• 主页
  • 文章
  • 指导
  • iThemes Security vs Wordfence:您应该选择哪个安全插件?

iThemes Security vs Wordfence:您应该选择哪个安全插件?

已发表: 2022-04-22

iThemes Security 对于无限网站来说看起来很划算,只需 199 美元,而且由于其无与伦比的价格,它一直是 WordPress 安全插件竞赛中的有力竞争者。

在另一个角落,我们有 Wordfence,这个类别中无可争议的重量级人物。 Wordfence 以功能丰富的免费插件及其安全研究和资源而闻名。 对于高级版,每个网站每年至少要花 99 美元; 这仍然是一笔不错的交易。

即使在这个阶段,两者之间也没有真正的可比性。 但是,我们确实通过了一系列测试。

在本系列中,前 5 个安全插件与恶意软件、攻击和漏洞进行了角斗士式的战斗。 哪一个出现了赢家? 请仔细阅读,找出答案。

VERDICT iThemes Security 与 Wordfence是一场不平等的竞争。 Wordfence 的免费插件比 iThemes Security 的高级插件好几个数量级。 Wordfence 有其缺点,但至少它在一定程度上保护了网站。 iThemes,没那么多。

我们的选择

在本系列中,我们想测试顶级 WordPress 安全插件,以找出哪个真正有效。 为此,我们创建了 3 个网站:一个是一个简单的博客,带有一些插件和主题,作为控件。 第二个网站有 3 个带有漏洞的过时插件。 我们选择了从流行到晦涩的插件,并且有一系列漏洞。 最后,我们有一个充满恶意软件的网站。

3 个网站,5 个插件,45 天。 我们测试了插件扫描器、清洁器、防火墙、机器人保护、防火墙、活动日志等等。 我们考虑了新恶意软件、旧恶意软件、基于文件的恶意软件、数据库恶意软件、重定向黑客、制药黑客、SQL 注入、暴力攻击等等。

结果很明确:只有 MalCare 能够扫描、清理和保护测试网站。 如果您希望通过 WordPress 安全性让您高枕无忧,MalCare 是您的不二之选。

iThemes Security 与 Wordfence 比较总结

iThemes Security vs Wordfence 很简单:Wordfence 一路走来。

让我们将 WordPress 安全视为两个极端之间的频谱:一方面没有保护和错误的安全感,另一方面是误报和可怕的警告。 iThemes Security 给你一种虚假的安全感,而 Wordfence 是让你处于近乎持续恐惧状态的一种。

iThemes Security 与 Wordfence 比较

我们深思熟虑后认为,两者都不是好的选择。 但是,Wordfence 有一个出色的免费版本,可以在很大程度上保护您的网站,而即使 iThemes Security 的高级版本也无法保护您的网站。 我们的建议是避免两个极端,并选择一个好的安全插件。

简而言之,iThemes 安全性

iThemes Security 是迄今为止我们见过的最差的 WordPress 安全插件。 它有一些很好的功能,比如双重身份验证和强大的密码支持,但仅此而已。 没有恶意软件扫描程序,它无法清除恶意软件,也没有必要讨论防火墙。 事实上,如果您现在使用 iThemes,请立即扫描您的网站。

有趣的事实:iThemes 是我们测试的第一个安全插件。 该网站和整个设置过程给我们的印象是,是的,这些人知道 WordPress 的安全性。 不幸的是,这些技术似乎都没有成为实际的插件。

主题网站功能

iThemes Security 实际上是一个恶意软件扫描程序,因为没有清除恶意软件的机制。 该网站也没有说有防火墙。 这不是很好,因为扫描是 WordPress 安全性的支柱之一,但不是唯一的。 但是,如果您首先拥有一台不错的扫描仪,则可以将各种插件组合在一起以提供该功能。

啊,但这就是问题所在。 iThemes 不是恶意软件扫描程序。 它不是漏洞扫描程序。 它会扫描您网站的 Google 黑名单。 您知道,您可以从“透明度报告”页面执行相同的操作,而无需安装插件。 最大的收获是扫描持续了几秒钟。 扫描仪不可能在几秒钟内浏览所有网站文件和文件夹。

登录页面的暴力保护不完整且不一致,活动日志毫无用处。 稍后再谈。

从好的方面来说,iThemes Security 具有出色的双重身份验证功能。 我们还喜欢在 wp-login 上实施 reCAPTCHA 是多么容易。 最后,用户密码管理设置非常精细和详细。 此外,还有一些不错的 WordPress 强化功能,例如阻止在文件夹中执行 PHP。

总体而言,测试 iThemes Security 是一种启发性的体验。 我们非常重视安全性,看到巧妙的措辞和误导性的功能集如何欺骗管理员认为他们的网站受到保护,我们感到震惊。 事实上,我们强烈建议任何 iThemes 用户重新考虑他们的安全性并立即扫描他们的网站。

Wordfence 简而言之

Wordfence 是我们在 MalCare 之后遇到的最好的免费安全插件。 我们强烈推荐它用于安全预算绝对为零的网站。 防火墙阻止了大多数攻击,扫描程序检测到大多数基于文件的恶意软件,恶意软件修复功能将帮助您摆脱大部分攻击。 不利的一面是会有大量误报,一些错过的恶意软件,并且紧急黑客清理服务过于昂贵。

我们很高兴试用 Wordfence,因为它是使用最广泛的安全插件。 在经历了一些可怕的经历(阅读:iThemes)之后,很高兴看到该插件如何处理 WordPress 安全性。

Wordfence 安全插件

我们将在后面的部分中更详细地介绍,但这里首先要讨论安全性的主要方面。

Wordfence 有一个不错的扫描器,它可以收集我们在免费插件和主题中拥有的所有基于文件的恶意软件。 但是,关于它的有效性有一些重要的警告。 扫描程序无法检测基于数据库的恶意软件,也无法检测高级插件和主题中的恶意软件。 此外,在我们的网站上运行扫描也造成了明显的损失。

接下来,我们尝试了恶意软件的自动修复。 令我们高兴的是,它几乎立即修复了网站上所有基于文件的恶意软件; 不是基于数据库的恶意软件。 想一想,这对于清洁工来说并不是很好的表现,但它显然比这个测试系列中的其他产品要好,我们真的很高兴看到不同之处。

防火墙非常有效,阻止了困扰网站的大多数主要和常见的 WordPress 攻击。 我们在这里遇到的一个问题是防火墙会为我们生成大量警报。 我们真的需要知道来自德国的某人在过去 5 分钟内通过 20 条单独的通知尝试入侵我们的网站 20 次吗? 不,我们没有。 几天之内,我们的收件箱就被 Wordfence 警报淹没了,不可能从谷壳中分拣出小麦。 此外,免费用户比高级用户更晚获得防火墙更新,因此黑客有机会闯入未受保护的网站。

其他方面也有相当多的安全功能。 Wordfence 运行精益船舶,所有其他功能,例如在检测到漏洞时更新插件,都留给 wp-admin。 有道理,因为为什么要在同一个仪表板上复制它? 它具有很好的蛮力保护,并且两因素身份验证非常强大。

我们也很喜欢这个插件的巨大可用性。 语言平易近人,直截了当,没有使用过多的行话。 为高级用户准备的更高级功能也隐藏在设置中。

然而,我们惊讶地注意到没有活动日志,除非是为 Wordfence 开发人员准备的最不可读的列表。 此外,该网站根本没有机器人保护。 最后,对于这个插件来说,最可恶的是,它需要大量的服务器资源才能运行。 以至于网络主机已经完全禁止使用 Wordfence。

总而言之,Wordfence 是一款出色的安全插件,但不是最适合您网站的插件。 MalCare 是一款出色的扫描仪、有效的恶意软件清理和具有实时更新的高级防火墙。

在安全插件中寻找什么

WordPress 安全性可能是一个令人困惑的野兽,尤其是在处理大量在线可用的错误信息时。 有一件事是肯定的,黑客可能会花费您的收入、业务、诉讼、自付费用、品牌推广、自然流量等等。 正确的安全插件将抵消所有这些,除了节省您投资其他业务领域的时间和金钱。

我们经常遇到这样的问题:如何为您的 WordPress 网站选择合适的安全插件?

答案通常是功能清单。 有些是至关重要的,有些则不是那么重要。 但是每个插件都想向您推销其 100 多个功能,其中大多数功能对您的网站安全几乎没有影响。 但是这个列表会混淆这个问题,足以让 WordPress 安全再次令人头疼。

因此,我们编制了这个重要且简短的安全功能列表。 您应该寻找一个安全插件,该插件几乎可以勾选此列表中的所有内容,并为它没有的功能获取其他解决方案。

  • 基本安全功能
    • 恶意软件扫描
    • 恶意软件清理
    • 防火墙
  • 值得拥有的安全功能
    • 漏洞检测
    • 暴力登录保护
    • 活动日志
    • 两因素身份验证
  • 潜在问题
    • 对服务器资源的影响

唯一接近所有盒子的插件是 MalCare。 通过选择 MalCare,您可以确保您的网站从黑客及其恶意软件那里获得最佳的安全性。

iThemes Security vs Wordfence:功能的头对头比较

在本节中,我们详细介绍了我们的发现,以防您有兴趣阅读有关特定功能的更多信息。 经过 45 天的测试,我们获得了大量信息和大量发现。 为了您的阅读乐趣,所有内容都封装在这里。

这些功能从最重要到最不重要排序,我们根据每个因素评估这两个插件。 我们的目标是尽可能公平地展示我们发现的所有内容,因此我们在任何地方都没有退缩。

但是,如果您只想了解此练习的关键,请安装 MalCare,您就不必听说我们发现的一些恐怖事件。

恶意软件扫描

Wordfence 的扫描仪在我们的测试网站上检测到基于文件的恶意软件,但在我们的数据库中没有检测到恶意软件。 它还错过了高级插件和主题中的恶意软件。 iThemes Security 一开始并没有扫描我们的网站,所以它显然不会发现任何恶意软件。

安装 Wordfence 后,它会自动设置第一次扫描。 到目前为止,太棒了。 离开扫描仪完成,并探索了几个小时的其他功能。 只是看到它仍然停留在60%。 考虑到网站很小,有什么好处?

原来,60% 不是一个进度条,而是一个百分比,表示免费扫描仪的功效。 要获得完整的 100%,您需要升级到插件的专业版。 很公平,但它在仪表板上的显示方式非常混乱。

Wordfence 恶意软件扫描状态

我们重新开始扫描,很高兴看到它很快就完成了。 扫描程序标记了大部分恶意软件,尽管不是全部。 它很容易检测到的恶意软件位于核心 WordPress 文件中,以及免费插件和主题的文件和文件夹中。 它错过了数据库中被黑客入侵的重定向恶意软件,以及高级插件和主题中的任何文件。

我们向 Wordfence 投放了大量基于文件的恶意软件,它几乎检测到了所有恶意软件。 它具有用于签名匹配算法的广泛恶意软件数据库,因此我们预计它将检测到大约 70% 到 80% 的恶意软件。 这不如 MalCare 的 95%,但它比所有其他安全插件要好得多。 毕竟,检测是成功的一半。

Wordfence 恶意软件扫描仪表板

我们对 Wordfence 的警告是有大量的警报和大量的误报。 这两个因素都可能导致警报随着时间的推移失去影响,然后真正的危险可能会在不加注意的情况下溜走。 此外,扫描需要大量的服务器资源来执行。 我们将在后面的部分中对此进行更多讨论。

iThemes 扫描仪根本不扫描恶意软件。 它会检查您的网站是否在黑名单上,而这也只是一个黑名单。 Sucuri 也有这项检查,但他们有礼貌,首先,不将其标记为扫描仪,其次,检查的不仅仅是谷歌的黑名单。 我们的测试站点显然不在黑名单上,因为它们没有被索引。 那么,当 iThemes 的恶意软件扫描报告为我们提供了一个充满恶意软件的网站的干净提示时呢? 没有留下深刻印象。

主题扫描仪

恶意软件清理

iThemes Security 没有自动或其他方式清除恶意软件。 Wordfence 可以修复恶意软件文件,但效果取决于检测到的恶意软件。 Wordfence 提供高级恶意软件清除服务,每个站点的收费高达 490 美元。

完成扫描后,Wordfence 列出了 2 个处理被黑文件的选项——除了 CTA 以获得专业帮助:删除所有可删除文件并修复所有可修复文件。

在显示有关删除文件如何破坏您的网站的可怕消息后,删除选项成功删除了 1 个文件而没有错误。 这是真的,但恶意软件也很可怕! 无论如何,这个选项有点像一个潮湿的爆管,所以转而使用维修选项。 修复选项有类似的警告,但我们通电并且能够修复大部分文件。 当我们通过 MalCare 的扫描程序运行该站点时,该站点没有恶意软件。

在 Wordfence 中删除文件通知

大多数其他安全插件在这个时候都失败了,所以我们不需要进一步测试。 我们得到了我们的结果。 但是,Wordfence 的恶意软件特征库是全面的,所以我们拓宽了网络。

我们将被黑的重定向恶意软件添加到我们的网站数据库中,并添加了一些日语关键字 hack 的实例。 我们还在我们的高级插件和主题中隐藏了大量恶意软件,怀疑这些东西会绊倒扫描仪和清洁器。 他们做到了。

得出的结论是,如果 Wordfence 团队已经看到了恶意软件,那么修复文件就可以了。 否则不会。 当数据库中存在恶意软件时,Wordfence 也会失败。 因此,像重定向黑客这样的恶意软件,甚至只是更新的恶意软件,肯定会被遗漏。 它还会错过非核心 WordPress 文件或非公共插件和主题中的恶意软件。 Wordfence 无法在高级插件和主题中找到恶意软件。

如果自动修复不起作用,您可以选择 Wordfence 的恶意软件清除服务。 该服务会删除恶意软件、后门,并评估网站的漏洞。 Wordfence 还有助于将恶意软件猖獗的网站从它可能登陆的任何黑名单中删除。 网站清理保证一年,前提是网站管理员严格遵守黑客攻击后的说明。 我们无法评论恶意软件清除服务的有效性,因为我们没有尝试过。

正如我们之前所说,iThemes Security 无法清除恶意软件,因此在这方面无需多说。

根据我们的经验,恶意软件清理是 WordPress 安全性最关键的方面。 它绝对应该只由安全专家来完成,因为事情很可能会出现可怕的错误。 MalCare 让您可以选择自动清除恶意软件,并访问安全专家来帮助解决可能出现的任何问题。

防火墙

iThemes Security 没有防火墙。 Wordfence 有一个 Web 应用程序防火墙,可以有效地抵御大多数主要和常见的威胁。 但是免费版比高级版更新更晚。

WordPress 防火墙是您的安全武器库的重要组成部分,因为它通过使用规则来阻止攻击和恶意流量。 在我们审查的大多数安全插件中,我们避免解释更多的技术细节,因为没有任何意义,因为防火墙要么很糟糕,要么根本不存在。 但是有了 Wordfence,事情就变得有点复杂了。

当我们安装 Wordfence 时,防火墙直接进入了学习模式。 这是必需的步骤,以便防火墙可以了解站点的正常流量,从而更有效地阻止威胁。 由于我们的网站没有任何流量,因此我们立即关闭了学习模式,但建议您至少保持一周。

Wordfence防火墙学习模式

有一个单独的部分来管理 Wordfence 防火墙,因此我们接下来进行了探讨。 当您第一次看到它时,它会解释什么是防火墙以及它如何保护您的网站。 它还在此处介绍了术语“Web 应用程序防火墙”并进行了简短描述。

在测试了免费和高级防火墙之后,很明显 Wordfence 在两个版本中都有出色的防火墙。 他们都阻止了一系列 SQL 注入攻击、跨站点请求伪造、远程代码注入和跨站点脚本攻击。 我们无法利用插件和主题漏洞。

那时我们认为我们应该深入挖掘:免费版和高级版之间有什么区别?

在防火墙选项中,Wordfence 解释了不同之处:免费版本作为常规插件加载,在 WordPress 加载之后。 此外,高级版会接收实时规则更新,而免费版会在未指定的时间长度后接收更新。

这两件事都让我们停下来。

首先,应首先加载防火墙以获得最佳保护,但是大多数带有防火墙的安全插件通常像常规插件一样在 WordPress 之后加载。 如果是这种情况,Wordfence 防火墙可以阻止大部分恶意流量,但肯定不是全部。

其次,Wordfence 拥有最新的防火墙,但非高级用户稍后会获得更新。 即使那个窗口也是有问题的,因为黑客可以在此期间进行攻击。 免费防火墙何时获得规则更新:几天、几周或几个月后? 谁知道。

不出所料,iThemes 没有防火墙。

漏洞检测

iThemes Security 无法检测漏洞,更不用说帮助解决它们了。 Wordfence 发现了我们塞进网站的所有漏洞,无论它们是流行的还是晦涩的。

Wordfence 将所有已发现漏洞的过时插件正确标记为严重威胁。 我们在列表中还包括了一些不起眼的插件,其中一些用户不到 200 人。 其他插件无法识别这些漏洞,所以看到 Wordfence 做到了令人耳目一新。 扫描程序甚至将过时的插件标记为中等威胁,这非常好,因为保持一切更新总是好的。

wordfence漏洞检测

您无法直接从 Wordfence 仪表板修复漏洞。 大多数其他插件,如 Jetpack 和 Sucuri,推荐更新并允许您从同一个面板执行这些更新。 但是环顾 Wordfence,没有办法做到这一点。 不过,它确实会将您带到更新仪表板,这已经足够了。 复制 wp-admin 上已经存在的现有功能没有合乎逻辑的理由。

有趣的是,扫描仪还向我们显示了我们在其中一个测试站点上安装的 iThemes 和 BackupBuddy 插件的错误。 插件中似乎存在编码异常。

我们曾希望 iThemes 扫描程序至少检查漏洞,考虑到它作为恶意软件扫描程序的惨败。 是的,没有。

最重要的是,iThemes 仪表板有一个计数器,指示自安装插件以来已进行了多少更新。 我们认为这个指标的糟糕借口应该有助于跟踪插件和主题更新。 不过确实不是。

暴力登录保护

iThemes 有时会阻止蛮力攻击,有时则不会。 Wordfence 准确无误地阻止所有暴力攻击。

使用 iThemes,我们看到了不一致的蛮力块。 当我们尝试在登录页面上输入一系列错误的凭据时,iThemes 仅阻止了一个站点上的尝试,而不阻止另一个站点上的尝试。 两个站点之间的唯一区别是第一个站点有恶意软件,而第二个站点没有。 恶意软件通常是成功登录攻击的结果,因此这种差异不太可能是原因。 经过几个小时反复尝试测试,结果尚无定论。 我们最终放弃了试图找出似乎是一个错误的尝试。

在这个非常沮丧的练习之后,我们检查了 iThemes 日志。 每次不正确的登录尝试都被记录为暴力攻击,即使我们真的忘记了密码也是如此。 然而,该插件并没有阻止所有这些。 非常奇怪,因此不可靠。

使用 Wordfence,我们首先查看了设置。 默认情况下启用蛮力保护,您可以进入防火墙部分自定义选项。

您可以为不正确的登录尝试设置锁定,甚至在一定次数的不正确登录尝试后用户将经历多长时间的锁定。 特别棒的是,他们在出色的文档中解释了每个选项的作用,以及如何最有效地使用它来保护网站。

您可以为不被防火墙测试的 IP 设置允许列表。 我们已经在很多插件中看到了这个功能,但是随着设备 IP 的变化,它没有多大意义。

强密码选项也在这里。 您可以强制使用强密码,防止使用在数据泄露中发现的密码等等。

wordfence蛮力保护

最后,我们开始测试,蛮力保护完全按照我们选择的设置工作。 每次都很完美。

您对本网站的访问暂时受到限制

活动日志

iThemes 活动日志不会记录所有事件,因此它是无用的。 Wordfence 根本没有活动日志。

我们是谦虚活动日志的大力倡导者。 它是一种必要的安全工具,因为黑客会利用日志记录不足来攻击站点。 理想情况下,您需要一个可靠的日志,其中包含有关您网站运行情况的正确信息。

所以不像 iThemes 那样。 iThemes 活动日志承诺提供优质信息,例如用户活动、版本管理、站点扫描和暴力攻击。 但这些都没有准确记录,因此不能相信呈现正确的图片。 除此之外,没有插件或主题。

主题日志

令人惊讶的是,Wordfence 没有活动日志。 有一个选项可以从工具下的诊断部分启用调试,这允许防火墙日志更加详细。 仅在“扫描”部分中有 Wordfence 事件的完整活动日志,但这与活动日志不同。 此外,它是专供 Wordfence 开发人员使用的原始日志。 通过启用调试模式,您还将消耗更多的服务器资源。 在那一节里说得很清楚。

wordfence活动日志

两因素身份验证

iThemes 具有出色的双重身份验证,开箱即可无缝运行。 与 Wordfence 相同。

双因素身份验证在两个插件上都能完美运行。 两者都有很多选项和最少的设置。 使用 Wordfence,双因素身份验证曾经是一项高级功能,现在他们也为免费用户启用了这项功能。

wordfence 两因素身份验证
文字围栏
主题 2fa
主题

我们对 iThemes 专业版只有一点点观察。 专业版中有许多删除登录令牌的设置:无密码登录、受信任的设备、魔术链接等。 在我们看来,他们通过简化登录过程直接反对双因素身份验证的原则。

服务器资源使用

iThemes 对您的服务器资源非常友好,因为它根本不做任何事情。 Wordfence 实际上被某些网络主机禁止,因为它对服务器资源的巨大成本。

我们很高兴能够让 Wordfence 完成它的步伐。 然而,当我们检查网站的性能时,真正的惊喜来了。 随着 Wordfence 扫描的发生,我们网站的磁盘使用量增加了一倍,在某些情况下增加了三倍。 我们承认我们的测试站点非常小,因此它们一开始不会消耗太多资源,但这仍然是一个重大的飞跃。 在较大的网站上,惩罚将是相当可观的。

事实上,对默认设置的任何更改都会附带一个警告,即会消耗更多的服务器资源。 然后可以安全地假设 Wordfence 使用站点服务器资源来执行其所有任务。

wordfence服务器资源消耗图

这已经够糟糕了,但使用防火墙会变得更糟。 任何持续的攻击都会使网站不堪重负,即使网站受到了这些攻击的保护。

服务器资源使用很少成为网站安全的话题,但安全插件通常会对网站性能造成显着影响。 以至于管理员不得不在安全性和可用性之间做出权衡。 我们认为这不应该是这种情况,您可以通过 MalCare 吃蛋糕和吃蛋糕。

iThemes 非常适合您的服务器资源。 不能对您的网站安全说同样的话。

警报

iThemes 不会向您发送任何警报。 Wordfence 发送太多。

警报需要在没有警报和太多警报之间找到最佳位置。 两者都是同样糟糕的极端,因为最终结果是您不知道您网站的实际安全性是什么。

Wordfence 的扫描仪会产生很多误报,所以你真的不知道你的网站什么时候真的被黑了。 过了一点,就可以变成那个叫狼来了的男孩。 与防火墙相同。 防火墙应该只是阻止攻击而不每次都发出警报,因为它没有任何目的。 因此,我们认为 Wordfence 生成的警报太多,根本没有用处。

iThemes 会发送一堆完全平庸、无用的电子邮件:文件更改通知报告、数据库备份和其他对我们设置的确认。 还有关于我们网站的每日安全摘要和每周漏洞报告。 我们认为这是据我们所知,因此我们可以手动更新我们的一个或多个网站上的违规插件和主题。

主题安全摘要

安装、配置和可用性

Wordfence 的安装就像一个魅力。 没有复杂的设置和晦涩的配置。 另一方面,iThemes 真的很难。

iThemes 看似容易上手,然后慢慢演变成许多无用的设置。 在创建仪表板之前,需要进行冗长的配置。 老实说,我们应该已经阅读了这些迹象,并将其视为失败的原因。 但我们是为了更大的利益而惩罚这种权力的贪食者。

主题设置

Wordfence 安装非常简单,并且没有预先的配置选项。 弹出的第一个屏幕是电子邮件订阅,它清楚地表明您在收件箱中收到了安全新闻。 下一个屏幕是升级到高级版的提示。 在这一点上,我们不知道免费插件有什么功能,所以我们没有立即提供我们的高级许可证。

当您第一次访问 wp-admin 上的仪表板时,有一个 3 工具提示演练。 Wordfence 的可用性和语言非常棒。 对这些功能以及它们如何影响安全性给出了明确的解释。 它不是压倒性的,也不是愚蠢的东西。

仪表板设计非常直观,您可以一目了然地看到与您的网站相关的所有重要安全方面。 总的来说,我们对 Wordfence 的第一印象非常棒。

此外,Wordfence 为您提供有用的配置建议。 您可以从仪表板上的工具提示中访问的文档是高度上下文相关的。 它清楚地列出了每个功能的作用和原因,以及如何对其进行最佳设置以在您的网站上运行。 同样,值得注意的是所使用的语言是如何平易近人的。

iThemes:额外内容

在审查了安全的关键方面并发现 iThemes 严重缺乏之后,这部分似乎几乎是可笑的。

iThemes 为插件填充了大量功能,这些功能对安全性几乎没有影响。 恰当的例子:白名单 IP 功能。 我们的设备 IP 一直在变化,所以这并不能保证某些人会被允许访问该站点,这大概就是重点。

还有一个文件更改监视器,它每 24 小时向您的电子邮件地址发送一份报告。 该报告包含所有已更改文件的列表。 不是改变是什么,是谁做的,或者是什么时候发生的。 不,只是一封电子邮件说:“你好! 您网站上的所有这些现在都与昨天不同了。 再见!”

主题文件更改

一旦我们克服了烦恼,我们想承认 iThemes 有一个很好的密码管理系统。 您可以强制使用强密码,并拒绝在网站上使用已泄露的密码。 我们无法对此进行最终测试,但结果还是参差不齐。

主题用户安全配置文件

有一个有用的强化功能:在上传文件夹中阻止 PHP 执行。 其他都是废话。

Wordfence:附加功能

Wordfence 附加功能都严格与安全相关。 没有相邻的有用功能,例如更新或用户管理选项。 话虽如此,还有很多额外的东西。

初始安装后,我们看到了站点更新的通知部分。 在我们的测试站点上,它告诉我们需要更新 5 个插件。

Wordfence Central 状态允许您从每个站点的 wp-admin 管理多个站点。 如果您在同一个帐户上有几个站点,这是有道理的,但空间有限,不适用于拥有数百个站点的代理机构。 好东西有一个外部仪表板。 您必须在 Wordfence 网站上创建一个帐户才能访问 Wordfence Central。 我们认为,在站点仪表板上设置中心框没有意义。

我们将所有测试站点添加到 Wordfence Central,并对所有测试站点进行了鸟瞰。 对于超过 20 个站点来说,它并不是最好的布局。 想法很好,执行力不足。

wordfence中央

接下来我们检查了工具部分。 有一个实时流量面板,乍一看,它似乎是谷歌分析的一个版本,但事实证明不止于此。 您可以将流量日志设置为包括所有流量或仅包括与安全相关的流量。 日志很棒,因为有一个清晰的图例表明网站正在获得什么样的流量:人工、机器人、警告、被阻止。

wordfence中的实时流量

还有一个 Whois 查询,以防您想查看谁在攻击您的网站。 这充其量只是一个装饰,因为此功能也很容易在线获得。

诊断是一个有趣的功能。 它包含有关网站的大量信息,从流程所有者到数据库表等等。 它就像一个地方的网站规范,以及每件事的状态。 很难想象普通用户(非开发人员)会如何使用这些信息,但对开发人员来说绝对有用。

wordfence中的诊断

iThemes Security 和 Wordfence 缺少什么

iThemes 缺少扫描仪、清洁器和防火墙。 此外,如果它具有功能强大的暴力保护和活动日志,并且偶尔检测到漏洞,那就太好了。 一个人可以希望。

Wordfence doesn't have bot protection nor an activity log. Other than that, it is a comprehensive and well-rounded security plugin.

Wordfence vs iThemes Security: Pricing

It is not worth buying iThemes Security, because its only worthwhile feature is two-factor authentication, which is available for free. Wordfence premium is available for $99 for the year, but the free version is strong enough on its own.

Wordfence's free plugin is really great, considering it is free. The premium licenses are at a max of $99 per site, and get progressively lower with the more licenses you purchase.

wordfence premium license details

The real kicker is the site cleaning service which is a hefty $490 per site, and although they say unlimited pages in the features, additional charges may apply for sites above 10 GB—which, fair enough. They do have a malware removal guarantee for 1 year, but there are caveats in the small print. So read those carefully.

After reading this article, you know that iThemes isn't worth your money. Use it for two-factor authentication or get a dedicated plugin for that feature.

iThemes pricing

Better alternative to iThemes Security and Wordfence: MalCare

The best thing you can do for your website is to invest in a good security plugin. The plugin should scan, clean and protect your website from all manner of threats. During our testing series, only one plugin stood out: MalCare. It outshines iThemes in every way, and has a much better scanning, auto-cleaning, firewall, and notifications compared to Wordfence. 这很简单。

MalCare's $99 Basic plan includes unlimited cleanups, which is equivalent to Wordfence's $99 plan and $490 per cleanup needed thereafter.

结论

We hope this article helped you decide on a way forward for your website security. If you have any questions or thoughts, do drop us a line. 我们很想听到您的声音!