Wordfence vs Sucuri: Porównanie wtyczek bezpieczeństwa WordPress

Dla wielu użytkowników WordPress dodanie funkcji zwiększania bezpieczeństwa do swojej witryny internetowej sprowadza się do wyboru między Wordfence a Sucuri. Chociaż istnieje wiele innych opcji, te dwie są tak popularne, że warto wiedzieć, jak układają się w bezpośrednim porównaniu. W tym artykule przyjrzymy się zarówno bezpłatnym, jak i premium ofertom wtyczek bezpieczeństwa WordPress i przedstawimy zalecenia dotyczące typów użytkowników, którzy w pełni skorzystają z każdej opcji.

Zanurzmy się!

Wordfence kontra Sucuri

To, że te dwie wtyczki bezpieczeństwa są porównywane przez cały czas, jest dość interesujące, ponieważ oferują one dość różne usługi, przynajmniej dla darmowych użytkowników. A liczba darmowych użytkowników dla obu jest dość ogromna. Podstawowe usługi osiągają jednak ten sam cel końcowy: ochronę witryny przed zagrożeniami, takimi jak ukryte złośliwe oprogramowanie, ataki typu brute force oraz różne inne rodzaje włamań i włamań.

Ponieważ Sucuri i Wordfence radzą sobie z tym na różne sposoby, oznacza to, że każda wtyczka jest idealna dla innego zestawu użytkowników. Żadna wtyczka WordPress ani platforma bezpieczeństwa nie spełnia wszystkich potrzeb, ale obie spełniają określone wymagania. Chcemy omówić różne sposoby, w jakie wtyczki chronią Twoją witrynę, Wordfence za pomocą prewencyjnych środków bezpieczeństwa, a Sucuri z monitorowaniem witryny i skanowaniem/usuwaniem złośliwego oprogramowania , abyś mógł podjąć najbardziej świadomą decyzję, aby Twoja witryna była bezpieczna.

Chcemy jednak zauważyć, że pomimo różnic wtyczek, każdy wybór zapewni Twojej witrynie kompleksowy pakiet zabezpieczeń.

Wordfence

Jako platforma Wordfence zaprojektowano jako przednią osłonę, która odgradza Twoją witrynę przed nadchodzącymi atakami. Przyjrzyjmy się, jak to robi.

1. Prosta konfiguracja

Bezpieczeństwo w Internecie to bardzo techniczna i skomplikowana dziedzina. Większość z nas nie jest w tym ekspertami na dłuższą metę. Wordfence jest dla nas dobre, ponieważ po zainstalowaniu i aktywacji po prostu działa.

Tak, są absolutnie ustawienia do dostrojenia i opcje do skonfigurowania. Ale nawet jeśli nigdy nie naciśniesz żadnego przycisku, Wordfence zablokuje przychodzące zagrożenia do Twojej witryny i będzie Cię informować o tym, co się dzieje, za pomocą alertów e-mail i opartych na pulpitach nawigacyjnych.

Trzeba przyznać, że pulpit nawigacyjny jest nieco zajęty kartami, polami i linkami wszędzie. Ale jeśli chodzi o uruchomienie wtyczki, wymaga to bardzo niewielkiego wysiłku i nie ma prawdziwego tła w zakresie bezpieczeństwa.

2. Zapora aplikacji internetowej (WAF)

Sercem darmowej wersji Wordfence jest WAF (w porównaniu z Sucuri, gdzie WAF jest funkcją premium). Od momentu instalacji Wordfence tworzy barierę wokół Twojej witryny i blokuje podejrzany ruch oraz próby wejścia. W obrębie zapory użytkownicy mogą blokować kraje, zakresy adresów IP lub indywidualne adresy IP.

Ponadto funkcje białej i czarnej listy umożliwiają przepuszczanie ruchu tylko z określonych miejsc, co jest proaktywnym sposobem zapobiegania podejrzanej aktywności.

Ograniczanie szybkości to niesamowita funkcja, którą Wordfence oferuje również za pośrednictwem WAF, ponieważ możesz zdecydować, jak traktować różne boty i roboty indeksujące w swojej witrynie. określasz, czy ludzie mogą uzyskać dostęp do określonej liczby stron lub czy ktoś zajmuje nadmierną ilość zasobów serwera.

Funkcja ograniczania szybkości nie tylko pomaga w ochronie treści i stabilności/wydajności serwera, ale może również ograniczać szkody, jakie złośliwe oprogramowanie może wyrządzić Twojej witrynie, jeśli w jakiś sposób zostaniesz zainfekowany.

3. Uwierzytelnianie dwuetapowe (2FA)

Najfajniejszą funkcją, jaką oferuje darmowa wersja Wordfence, jest skonfigurowanie uwierzytelniania dwuskładnikowego dla użytkowników w Twojej witrynie. W sekcji Bezpieczeństwo logowania w menu Wordfence możesz łatwo skonfigurować 2FA dla swoich użytkowników za pomocą kodu QR. Mogą wybrać korzystanie z Google Authenticator, FreeOTP lub wielu innych aplikacji i tokenów 2FA.

Jeśli chodzi o bezpieczeństwo pasywne, uwierzytelnianie dwuskładnikowe dla użytkowników jest jednym z najlepszych sposobów na to. Włączenie go jako darmowej funkcji w Wordfence jest naszym zdaniem ponadczasowe.

4. Skanowanie witryny

Czym byłaby wtyczka bezpieczeństwa WordPress bez skanowania witryny? Możesz ręcznie uruchomić skanowanie. Możesz też ustawić je tak, aby uruchamiały się automatycznie w określonych godzinach.

Skany Wordfence są głębokie, ponieważ oprogramowanie istnieje na twoim serwerze (w porównaniu z Sucuri, który jest zdalnym skanerem). Wyniki są łatwe do odczytania dzięki odpowiedziom oznaczonym kolorami. Wiele problemów, które zobaczysz, pochodzi z przestarzałych wtyczek lub motywów. Ale jeśli Wordfence znajdzie złośliwe oprogramowanie lub podejrzane pliki, możesz je natychmiast usunąć z okna skanowania. (Chociaż zawsze utwórz kopię zapasową swojej witryny przed usunięciem czegokolwiek.)

Premium vs Free Wordfence

Darmowa wersja Wordfence oferuje użytkownikom wiele . Bycie wolnym użytkownikiem ma swoje wady. Nie otrzymujesz aktualizacji zapory w czasie rzeczywistym, czarnych list adresów IP ani sygnatur złośliwego oprogramowania. Gdy zespół Wordfence wykryje problemy z bezpieczeństwem, natychmiast zostaną one naprawione dla użytkowników premium. Bezpłatni użytkownicy otrzymują jednak te poprawki 30 dni później.

Dodatkowo, z planem premium, płacisz za wsparcie premium. Jeśli coś stanie się z Twoją stroną, masz bezpośredni dostęp do zespołu Wordfence z bardzo krótkim opóźnieniem.

Jeśli prowadzisz witrynę, która zajmuje się danymi wrażliwymi lub poufnymi, wersja premium jest zdecydowanie warta swojej ceny. W przypadku jednej witryny kosztuje to 99 USD rocznie .

Sucuri

Sucuri, w przeciwieństwie do Wordfence, opiera się na zewnętrznej platformie, która monitoruje Twoją witrynę pod kątem zagrożeń z daleka. Zamiast używać zasobów serwera do założenia tarczy, Sucuri przypomina bardziej superbohatera, który czeka, by wkroczyć, by uratować sytuację, gdy masz kłopoty.

1. Połączenie API

Ponieważ Sucuri nie opiera się na twoich serwerach, potrzebujesz sposobu na bezpieczne połączenie z usługą. Sucuri opiera się całkowicie poza witryną, co oznacza, że ​​musisz wygenerować klucz API z pulpitu WordPress, aby umożliwić usłudze dostęp do Twojej witryny.

Pod wieloma względami jest to lepsza funkcja niż skanowanie na miejscu w Wordfence. Jeśli witryna przechodzi w tryb offline, robi to również Wordfence, ponieważ jest przechowywana i uruchamiana na lokalnym sprzęcie. Sucuri jest jednak zewnętrzne, więc zagrożenia, które doprowadziły Twoją witrynę do trybu offline, nadal mogą być obsługiwane przez platformę.

2. Utwardzanie strony internetowej

Utwardzanie stron internetowych to główna funkcja, którą Sucuri oferuje w Wordfence. Bezpłatna wersja Sucuri nie oferuje WAF, co oznacza, że ​​ruch z niektórych adresów IP, krajów, zakresów adresów IP i zagrożeń w czasie rzeczywistym nadal może dotrzeć do Twojej witryny. Utwardzanie stron internetowych to jednak zestaw szczegółowych reguł, które mogą uniemożliwić osobom z nieautoryzowanym dostępem podjęcie określonych działań.

Takie jak tworzenie plików PHP w głównych katalogach WP, edytowanie wtyczek i motywów z poziomu pulpitu nawigacyjnego, a nawet zaciemnianie działającej wersji WordPressa, aby odstraszyć hakerów szukających przestarzałych wersji.

Są to raczej proaktywne środki niż reakcyjne. Dzięki Sucuri przygotowujesz się na najgorsze, blokując z wyprzedzeniem najczęstsze ścieżki dostępu.

3. Skanowanie złośliwego oprogramowania

Skanowanie Sucuri pod kątem złośliwego oprogramowania to mieszana torba. Samo skanowanie jest dokładne i bezwzględnie wykryje szereg problemów i zagrożeń w Twojej witrynie (jeśli jakieś zostaną znalezione). Jest to jednak skanowanie zdalne i nawet ich połączenie API z Twoją witryną nie może uzyskać pełnego dostępu do Twojego serwera. Ich skaner jest dostarczany z oświadczeniem o tym.

Z naszego doświadczenia wynika jednak, że wyniki skanowania Sucuri były dokładne i znaleziono kilka prawdziwych zagrożeń, o których nie wiedzieliśmy. Aby jednak uzyskać pełny skan, musisz zapłacić za wykonanie tego przez zespół Sucuri, co wydaje się niepotrzebną dopłatą do pozornie podstawowego elementu wtyczki zabezpieczającej WP.

Uważamy jednak, że zdalne skanowanie połączone z interfejsem API ma bardziej ograniczony zakres, ponieważ może skanować i naprawiać witrynę po wyłączeniu jej przez atak. To samo w sobie może zaoszczędzić cenny czas i dochody.

4. Bezpieczeństwo logowania.

Sucuri pozwala śledzić użytkowników, którzy logują się do Twojej witryny. W panelu wtyczek możesz sprawdzić, czy zalogował się każdy użytkownik, który jest aktualnie zalogowany, a także każdy użytkownik, który nie zalogował się do Twojej witryny. Ta funkcja może być różnicą w bezpiecznej witrynie z wieloma zadowolonymi użytkownikami lub w zhakowanej witrynie, do której ktoś ma dostęp, do którego nie powinien.

Widząc nieudane logowanie może wskazywać na atak brute-force, podczas gdy widząc aktualnie zalogowanych użytkowników, możesz dowiedzieć się, które konta zostały już przejęte. Na przykład Sucuri pokazuje, że Bob Smith jest zalogowany do Twojej witryny, ale Bob odszedł z Twojej firmy trzy lata temu… prawdopodobnie coś jest nie tak i ten dostęp jest nieautoryzowany.

Wszystkie środki zapobiegawcze, wzmacnianie witryn i ochrona hasłem na świecie są bezużyteczne, gdy ktoś ma legalny dostęp do Twojej witryny z aktywnymi uprawnieniami.

Darmowy vs Premium Sucuri

Nie mamy żadnych skrupułów, aby powiedzieć, że Sucuri to fantastyczna usługa, która chroni Twoją witrynę i zasługuje na nią jako standard w bezpieczeństwie WP. Darmowa wersja Sucuri działa dobrze jako skaner i narzędzie, dzięki któremu możesz być proaktywny przeciwko zagrożeniom.

Jeśli jednak chcesz bardziej oszczędnego podejścia podczas korzystania z Sucuri, musisz dokonać aktualizacji. Darmowa wersja nie jest dostarczana z WAF, co naszym zdaniem jest obecnie niezbędne dla bezpieczeństwa. Musisz uaktualnić, aby go włączyć.

Plany WAF Sucuri zaczynają się od 9,99 dolarów miesięcznie . Jest to jednak część, w której sprawy stają się lepkie. Plan 9,99 USD nie obejmuje usuwania złośliwego oprogramowania / hackowania (ani planu 19,98 USD miesięcznie). Jeśli zasubskrybujesz ich plan platformy w cenie 199,99 USD rocznie , otrzymasz to oprócz innych funkcji, takich jak integracja CDN i nie tylko.

Jednak prawdziwym problemem jest to, że żaden z podstawowych planów Sucuri (9,99 USD miesięcznie za WAF lub 199,99 USD rocznie za platformę) nie obejmuje istniejącej obsługi certyfikatów SSL. Ponieważ Google ma wszystkie witryny oprócz wymaganych do korzystania z certyfikatów SSL, używając ich jako czynnika rankingu strony, brak obsługi certyfikatu SSL w podstawowych planach sprawia, że ​​podstawowe plany są bezużyteczne dla prawie wszystkich klientów .

Podanie niższej ceny, ale usunięcie tak fundamentalnej funkcji, jak obsługa certyfikatów SSL, stwarza fałszywe wrażenie, że pełna usługa jest dostępna w tej cenie, podczas gdy w rzeczywistości tak nie jest. Plany Pro są tak naprawdę planami podstawowymi, a poziom podstawowy istnieje (pozornie) jako chwyt marketingowy, aby móc reklamować „plany tak niskie, jak 9,99 USD / miesiąc”, gdy ten plan jest nie do utrzymania dla większości użytkowników.

W rzeczywistości plany Sucuri zaczynają się od 19,98 USD miesięcznie za dostęp do WAF i 299,99 USD rocznie za pełną platformę . To nie są absurdalne ceny i oferują świetne funkcje w tych cenach. Nie jesteśmy jednak fanami sposobu, w jaki obsługiwane są poziomy cenowe.

Wordfence kontra Sucuri

Patrząc na bezpłatne wersje obu, naprawdę sprowadza się to do potrzeb Twojej witryny. Dla użytkowników typu „ustaw i zapomnij” Wordfence jest najlepszym rozwiązaniem. Zautomatyzowane skanowanie, alerty e-mail, wystarczająco przyzwoite domyślne ustawienia WAF i uwierzytelnianie dwuskładnikowe sprawiają, że Wordfence jest naszym wyborem dla darmowych użytkowników . Wtyczka po prostu oferuje zbyt wiele za darmo, aby można ją było zdetronizować.

Jednak patrząc na wersje premium, użytkownicy Sucuri uzyskują większą wartość dodaną za swoje pieniądze . Tam, gdzie aktualizacje premium Wordfence są dobre w utrzymaniu aktualnej ochrony Twojej witryny przed pojawiającymi się zagrożeniami, Sucuri dodaje sporo do funkcji, które wyróżniliśmy powyżej. Integracja CDN, stale aktualizowana ochrona WAF, ochrona przed atakami DDoS oraz usuwanie złośliwego oprogramowania/czyszczenie witryny. I więcej. Mając to na uwadze, Sucuri wychodzi na szczyt.

Chcemy to jednak zakwalifikować, mówiąc, że premium Wordfence to 1/3 ceny premium Sucuri. Różnica 99,99 USD rocznie i 299,99 USD nie jest nieznaczna. Mając to na uwadze, naszą sugestią jest użycie Wordfence do ochrony witryny za darmo (lub tanio), a jeśli potrzebujesz zwiększonych funkcji bezpieczeństwa, spójrz na plany Sucuri, aby sprawdzić, czy ich platforma oferuje wystarczająco dużo za wyższą cenę.

Jakie masz doświadczenia w radzeniu sobie z Wordfence vs Sucuri?