Wordfence vs All-In-One WP Security:哪個安全插件更好?

已發表: 2023-04-07

您正在運營一個網站,並且您開始變得非常受歡迎。 您已經聽說過安全威脅並且擔心您網站的健康狀況。 您決定獲取一個安全插件來幫助管理您網站的健康並保護它免受攻擊。 但是你選擇哪一個呢? 有這麼多安全插件可供選擇? 當涉及到像安全這樣重要的事情時,您不能只選擇任何插件。

Wordfence 是一個在網站安全插件方面不斷出現的名稱。 這是一個流行的選擇,為用戶提供了一系列旨在保護他們的站點免受惡意威脅的功能。 但是 Wordfence 是適合您的安全插件嗎? 它缺少什麼功能?

All-In-One Security 是一種安全插件和反垃圾郵件軟件,因其廣泛的功能而受到高度評價和讚譽。 它不僅提供安全插件的所有安全功能,而且還具有大量強化功能以確保您的網站盡可能安全。 但它與競爭對手相比如何? 它是否辜負了它的聲譽?

我們不是 All-In-One Security 的粉絲,因為它缺少清潔器,本質上只是一個美化的反垃圾郵件和強化插件; Wordfence 無疑是更好的選擇。 WordPress 最好的安全插件既不是 Wordfence 也不是 All-in-One Security; 它是 MalCare。

說到 WordPress 安全性,有多種插件可供選擇。 最受歡迎的兩個是多合一安全和 Wordfence。 在本文中,我們比較了這兩個插件如何處理重要的安全操作,例如安裝防火牆或刪除惡意軟件。 繼續閱讀以了解這兩個安全插件之間的區別以及我們認為 Wordfence 更好的原因。

概述:Wordfence 與多合一安全性

Wordfence 和 All-In-One Security 都是 WordPress 的安全插件,有免費版和高級版,但它們有很大的區別。

Wordfence 有一個簽名匹配檢測機制,可以檢測 70% 到 80% 的惡意軟件和一個將威脅拒之門外的防火牆,但免費版本比高級版本更新得晚。

All-In-One Security 具有反垃圾郵件功能和雙因素身份驗證功能,但免費版本缺少掃描程序來檢查站點是否被黑客入侵、漏洞檢測或惡意軟件清除程序。 防火牆嚴重依賴 .htaccess 文件,該文件只能阻止某些類別的惡意機器人。

總的來說,Wordfence 似乎是一個更全面的安全插件,而 All-In-One Security 更側重於反垃圾郵件功能。

Wordfence 簡而言之

Wordfence 是一個全面的免費 WordPress 安全插件。

Wordfence 安全

它的簽名匹配檢測機制可以檢測到 70% 到 80% 的惡意軟件,但它確實會漏掉大多數基於數據庫的惡意軟件。 它的防火牆在抵禦威脅方面做得很好,但值得注意的是,免費版本的更新比高級版本晚得多。 此外,如果您的站點允許使用 Wordfence,請務必與您的 Web 主機核實,因為它可能會佔用大量資源,導致許多主機完全禁止其服務器使用它。

多合一安全性簡而言之

多合一安全性具有一些積極的特點。 對於初學者來說,它具有反垃圾郵件功能、雙因素身份驗證功能和限制登錄功能,不會對站點服務器造成負載或過多警報。

多合一安全和防火牆

不幸的是,弊大於利:免費版本沒有掃描儀來檢查您的網站是否被黑客入侵,也沒有漏洞檢測或惡意軟件清除程序。 此外,防火牆嚴重依賴 .htaccess 文件,該文件似乎只能阻止某些類別的惡意機器人。 我們只能推薦 All-In-One Security 的反垃圾郵件功能,儘管我們更喜歡 CleanTalk 或 Akismet。

強化功能還不錯,但沒有什麼是用較小的插件無法輕鬆實現的。 我們發現 All-In-One Security 與 iThemes 非常相似,因為 wp-admin 上的過多設置似乎試圖掩蓋插件缺乏實質內容的事實。

安全功能的正面比較:Wordfence vs All-In-One WP Security

在本節中,我們將比較這兩個插件在惡意軟件檢測、雙因素身份驗證、安全強化和資源使用等重要安全功能方面的相互比較。

惡意軟件掃描

任何低於 95% 的惡意軟件檢測都不好,但至少免費的 Wordfence 有點有效。 All-In-One Security 的免費插件中沒有掃描儀。

Wordfence 的免費掃描儀只有 60% 有效,這並不理想。 掃描很快完成,因為 Wordfence 使用簽名匹配通過將您站點上的代碼與龐大的惡意軟件簽名數據庫進行比較來檢測惡意軟件。 他們在保持簽名數據庫最新方面做得很好; 但是,它無法檢測到零日攻擊。

Wordfence 惡意軟件掃描

此外,簽名匹配僅對基於文件的惡意軟件有效,無法檢測數據庫中的惡意軟件。 我們發現它只檢測到 70-80% 的惡意軟件,並產生誤報以啟動。 最後,掃描器只能檢測開源或免費插件和主題中的惡意軟件,因為它依賴於公開可用的代碼進行比較。 掃描中不包括高級插件和主題。

Wordfence 惡意軟件掃描程序

我們驚訝地發現惡意軟件掃描是一體化安全的一項高級功能。 從好的方面來說,掃描是在他們的服務器上進行的,而不是在您自己的網站上進行的。

惡意軟件清理

Wordfence 的惡意軟件清除功能一般,但至少它存在。 多合一安全性並非如此。

Wordfence 提供了兩個自動刪除惡意軟件的選項:刪除所有可刪除文件和修復所有可修復文件。 如果需要更徹底的清潔,Wordfence 還提供專業的清潔服務。

我們測試了這兩個自動化選項,發現它們成功地從我們的網站中刪除了惡意軟件; 但是,由於可能出現網站中斷的警告,我們不得不謹慎行事。 不幸的是,掃描器無法檢測到任何數據庫惡意軟件或高級插件中的惡意軟件,因此無法進行自動修復。

遺憾的是,All-In-One Security 不提供惡意軟件清除功能,甚至不提供推薦的清除服務。 他們提供的唯一指導是建議,這遠不能令人滿意。 對於安全插件,這是非常令人失望的。

防火牆

Wordfence 的免費防火牆還有很多不足之處。 All-In-One Security 的防火牆可以抵禦垃圾郵件機器人,但僅此而已。

Wordfence 的防火牆以學習模式開始,Wordfence 建議保留一周以提高效率。 但是,由於我們的測試網站缺乏實時流量,我們決定立即將其關閉。

Wordfence 防火牆

根據儀表板,它確實成功阻止了在線攻擊,儘管免費防火牆的效率僅為 35%。 我們調查了為什麼會出現這種情況,並找到了兩種可能的解釋。

Wordfence 保護已激活

首先,免費防火牆作為插件加載在 WordPress 核心之後,這意味著它只能防禦部分惡意流量,而不是全部。 其次,高級版的 Wordfence 會實時接收更新,而免費版會在未知的時間後接收更新,這可能會給黑客留下一個漏洞窗口。 從 Wordfence 自己的評估中可以清楚地看出,免費防火牆不如高級版本有效。

All-In-One Security 具有類似防火牆的功能,可以阻止某些機器人程序、垃圾郵件、暴力登錄和抓取程序,並關閉對某些文件的訪問。 但是,這些功能並不構成真正的防火牆。 防火牆似乎主要依賴 .htaccess 文件進行操作,這是一個強大的工具,但不適合防火牆的工作。

從儀表板中,您可以將 IP 地址和用戶代理列入黑名單以保護您的站點。 要啟用地理封鎖,您必須升級插件。

漏洞檢測

Wordfence 上的漏洞檢測開箱即用,非常可靠。 All-In-One Security 稱這是一項高級功能,是他們掃描儀的一部分。

Wordfence 準確地提醒我們所有過時的插件都是中等威脅,並正確地將漏洞標記為嚴重威脅。

漏洞檢測似乎只能在 All-In-One Security 的高級掃描功能中使用。 因此,到目前為止,還沒有可用的漏洞檢測。

暴力破解保護

Wordfence 具有強大的暴力破解保護,而 All-In-One Security 具有非常複雜的功能以及許多漂亮的功能。

Wordfence 上默認啟用暴力破解保護,並且每次都能有效地工作,根據儀表板上設置的配置將用戶鎖定在錯誤嘗試過多的門外。 這些設置可以在防火牆部分找到,並且有很多選項可以自定義,例如錯誤登錄嘗試的鎖定時間。 Wordfence 清楚地解釋了這些設置中的每一個,並提供了充足的文檔。

還可以在此處設置密碼管理選項,例如強制使用強密碼和防止使用在數據洩露中發現的密碼。 可以在本節中將 IP 列入白名單,但是我們不確定它們的有效性,因為設備 IP 可以是動態的,這意味著合法用戶仍可能被鎖定。

All-In-One Security 提供了多種設置來防止用戶登錄屏幕上的暴力破解,我們使用默認推薦值來測試該功能。 我們用現有用戶名和不正確的用戶名測試了不正確的密碼,並且鎖定工作順利。

可以根據個人喜好調整設置,總的來說,此功能是我們見過的限制登錄的更好版本之一。

此外,還有一組單獨的切換開關專門用於防止暴力破解,其中之一是能夠更改登錄 URL。 這是一種偽裝成暴力預防的強化措施。 此外,還有一個僅對機器人可見的蜜罐選項,可以啟用該選項以自動拒絕落入蜜罐陷阱的註冊。 此功能是為了防止垃圾郵件註冊。

活動日誌

這兩個插件都沒有活動日誌。

我們驚訝地發現 Wordfence 沒有活動日誌,因為它是網站安全的重要組成部分。 在“工具”菜單的“診斷”部分有一個啟用調試的選項,但這會導致防火牆日誌變得更加詳細,而不是活動日誌。 通過廣泛的研究,我們能夠在掃描部分找到專門針對 Wordfence 事件的活動日誌。 然而,它是一個原始日誌,大概是為 Wordfence 開發人員創建的。

遺憾的是,AIOS 沒有活動日誌,只有半生不熟的登錄日誌。

雙重身份驗證

All-In-One Security 和 Wordfence 都具有不錯的 2FA 功能。

Wordfence 的雙因素身份驗證很容易設置和自定義各種選項。 它曾經是一項高級功能,但現在也包含在免費插件中。

多合一安全性提供了為所有類型的用戶設置雙因素身份驗證 (2FA) 或選擇最需要保護的帳戶的能力。

此切換將 2FA 添加為用戶配置文件中的一個選項,允許用戶根據需要啟用它。

用戶可以選擇多種選項,具體取決於最適合他們的機制。 總而言之,All-In-One Security 2FA 是一項全面的功能。

服務器資源使用

Wordfence 是站點服務器上的一個缺陷。 另一方面,All-In-One Security 幾乎不使用任何資源,因為它實際上並不掃描免費版本中的站點。

Wordfence 可能會佔用大量資源,因為它在網站上執行的每個操作都會消耗服務器資源。 這可能會導致掃描期間磁盤使用量激增,從而導致磁盤使用量增加一倍甚至三倍,從而對加載時間、響應時間和用戶體驗產生負面影響,即使在相對較小的網站上也是如此。

多合一安全性對站點服務器非常溫和,因為免費版本中沒有可用的掃描功能。 此外,您可以通過啟用防火牆部分中的設置來防止盜鏈。 這將防止人們在他們自己的站點上使用存儲在您的站點服務器上的資產,這會耗盡您的服務器空間。

警報

Wordfence 會用警報轟炸你。 使用多合一安全性,您可以自定義要接收的信息。

使用 Wordfence,我們很快就被電子郵件和警報淹沒了。 不幸的是,這使它們變得毫無用處,因為過多的警報會導致在必要時無所作為。

All-In-One Security 具有合理數量的警報,例如鎖定用戶,您可以自定義您希望接收的警報。 然而,這與 Wordfence 提供的大量警報相去甚遠。

安裝、配置和可用性

Wordfence 擁有我們見過的最好的安裝和設置。 與我們見過的其他一些可怕的 UI 相比,即使是多合一安全性也很容易。

Wordfence 的安裝、配置和一般使用受到許多人的高度評價。 他們的文檔包括每個主要部分的分步演練,以易於理解的語言提供最重要的設置和功能的詳細解釋。

此外,Wordfence 提供了很好的配置建議,並且可以通過儀表板上的工具提示獲取文檔,使其非常人性化。 每個功能都得到了深入的解釋,並且可以立即訪問有關如何將其應用到您的網站的說明。

與 Bulletproof Security 的混亂用戶界面相比,All-In-One Security 的安裝和激活相對簡單。

但是,由於網站上已經安裝了 MalCare,我們無法自動設置防火牆,不得不在終端中編輯代碼,將 MalCare 防火牆替換為一體式安全防火牆。

All-In-One Security 有一個評分系統來確定我們網站的安全程度。 網站上的 0/505 分是一個令人痛苦的驚喜,但是,該系統有助於了解網站的狀態。 為了增強安全性並獲得更好的分數,需要在設置菜單中的每個選項上啟用基本安全功能。

附加功能

Wordfence 提供了一個通知部分來指示哪些插件和主題由於被認為是嚴重或中等威脅而需要更新。

此外,Wordfence Central 儀表板允許一個人在同一個帳戶上管理多個站點,但是,這對於擁有數百個託管站點的機構來說可能不是很有用。

實時流量部分記錄流量並對流量進行分類,甚至提供“誰是”查找功能,無需離開 wp-admin 即可查看攻擊者。

最後但同樣重要的是,診斷部分在一個地方提供了有關網站的全面信息,使其成為開發人員的寶貴工具。

All-In-One Security 提供站點數據庫、.htaccess 文件和 wp-config 文件的部分備份,這是一個好主意。 但這些備份不足以自行重建被破壞的站點。 插件和主題可以進行重大修改,不備份它們會導致代價高昂的錯誤。 為確保您的站點受到充分保護,請確保進行明確備份並將其保存到您的設備中。

另外,.htaccess 文件不經常更改,但數據庫確實如此。 自動備份將是保護您網站的最有效方式,因為人們甚至可能不知道數據庫發生了變化。

儘管 All-In-One Security 包括一些強化設置,但它們在保護網站方面可能不如某些人想像的那麼有效。 例如,刪除 WordPress 版本並不能防止漏洞,因為更新 WordPress 是保持安全的唯一方法。

此外,試圖隱藏管理員用戶名不會阻止暴力攻擊,因為它們仍然會消耗服務器資源。 All-In-One Security 的密碼工具可以幫助創建強密碼,但是更改數據庫前綴和更改文件權限都是無效的措施。 禁用對 XML-RPC 的訪問是一項有用的功能,但文件更改檢測的用途有限。

能夠更改文件權限將是一個有用的功能,如果它不是那麼無牙的話。 您只能更改某些文件和文件夾的文件權限,並且只能更改為 AIOS 推薦的權限。 談論防白痴功能,並使其完全無用。

有趣的是,可以限製網站上的用戶註冊以幫助防止黑客攻擊。 這種策略可以防止黑客創建用戶帳戶和提升權限以獲得對站點的不受限制的訪問。 此外,還有多種選項可用於防止垃圾評論,這是一個很棒的功能,因為垃圾評論可能非常煩人。 防火牆應該可以防止垃圾郵件機器人發布,但是有一個額外的過濾器是有益的。

驗證碼
垃圾郵件塊
蜜罐

少了什麼東西?

我們顯然喜歡 Wordfence 的免費版本,但它有一些缺點。 它不包括機器人保護或活動日誌。 與其他可用的安全插件相比,它的掃描器高於平均水平,MalCare 除外。 MalCare 同時具有保護和活動日誌,使其成為更好的插件。
您可以猜到我們要說的關於一體化安全性的內容。 它缺少清潔劑。 我們聽起來像是一個破紀錄,但不幸的是,由於缺乏清理選項,很難將此插件視為可行的安全選項。

價錢

Wordfence 的免費版本非常全面,每年 99 美元的訂閱費物超所值。 以前,客戶必須額外支付 490 美元用於清除惡意軟件以及訂閱費。 但是,客戶現在可以在 Care 和 Response 計劃之間進行選擇,Care 計劃不提供額外費用。 Response 計劃在發生黑客攻擊時保證 1 小時的響應時間,每個站點每年的成本為 950 美元,這是非常寶貴的。

Wordfence 定價

乍一看,All-In-One Security 針對兩個站點每年 70 美元的價格似乎很合理。 但是,應該注意的是,其中不包括惡意軟件清理,這意味著這將是一項額外費用。 此外,很難評估掃描儀的有效性。

Wordfence 和多合一安全性的更好替代品:MalCare

雖然我們喜歡 Wordfence,但 MalCare 是一個更好的安全插件。 MalCare 是最全面的安全插件,具備您所需的一切以及更多功能。 它提供了 Wordfence 缺少的機器人保護和活動日誌,並且更加可靠。 MalCare 還涵蓋了數據庫,這是其他插件所沒有的。

推薦閱讀:Wordfence vs WP Cerber security

安全插件的優點是什麼?

我們對 WordPress 安全性的廣泛了解使我們能夠創建一個簡明且信息豐富的基本安全功能指南,以在安全插件中尋找。 我們排除了與安全性沒有直接關係的任何功能,以便為您提供更有針對性的列表。

重要功能:

  • 惡意軟件掃描:此功能有助於檢測已添加到網站的任何惡意代碼、文件或腳本,提醒用戶任何潛在威脅並讓他們高枕無憂。
  • 惡意軟件刪除:它有助於刪除已檢測到的任何惡意代碼,使其成為確保網站安全的關鍵步驟。
  • 防火牆:它有助於阻止惡意流量和請求到達網站,並阻止潛在威脅進入網站。 此外,它還可以提醒用戶任何可疑活動,例如嘗試進行暴力攻擊,為他們提供預警和額外保護。

必備的安全功能:

  • 漏洞檢測:它有助於識別網站中可能被黑客利用的任何潛在漏洞,因此盡快識別和修補它們至關重要。
  • 暴力登錄保護:這意味著阻止對網站的任何暴力攻擊嘗試,使黑客難以獲得訪問權限並為您的網站提供額外的保護層。
  • 活動日誌:監控和跟踪網站上的任何可疑活動,例如惡意請求或登錄嘗試失敗,允許用戶在造成任何嚴重損害之前採取行動並阻止威脅。
  • 雙因素身份驗證:這通過要求用戶在訪問網站之前輸入額外的代碼來為網站增加額外的安全層。 這使得黑客更難訪問網站,讓用戶更加安心。

潛在問題:

  • 對服務器資源的影響:在做出決定時考慮安全插件的資源強度很重要,因為它們會導致加載時間變慢和其他性能問題。

包起來

在為您的網站選擇 WordPress 安全插件時,您應該評估掃描器、清理器和防火牆,因為這三個功能對於強大的安全插件來說是必不可少的。 您會在 MalCare 中找到所有這些功能。 在 MalCare,我們努力讓安全變得輕鬆無憂,以便您可以專注於發展您的業務。 讓我們負責安全,而您負責其餘的工作。