iThemes Security 與 Sucuri:哪個安全插件更好?

已發表: 2023-04-19

乍一看,iThemes Security 看起來像是適用於您的 WordPress 網站的一款出色且價格合理的安全插件。 特別是如果您認為只需 199 美元就可以保護無限的網站。

另一方面,Sucuri 是最受歡迎的 WordPress 安全插件之一。 它配備了掃描儀和防火牆,還提供惡意軟件清除功能。 因此,在這場正面交鋒中,它已經搶占了 iThemes 的先機。 為什麼? 因為 iThemes 沒有任何這些功能。

iThemes 完全被淘汰出局。 在這場較量中,蘇庫裡無疑是贏家。 話雖如此,我們仍然不會相信 Sucuri 會保護我們的網站。 哪個安全插件可以保證保護 WordPress 網站免受黑客攻擊? 答案很明確:MalCare。

iThemes Security 與 Sucuri 比較摘要

iThemes Security 是 WordPress 安全插件的安慰劑。 您認為您的網站免受黑客攻擊,但實際上保護它的只是一廂情願的想法和積極的氛圍。 Sucuri 無疑更好,但更好畢竟是一個相對的術語。 它不是一個很好的安全插件。

iThemes Security 與 Sucuri 比較

簡而言之,iThemes 安全性

底線是 iThemes 不保護您的網站。 如果您正在考慮 WordPress 安全性,我們強烈建議您完全跳過 iThemes。 如果您已經安裝了它,請立即掃描您的網站。 您的網站沒有安全保障。

我們對 iThemes 的第一印象實際上是不錯的。 該網站談論了一場偉大的比賽,並且由於他們談論 WordPress 安全性的權威方式而灌輸了信心。 我們能看到的唯一缺陷是您無法使用該插件來清除惡意軟件。 這並不理想,但它仍然可以用作掃描儀。

或者我們是這麼想的。

ithemes網站功能

iThemes 掃描儀不檢測惡意軟件。 完全沒有。 我們可能會猜測它甚至不掃描文件和數據,因為掃描會在幾秒鐘內完成。 iThemes“掃描器”所做的是檢查谷歌的透明度報告,看看你的網站是否在該列表中。 我們不需要安全插件來做到這一點。 我們回去查看該網站,驚訝地發現該功能並未明確表示掃描惡意軟件。 它只是說惡意軟件檢測是 WordPress 安全的關鍵步驟之一。 如果我們見過它,那是雙重說法。

我們很想將 iThemes 測試視為無用,但為了公平起見繼續進行。

該插件確實具有可靠的雙因素身份驗證功能,您可以在登錄頁面上啟用該功能。 它還具有一些不錯的強化功能,例如阻止文件夾中的 PHP 執行。 話雖如此,暴力登錄保護僅在某些時候有效。 該插件的另一個黑點。

我們使用 iThemes 的收穫是,任何安全價值的唯一特徵是雙因素身份驗證和在 wp-login 上輕鬆實施 reCAPTCHA。 然而,這兩個功能並不需要 199 美元的賬單,因為除了一些實際的安全性之外,還有更好的安全插件可以提供相同的功能。

測試 iThemes 是一次糟糕的經歷,因為我們無法想像有多少網站認為它們受到不存在的安全保護。 事實上,iThemes 用戶,您現在應該掃描您的網站。

簡而言之

Sucuri 擁有不錯的防火牆和出色的惡意軟件清除服務,但作為惡意軟件掃描程序卻慘遭失敗。 如果您不知道您的網站有惡意軟件,就沒有辦法擺脫它。 這是安全插件不可協商的部分。

當我們開始測試 Sucuri 時,我們對它寄予厚望。 它是 WordPress 最受歡迎的安全插件之一,我們驚訝地發現掃描器未能在我們被黑的測試站點上檢測到任何惡意軟件。 我們將在後面的部分中進行更詳細的介紹,但這為我們的整個測試過程定下了基調。

Sucuri 安全插件

除了失敗之外,掃描本身需要很長時間才能完成,並且會耗盡我們的服務器資源。 由於對網站性能的影響,Sucuri 自己不鼓勵過多的掃描。 在性能和安全性之間進行權衡是一種可怕的取捨,而且不應該是這種情況。

轉向防火牆和惡意軟件清除服務,Sucuri 做得很好。 防火牆很難配置,而且花費了我們過多的時間。 但它阻止了我們嘗試的攻擊,我們無法利用任何漏洞。

不過,惡意軟件清除服務是我們測試體驗的亮點。 儘管掃描器為我們被黑的網站提供了健康狀況良好的證明,但我們知道它充滿了惡意軟件。 首先,我們將惡意軟件放在那裡,其次,MalCare 掃描證實了這一診斷。 Sucuri 團隊從我們的網站上刪除了所有惡意軟件痕跡,結果它非常乾淨。 極好的! 這個蛋糕上的櫻桃是您可以將無限制的惡意軟件刪除請求作為您計劃的一部分,這是一個很好的選擇。

除了防火牆之外,設置非常隱蔽。 我們發現自己對使用的許多行話感到困惑,而這與 WordPress 安全方面的專業知識有關。 該界面不是用戶友好的,我們相信很多人會發現它不必要地令人擔憂。 那裡的 Sucuri 減分。

總而言之,我們認為 Sucuri 不是 WordPress 網站的最佳安全解決方案。 這一榮譽歸於 MalCare,因為掃描儀每次都能正常工作。 MalCare 還獲得獎勵積分,不會讓我們感到遲鈍。

如何為您的 WordPress 網站選擇合適的安全插件

您的 WordPress 網站的安全性是不容商量的。 惡意軟件會給企業造成無數損失:收入損失、訴訟、清理成本、品牌影響、有機流量損失等等。 投資正確的插件將使您免受黑客和惡意軟件的侵害,並避免惡意軟件帶來的問題。

但問題是:您如何為您的網站選擇有效的安全插件?

當我們設置測試時,有幾個因素需要考慮:當然是安全性,還有易用性和物有所值。 然而,我們很快意識到,除了安全之外的所有因素都變得毫無意義,因為插件在安全方面的有效性應該是唯一的考慮因素。

所以這裡是選擇安全插件時要考慮的因素。

  • 基本安全功能
    • 惡意軟件掃描
    • 惡意軟件清理
    • 防火牆
  • 必備的安全功能
    • 漏洞檢測
    • 暴力登錄保護
    • 活動日誌
    • 雙因素身份驗證
  • 潛在問題
    • 對服務器資源的影響

從列表中可以看出,只有 3 個因素是完全必要的。 MalCare 在所有 3 個方面都是王牌:掃描和清除其他插件肯定會錯過的惡意軟件,並使用強大的防火牆保護您的網站免受惡意流量的侵害。 此外,MalCare 比當前可用的任何其他安全插件做得更好。

iThemes Security vs Sucuri:功能的正面比較

我們進行這種比較的方式是首先採用最基本的功能,然後討論在測試過程中出現的其他觀察結果。 很多時候,我們看到的功能和設置幾乎什麼都不做(我們談論的是 iThemes),但卻描繪了一種精心設計的安全幻覺。

撥亂反正並不容易,但我們將盡可能清晰、公平地展示我們的所有數據。

如果您想跳過此拆解,我們建議安裝 MalCare。

惡意軟件掃描

Sucuri 的掃描儀沒有在我們的網站上檢測到任何惡意軟件。 從完成掃描的速度來看,iThemes 甚至根本沒有掃描我們網站的惡意軟件。

Sucuri 的免費和付費版本​​都有掃描儀,所以我們很想看看它的表現是否不同。 免費版本由 Sucuri SiteCheck 提供支持,這是一個在線實用程序,可以掃描您網站的公開可見部分以查找惡意軟件。 當然,這有局限性,因此 SiteCheck 的干淨提示並不能保證網站沒有惡意軟件。

Sucuri 現場檢查結果

付費計劃包括一個服務器級掃描儀,您必須將其安裝到您的網絡服務器上。 您可以手動執行此操作,或者將您的 FTP 詳細信息輸入到您的 Sucuri 儀表板以自動安裝它。 這是一個相對輕鬆的過程。

掃描儀設置為每天運行,但您可以在一定程度上按需掃描。 額外的掃描請求被放入一個隊列然後被執行。 Sucuri 警告不要使用過多的掃描,因為掃描會耗盡服務器資源。

這讓我們停下來,因為我們隨後意識到 Sucuri 使用我們網站的資源來運行掃描。 對於我們的測試站點,流失並不太嚴重,因為這些站點很小並且沒有外部流量。 但是,我們確實看到了 CPU 使用率的波動。 更多內容在後面的部分。

專業版也沒有在我們被黑的網站上檢測到任何惡意軟件。 這是令人驚訝的,因為我們的 MalCare 掃描結果清楚地指出了惡意軟件。 所以我們提出了手動刪除請求。 Sucuri 的團隊處理了請求後,該網站在 MalCare 上顯示為乾淨。 但那是 Sucuri 掃描儀在網站上標記惡意軟件的時候。 這很奇怪。

sucuri 服務器端掃描儀

幸運的是,iThemes 掃描儀沒有遇到任何難題。 它不掃描惡意軟件,純粹而簡單。 iThemes 掃描儀僅檢查您的網站是否在 Google 的黑名單中。 就是這樣。 考慮到我們的網站沒有被編入索引,我們並不驚訝地發現我們的網站實際上不在黑名單上。

主題掃描儀

惡意軟件清理

惡意軟件清除不在 iThemes 功能列表中,因此顯然無法清除惡意軟件。 Sucuri 的付費計劃中包含無限制的惡意軟件清除服務。 根據您的計劃,您的網站將在 6 到 30 小時內得到清理。

儘管 Sucuri 的掃描結果表明我們的網站沒有惡意軟件,但我們顯然知道事實並非如此。 惡意軟件無處不在:在文件和數據庫中。 我們在那裡也有一堆後門,以備不時之需。 MalCare 掃描儀確認我們的測試站點確實感染了惡意軟件。

因此,我們向 Sucuri 提出了惡意軟件刪除請求,明確表示我們懷疑網站上存在惡意軟件。 要提出請求,您需要填寫表格並提供 FTP 詳細信息以進行清理。 然後等待結果。

旁注:刪除請求表單中有一個有趣的下拉列表,其中列出了您可能會看到的潛在症狀。 另外,讓我們覺得有趣的是,你必須表明你的技術熟練程度,所以我們選擇了:“沒有熟練程度,請解釋清楚。

感謝 Sucuri,他們的團隊從我們的網站上刪除了所有惡意軟件。 此外,儘管我們的計劃條款說我們可以在 30 小時內得到解決,但我們在不到 10 小時內就收到了回复。因此,這對 Sucuri 的惡意軟件刪除服務來說是一個巨大的讚許。

刪除 sucuri 惡意軟件

我們與 MalCare 確認所有惡意軟件都已被刪除,然後驚訝地發現 Sucuri 的掃描器現在將站點標記為受感染——在他們的團隊清理之後。這很奇怪。

另一方面,iThemes 無法清除惡意軟件,因此沒有什麼可測試的。 值得慶幸的是,他們並沒有在他們的網站上聲稱這樣做。

坦率地說,惡意軟件清除是 WordPress 安全性中最困難的部分,通常也是最昂貴的方面。 Sucuri 的付費計劃提供無限清理,這非常棒,因為如果不解決漏洞,惡意軟件可能會再次出現。 如果我們發現清潔服務有問題,那將是您需要等待一段時間才能解決。 就惡意軟件而言,我們已經看到感染在短時間內呈指數級增長,因此這是一個值得關注的問題。

借助 MalCare,我們可以使用自動清理功能在幾分鐘內清除惡意軟件。 在等待 Sucuri 回复我們的過程中,我們意識到快速清理對於業務關鍵型網站的巨大價值。

防火牆

Sucuri 的防火牆有效,並保留了我們最常見的攻擊。 iThemes 沒有防火牆。

防火牆是網站安全的重要組成部分,因為它們可以阻止惡意流量並防止漏洞利用。 到本文的這一點,您聽到 iThemes 沒有防火牆就不會感到驚訝了。 為什麼會這樣? 作為安全插件,它在其他方面都失敗了。

另一方面,Sucuri 保護我們的網站免受 wordpress 攻擊。 我們針對不受限制的文件上傳、XSS 和 SQL 注入等漏洞進行了測試。 防火牆阻止了我們利用這些漏洞將惡意軟件上傳到網站的所有嘗試。 我們無法完全透明地測試更複雜的攻擊。

sucuri 防火牆日誌

因此 Sucuri 的防火牆是有效的,但我們也不得不提到配置防火牆是多麼令人沮喪。 防火牆的工作方式是它充當傳入流量和您的網站之間的一層。 因此,所有流量首先會到達 Sucuri 的防火牆,然後再重定向到您的網站。

可以想像,這需要一些配置。 您用於網站的域必須首先指向 Sucuri,分析流量,然後將允許的流量轉發到您的網站。 這很好,但是如果您不具備名稱服務器和 DNS 配置方面的專業知識,那麼設置防火牆會很痛苦。

sucuri防火牆配置

總的來說,擁有一個開箱即用的安全解決方案要好得多。 沒有復雜的配置來保護我們的網站。 你知道,就像你從 MalCare 得到的那種。

漏洞檢測

Sucuri 檢測到我們網站上的大部分漏洞,儘管不是全部。 iThemes 沒有找到任何。

在我們啟用服務器端掃描程序後,Sucuri 檢測到我們在網站上安裝了一些易受攻擊的插件。 它沒有檢測到所有這些,建議只是更新它們。

此外,wp-admin 上有一個 post-hack 視圖,列出了當前安裝的插件和主題、它們的安裝版本和最新的可用版本。 在本節的描述中,Sucuri 確實提到漏洞與網站安全相關,保持所有內容更新是一個很好的做法。 不太可能有人會在常規瀏覽插件時登陸那裡,因此我們不確定該位置是否有用。

作為惡意軟件刪除請求的一部分,Sucuri 還向我們發送了一條消息,建議我們採取強化措施並更新我們的(3 個中的 2 個)易受攻擊的插件。 這是他們的 post-hack 清單的一部分。

iThemes 不標記漏洞。 然而,它在儀表板上有一個非常無用的計數器,指示從安裝插件時起已經完成了多少更新。 這些信息如何有用,我們無法理解。

暴力登錄保護

Sucuri 應該可以阻止暴力攻擊並提醒您,但兩者都沒有。 iThemes 有時會,有時不會。 很難說哪個更糟。

iThemes 將每次不正確的登錄嘗試記錄為暴力攻擊,坦率地說,這讓用戶看到很可怕。 在一種情況下,我們真的忘記了密碼。

當我們嘗試暴力破解登錄頁面時,我們看到了參差不齊的結果。 iThemes 阻止了 1 個站點的嘗試,但沒有阻止另一個站點的嘗試。 我們試圖找出造成這種差異的原因,但唯一的區別是網站上的惡意軟件。 由於惡意軟件通常是暴力攻擊成功的結果,我們認為這不是原因。 更有可能的是,似乎存在使該功能偶爾工作的錯誤。 實際上,這是毫無意義的。

Sucuri 給我們帶來了希望,因為有一組細粒度的暴力攻擊選項。 您可以設置算作暴力攻擊的失敗嘗試次數。 我們將其設置為非常適度的每小時 30 次嘗試,儘管登錄攻擊通常是每分鐘數百次嘗試。

sucuri蠻力

在看到所有鎖定設置後,我們有點擔心被鎖定在站點之外。 我們關閉了 MalCare,因此 MalCare 的登錄保護不會阻止嘗試。 然而,什麼也沒有發生。 我們在 3 分鐘內嘗試了 40 多次錯誤登錄,但 Sucuri 沒有發出警報。 檢查審計日誌,失敗的身份驗證顯示正常。 但是,沒有警報。 沒有停工。 沒有什麼。

活動日誌

iThemes 具有不完整的活動日誌功能。 Sucuri 有一個很好的,但可能晦澀難懂。

Sucuri 有一個稱為審計日誌的功能,它跟踪來自用戶、插件和主題的所有操作。 該功能按預期工作,但是其中一個設置讓我們停頓了一下。 您需要一個 API 密鑰來“防止攻擊者刪除日誌”。 這基本上授權 Sucuri 在異地收集和存儲有關網站的數據,這很好,但他們使用的語言至少可以說是刺耳的。 有關更多信息,請參見可用性部分。

雖然日誌的工作方式類似於日誌,並收集時間戳、用戶和操作,但它們可能非常模糊。 例如,我們安裝了一個新插件,它顯示為插件已激活。 到目前為止,一切都很好。 日誌中還有 7 個條目顯示安裝所影響的內容。 但是對於這些條目的含義幾乎沒有解釋。 這些可能是更改過的文件或文件夾嗎? 不,我們後來意識到這個特定的插件,它是一個畫廊插件,改變了帖子的模板。 這是有道理的,但啟示並非來自 Sucuri。

sucuri 審計日誌

活動日誌是網站安全工具包的重要組成部分。 黑客利用日誌記錄不足來攻擊網站,因此您應該堅持使用您可以信任的可靠日誌來共享有關您網站的正確信息。

基本上,不像 iThemes 那樣。 這裡的活動日誌有一些有用的信息,比如用戶活動、版本管理、站點掃描和暴力攻擊。 不過,與插件或主題無關。 還有一個單獨的功能,每天都會通過電子郵件向您發送文件更改報告。 總而言之,日誌是不充分的,因為它們沒有描繪出您網站的準確圖片。

主題日誌

雙因素身份驗證

iThemes 有一個很棒的雙因素身份驗證功能,開箱即用。 蘇庫裡沒有。

在這篇文章和該系列中的其他類似文章中對 iThemes 進行了破壞之後,我們很高興地報告說,這是真正在 iThemes 上起作用的僅有的安全功能之一,並且在這方面工作得相當好。

iThemes 上的雙因素身份驗證功能非常強大。 它有大量的定制,開箱即用,沒有麻煩。 該插件還有助於強制執行我們強烈提倡的強密碼。

ithemes 2fa

我們在這裡唯一擔心的是,iThemes 專業版有大量設置可以刪除登錄令牌以便於使用:無密碼登錄、可信設備、魔術鏈接等。 雖然這些有助於簡化登錄過程,但它們破壞了雙因素身份驗證的目的。

我們在測試 Sucuri 時尋找雙因素身份驗證。 我們發現它存在於 Sucuri 儀表板上。 然而,當我們意識到雙因素身份驗證可用於您的 Sucuri 帳戶而不是您的 WordPress 網站時,我們既感到好笑又感到困惑。

蘇庫裡2fa
我們的網站也有這個可能會很好,你不覺得嗎?

服務器資源使用

iThemes 根本不會耗盡您的服務器資源,因為它什麼都不做。 Sucuri 會通過掃描削弱您網站的性能。

有趣的是,人們並不經常在安全上下文中詢問我們有關服務器資源的問題。 但理想情況下,您希望您的網站受到保護並且不會在此過程中緩慢爬行。 Sucuri 的掃描儀會對您的站點執行此操作。  

Sucuri 掃描聲稱完全使用網站的服務器資源。 事實上,出於這個原因,他們似乎不鼓勵頻繁掃描。 坦率地說,這太可怕了。 為什麼任何人都必須在一方面的性能和合理的服務器賬單與另一方面的安全性之間做出選擇? 不過他們不是在開玩笑。 我們一安裝 Sucuri,然後運行第二次掃描,服務器資源就出現了巨大的峰值。 如果在小型網站上差異如此明顯,那麼在大型網站上差異會大得多。

蘇庫裡CPU使用率

此外,在儀表板上的常規設置中,有一個數據存儲設置,這似乎表明 Sucuri 在網站本身上存儲了大量數據(主要是日誌的外觀)。 這可能就是為什麼需要 API 密鑰的原因,因為默認情況下它都在上傳文件夾中,這是一個可公開訪問的文件夾。 有一個選項可以將存儲更改為不可公開訪問的文件夾,但這應該是一開始的默認設置。

iThemes 不會耗盡您的服務器資源。 當它什麼都不做時,它怎麼可能呢?

警報

iThemes 不會提醒您任何事情。 Sucuri 確實如此,但您需要謹慎選擇要接收的警報。 您的收件箱可能會在數小時內填滿。

Sucuri 允許您設置要發送給特定人員的警報、自定義警報的格式等等。 您還可以添加 IP 地址範圍,這樣這些地址就不會被標記為警報。 不過,請注意充滿術語的描述。 什麼是“無類域間路由”? 我們不想知道,只是想保護網站。

從警報的精細設置來看,Sucuri 似乎敏銳地意識到他們可能會發送太多警報。 有一個設置可以配置一小時內收到的最大警報,比如最多 5 封電子郵件。 這個問題是:假設前 5 個是誤報,而第 6 個不是? 那裡有一個免責聲明——但再次重申——最好是擁有實際信息而不是無用的功能。 我們在這裡得出的結論是,任何管理員都不會只見樹木不見森林。 噪音太大了。

蘇庫裡警報
順便說一下,這不是完整列表。 還有更多。

令人驚訝的是,我們仍在審查 iThemes,並沒有因為失敗的原因而放棄它。 iThemes 向我們發送了文件更改通知報告、數據庫備份和其他對我們設置的確認。 我們還訂閱了關於我們網站的每日安全摘要,以及每週一次的漏洞報告,大概這樣我們就可以將它們與我們的網站進行核對。 一個網站已經夠糟糕了,更多的網站可能會完全失控。

ithemes 安全文摘

安裝、配置和可用性

由於令人困惑的配置選項,iThemes 安裝出奇地困難。 Sucuri 相當簡單,但插件中的配置選項令人望而生畏。

iThemes 是我們測試的第一個插件,所以它最初看起來很簡單。 它還為最無用的設置設定了標準。 您必須完成配置才能創建安全儀表板。 我們檢查了每個設置,但沒有一個對安全性有真正影響,所以我們隨機設置它們並保留它。

主題設置

Sucuri 毫不費力地安裝,插件主要是自行設置的。 我們確實必須在 Sucuri 創建一個帳戶才能訪問付費功能。 此外,值得指出的是,要安裝服務器端掃描儀,您需要使用 Sucuri 外部儀表板。 如果您有現成的 FTP 詳細信息,這並不難做到,儘管我們認為沒有多大意義,因為它沒有檢測到任何惡意軟件。

wp-admin 上的 iThemes 儀表板是噪音。 沒有相關的安全相關信息。

Sucuri 的儀表板和設置非常複雜。 我們花了幾個小時試圖弄清楚他們使用的技術術語的含義。 在某些情況下,插件會告訴您推薦的設置,因此用戶實際上是在盲目相信。 唯一的問題是 Sucuri 不會激發盲目信仰,因為他們的惡意軟件掃描器不起作用!

我們希望這個插件更容易理解。 它看起來非常複雜,似乎做了很多事情,但我們不能確定,因為我們知道一些重要的事情,比如暴力保護,似乎不起作用。

必須單獨啟用防火牆和服務器端掃描程序。 我們花了一個多星期才弄清楚這個插件有 3 個網站。 我們不寒而栗地想如果有人處理更多的東西會發生什麼。 設置起來很繁瑣。

我們要重申,非技術用戶很難理解這些設置。 我們不知道有一種叫做日誌分析軟件的東西。 我們還看到了有趣的反向代理消息,Sucuri 告訴我們不要擔心這個選項,除非我們知道它是什麼。 感謝您對居高臨下的困惑。

蘇庫裡顯微鏡

iThemes:附加功能

iThemes 上有一個非常精細的白名單功能,這讓我們感到驚訝,直到我們意識到我們所看到的站點鎖定投訴似乎過多。 這有兩個問題:一個是設備 IP 發生變化,因此將您的 IP 列入白名單並不像您想像的那麼安全; 第二,我們盡一切可能觸發鎖定。 但它沒有發生。

文件更改監視器是另一個聽起來不錯的功能,除非您對安全性一無所知。 黑客可以更改文件時間戳,甚至可以使文件看起來好多年沒有被編輯過。 此外,此監視器還有一個文件類型排除列表。 坦率地說,這表明對惡意軟件缺乏了解。 惡意軟件可以隱藏在任何文件中,例如 .ico 文件。

ithemes文件更改

iThemes 確實有一個很好的密碼管理系統。 您可以強制使用強密碼並拒絕洩露密碼。 如果您願意,也可以為 XML-RPC 設置應用程序密碼。

ithemes 用戶安全配置文件

最後,iThemes 有一些強化功能,其中大部分我們根本不推薦。 唯一有意義的是在上傳文件夾中阻止 PHP 執行。 這可以防止某種類型的惡意軟件攻擊。 其他的,我們建議完全忽略。

Sucuri:附加功能

Sucuri 在 wp-admin 上的儀表板看起來非常令人印象深刻,但我們立即看到最大的信息框是 WordPress 完整性。 希望這僅適用於我們當前使用的免費版本,因為這本質上是 WordPress 核心文件的文件更改監視器的修飾版本。

sucuri wp 文件完整性

在某些情況下,考慮到大量惡意軟件進入核心文件,我們可以看到它很有用。 相反,我們也可以看到它可能是一份閑職,因為沒有經驗的人可能會認為這就是惡意軟件的程度,這是一個可怕的想法。 有趣的是,它標記的 3 個 wordpress 完整性文件中有 2 個來自 MalCare:緊急連接器和防火牆。

在設置的更深處,有一個完整性差異實用程序來比較核心文件並找到差異。 這可能比在線 diffchecker 實用程序更容易使用。

sucuri差異檢查器

有相當多的強化選項:一些有用,另一些則沒有那麼多。 我們喜歡能夠在上傳文件夾、防火牆中阻止 PHP,並激活自動密鑰更新,這會更改 wordpress 鹽。

然而,驗證 WordPress 版本、刪除 WordPress 版本、避免信息洩露(刪除 WordPress 剛剛重新創建的自述文件)和驗證默認管理員帳戶都是愚蠢的功能,對安全的影響微乎其微。 坦率地說,整個安全行業已經擺脫了這些技巧。

sucuri wp硬化

如果您選擇禁用插件和主題編輯器,您會發現更新很棘手。 它包含一些關於需要訪問這些文件夾中的 PHP 文件的插件和主題的警告。 這是不夠的。 恰當的例子:Sucuri 自己將 PHP 文件保存在上傳文件夾中。 他們不想從外部儀表板訪問自己的文件嗎? 或者這是規則的例外? 在這種情況下,該規則以對用戶隱藏的方式看起來很靈活。

我們有興趣查看 wp-admin 儀表板上的 post-hack 功能。 清理後,您要確保盡一切努力保護您的網站免受未來的黑客攻擊。 我們喜歡這個想法,直到我們進一步觀察。

您可以從儀表板更新密鑰——更改 wordpress 鹽。 唯一的問題是它是純文本的,每個登錄到 wp-admin 的管理員都可以看到。 如果黑客擁有具有管理員訪問權限的帳戶,這將非常危險。 此功能僅在用戶已驗證沒有管理員帳戶受到損害,然後更改鹽時才有意義。 任何地方都沒有提到的一點。

您可以重置用戶密碼。 同樣,在您閱讀細則之前,這似乎是一個不錯的功能:“從列表中選擇用戶以更改他們的密碼,終止他們的會話並通過電子郵件向他們發送密碼重置鏈接。 請注意,該插件會在發送電子郵件之前更改密碼,這意味著如果您的網絡服務器無法發送電子郵件,您的用戶將被鎖定在該網站之外。”

有一個地方可以看到可用的插件和主題更新,這是基本的版本管理。 它不會向現有的管理儀表板功能添加任何內容。 但是,它可能會教育人們過時的插件和主題與安全有關。

iThemes Security 和 Sucuri 缺少什麼

iThemes 沒有防火牆,這對您的 WordPress 安全性來說是一個嚴重的漏洞。 防火牆保護網站免受某些類型的攻擊,如果您的網站存在漏洞,防火牆將非常有用。

Sucuri 的惡意軟件掃描程序不夠用。 因此,即使惡意軟件刪除服務很棒,您也必須猜測您的網站上有惡意軟件,因為掃描器不會標記它。

iThemes Security vs Sucuri:定價

Sucuri 的基本平台計劃每個站點每年 199.99 美元,對於無限制的惡意軟件刪除服務來說是一筆划算的交易。 然而,考慮到它也應該有一個工作掃描儀,這就是你的 sub 將為你提供的全部。 iThemes 一文不值。 只是別打擾了。

我們在本文中非常清楚地表達了我們對 iThemes 的看法。 iThemes 中唯一值得一提的功能是雙因素身份驗證,它在免費計劃中可用。 我們絕對不推薦 Pro 計劃。

iThemes 定價
iThemes 定價

Sucuri 的定價對於惡意軟件清除服務來說是物超所值,但美中不足的是掃描儀。 如果您不知道自己感染了惡意軟件,則無法提交刪除請求。

蘇庫裡定價
Sucuri定價

iThemes Security 和 Sucuri 的更好替代品:MalCare

投資一個好的安全插件,它可以掃描、清理和保護您的網站免受黑客攻擊。 在我們為本系列測試的所有插件中,MalCare 脫穎而出,成為最佳選擇。 MalCare 在所有方面都勝過 iThemes,並且比 Sucuri 更好地掃描惡意軟件。

事實上,MalCare 的 99 美元基本計劃優於 Sucuri 的 199.99 美元基本平台計劃,並且還具有即時惡意軟件刪除功能。 它還包括無限清理

結論

您網站的安全性至關重要。 我們已經看到許多客戶在安全插件上吝嗇,但在遭到黑客攻擊後卻面臨毀滅性的損失。 一位客戶放棄了一點,決定從頭開始重建他的網站。 惡意軟件很昂貴,而 MalCare 則不然。

這篇文章是否幫助您做出決定? 我們很想知道! 請給我們寫信。