• 主頁
  • 文章
  • 指導
  • Sucuri vs Wordfence:哪個安全插件最適合您的 WordPress 網站

Sucuri vs Wordfence:哪個安全插件最適合您的 WordPress 網站

已發表: 2022-04-22

Wordfence 和 Sucuri 都是 WordPress 安全插件的重量級冠軍。 在任何對話中,它們不可避免地會出現,人們對於哪個是最好的安全插件存在分歧。

Sucuri 有一個流行的在線掃描儀,網站管理員廣泛使用它來檢測惡意軟件。 他們的插件也有服務器端掃描器、防火牆和許多其他安全功能。 Sucuri 通過他們的任何計劃提供無限制的惡意軟件清除。

Wordfence 是 WordPress 安全插件無可爭議的領導者。 該團隊用大量教育內容補充了他們的安全插件,幫助管理員了解如何保護他們的網站免受黑客攻擊。 該插件具有掃描儀和防火牆,並且還可以刪除一些惡意軟件。 他們也有惡意軟件清除服務,但這是一項按需付費功能。

為了回答在 Sucuri 與 Wordfence 之戰中哪個更好,我們對這兩個插件進行了廣泛的測試。 正如您將在本文的其餘部分中看到的那樣,這些測試旨在使插件跳閘,以便您可以為網站的安全性做出最佳決策。

5 個安全插件、3 個網站、45 天和大量惡意軟件。 結果是決定性的。

VERDICT Sucuri vs Wordfence不是一個簡單的問題。 兩者都有惡意軟件掃描程序和防火牆。 Wordfence 有一個自動清理器和一個昂貴的惡意軟件清除服務,而 Sucuri 的計劃只是無限清理。 在權衡了所有因素之後,Wordfence 肯定是贏家。 請繼續閱讀以了解更多信息。

我們的選擇

對於這個系列,我們開發了 3 個測試網站:首先,一個簡單的博客,有很多圖片和評論作為控件; 第二,一個有很多易受攻擊的插件和不同程度的模糊主題的網站; 最後,一個網站加載了不同類型的惡意軟件。

一個有效插件的標準是多方面的,但我們想歸零一個簡單的問題:該插件是否能很好地保護您的網站免受黑客和惡意軟件的侵害?

45 天后,我們得到了答案。 對於 5 個插件中的 4 個,答案是否定的。 1 個插件在所有方面都獲勝。 該插件是 MalCare。

MalCare 擁有我們見過的最好的惡意軟件掃描程序,可以從文件、數據庫和文件夾中檢測惡意軟件,無論它隱藏得多麼好。 它有一個真正有效的自動清潔器,只清潔具有外科手術精度的惡意軟件。 最後,一個高級防火牆可以阻止可以利用您的網站的威脅。

最適合您的 WordPress 網站的安全插件無疑是 MalCare。

Sucuri vs Wordfence比較總結

在這場激烈的戰鬥中,Wordfence 是贏家。 不過,我們不得不承認這是一個很接近的決定,因為 Sucuri 也有它的觀點。

Sucuri 與 Wordfence 比較

我們可以看到為什麼人們如此著迷於哪個更好,因為 Wordfence 的缺陷是 Sucuri 的強項,反之亦然。 因此,根據個人的個人經驗,他們會提倡解決他們特定問題的插件。

但正因為如此,對於所有 WordPress 網站來說,哪一個整體上更好,並沒有客觀的答案。 答案是否定的。 您不必在安全性的一個方面或另一個方面妥協。 通過獲取 MalCare 來獲得這一切。

Wordfence 簡而言之

Wordfence 是繼 MalCare 之後 WordPress 網站的最佳安全插件。 免費版本功能強大,具有強大的安全功能。 掃描程序檢測到大多數基於文件的惡意軟件,並且能夠清除它檢測到的大部分內容。 防火牆是最新的防火牆之一,可以阻止多種威脅。 缺點是網站性能受到 Wordfence 的巨大打擊,而且他們的惡意軟件清理服務很昂貴。

WordFence 安全 WordPress 插件

Wordfence 的掃描器能夠檢測到我們插入到免費插件和主題中的所有基於文件的惡意軟件。 如果這聽起來很奇怪,那是因為它是。 它無法檢測到數據庫中的惡意軟件,也無法檢測到插入高級插件和主題的惡意軟件。 這是因為 Wordfence 使用的文件匹配檢測機制嚴重依賴於公開可用的代碼。

掃描結果標記了惡意軟件以及已安裝主題和插件中的漏洞。 有趣的是,Wordfence 還將我們的一些高級插件標記為惡意軟件或錯誤。 這些都是誤報,我們能夠看到,因為我們習慣於在 WordPress 代碼中挖掘。 但是一些網站管理員可能最終會因此而刪除完全可行的插件。

此外,還有一個選項可以在顯示掃描結果後自動修復惡意軟件纏身的文件。 我們試過了,它奏效了。 所有檢測到的惡意軟件都已從網站上刪除。 當然,它無法修復一開始就無法檢測到的惡意軟件。

Wordfence 掃描

接下來,我們嘗試了防火牆。 它很有效,阻止了我們對它的許多威脅。 但每次防火牆阻止威脅時,我們都會收到警報。 在我們的測試過程中有很多警報,我們只能想像在現場會發生什麼。 管理員肯定會不知所措並錯過關鍵警報。

除了這三個主要標準之外,Wordfence 上還有許多其他選項。 蠻力保護非常好,兩因素身份驗證就像一個魅力。

真正讓這個插件提升了幾個檔次的是它非常棒的可用性。 Wordfence 是一個複雜的安全插件,但對於新手來說也很容易上手。 儀表板的佈局方式、提示和隨附的文檔,任何人都可以配置安全插件,而不會意外地使他們的網站無法使用。 在我們看來,這是一個巨大的優勢,尤其是與 Sucuri 對比時,您將在後面看到。

Wordfence 令人驚訝地沒有活動日誌,我們認為這很奇怪。 但真正令人沮喪的是它是一個資源匯。 我們在網站上運行的每次掃描都會導致磁盤使用量激增,網站性能下降。 正是出於這個原因,許多網絡主機都禁止了 Wordfence。

總而言之,Wordfence 是一款出色的安全插件,但存在嚴重缺陷。 MalCare 具有所有優點,而且沒有任何缺陷,但它是正確的選擇。

簡而言之,蘇庫裡

Sucuri 有一個很好的防火牆,他們的惡意軟件清除服務很棒。 但是惡意軟件掃描程序未能檢測到任何惡意軟件,即使他們的團隊後來將其刪除。 沒有正常運行的惡意軟件掃描程序的安全插件是無效的。

Sucuri 是唯一有機會與 MalCare 和 Wordfence 一起考慮的其他插件,因為它有時至少可以用作安全插件。 Jetpack 和 iThemes 被註銷。

Sucuri 插件

它可以說是最流行的安全插件之一,但它仍然在一個基本領域失敗:惡意軟件掃描。 正如我們稍後將看到的,他們的惡意軟件清除服務是一流的。 他們高效而迅速,在我們預期之前就回復了我們,並在清理網站方面做得很好。 但是,如果它不是我們創建並塞滿惡意軟件的測試網站,我們一開始就不會知道它被感染了,因為掃描程序為我們提供了一個乾淨的黑客攻擊。 所以,實際上,蘇庫裡是本末倒置的經典案例。 您必須知道該站點已被黑客入侵才能對其進行清理,但無法知道該站點是否已被 Sucuri 的掃描儀入侵。

繼續前進,防火牆表現良好。 它可以輕鬆、一致地抵禦 SQL 注入和遠程代碼執行攻擊等攻擊。 但這是一場噩夢。 因為我們使用的是測試站點,所以將名稱服務器更改為指向 Sucuri 的防火牆 IP 而不是我們的測試站點時會遇到很多麻煩。 如果最後一句話沒有任何意義,沒關係。 我們也花了很長時間來配置它。 公平地說,您不會在實時站點上遇到這樣的困難,但是如果您想將其配置到臨時站點或本地站點? 期待問題。

當我們查看其他配置選項時,我們已經對防火牆感到沮喪。 為什麼一切都這麼複雜? 語言令人困惑,在某些情況下,完全居高臨下。 那是在我們意識到每次安全掃描都會減慢我們的測試網站之前。 當我們檢查服務器磁盤使用情況時,出現了驚人的激增。

Sucuri 使用站點資源來掃描惡意軟件——請記住,這是一個不起作用的掃描程序。 所以它沒有做它應該做的事情,並且仍然會破壞網站的性能。 Sucuri 看起來不是很好。

哪個安全插件值得您花錢?

WordPress 安全建議數量眾多且出於善意,但通常是不好的建議。 我們看到人們提倡 iThemes——我們見過的最糟糕的安全插件之一——因為他們的網站從未被黑客入侵,完全不考慮他們定期更新插件、使用良好密碼、不使用無效軟件以及擁有一大堆運氣。 如果 GoDaddy 可能存在數據洩露,那麼您的網站也可能存在。

問題的關鍵是如何選擇一個好的安全插件。 我們編制了一份基本清單,刪除了與安全無關的內容。

  • 基本安全功能
    • 惡意軟件掃描
    • 惡意軟件清理
    • 防火牆
  • 值得擁有的安全功能
    • 漏洞檢測
    • 暴力登錄保護
    • 活動日誌
    • 兩因素身份驗證
  • 潛在問題
    • 對服務器資源的影響

如您所見,您只需要擔心 3 個基本功能。 一個安全插件應該擅長這三件事:惡意軟件掃描、惡意軟件清理防火牆。 其他的都是肉汁。 我們不會放棄暴力保護或兩因素身份驗證,因為這些也很重要。 但是您可以為該功能獲取其他插件。

MalCare 是唯一具有強大惡意軟件掃描和清理功能的安全插件,以及可抵禦威脅的高級防火牆。 每個其他插件都在一個地方或另一個地方失敗。

Sucuri vs Wordfence:功能的頭對頭比較

選擇正確的安全插件可能是一種令人困惑的體驗,尤其是當您必須測試每個插件的功效時,希望它一直有效。

在本節中,我們展示了按功能組織的測試結果。 比較和對比插件之間的相同功能可以更清楚地了解安全插件的有效性。

我們盡可能公平和透明地闡明了我們的結果,以幫助人們為他們的網站做出更好的選擇。 但是,如果您想快速保護您的網站,請安裝 MalCare 並跳到最後。

惡意軟件掃描

Sucuri 有 2 個掃描儀:一個稱為 SiteCheck 的在線掃描儀,以及一個作為插件一部分的服務器級掃描儀。 兩者都沒有檢測到惡意軟件。 Wordfence 有一個不錯的惡意軟件掃描程序,可以檢測核心文件和文件夾中的惡意腳本,以及免費插件和主題中的惡意腳本。 否則,它會錯過數據庫中的惡意軟件以及高級插件和主題。

我們經常推薦 Sucuri SiteCheck 作為惡意軟件的一級診斷工具,以防有人懷疑他們的 WordPress 已被黑客入侵。 它無法掃描整個網站,但它可以快速識別常見的惡意軟件感染,並且無需安裝插件即可。

Sucuri 現場檢查結果

我們對服務器級掃描儀抱有更高的期望,因為它可以完全訪問網站。 與其他插件相比,安裝有點不同,因為掃描儀需要安裝到您的 Web 服務器上。 這可以手動完成,也可以通過在儀表板上輸入 FTP 詳細信息來完成。 我們完成了安裝並等待掃描完成。

相當長的一段時間後,掃描完成,我們充滿惡意軟件的網站顯然沒有受到黑客攻擊。 第二次運行掃描,看看第一次是否有錯誤。 不,根據 Sucuri 的說法,仍然沒有惡意軟件。 重大失敗。

suuri 服務器端掃描器

安裝時,Sucuri 設置為每天運行一次,但您可以請求按需掃描。 請求排隊,然後根據可用性執行。 該插件本身會警告您掃描您的網站會耗盡服務器資源,因此會影響您網站的性能。 老實說,這很糟糕,因為安全性不應該以犧牲性能和用戶體驗為代價。 我們將在另一部分更詳細地討論這一點。

Wordfence 還會在安裝時自動運行掃描。 不過這裡有點混亂,因為我們假設儀表板上的百分比圓圈是掃描儀的進度。 在我們看到它在幾個小時內沒有超過 60% 之後,我們更仔細地觀察並意識到這是對掃描儀效率的衡量。 要達到 100%,您需要升級插件。

Sucuri 掃描類型和狀態

重新啟動掃描儀以測試它花費了多少時間,並且由於我們的測試站點很小,掃描儀在不到一分鐘的時間內就完成了。 這絕對是一個加分項。 掃描結果只是高於平均水平,並不完美,因為它檢測到了大部分惡意軟件,而不是全部。

原因是 Wordfence 使用簽名匹配來檢測惡意軟件。 這意味著 Wordfence 掃描器會將您網站的代碼與惡意軟件簽名數據庫進行比較。 如果匹配,掃描程序會將其標記為惡意軟件。 雖然 Wordfence 有一個強大的惡意軟件數據庫,他們會根據他們的安全研究定期更新它,但它永遠不可能 100% 完整,因為團隊需要看到惡意軟件才能在數據庫中更新它,而且無論綜合研究如何,新的惡意軟件一直出現

因此,Wordfence 擅長在 WordPress 核心文件和文件夾中發現惡意軟件,以及免費插件和主題中的惡意腳本。 但它無法檢測高級軟件中的惡意軟件,例如 Elementor,因為它們無法訪問源代碼進行分析。 出於同樣的原因,Wordfence 也無法檢測數據庫中的惡意軟件,因為這需要一種超越簽名匹配的機制才能發現。

WordFence 掃描

話雖如此,Wordfence 檢測到了我們所有基於文件的惡意軟件。 據我們估計,它能夠檢測到 70% 到 80% 的惡意軟件。 它也容易出現誤報,並且往往會產生大量警報。 我們也將在單獨的部分中討論這一點。

惡意軟件清理

Wordfence 具有清除惡意軟件的自動修復功能,但對於更複雜的惡意軟件,其功效值得商榷。 他們有一項高級惡意軟件清除服務,但它可以在每個站點 490 美元的價格上挖一個洞。 另一方面,Sucuri 的所有計劃都包含無限的手動惡意軟件清理服務。

儘管 Sucuri 的掃描儀說我們的網站沒有惡意軟件——它確實有——但我們要求清理,並沒有期待太多。 但是,該網站一塵不染地回到我們身邊。 我們通過 MalCare 對其進行檢查。 奇怪的是,在 Sucuri 團隊清理我們的網站後,掃描儀在其上標記了惡意軟件。 顯然,某處的錯誤。

惡意軟件清除服務非常迅速。 儘管我們的計劃保證在 30 小時內做出響應,但我們在不到 10 小時內就得到了一個乾淨的站點。這太棒了。 我們要指出的唯一警告是,當您有一個被黑的網站時,時間至關重要。 您不能讓惡意軟件在您的網站上長期存在。 為了強調快速行動的重要性,谷歌黑名單還測量了您對惡意軟件通知的響應時間。

sucuri 惡意軟件移除

要刪除惡意軟件,您需要請求 Sucuri 進行清理。 填寫您可以提供的所有信息的表格,然後團隊從那裡接管。 我們收到了來自 Sucuri 的一條消息,其中包含一個包含很好建議的黑客攻擊後檢查清單。 因此,總體而言,Sucuri 的惡意軟件清理功能值得稱讚。

Wordfence 有 2 個選項可用於處理儀表板上的被黑文件:刪除所有可刪除文件並修復所有可修復文件。 這與 CTA 建議我們選擇他們的專業清潔服務不同。

我們嘗試了這兩種選擇,它們都相當成功地從我們的網站上刪除了惡意軟件。 問題在於,在自動刪除之前,網站會因更改而中斷的可怕警告。

我們的測試站點備份在 BlogVault 上,坦率地說,我們對它們的破壞並沒有那麼大驚小怪。 雖然我們能夠在沒有太多思考的情況下通過電源,但這是因為我們對測試修復功能感興趣。 但是,對於某人的電子商務商店或高流量網站來說,情況會大不相同。

在我們的測試系列中,我們通常在這一點停止,因為大多數其他安全插件都失敗了。 Wordfence 從我們的網站上清除了所有基於文件的惡意軟件,因此我們嘗試了使用數據庫惡意軟件和一些高級插件中的功能。 掃描儀無法檢測到這麼多惡意軟件,因此甚至無法選擇自動修復。

另一種選擇是請求刪除惡意軟件。 該服務旨在刪除惡意軟件、後門,並對網站進行安全審計,評估漏洞。 如果您的網站被列入黑名單,Wordfence 也將幫助您擺脫這種情況。 該服務的保修期為一年,具體取決於站點管理員是否嚴格遵守了黑客攻擊後的建議。 請注意:我們無法談論 Wordfence 的惡意軟件清除服務的功效,因為我們沒有嘗試過。

另一方面,我們使用 MalCare 自動刪除所有惡意軟件,並且我們能夠毫無問題地這樣做。 沒有可怕的警告,沒有錯過的惡意軟件,我們的網站在幾分鐘內就乾淨利落了。 這就是我們想要對我們的網站進行的惡意軟件清理。

防火牆

Sucuri 和 Wordfence 都有強大的防火牆,可以阻止最常見和主要的威脅。 但是 Sucuri 的防火牆安裝起來簡直就是一場噩夢,而且 Wordfence 的免費防火牆令人擔憂地比其高級版本更晚獲得更新。

Sucuri 的防火牆阻止了 SQL 注入、遠程注入和跨站點腳本攻擊等攻擊。 我們的測試網站存在大量漏洞,例如不安全的文件上傳,並且在防火牆後面保持安全。

suuri 防火牆日誌

我們對 Sucuri 防火牆的問題是它的安裝。 要使用防火牆,您需要將您的流量指向他們的名稱服務器,以便過濾掉不良流量,只將好的流量發送到您的網站。 好主意,但配置起來真是一場噩夢。 我們的測試網站沒有附屬於任何域名註冊商,所以我們不得不讓工程團隊來解決這個問題。

sucuri 防火牆配置

Wordfence 的防火牆也開箱即用,可以成功阻止攻擊。

安裝後,防火牆立即進入學習模式。 Wordfence 建議我們將學習模式開啟一周。 這是公平的,因為防火牆需要實時流量來學習如何發揮作用。 但是,由於我們的測試網站沒有實時流量,我們認為等待一周沒有什麼意義,並立即將其關閉。

WordFence 防火牆

使用 Wordfence,免費防火牆的效率據說只有 35%。 這不是我們的假設,而是實際上在儀表板上。 我們更深入地研究了為什麼會出現這種情況。 有2個原因:

一:在 WordPress 完成後,免費防火牆像插件一樣加載。 加載順序會顯著影響安全性,因為如果防火牆在 WordPress 核心之後加載,這意味著它只能阻止一些惡意流量,而不是全部。

二:雖然 Wordfence 擁有最新的防火牆,但高級版本會實時接收這些更新。 但是,免費版本會在未指定的時間長度後接收更新。 我們無法知道延遲是什麼,但它可能存在問題。 畢竟,黑客可以在窗口中進行攻擊。

最大的收穫是 Wordfence 自己將免費防火牆的效率比其高級版本高 35%。 不是很好。

漏洞檢測

Wordfence 在檢測我們網站上的所有漏洞方面做得非常出色。 Sucuri 完全錯過了那些不起眼的東西。

我們印象深刻的是,Wordfence 提醒我們所有過時的插件都是中等威脅。 這些漏洞被正確標記為嚴重威脅。 其他安全插件在更晦澀的插件和主題上絆倒了,根本沒有提醒我們它們的嚴重漏洞,例如跨站點腳本。 所以 Wordfence 在這裡勝出。

無法直接從 Wordfence 儀表板修復漏洞,但這是有道理的。 修復漏洞本質上意味著更新插件或主題,並且該功能已經在 wp-admin 上很容易獲得。 除非 Wordfence 有像 MalCare 這樣的視覺回歸來確保更新不會破壞網站,否則復制現有功能是沒有意義的。

Wordfence 還引發了 iThemes 和 Backupbuddy 的錯誤。 這表明他們傾向於在網站上標記誤報。

Wordfence 漏洞檢測

Sucuri 在我們的測試網站上檢測到除了最隱蔽的漏洞之外的所有漏洞。 不過,與 Wordfence 不同,您可以從 Sucuri 儀表板更新過時的軟件。 我們並沒有真正看到該實用程序,因為可以通過 wp-admin 輕鬆進行更新。

post-hack 選項卡列出了已安裝插件和主題的版本以及它們的最新版本。 Sucuri 警告不要繼續使用過時的軟件,因為它們可能導致惡意軟件感染。

有趣的是,即使是 Sucuri 的惡意軟件清除服務也只能檢測到我們網站上的一些漏洞。 鑑於我們在掃描程序方面的經驗,我們認為刪除服務會更好地檢測漏洞。 情況似乎並非如此。

暴力登錄保護

Wordfence 在阻止所有暴力攻擊方面做得非常出色。 Sucuri 的登錄保護功能似乎不起作用。

Wordfence 上默認啟用蠻力保護。 它每次都能完美運行,根據我們在儀表板上設置的配置,鎖定了太多不正確嘗試的用戶。

您將在防火牆部分找到設置。 選項菜單中有很多東西可以自定義:為不正確的登錄嘗試設置鎖定; 用戶將經歷多長時間的鎖定; 等等。 這些選項並不是壓倒性的,Wordfence 用很好的文檔有力地解釋了每一個選項。

wordfence登錄保護

您也可以在此處設置密碼管理選項,確保強制使用強密碼,並防止使用在數據洩露中發現的密碼。

在 wordfence 中啟用登錄保護

在本節中可以將 IP 列入白名單,但我們對其有效性持矛盾態度。 設備 IP 是動態的,因此擁有許可名單並不能保證合法用戶不會被鎖定。

Sucuri的蠻力保護並沒有像預期的那樣起作用。 我們沒有經歷過鎖定,也沒有驗證碼來確保我們是人類而不是機器人。 即使攻擊出現在審計日誌中,我們也沒有收到警報。 總體而言,該功能被淘汰了。

蘇庫裡蠻力

但是,您不會認為在儀表板上看到配置選項。 有這麼多的選擇,我們在一個點後搖搖欲墜。 總而言之,我們更喜歡具有有效功能的更少選項,而不是相反。

活動日誌

Sucuri 有一個審計日誌,但可能很難理解。 Wordfence 沒有活動日誌。

Sucuri 有一個審核日誌,可以跟踪所有用戶操作以及插件和主題更改。 日誌將顯示對文件和表所做的所有更改,這很好。

日誌包含必要的信息,如用戶、操作、時間戳等。但在某些情況下,這些條目很難理解。 例如,為了測試日誌,我們安裝了一個圖庫插件。 審核日誌中的結果條目顯示 7 個不同的更改。 從條目中不清楚變化是什麼,為什麼會發生,或者誰負責。 因此,審計日誌對於不會說 Sucuri 的人來說幾乎是無用的。

suuri 審核日誌

我們很驚訝地看到 Wordfence 沒有活動日誌,因為它是網站安全的支柱之一。 在工具菜單的診斷部分中有一個啟用調試的選項,這會導致防火牆日誌變得更加詳細,但這與活動日誌不同。

經過大量挖掘,我們在掃描部分發現了專門針對 Wordfence 事件的活動日誌。 雖然它是一個原始日誌,但顯然僅適用於 Wordfence 開發人員。

Wordfence 完整活動日誌

兩因素身份驗證

Wordfence 具有出色的兩因素身份驗證功能。 Sucuri 在您的網站上不支持它。

Wordfence 兩因素身份驗證開箱即用,具有一組簡單的選項來自定義體驗。 它曾經是一項高級功能,但後來也被添加到免費插件中。

在 WordFence 中啟用兩因素身份驗證

Sucuri 不支持對您的網站進行雙重身份驗證,但您可以使用它來保護您的 Sucuri 帳戶。

蘇庫裡 2fa

服務器資源使用

Sucuri 和 Wordfence 都是資源豬。 通過掃描和防火牆,我們看到了磁盤使用率的明顯變化。

這是在 Wordfence 和 Sucuri 之間沒有什麼可以選擇的一個因素:他們都做得同樣糟糕。

這些插件在您的網站上執行的每一個操作都會消耗服務器資源。 我們的網站相對較小,當我們設置掃描時,我們看到磁盤使用量翻了一番,有時是三倍。 這影響了加載時間、響應時間和網站的整體體驗。

sucuri cpu 使用率
蘇庫裡
wordfence cpu使用率
文字圍欄

如果您有一個 WooCommerce 網站,或者一個流量很大的網站,那麼您的用戶會注意到這種效果。 如果您在共享主機上,您的網絡主機將引起注意,您的託管費用可能會增加。 事實上,許多網絡主機都出於這個原因禁止了 Wordfence。

雖然人們在討論安全性時很少談論服務器資源,但這是一個重要因素。 任何人都不應該在性能或安全性上妥協。 完全可以優化兩者。

但是,不是使用 Sucuri 或 Wordfence。 為此,您需要 MalCare。

警報

Sucuri 和 Wordfence 都因無數警報和誤報而臭名昭著。

在 WordPress 管理方面,我們堅信減輕客戶的負擔。 防火牆應該安靜地阻止流量。 機器人保護應該開箱即用。 僅當有需要他們注意和採取行動的事情時,才應提醒管理員。 WordPress 安全性應該是無壓力且簡單的,否則安全插件的意義何在?

蘇庫裡警報
RIP 收件箱

顯然 Sucuri 和 Wordfence 都不贊同這種思想流派,因為他們的警報是壓倒性的。 我們的收件箱很快就被淹沒了。 太多警報與沒有警報一樣糟糕,因為最終兩者都會在必要時導致不作為。

安裝、配置和可用性

Wordfence 旨在為新手用戶提供非常簡單的操作。 蘇庫裡不是。

Wordfence 的安裝、配置和整體使用是我們見過的最好的之一。 每個主要部分都有演練,以簡單、無威脅的語言解釋最重要的設置和功能。

Wordfence 對配置有很好的建議。 可以從儀表板上的工具提示訪問他們的文檔,使其具有高度的上下文關係。 每個功能都得到了清晰的解釋,並且可以立即訪問有關如何使其在您的網站上運行的說明。

Wordfence 儀表板

指出這些似乎很奇怪。 但是,如果您曾經嘗試過 Sucuri,您就會意識到易於理解是任何用戶體驗的重要組成部分。 事實上,如果我們必須用一個詞來形容 Sucuri,那這個詞就會令人眼花繚亂。

安裝 Sucuri 很容易,從那裡開始走下坡路。 要使用服務器端掃描儀和防火牆,您必須手動配置它們。 除了弄清楚它們是否對安全性有任何實際影響外,我們花了很多時間試圖弄明白它們有太多的選擇。

蘇庫裡顯微鏡

總的來說,這兩個插件處於光譜的兩端。

Wordfence:附加功能

Wordfence 是嚴格安全的。 沒有一個功能、選項或線路甚至與安全相鄰,例如更新或用戶管理選項。 儘管如此,還有一些額外的東西。

有一個站點更新通知部分,它向我們展示了哪些插件和主題需要優先更新,因為它們要么是嚴重威脅,要么是中等威脅。

Wordfence 有一個外部儀表板,用於管理同一帳戶上的多個站點,稱為 Wordfence Central。 它還有一個關於每個連接站點的 wp-admin 的附帶部分,大概是這樣您就可以鳥瞰每個站點,而不管您當前正在處理哪個站點。 我們認為,這種方法的效用有限,不適用於擁有數百個託管站點的機構。

接下來我們查看了工具部分。 有一個實時流量部分,似乎複製了谷歌分析,但不止於此。 這些日誌使用密鑰對流量進行分類,以查看網站正在獲得的流量類型:人工、機器人、警告、阻止。

有一個 Whois 查找選項,如果您想在不離開 wp-admin 的情況下查看攻擊者是誰。 同樣,這充其量只是一個附帶功能。

我們認為 Diagnostics 真的很有趣,因為它有很多關於網站的信息。 從流程所有者到數據庫表,一切都非常精細。 開發人員會發現此信息非常有用,因為它就像網站的規範一樣集中在一個地方。

蘇庫裡:額外

Sucuri 在他們的插件中有很多額外的裝飾和裝飾。 是否有任何對安全性的影響完全是另一回事。

您將在安裝時看到的第一件事是 WordPress 完整性信息框。 它確實是 WordPress 核心文件更改監視器的精美版本。 顯然,為 WordPress 核心文件設置一個文件更改監視器有點用處,但效果並不像人們想像的那麼好。 黑客可以並且將會更改文件元數據,例如更新時間戳,以繞過這些措施。 所以是有用的,但不是那麼多。

sucuri wp文件完整性

有一個完整性差異實用程序可以將網站上的核心文件與原始 WordPress 安裝進行比較。 如果您手動清除惡意軟件,這肯定比使用在線軟件更容易——我們完全不推薦這樣做。

Sucuri 有很多 WordPress 強化功能。 在上傳文件夾中阻止 PHP 可以防止一類黑客攻擊,我們喜歡從儀表板快速更改 WordPress 鹽的能力。 雖然它本來可以做得更好。 如果該功能在 Sucuri 的外部儀表板上而不是在 wp-admin 上,它會更安全。 想像一下,一個黑客獲得了 wp-admin 的訪問權限,鹽很容易被破壞,因為它們是明文的。

其他一些選項的實用性有限,例如驗證 WordPress 版本、刪除 WordPress 版本、避免信息洩露以及驗證默認管理員帳戶。 從安全角度來看,它們毫無意義。

sucuri wp硬化

其他硬化特徵令人困惑。 例如,如果我們要禁用插件和主題編輯器,我們如何更新帶有漏洞的插件和主題? 至少可以說適得其反。

The password management feature held some promise, but the warning would terrify all but the most brave: “Select users from the list in order to change their passwords, terminate their sessions and email them a password reset link. Please be aware that the plugin will change the passwords before sending the emails, meaning that if your web server is unable to send emails, your users will be locked out of the site.”

What's missing from Wordfence and Sucuri

Sucuri doesn't have a good malware scanner. The brute force login protection doesn't work, and it takes up too much of server resources. There is no bot protection either, and you would need a separate plugin for two-factor authentication.

Wordfence misses out on bot protection and an activity log. The scanner is above average; definitely a cut above the other security plugins available apart from MalCare. Apart from these things, it is an exceptional security plugin.

Wordfence vs Sucuri: Pricing

Sucuri's plans start at $199.99 a year per site, which is a great deal for unlimited malware removal. The firewall works well, but the scanner is a let down. Wordfence premium plans are at $99 for the year per site, with attractive bulk pricing options. However, our opinion is that the free version is almost as good as the premium version.

Sucuri is a winner when it comes to the unlimited malware removal feature. The support team was great, with a quick turnaround time, helpful response and a proactive post-hack checklist. But the malware scanner was a complete failure, and that's not a small flaw to overlook.

sucuri pricing

The free version of Wordfence is strong enough to stand on its own. The premium version is not all that different, the efficiency percentages on the dashboard notwithstanding. The real expense to consider with Wordfence is the cleaning service at $490 a pop, over and above the site license. If you are considering Wordfence seriously, read the fine print. Although they say unlimited pages, there are additional charges for sites above 10 GB. They guarantee the service for a year, but there are terms and conditions. None of this is unreasonable, but it is important to be aware before taking the plunge.

wordfence premium licenses

Better alternative to Wordfence and Sucuri: MalCare

The best security plugin for your website isn't Wordfence or Sucuri, it is MalCare. It has an excellent scanner that detects malware in all parts of your website: core WordPress, files and the database. Additionally, the auto-clean feature removes all malware surgically, without breaking your website.

MalCare has an advanced firewall that proactively blocks bad traffic from reaching your website. The brute force protection makes sure that your login page is safe from malicious attacks, and the bot protection goes even further to make sure only bad bots are kept away from your website.

There is a formidable support team of WordPress security experts to help with any issues that come up. Any malware removal cleanups necessary beyond the auto-clean are covered with the site license.

Thus, in a feature-to-feature comparison, MalCare undoubtedly comes out on top. MalCare's $99 plan is vastly better than Sucuri's $199.99 Basic Platform plan, and includes unlimited malware removal, which is over and above Wordfence's $99 plan.

結論

When choosing a WordPress security plugin for your website, make sure to evaluate the scanner, cleaner and firewall. All the other features can be implemented with other plugins, but these 3 features form the essence of a good plugin.

At MalCare, our goal is to make security stress-free and painless, so that you can focus on the more important aspects of your website. Leave the security to us, as you grow your business.

We hope this comparison was helpful, as we have presented all our findings transparently. Have further questions? 給我們留言。 我們很想听到您的聲音。