Wordfence vs Sucuri: Vergleich von WordPress-Sicherheits-Plugins

Für viele WordPress-Benutzer hängt das Hinzufügen von Sicherheitshärtungsfunktionen zu ihrer Website von der Wahl zwischen Wordfence und Sucuri ab. Obwohl es viele andere Optionen gibt, sind diese beiden so beliebt, dass es sich lohnt zu wissen, wie sie sich in einem direkten Vergleich abschneiden. In diesem Artikel werfen wir einen Blick auf die kostenlosen und Premium-Angebote der WordPress-Sicherheits-Plugins und geben Empfehlungen dazu, welche Benutzertypen das Beste aus jeder Option herausholen.

Tauchen wir ein!

Wordfence vs Sucuri

Dass diese beiden Sicherheits-Plugins ständig verglichen werden, ist ziemlich interessant, da sie zumindest für kostenlose Benutzer ziemlich unterschiedliche Dienste anbieten. Und die Anzahl der kostenlosen Benutzer für beide ist ziemlich groß. Die Basisdienste erreichen jedoch dasselbe Endziel: den Schutz Ihrer Website vor Bedrohungen wie versteckter Malware, Brute-Force-Angriffen und verschiedenen anderen Arten von Eindringlingen und Kompromittierungen.

Da Sucuri und Wordfence dies auf verschiedene Weise handhaben, bedeutet dies, dass jedes Plugin für eine andere Gruppe von Benutzern ideal ist. Kein WordPress-Plugin oder keine Sicherheitsplattform erfüllt alle Bedürfnisse, aber beide erfüllen spezifische. Wir möchten die verschiedenen Möglichkeiten durchgehen, wie die Plugins Ihre Website schützen, Wordfence durch vorbeugende Sicherheitsmaßnahmen und Sucuri mit Website-Überwachung und Malware-Scans/Entfernung , damit Sie die bestmögliche Entscheidung treffen können, um Ihre Website sicher zu halten.

Wir möchten jedoch darauf hinweisen, dass trotz der Unterschiede der Plugins jede Option Ihrer Site eine umfassende Sicherheitssuite bietet.

Wortzaun

Als Plattform ist Wordfence als Schutzschild konzipiert, das Ihre Website vor eingehenden Angriffen abschirmt. Werfen wir einen Blick darauf, wie dies funktioniert.

1. Einfache Einrichtung

Internetsicherheit ist ein hochtechnischer und komplizierter Bereich. Die meisten von uns sind noch lange keine Experten darin. Wordfence ist gut für uns, denn wenn es installiert und aktiviert ist, funktioniert es einfach.

Ja, es gibt absolut Einstellungen zu optimieren und Optionen zu konfigurieren. Aber selbst wenn Sie nie wieder eine Taste drücken, blockiert Wordfence eingehende Bedrohungen für Ihre Website und hält Sie durch E-Mail-Benachrichtigungen und Dashboard-basierte Warnungen auf dem Laufenden.

Zugegeben, das Dashboard ist ein bisschen voll mit Tabs, Boxen und Links überall. Aber um das Plugin zum Laufen zu bringen, braucht es nur sehr wenig Aufwand und keinen wirklichen Sicherheitshintergrund.

2. Webanwendungs-Firewall (WAF)

Das Herz der kostenlosen Version von Wordfence ist die WAF (im Vergleich zu Sucuri, wo die WAF eine Premium-Funktion ist). Von der Installation an errichtet Wordfence eine Barriere um Ihre Site und blockiert verdächtigen Datenverkehr und Zugangsversuche. Innerhalb der Firewall können Nutzer Länder, IP-Bereiche oder einzelne IP-Adressen blockieren.

Darüber hinaus können Sie mit den Whitelist- und Blacklist-Funktionen nur Verkehr von bestimmten Orten zulassen, was eine proaktive Möglichkeit ist, verdächtige Aktivitäten fernzuhalten.

Die Ratenbegrenzung ist eine unglaubliche Funktion, die Wordfence auch über die WAF bietet, da Sie entscheiden können, wie verschiedene Bots und Crawler auf Ihrer Website behandelt werden. Sie bestimmen, ob Menschen auf eine bestimmte Anzahl von Seiten zugreifen können oder ob jemand übermäßig viele Serverressourcen beansprucht.

Die Ratenbegrenzungsfunktion hilft nicht nur beim Schutz von Inhalten und der Serverstabilität/-leistung, sondern kann auch den Schaden begrenzen, den Malware Ihrer Website zufügen kann, wenn Sie sich irgendwie infizieren.

3. Zwei-Faktor-Authentifizierung (2FA)

Die coolste Funktion, die die kostenlose Version von Wordfence bietet, ist die Einrichtung einer Zwei-Faktor-Authentifizierung für Benutzer auf Ihrer Website. Im Abschnitt Login-Sicherheit des Wordfence-Menüpunkts können Sie 2FA für Ihre Benutzer ganz einfach über einen QR-Code einrichten. Sie können wählen, ob sie Google Authenticator, FreeOTP oder eine Reihe anderer 2FA-Apps und -Token verwenden möchten.

In Bezug auf passive Sicherheit ist die Zwei-Faktor-Authentifizierung für Benutzer eine der besten Möglichkeiten, dies zu tun. Es als kostenlose Funktion in Wordfence einzubinden, geht unserer Meinung nach darüber hinaus.

4. Site-Scan

Was wäre ein WordPress-Sicherheits-Plugin ohne Site-Scan? Sie können einen Scan manuell ausführen. Oder Sie können sie so einstellen, dass sie zu festgelegten Zeiten automatisch ausgeführt werden.

Die Wordfence-Scans sind tiefgreifend, da die Software auf Ihrem Server vorhanden ist (im Gegensatz zu Sucuri, einem Remote-Scanner). Die Ergebnisse sind mit farbcodierten Antworten leicht zu entziffern. Viele Probleme, die Sie sehen werden, stammen von veralteten Plugins oder Themes. Wenn Wordfence jedoch Malware oder verdächtige Dateien findet, können Sie diese sofort aus dem Scanfenster löschen. (Bitte sichern Sie Ihre Website jedoch immer, bevor Sie etwas löschen.)

Premium vs. Free Wordfence

Die kostenlose Version von Wordfence bietet den Nutzern einiges . Ein kostenloser Benutzer zu sein hat seine Nachteile. Sie erhalten keine Echtzeit-Firewall-Updates, IP-Blacklists oder Malware-Signaturen. Wenn vom Wordfence-Team Sicherheitsprobleme entdeckt werden, werden diese sofort für Premium-Benutzer gepatcht. Kostenlose Benutzer erhalten diese Fixes jedoch 30 Tage später.

Außerdem zahlen Sie mit einem Premium-Plan für den Premium-Support. Wenn Ihrer Site etwas zustößt, haben Sie mit sehr kurzer Verzögerung direkt Zugriff auf das Wordfence-Team.

Wenn Sie eine Site betreiben, die mit sensiblen oder vertraulichen Daten umgeht, ist die Premium-Version ihr Geld bei weitem wert. Für eine einzelne Site kostet das 99 US-Dollar pro Jahr .

Sucuri

Sucuri basiert im Gegensatz zu Wordfence auf einer externen Plattform, die Ihre Website aus der Ferne auf Bedrohungen überwacht. Anstatt die Ressourcen Ihres Servers zu verwenden, um einen Schild aufzubauen, ist Sucuri eher wie ein Superheld, der darauf wartet, in Schwierigkeiten einzugreifen, um den Tag zu retten.

1. API-Verbindung

Da Sucuri nicht auf Ihren Servern basiert, benötigen Sie eine Möglichkeit, sich sicher mit dem Dienst zu verbinden. Sucuri basiert vollständig außerhalb der Site, was bedeutet, dass Sie einen API-Schlüssel aus dem WordPress-Dashboard generieren müssen, damit der Dienst auf Ihre Site zugreifen kann.

In vielerlei Hinsicht ist dies eine überlegene Funktion gegenüber den Vor-Ort-Scans von Wordfence. Wenn Ihre Site offline geht, gilt dies auch für Wordfence, da es auf der lokalen Hardware gespeichert und ausgeführt wird. Sucuri ist jedoch extern, sodass die Bedrohungen, die Ihre Website überhaupt offline gebracht haben, weiterhin von der Plattform behandelt werden können.

2. Website-Härtung

Website-Härtung ist eine wichtige Funktion, die Sucuri über Wordfence bietet. Die kostenlose Version von Sucuri bietet keine WAF, was bedeutet, dass der Verkehr von bestimmten IPs, Ländern, IP-Bereichen und Echtzeitbedrohungen Ihre Website weiterhin erreichen kann. Website-Härtung ist jedoch eine Reihe detaillierter Regeln, die verhindern können, dass Personen mit unbefugtem Zugriff bestimmte Aktionen ausführen.

Zum Beispiel das Erstellen von PHP-Dateien in den WP-Kernverzeichnissen, das Bearbeiten von Plugins und Themes aus dem Dashboard heraus, sogar das Verschleiern der laufenden WordPress-Version, um Hacker abzuschrecken, die nach veralteten Versionen suchen.

Dies sind eher proaktive als reaktionäre Maßnahmen. Mit Sucuri bereiten Sie sich auf das Schlimmste vor, indem Sie die gängigsten Zugangswege im Voraus blockieren.

3. Malware-Scans

Das Malware-Scannen von Sucuri ist eine gemischte Mischung. Der Scan selbst ist gründlich und findet eine Reihe von Problemen und Bedrohungen auf Ihrer Website (sofern vorhanden). Es handelt sich jedoch um einen Remote-Scan, und selbst ihre API-Verbindung zu Ihrer Site kann keinen vollständigen Zugriff auf Ihren Server erhalten. Ihr Scanner wird mit einem Haftungsausschluss geliefert, der dies angibt.

Unserer Erfahrung nach waren die Scan-Ergebnisse von Sucuri jedoch genau und fanden einige echte Bedrohungen, von denen wir nicht wussten, dass es sie gibt. Um jedoch einen vollständigen Scan zu erhalten, müssen Sie für das Sucuri-Team bezahlen, was sich wie ein unnötiger Aufpreis für ein scheinbar grundlegendes Element eines WP-Sicherheits-Plugins anfühlt.

Wir sind jedoch der Meinung, dass der Umfang des API-verbundenen Remote-Scans eingeschränkter ist, da er Ihre Site scannen und reparieren kann, nachdem sie durch einen Angriff offline geschaltet wurde. Das allein kann wertvolle Zeit und Einnahmen sparen.

4. Login-Sicherheit.

Mit Sucuri können Sie Benutzer verfolgen, die sich bei Ihrer Site anmelden. Innerhalb des Plugin-Dashboards können Sie nach jedem Benutzer suchen, der sich angemeldet hat, nach Benutzern, die derzeit angemeldet sind, und nach Benutzern, die sich nicht bei Ihrer Site anmelden konnten. Diese Funktion kann den Unterschied zwischen einer sicheren Site mit einer Anzahl zufriedener Benutzer oder einer kompromittierten Site ausmachen, auf die jemand keinen Zugriff hat.

Das Anzeigen fehlgeschlagener Anmeldungen kann auf einen Brute-Force-Angriff hindeuten, während das Anzeigen von derzeit angemeldeten Benutzern Sie darüber informieren kann, welche Konten bereits kompromittiert wurden. Sucuri zeigt zum Beispiel an, dass Bob Smith bei Ihrer Site eingeloggt ist, aber Bob hat sich vor drei Jahren aus Ihrem Unternehmen zurückgezogen … wahrscheinlich stimmt etwas nicht und der Zugriff ist nicht autorisiert.

Alle vorbeugenden Maßnahmen, Website-Härtung und Passwortschutz der Welt sind nutzlos, wenn jemand mit aktiven Berechtigungen legitimen Zugriff auf Ihre Website hat.

Free vs Premium Sucuri

Wir haben keine Bedenken zu sagen, dass Sucuri ein fantastischer Service ist, der Ihre Website schützt und es verdient, als Standard in der WP-Sicherheit zu gelten. Die kostenlose Version von Sucuri eignet sich gut als Scanner und Tool, mit dem Sie proaktiv gegen Bedrohungen vorgehen können.

Wenn Sie jedoch bei der Verwendung von Sucuri einen mehr Hands-off-Ansatz wünschen, müssen Sie ein Upgrade durchführen. Die kostenlose Version enthält keine WAF, die unserer Meinung nach heutzutage aus Sicherheitsgründen erforderlich ist. Sie müssen ein Upgrade durchführen, um es zu aktivieren.

Die Pläne für die WAF Sucuri beginnen bei 9,99 USD pro Monat . Dies ist jedoch der Teil, an dem die Dinge klebrig werden. Der 9,99-Dollar-Plan beinhaltet keine Malware-/Hack-Bereinigung (auch der 19,98-Dollar-Plan pro Monat). Wenn Sie ihren Plattformplan für 199,99 USD pro Jahr abonnieren, erhalten Sie dies zusätzlich zu anderen Funktionen wie der CDN-Integration und mehr.

Der eigentliche Knackpunkt ist jedoch, dass keiner der Sucuri-Basispläne (9,99 USD / Monat für WAF oder 199,99 USD / Jahr für die Plattform) die Unterstützung bestehender SSL-Zertifikate umfasst. Da Google alle Sites außer den erforderlichen SSL-Zertifikaten als Page Rank-Faktor verwendet, macht die fehlende Unterstützung von SSL-Zertifikaten in den Basisplänen die Basispläne für fast alle Kunden nutzlos .

Einen niedrigeren Preis anzugeben, aber eine so grundlegende Funktion wie die Unterstützung von SSL-Zertifikaten zu entfernen, führt zu der falschen Vorstellung, dass der volle Service zu diesem Preis verfügbar ist, obwohl dies tatsächlich nicht der Fall ist. Die Pro- Pläne sind wirklich die Basispläne, und die Basic- Stufe existiert (scheinbar) als Marketing-Trick, um „Pläne ab 9,99 USD/Monat“ bewerben zu können, wenn dieser Plan für die Mehrheit der Benutzer unhaltbar ist.

Tatsächlich beginnen die Pläne von Sucuri bei 19,98 US-Dollar pro Monat für den WAF-Zugang und 299,99 US-Dollar pro Jahr für die vollständige Plattform . Dies sind keine absurden Preise, und sie bieten großartige Funktionen für diese Preise. Wir sind jedoch keine Fans der Art und Weise, wie Preisstufen gehandhabt werden.

Wordfence vs Sucuri

Wenn Sie sich die kostenlosen Versionen von beiden ansehen, kommt es wirklich darauf an, was Ihre Website benötigt. Für Set-it-and-Forget-it-Benutzer steht Wordfence an der Spitze. Automatisierte Scans, E-Mail-Benachrichtigungen, ausreichende Standard-WAF-Einstellungen und Zwei-Faktor-Authentifizierung machen Wordfence zu unserer Wahl für kostenlose Benutzer . Das Plugin bietet einfach zu viel umsonst, um entthront zu werden.

Wenn man sich die Premium-Versionen ansieht, erhalten Sucuri-Benutzer jedoch mehr Mehrwert für ihr Geld . Während Wordfence-Premium-Upgrades den Schutz Ihrer Website vor aufkommenden Bedrohungen auf dem neuesten Stand halten, fügt Sucuri den oben hervorgehobenen Funktionen einiges hinzu. CDN-Integration, eine kontinuierlich aktualisierte WAF, DDoS-Schutz und Malware-Entfernung/Site-Bereinigung. Und mehr. In diesem Sinne steht Sucuri an der Spitze.

Wir möchten dies jedoch qualifizieren, indem wir sagen, dass Premium-Wordfence 1/3 des Preises von Premium-Sucuri beträgt. Der Unterschied zwischen 99,99 USD pro Jahr und 299,99 USD ist nicht unerheblich. In diesem Sinne empfehlen wir Wordfence, um Ihre Website kostenlos (oder kostengünstig) zu schützen. Wenn Sie erhöhte Sicherheitsfunktionen benötigen, sehen Sie sich die Pläne von Sucuri an, um zu sehen, ob ihre Plattform für den erhöhten Preis genug bietet.

Welche Erfahrungen haben Sie im Umgang mit Wordfence vs. Sucuri gemacht?