• 主頁
  • 文章
  • 指導
  • iThemes Security vs Wordfence:您應該選擇哪個安全插件?

iThemes Security vs Wordfence:您應該選擇哪個安全插件?

已發表: 2022-04-22

iThemes Security 對於無限網站來說看起來很划算,只需 199 美元,而且由於其無與倫比的價格,它一直是 WordPress 安全插件競賽中的有力競爭者。

在另一個角落,我們有 Wordfence,這個類別中無可爭議的重量級人物。 Wordfence 以功能豐富的免費插件及其安全研究和資源而聞名。 對於高級版,每個網站每年至少要花 99 美元; 這仍然是一筆不錯的交易。

即使在這個階段,兩者之間也沒有真正的可比性。 但是,我們確實通過了一系列測試。

在本系列中,前 5 個安全插件與惡意軟件、攻擊和漏洞進行了角斗士式的戰鬥。 哪一個出現了贏家? 請仔細閱讀,找出答案。

VERDICT iThemes Security 與 Wordfence是一場不平等的競爭。 Wordfence 的免費插件比 iThemes Security 的高級插件好幾個數量級。 Wordfence 有其缺點,但至少它在一定程度上保護了網站。 iThemes,沒那麼多。

我們的選擇

在本系列中,我們想測試頂級 WordPress 安全插件,以找出哪個真正有效。 為此,我們創建了 3 個網站:一個是一個簡單的博客,帶有一些插件和主題,作為控件。 第二個網站有 3 個帶有漏洞的過時插件。 我們選擇了從流行到晦澀的插件,並且有一系列漏洞。 最後,我們有一個充滿惡意軟件的網站。

3 個網站,5 個插件,45 天。 我們測試了插件掃描器、清潔器、防火牆、機器人保護、防火牆、活動日誌等等。 我們考慮了新惡意軟件、舊惡意軟件、基於文件的惡意軟件、數據庫惡意軟件、重定向黑客、製藥黑客、SQL 注入、暴力攻擊等等。

結果很明確:只有 MalCare 能夠掃描、清理和保護測試網站。 如果您希望通過 WordPress 安全性讓您高枕無憂,MalCare 是您的不二之選。

iThemes Security 與 Wordfence 比較總結

iThemes Security vs Wordfence 很簡單:Wordfence 一路走來。

讓我們將 WordPress 安全視為兩個極端之間的頻譜:一方面沒有保護和錯誤的安全感,另一方面是誤報和可怕的警告。 iThemes Security 給你一種虛假的安全感,而 Wordfence 是讓你處於近乎持續恐懼狀態的一種。

iThemes Security 與 Wordfence 比較

我們深思熟慮後認為,兩者都不是好的選擇。 但是,Wordfence 有一個出色的免費版本,可以在很大程度上保護您的網站,而即使 iThemes Security 的高級版本也無法保護您的網站。 我們的建議是避免兩個極端,並選擇一個好的安全插件。

簡而言之,iThemes 安全性

iThemes Security 是迄今為止我們見過的最差的 WordPress 安全插件。 它有一些很好的功能,比如雙重身份驗證和強大的密碼支持,但僅此而已。 沒有惡意軟件掃描程序,它無法清除惡意軟件,也沒有必要討論防火牆。 事實上,如果您現在使用 iThemes,請立即掃描您的網站。

有趣的事實:iThemes 是我們測試的第一個安全插件。 該網站和整個設置過程給我們的印像是,是的,這些人知道 WordPress 的安全性。 不幸的是,這些技術似乎都沒有成為實際的插件。

主題網站功能

iThemes Security 實際上是一個惡意軟件掃描程序,因為沒有清除惡意軟件的機制。 該網站也沒有說有防火牆。 這不是很好,因為掃描是 WordPress 安全性的支柱之一,但不是唯一的。 但是,如果您首先擁有一台不錯的掃描儀,則可以將各種插件組合在一起以提供該功能。

啊,但這就是問題所在。 iThemes 不是惡意軟件掃描程序。 它不是漏洞掃描程序。 它會掃描您網站的 Google 黑名單。 您知道,您可以從“透明度報告”頁面執行相同的操作,而無需安裝插件。 最大的收穫是掃描持續了幾秒鐘。 掃描儀不可能在幾秒鐘內瀏覽所有網站文件和文件夾。

登錄頁面的暴力保護不完整且不一致,活動日誌毫無用處。 稍後再談。

從好的方面來說,iThemes Security 具有出色的雙重身份驗證功能。 我們還喜歡在 wp-login 上實施 reCAPTCHA 是多麼容易。 最後,用戶密碼管理設置非常精細和詳細。 此外,還有一些不錯的 WordPress 強化功能,例如阻止在文件夾中執行 PHP。

總體而言,測試 iThemes Security 是一種啟發性的體驗。 我們非常重視安全性,看到巧妙的措辭和誤導性的功能集如何欺騙管理員認為他們的網站受到保護,我們感到震驚。 事實上,我們強烈建議任何 iThemes 用戶重新考慮他們的安全性並立即掃描他們的網站。

Wordfence 簡而言之

Wordfence 是我們在 MalCare 之後遇到的最好的免費安全插件。 我們強烈推薦它用於安全預算絕對為零的網站。 防火牆阻止了大多數攻擊,掃描程序檢測到大多數基於文件的惡意軟件,惡意軟件修復功能將幫助您擺脫大部分攻擊。 不利的一面是會有大量誤報,一些錯過的惡意軟件,並且緊急黑客清理服務過於昂貴。

我們很高興試用 Wordfence,因為它是使用最廣泛的安全插件。 在經歷了一些可怕的經歷(閱讀:iThemes)之後,很高興看到該插件如何處理 WordPress 安全性。

Wordfence 安全插件

我們將在後面的部分中更詳細地介紹,但這里首先要討論安全性的主要方面。

Wordfence 有一個不錯的掃描器,它可以收集我們在免費插件和主題中擁有的所有基於文件的惡意軟件。 但是,關於它的有效性有一些重要的警告。 掃描程序無法檢測基於數據庫的惡意軟件,也無法檢測高級插件和主題中的惡意軟件。 此外,在我們的網站上運行掃描也造成了明顯的損失。

接下來,我們嘗試了惡意軟件的自動修復。 令我們高興的是,它幾乎立即修復了網站上所有基於文件的惡意軟件; 不是基於數據庫的惡意軟件。 想一想,這對於清潔工來說並不是很好的表現,但它顯然比這個測試系列中的其他產品要好,我們真的很高興看到不同之處。

防火牆非常有效,阻止了困擾網站的大多數主要和常見的 WordPress 攻擊。 我們在這裡遇到的一個問題是防火牆會為我們生成大量警報。 我們真的需要知道來自德國的某人在過去 5 分鐘內通過 20 條單獨的通知嘗試入侵我們的網站 20 次嗎? 不,我們沒有。 幾天之內,我們的收件箱就被 Wordfence 警報淹沒了,不可能從穀殼中分揀出小麥。 此外,免費用戶比高級用戶更晚獲得防火牆更新,因此黑客有機會闖入未受保護的網站。

其他方面也有相當多的安全功能。 Wordfence 運行精益船舶,所有其他功能,例如在檢測到漏洞時更新插件,都留給 wp-admin。 有道理,因為為什麼要在同一個儀表板上複製它? 它具有很好的蠻力保護,並且兩因素身份驗證非常強大。

我們也很喜歡這個插件的巨大可用性。 語言平易近人,直截了當,沒有使用過多的行話。 為高級用戶準備的更高級功能也隱藏在設置中。

然而,我們驚訝地註意到沒有活動日誌,除非是為 Wordfence 開發人員準備的最不可讀的列表。 此外,該網站根本沒有機器人保護。 最後,對於這個插件來說,最可惡的是,它需要大量的服務器資源才能運行。 以至於網絡主機已經完全禁止使用 Wordfence。

總而言之,Wordfence 是一款出色的安全插件,但不是最適合您網站的插件。 MalCare 是一款出色的掃描儀、有效的惡意軟件清理和具有實時更新的高級防火牆。

在安全插件中尋找什麼

WordPress 安全性可能是一個令人困惑的野獸,尤其是在處理大量在線可用的錯誤信息時。 有一件事是肯定的,黑客可能會花費您的收入、業務、訴訟、自付費用、品牌推廣、自然流量等等。 正確的安全插件將抵消所有這些,除了節省您投資其他業務領域的時間和金錢。

我們經常遇到這樣的問題:如何為您的 WordPress 網站選擇合適的安全插件?

答案通常是功能清單。 有些是至關重要的,有些則不是那麼重要。 但是每個插件都想向您推銷其 100 多個功能,其中大多數功能對您的網站安全幾乎沒有影響。 但是這個列表會混淆這個問題,足以讓 WordPress 安全再次令人頭疼。

因此,我們編制了這個重要且簡短的安全功能列表。 您應該尋找一個安全插件,該插件幾乎可以勾選此列表中的所有內容,並為它沒有的功能獲取其他解決方案。

  • 基本安全功能
    • 惡意軟件掃描
    • 惡意軟件清理
    • 防火牆
  • 值得擁有的安全功能
    • 漏洞檢測
    • 暴力登錄保護
    • 活動日誌
    • 兩因素身份驗證
  • 潛在問題
    • 對服務器資源的影響

唯一接近所有盒子的插件是 MalCare。 通過選擇 MalCare,您可以確保您的網站從黑客及其惡意軟件那裡獲得最佳的安全性。

iThemes Security vs Wordfence:功能的頭對頭比較

在本節中,我們詳細介紹了我們的發現,以防您有興趣閱讀有關特定功能的更多信息。 經過 45 天的測試,我們獲得了大量信息和大量發現。 為了您的閱讀樂趣,所有內容都封裝在這裡。

這些功能從最重要到最不重要排序,我們根據每個因素評估這兩個插件。 我們的目標是盡可能公平地展示我們發現的所有內容,因此我們在任何地方都沒有退縮。

但是,如果您只想了解此練習的關鍵,請安裝 MalCare,您就不必聽說我們發現的一些恐怖事件。

惡意軟件掃描

Wordfence 的掃描儀在我們的測試網站上檢測到基於文件的惡意軟件,但在我們的數據庫中沒有檢測到惡意軟件。 它還錯過了高級插件和主題中的惡意軟件。 iThemes Security 一開始並沒有掃描我們的網站,所以它顯然不會發現任何惡意軟件。

安裝 Wordfence 後,它會自動設置第一次掃描。 到目前為止,太棒了。 離開掃描儀完成,並探索了幾個小時的其他功能。 只是看到它仍然停留在60%。 考慮到網站很小,有什麼好處?

原來,60% 不是一個進度條,而是一個百分比,表示免費掃描儀的功效。 要獲得完整的 100%,您需要升級到插件的專業版。 很公平,但它在儀表板上的顯示方式非常混亂。

Wordfence 惡意軟件掃描狀態

我們重新開始掃描,很高興看到它很快就完成了。 掃描程序標記了大部分惡意軟件,儘管不是全部。 它很容易檢測到的惡意軟件位於核心 WordPress 文件中,以及免費插件和主題的文件和文件夾中。 它錯過了數據庫中被黑客入侵的重定向惡意軟件,以及高級插件和主題中的任何文件。

我們向 Wordfence 投放了大量基於文件的惡意軟件,它幾乎檢測到了所有惡意軟件。 它具有用於簽名匹配算法的廣泛惡意軟件數據庫,因此我們預計它將檢測到大約 70% 到 80% 的惡意軟件。 這不如 MalCare 的 95%,但它比所有其他安全插件要好得多。 畢竟,檢測是成功的一半。

Wordfence 惡意軟件掃描儀表板

我們對 Wordfence 的警告是有大量的警報和大量的誤報。 這兩個因素都可能導致警報隨著時間的推移失去影響,然後真正的危險可能會在不加註意的情況下溜走。 此外,掃描需要大量的服務器資源來執行。 我們將在後面的部分中對此進行更多討論。

iThemes 掃描儀根本不掃描惡意軟件。 它會檢查您的網站是否在黑名單上,而這也只是一個黑名單。 Sucuri 也有這項檢查,但他們有禮貌,首先,不將其標記為掃描儀,其次,檢查的不僅僅是谷歌的黑名單。 我們的測試站點顯然不在黑名單上,因為它們沒有被索引。 那麼,當 iThemes 的惡意軟件掃描報告為我們提供了一個充滿惡意軟件的網站的干淨提示時呢? 沒有留下深刻印象。

主題掃描儀

惡意軟件清理

iThemes Security 沒有自動或其他方式清除惡意軟件。 Wordfence 可以修復惡意軟件文件,但效果取決於檢測到的惡意軟件。 Wordfence 提供高級惡意軟件清除服務,每個站點的收費高達 490 美元。

完成掃描後,Wordfence 列出了 2 個處理被黑文件的選項——除了 CTA 以獲得專業幫助:刪除所有可刪除文件並修復所有可修復文件。

在顯示有關刪除文件如何破壞您的網站的可怕消息後,刪除選項成功刪除了 1 個文件而沒有錯誤。 這是真的,但惡意軟件也很可怕! 無論如何,這個選項有點像一個潮濕的爆管,所以轉而使用維修選項。 修復選項有類似的警告,但我們通電並且能夠修復大部分文件。 當我們通過 MalCare 的掃描程序運行該站點時,該站點沒有惡意軟件。

在 Wordfence 中刪除文件通知

大多數其他安全插件在這個時候都失敗了,所以我們不需要進一步測試。 我們得到了我們的結果。 但是,Wordfence 的惡意軟件特徵庫是全面的,所以我們拓寬了網絡。

我們將被黑的重定向惡意軟件添加到我們的網站數據庫中,並添加了一些日語關鍵字 hack 的實例。 我們還在我們的高級插件和主題中隱藏了大量惡意軟件,懷疑這些東西會絆倒掃描儀和清潔器。 他們做到了。

得出的結論是,如果 Wordfence 團隊已經看到了惡意軟件,那麼修復文件就可以了。 否則不會。 當數據庫中存在惡意軟件時,Wordfence 也會失敗。 因此,像重定向黑客這樣的惡意軟件,甚至只是更新的惡意軟件,肯定會被遺漏。 它還會錯過非核心 WordPress 文件或非公共插件和主題中的惡意軟件。 Wordfence 無法在高級插件和主題中找到惡意軟件。

如果自動修復不起作用,您可以選擇 Wordfence 的惡意軟件清除服務。 該服務會刪除惡意軟件、後門,並評估網站的漏洞。 Wordfence 還有助於將惡意軟件猖獗的網站從它可能登陸的任何黑名單中刪除。 網站清理保證一年,前提是網站管理員嚴格遵守黑客攻擊後的說明。 我們無法評論惡意軟件清除服務的有效性,因為我們沒有嘗試過。

正如我們之前所說,iThemes Security 無法清除惡意軟件,因此在這方面無需多說。

根據我們的經驗,惡意軟件清理是 WordPress 安全性最關鍵的方面。 它絕對應該只由安全專家來完成,因為事情很可能會出現可怕的錯誤。 MalCare 讓您可以選擇自動清除惡意軟件,並訪問安全專家來幫助解決可能出現的任何問題。

防火牆

iThemes Security 沒有防火牆。 Wordfence 有一個 Web 應用程序防火牆,可以有效地抵禦大多數主要和常見的威脅。 但是免費版比高級版更新更晚。

WordPress 防火牆是您的安全武器庫的重要組成部分,因為它通過使用規則來阻止攻擊和惡意流量。 在我們審查的大多數安全插件中,我們避免解釋更多的技術細節,因為沒有任何意義,因為防火牆要么很糟糕,要么根本不存在。 但是有了 Wordfence,事情就變得有點複雜了。

當我們安裝 Wordfence 時,防火牆直接進入了學習模式。 這是必需的步驟,以便防火牆可以了解站點的正常流量,從而更有效地阻止威脅。 由於我們的網站沒有任何流量,因此我們立即關閉了學習模式,但建議您至少保持一周。

Wordfence防火牆學習模式

有一個單獨的部分來管理 Wordfence 防火牆,因此我們接下來進行了探討。 當您第一次看到它時,它會解釋什麼是防火牆以及它如何保護您的網站。 它還在此處介紹了術語“Web 應用程序防火牆”並進行了簡短描述。

在測試了免費和高級防火牆之後,很明顯 Wordfence 在兩個版本中都有出色的防火牆。 他們都阻止了一系列 SQL 注入攻擊、跨站點請求偽造、遠程代碼注入和跨站點腳本攻擊。 我們無法利用插件和主題漏洞。

那時我們認為我們應該深入挖掘:免費版和高級版之間有什麼區別?

在防火牆選項中,Wordfence 解釋了不同之處:免費版本作為常規插件加載,在 WordPress 加載之後。 此外,高級版會接收實時規則更新,而免費版會在未指定的時間長度後接收更新。

這兩件事都讓我們停下來。

首先,應首先加載防火牆以獲得最佳保護,但是大多數帶有防火牆的安全插件通常像常規插件一樣在 WordPress 之後加載。 如果是這種情況,Wordfence 防火牆可以阻止大部分惡意流量,但肯定不是全部。

其次,Wordfence 擁有最新的防火牆,但非高級用戶稍後會獲得更新。 即使那個窗口也是有問題的,因為黑客可以在此期間進行攻擊。 免費防火牆何時獲得規則更新:幾天、幾週或幾個月後? 誰知道。

不出所料,iThemes 沒有防火牆。

漏洞檢測

iThemes Security 無法檢測漏洞,更不用說幫助解決它們了。 Wordfence 發現了我們塞進網站的所有漏洞,無論它們是流行的還是晦澀的。

Wordfence 將所有已發現漏洞的過時插件正確標記為嚴重威脅。 我們在列表中還包括了一些不起眼的插件,其中一些用戶不到 200 人。 其他插件無法識別這些漏洞,所以看到 Wordfence 做到了令人耳目一新。 掃描程序甚至將過時的插件標記為中等威脅,這非常好,因為保持一切更新總是好的。

wordfence漏洞檢測

您無法直接從 Wordfence 儀表板修復漏洞。 大多數其他插件,如 Jetpack 和 Sucuri,推薦更新並允許您從同一個面板執行這些更新。 但是環顧 Wordfence,沒有辦法做到這一點。 不過,它確實會將您帶到更新儀表板,這已經足夠了。 複製 wp-admin 上已經存在的現有功能沒有合乎邏輯的理由。

有趣的是,掃描儀還向我們顯示了我們在其中一個測試站點上安裝的 iThemes 和 BackupBuddy 插件的錯誤。 插件中似乎存在編碼異常。

我們曾希望 iThemes 掃描程序至少檢查漏洞,考慮到它作為惡意軟件掃描程序的慘敗。 是的,沒有。

最重要的是,iThemes 儀表板有一個計數器,指示自安裝插件以來已進行了多少更新。 我們認為這個指標的糟糕藉口應該有助於跟踪插件和主題更新。 不過確實不是。

暴力登錄保護

iThemes 有時會阻止蠻力攻擊,有時則不會。 Wordfence 準確無誤地阻止所有暴力攻擊。

使用 iThemes,我們看到了不一致的蠻力塊。 當我們嘗試在登錄頁面上輸入一系列錯誤的憑據時,iThemes 僅阻止了一個站點上的嘗試,而不阻止另一個站點上的嘗試。 兩個站點之間的唯一區別是第一個站點有惡意軟件,而第二個站點沒有。 惡意軟件通常是成功登錄攻擊的結果,因此這種差異不太可能是原因。 經過幾個小時反复嘗試測試,結果尚無定論。 我們最終放棄了試圖找出似乎是一個錯誤的嘗試。

在這個非常沮喪的練習之後,我們檢查了 iThemes 日誌。 每次不正確的登錄嘗試都被記錄為暴力攻擊,即使我們真的忘記了密碼也是如此。 然而,該插件並沒有阻止所有這些。 非常奇怪,因此不可靠。

使用 Wordfence,我們首先查看了設置。 默認情況下啟用蠻力保護,您可以進入防火牆部分自定義選項。

您可以為不正確的登錄嘗試設置鎖定,甚至在一定次數的不正確登錄嘗試後用戶將經歷多長時間的鎖定。 特別棒的是,他們在出色的文檔中解釋了每個選項的作用,以及如何最有效地使用它來保護網站。

您可以為不被防火牆測試的 IP 設置允許列表。 我們已經在很多插件中看到了這個功能,但是隨著設備 IP 的變化,它沒有多大意義。

強密碼選項也在這裡。 您可以強制使用強密碼,防止使用在數據洩露中發現的密碼等等。

wordfence蠻力保護

最後,我們開始測試,蠻力保護完全按照我們選擇的設置工作。 每次都很完美。

您對本網站的訪問暫時受到限制

活動日誌

iThemes 活動日誌不會記錄所有事件,因此它是無用的。 Wordfence 根本沒有活動日誌。

我們是謙虛活動日誌的大力倡導者。 它是一種必要的安全工具,因為黑客會利用日誌記錄不足來攻擊站點。 理想情況下,您需要一個可靠的日誌,其中包含有關您網站運行情況的正確信息。

所以不像 iThemes 那樣。 iThemes 活動日誌承諾提供優質信息,例如用戶活動、版本管理、站點掃描和暴力攻擊。 但這些都沒有準確記錄,因此不能相信呈現正確的圖片。 除此之外,沒有插件或主題。

主題日誌

令人驚訝的是,Wordfence 沒有活動日誌。 有一個選項可以從工具下的診斷部分啟用調試,這允許防火牆日誌更加詳細。 僅在“掃描”部分中有 Wordfence 事件的完整活動日誌,但這與活動日誌不同。 此外,它是專供 Wordfence 開發人員使用的原始日誌。 通過啟用調試模式,您還將消耗更多的服務器資源。 在那一節裡說得很清楚。

wordfence活動日誌

兩因素身份驗證

iThemes 具有出色的雙重身份驗證,開箱即可無縫運行。 與 Wordfence 相同。

雙因素身份驗證在兩個插件上都能完美運行。 兩者都有很多選項和最少的設置。 使用 Wordfence,雙因素身份驗證曾經是一項高級功能,現在他們也為免費用戶啟用了這項功能。

wordfence 兩因素身份驗證
文字圍欄
主題 2fa
主題

我們對 iThemes 專業版只有一點點觀察。 專業版中有許多刪除登錄令牌的設置:無密碼登錄、受信任的設備、魔術鏈接等。 在我們看來,他們通過簡化登錄過程直接反對雙因素身份驗證的原則。

服務器資源使用

iThemes 對您的服務器資源非常友好,因為它根本不做任何事情。 Wordfence 實際上被某些網絡主機禁止,因為它對服務器資源的巨大成本。

我們很高興能夠讓 Wordfence 完成它的步伐。 然而,當我們檢查網站的性能時,真正的驚喜來了。 隨著 Wordfence 掃描的發生,我們網站的磁盤使用量增加了一倍,在某些情況下增加了三倍。 我們承認我們的測試站點非常小,因此它們一開始不會消耗太多資源,但這仍然是一個重大的飛躍。 在較大的網站上,懲罰將是相當可觀的。

事實上,對默認設置的任何更改都會附帶一個警告,即會消耗更多的服務器資源。 然後可以安全地假設 Wordfence 使用站點服務器資源來執行其所有任務。

wordfence服務器資源消耗圖

這已經夠糟糕了,但使用防火牆會變得更糟。 任何持續的攻擊都會使網站不堪重負,即使網站受到了這些攻擊的保護。

服務器資源使用很少成為網站安全的話題,但安全插件通常會對網站性能造成顯著影響。 以至於管理員不得不在安全性和可用性之間做出權衡。 我們認為這不應該是這種情況,您可以通過 MalCare 吃蛋糕和吃蛋糕。

iThemes 非常適合您的服務器資源。 不能對您的網站安全說同樣的話。

警報

iThemes 不會向您發送任何警報。 Wordfence 發送太多。

警報需要在沒有警報和太多警報之間找到最佳位置。 兩者都是同樣糟糕的極端,因為最終結果是您不知道您網站的實際安全性是什麼。

Wordfence 的掃描儀會產生很多誤報,所以你真的不知道你的網站什麼時候真的被黑了。 過了一點,就可以變成那個叫狼來了的男孩。 與防火牆相同。 防火牆應該只是阻止攻擊而不每次都發出警報,因為它沒有任何目的。 因此,我們認為 Wordfence 生成的警報太多,根本沒有用處。

iThemes 會發送一堆完全平庸、無用的電子郵件:文件更改通知報告、數據庫備份和其他對我們設置的確認。 還有關於我們網站的每日安全摘要和每週漏洞報告。 我們認為這是據我們所知,因此我們可以手動更新我們的一個或多個網站上的違規插件和主題。

主題安全摘要

安裝、配置和可用性

Wordfence 的安裝就像一個魅力。 沒有復雜的設置和晦澀的配置。 另一方面,iThemes 真的很難。

iThemes 看似容易上手,然後慢慢演變成許多無用的設置。 在創建儀表板之前,需要進行冗長的配置。 老實說,我們應該已經閱讀了這些跡象,並將其視為失敗的原因。 但我們是為了更大的利益而懲罰這種權力的貪食者。

主題設置

Wordfence 安裝非常簡單,並且沒有預先的配置選項。 彈出的第一個屏幕是電子郵件訂閱,它清楚地表明您在收件箱中收到了安全新聞。 下一個屏幕是升級到高級版的提示。 在這一點上,我們不知道免費插件有什麼功能,所以我們沒有立即提供我們的高級許可證。

當您第一次訪問 wp-admin 上的儀表板時,有一個 3 工具提示演練。 Wordfence 的可用性和語言非常棒。 對這些功能以及它們如何影響安全性給出了明確的解釋。 它不是壓倒性的,也不是愚蠢的東西。

儀表板設計非常直觀,您可以一目了然地看到與您的網站相關的所有重要安全方面。 總的來說,我們對 Wordfence 的第一印象非常棒。

此外,Wordfence 為您提供有用的配置建議。 您可以從儀表板上的工具提示中訪問的文檔是高度上下文相關的。 它清楚地列出了每個功能的作用和原因,以及如何對其進行最佳設置以在您的網站上運行。 同樣,值得注意的是所使用的語言是如何平易近人的。

iThemes:額外內容

在審查了安全的關鍵方面並發現 iThemes 嚴重缺乏之後,這部分似乎幾乎是可笑的。

iThemes 為插件填充了大量功能,這些功能對安全性幾乎沒有影響。 恰當的例子:白名單 IP 功能。 我們的設備 IP 一直在變化,所以這並不能保證某些人會被允許訪問該站點,這大概就是重點。

還有一個文件更改監視器,它每 24 小時向您的電子郵件地址發送一份報告。 該報告包含所有已更改文件的列表。 不是改變是什麼,是誰做的,或者是什麼時候發生的。 不,只是一封電子郵件說:“你好! 您網站上的所有這些現在都與昨天不同了。 再見!”

主題文件更改

一旦我們克服了煩惱,我們想承認 iThemes 有一個很好的密碼管理系統。 您可以強制使用強密碼,並拒絕在網站上使用已洩露的密碼。 我們無法對此進行最終測試,但結果還是參差不齊。

主題用戶安全配置文件

有一個有用的強化功能:在上傳文件夾中阻止 PHP 執行。 其他都是廢話。

Wordfence:附加功能

Wordfence 附加功能都嚴格與安全相關。 沒有相鄰的有用功能,例如更新或用戶管理選項。 話雖如此,還有很多額外的東西。

初始安裝後,我們看到了站點更新的通知部分。 在我們的測試站點上,它告訴我們需要更新 5 個插件。

Wordfence Central 狀態允許您從每個站點的 wp-admin 管理多個站點。 如果您在同一個帳戶上有幾個站點,這是有道理的,但空間有限,不適用於擁有數百個站點的代理機構。 好東西有一個外部儀表板。 您必須在 Wordfence 網站上創建一個帳戶才能訪問 Wordfence Central。 我們認為,在站點儀表板上設置中心框沒有意義。

我們將所有測試站點添加到 Wordfence Central,並對所有測試站點進行了鳥瞰。 對於超過 20 個站點來說,它並不是最好的佈局。 想法很好,執行力不足。

wordfence中央

接下來我們檢查了工具部分。 有一個實時流量面板,乍一看,它似乎是谷歌分析的一個版本,但事實證明不止於此。 您可以將流量日誌設置為包括所有流量或僅包括與安全相關的流量。 日誌很棒,因為有一個清晰的圖例表明網站正在獲得什麼樣的流量:人工、機器人、警告、被阻止。

wordfence中的實時流量

還有一個 Whois 查詢,以防您想查看誰在攻擊您的網站。 這充其量只是一個裝飾,因為此功能也很容易在線獲得。

診斷是一個有趣的功能。 它包含有關網站的大量信息,從流程所有者到數據庫表等等。 它就像一個地方的網站規範,以及每件事的狀態。 很難想像普通用戶(非開發人員)會如何使用這些信息,但對開發人員來說絕對有用。

wordfence中的診斷

iThemes Security 和 Wordfence 缺少什麼

iThemes 缺少掃描儀、清潔器和防火牆。 此外,如果它具有功能強大的暴力保護和活動日誌,並且偶爾檢測到漏洞,那就太好了。 一個人可以希望。

Wordfence doesn't have bot protection nor an activity log. Other than that, it is a comprehensive and well-rounded security plugin.

Wordfence vs iThemes Security: Pricing

It is not worth buying iThemes Security, because its only worthwhile feature is two-factor authentication, which is available for free. Wordfence premium is available for $99 for the year, but the free version is strong enough on its own.

Wordfence's free plugin is really great, considering it is free. The premium licenses are at a max of $99 per site, and get progressively lower with the more licenses you purchase.

wordfence premium license details

The real kicker is the site cleaning service which is a hefty $490 per site, and although they say unlimited pages in the features, additional charges may apply for sites above 10 GB—which, fair enough. They do have a malware removal guarantee for 1 year, but there are caveats in the small print. So read those carefully.

After reading this article, you know that iThemes isn't worth your money. Use it for two-factor authentication or get a dedicated plugin for that feature.

iThemes pricing

Better alternative to iThemes Security and Wordfence: MalCare

The best thing you can do for your website is to invest in a good security plugin. The plugin should scan, clean and protect your website from all manner of threats. During our testing series, only one plugin stood out: MalCare. It outshines iThemes in every way, and has a much better scanning, auto-cleaning, firewall, and notifications compared to Wordfence. It is a no-brainer.

MalCare's $99 Basic plan includes unlimited cleanups, which is equivalent to Wordfence's $99 plan and $490 per cleanup needed thereafter.

結論

We hope this article helped you decide on a way forward for your website security. If you have any questions or thoughts, do drop us a line. We would love to hear from you!