Sucuri vs Wordfence:哪个安全插件最适合您的 WordPress 网站
已发表: 2022-04-22Wordfence 和 Sucuri 都是 WordPress 安全插件的重量级冠军。 在任何对话中,它们不可避免地会出现,人们对于哪个是最好的安全插件存在分歧。
Sucuri 有一个流行的在线扫描仪,网站管理员广泛使用它来检测恶意软件。 他们的插件也有服务器端扫描器、防火墙和许多其他安全功能。 Sucuri 通过他们的任何计划提供无限制的恶意软件清除。
Wordfence 是 WordPress 安全插件无可争议的领导者。 该团队用大量教育内容补充了他们的安全插件,帮助管理员了解如何保护他们的网站免受黑客攻击。 该插件具有扫描仪和防火墙,并且还可以删除一些恶意软件。 他们也有恶意软件清除服务,但这是一项按需付费功能。
为了回答在 Sucuri 与 Wordfence 之战中哪个更好,我们对这两个插件进行了广泛的测试。 正如您将在本文的其余部分中看到的那样,这些测试旨在使插件跳闸,以便您可以为网站的安全性做出最佳决策。
5 个安全插件、3 个网站、45 天和大量恶意软件。 结果是决定性的。
VERDICT Sucuri vs Wordfence不是一个简单的问题。 两者都有恶意软件扫描程序和防火墙。 Wordfence 有一个自动清理器和一个昂贵的恶意软件清除服务,而 Sucuri 的计划只是无限清理。 在权衡了所有因素之后,Wordfence 肯定是赢家。 请继续阅读以了解更多信息。
我们的选择
对于这个系列,我们开发了 3 个测试网站:首先,一个简单的博客,有很多图片和评论作为控件; 第二,一个有很多易受攻击的插件和不同程度的模糊主题的网站; 最后,一个网站加载了不同类型的恶意软件。
一个有效插件的标准是多方面的,但我们想归零一个简单的问题:该插件是否能很好地保护您的网站免受黑客和恶意软件的侵害?
45 天后,我们得到了答案。 对于 5 个插件中的 4 个,答案是否定的。 1 个插件在所有方面都获胜。 该插件是 MalCare。
MalCare 拥有我们见过的最好的恶意软件扫描程序,可以从文件、数据库和文件夹中检测恶意软件,无论它隐藏得多么好。 它有一个真正有效的自动清洁器,只清洁具有外科手术精度的恶意软件。 最后,一个高级防火墙可以阻止可以利用您的网站的威胁。
最适合您的 WordPress 网站的安全插件无疑是 MalCare。
Sucuri vs Wordfence比较总结
在这场激烈的战斗中,Wordfence 是赢家。 不过,我们不得不承认这是一个很接近的决定,因为 Sucuri 也有它的观点。
我们可以看到为什么人们如此着迷于哪个更好,因为 Wordfence 的缺陷是 Sucuri 的强项,反之亦然。 因此,根据个人的个人经验,他们会提倡解决他们特定问题的插件。
但正因为如此,对于所有 WordPress 网站来说,哪一个整体上更好,并没有客观的答案。 答案是否定的。 您不必在安全性的一个方面或另一个方面妥协。 通过获取 MalCare 来获得这一切。
Wordfence 简而言之
Wordfence 是继 MalCare 之后 WordPress 网站的最佳安全插件。 免费版本功能强大,具有强大的安全功能。 扫描程序检测到大多数基于文件的恶意软件,并且能够清除它检测到的大部分内容。 防火墙是最新的防火墙之一,可以阻止多种威胁。 缺点是网站性能受到 Wordfence 的巨大打击,而且他们的恶意软件清理服务很昂贵。
Wordfence 的扫描器能够检测到我们插入到免费插件和主题中的所有基于文件的恶意软件。 如果这听起来很奇怪,那是因为它是。 它无法检测到数据库中的恶意软件,也无法检测到插入高级插件和主题的恶意软件。 这是因为 Wordfence 使用的文件匹配检测机制严重依赖于公开可用的代码。
扫描结果标记了恶意软件以及已安装主题和插件中的漏洞。 有趣的是,Wordfence 还将我们的一些高级插件标记为恶意软件或错误。 这些都是误报,我们能够看到,因为我们习惯于在 WordPress 代码中挖掘。 但是一些网站管理员可能最终会因此而删除完全可行的插件。
此外,还有一个选项可以在显示扫描结果后自动修复恶意软件缠身的文件。 我们试过了,它奏效了。 所有检测到的恶意软件都已从网站上删除。 当然,它无法修复一开始就无法检测到的恶意软件。
接下来,我们尝试了防火墙。 它很有效,阻止了我们对它的许多威胁。 但每次防火墙阻止威胁时,我们都会收到警报。 在我们的测试过程中有很多警报,我们只能想象在现场会发生什么。 管理员肯定会不知所措并错过关键警报。
除了这三个主要标准之外,Wordfence 上还有许多其他选项。 蛮力保护非常好,两因素身份验证就像一个魅力。
真正让这个插件提升了几个档次的是它非常棒的可用性。 Wordfence 是一个复杂的安全插件,但对于新手来说也很容易上手。 仪表板的布局方式、提示和随附的文档,任何人都可以配置安全插件,而不会意外地使他们的网站无法使用。 在我们看来,这是一个巨大的优势,尤其是与 Sucuri 对比时,您将在后面看到。
Wordfence 令人惊讶地没有活动日志,我们认为这很奇怪。 但真正令人沮丧的是它是一个资源汇。 我们在网站上运行的每次扫描都会导致磁盘使用量激增,网站性能下降。 正是出于这个原因,许多网络主机都禁止了 Wordfence。
总而言之,Wordfence 是一款出色的安全插件,但存在严重缺陷。 MalCare 具有所有优点,而且没有任何缺陷,但它是正确的选择。
简而言之,苏库里
Sucuri 有一个很好的防火墙,他们的恶意软件清除服务很棒。 但是恶意软件扫描程序未能检测到任何恶意软件,即使他们的团队后来将其删除。 没有正常运行的恶意软件扫描程序的安全插件是无效的。
Sucuri 是唯一有机会与 MalCare 和 Wordfence 一起考虑的其他插件,因为它有时至少可以用作安全插件。 Jetpack 和 iThemes 被注销。
它可以说是最流行的安全插件之一,但它仍然在一个基本领域失败:恶意软件扫描。 正如我们稍后将看到的,他们的恶意软件清除服务是一流的。 他们高效而迅速,在我们预期之前就回复了我们,并在清理网站方面做得很好。 但是,如果它不是我们创建并塞满恶意软件的测试网站,我们一开始就不会知道它被感染了,因为扫描程序为我们提供了一个干净的黑客攻击。 所以,实际上,苏库里是本末倒置的经典案例。 您必须知道该站点已被黑客入侵才能对其进行清理,但无法知道该站点是否已被 Sucuri 的扫描仪入侵。
继续前进,防火墙表现良好。 它可以轻松、一致地抵御 SQL 注入和远程代码执行攻击等攻击。 但这是一场噩梦。 因为我们使用的是测试站点,所以将名称服务器更改为指向 Sucuri 的防火墙 IP 而不是我们的测试站点时会遇到很多麻烦。 如果最后一句话没有任何意义,没关系。 我们也花了很长时间来配置它。 公平地说,您不会在实时站点上遇到这样的困难,但是如果您想将其配置到临时站点或本地站点? 期待问题。
当我们查看其他配置选项时,我们已经对防火墙感到沮丧。 为什么一切都这么复杂? 语言令人困惑,在某些情况下,完全居高临下。 那是在我们意识到每次安全扫描都会减慢我们的测试网站之前。 当我们检查服务器磁盘使用情况时,出现了惊人的激增。
Sucuri 使用站点资源来扫描恶意软件——请记住,这是一个不起作用的扫描程序。 所以它没有做它应该做的事情,并且仍然会破坏网站的性能。 Sucuri 看起来不是很好。
哪个安全插件值得您花钱?
WordPress 安全建议数量众多且出于善意,但通常是不好的建议。 我们看到人们提倡 iThemes——我们见过的最糟糕的安全插件之一——因为他们的网站从未被黑客入侵,完全不考虑他们定期更新插件、使用良好密码、不使用无效软件以及拥有一大堆运气。 如果 GoDaddy 可能存在数据泄露,那么您的网站也可能存在。
问题的关键是如何选择一个好的安全插件。 我们编制了一份基本清单,删除了与安全无关的内容。
- 基本安全功能
- 恶意软件扫描
- 恶意软件清理
- 防火墙
- 值得拥有的安全功能
- 漏洞检测
- 暴力登录保护
- 活动日志
- 两因素身份验证
- 潜在问题
- 对服务器资源的影响
如您所见,您只需要担心 3 个基本功能。 一个安全插件应该擅长这三件事:恶意软件扫描、恶意软件清理和防火墙。 其他的都是肉汁。 我们不会放弃暴力保护或两因素身份验证,因为这些也很重要。 但是您可以为该功能获取其他插件。
MalCare 是唯一具有强大恶意软件扫描和清理功能的安全插件,以及可抵御威胁的高级防火墙。 每个其他插件都在一个地方或另一个地方失败。
Sucuri vs Wordfence:功能的头对头比较
选择正确的安全插件可能是一种令人困惑的体验,尤其是当您必须测试每个插件的功效时,希望它一直有效。
在本节中,我们展示了按功能组织的测试结果。 比较和对比插件之间的相同功能可以更清楚地了解安全插件的有效性。
我们尽可能公平和透明地阐明了我们的结果,以帮助人们为他们的网站做出更好的选择。 但是,如果您想快速保护您的网站,请安装 MalCare 并跳到最后。
恶意软件扫描
Sucuri 有 2 个扫描仪:一个称为 SiteCheck 的在线扫描仪,以及一个作为插件一部分的服务器级扫描仪。 两者都没有检测到恶意软件。 Wordfence 有一个不错的恶意软件扫描程序,可以检测核心文件和文件夹中的恶意脚本,以及免费插件和主题中的恶意脚本。 否则,它会错过数据库中的恶意软件以及高级插件和主题。
我们经常推荐 Sucuri SiteCheck 作为恶意软件的一级诊断工具,以防有人怀疑他们的 WordPress 已被黑客入侵。 它无法扫描整个网站,但它可以快速识别常见的恶意软件感染,并且无需安装插件即可。
我们对服务器级扫描仪抱有更高的期望,因为它可以完全访问网站。 与其他插件相比,安装有点不同,因为扫描仪需要安装到您的 Web 服务器上。 这可以手动完成,也可以通过在仪表板上输入 FTP 详细信息来完成。 我们完成了安装并等待扫描完成。
相当长的一段时间后,扫描完成,我们充满恶意软件的网站显然没有受到黑客攻击。 第二次运行扫描,看看第一次是否有错误。 不,根据 Sucuri 的说法,仍然没有恶意软件。 重大失败。
安装时,Sucuri 设置为每天运行一次,但您可以请求按需扫描。 请求排队,然后根据可用性执行。 该插件本身会警告您扫描您的网站会耗尽服务器资源,因此会影响您网站的性能。 老实说,这很糟糕,因为安全性不应该以牺牲性能和用户体验为代价。 我们将在另一部分更详细地讨论这一点。
Wordfence 还会在安装时自动运行扫描。 不过这里有点混乱,因为我们假设仪表板上的百分比圆圈是扫描仪的进度。 在我们看到它在几个小时内没有超过 60% 之后,我们更仔细地观察并意识到这是对扫描仪效率的衡量。 要达到 100%,您需要升级插件。
重新启动扫描仪以测试它花费了多少时间,并且由于我们的测试站点很小,扫描仪在不到一分钟的时间内就完成了。 这绝对是一个加分项。 扫描结果只是高于平均水平,并不完美,因为它检测到了大部分恶意软件,而不是全部。
原因是 Wordfence 使用签名匹配来检测恶意软件。 这意味着 Wordfence 扫描器会将您网站的代码与恶意软件签名数据库进行比较。 如果匹配,扫描程序会将其标记为恶意软件。 虽然 Wordfence 有一个强大的恶意软件数据库,他们会根据他们的安全研究定期更新它,但它永远不可能 100% 完整,因为团队需要看到恶意软件才能在数据库中更新它,而且无论综合研究如何,新的恶意软件一直出现
因此,Wordfence 擅长在 WordPress 核心文件和文件夹中发现恶意软件,以及免费插件和主题中的恶意脚本。 但它无法检测高级软件中的恶意软件,例如 Elementor,因为它们无法访问源代码进行分析。 出于同样的原因,Wordfence 也无法检测数据库中的恶意软件,因为这需要一种超越签名匹配的机制才能发现。
话虽如此,Wordfence 检测到了我们所有基于文件的恶意软件。 据我们估计,它能够检测到 70% 到 80% 的恶意软件。 它也容易出现误报,并且往往会产生大量警报。 我们也将在单独的部分中讨论这一点。
恶意软件清理
Wordfence 具有清除恶意软件的自动修复功能,但对于更复杂的恶意软件,其功效值得商榷。 他们有一项高级恶意软件清除服务,但它可以在每个站点 490 美元的价格上挖一个洞。 另一方面,Sucuri 的所有计划都包含无限的手动恶意软件清理服务。
尽管 Sucuri 的扫描仪说我们的网站没有恶意软件——它确实有——但我们要求清理,并没有期待太多。 但是,该网站一尘不染地回到我们身边。 我们通过 MalCare 对其进行检查。 奇怪的是,在 Sucuri 团队清理我们的网站后,扫描仪在其上标记了恶意软件。 显然,某处的错误。
恶意软件清除服务非常迅速。 尽管我们的计划保证在 30 小时内做出响应,但我们在不到 10 小时内就得到了一个干净的站点。这太棒了。 我们要指出的唯一警告是,当您有一个被黑的网站时,时间至关重要。 您不能让恶意软件在您的网站上长期存在。 为了强调快速行动的重要性,谷歌黑名单还测量了您对恶意软件通知的响应时间。
要删除恶意软件,您需要请求 Sucuri 进行清理。 填写您可以提供的所有信息的表格,然后团队从那里接管。 我们收到了来自 Sucuri 的一条消息,其中包含一个包含很好建议的黑客攻击后检查清单。 因此,总体而言,Sucuri 的恶意软件清理功能值得称赞。
Wordfence 有 2 个选项可用于处理仪表板上的被黑文件:删除所有可删除文件并修复所有可修复文件。 这与 CTA 建议我们选择他们的专业清洁服务不同。
我们尝试了这两种选择,它们都相当成功地从我们的网站上删除了恶意软件。 问题在于,在自动删除之前,网站会因更改而中断的可怕警告。
我们的测试站点备份在 BlogVault 上,坦率地说,我们对它们的破坏并没有那么大惊小怪。 虽然我们能够在没有太多思考的情况下通过电源,但这是因为我们对测试修复功能感兴趣。 但是,对于某人的电子商务商店或高流量网站来说,情况会大不相同。
在我们的测试系列中,我们通常在这一点停止,因为大多数其他安全插件都失败了。 Wordfence 从我们的网站上清除了所有基于文件的恶意软件,因此我们尝试了使用数据库恶意软件和一些高级插件中的功能。 扫描仪无法检测到这么多恶意软件,因此甚至无法选择自动修复。
另一种选择是请求删除恶意软件。 该服务旨在删除恶意软件、后门,并对网站进行安全审计,评估漏洞。 如果您的网站被列入黑名单,Wordfence 也将帮助您摆脱这种情况。 该服务的保修期为一年,具体取决于站点管理员是否严格遵守了黑客攻击后的建议。 请注意:我们无法谈论 Wordfence 的恶意软件清除服务的功效,因为我们没有尝试过。
另一方面,我们使用 MalCare 自动删除所有恶意软件,并且我们能够毫无问题地这样做。 没有可怕的警告,没有错过的恶意软件,我们的网站在几分钟内就干净利落了。 这就是我们想要对我们的网站进行的恶意软件清理。
防火墙
Sucuri 和 Wordfence 都有强大的防火墙,可以阻止最常见和主要的威胁。 但是 Sucuri 的防火墙安装起来简直就是一场噩梦,而且 Wordfence 的免费防火墙令人担忧地比其高级版本更晚获得更新。
Sucuri 的防火墙阻止了 SQL 注入、远程注入和跨站点脚本攻击等攻击。 我们的测试网站存在大量漏洞,例如不安全的文件上传,并且在防火墙后面保持安全。
我们对 Sucuri 防火墙的问题是它的安装。 要使用防火墙,您需要将您的流量指向他们的名称服务器,以便过滤掉不良流量,只将好的流量发送到您的网站。 好主意,但配置起来真是一场噩梦。 我们的测试网站没有附属于任何域名注册商,所以我们不得不让工程团队来解决这个问题。
Wordfence 的防火墙也开箱即用,可以成功阻止攻击。
安装后,防火墙立即进入学习模式。 Wordfence 建议我们将学习模式开启一周。 这是公平的,因为防火墙需要实时流量来学习如何发挥作用。 但是,由于我们的测试网站没有实时流量,我们认为等待一周没有什么意义,并立即将其关闭。
使用 Wordfence,免费防火墙的效率据说只有 35%。 这不是我们的假设,而是实际上在仪表板上。 我们更深入地研究了为什么会出现这种情况。 有2个原因:
一:在 WordPress 完成后,免费防火墙像插件一样加载。 加载顺序会显着影响安全性,因为如果防火墙在 WordPress 核心之后加载,这意味着它只能阻止一些恶意流量,而不是全部。
二:虽然 Wordfence 拥有最新的防火墙,但高级版本会实时接收这些更新。 但是,免费版本会在未指定的时间长度后接收更新。 我们无法知道延迟是什么,但它可能存在问题。 毕竟,黑客可以在窗口中进行攻击。
最大的收获是 Wordfence 自己将免费防火墙的效率比其高级版本高 35%。 不是很好。
漏洞检测
Wordfence 在检测我们网站上的所有漏洞方面做得非常出色。 Sucuri 完全错过了那些不起眼的东西。
我们印象深刻的是,Wordfence 提醒我们所有过时的插件都是中等威胁。 这些漏洞被正确标记为严重威胁。 其他安全插件在更晦涩的插件和主题上绊倒了,根本没有提醒我们它们的严重漏洞,例如跨站点脚本。 所以 Wordfence 在这里胜出。
无法直接从 Wordfence 仪表板修复漏洞,但这是有道理的。 修复漏洞本质上意味着更新插件或主题,并且该功能已经在 wp-admin 上很容易获得。 除非 Wordfence 有像 MalCare 这样的视觉回归来确保更新不会破坏网站,否则复制现有功能是没有意义的。
Wordfence 还引发了 iThemes 和 Backupbuddy 的错误。 这表明他们倾向于在网站上标记误报。
Sucuri 在我们的测试网站上检测到除了最隐蔽的漏洞之外的所有漏洞。 不过,与 Wordfence 不同,您可以从 Sucuri 仪表板更新过时的软件。 我们并没有真正看到该实用程序,因为可以通过 wp-admin 轻松进行更新。
post-hack 选项卡列出了已安装插件和主题的版本以及它们的最新版本。 Sucuri 警告不要继续使用过时的软件,因为它们可能导致恶意软件感染。
有趣的是,即使是 Sucuri 的恶意软件清除服务也只能检测到我们网站上的一些漏洞。 鉴于我们在扫描程序方面的经验,我们认为删除服务会更好地检测漏洞。 情况似乎并非如此。
暴力登录保护
Wordfence 在阻止所有暴力攻击方面做得非常出色。 Sucuri 的登录保护功能似乎不起作用。
Wordfence 上默认启用蛮力保护。 它每次都能完美运行,根据我们在仪表板上设置的配置,锁定了太多不正确尝试的用户。
您将在防火墙部分找到设置。 选项菜单中有很多东西可以自定义:为不正确的登录尝试设置锁定; 用户将经历多长时间的锁定; 等等。 这些选项并不是压倒性的,Wordfence 用很好的文档有力地解释了每一个选项。
您也可以在此处设置密码管理选项,确保强制使用强密码,并防止使用在数据泄露中发现的密码。
在本节中可以将 IP 列入白名单,但我们对其有效性持矛盾态度。 设备 IP 是动态的,因此拥有许可名单并不能保证合法用户不会被锁定。
Sucuri的蛮力保护并没有像预期的那样起作用。 我们没有经历过锁定,也没有验证码来确保我们是人类而不是机器人。 即使攻击出现在审计日志中,我们也没有收到警报。 总体而言,该功能被淘汰了。
但是,您不会认为在仪表板上看到配置选项。 有这么多的选择,我们在一个点后摇摇欲坠。 总而言之,我们更喜欢具有有效功能的更少选项,而不是相反。
活动日志
Sucuri 有一个审计日志,但可能很难理解。 Wordfence 没有活动日志。
Sucuri 有一个审核日志,可以跟踪所有用户操作以及插件和主题更改。 日志将显示对文件和表所做的所有更改,这很好。
日志包含必要的信息,如用户、操作、时间戳等。但在某些情况下,这些条目很难理解。 例如,为了测试日志,我们安装了一个图库插件。 审核日志中的结果条目显示 7 个不同的更改。 从条目中不清楚变化是什么,为什么会发生,或者谁负责。 因此,审计日志对于不会说 Sucuri 的人来说几乎是无用的。
我们很惊讶地看到 Wordfence 没有活动日志,因为它是网站安全的支柱之一。 在工具菜单的诊断部分有一个启用调试的选项,这会导致防火墙日志变得更加详细,但这与活动日志不同。
经过大量挖掘,我们在扫描部分发现了专门针对 Wordfence 事件的活动日志。 虽然它是一个原始日志,但显然仅适用于 Wordfence 开发人员。
两因素身份验证
Wordfence 具有出色的两因素身份验证功能。 Sucuri 在您的网站上不支持它。
Wordfence 两因素身份验证开箱即用,具有一组简单的选项来自定义体验。 它曾经是一项高级功能,但后来也被添加到免费插件中。
Sucuri 不支持对您的网站进行双重身份验证,但您可以使用它来保护您的 Sucuri 帐户。
服务器资源使用
Sucuri 和 Wordfence 都是资源猪。 通过扫描和防火墙,我们看到了磁盘使用率的明显变化。
这是在 Wordfence 和 Sucuri 之间没有什么可以选择的一个因素:他们都做得同样糟糕。
这些插件在您的网站上执行的每一个操作都会消耗服务器资源。 我们的网站相对较小,当我们设置扫描时,我们看到磁盘使用量翻了一番,有时是三倍。 这影响了加载时间、响应时间和网站的整体体验。
如果您有一个 WooCommerce 网站,或者一个流量很大的网站,那么您的用户会注意到这种效果。 如果您在共享主机上,您的网络主机将引起注意,您的托管费用可能会增加。 事实上,许多网络主机都出于这个原因禁止了 Wordfence。
虽然人们在讨论安全性时很少谈论服务器资源,但这是一个重要因素。 任何人都不应该在性能或安全性上妥协。 完全可以优化两者。
但是,不是使用 Sucuri 或 Wordfence。 为此,您需要 MalCare。
警报
Sucuri 和 Wordfence 都因无数警报和误报而臭名昭著。
在 WordPress 管理方面,我们坚信减轻客户的负担。 防火墙应该安静地阻止流量。 机器人保护应该开箱即用。 仅当有需要他们注意和采取行动的事情时,才应提醒管理员。 WordPress 安全性应该是无压力且简单的,否则安全插件的意义何在?
显然 Sucuri 和 Wordfence 都不赞同这种思想流派,因为他们的警报是压倒性的。 我们的收件箱很快就被淹没了。 太多警报与没有警报一样糟糕,因为最终两者都会在必要时导致不作为。
安装、配置和可用性
Wordfence 旨在为新手用户提供非常简单的操作。 苏库里不是。
Wordfence 的安装、配置和整体使用是我们见过的最好的之一。 每个主要部分都有演练,以简单、无威胁的语言解释最重要的设置和功能。
Wordfence 对配置有很好的建议。 可以从仪表板上的工具提示访问他们的文档,使其具有高度的上下文关系。 每个功能都得到了清晰的解释,并且可以立即访问有关如何使其在您的网站上运行的说明。
指出这些似乎很奇怪。 但是,如果您曾经尝试过 Sucuri,您就会意识到易于理解是任何用户体验的重要组成部分。 事实上,如果我们必须用一个词来形容 Sucuri,那这个词就会令人眼花缭乱。
安装 Sucuri 很容易,从那里开始走下坡路。 要使用服务器端扫描仪和防火墙,您必须手动配置它们。 除了弄清楚它们是否对安全性有任何实际影响外,我们花了很多时间试图弄明白它们有太多的选择。
总的来说,这两个插件处于光谱的两端。
Wordfence:附加功能
Wordfence 是严格安全的。 没有一个功能、选项或线路甚至与安全相邻,例如更新或用户管理选项。 尽管如此,还有一些额外的东西。
有一个站点更新通知部分,它向我们展示了哪些插件和主题需要优先更新,因为它们要么是严重威胁,要么是中等威胁。
Wordfence 有一个外部仪表板,用于管理同一帐户上的多个站点,称为 Wordfence Central。 它还有一个关于每个连接站点的 wp-admin 的附带部分,大概是这样您就可以鸟瞰每个站点,无论您当前正在处理哪个站点。 我们认为,这种方法的效用有限,不适用于拥有数百个托管站点的机构。
接下来我们查看了工具部分。 有一个实时流量部分,似乎复制了谷歌分析,但不止于此。 这些日志使用密钥对流量进行分类,以查看网站正在获得的流量类型:人工、机器人、警告、阻止。
有一个 Whois 查找选项,如果您想在不离开 wp-admin 的情况下查看攻击者是谁。 同样,这充其量只是一个附带功能。
我们认为 Diagnostics 真的很有趣,因为它有很多关于网站的信息。 从流程所有者到数据库表,一切都非常精细。 开发人员会发现此信息非常有用,因为它就像网站的规范一样集中在一个地方。
苏库里:额外
Sucuri 在他们的插件中有很多额外的装饰和装饰。 是否有任何对安全性的影响完全是另一回事。
您将在安装时看到的第一件事是 WordPress 完整性信息框。 它确实是 WordPress 核心文件更改监视器的精美版本。 显然,为 WordPress 核心文件设置一个文件更改监视器有点用处,但效果并不像人们想象的那么好。 黑客可以并且将会更改文件元数据,例如更新时间戳,以绕过这些措施。 所以是有用的,但不是那么多。
有一个完整性差异实用程序可以将网站上的核心文件与原始 WordPress 安装进行比较。 如果您手动清除恶意软件,这肯定比使用在线软件更容易——我们完全不推荐这样做。
Sucuri 有很多 WordPress 强化功能。 在上传文件夹中阻止 PHP 可以防止一类黑客攻击,我们喜欢从仪表板快速更改 WordPress 盐的能力。 虽然它本来可以做得更好。 如果该功能在 Sucuri 的外部仪表板上而不是在 wp-admin 上,它会更安全。 想象一下,一个黑客获得了 wp-admin 的访问权限,盐很容易被破坏,因为它们是明文的。
其他一些选项的实用性有限,例如验证 WordPress 版本、删除 WordPress 版本、避免信息泄露以及验证默认管理员帐户。 从安全角度来看,它们毫无意义。
其他硬化特征令人困惑。 例如,如果我们要禁用插件和主题编辑器,我们如何更新带有漏洞的插件和主题? 至少可以说适得其反。
The password management feature held some promise, but the warning would terrify all but the most brave: “Select users from the list in order to change their passwords, terminate their sessions and email them a password reset link. Please be aware that the plugin will change the passwords before sending the emails, meaning that if your web server is unable to send emails, your users will be locked out of the site.”
What's missing from Wordfence and Sucuri
Sucuri doesn't have a good malware scanner. The brute force login protection doesn't work, and it takes up too much of server resources. There is no bot protection either, and you would need a separate plugin for two-factor authentication.
Wordfence misses out on bot protection and an activity log. The scanner is above average; definitely a cut above the other security plugins available apart from MalCare. Apart from these things, it is an exceptional security plugin.
Wordfence vs Sucuri: Pricing
Sucuri's plans start at $199.99 a year per site, which is a great deal for unlimited malware removal. The firewall works well, but the scanner is a let down. Wordfence premium plans are at $99 for the year per site, with attractive bulk pricing options. However, our opinion is that the free version is almost as good as the premium version.
Sucuri is a winner when it comes to the unlimited malware removal feature. The support team was great, with a quick turnaround time, helpful response and a proactive post-hack checklist. But the malware scanner was a complete failure, and that's not a small flaw to overlook.
The free version of Wordfence is strong enough to stand on its own. The premium version is not all that different, the efficiency percentages on the dashboard notwithstanding. The real expense to consider with Wordfence is the cleaning service at $490 a pop, over and above the site license. If you are considering Wordfence seriously, read the fine print. Although they say unlimited pages, there are additional charges for sites above 10 GB. They guarantee the service for a year, but there are terms and conditions. None of this is unreasonable, but it is important to be aware before taking the plunge.
Better alternative to Wordfence and Sucuri: MalCare
The best security plugin for your website isn't Wordfence or Sucuri, it is MalCare. It has an excellent scanner that detects malware in all parts of your website: core WordPress, files and the database. Additionally, the auto-clean feature removes all malware surgically, without breaking your website.
MalCare has an advanced firewall that proactively blocks bad traffic from reaching your website. The brute force protection makes sure that your login page is safe from malicious attacks, and the bot protection goes even further to make sure only bad bots are kept away from your website.
There is a formidable support team of WordPress security experts to help with any issues that come up. Any malware removal cleanups necessary beyond the auto-clean are covered with the site license.
Thus, in a feature-to-feature comparison, MalCare undoubtedly comes out on top. MalCare's $99 plan is vastly better than Sucuri's $199.99 Basic Platform plan, and includes unlimited malware removal, which is over and above Wordfence's $99 plan.
结论
When choosing a WordPress security plugin for your website, make sure to evaluate the scanner, cleaner and firewall. All the other features can be implemented with other plugins, but these 3 features form the essence of a good plugin.
At MalCare, our goal is to make security stress-free and painless, so that you can focus on the more important aspects of your website. Leave the security to us, as you grow your business.
We hope this comparison was helpful, as we have presented all our findings transparently. 还有其他问题吗? 给我们留言。 我们很想听到您的声音。