我们一安装 Sucuri,然后运行第二次扫描,服务器资源就出现了巨大的峰值。 如果在小型网站上差异如此明显,那么在大型网站上差异会大得多。

苏库里CPU使用率

此外,在仪表板上的常规设置中,有一个数据存储设置,这似乎表明 Sucuri 在网站本身上存储了大量数据(主要是日志的外观)。 这可能就是为什么需要 API 密钥的原因,因为默认情况下它都在上传文件夹中,这是一个可公开访问的文件夹。 有一个选项可以将存储更改为不可公开访问的文件夹,但这应该是一开始的默认设置。

iThemes 不会耗尽您的服务器资源。 当它什么都不做时,它怎么可能呢?

警报

iThemes 不会提醒您任何事情。 Sucuri 确实如此,但您需要谨慎选择要接收的警报。 您的收件箱可能会在数小时内填满。

Sucuri 允许您设置要发送给特定人员的警报、自定义警报的格式等等。 您还可以添加 IP 地址范围,这样这些地址就不会被标记为警报。 不过,请注意充满术语的描述。 什么是“无类域间路由”? 我们不想知道,只是想保护网站。

从警报的精细设置来看,Sucuri 似乎敏锐地意识到他们可能会发送太多警报。 有一个设置可以配置一小时内收到的最大警报,比如最多 5 封电子邮件。 这个问题是:假设前 5 个是误报,而第 6 个不是? 那里有一个免责声明——但再次重申——最好是拥有实际信息而不是无用的功能。 我们在这里得出的结论是,任何管理员都不会只见树木不见森林。 噪音太大了。

苏库里警报
顺便说一下,这不是完整列表。 还有更多。

令人惊讶的是,我们仍在审查 iThemes,并没有因为失败的原因而放弃它。 iThemes 向我们发送了文件更改通知报告、数据库备份和其他对我们设置的确认。 我们还订阅了关于我们网站的每日安全摘要,以及每周一次的漏洞报告,大概这样我们就可以将它们与我们的网站进行核对。 一个网站已经够糟糕了,更多的网站可能会完全失控。

ithemes 安全文摘

安装、配置和可用性

由于令人困惑的配置选项,iThemes 安装出奇地困难。 Sucuri 相当简单,但插件中的配置选项令人望而生畏。

iThemes 是我们测试的第一个插件,所以它最初看起来很简单。 它还为最无用的设置设定了标准。 您必须完成配置才能创建安全仪表板。 我们检查了每个设置,但没有一个对安全性有真正影响,所以我们随机设置它们并保留它。

主题设置

Sucuri 毫不费力地安装,插件主要是自行设置的。 我们确实必须在 Sucuri 创建一个帐户才能访问付费功能。 此外,值得指出的是,要安装服务器端扫描仪,您需要使用 Sucuri 外部仪表板。 如果您有现成的 FTP 详细信息,这并不难做到,尽管我们认为没有多大意义,因为它没有检测到任何恶意软件。

wp-admin 上的 iThemes 仪表板是噪音。 没有相关的安全相关信息。

Sucuri 的仪表板和设置非常复杂。 我们花了几个小时试图弄清楚他们使用的技术术语的含义。 在某些情况下,插件会告诉您推荐的设置,因此用户实际上是在盲目相信。 唯一的问题是 Sucuri 不会激发盲目信仰,因为他们的恶意软件扫描器不起作用!

我们希望这个插件更容易理解。 它看起来非常复杂,似乎做了很多事情,但我们不能确定,因为我们知道一些重要的事情,比如暴力保护,似乎不起作用。

必须单独启用防火墙和服务器端扫描程序。 我们花了一个多星期才弄清楚这个插件有 3 个网站。 我们不寒而栗地想如果有人处理更多的东西会发生什么。 设置起来很繁琐。

我们要重申,非技术用户很难理解这些设置。 我们不知道有一种叫做日志分析软件的东西。 我们还看到了有趣的反向代理消息,Sucuri 告诉我们不要担心这个选项,除非我们知道它是什么。 感谢您对居高临下的困惑。

苏库里显微镜

iThemes:附加功能

iThemes 上有一个非常精细的白名单功能,这让我们感到惊讶,直到我们意识到我们所看到的站点锁定投诉似乎过多。 这有两个问题:一个是设备 IP 发生变化,因此将您的 IP 列入白名单并不像您想象的那么安全; 第二,我们尽一切可能触发锁定。 但它没有发生。

文件更改监视器是另一个听起来不错的功能,除非您对安全性一无所知。 黑客可以更改文件时间戳,甚至可以使文件看起来好多年没有被编辑过。 此外,此监视器还有一个文件类型排除列表。 坦率地说,这表明对恶意软件缺乏了解。 恶意软件可以隐藏在任何文件中,例如 .ico 文件。

ithemes文件更改

iThemes 确实有一个很好的密码管理系统。 您可以强制使用强密码并拒绝泄露密码。 如果您愿意,也可以为 XML-RPC 设置应用程序密码。

ithemes 用户安全配置文件

最后,iThemes 有一些强化功能,其中大部分我们根本不推荐。 唯一有意义的是在上传文件夹中阻止 PHP 执行。 这可以防止某种类型的恶意软件攻击。 其他的,我们建议完全忽略。

Sucuri:附加功能

Sucuri 在 wp-admin 上的仪表板看起来非常令人印象深刻,但我们立即看到最大的信息框是 WordPress 完整性。 希望这仅适用于我们当前使用的免费版本,因为这本质上是 WordPress 核心文件的文件更改监视器的修饰版本。

sucuri wp 文件完整性

在某些情况下,考虑到大量恶意软件进入核心文件,我们可以看到它很有用。 相反,我们也可以看到它可能是一份闲职,因为没有经验的人可能会认为这就是恶意软件的程度,这是一个可怕的想法。 有趣的是,它标记的 3 个 wordpress 完整性文件中有 2 个来自 MalCare:紧急连接器和防火墙。

在设置的更深处,有一个完整性差异实用程序来比较核心文件并找到差异。 这可能比在线 diffchecker 实用程序更容易使用。

sucuri差异检查器

有相当多的强化选项:一些有用,另一些则没有那么多。 我们喜欢能够在上传文件夹、防火墙中阻止 PHP,并激活自动密钥更新,这会更改 wordpress 盐。

然而,验证 WordPress 版本、删除 WordPress 版本、避免信息泄露(删除 WordPress 刚刚重新创建的自述文件)和验证默认管理员帐户都是愚蠢的功能,对安全的影响微乎其微。 坦率地说,整个安全行业已经摆脱了这些技巧。

sucuri wp硬化

如果您选择禁用插件和主题编辑器,您会发现更新很棘手。 它包含一些关于需要访问这些文件夹中的 PHP 文件的插件和主题的警告。 这是不够的。 恰当的例子:Sucuri 自己将 PHP 文件保存在上传文件夹中。 他们不想从外部仪表板访问自己的文件吗? 或者这是规则的例外? 在这种情况下,该规则以对用户隐藏的方式看起来很灵活。

我们有兴趣查看 wp-admin 仪表板上的 post-hack 功能。 清理后,您要确保尽一切努力保护您的网站免受未来的黑客攻击。 我们喜欢这个想法,直到我们进一步观察。

您可以从仪表板更新密钥——更改 wordpress 盐。 唯一的问题是它是纯文本的,每个登录到 wp-admin 的管理员都可以看到。 如果黑客拥有具有管理员访问权限的帐户,这将非常危险。 此功能仅在用户已验证没有管理员帐户受到损害,然后更改盐时才有意义。 任何地方都没有提到的一点。

您可以重置用户密码。 同样,在您阅读细则之前,这似乎是一个不错的功能:“从列表中选择用户以更改他们的密码,终止他们的会话并通过电子邮件向他们发送密码重置链接。 请注意,该插件会在发送电子邮件之前更改密码,这意味着如果您的网络服务器无法发送电子邮件,您的用户将被锁定在该网站之外。”

有一个地方可以看到可用的插件和主题更新,这是基本的版本管理。 它不会向现有的管理仪表板功能添加任何内容。 但是,它可能会教育人们过时的插件和主题与安全有关。

iThemes Security 和 Sucuri 缺少什么

iThemes 没有防火墙,这对您的 WordPress 安全性来说是一个严重的漏洞。 防火墙保护网站免受某些类型的攻击,如果您的网站存在漏洞,防火墙将非常有用。

Sucuri 的恶意软件扫描程序不够用。 因此,即使恶意软件删除服务很棒,您也必须猜测您的网站上有恶意软件,因为扫描器不会标记它。

iThemes Security vs Sucuri:定价

Sucuri 的基本平台计划每个站点每年 199.99 美元,对于无限制的恶意软件删除服务来说是一笔划算的交易。 然而,考虑到它也应该有一个工作扫描仪,这就是你的 sub 将为你提供的全部。 iThemes 一文不值。 只是别打扰了。

我们在本文中非常清楚地表达了我们对 iThemes 的看法。 iThemes 中唯一值得一提的功能是双因素身份验证,它在免费计划中可用。 我们绝对不推荐 Pro 计划。

iThemes 定价
iThemes 定价

Sucuri 的定价对于恶意软件清除服务来说是物超所值,但美中不足的是扫描仪。 如果您不知道自己感染了恶意软件,则无法提交删除请求。

苏库里定价
Sucuri定价

iThemes Security 和 Sucuri 的更好替代品:MalCare

投资一个好的安全插件,它可以扫描、清理和保护您的网站免受黑客攻击。 在我们为本系列测试的所有插件中,MalCare 脱颖而出,成为最佳选择。 MalCare 在所有方面都胜过 iThemes,并且比 Sucuri 更好地扫描恶意软件。

事实上,MalCare 的 99 美元基本计划优于 Sucuri 的 199.99 美元基本平台计划,并且还具有即时恶意软件删除功能。 它还包括无限清理

结论

您网站的安全性至关重要。 我们已经看到许多客户在安全插件上吝啬,但在遭到黑客攻击后却面临毁灭性的损失。 一位客户放弃了一点,决定从头开始重建他的网站。 恶意软件很昂贵,而 MalCare 则不然。

这篇文章是否帮助您做出决定? 我们很想知道! 请给我们写信。