Sucuri vs. Sitelock: Das ist ein besseres Sicherheits-Plugin

Veröffentlicht: 2023-04-07

Wenn Sie nach den besten Plugins für WordPress-Sicherheit recherchiert haben, sind Sie wahrscheinlich auf Sucuri und Sitelock gestoßen. Diese beiden beliebten Plugins bieten eine Reihe von Funktionen, mit denen Sie Ihre Website vor Online-Bedrohungen schützen können. Die Wahl zwischen ihnen kann jedoch überwältigend sein, insbesondere wenn Faktoren wie Kosten, Benutzerfreundlichkeit und Funktionen verglichen werden. Es gibt auch so viel Fachjargon, der schwer zu verstehen sein kann. Wir geben dir Deckung!

Wir haben Sucuri mit Sitelock verglichen und alle wichtigen Sicherheitsinformationen zusammengestellt. Außerdem haben wir die Informationen vereinfacht, damit Sie die beste Option für Ihre Website auswählen können.

Sucuri ist im Vergleich zu Sitelock ein anständiges Sicherheits-Plugin. Obwohl ihr Scanner nicht perfekt ist, ist ihr Malware-Entfernungsservice erstklassig. Die Firewall blockiert die meisten Bedrohungen effektiv und insgesamt ist Sucuri von viel besserem Wert. Ehrlich gesagt ist Sitelock einfach nur schrecklich. Für die beste Sicherheit für deine WordPress-Seite installiere MalCare.

Sucuri auf den Punkt gebracht

Sucuri ist definitiv eines der beliebtesten Plugins, aber es hat Probleme. Zunächst einmal ist der Malware-Scanner unzuverlässig. Im Grunde genommen wird es nicht alle schlechten Dinge auf Ihrer Website abfangen. Die gute Nachricht ist jedoch, dass der Malware-Entfernungsdienst von Sucuri effektiv ist. Sie brauchen jedoch Zeit, um zu antworten, und das kann sehr stressig sein, wenn Ihre Website gehackt wird.

Sucuri-Sicherheit

Die Firewall ist eine andere Geschichte. Es funktioniert super, aber das Einrichten war wirklich schwierig. Im Grunde mussten wir mit den DNS-Einstellungen herumspielen, damit sie auf den Firewall-Server von Sucuri statt auf unsere Test-Website verweisen. Nun, um fair zu sein, Sie werden auf Ihrer Live-Site wahrscheinlich nicht auf dieses Problem stoßen. Es sei denn, Sie haben keinen Zugriff auf Ihren Domain-Registrar, in diesem Fall wird es eine holprige Fahrt.

Eine Sache, die wir wirklich nervig fanden, war, wie kompliziert alles war. Die Sprache, die Sucuri verwendet, ist verwirrend und grenzwertig herablassend. Außerdem verlangsamte jeder Sicherheitsscan unsere Testseiten und verursachte einen Anstieg der Serverfestplattennutzung. Es stellt sich heraus, dass Sucuri Site-Ressourcen verwendet, um nach Malware zu suchen, was kontraproduktiv ist. Daran ist übrigens auch Wordfence schuld.

Alles in allem ist Sucuri eine anständige Option, aber es gibt definitiv einige Nachteile. Denken Sie nur daran, dass der Scanner nicht perfekt ist und das Firewall-Setup ein Alptraum sein kann.

Sitelock auf den Punkt gebracht

Sitelock scheint an vielen Fronten zu kurz zu kommen. Die Konfiguration kann schwierig sein und funktioniert oft nicht wie beabsichtigt. Die kritischen Sicherheitsfunktionen wie der Scanner und die Entfernung sind schrecklich und funktionieren überhaupt nicht.

SiteLock-Sicherheit

Selbst die sekundären Sicherheitsfunktionen wie die Zwei-Faktor-Authentifizierung scheinen nicht richtig zu funktionieren. Es ist schwer zu verstehen, warum dieses Plugin angesichts der zahlreichen Probleme, die es zu haben scheint, überhaupt auf dem Markt ist. Insgesamt scheint Sitelock in Bezug auf Funktionalität und Effektivität zu wünschen übrig zu lassen.

Sucuri vs. Sitelock: Direkter Vergleich der Sicherheitsfunktionen

Obwohl sowohl Sitelock als auch Sucuri entwickelt wurden, um umfassende Sicherheit für Websites zu bieten, weisen sie deutliche Unterschiede in ihren Funktionen und Fähigkeiten auf. Wir werden unter anderem ihre Hauptfunktionen wie Malware-Scannen und -Entfernen, Firewall für Webanwendungen untersuchen. Am Ende dieses Abschnitts haben Sie ein klares Verständnis der Stärken und Schwächen von Sitelock und Sucuri.

Malware-Scanner

Sucuri hat einen Teil der Malware abgefangen, ist aber ein Ressourcenfresser. Sitelock hat nichts gefangen.

Lassen Sie uns über den Malware-Scanner von Sucuri sprechen. Es war in der Lage, einen Teil der Malware auf unseren vielen Testseiten abzufangen.

Es sind sowohl tägliche als auch On-Demand-Scans verfügbar, aber hier ist der Haken: Sie können Serverressourcen in Anspruch nehmen und Ihre Website verlangsamen. Und selbst wenn Sie sich dafür entscheiden, nur bestimmte Dateien und Ordner zu scannen, um den Speicherverbrauch zu reduzieren, ist dies nicht narrensicher. Malware könnte sich noch woanders verstecken.

Sucuri-Malware-Scanner

Um den serverseitigen Scanner zu aktivieren, müssen Sie manuell eine Datei auf den Webserver hochladen oder Sucuri erlauben, Ihre FTP-Anmeldeinformationen zu verwenden. Aber dann stießen wir auf eine Einstellung namens „URL-Pfade der Zulassungsliste“, was unserer Meinung nach bedeutet, dass wir Ordner hinzufügen können, die wir nicht scannen möchten. Das Hilfesymbol war jedoch nicht sehr hilfreich, da es nur besagte, dass alle hinzugefügten Links Warnungen für diese Pfade unterdrücken würden.

Positiv zu vermerken ist, dass Sucuri alle Instanzen von Malware von der Website entfernen konnte, als wir eine Malware-Bereinigung anforderten. Aber dann, ein paar Stunden später, während des täglichen Scans, wurde Malware erneut angezeigt und eine weitere Bereinigung vorgeschlagen. Sprechen Sie über eine Achterbahnfahrt!

Während unserer Tests erwies sich der Malware-Scanner von Sitelock als unwirksam. Trotz täglicher Scans konnte der Scanner keine Malware auf unserer Testseite erkennen. Wir haben sogar einen On-Demand-Scan durchgeführt, aber es wurde immer noch kein bösartiger Code gefunden. Wir fanden es überraschend, dass Sitelock der Website trotz starker Infektion ein einwandfreies Gesundheitszeugnis ausstellte. Benutzer können die Häufigkeit automatischer Scans anpassen, es ist jedoch nur ein On-Demand-Scan pro Tag zulässig.

Malware-Reinigung

Das Support-Team von Sucuri konnte unsere Website bereinigen, aber es dauerte 12 Stunden. Wir konnten die Malware-Entfernungsfunktion von Sitelock nicht testen, da sie keine Malware anzeigte.

Obwohl Sucuri unserer gehackten Website ein einwandfreies Gesundheitszeugnis ausgestellt hat, haben wir uns an das Support-Team gewandt, um nach einem Reinigungsdienst zu suchen. Sie antworteten mit einer Bearbeitungszeit von 12 Stunden. Sie haben bei der Beseitigung der Malware hervorragende Arbeit geleistet. Das Einzige, was sie brauchten, waren unsere FTP-Zugangsdaten.

Nachdem sie die Bereinigung abgeschlossen hatten, wiesen sie auf zwei der drei anfälligen Plugins hin, die wir für unsere Experimente verwendeten, und forderten uns auf, sie zu aktualisieren. Sie stellten uns auch eine Reihe von Sicherheitsmaßnahmen vor, die nach Abschluss der Aufräumarbeiten zu befolgen sind.

Leider ist Malware nicht dafür bekannt, geduldig zu warten, daher ist dies eine extrem lange – und stressige – Wartezeit. Um eine schnellere Reaktionszeit zu erhalten, müssten Sie Ihren Plan aktualisieren.

Die automatische Malware-Entfernungsfunktion von Sitelock, SMART, war aufgrund von Problemen mit der FTP-Verbindung nicht zum Testen verfügbar. Das Versagen des Sitelock-Scanners bei der Erkennung von Malware lässt Zweifel an der Wirksamkeit seiner automatischen Bereinigung aufkommen. Darüber hinaus ist unklar, wie die Expertenfunktion zum Entfernen von Malware funktionieren würde, wenn der Scanner Malware überhaupt nicht erkennen kann.

Firewall

Die Firewall von Sucuri war schwer zu installieren, aber meistens effektiv. Sitelock hat in dem von uns installierten Basisplan keine Firewall.

Wir haben es getestet und es hat Angriffe wie SQL-Injections, Remote-Injections und Cross-Site-Scripting-Angriffe erfolgreich blockiert. Unsere Test-Website war voller Schwachstellen, aber die Firewall stand stark und schützte sie vor Schaden.

Allerdings hatten wir ein Problem mit der Firewall: ihre Installation. Sucuri hat eine sogenannte DNS-Firewall, im Gegensatz zu Plugin-basierten oder Netzwerk-Firewalls. Um die Firewall zu aktivieren, müssen Sie Ihren Datenverkehr zu ihren Servern leiten, die schädlichen Datenverkehr herausfiltern und nur guten Datenverkehr an Ihre Website senden.

Das mag nach einer großartigen Idee klingen, aber Junge, war es schwierig zu konfigurieren. Unsere Test-Websites waren keinem Domain-Registrar zugeordnet, also mussten wir unser Engineering-Team hinzuziehen, um es herauszufinden. Sagen wir einfach, es war nicht die reibungsloseste Fahrt, aber wir haben es schließlich geschafft. Wir haben darüber mehr im Abschnitt über die Installation gesprochen.

Jeder, der keinen Zugriff auf seine Domain-Registrare oder DNS-Einstellungen hat, wird Schwierigkeiten haben, die Firewall von Sucuri zu installieren.

Der von Sitelock angebotene Basisplan beinhaltet keinen Firewall- oder Bot-Schutz, was bedeutet, dass wir diese Funktionen während unserer Evaluierung nicht testen konnten. Enttäuschend.

Schwachstellenerkennung

Sucuri konnte 2 von 3 anfälligen Plugins erkennen. Sitelock erkannt 0.

Die Schwachstellenerkennung von Sucuri ist bestenfalls durchschnittlich, aber zumindest existiert sie. Mit aktiviertem serverseitigem Scanner konnten zwei der drei anfälligen Plugins auf unserer Website erkannt werden. Es ist zwar keine 100-prozentige Erfolgsquote, aber dennoch eine solide Anstrengung – etwas, das wir zu schätzen gelernt haben, nachdem wir andere sogenannte Sicherheits-Plugins getestet haben.

Trotz der Behauptung von Sitelock, eine Schwachstellenerkennung zu haben, haben unsere Tests ergeben, dass es keine Schwachstellen auf unserer Website identifizieren konnte. Die Scannerfunktion, die Schwachstellenerkennung für SQL-Injection und XSS umfasst, lieferte saubere Ergebnisse, obwohl beide Arten von Schwachstellen auf unserer Website vorhanden waren. Dies ist ein erheblicher Fehler seitens Sitelock.

Brute-Force-Login-Schutz

Beide scheiterten.

Um den Brute-Force-Anmeldeschutz von Sucuri zu testen, haben wir die Einstellung auf 30 fehlgeschlagene Anmeldungen pro Stunde geändert. Anfangs waren wir etwas besorgt wegen der Sperreinstellungen und der Sperrung der Website.

Als wir jedoch versuchten, das System zu testen, indem wir innerhalb von 3 Minuten mehr als 40 falsche Anmeldungen versuchten, stellten wir enttäuscht fest, dass Sucuri keine Warnung auslöste. Wir haben die Überwachungsprotokolle überprüft und festgestellt, dass die fehlgeschlagenen Authentifizierungsversuche aufgezeichnet wurden, aber wir konnten nicht herausfinden, warum Sucuri uns nicht vor dem Angriff gewarnt hat. Dies war besorgniserregend, da der Mangel an Alarm die Website für weitere Angriffe anfällig machen könnte.

Spüren Sie schon einen Trend? Sitelock bietet keinen Brute-Force-Login-Schutz, der ein wesentliches Merkmal ist, um den unbefugten Zugriff auf eine Website zu verhindern.

Aktivitätsprotokoll

Sucuri hat großartige Protokolle und Sitelock hat keine.

Protokolle sind wichtig. Sie helfen Ihnen, den Überblick darüber zu behalten, was auf Ihrer Website passiert, z. B. wer was wann tut.

Um sicherzustellen, dass diese Protokolle vor Angreifern sicher sind, benötigt Sucuri einen API-Schlüssel, um die Daten über Ihre Website extern zu speichern. Selbst wenn jemand versucht, die Protokolle zu löschen, ist dies nicht möglich.

Die gute Nachricht ist, dass die Protokolle großartig funktionieren! Sie zeichnen die Zeit, den Benutzer und die Aktion auf, was sehr hilfreich ist. Der einzige Nachteil ist, dass die Updates manchmal etwas unklar sein können. Wenn Sie beispielsweise ein neues Plugin installieren, wird es möglicherweise als „Plugin aktiviert“ angezeigt, und es können sieben weitere Einträge im Protokoll vorhanden sein, die zeigen, wie sich die Installation auf die Dinge ausgewirkt hat. Aber leider gibt es nicht viele Erklärungen darüber, was diese Einträge eigentlich bedeuten.

Überraschung Überraschung! Sitelock verfügt nicht über eine Aktivitätsprotokollfunktion, die für die Überwachung und Verfolgung von Benutzeraktivitäten auf einer Website nützlich sein könnte.

Zwei-Faktor-Authentifizierung

Sucuri hat es nicht für WordPress-Sites. Sitelock behauptet, dass dies der Fall ist, aber wir konnten es nicht erfolgreich einrichten.

Die Aktivierung von 2FA auf Ihrem Sucuri-Konto ist möglich, aber derzeit nicht für Ihre WordPress-Site verfügbar.

Konfigurieren von 2FA in Sucuri

Obwohl Sitelock eine Zwei-Faktor-Authentifizierung anbietet, waren unsere Erfahrungen damit enttäuschend. Wir haben versucht, die Textnachrichtenoption zu verwenden, sind jedoch auf eine fehlgeschlagene Nachricht gestoßen, als wir auf geklickt haben, um die Konfiguration zu testen. Darüber hinaus waren auch unsere Versuche, eine mobile Verifizierung einzurichten, erfolglos.

Konfigurieren von 2FA in Sitelock

Nutzung der Serverressourcen

Sucuri ist ein Ressourcenfresser, aber Sitelock hat nur minimale Auswirkungen auf den Server.

Die Scanner von Sucuri haben einen enormen Einfluss auf die Serverressourcen. So sehr, dass sie aus diesem Grund sogar von häufigen Scans abraten, was nicht großartig ist. Warum sollten Sie sich zwischen Sicherheit und guter Leistung und angemessenen Serverrechnungen entscheiden müssen?

Sucuri

In den allgemeinen Einstellungen von Sucuri gibt es also eine Datenspeicherungsoption, die darauf hindeutet, dass viele Daten (hauptsächlich Protokolle) auf der Website selbst gespeichert werden. Aus diesem Grund wird der API-Schlüssel benötigt, da die Daten im Uploads-Ordner gespeichert werden, der standardmäßig öffentlich zugänglich ist. Es gibt eine Option, den Speicherort in einen nicht öffentlichen Ordner zu ändern, aber es ist seltsam, dass dies nicht die Standardeinstellung ist.

Der Scanner von Sitelock hatte keinen signifikanten Einfluss auf unsere Festplattennutzung, was ein positiver Aspekt des Plugins ist. Das bedeutet, dass die Verwendung von Sitelock für die Website-Sicherheit die Serverressourcen nicht unnötig belastet. Das bedeutet natürlich auch, dass Sie keine Sicherheit bekommen.

Warnungen

Sucuri hat granulare Einstellungen, die verwirrend sind. Sitelock hat Umschalteinstellungen, die verwirrend sind.

Die Einstellungen, für die Sicherheitswarnungen empfangen werden sollen, sind wirklich spezifisch und granular, aber die Sorge hier ist, dass es zu viel Rauschen geben kann und Sie möglicherweise die wichtigen Dinge in all dem Durcheinander verpassen.

Sie können Benachrichtigungen einrichten, die an bestimmte Personen gesendet werden, und sogar das Format der Benachrichtigungen anpassen. Sie können auch IP-Adressbereiche hinzufügen, damit diese Adressen nicht für Warnungen gekennzeichnet werden, was ziemlich cool ist. Aber seien wir ehrlich, die Sprache, die sie verwenden, kann ziemlich verwirrend sein. Was ist „klassenloses Interdomain-Routing“? Für all das hat niemand Zeit. Wir möchten nur, dass unsere Website sicher und intakt ist.

Sucuri scheint zu wissen, dass sie zu viele Benachrichtigungen senden können, daher haben sie eine Einstellung, mit der Sie die maximale Anzahl von Benachrichtigungen konfigurieren können, die Sie in einer Stunde erhalten, z. B. bis zu 5 E-Mails. Aber hier ist die Sache: Was wäre, wenn die ersten 5 alle Fehlalarme wären und der 6. tatsächlich legitim ist? Sie haben dafür einen Haftungsausschluss, aber es ist immer noch besser, die tatsächlichen Informationen zu haben als eine nutzlose Funktion, oder?

Sitelock verfügt über eine Funktion, mit der Benutzer Benachrichtigungen für Sicherheitsprobleme über das Dashboard ein- und ausschalten können. Die Art dieser Warnungen ist jedoch nicht klar, sodass die Benutzer unsicher sind, was sie zu erwarten haben.

Installation, Konfiguration und Benutzerfreundlichkeit

Beide waren schwer für uns zu installieren.

Zur Installation, Konfiguration und Verwendung von Sucuri gibt es viel zu sagen. Also, lass es uns aufschlüsseln:

Installation

Der Installationsprozess für Sucuri ist im Allgemeinen unkompliziert, mit Ausnahme der Firewall-Einrichtung, die etwas mehr Aufmerksamkeit erfordert. In Bezug auf die Firewall-Installation heißt es in der Dokumentation von Sucuri, dass das Ändern Ihres DNS-A-Eintrags, um auf ihre Firewall-IP-Adressen zu verweisen, alles ist, was erforderlich ist. Dieser Schritt leitet den gesamten Datenverkehr auf ihre Server um, wo er nach schädlichen Inhalten gefiltert werden kann. Dieser Prozess stellt sicher, dass nur legitimer Datenverkehr an Ihre Website weitergeleitet wird, was eine zusätzliche Sicherheitsebene bietet. Wenn Sie Erfahrung mit DNS-Einträgen haben, sollte der Vorgang relativ einfach sein.

Leider fehlen unseren Testseiten Domainnamen und wir haben keinen Zugriff auf ihre Nameserver, was uns daran hindert, sie auf die Sucuri-Firewall zu verweisen. Obwohl wir problemlos einen Firewall-Plan für eine der Testseiten erwerben konnten, konnten wir ihn nicht automatisch integrieren, da Cloudways weder cPanel noch Plesk anbietet.

Um mit dem Testen fortzufahren, mussten wir sicherstellen, dass der interne Domain-Link korrekt funktionierte und unsere Website ordnungsgemäß geladen wurde, was auch der Fall war. Wir haben dann versucht, die DNS-Server von Sucuri zu verwenden, zögerten jedoch, dies zu tun, weil wir befürchteten, die Änderungen nicht rückgängig machen zu können.

Unser erster Versuch war erfolglos, da die Domain nicht von unserem Konto verwaltet wurde. Wir waren jedoch in der Lage, die Firewall erfolgreich auf einer anderen Testsite zu installieren, die die zuvor erwähnte Audit-Protokollseite enthielt.

Auf einer Live-Website treten diese Probleme möglicherweise nicht auf, es sei denn, Sie haben keinen Zugriff auf die DNS-Einstellungen. In diesem Fall benötigen Sie technische Unterstützung für die Einrichtung.

Benutzerfreundlichkeit

Die Navigation in den Einstellungen von Sucuri kann aufgrund der verwendeten technischen Terminologie schwierig sein, deren Verständnis viel Zeit in Anspruch nehmen kann. Obwohl das Plugin einige empfohlene Einstellungen bietet, müssen Benutzer den Vorschlägen möglicherweise blind vertrauen. Darüber hinaus wurde die Wirksamkeit des Malware-Scanners von Sucuri in Frage gestellt, was Zweifel an den Gesamtfähigkeiten des Plugins aufkommen lassen kann.

Post-Hack-Funktionen

Bei der Untersuchung dieser Funktion entdeckten wir einige Nachteile.

Das Aktualisieren geheimer Schlüssel durch Ändern von WordPress-Salts über das Dashboard ist beispielsweise riskant, da es im Klartext vorliegt und für alle Administratoren sichtbar ist, die bei wp-admin angemeldet sind. Hacker mit Administratorzugriff stellen eine erhebliche Bedrohung dar, und diese Funktion sollte nur verwendet werden, nachdem bestätigt wurde, dass keines der Administratorkonten kompromittiert wurde, ein Punkt, der nicht hervorgehoben wird.

Die Funktion zum Zurücksetzen des Benutzerkennworts erscheint vielversprechend, hat jedoch einen Vorbehalt. Benutzer werden aus einer Liste ausgewählt, um ihre Passwörter zu ändern, ihre Sitzungen zu beenden und einen Link zum Zurücksetzen des Passworts per E-Mail zu erhalten. Das Plugin ändert jedoch Passwörter vor dem Senden von E-Mails, sodass Benutzer von der Website ausgeschlossen werden können, wenn der Webserver keine E-Mails sendet.

Das Zurücksetzen installierter Plugins ist bei kostenlosen Plugins nur bedingt sinnvoll. Premium-Plugins erfordern immer noch eine Neuinstallation, während Themen nicht erwähnt werden, vermutlich weil dies zum Verlust von Anpassungen führen könnte. Anstatt alles neu zu installieren, ist es ratsam, den Code zu bereinigen.

Die verfügbare Plugin- und Design-Update-Funktion bietet nur eine grundlegende Versionsverwaltung und erweitert nicht die vorhandene Admin-Dashboard-Funktionalität. Dennoch kann es Benutzer über den Zusammenhang zwischen veralteten Plugins und Themen und Sicherheitsrisiken aufklären.

Aufbau

Anfangs waren wir vom Layout des wp-admin-Dashboards beeindruckt. Wir haben jedoch festgestellt, dass sich die größte Infobox auf die WordPress-Integrität konzentriert, bei der es sich um einen getarnten Dateiänderungsmonitor handelt. Obwohl sich diese Funktion in einigen Situationen als nützlich erweisen kann, könnte sie unerfahrene Benutzer dazu verleiten, zu glauben, dass dies das einzige Tool ist, das zum Erkennen von Malware erforderlich ist.

Als wir die Einstellungen weiter untersuchten, entdeckten wir ein Integritäts-Diff-Dienstprogramm, das zum Vergleichen von Kerndateien und zum Erkennen von Unterschieden verwendet werden konnte. Diese Funktion ist möglicherweise benutzerfreundlicher als ein Online-Diffchecker-Dienstprogramm. Wir haben jedoch auch festgestellt, dass einige der Einstellungen, wie z. B. Protokollanalysesoftware und Reverse-Proxy, für technisch nicht versierte Benutzer schwierig zu verstehen sein könnten. Es war frustrierend, herablassende Anweisungen zu erhalten, bestimmte Optionen zu vermeiden, es sei denn, wir wussten, was ein Reverse-Proxy ist. Die Komplexität der Einstellungen kann für einige Benutzer überwältigend sein.

Die Installation von Sitelock war kein einfacher Prozess. Das Plugin wird wie jedes andere Plugin installiert und aktiviert, was einen ersten Eindruck vermittelt, dass es einfach zu bedienen sein wird. Das Auffinden des Plugin-Dashboards war jedoch etwas schwierig, da es sich im Menü „Extras“ in wp-admin befindet und es im Plugin-Menü keinen Link „Einstellungen“ gibt.

Nach einiger Suche wurde das Plugin-Dashboard gefunden, aber es erforderte eine Verbindung zur Sitelock-Site. Ein Klick auf die Schaltfläche führte zur Seite „Wie es funktioniert“, was nicht das war, was wir wollten. Ein erneutes Klicken auf die Schaltfläche führte zur Preisseite, und nach dem Kauf eines Plans wurden wir zur Sitelock-Homepage mit Anweisungen weitergeleitet, um eine E-Mail zu erwarten. Die E-Mail enthielt eine Zahlungsbestätigung mit einem Link zum Sitelock-Dashboard auf unserer Website. Von dort aus mussten wir das Plugin konfigurieren, um auf seine Optionen zuzugreifen.

Das SMART-Setup erforderte jedoch einen FTP-Zugriff auf unsere Website, was trotz Anmeldeinformationen, die mit dedizierten Clients funktionieren, nicht erfolgreich war. Nachdem wir das SMART-Setup verlassen hatten, haben wir das Plugin auf dem Dashboard getestet.

Extras

Sucuri

Härtungsmerkmale

Es ist erwähnenswert, dass die Implementierung dieser Sicherheitsmaßnahmen die Benutzererfahrung beeinträchtigen kann. Beispielsweise kann das Deaktivieren des Plugins und des Theme-Editors bestimmte Änderungen an der Website erschweren. Das Unternehmen behauptet auch, dass es alle PHP-Dateien blockieren wird, aber es ist wahrscheinlich, dass dies nur für die Remote-Ausführung von PHP-Dateien im Ordner "includes" gilt, da das Blockieren aller PHP-Dateien auf der Website diese funktionsunfähig machen würde.

Sucuri-Härtungsoptionen

Der Vorbehalt, dass einige Plugins und Themes Zugriff auf PHP-Dateien in diesen Ordnern benötigen, reicht jedoch nicht aus. Zum Beispiel speichert Sucuri selbst PHP-Dateien im Upload-Ordner. Es ist unklar, ob sie von ihrem externen Dashboard aus auf ihre eigenen Dateien zugreifen müssen oder ob dies eine Ausnahme von der Regel darstellt. Dies weist darauf hin, dass die Regeln zum Implementieren von Sicherheitsmaßnahmen in einer Weise flexibel sein können, die für den Benutzer nicht ohne weiteres ersichtlich ist.

API-Dienstkommunikation

Die Dokumentation zur API-Dienstkommunikation kann verwirrend sein, und es kann viel Zeit in Anspruch nehmen, die Einstellungen zu verstehen und ihre Auswirkungen auf die Sicherheit zu bewerten.

Standortsperre

Das Sitelock-Dashboard scheint Anti-Spam-Funktionen zu haben, aber es ist unklar, wie mit einmal erkanntem Spam umgegangen werden soll.

Beeindruckend ist die Einbeziehung vollständiger Site-Backups statt nur Datenbank-Backups. Leider werden die Sicherungen auf dem Standortserver gespeichert, was sie im Falle eines Serverausfalls unbrauchbar macht.

Was fehlt?

Sucuri hat Raum für Verbesserungen. Sitelock muss sich überlegen, ob es sich überhaupt um ein Sicherheits-Plugin handelt.

Der Malware-Scanner ist nicht so toll. Der Brute-Force-Anmeldeschutz ist ein bisschen enttäuschend und kann die Ressourcen Ihres Servers wirklich auffressen. Außerdem gibt es keinen eingebauten Bot-Schutz, was ein bisschen schade ist. Es hat auch keine Zwei-Faktor-Authentifizierung – dafür müssen Sie ein separates Plugin installieren. Alles in allem könnte Sucuri in diesen Bereichen durchaus einige Verbesserungen gebrauchen.

Kurz gesagt, Sitelock fehlt alles, was für eine effektive Website-Sicherheit erforderlich ist. Der Malware-Scanner funktioniert nicht, die Erkennung von Sicherheitslücken ist nicht vorhanden und die Verwendung des Reinigers ist potenziell gefährlich. Die Zwei-Faktor-Authentifizierung funktioniert nicht und es gibt keinen Anmeldeschutz, was es zu einem unzuverlässigen Sicherheitstool macht.

Preisgestaltung

Sucuri ist es mehr wert. Es bringt zumindest etwas. Sitelock lohnt sich nicht.

Der Preis von 199 US-Dollar pro Jahr wäre in Ordnung gewesen, wenn der Malware-Scanner, die Entfernung und die Firewall gut gewesen wären. Aber der Grundplan von MalCare ist weitaus effektiver und kostengünstiger.

Das Plugin bietet Pläne zwischen 149 und 349 US-Dollar pro Jahr und Site. Basierend auf der Leistung des Basisplans scheint es eine verschwenderische Investition zu sein.

Wir haben versucht, unser Abonnement zu kündigen, wurden jedoch angewiesen, den Support anzurufen, dann die Abrechnung vorzunehmen oder den Chat zu verwenden. Der komplizierte Kündigungsprozess wirft Bedenken hinsichtlich des Kundenservice des Unternehmens auf.

Beste Alternativen zu Sucuri und Sitelock

Wir glauben offensichtlich nicht, dass Sucuri oder Sitelock die besten Sicherheits-Plugins sind. Beide haben ernsthafte Probleme, die frustrierend sind, und Sicherheitsfunktionen, die unwirksam sind. Also, was ist das beste Sicherheits-Plugin? Nun, MalCare ist erstaunlich. Der Scanner, die Malware-Entfernung, die Firewall und die Benutzerfreundlichkeit sind so viel besser als bei den anderen Plugins.

Wie wählt man das beste Sicherheits-Plugin aus?

Der springende Punkt ist, wie Sie das beste Sicherheits-Plugin für Ihre Website oder Anwendung auswählen. Bei so vielen Optionen da draußen kann es überwältigend sein zu wissen, wo man anfangen soll. Um den Prozess zu vereinfachen, haben wir eine wesentliche Liste von Sicherheitsfunktionen zusammengestellt, die bei der Auswahl eines Plugins oberste Priorität haben sollten, sowie einige nützliche Funktionen, die Ihre Sicherheitsmaßnahmen weiter verbessern können.

Wesentliche Sicherheitsfunktionen

  • Malware-Scanner: Dies bedeutet, dass das Plugin Ihre Website oder Anwendung regelmäßig auf bösartigen Code oder Dateien scannt, die möglicherweise von Hackern eingeschleust wurden.
  • Malware Cleaner: Wenn Malware erkannt wird, sollte das Plugin auch diese bereinigen können. Sonst ist es sinnlos.
  • Firewall: Eine Firewall ist eine weitere wichtige Funktion, die in jedem von Ihnen gewählten Sicherheits-Plugin enthalten sein sollte. Eine Firewall fungiert als Barriere zwischen Ihrer Website oder Anwendung und dem Rest des Internets, blockiert alle unbefugten Zugriffsversuche und verhindert, dass schädlicher Datenverkehr Ihre Website erreicht.

Good-to-have-Funktionen

  • Vulnerability Scanner: Dies kann helfen, Schwachstellen in Ihrer Website oder Anwendung zu identifizieren, die von Angreifern ausgenutzt werden könnten.
  • Brute-Force-Anmeldeschutz: Der Brute-Force-Anmeldeschutz ist eine weitere nützliche Funktion, die automatisierte Anmeldeversuche durch das Erraten von Benutzernamen und Passwörtern verhindern kann.
  • Aktivitätsprotokoll: Es kann Ihnen helfen, verdächtige Aktivitäten auf Ihrer Website zu überwachen, z. B. fehlgeschlagene Anmeldeversuche oder nicht autorisierte Änderungen an Ihren Inhalten.
  • Zwei-Faktor-Authentifizierung: Diese wird auch als zusätzliche Sicherheitsebene immer beliebter, bei der Benutzer zusätzlich zu ihrem Passwort einen Code eingeben müssen, der an ihr Telefon oder ihre E-Mail gesendet wird.

Potenzielle Probleme

  • Auswirkungen auf den Server: Einige Plugins können ressourcenintensiv sein und dazu führen, dass Ihre Website oder Anwendung langsamer wird oder abstürzt. Achten Sie darauf, ein Plugin zu wählen, das leicht und leistungsoptimiert ist, um negative Auswirkungen auf die Geschwindigkeit und Stabilität Ihrer Website zu vermeiden.

Abschließende Gedanken

Die Kernfunktionen, die bei der Auswahl eines Sicherheits-Plugins zu bewerten sind, sind Scanner, Cleaner und Firewall. Alle anderen Funktionen können mit anderen Plugins implementiert werden. Sucuri und Sitelock sind an diesen Fronten unterdurchschnittlich. MalCare ist der richtige Weg, wenn Sie nach einem stressfreien Sicherheits-Plugin suchen, das Ihre Website schützt.

Häufig gestellte Fragen

Lohnt sich die Firewall von Sucuri?

Es ist ein ziemlich effektives Sicherheitstool. Die Installation kann jedoch etwas schwierig sein, wenn Sie keinen Zugriff auf DNS-Informationen haben. Außerdem reicht eine Firewall allein nicht aus, um eine WordPress-Site zu schützen.

Wofür wird Sitelock verwendet?

Sitelock ist ein Sicherheits-Plugin für WordPress-Sites. Oder zumindest behaupten sie das. Sie scheitern an grundlegenden Sicherheitsfunktionen wie Scannen, Säubern und Firewalls.

Was sind die Vorteile von Sucuri?

Sucuri bietet Website-Eigentümern Malware-Erkennung und -Entfernung, eine Website-Firewall, Website-Geschwindigkeitsoptimierung, SSL-Zertifikatsverwaltung, Reputationsüberwachung und professionellen Support. Es bietet eine umfassende Reihe von Website-Sicherheitsdiensten, um Ihre Website vor verschiedenen Bedrohungen zu schützen und ihre Leistung zu verbessern.