Sucuri vs. Cloudflare: Was ist besser für die Standortsicherheit?

Veröffentlicht: 2023-04-07

Wenn es um WordPress-Sites geht, sind Sicherheit und Leistung zwei wesentliche Aspekte, die berücksichtigt werden müssen. Angesichts der zunehmenden Anzahl von Cyber-Bedrohungen und des Bedarfs an schneller ladenden Websites sind zuverlässige Web-Sicherheits- und Leistungsdienste erforderlich.

In diesem Artikel vergleichen wir Sucuri mit Cloudflare und gehen auf ihre Funktionen, Benutzerfreundlichkeit, Preise und vieles mehr ein. Wir werden sie nebeneinander vergleichen, damit Sie eine bessere Vorstellung davon haben, welchen Dienst Sie wählen sollten, um sicherzustellen, dass Ihre WordPress-Site sicher ist und die beste Leistung erbringt.

Sowohl Cloudflare als auch Sucuri bieten eine Firewall, DDoS-Schutz und CDN, aber hier enden die Ähnlichkeiten. Ein WordPress-Sicherheits-Plugin benötigt einen Malware-Scanner, Cleaner und eine Firewall, um vollständig zu sein. Sucuri hat den Scanner und die Firewall, aber die Malware-Entfernung erfolgt über ihr Support-Team. Cloudflare konzentriert sich auf Web-Traffic-Dienste und kann daher nicht als Sicherheits-Plugin betrachtet werden, sondern als Hybrid zwischen Leistung und Sicherheit. In diesem Feldkampf ist Sucuri der Gewinner, aber nur, weil es alle notwendigen Funktionen hat. Für Sicherheitsfunktionen, die Ihre Website tatsächlich vor Malware schützen, benötigen Sie MalCare.

Sucuri auf den Punkt gebracht

Sucuri ist zweifellos ein beliebtes Plugin, aber es ist nicht ohne Fehler. Erstens ist sein Malware-Scanner unzuverlässig, da er nicht alle Malware auf einer Website erkennt. Wir würden den Scanner auf eine Effizienz von etwa 40 bis 50 % festlegen, was unter dem Durchschnitt liegt. Darüber hinaus verlangsamen die Sicherheitsscans Websites und verursachen einen Anstieg der Festplattennutzung des Servers.

Sucuri-Sicherheit

Der Malware-Entfernungsdienst ist jedoch effektiv. Das Problem, das wir hier sehen, besteht darin, dass Sie kaum feststellen können, ob Ihre Website infiziert ist, wenn der Scanner Sie nicht vor Malware warnt. In der Tat, es sei denn, Sie sehen sehr deutliche Symptome einer gehackten WordPress-Site, würden Sie nicht wissen, wie Sie ihren Malware-Entfernungsdienst überhaupt nutzen sollten.

Die Firewall ist ausgezeichnet, aber die Einrichtung ist schwierig und erfordert ein Herumspielen mit den DNS-Einstellungen. Außerdem kann Sucuris Sprache unserer Meinung nach verwirrend und herablassend sein.

Cloudflare auf den Punkt gebracht

Cloudflare bietet Sicherheits- und Leistungsdienste für Websites. Eines ihrer Hauptmerkmale ist eine Firewall, die vor Cyberangriffen wie DDoS-Angriffen schützt.

Wolkenflare

Der kostenlose Plan beinhaltet nur den DDoS-Schutz. Um auf die Firewall und andere erweiterte Funktionen zugreifen zu können, müssen Sie einen höheren Plan erwerben. Je besser Sie den Plan kaufen, desto mehr Schutz erhalten Sie vor verschiedenen Arten von Angriffen, einschließlich Bot-Schutz.

Der Bot-Schutz von Cloudflare kann dazu beitragen, Spam-Bots fernzuhalten, sodass Sie möglicherweise eine Reduzierung von Spam-Kommentaren und Formularübermittlungen feststellen, ohne ein separates Anti-Spam-Plugin verwenden zu müssen. Spam-Bots sind jedoch nicht die einzigen Arten von bösartigen Bots. Brute-Force-Bots, Scraper-Bots und solche, die sich als Suchmaschinen-Bots tarnen, sind genauso schlimm, wenn nicht schlimmer. Ein ausgeklügelter Bot-Schutz hält bösartige Bots fern, ohne die guten zu behindern.

Cloudflare bietet auch Leistungs- und Optimierungsoptionen für Websites, wie z. B. ein Content Delivery Network (CDN) und Load Balancing. Das CDN von Cloudflare ist deutlich besser als das von Sucuri.

Sucuri vs. Cloudflare: Direkter Vergleich der Sicherheitsfunktionen

Sucuri und Cloudflare haben einige Sicherheitsmerkmale und einige Leistungsmerkmale gemeinsam, weshalb die Leute die beiden Dienste vergleichen möchten. Während unserer Tests stellen wir jedoch fest, dass sie unterschiedliche Ziele haben. Sucuri ist eher ein Sicherheitsdienst, während Cloudflare auf Leistung setzt.

Trotzdem haben wir ähnliche Funktionen verglichen und angegeben, welche Sicherheitsfunktionen Cloudflare nicht hat. Als Sicherheitsexperten werden unsere Perspektive und unser Schwerpunkt immer auf der Sicherheit von WordPress-Sites liegen. Lassen Sie uns also eintauchen und herausfinden, welches Plugin die bösen Jungs fernhält.

Malware-Scannen

Sucuri ist ein wenig gut darin, nach Malware zu scannen. Cloudflare scannt überhaupt nicht.

Sucuri

Der Malware-Scanner von Sucuri bietet sowohl tägliches als auch On-Demand-Scannen für Ihre Website.

Um den serverseitigen Scanner zu aktivieren, müssen Sie eine Datei auf den Webserver hochladen oder Sucuri erlauben, Ihre FTP-Anmeldeinformationen zu verwenden. Wenn Sie sich Sorgen um die Sicherheit machen, können Sie sich stattdessen für SFTP entscheiden. Sucuri bietet auch eine Funktion namens „URL-Pfade der Zulassungsliste“, mit der Sie Ordner hinzufügen können, die Sie nicht scannen möchten.

Die Scans haben die auf unserer Website geladene Malware nicht erkannt. Wir wussten, dass Sucuri Probleme haben würde, Malware in der Datenbank zu identifizieren, aber es konnte die Malware auch nicht in den Dateien finden. Dies ist besorgniserregend, da wir eine Mischung aus alter und neuer Malware hatten. Wenn die Signaturdatenbank auf dem neuesten Stand war, sollte sie zumindest die alte Malware abgefangen haben.

Darüber hinaus verlangsamen diese Scans Ihre Website aufgrund des Ressourcenverbrauchs des Servers. Selbst wenn Sie nur bestimmte Dateien und Ordner scannen, um die Speichernutzung zu reduzieren, könnte sich Malware immer noch in anderen Bereichen Ihrer Website verstecken. Sie sollten nie zwischen Sicherheit und Leistung wählen müssen.

Nach der Malware-Bereinigung hat der tägliche Scan Malware erneut markiert und eine weitere Bereinigung vorgeschlagen.

Insgesamt ist der Malware-Scanner von Sucuri nicht effektiv und obendrein ein Ressourcenfresser.

Wolkenflare

Cloudflare verfügt nicht über einen integrierten Malware-Scanner, der Ihre Website auf bösartigen Code oder Dateien scannen kann.

Malware-Reinigung

Sucuri hat eine gute, aber verzögerte Reaktion auf die Entfernung von Malware. Cloudflare hat keine.

Sucuri

Zunächst einmal hat der Scanner keine Spuren von Malware auf unserer gehackten Website gefunden, wie wir im vorherigen Abschnitt beschrieben haben. Dies hätte das Ende der Fahnenstange sein sollen, aber wir haben den Malware-Cleaner trotzdem getestet.

Als wir den Malware-Entfernungsdienst anforderten, antworteten sie innerhalb von 12 Stunden mit einer Bereinigung. Leider wird Malware schlimmer, je länger sie verbleibt. Sie können sich für einen höheren Plan entscheiden, um die Wartezeiten zu verkürzen, aber selbst ein paar Stunden können qualvoll sein, wenn Ihre Website auf dem Spiel steht.

Sucuri hat jedoch fantastische Arbeit geleistet, um die Malware auf der WordPress-Seite zu entfernen. Unser MalCare-Scan kam blitzsauber heraus. Kudos an Sucuri dafür. Das einzige, was sie brauchten, waren die FTP-Details.

Nachdem sie unsere Website bereinigt hatten, wiesen sie auf einige anfällige Plugins hin, die aktualisiert werden mussten. Sie haben 2 von 3 der anfälligen Plugins erwischt, die wir für unsere Tests installiert hatten. Das ist hilfreich, denn seien wir ehrlich, wir lieben es, Malware so sehr zu bereinigen, wie wir es lieben, zum Zahnarzt zu gehen.

Wolkenflare

Cloudflare bietet keine speziellen Funktionen zum Entfernen von Malware von Websites.

Firewall

Die Firewall war mit Sucuri schwierig zu installieren und Cloudflare hat eine unvollständige Firewall, die hauptsächlich vor Bots schützt.

Sucuri

Wir haben die Firewall auf den Prüfstand gestellt, und sie hat alle Arten von Angriffen wie SQL-Injections, Remote-Injections und Cross-Site-Scripting-Angriffe hervorragend blockiert. Unsere Test-Website war voller Schwachstellen, aber die Firewall hat sich behauptet und sie sicher gehalten.

Wir sind jedoch auf einen Schluckauf bei der Firewall gestoßen: ihren Einrichtungsprozess. Sie müssen Ihren Datenverkehr auf die Server von Sucuri umleiten. Sucuri durchsucht dann den gesamten eingehenden Datenverkehr und filtert alles Bösartige heraus und sendet nur den guten Datenverkehr an Ihre Website.

Klingt gut, oder? Aber es war eine schwierige Installation. Unsere Test-Sites waren nicht mit Domain-Registraren verbunden, also mussten wir unser Engineering-Team hinzuziehen, um das Problem zu lösen. Darauf gehen wir später ein, wenn wir über die Installation sprechen.

Wolkenflare

Beim kostenlosen Plan von Cloudflare können Benutzer bis zu 5 benutzerdefinierte Firewall-Regeln erstellen, dies erfordert jedoch Fachwissen, sodass die meisten Benutzer möglicherweise Unterstützung durch Entwickler benötigen. Die kostenlose Firewall bietet grundlegenden Bot-Schutz, und es gibt auch eine separate Scrape Shield-Funktion, die vor Scraper-Bots schützt. Geoblocking ist verfügbar, aber es ist eine Premium-Funktion.

Schwachstellenerkennung

Sucuri hat einen durchschnittlichen Schwachstellenscanner. Cloudflare hat keine.

Sucuri

Obwohl der serverseitige Scanner von Sucuri einige Schwachstellen erkennen kann, ist es wichtig zu beachten, dass er nicht narrensicher ist. Ein Scan unserer Website hat 2 von 3 Schwachstellen entdeckt. Die obskureren Plugins oder Themes mit weniger als 200 Installationen werden wahrscheinlich beschönigt.

Wolkenflare

Cloudflare bietet keine Funktionen zur Schwachstellenerkennung.

Brute-Force-Login-Schutz

Sucuri ist bei unseren Tests durchgefallen. Cloudflare ist möglicherweise in der Lage, Bots zu stoppen, aber es gibt keine Anmeldeschutzfunktionen.

Sucuri

Wir haben den Brute-Force-Anmeldeschutz von Sucuri getestet, indem wir die Einstellungen so konfiguriert haben, dass 30 fehlgeschlagene Anmeldungen pro Stunde möglich sind. Anfangs zögerten wir mit der Sperrfunktion, weil wir befürchteten, von der Website ausgeschlossen zu werden.

Um das System zu bewerten, haben wir versucht, es zu testen, indem wir innerhalb von 3 Minuten über 40 falsche Anmeldungen versucht haben. Wir waren jedoch enttäuscht, als wir feststellten, dass Sucuri keinen Alarm ausgelöst hat.

Während die fehlgeschlagenen Anmeldeversuche in den Audit-Protokollen protokolliert wurden, konnten wir nicht feststellen, warum Sucuri keine Warnung gesendet hat. Diese Situation ist besorgniserregend, da das Fehlen einer Warnung die Website für nachfolgende Angriffe anfällig machen könnte.

Wolkenflare

Cloudflare bietet Bot-Schutz und das kann helfen. Cloudflare verfügt jedoch nicht über spezifische Anmeldesicherheitsfunktionen, die zum Verhindern von Brute-Force-Anmeldeangriffen erforderlich sind.

Aktivitätsprotokoll

Sucuri hat ein komplexes Aktivitätsprotokoll, aber zumindest eines. Cloudflare verfügt nur über Firewall-Protokolle, die keine Benutzeraktivitäten auf der Website verfolgen.

Sucuri

Auf dem Dashboard von Sucuri wird diese Funktion als Überwachungsprotokoll bezeichnet. Sie werden feststellen, dass sie den Zeitstempel bestimmter Aktionen sowie den Benutzer, der sie ausgeführt hat, aufzeichnen.

Obwohl die Protokolle umfassend sind, fanden wir sie zu verwirrend, um sie zu verwenden. Beispielsweise wird die Installation eines neuen Plugins normalerweise als „Plugin aktiviert“-Eintrag im Protokoll angezeigt. Es kann jedoch mehrere weitere Einträge geben, die zeigen, was die Installation beeinflusst hat, ohne klare Erklärungen für diese Änderungen.

Um zu verhindern, dass potenzielle Angreifer die Protokolle löschen, können Sie einen API-Schlüssel erhalten. Dieser Schlüssel ermöglicht es Sucuri, die gesammelten Website-Daten zu speichern und auf ihren Servern sicher aufzubewahren.

Wolkenflare

Cloudflare stellt ein Firewall-Protokoll bereit, um Datenverkehr und Sicherheitsereignisse zu verfolgen, bietet jedoch kein Aktivitätsprotokoll, das vom Benutzer vorgenommene Änderungen auf der Website überwacht.

Zwei-Faktor-Authentifizierung

Sie haben es auch nicht für Ihre WordPress-Site.

Sucuri

Es ist zwar möglich, die Zwei-Faktor-Authentifizierung auf Ihrem Sucuri-Konto zu aktivieren, aber es ist wichtig zu beachten, dass diese Funktion derzeit nicht für WordPress-Sites über Sucuri verfügbar ist.

Wolkenflare

Cloudflare bietet keine Zwei-Faktor-Authentifizierung als Sicherheitsfunktion für Benutzerkonten an.

CDN

Das CDN von Cloudflare ist besser, weil es mehr Rechenzentren und Optimierungsfunktionen hat.

Sucuri

Das globale Netzwerk von Rechenzentren von Sucuri wird von seinem CDN genutzt, um zwischengespeicherte Inhalte bereitzustellen, was letztendlich zu einer reduzierten Website-Latenz und Ladezeit führt. Diese Funktion stellt sicher, dass Benutzer unabhängig von ihrem Standort schnell und effizient auf die Website zugreifen können. Neben dem Caching verwendet das CDN von Sucuri auch Website-Optimierungstechniken wie Komprimierung und Minimierung, um die Website-Leistung weiter zu verbessern.

Benutzer haben nach der Implementierung des CDN von Sucuri von einer merklichen Verringerung der Ladezeiten und der Leistung von Websites berichtet. Sobald das CDN eingerichtet ist, erfordert es nur minimale laufende Wartung, und fortgeschrittene Benutzer können die Cache-Einstellungen für eine bessere Kontrolle anpassen.

Wolkenflare

Das CDN von Cloudflare ist ein global verteiltes Netzwerk von Rechenzentren, das sich über mehr als 250 Städte in über 100 Ländern erstreckt. Es wurde entwickelt, um die Leistung der Website durch Zwischenspeichern und Bereitstellen von Inhalten zu verbessern. In Verbindung mit fortschrittlichen Technologien wie Argo Smart Routing und HTTP/2-Priorisierung führt das CDN von Cloudflare zu erheblichen Verbesserungen der Ladezeiten und Leistung von Websites.

Darüber hinaus bietet das CDN von Cloudflare eine Bildgrößenanpassung, eine Funktion, die nicht von Sucuri bereitgestellt wird. Die Größenänderung von Bildern ist wichtig, da sie dazu beiträgt, die Größe des vom CDN bereitgestellten Inhalts zu reduzieren und bis zu 50-60 % der Daten einzusparen, insbesondere in Fällen, in denen ein Benutzer eine Website auf einem Gerät mit geringeren Abmessungen als das Bild öffnet.

Obwohl das CDN-Netzwerk von Cloudflare viel größer ist als das von Sucuri, können Benutzer in Regionen ohne CDN-Präsenz von Cloudflare langsamere Ladezeiten erleben.

Nutzung der Serverressourcen

Cloudflare optimiert die Leistung Ihrer Website und Sucuri ist ein Ressourcenfresser.

Sucuri

Das serverseitige Scannen von Sucuri kann erhebliche Auswirkungen auf die Serverressourcen haben, was zu einer langsameren Website-Leistung und höheren Serverrechnungen führen kann. Dies ist besorgniserregend, da Website-Eigentümer nicht zwischen Sicherheit und guter Website-Performance wählen müssen sollten.

Sucuri

In den allgemeinen Einstellungen von Sucuri gibt es eine Option zur Datenspeicherung, die angibt, dass viele Daten, hauptsächlich Protokolle, auf der Website selbst gespeichert werden. Aus diesem Grund wird ein API-Schlüssel benötigt, da die Daten im Uploads-Ordner gespeichert werden, der standardmäßig öffentlich zugänglich ist. Obwohl es eine Option gibt, den Speicherort in einen nicht öffentlichen Ordner zu ändern, ist es seltsam, dass dies nicht die Standardeinstellung ist.

Es ist wichtig, dass Website-Eigentümer sich der potenziellen Auswirkungen auf die Serverressourcen bewusst sind, wenn sie die Scan-Dienste von Sucuri verwenden, und in Betracht ziehen, ihre Einstellungen entsprechend anzupassen.

Wolkenflare

Cloudflare kann die Servernutzungsmetriken verbessern, indem es mit seinem Firewall-Schutz fehlerhafte Anfragen verhindert. Es bietet keinen Scanner oder Cleaner für Malware, der normalerweise Serverressourcen beansprucht. Daher ist es besser für die Leistung als für die Sicherheit.

Warnungen

Sucuri hat granulare Einstellungen für Warnungen und Cloudflare hat keine.

Sucuri

Die Sicherheitsalarmeinstellungen von Sucuri sind sehr spezifisch und detailliert, was sowohl ein Segen als auch ein Fluch sein kann. Einerseits können Benutzer anpassen, welche Benachrichtigungen sie erhalten, und sogar das Format und den Empfänger dieser Benachrichtigungen auswählen. Es ist auch möglich, bestimmte IP-Adressbereiche von der Kennzeichnung auszuschließen, was eine praktische Funktion ist.

Die in den Einstellungen verwendete Sprache kann jedoch für Nicht-Experten verwirrend sein. Begriffe wie „klassenloses Interdomain-Routing“ können einschüchternd und schwer verständlich sein. Letztendlich möchten die meisten Benutzer nur, dass ihre Website sicher ist, ohne sich durch komplizierten Fachjargon bewegen zu müssen.

Sucuri erkennt an, dass zu viele Warnungen überwältigend sein können, und bietet eine Einstellung, um die Anzahl der pro Stunde empfangenen Warnungen auf maximal fünf E-Mails zu begrenzen. Obwohl diese Funktion auf den ersten Blick nützlich erscheinen mag, ist es wichtig zu beachten, dass die kritischsten Warnungen immer noch in einer Flut von Fehlalarmen verloren gehen können. Sucuri bietet einen Haftungsausschluss für diese Einschränkung, aber es ist wichtig, die Vor- und Nachteile dieser Funktion sorgfältig abzuwägen.

Wolkenflare

Während unserer Tests wurden von Cloudflare keine Warnungen generiert, und wir haben keine Einstellungen zum Konfigurieren von Benachrichtigungen innerhalb der Plattform gefunden.

Installation, Konfiguration und Benutzerfreundlichkeit

Sie sind beide ziemlich schwierig ohne externe Hilfe zu konfigurieren.

Sucuri

Wir haben viel über die Benutzerfreundlichkeit und Konfiguration von Sucuri zu sagen. Also lasst uns anfangen:

Installation

Die Installation von Sucuri ist normalerweise ein unkomplizierter Prozess, aber die Konfiguration der Firewall erfordert etwas mehr Aufmerksamkeit. Die Dokumentation weist Benutzer an, ihren DNS-A-Eintrag so zu ändern, dass er auf die Firewall-IP-Adressen von Sucuri verweist, die den gesamten Datenverkehr zum Filtern auf ihre Server umleiten. Dieser Prozess fügt eine zusätzliche Sicherheitsebene hinzu, indem sichergestellt wird, dass nur legitimer Datenverkehr Ihre Website erreicht. Wenn Ihnen jedoch die Erfahrung mit oder der Zugriff auf DNS-Einträge fehlt, kann der Vorgang etwas kompliziert sein.

Unsere Testseiten hatten keine Domänennamen, daher konnten wir sie nicht auf die Sucuri-Firewall verweisen. Obwohl wir problemlos einen Firewall-Plan für eine der Testseiten erwerben konnten, war eine automatische Integration nicht möglich, da Sucuri weder cPanel noch Plesk anbot. Um mit dem Testen fortzufahren, mussten wir sicherstellen, dass der interne Domain-Link korrekt funktionierte und die Website korrekt geladen wurde, was auch der Fall war.

Wir haben versucht, die DNS-Server von Sucuri zu verwenden, aber wir zögerten, die Änderung vorzunehmen, da wir befürchteten, sie nicht rückgängig machen zu können. Obwohl unser erster Versuch nicht erfolgreich war, konnten wir die Firewall erfolgreich auf einer anderen Testseite installieren, die die zuvor erwähnte Audit-Protokollseite enthielt.

Benutzerfreundlichkeit

Die Benutzerfreundlichkeit von Sucuri ist aufgrund der Komplexität seiner Einstellungen herausfordernd. Das Verständnis der im Plugin verwendeten Fachbegriffe erfordert etwas Mühe. In bestimmten Fällen schlägt das Plugin empfohlene Einstellungen vor, aber der Benutzer muss möglicherweise blind vertrauen. Leider ist das Problem, dass der Malware-Scanner von Sucuri ineffektiv ist, was das Vertrauen in die Fähigkeiten des Plugins mindert.

Es wäre hilfreich, wenn das Plugin von Sucuri benutzerfreundlicher wäre. Obwohl es eine anständige Funktionalität zu bieten scheint, ist es schwierig, sicher zu sein, da Schlüsselfunktionen wie Brute-Force-Schutz nicht effektiv zu sein scheinen.

Post-Hack-Funktionen

Nachdem wir diese Funktionen untersucht hatten, stellten wir einige Nachteile fest. Beispielsweise kann das Ändern von WordPress-Salts über das Dashboard riskant sein, da es im Klartext sichtbar und für alle Administratoren zugänglich ist, die bei wp-admin angemeldet sind. Diese Funktion sollte nur verwendet werden, nachdem überprüft wurde, dass keines der Administratorkonten kompromittiert wurde, was nicht betont wird.

Die Funktion zum Zurücksetzen des Benutzerpassworts ist vielversprechend, aber es gibt einen Haken. Benutzer werden aus einer Liste ausgewählt, um ihre Passwörter zu ändern, ihre Sitzungen zu beenden und einen Link zum Zurücksetzen des Passworts per E-Mail zu erhalten. Das Plugin ändert jedoch Passwörter, bevor E-Mails gesendet werden, sodass Benutzer möglicherweise von der Website ausgeschlossen werden, wenn der Webserver keine E-Mails sendet.

Das Zurücksetzen installierter Plugins ist für kostenlose Plugins nur mäßig sinnvoll. Premium-Plugins erfordern immer noch eine Neuinstallation, während Themen nicht erwähnt werden, vermutlich weil dies zum Verlust von Anpassungen führen könnte. Wenn Sie diese Funktion aufgrund eines Hacks benötigen, ist es besser, einen Malware-Cleaner zu verwenden, anstatt alles neu zu installieren.

Die verfügbare Plugin- und Design-Aktualisierungsfunktion bietet eine grundlegende Versionsverwaltung und erweitert nicht die vorhandene wp-admin-Dashboard-Funktionalität. Nichtsdestotrotz kann es helfen, Benutzer über den Zusammenhang zwischen veralteten Plugins und Themen und Sicherheitsrisiken aufzuklären.

Aufbau

Beim Zugriff auf das wp-admin-Dashboard waren wir zunächst von seinem Layout beeindruckt. Wir haben jedoch festgestellt, dass sich die größte Infobox auf die WordPress-Integrität bezog, die wie eine aufgeputzte Version eines Dateiänderungsmonitors aussah. Obwohl sich diese Funktion in bestimmten Situationen als nützlich erweisen kann, könnte sie für unerfahrene Benutzer auch irreführend sein, die möglicherweise glauben, dass dies das einzige Tool ist, das für die Malware-Erkennung benötigt wird.

Als wir uns weiter mit den Einstellungen befassten, stießen wir auf ein Integritäts-Diff-Dienstprogramm, mit dem Kerndateien verglichen und Unterschiede erkannt werden konnten. Diese Funktion ist möglicherweise benutzerfreundlicher als ein Online-Diffchecker-Dienstprogramm. Wir haben jedoch auch festgestellt, dass einige der Einstellungen, wie z. B. Protokollanalysesoftware und Reverse-Proxy, für technisch nicht versierte Benutzer möglicherweise schwer zu verstehen sind. Es war frustrierend, herablassende Anweisungen zu erhalten, bestimmte Optionen zu vermeiden, es sei denn, wir wussten, was ein Reverse-Proxy ist. Insgesamt kann die Komplexität der Einstellungen für einige Benutzer überwältigend sein.

Wolkenflare

Das Installieren und Aktivieren des Cloudflare-Plug-ins ist ein unkomplizierter Vorgang, bei dem Sie sich für ein Cloudflare-Konto anmelden und Ihre E-Mail-Adresse verifizieren müssen. Die Konfiguration des Plugins kann jedoch ein komplexer Prozess sein, insbesondere für Benutzer, die mit der DNS-Konfiguration nicht vertraut sind. Die Firewall arbeitet über DNS-Einstellungen, die ordnungsgemäß überprüft werden müssen, um sicherzustellen, dass sie wie vorgesehen funktionieren. Darüber hinaus ist es erforderlich, Nameserver zu ändern, damit die Firewall ordnungsgemäß funktioniert.

Ein wichtiger Hinweis ist, dass für die Verbindung des wp-admin mit Ihrem Cloudflare-Konto ein API-Schlüssel erforderlich ist, der im Abschnitt „API-Token“ des Cloudflare-Dashboards zu finden ist. Es ist wichtig, den API-Schlüssel anstelle der Zonen-ID oder Konto-ID zu verwenden, da diese nicht funktionieren. Aber selbst mit dem API-Schlüssel kann der Konfigurationsprozess eine Herausforderung darstellen und möglicherweise externe Unterstützung erfordern.

Extras

Sucuri

Die Härtungsfunktionen von Sucuri sind für die Verbesserung der Website-Sicherheit unerlässlich, können sich aber auch auf die Benutzererfahrung auswirken. Beispielsweise kann das Deaktivieren des Plugins und des Design-Editors es schwierig machen, bestimmte Änderungen an der Website vorzunehmen. Während das Unternehmen behauptet, alle PHP-Dateien zu blockieren, gilt dies außerdem möglicherweise nur für die Remote-Ausführung von PHP-Dateien im Ordner "includes", da das Blockieren aller PHP-Dateien auf der Website diese funktionsunfähig machen würde.

Der Vorbehalt, dass einige Plugins und Themes Zugriff auf PHP-Dateien in diesen Ordnern benötigen, reicht jedoch nicht aus. Sucuri selbst speichern PHP-Dateien im Upload-Ordner, aber es ist unklar, ob sie von ihrem externen Dashboard aus Zugriff auf ihre eigenen Dateien benötigen oder ob dies eine Ausnahme von der Regel darstellt. Dies weist darauf hin, dass die Regeln zum Implementieren von Sicherheitsmaßnahmen in einer Weise flexibel sein können, die dem Benutzer nicht sofort klar ist.

Die Dokumentation zur API-Dienstkommunikation kann auch verwirrend sein, und es kann viel Zeit in Anspruch nehmen, die Einstellungen zu verstehen und ihre Auswirkungen auf die Sicherheit zu bewerten.

Wolkenflare

Cloudflare bietet die SSL-Einrichtung als Option an, aber da unser Domain-Registrar ein kostenloses SSL-Zertifikat bereitgestellt hat, haben wir Cloudflare für diesen Zweck nicht verwendet.

Cloudflare bietet auch mehrere Funktionen, die Funktionen replizieren, die normalerweise in der .htaccess-Datei zu finden sind, darunter URL-Umschreibungen für schönere URLs, Seitenregeln zum Umleiten von Datenverkehr und Weiterleitungsregeln für 301- und 302-Weiterleitungen. Darüber hinaus können Transformationsregeln verwendet werden, um der Site Sicherheitsheader hinzuzufügen.

Was fehlt?

Sucuri

Die Leistung des Malware-Scanners von Sucuri lässt viel Raum für Verbesserungen. Die Brute-Force-Anmeldeschutzfunktion erfüllt möglicherweise nicht die Erwartungen und kann Serverressourcen belasten. Darüber hinaus fehlt es an nativem Bot-Schutz, was enttäuschend ist. Die Zwei-Faktor-Authentifizierung ist ebenfalls nicht integriert und erfordert die Installation eines separaten Plugins. Diese Bereiche stellen Möglichkeiten für Sucuri dar, seine Eigenschaften zu verbessern.

Wolkenflare

In Sachen Sicherheit fehlen bei Cloudflare ein paar Komponenten. Einer der größten ist das Fehlen eines Scanners und eines Reinigers. Diese sind für die vollständige WordPress-Sicherheit unerlässlich, da sie Malware auf Ihrer Website erkennen und entfernen können. Darüber hinaus bietet Cloudflare zwar einige Sicherheitsfunktionen wie DDoS-Schutz und eine Firewall, aber keine Login-spezifischen Sicherheitsfunktionen wie Brute-Force-Schutz. Man kann argumentieren, dass DDoS eine größere Bedrohung darstellt, aber Tatsache ist, dass WordPress-Sites selten DDoS-Angriffen ausgesetzt sind.

Preisgestaltung

Sucuri ist preisgünstiger und hat mehr Funktionen.

Sucuri

Wenn der Malware-Scanner und die Firewall von Sucuri effektiv wären, wäre der Preis von 199 US-Dollar pro Jahr angemessen gewesen. Im Vergleich zum Basisplan von MalCare, der weniger teuer und effizienter beim Schutz von Standorten ist, ist die Preisgestaltung von Sucuri jedoch nicht gerechtfertigt.

Wolkenflare

Die Preise von Cloudflare können relativ hoch sein, mit Plänen ab 20 US-Dollar pro Monat und Website. Die kostenlose Version von Cloudflare bietet jedoch einige nützliche Funktionen, wie z. B. einen grundlegenden Bot-Schutz, ein zuverlässiges CDN und eine einfache Firewall.

Beste Alternativen zu Sucuri und Cloudflare

Unsere Einschätzung ist eindeutig, dass sich weder Sucuri noch Cloudflare als die Top-Sicherheits-Plugins qualifizieren. Diese Optionen stellen erhebliche Probleme dar, einschließlich ineffektiver Sicherheitsfunktionen und Frustration.

Welches Plugin sollten Sie also für maximale Sicherheit wählen? Unserer Meinung nach ist MalCare die bessere Wahl. Der Scanner, die Malware-Entfernung, die Firewall und die allgemeine Benutzerfreundlichkeit sind denen anderer Plugins weit überlegen.

Welches Sicherheits-Plugin ist Ihr Geld wert?

Die Auswahl des besten Sicherheits-Plugins für Ihre Website oder Anwendung kann angesichts der Vielzahl der verfügbaren Optionen eine entmutigende Aufgabe sein. Um diesen Prozess weniger überwältigend zu gestalten, ist es wichtig, sich auf die wichtigsten Sicherheitsfunktionen zu konzentrieren, die bei der Auswahl eines Plugins oberste Priorität haben sollten. Wir haben eine Liste dieser wesentlichen Funktionen zusammengestellt und auch einige zusätzliche Funktionen hervorgehoben, die Ihre Sicherheitsmaßnahmen weiter verbessern können.

Wesentliche Sicherheitsfunktionen

  • Malware-Scanner: Führt das Plugin regelmäßige Scans auf schädlichen Code oder Dateien durch?
  • Malware Cleaner: Kann das Plugin erkannte Malware entfernen?
  • Firewall: Wirkt sie als Barriere zwischen der Website und dem Internet, blockiert unbefugte Zugriffsversuche und verhindert böswilligen Datenverkehr?

Good-to-have-Funktionen

  • Vulnerability Scanner: Kann er Schwachstellen in Plugins und Themes identifizieren, die ausgenutzt werden könnten?
  • Brute-Force-Anmeldeschutz: Verhindert er Brute-Force-Angriffe, indem er mehrere Anmeldeversuche verhindert?
  • Aktivitätsprotokoll: Überwacht verdächtige Aktivitäten auf der Website.
  • Zwei-Faktor-Authentifizierung: Verlangt, dass Benutzer zusätzlich zu ihrem Passwort einen Code eingeben, der an ihr Telefon oder ihre E-Mail gesendet wird.

Potenzielle Probleme

  • Auswirkungen auf den Server: Einige Plugins können ressourcenintensiv sein und dazu führen, dass die Website/Anwendung langsamer wird oder abstürzt.

Abschließende Gedanken

Die grundlegenden Elemente, die in einem Sicherheits-Plugin zu berücksichtigen sind, sind Scanner, Cleaner und Firewall. Zusätzliche Funktionen können über alternative Plugins bezogen werden. Leider versagen sowohl Sucuri als auch Cloudflare in diesen Schlüsselbereichen. Für ein problemloses Sicherheits-Plugin, das Ihre Website effektiv schützt, empfehlen wir MalCare als optimale Wahl.

Häufig gestellte Fragen

Brauche ich Sucuri und Cloudflare?

Nein. Sie brauchen nicht beides. Sowohl Sucuri als auch Cloudflare haben Ähnlichkeiten wie eine Firewall, DDoS-Schutz und ein CDN. Sucuri verfügt zusätzlich über aktuelle Sicherheitsfunktionen wie Malware-Scanner und -Entfernung. Ziehen Sie aus Sicherheitsgründen die Verwendung von MalCare in Betracht, das im Vergleich zu Sucuri ein besseres Sicherheits-Plugin ist.

Welches ist besser? Wordfence oder Sucuri?

Wordfence ist besser. Der Scanner ist effektiver. Die Firewall war einfacher zu installieren. Die Entfernung von Malware ist wesentlich teurer. Besser als beides? MalCare.