WP Cerber Security vs Wordfence: Która wtyczka bezpieczeństwa jest dla Ciebie odpowiednia?
Opublikowany: 2023-04-07Prowadzisz swoją witrynę i szukasz wtyczki zabezpieczającej, która spełni Twoje potrzeby. Wiesz, jak ważne jest bezpieczeństwo strony internetowej, więc postanawiasz przeprowadzić pewne badania. Po kilku godzinach czytania i recenzowania zdajesz sobie sprawę, że Wordfence i WP Cerber wciąż pojawiają się w listach. Szukasz artykułu porównującego te dwa produkty, abyś mógł podjąć świadomą decyzję. Cóż, jesteś we właściwym miejscu. Przetestowaliśmy obie wtyczki na tyle, na ile było to możliwe, i jesteśmy gotowi, aby to wszystko rozłożyć.
Wordfence oferuje szeroki zakres funkcji, takich jak skaner złośliwego oprogramowania, narzędzie do usuwania złośliwego oprogramowania i zapora ogniowa — z których wszystkie są niezbędne do zapewnienia bezpieczeństwa witryny. Czy jednak rzeczywiście jest tak dobry, jak mówią ludzie? Czy są jakieś wady korzystania z Wordfence?
Nasze testy z zabezpieczeniami WPCerber rozpoczęły się od czkawki. Byliśmy zszokowani, gdy odkryliśmy, że został usunięty z repozytorium WordPress z powodu „problemu z bezpieczeństwem”. Niemniej jednak przystąpiliśmy do pobrania wtyczki z ich strony internetowej i przetestowaliśmy ją obiektywnie.
W tym artykule porozmawiamy o dobrych, złych i brzydkich aspektach zabezpieczeń Wordfence i WPCerbery.
Wordfence jest zdecydowanym zwycięzcą. Dalibyśmy Wordfence wynik 12/15 jako wtyczce bezpieczeństwa, podczas gdy WP Cerber otrzymałby wynik 0. Jeśli szukasz jeszcze lepszej wtyczki bezpieczeństwa niż Wordfence, gorąco polecamy MalCare.
Bezpieczeństwo jest najwyższym priorytetem dla właścicieli witryn i jest tak wiele funkcji, które należy wziąć pod uwagę przy wyborze odpowiedniej wtyczki zabezpieczającej:
- Jak dobrze skanuje w poszukiwaniu złośliwego oprogramowania?
- Jak skuteczna jest zapora sieciowa?
- Czy ma opcję usunięcia wykrytego złośliwego oprogramowania?
Wzięliśmy pod uwagę wszystkie te czynniki podczas testowania WP Cerber i Wordfence, abyś mógł podjąć świadomą decyzję.
Przegląd: WP Cerber lub Wordfence
Wordfence i WP Cerber to wtyczki bezpieczeństwa zaprojektowane w celu ochrony witryn WordPress przed różnymi zagrożeniami, takimi jak złośliwe oprogramowanie, ataki siłowe i próby hakowania. Jednak jeśli chodzi o funkcje i skuteczność, istnieje między nimi różnica między dniem i nocą.
Wordfence to popularna i ceniona wtyczka bezpieczeństwa, która oferuje szeroki zakres funkcji, w tym potężny skaner, zaporę ogniową i uwierzytelnianie dwuskładnikowe. Skaner jest w stanie wykryć wiele rodzajów złośliwego oprogramowania i luk w zabezpieczeniach, ale ma pewne ograniczenia.
Zapora ogniowa to kolejna kluczowa funkcja Wordfence, która pomaga zapobiegać nieautoryzowanemu dostępowi do Twojej witryny. Chociaż zapora ogniowa jest dobra, bezpłatna wersja wtyczki jest regularnie aktualizowana z opóźnieniem, co może narazić Twoją witrynę na znane ataki.
Jeśli chodzi o WP Cerber, wtyczka bezpieczeństwa została uznana przez wielu ekspertów za nieskuteczną. Skaner, zapora ogniowa i program czyszczący nie działają, a funkcje uwierzytelniania dwuskładnikowego i ochrony przed brutalną siłą nie działają. Co więcej, WP Cerber został usunięty z repozytorium WordPress z powodu problemu bezpieczeństwa, którego twórcy najwyraźniej nie rozwiązali. Ten brak dbałości o kwestie bezpieczeństwa jest znaczącą czerwoną flagą dla właścicieli witryn, którzy polegają na wtyczkach bezpieczeństwa w celu ochrony swoich witryn.
Ogólnie rzecz biorąc, Wordfence jest lepszym wyborem dla bezpieczeństwa WordPress niż WP Cerber. Chociaż Wordfence może mieć pewne ograniczenia, oferuje bardziej wszechstronny zestaw funkcji i ma lepsze osiągnięcia, jeśli chodzi o wykrywanie zagrożeń bezpieczeństwa i zapobieganie im.
Wordfence w skrócie
Wordfence oferuje wiele funkcji, ale ma kilka poważnych wad. Na początek może wykryć tylko 70-80% złośliwego oprogramowania, całkowicie pomijając złośliwe oprogramowanie oparte na bazach danych. Ponadto skaner Wordfence nie wykryje złośliwego oprogramowania we wtyczkach i motywach premium ze względu na mechanizm dopasowywania sygnatur.
Przechodząc do funkcji zapory ogniowej, należy od razu zwrócić uwagę na kilka rzeczy. Bezpłatna zapora ogniowa otrzymuje regularne aktualizacje z 30-dniowym opóźnieniem po zapory premium. Tak więc, chociaż zapora ogniowa jest dobra, jeśli używasz darmowej wersji wtyczki, Twoja witryna jest podatna na znane ataki tylko dlatego, że jest w darmowej wersji. Zapora ogniowa chroni przed zagrożeniami, ale znana jest również z tego, że powstrzymuje odwiedzających witrynę i administratorów. Wreszcie zapora generuje mnóstwo alertów. Spodziewaj się, że Twoja skrzynka odbiorcza będzie przepełniona.
A co najgorsze, Wordfence to straszny wieprz zasobów. Tak bardzo, że będziesz musiał sprawdzić u swojego dostawcy hostingu, czy w ogóle zezwala na Wordfence. Wielu hostów internetowych całkowicie blokuje Wordfence z powodu opłat pobieranych na ich serwerach.
WP Cerber Security w pigułce
WP Cerber to zdecydowanie najgorsza wtyczka bezpieczeństwa, jaką kiedykolwiek testowaliśmy.
Brakowało skanera, zapora ogniowa była nieskuteczna, a program czyszczący polegał na zawodnym skanerze do usuwania złośliwego oprogramowania. Ponadto stwierdziliśmy, że uwierzytelnianie dwuskładnikowe i ochrona przed brutalną siłą również nie działały.
Zachowaliśmy obiektywizm w ocenie skuteczności wtyczki, ale nie możemy potwierdzić, że WP Cerber został usunięty z repozytorium WordPressa we wrześniu 2022 roku z powodu problemu z bezpieczeństwem.
W chwili pisania tego artykułu było to ponad 6 miesięcy temu. W międzyczasie stało się jasne, że WP Cerber nie ma zamiaru rozwiązywać problemu i zdecydował się zniszczyć WordPress w niektórych jego treściach. To wszystko jest dość niesmaczne.
Bezpieczeństwo WP Cerber vs Wordfence: Bezpośrednie porównanie funkcji
Porozmawiajmy o tym, jak WP Cerber i Wordfence łączą się z myślą o ich funkcjach.
Skanowanie złośliwego oprogramowania
Wordfence był nieco lepszy niż WP Cerber w wykrywaniu złośliwego oprogramowania, chociaż oba miały problemy. Ani nie wykryto złośliwego oprogramowania w bazie danych ani w motywach premium. WP Cerber wyrzucił jednak więcej fałszywych alarmów niż Wordfence.
Zauważyliśmy kilka problemów z darmowym skanerem Wordfence. Na przykład deska rozdzielcza wskazuje, że działa tylko z wydajnością 60%, co jest dalekie od ideału. Chociaż skanowanie jest szybkie, jest to mało przydatne, jeśli nie jest dokładne w wykrywaniu złośliwego oprogramowania.
Kolejną wadą jest to, że Wordfence wykorzystuje dopasowywanie sygnatur do wykrywania złośliwego oprogramowania, co oznacza, że ma dużą bazę sygnatur złośliwego oprogramowania, z którą można porównać kod w Twojej witrynie. Pomimo imponujących wysiłków podejmowanych w celu aktualizowania bazy danych, ta metoda nie jest w stanie wykryć nowszego złośliwego oprogramowania, a zatem nie stanowi niezawodnej obrony przed atakami typu zero-day.
Co więcej, ten system działa tylko w celu wykrywania złośliwego oprogramowania opartego na plikach. Złośliwe oprogramowanie może również znajdować się w bazie danych, a w rzeczywistości złośliwe oprogramowanie przekierowujące często znajduje się w bazach danych częściej niż w plikach na stronach internetowych. Odkryliśmy, że Wordfence był w stanie wykryć wszystkie nasze złośliwe oprogramowanie oparte na plikach, z szacowanym wskaźnikiem wykrywalności na poziomie 70-80%. Niestety, jest również podatny na fałszywe alarmy.
Wreszcie, skaner ma ograniczone możliwości wykrywania złośliwego oprogramowania w otwartych lub bezpłatnych wtyczkach i motywach. Dzieje się tak, ponieważ wykorzystuje publicznie dostępny kod do porównania z kodem na stronie internetowej w celu zidentyfikowania wszelkich nieautoryzowanych dodatków. Jako takie, wtyczki i motywy premium — które stanowią większość motywów — nie są uwzględniane w skanowaniu.
W przypadku WP Cerber skaner można znaleźć w sekcji integralności witryny, którą odkryliśmy po odrobinie poszukiwań.
Po rozpoczęciu pełnego skanowania z przyjemnością stwierdziliśmy, że oznaczało ono większość złośliwego oprogramowania. Jednak oznaczył również szereg legalnych plików z innych wtyczek bezpieczeństwa, takich jak Sucuri i MalCare, jako złośliwe.
Główną konsekwencją jest to, że polega na plikach w repozytorium WordPress w celu wykrycia dodanego lub zmodyfikowanego kodu, co skutkuje komunikatem „niezgodność sumy kontrolnej”. Jest to nieskuteczny sposób wykrywania złośliwego oprogramowania, ponieważ wtyczki premium i motywy nie są dostępne w repozytorium.
Ocenilibyśmy skaner na 50% za jego zdolność do wykrywania obecnego złośliwego oprogramowania. Ale oznaczało to również znaczną część naszej witryny jako złośliwą.
Jeśli podejrzewasz, że Twoja witryna została zaatakowana przez hakerów, WP Cerber prawdopodobnie da Ci pozytywny wynik. Zamiast tego użyj bezpłatnego skanera MalCare, aby uzyskać zdecydowane tak lub nie.
Czyszczenie złośliwego oprogramowania
Wordfence usunął całe złośliwe oprogramowanie oparte na plikach. Metoda WP Cerber do usuwania złośliwego oprogramowania jest co najmniej destrukcyjna.
Wordfence oferuje dwie automatyczne opcje na pulpicie nawigacyjnym do radzenia sobie z zaatakowanymi plikami: usuń wszystkie usuwalne pliki i napraw wszystkie pliki, które można naprawić. Istnieje również możliwość wyboru ich specjalistycznej usługi sprzątania. Wszystkie te podejścia zakończyły się sukcesem w usuwaniu złośliwego oprogramowania z naszej witryny. Jednak automatyczny proces usuwania zawiera ostrzeżenie, że strona może zostać zakłócona w wyniku zmian.
Program Wordfence z powodzeniem usunął z naszej witryny całe złośliwe oprogramowanie oparte na plikach, więc przetestowaliśmy je również pod kątem złośliwego oprogramowania baz danych i wtyczek premium. Niestety, skaner nie był w stanie zidentyfikować tego typu złośliwego oprogramowania, więc opcja automatycznej naprawy nie była dostępna.
Inną alternatywą było zażądanie usunięcia złośliwego oprogramowania. Ta usługa ma na celu eliminację złośliwego oprogramowania, backdoorów i obejmuje audyt bezpieczeństwa strony internetowej w celu zidentyfikowania potencjalnych luk w zabezpieczeniach. Dodatkowo, jeśli witryna została umieszczona na czarnej liście, Wordfence może pomóc w jej usunięciu. Usługa jest objęta roczną gwarancją, pod warunkiem, że administrator strony dokładnie zastosuje się do zaleceń po włamaniu.
Uwaga: nie możemy mówić o skuteczności usługi usuwania złośliwego oprogramowania Wordfence, ponieważ jej nie wypróbowaliśmy.
W WP Cerber czyszczenie jest funkcją premium, co jest rozsądne. Zawiera jednak listę tego, co pociąga za sobą proces automatycznego czyszczenia. Zasadniczo zresetuje pliki do ich oryginalnych ustawień, więc każdy niestandardowy kod zostanie utracony, chyba że zostaną podjęte środki ostrożności. Możliwe jest oznaczenie niektórych plików jako niedostępnych, ale jest to bardzo destrukcyjna metoda czyszczenia i wahalibyśmy się przed przetestowaniem jej na aktywnej stronie internetowej.
Zapora ogniowa
Wordfence jest zdecydowanie lepszy, mimo zaledwie 35% skuteczności. Przynajmniej nie wpływa to na ruch organiczny, w przeciwieństwie do WP Cerber, który ma tendencję do blokowania botów wyszukiwarek.
Zapora Wordfence działa od razu po wyjęciu z pudełka i skutecznie blokuje ataki. Natychmiast po instalacji zapora sieciowa weszła w tryb uczenia się. Wordfence zasugerował pozostawienie trybu uczenia się na tydzień, co jest zrozumiałe, biorąc pod uwagę, że zapory sieciowe uczą się na podstawie ruchu na żywo. Ponieważ jednak na naszych testowych stronach internetowych nie było ruchu na żywo, nie widzieliśmy potrzeby czekania tygodnia i od razu włączyliśmy tryb aktywny.
Bezpłatna zapora ogniowa jest reklamowana jako skuteczna tylko w 35%, co jest wyświetlane na pulpicie nawigacyjnym. Aby zrozumieć, dlaczego tak się dzieje, przyjrzeliśmy się temu dokładniej. Po pierwsze, bezpłatna zapora ogniowa działa jako wtyczka i jest ładowana po rdzeniu WordPress. Może to stanowić problem, ponieważ zapora nie będzie w stanie zablokować całego złośliwego ruchu, jeśli ładuje się po WordPressie.
Po drugie, wersja premium Wordfence otrzymuje aktualizacje w czasie rzeczywistym, podczas gdy wersja darmowa otrzymuje aktualizacje po 30 dniach. To opóźnienie może być potencjalnie niebezpieczne, ponieważ hakerzy mogą wykorzystać okno między aktualizacjami. Największą wskazówką jest jednak to, że Wordfence przyznaje mu ocenę zaledwie 35% w porównaniu z wersją premium. To nie jest imponująca liczba.
Zapora sieciowa WP Cerber nazywa się Inspektorem ruchu. Chociaż rozsądnie radzi sobie z powstrzymywaniem niektórych ataków, jego mechanizm ochrony przed botami jest poważnym powodem do niepokoju.
Ochrona przed botami jest niezbędna dla stron internetowych, ale bardzo ważne jest rozróżnienie między dobrymi a złymi botami. WP Cerber blokuje większość botów bez dyskryminacji, w tym boty wyszukiwarek. Jest wielu sfrustrowanych użytkowników WP Cerber, którzy byli świadkami spadku ich rankingów w wyszukiwarkach z powodu tej wtyczki. Są poprawne; blokowanie robotów wyszukiwarek jest katastrofalne w skutkach dla ruchu organicznego. Istnieje pewna ochrona przed spambotami, co jest pozytywną cechą. Jednak spamboty to nie jedyny rodzaj złośliwych botów. W związku z tym zapewnia to jedynie ograniczoną ochronę i może stanowić problem. Tak więc, chociaż WP Cerber odbija niektóre zagrożenia, nie odbija ich wszystkich ani nie odbija właściwych.
Z drugiej strony zapewnia możliwość rejestrowania aktywności zapory. Dostępnych jest kilka opcji filtrowania, dzięki którym można uzyskać wgląd w rodzaj ruchu generowanego przez witrynę.
Istnieje również blokowanie geograficzne, które nazywają regułami bezpieczeństwa. Jest to jednak funkcja premium, więc nie mogliśmy jej przetestować.
Wykrywanie luk w zabezpieczeniach
Wordfence doskonale zidentyfikował wszystkie przestarzałe wtyczki. WP Cerber nie zidentyfikował żadnych luk w motywach lub wtyczkach.
Wordfence zidentyfikował wszystkie przestarzałe wtyczki jako średnie zagrożenia. Co więcej, poprawnie oflagował te z lukami jako zagrożenia krytyczne. Mniej optymistycznie, oznaczył iThemes i Backupbuddy jako niebezpieczne, mimo że tak nie było.
Powyżej zajęliśmy się już słabym skanerem WP Cerber, więc nie byliśmy zaskoczeni, gdy zauważyliśmy, że nie jest on w stanie zidentyfikować luk w zabezpieczeniach, które należy rozwiązać we wtyczkach i motywach. Dzięki tej wtyczce wszystko jest jak dym i lustra.
Brutalna ochrona logowania
Wordfence jest bezbłędny i łatwy. WP Cerber był całkowicie bezcelowy.
Ochrona przed brutalną siłą jest domyślnie włączona w Wordfence. Za każdym razem działa bezbłędnie, blokując użytkowników, którzy wykonują zbyt wiele błędnych prób w oparciu o konfigurację ustawioną w dashboardzie.
Ustawienia można znaleźć w sekcji zapory. W menu dostępnych jest wiele opcji, w tym możliwość ustawienia okresów blokady dla nieudanych logowań, długości blokady i innych. Opcje nie są przytłaczające, a Wordfence zapewnia jasne wyjaśnienia i dokumentację dla każdej z nich.
Dodatkowo istnieje możliwość skonfigurowania zarządzania hasłami, zapewniając, że wymagane są silne hasła i zapobiegając używaniu haseł wykrytych w wyniku naruszeń danych.
W tej sekcji możliwe jest dodawanie adresów IP do białej listy, jednak istnieje niepewność co do jej skuteczności. Adresy IP urządzeń mogą się zmieniać, więc posiadanie listy dozwolonych nie gwarantuje, że autentyczny użytkownik nie zostanie zablokowany.
Na pulpicie nawigacyjnym WP Cerber dostępne są opcje bezpieczeństwa logowania, które ograniczają próby logowania. Te jednak nie działają. Istnieje możliwość zmodyfikowania domyślnego komunikatu, aby uniknąć stwierdzenia, że wprowadzona nazwa użytkownika nie istnieje. Jesteśmy pewni, że bot atakujący metodą brute force doceni tę uprzejmość w ograniczaniu obciążenia pracą.
Zmiana adresu URL strony logowania jest daremnym przedsięwzięciem. Nie sugerowalibyśmy tego robić, a zwłaszcza nie z WP Cerber. Nie chcielibyśmy ryzykować całkowitej utraty strony logowania.
Tryb cytadeli to funkcja białej listy, która jest uruchamiana po 200 nieudanych próbach w ciągu 15 minut. Trzeba przyznać, że bardzo hojny.
Dziennik aktywności
Żaden z nich nie ma dobrego dziennika aktywności.
Z zaskoczeniem zauważyliśmy, że Wordfence nie ma dziennika aktywności. Szczególnie, że jest to ważny element bezpieczeństwa strony internetowej. Istnieje opcja aktywacji debugowania w sekcji Diagnostyka menu Narzędzia, co powoduje, że dzienniki zapory są bardziej szczegółowe, jednak nie jest to to samo, co dziennik aktywności.
Po szeroko zakrojonych badaniach znaleźliśmy dziennik aktywności w sekcji Skanowanie, który jest przeznaczony specjalnie dla zdarzeń Wordfence. Jest nierafinowany, najwyraźniej przeznaczony tylko dla programistów Wordfence.
Zauważyliśmy raport aktywności na WP Cerber, który uznaliśmy za dziennik aktywności. Włączyliśmy ją i podjęliśmy próbę wygenerowania raportu (który miał zostać przesłany do nas e-mailem). Niestety po wielu próbach wygenerowanie raportu nie powiodło się.
Istnieje jednak dziennik użytkownika. W żadnym wypadku nie zastępuje dziennika aktywności, ale może być praktyczny, jeśli masz powody sądzić, że na koncie użytkownika występuje podejrzana aktywność.
Uwierzytelnianie dwuskładnikowe
Wordfence ma świetne uwierzytelnianie dwuskładnikowe. WP Cerber twierdzi, że też to ma, ale nie mogliśmy tego skonfigurować.
Uwierzytelnianie dwuskładnikowe Wordfence działa od samego początku, z prostymi ustawieniami umożliwiającymi dostosowanie działania. Wcześniej była to funkcja premium, ale od tego czasu została uwzględniona w darmowej wtyczce.
W sekcji zasad użytkownika pulpitu nawigacyjnego WP Cerber dostępna jest funkcja 2FA. Można go włączyć według roli użytkownika, chociaż, co dziwne, nie można go włączyć dla kont administratora. Zazwyczaj to oni najbardziej tego potrzebują. Aktywowaliśmy opcję dla kont redaktorów, ale nic się nie wydarzyło. Wydaje się, że nie ma sposobu, aby to ustawić. To jest bardzo dziwne.
Wykorzystanie zasobów serwera
Oba wykorzystują zasoby serwera i spowalniają szybkość ładowania strony.
Wordfence to wtyczka wymagająca dużych zasobów. Każda akcja wykonywana przez tę wtyczkę na stronie internetowej zużywa znaczne zasoby serwera.
Nasze strony testowe są bardzo małe i podczas skanowania zauważyliśmy dwu-, a nawet trzykrotny wzrost użycia dysku. Wpłynęło to na czas ładowania, czas odpowiedzi i ogólne wrażenia użytkownika na stronie.
Podczas korzystania z WP Cerber nie mieliśmy żadnego obciążenia serwera. Jednak z tego, co przeczytaliśmy w innych recenzjach klientów, wydaje się, że jest to poważny problem.
Alerty
Oba dają zbyt wiele alertów, chociaż WP Cerber pozwala modyfikować typ alertów, które możesz otrzymać.
Alerty są zbyt liczne. Nasze skrzynki odbiorcze szybko się zapełniły. Zbyt wiele alertów jest tak samo problematyczne, jak brak alertów, ponieważ oba mogą spowodować brak działania w razie potrzeby.
Istnieje możliwość modyfikacji rodzaju i ilości alertów otrzymywanych od WP Cerber. Jest to korzystne, chociaż nie jesteśmy pod wrażeniem tego, co wyzwala alert: ktoś jest zablokowany, dostępna jest nowa wersja WP Cerber lub dostępna jest aktualizacja dla innej wtyczki. Może to szybko stać się chaotyczne, jeśli masz więcej niż 30 wtyczek w swojej witrynie, co jest typową liczbą dla witryny WordPress.
Instalacja, konfiguracja i użyteczność
Wordfence to prosta wtyczka do zainstalowania i skonfigurowania. WP Cerber wydaje się podejrzany i nie jest przejrzysty w tym, co robi za kulisami.
Instalacja, konfiguracja i ogólne wrażenia użytkownika Wordfence są jednymi z najlepszych, jakich doświadczyliśmy. W każdej głównej sekcji dostępne są instrukcje, które wyjaśniają najważniejsze ustawienia i funkcje w prostym, nieonieśmielającym języku.
Zalecenia dotyczące konfiguracji tego narzędzia są na najwyższym poziomie. Jest to wysoce kontekstowa dokumentacja, do której można uzyskać dostęp z podpowiedzi na pulpicie nawigacyjnym. Każda funkcja jest łatwo wyjaśniona, z natychmiastowym dostępem do instrukcji, jak ją zaimplementować na swojej stronie internetowej.
Chociaż instalacja WP Cerber nie była bardzo trudna, była dość tajemnicza.
Po pierwsze, byliśmy zaskoczeni, gdy odkryliśmy, że WP Cerber nie był widoczny, gdy szukaliśmy go w repozytorium wtyczek WordPress. Był obecny wcześniej, ponieważ testowaliśmy go w poprzednim artykule. Więc zrobiliśmy trochę badań. Okazuje się, że wtyczka została usunięta z repozytorium we wrześniu 2022 roku ze względów bezpieczeństwa. Poświęćmy chwilę na zastanowienie się nad faktem, że wtyczka bezpieczeństwa miała problem z bezpieczeństwem, który nadal nie został naprawiony, ponad 6 miesięcy później, w momencie pisania tego artykułu.
Szybkie spojrzenie na WP Scan pokazało 3 duże luki w zabezpieczeniach w 2022 roku. To wiele wyjaśnia.
WP Cerber zajął interesujące stanowisko w swojej odpowiedzi. Z informacji o wersji 9.4:
Dodatkowo może to być niepowiązane, ale niedawno stworzyli także program nagród za błędy. Wszystko wskazuje na to, że bezpieczeństwo tej wtyczki jest podejrzane.
Mimo to postanowiliśmy dać wtyczce uczciwą szansę, więc pobraliśmy ją z ich strony. Wydaje się, że nie ma tutaj żadnej konfiguracji jako takiej. Przeszliśmy więc przez ustawienia ekran po ekranie. Naszą uwagę przykuło jedno ustawienie, „Tryb inicjalizacji” w Ustawieniach głównych w menu Pulpit nawigacyjny. Stwierdza, że przełącza „Jak WP Cerber ładuje swoje mechanizmy podstawowe i bezpieczeństwa”.
Domyślnie wybrano „starszy tryb”, więc zmieniliśmy go na „tryb standardowy”, ponieważ wydawało się to lepszą opcją. Nie mamy jednak pojęcia, co tak naprawdę dzieje się w tle.
Dodatki
Wordfence
Sekcja powiadomień informowała nas, które wtyczki i motywy wymagają natychmiastowej uwagi ze względu na ich krytyczny lub średni poziom zagrożenia. To jest zdecydowanie pomocne.
Wordfence Central, pulpit nawigacyjny do zarządzania wieloma witrynami na tym samym koncie, ma sekcję w wp-admin każdej połączonej witryny. Chociaż może to być przydatne dla niektórych, nie oferuje funkcjonalności niezbędnej dla większych agencji z setkami zarządzanych witryn.
Następnie sprawdziliśmy sekcję Narzędzia, która zawiera dzienniki ruchu na żywo, które dostarczają więcej informacji niż Google Analytics. Te dzienniki klasyfikują ruch w witrynie według kategorii, takich jak Człowiek, Bot, Ostrzeżenie i Zablokowany, co pozwala lepiej zrozumieć typy odwiedzających witrynę.
Opcja wyszukiwania Whois w sekcji Narzędzia umożliwia przeglądanie informacji o atakującym bez opuszczania wp-admin.
Za szczególnie interesującą i użyteczną uznaliśmy również sekcję Diagnostyka. Zawiera obszerne informacje na temat serwisu, od właścicieli procesów po tabele bazy danych, które programiści mogą wykorzystać jak arkusz specyfikacji serwisu.
WP Cerber
WP Cerber ma kilka przydatnych opcji utwardzania. Zalecamy wyłączenie dostępu XML-RPC i listy katalogów, a także zablokowanie PHP w folderze przesyłania, ponieważ nie powinno tam być żadnych wykonywalnych skryptów.
Istnieją zasady konta użytkownika oferowane przez WP Cerber, takie jak zakazanie administratora jako nazwy użytkownika. Jednak naszym zdaniem mają one ograniczoną użyteczność.
Posiada również wszechstronną funkcję antyspamową, w tym konfigurację reCAPTCHA i różne blokery spambotów.
WP Cerber może służyć do tworzenia pulpitu nawigacyjnego dla wszystkich witryn na tej samej licencji. Chociaż jest to rozwodniona wersja zewnętrznego pulpitu nawigacyjnego. Zewnętrzny pulpit nawigacyjny zapewnia wielką wartość, jeśli coś pójdzie nie tak i nie można uzyskać dostępu do wp-admin. Wersja WP Cerber ma znacznie mniejszą wartość.
Cena
Wordfence jest zdecydowanie bardziej wart swojej ceny niż WP Cerber.
Darmowa wersja Wordfence jest dość solidna, a roczna opłata abonamentowa w wysokości 99 USD jest całkiem rozsądna.
Wcześniej oprócz opłaty abonamentowej wymagana była jednorazowa opłata za usuwanie złośliwego oprogramowania w wysokości 490 USD. Jednak wraz z wprowadzeniem planów Care and Response klienci mogą zdecydować się na plan za 99 USD, który obejmuje opłatę w wysokości 490 USD w przypadku włamania na stronę. Plan odpowiedzi gwarantuje 1-godzinną reakcję na zhakowane strony za 950 USD rocznie na stronę; chociaż jest to świetne, stawia plan Opieki w mniej korzystnym świetle.
Darmowa wersja WP Cerber jest już niewystarczająca. Nie możemy sobie wyobrazić, że płatna wersja jest znacznie lepsza, więc płacenie 99 USD rocznie za witrynę nie ma dobrej wartości.
Czego brakuje?
Wordfence
Wordfence to wyjątkowa bezpłatna wtyczka bezpieczeństwa, z ponadprzeciętnym skanerem, który przewyższa większość innych dostępnych opcji, z wyjątkiem MalCare. Jedynymi wadami są brak ochrony przed botami i dziennika aktywności.
WP Cerber
Czy można powiedzieć, że brakuje mu wszystkiego? Skaner w WP Cerber opiera się na kodzie open source do wykrywania wszelkich zmian i oznaczania ich jako złośliwego oprogramowania. Jest to nawet gorsze niż dopasowywanie sygnatur, ponieważ wtyczki i motywy mogą zawierać dostosowania, a całe motywy można opracować na zamówienie. Oznacza to, że nawet jeśli istnieje prawdziwe złośliwe oprogramowanie, nie zostanie ono oznaczone oddzielnie, przez co skaner będzie prawie bezużyteczny. Ponadto brakuje wszystkich innych niezbędnych funkcji bezpieczeństwa lub są one źle zaimplementowane.
Jak wybrać wtyczkę bezpieczeństwa, która jest warta swojej ceny?
Nasz zwięzły i pouczający przewodnik po podstawowych funkcjach wtyczek bezpieczeństwa opiera się na naszej rozległej wiedzy na temat bezpieczeństwa WordPress. Wykluczyliśmy wszelkie funkcje niezwiązane z bezpieczeństwem, aby zapewnić, że nasz przewodnik jest skoncentrowany i odpowiedni.
Podstawowe funkcje bezpieczeństwa:
- Skanowanie w poszukiwaniu złośliwego oprogramowania: Oznacza to identyfikację złośliwego kodu, plików lub skryptów, które zostały dodane do witryny, ostrzegając użytkownika o potencjalnych zagrożeniach.
- Czyszczenie złośliwego oprogramowania: Jest to usuwanie wszelkiego wykrytego złośliwego kodu. Jest to niezbędny krok w zapewnieniu bezpieczeństwa Twojej witryny.
- Zapora ogniowa: odnosi się do możliwości blokowania złośliwego ruchu lub żądań przed dotarciem do witryny internetowej, a także zapobiegania przedostawaniu się potencjalnych zagrożeń do witryny internetowej. Ostrzeże również użytkownika o wszelkich podejrzanych działaniach, takich jak próby ataków siłowych.
Funkcje bezpieczeństwa, które warto mieć:
- Wykrywanie luk w zabezpieczeniach: czy wtyczka może identyfikować potencjalne luki w zabezpieczeniach witryny, które mogą zostać wykorzystane przez hakerów. Konieczne jest jak najszybsze zlokalizowanie i załatanie tych luk.
- Ochrona logowania przed brutalną siłą: dobra wtyczka zabezpieczająca blokuje wszelkie próby ataków brutalnej siły na stronę internetową, które są często wykorzystywane przez hakerów w celu uzyskania dostępu do strony internetowej.
- Dziennik aktywności: Ta funkcja śledzi wszelkie podejrzane działania w witrynie, takie jak złośliwe żądania lub nieudane próby logowania, dzięki czemu można je zablokować, zanim spowodują jakiekolwiek szkody.
- Uwierzytelnianie dwuskładnikowe: prawdopodobnie słyszałeś już ten termin. Ta funkcja dodaje dodatkową warstwę bezpieczeństwa do witryny, wymagając od użytkownika wprowadzenia dodatkowego kodu, zanim będzie mógł uzyskać dostęp do witryny. Utrudnia to hakerom uzyskanie dostępu do witryny.
Potencjalne problemy:
- Wpływ na zasoby serwera: Wykorzystanie zasobów jest ważnym aspektem, który należy wziąć pod uwagę przy wyborze wtyczki bezpieczeństwa. Wtyczki bezpieczeństwa często wymagają dużej ilości zasobów, co skutkuje wolnym czasem ładowania i innymi problemami z wydajnością.
Lepsza alternatywa dla Wordfence i WP Cerber Security: MalCare
Naszym zdaniem najlepszą alternatywą zarówno dla Wordfence, jak i WP Cerber jest MalCare. Jest to kompleksowa wtyczka bezpieczeństwa, która ma wszystko, czego potrzebujesz i więcej. Zapewnia ochronę przed botami i dziennik aktywności, których brakuje Wordfence, i jest o wiele bardziej niezawodny.
Podsumowanie
Wybierając wtyczkę bezpieczeństwa WordPress dla swojej witryny, należy wziąć pod uwagę funkcje skanera, czyszczenia i zapory. Chociaż inne funkcje można zaimplementować za pomocą innych wtyczek, te trzy funkcje stanowią rdzeń dobrej wtyczki bezpieczeństwa. Niestety, ani Wordfence, ani WPCerber nie są najlepsze w tym wszystkim. MalCare jest znacznie bardziej niezawodny.
W MalCare naszym celem jest, aby bezpieczeństwo strony internetowej było bezstresowe i bezbolesne, abyś mógł skupić się na ważniejszych aspektach swojego biznesu. Zostaw bezpieczeństwo nam, a ty rozwijaj swój biznes.