WP Cerber Security vs. Wordfence: Welches Sicherheits-Plugin ist das richtige für Sie?
Veröffentlicht: 2023-04-07Sie haben Ihre Website betrieben und suchen nach einem Sicherheits-Plugin, das Ihren Anforderungen entspricht. Sie wissen, wie wichtig die Sicherheit von Websites ist, also beschließen Sie, etwas zu recherchieren. Nach ein paar Stunden des Lesens und Überprüfens stellen Sie fest, dass Wordfence und WP Cerber immer wieder in Listen auftauchen. Sie suchen nach einem Artikel, der die beiden vergleicht, damit Sie eine fundierte Entscheidung treffen können. Nun, Sie sind an der richtigen Stelle. Wir haben beide Plugins so gut wie möglich getestet und sind bereit, alles zu präsentieren.
Wordfence bietet eine breite Palette von Funktionen, wie z. B. einen Malware-Scanner, Malware-Reiniger und eine Firewall, die alle für die Site-Sicherheit unerlässlich sind. Aber ist es wirklich so gut, wie die Leute sagen, dass es ist? Gibt es Nachteile bei der Verwendung von Wordfence?
Unsere Tests mit WPCerber-Sicherheit begannen mit einem Schluckauf. Wir waren schockiert, als wir feststellten, dass es aufgrund eines „Sicherheitsproblems“ aus dem WordPress-Repository entfernt wurde. Trotzdem haben wir das Plugin von ihrer Website heruntergeladen und objektiv getestet.
In diesem Artikel sprechen wir über das Gute, das Schlechte und das Hässliche der Sicherheit von Wordfence und WPCerbery.
Wordfence ist der klare Gewinner. Wir würden Wordfence als Sicherheits-Plugin eine Punktzahl von 12/15 geben, während WP Cerber eine Punktzahl von 0 erhalten würde. Wenn Sie nach einem noch besseren Sicherheits-Plugin als Wordfence suchen, empfehlen wir MalCare.
Sicherheit hat für Websitebesitzer oberste Priorität und es gibt so viele Funktionen, die bei der Auswahl des richtigen Sicherheits-Plugins zu berücksichtigen sind:
- Wie gut scannt es nach Malware?
- Wie effektiv ist die Firewall?
- Gibt es eine Option, um erkannte Malware zu löschen?
Wir haben all diese Faktoren beim Testen von WP Cerber und Wordfence berücksichtigt, damit Sie eine fundierte Entscheidung treffen können.
Übersicht: WP Cerber oder Wordfence
Wordfence und WP Cerber sind beides Sicherheits-Plugins, die entwickelt wurden, um WordPress-Websites vor verschiedenen Bedrohungen wie Malware, Brute-Force-Angriffen und Hacking-Versuchen zu schützen. Wenn es jedoch um Funktionen und Wirksamkeit geht, gibt es einen Tag-und-Nacht-Unterschied zwischen den beiden.
Wordfence ist ein beliebtes und angesehenes Sicherheits-Plugin, das eine breite Palette von Funktionen bietet, darunter einen leistungsstarken Scanner, eine Firewall und eine Zwei-Faktor-Authentifizierung. Der Scanner ist in der Lage, viele Arten von Malware und Schwachstellen zu erkennen, weist jedoch einige Einschränkungen auf.
Die Firewall ist eine weitere wichtige Funktion von Wordfence, die dazu beiträgt, unbefugten Zugriff auf Ihre Website zu verhindern. Während die Firewall gut ist, erhält die kostenlose Version des Plugins regelmäßige Updates zu spät, wodurch Ihre Website anfällig für bekannte Angriffe werden könnte.
In Bezug auf WP Cerber wurde das Sicherheits-Plugin von vielen Sicherheitsexperten als unwirksam erachtet. Dem Scanner, der Firewall und dem Cleaner fehlt es an Funktionalität, und die Zwei-Faktor-Authentifizierung und die Brute-Force-Schutzfunktionen funktionieren nicht. Darüber hinaus wurde WP Cerber aufgrund eines Sicherheitsproblems, das die Entwickler anscheinend nicht angegangen sind, aus dem WordPress-Repository entfernt. Diese mangelnde Beachtung von Sicherheitsbedenken ist ein deutliches Warnsignal für Website-Eigentümer, die sich zum Schutz ihrer Websites auf Sicherheits-Plugins verlassen.
Insgesamt ist Wordfence eine bessere Wahl für WordPress-Sicherheit als WP Cerber. Obwohl Wordfence einige Einschränkungen aufweisen kann, bietet es einen umfassenderen Funktionsumfang und eine bessere Erfolgsbilanz bei der Erkennung und Abwehr von Sicherheitsbedrohungen.
Wordfence auf den Punkt gebracht
Wordfence bietet viele Funktionen, hat aber einige große Nachteile. Zunächst einmal kann es nur 70-80 % der Malware erkennen und verpasst datenbankbasierte Malware insgesamt. Darüber hinaus erkennt der Scanner von Wordfence aufgrund seines Signaturabgleichsmechanismus keine Malware in Premium-Plugins und -Designs.
Fahren Sie mit der Firewall-Funktion fort, und es gibt ein paar Dinge, auf die Sie sofort hinweisen sollten. Die kostenlose Firewall wird regelmäßig mit einer Verzögerung von 30 Tagen nach der Premium-Firewall aktualisiert. Obwohl die Firewall gut ist, ist Ihre Website bei Verwendung der kostenlosen Version des Plugins anfällig für bekannte Angriffe, nur weil sie sich in der kostenlosen Version befindet. Die Firewall hält Bedrohungen fern, ist aber auch dafür bekannt, Website-Besucher und Administratoren fernzuhalten. Schließlich generiert die Firewall eine Menge Warnungen. Erwarten Sie, dass Ihr Posteingang überfüllt ist.
Und das Schlimmste ist, dass Wordfence ein schreckliches Ressourcenfresser ist. So sehr, dass Sie sich bei Ihrem Hosting-Provider erkundigen müssen, ob er Wordfence überhaupt zulässt. Viele Webhoster verbieten Wordfence aufgrund der Belastung ihrer Server vollständig.
WP Cerber Security auf den Punkt gebracht
WP Cerber ist mit Abstand das schlechteste Sicherheits-Plugin, das wir je getestet haben.
Der Scanner fehlte, die Firewall war ineffektiv und der Reiniger verließ sich auf den unzuverlässigen Scanner, um Malware zu entfernen. Außerdem haben wir festgestellt, dass die Zwei-Faktor-Authentifizierung und der Brute-Force-Schutz ebenfalls nicht funktionierten.
Wir sind bei der Bewertung der Effektivität des Plugins objektiv geblieben, können aber nicht anerkennen, dass WP Cerber im September 2022 wegen eines Sicherheitsproblems aus dem WordPress-Repository entfernt wurde.
Als ich diesen Artikel schrieb, war das über 6 Monate her. In der Zwischenzeit ist klar geworden, dass WP Cerber nicht die Absicht hat, das Problem zu lösen, und sich dafür entschieden hat, WordPress in einigen seiner Inhalte zu verprügeln. Es ist alles ziemlich geschmacklos.
WP Cerber-Sicherheit vs. Wordfence: Direkter Funktionsvergleich
Lassen Sie uns darüber sprechen, wie sich WP Cerber und Wordfence im Hinblick auf ihre Funktionen schlagen.
Malware-Scannen
Wordfence war bei der Erkennung von Malware etwas besser als WP Cerber, obwohl beide unter Problemen litten. Weder erkannte Malware in der Datenbank noch in Premium-Themen. WP Cerber hat jedoch mehr Fehlalarme ausgegeben als Wordfence.
Wir haben einige Probleme mit dem kostenlosen Scanner von Wordfence festgestellt. Das Dashboard zeigt beispielsweise an, dass es nur mit einer Effizienz von 60 % läuft, was alles andere als ideal ist. Obwohl die Scans schnell sind, nützt dies wenig, wenn sie Malware nicht genau erkennen.
Ein weiterer Fehler ist, dass Wordfence den Signaturabgleich verwendet, um Malware zu erkennen, was bedeutet, dass sie über eine große Datenbank mit Malware-Signaturen verfügen, mit denen der Code auf Ihrer Website verglichen werden kann. Trotz ihrer beeindruckenden Bemühungen, die Datenbank auf dem neuesten Stand zu halten, kann diese Methode keine neuere Malware erkennen und ist daher keine sichere Verteidigung gegen Zero-Day-Angriffe.
Darüber hinaus funktioniert dieses System nur, um dateibasierte Malware zu erkennen. Malware kann auch in der Datenbank vorhanden sein, und tatsächlich findet sich Umleitungs-Malware eher in Datenbanken als in Dateien auf Websites. Wir haben festgestellt, dass Wordfence unsere gesamte dateibasierte Malware erkennen konnte, mit einer geschätzten Erkennungsrate von 70-80 %. Leider ist es auch anfällig für Fehlalarme.
Schließlich ist der Scanner in Bezug auf seine Fähigkeit, Malware in Open-Source- oder kostenlosen Plugins und Themen zu erkennen, eingeschränkt. Dies liegt daran, dass öffentlich verfügbarer Code zum Vergleich mit dem Code auf der Website verwendet wird, um nicht autorisierte Hinzufügungen zu identifizieren. Daher werden Premium-Plug-ins und Themes – die die Mehrheit der Themes ausmachen – nicht in den Scan einbezogen.
Für WP Cerber finden Sie den Scanner im Abschnitt Website-Integrität, den wir nach einigem Suchen entdeckt haben.
Als wir einen vollständigen Scan starteten, stellten wir erfreut fest, dass er den größten Teil der Malware markierte. Es hat jedoch auch eine Reihe legitimer Dateien von anderen Sicherheits-Plugins wie Sucuri und MalCare als bösartig eingestuft.
Die Hauptkonsequenz ist, dass es sich auf die Dateien im WordPress-Repository verlässt, um hinzugefügten oder geänderten Code zu erkennen, was zu der Meldung „Prüfsummenkonflikt“ führt. Dies ist eine ineffektive Methode zum Erkennen von Malware, da Premium-Plugins und -Designs nicht im Repository verfügbar sind.
Wir bewerten den Scanner mit 50 % für seine Fähigkeit, die vorhandene Malware zu erkennen. Aber es wurde auch ein erheblicher Teil unserer Website als bösartig gekennzeichnet.
Wenn Sie vermuten, dass Ihre Website gehackt wurde, wird WP Cerber Ihnen wahrscheinlich ein positives Ergebnis liefern. Verwenden Sie stattdessen den kostenlosen Scanner von MalCare, um ein eindeutiges Ja oder Nein zu erhalten.
Malware-Reinigung
Wordfence hat alle dateibasierte Malware entfernt. Die Methode von WP Cerber zum Entfernen von Malware ist, gelinde gesagt, destruktiv.
Wordfence bietet auf dem Dashboard zwei automatisierte Optionen für den Umgang mit gehackten Dateien: Alle löschbaren Dateien löschen und alle reparierbaren Dateien reparieren. Es besteht auch die Möglichkeit, ihren professionellen Reinigungsservice zu wählen. Alle diese Ansätze waren erfolgreich bei der Entfernung der Malware von unserer Website. Der automatisierte Entfernungsprozess enthält jedoch eine Warnung, dass die Website aufgrund der Änderungen möglicherweise gestört wird.
Wordfence hat erfolgreich die gesamte dateibasierte Malware von unserer Website entfernt, also haben wir es auch gegen Datenbank-Malware und Premium-Plugins getestet. Leider war der Scanner nicht in der Lage, diese Art von Malware zu identifizieren, sodass die automatische Reparaturoption nicht verfügbar war.
Die andere Alternative bestand darin, die Entfernung der Malware anzufordern. Dieser Dienst soll Malware und Hintertüren eliminieren und beinhaltet eine Sicherheitsüberprüfung der Website, um potenzielle Schwachstellen zu identifizieren. Wenn die Website auf eine schwarze Liste gesetzt wurde, kann Wordfence außerdem dabei helfen, sie zu entfernen. Der Service wird mit einer einjährigen Garantie geliefert, vorausgesetzt, dass der Site-Administrator die Post-Hack-Empfehlungen genau befolgt.
Bitte beachten Sie: Wir können nicht über die Wirksamkeit des Malware-Entfernungsdienstes von Wordfence sprechen, da wir ihn nicht ausprobiert haben.
Auf WP Cerber ist die Reinigung eine Premium-Funktion, die angemessen ist. Es enthält jedoch eine Liste dessen, was der automatische Reinigungsprozess beinhaltet. Im Wesentlichen werden Dateien auf ihre ursprünglichen Einstellungen zurückgesetzt, sodass jeder benutzerdefinierte Code verloren geht, wenn keine Vorsichtsmaßnahmen getroffen werden. Es ist möglich, einige Dateien als gesperrt zu kennzeichnen, aber dies ist eine sehr zerstörerische Reinigungsmethode, und wir würden zögern, sie auf einer aktiven Website zu testen.
Firewall
Wordfence ist definitiv besser, trotz nur 35% Wirksamkeit. Zumindest wirkt es sich nicht auf den organischen Verkehr aus, im Gegensatz zu WP Cerber, das dazu neigt, Suchmaschinen-Bots zu blockieren.
Die Firewall von Wordfence ist sofort einsatzbereit und blockiert erfolgreich Angriffe. Unmittelbar nach der Installation wechselte die Firewall in einen Lernmodus. Wordfence schlug vor, den Lernmodus eine Woche lang eingeschaltet zu lassen, was verständlich ist, wenn man bedenkt, dass Firewalls aus Live-Traffic lernen. Da es jedoch keinen Live-Traffic zu unseren Test-Websites gab, sahen wir keine Notwendigkeit, eine Woche zu warten und aktivierten sofort den aktiven Modus.
Die kostenlose Firewall wird mit nur 35 % Effektivität beworben, was auf dem Dashboard angezeigt wird. Um zu verstehen, warum dies der Fall sein könnte, haben wir uns das genauer angesehen. Erstens arbeitet die kostenlose Firewall als Plugin und wird nach dem WordPress-Kern geladen. Dies kann ein Problem sein, da die Firewall nicht den gesamten schädlichen Datenverkehr blockieren kann, wenn er nach WordPress geladen wird.
Zweitens erhält die Premium-Version von Wordfence Updates in Echtzeit, während die kostenlose Version Updates nach 30 Tagen erhält. Diese Verzögerung könnte potenziell gefährlich sein, da Hacker das Fenster zwischen Updates ausnutzen könnten. Das größte Indiz ist jedoch, dass Wordfence im Vergleich zur Premium-Version nur eine Bewertung von 35% angibt. Das ist keine beeindruckende Zahl.
Die Firewall von WP Cerber heißt Traffic Inspector. Während es einige Angriffe auf angemessene Weise abwehrt, gibt sein Bot-Schutzmechanismus Anlass zu ernsthafter Besorgnis.
Bot-Schutz ist für Websites unerlässlich, aber es ist wichtig, zwischen guten und schlechten Bots zu unterscheiden. WP Cerber blockiert die meisten Bots ohne Diskriminierung, einschließlich Suchmaschinen-Bots. Es gibt zahlreiche frustrierte WP Cerber-Benutzer, die miterlebt haben, wie ihre Suchmaschinen-Rankings aufgrund dieses Plugins gefallen sind. Sie sind richtig; Das Blockieren von Suchmaschinen-Bots ist katastrophal für den organischen Verkehr. Es gibt eine gewisse Spambot-Prävention, was eine positive Eigenschaft ist. Spambots sind jedoch nicht die einzige Art von bösartigen Bots. Somit bietet dies nur begrenzten Schutz und kann ein Problem darstellen. Während WP Cerber also einige Bedrohungen abwehrt, lenkt es sie nicht alle ab, noch lenkt es die richtigen ab.
Auf der positiven Seite bietet es die Möglichkeit, Firewall-Aktivitäten zu protokollieren. Es gibt mehrere Filteroptionen, mit denen Sie Einblicke in die Art des Verkehrs erhalten, den Ihre Website erhält.
Es gibt auch Geoblocking, das sie als Sicherheitsregeln bezeichnen. Da es sich jedoch um ein Premium-Feature handelt, konnten wir es nicht testen.
Schwachstellenerkennung
Wordfence hat alle veralteten Plugins perfekt identifiziert. WP Cerber konnte keine Schwachstellen in Themes oder Plugins identifizieren.
Wordfence identifizierte alle veralteten Plugins als mittlere Bedrohungen. Darüber hinaus wurden diejenigen mit Schwachstellen korrekt als kritische Bedrohungen gekennzeichnet. Weniger optimistisch, es hat iThemes und Backupbuddy als gefährlich gekennzeichnet, obwohl sie es nicht waren.
Wir haben oben bereits den glanzlosen Scanner von WP Cerber angesprochen, daher waren wir nicht überrascht festzustellen, dass er keine Schwachstellen identifizieren kann, die in Plugins und Themes behoben werden müssen. Mit diesem Plugin ist alles Rauch und Spiegel.
Brute-Force-Login-Schutz
Wordfence ist fehlerfrei und einfach. WP Cerber war völlig sinnlos.
Der Brute-Force-Schutz ist standardmäßig auf Wordfence aktiviert. Es funktioniert jedes Mal einwandfrei und blockiert Benutzer, die basierend auf der im Dashboard festgelegten Konfiguration zu viele falsche Versuche unternehmen.
Die Einstellungen finden Sie im Abschnitt Firewall. Es gibt viele Auswahlmöglichkeiten im Menü, einschließlich der Möglichkeit, Sperrzeiträume für fehlgeschlagene Anmeldungen, die Dauer der Sperrung und mehr festzulegen. Die Optionen sind nicht überwältigend und Wordfence bietet klare Erklärungen und Dokumentationen für jede einzelne.
Darüber hinaus ist es möglich, die Passwortverwaltung zu konfigurieren, um sicherzustellen, dass sichere Passwörter erforderlich sind, und die Verwendung von Passwörtern zu verhindern, die bei Datenschutzverletzungen entdeckt wurden.
Es ist möglich, IP-Adressen in diesem Abschnitt zu einer Whitelist hinzuzufügen, es besteht jedoch eine gewisse Unsicherheit hinsichtlich ihrer Wirksamkeit. Geräte-IPs können sich ändern, sodass eine Zulassungsliste nicht garantiert, dass ein authentischer Benutzer nicht blockiert wird.
Auf dem Dashboard von WP Cerber gibt es Anmeldesicherheitsoptionen, um Anmeldeversuche einzuschränken. Diese funktionieren jedoch nicht. Es ist möglich, die Standardnachricht zu ändern, um zu vermeiden, dass der eingegebene Benutzername nicht existiert. Wir sind sicher, dass der Brute-Force-Angriffs-Bot diese Höflichkeit bei der Begrenzung seiner Arbeitsbelastung zu schätzen wissen wird.
Das Ändern der Anmeldeseiten-URL ist ein vergebliches Unterfangen. Wir würden dies nicht empfehlen, insbesondere nicht mit WP Cerber. Wir möchten nicht riskieren, unsere Anmeldeseite vollständig zu verlieren.
Der Citadel-Modus ist eine Whitelist-Funktion, die nach 200 fehlgeschlagenen Versuchen in 15 Minuten ausgelöst wird. Sehr großzügig, müssen wir sagen.
Aktivitätsprotokoll
Keiner hat ein gutes Aktivitätsprotokoll.
Wir waren überrascht zu beobachten, dass Wordfence ein Aktivitätsprotokoll fehlt. Zumal es ein wichtiger Bestandteil der Website-Sicherheit ist. Es gibt eine Option zum Aktivieren des Debugging im Abschnitt Diagnose des Menüs Tools, wodurch die Firewall-Protokolle detaillierter werden, dies ist jedoch nicht dasselbe wie ein Aktivitätsprotokoll.
Nach ausgiebiger Recherche haben wir im Scan-Bereich ein Aktivitätsprotokoll gefunden, das speziell für Wordfence-Ereignisse gedacht ist. Es ist unraffiniert und offensichtlich nur für Wordfence-Entwickler gedacht.
Uns ist ein Aktivitätsbericht auf dem WP Cerber aufgefallen, von dem wir annahmen, dass es sich um ein Aktivitätsprotokoll handelt. Wir haben es aktiviert und versucht, einen Bericht zu erstellen (der uns per E-Mail zugesandt werden sollte). Leider konnte dies nach mehreren Versuchen keinen Bericht erstellen.
Es gibt jedoch ein Benutzerprotokoll. Es ist keineswegs ein Ersatz für ein Aktivitätsprotokoll, aber es kann praktisch sein, wenn Sie Grund zu der Annahme haben, dass ein Benutzerkonto verdächtige Aktivitäten aufweist.
Zwei-Faktor-Authentifizierung
Wordfence hat eine großartige Zwei-Faktor-Authentifizierung. WP Cerber behauptet, es auch zu haben, aber wir konnten es nicht einrichten.
Die Zwei-Faktor-Authentifizierung von Wordfence ist von Anfang an funktionsfähig, mit einfachen Einstellungen zum Anpassen der Erfahrung. Es war zuvor ein Premium-Feature, ist aber inzwischen im kostenlosen Plugin enthalten.
Im Abschnitt Benutzerrichtlinien des WP Cerber-Dashboards gibt es eine 2FA-Funktion. Es kann durch die Benutzerrolle aktiviert werden, obwohl es seltsamerweise nicht für Administratorkonten aktiviert werden kann. Normalerweise sind sie diejenigen, die es am meisten brauchen. Wir haben die Option für Editor-Accounts aktiviert, aber es ist nichts passiert. Es scheint keine Möglichkeit zu geben, es einzurichten. Das ist sehr seltsam.
Nutzung der Serverressourcen
Beide verwenden Serverressourcen und verlangsamen die Ladegeschwindigkeit Ihrer Seite.
Wordfence ist ein ressourcenintensives Plugin. Jede Aktion, die dieses Plugin auf der Website ausführt, verbraucht erhebliche Serverressourcen.
Unsere Test-Websites sind sehr klein, und wir stellten fest, dass die Festplattennutzung um das Zwei- oder sogar Dreifache zunahm, als wir Scans durchführten. Dies wirkte sich auf die Ladezeit, die Reaktionszeit und die allgemeine Benutzererfahrung auf der Website aus.
Bei der Verwendung von WP Cerber hatten wir keine Serverlast. Nach dem, was wir in anderen Kundenrezensionen gelesen haben, scheint dies jedoch ein großes Problem zu sein.
Warnungen
Beide geben viel zu viele Warnungen aus, obwohl Sie mit WP Cerber die Art der Warnungen ändern können, die Sie erhalten können.
Die Warnungen sind zu zahlreich. Unsere Postfächer waren schnell gefüllt. Zu viele Warnungen sind ebenso problematisch wie keine Warnungen, da beides bei Bedarf zu Untätigkeit führen kann.
Es ist möglich, die Art und Menge der Benachrichtigungen, die Sie von WP Cerber erhalten, zu ändern. Dies ist vorteilhaft, obwohl wir nicht beeindruckt sind, was eine Warnung auslöst: Jemand ist ausgesperrt, eine neue Version von WP Cerber ist verfügbar oder ein Upgrade für ein anderes Plugin ist verfügbar. Dies könnte schnell chaotisch werden, wenn Sie mehr als 30 Plugins auf Ihrer Website haben, was eine typische Zahl für eine WordPress-Website ist.
Installation, Konfiguration und Benutzerfreundlichkeit
Wordfence ist ein einfach zu installierendes und zu konfigurierendes Plugin. WP Cerber wirkt zwielichtig und ist nicht transparent in dem, was es hinter den Kulissen tut.
Die Installation, Konfiguration und allgemeine Benutzererfahrung von Wordfence ist eine der besten, die wir je erlebt haben. In jedem Hauptabschnitt sind exemplarische Vorgehensweisen verfügbar, die die wichtigsten Einstellungen und Funktionen in einfacher, nicht einschüchternder Sprache erklären.
Die Konfigurationsempfehlungen dieses Tools sind erstklassig. Es handelt sich um eine stark kontextbezogene Dokumentation, auf die über die QuickInfos auf dem Dashboard zugegriffen werden kann. Jede Funktion ist leicht erklärt, mit sofortigem Zugriff auf Anweisungen zur Implementierung auf Ihrer Website.
Obwohl die Installation von WP Cerber nicht sehr schwierig war, war es ziemlich mysteriös.
Zunächst waren wir überrascht, dass WP Cerber nicht sichtbar war, als wir im WordPress-Plugin-Repository danach suchten. Es war früher vorhanden, da wir es für einen früheren Artikel getestet hatten. Also haben wir etwas recherchiert. Es stellt sich heraus, dass das Plugin im September 2022 aufgrund eines Sicherheitsproblems aus dem Repository entfernt wurde. Nehmen wir uns einen Moment Zeit, um über die Tatsache nachzudenken, dass ein Sicherheits-Plugin ein Sicherheitsproblem hatte, das mehr als 6 Monate später zum Zeitpunkt des Schreibens dieses Artikels immer noch nicht behoben wurde.
Ein kurzer Blick auf WP Scan zeigte 3 große Schwachstellen im Jahr 2022. Das erklärt viel.
WP Cerber nahm in seiner Antwort eine interessante Haltung ein. Aus den Versionshinweisen zu Version 9.4:
Außerdem könnte es nichts damit zu tun haben, aber sie haben kürzlich auch ein Bug-Bounty-Programm erstellt. Alle Anzeichen deuten darauf hin, dass die Sicherheit bei diesem Plugin schattig ist.
Trotzdem haben wir uns entschieden, dem Plugin eine faire Chance zu geben, also haben wir es von ihrer Seite heruntergeladen. Hier scheint es keine Einrichtung als solche zu geben. Also gingen wir die Einstellungen Bildschirm für Bildschirm durch. Eine Einstellung, „Initialisierungsmodus“ unter den Haupteinstellungen im Dashboard-Menü, erregte unsere Aufmerksamkeit. Es besagt, dass es umschaltet, „wie WP Cerber seinen Kern und seine Sicherheitsmechanismen lädt“.
Standardmäßig war der „Legacy-Modus“ ausgewählt, also haben wir ihn in den „Standardmodus“ geändert, da dies die bessere Option zu sein schien. Wir haben jedoch keine Ahnung, was tatsächlich im Hintergrund passiert.
Extras
Wordfence
Der Abschnitt „Benachrichtigungen“ hat uns darauf aufmerksam gemacht, welche Plugins und Themen aufgrund ihrer kritischen oder mittleren Bedrohungsstufe sofortige Aufmerksamkeit erforderten. Das ist auf jeden Fall hilfreich.
Wordfence Central, ein Dashboard zum Verwalten mehrerer Sites auf demselben Konto, hat einen Abschnitt im wp-admin jeder verbundenen Site. Obwohl dies für einige nützlich sein kann, bietet es für größere Agenturen mit Hunderten von verwalteten Websites nicht die erforderliche Funktionalität.
Wir haben dann den Abschnitt Tools untersucht, der die Live-Traffic-Protokolle enthält, die mehr Informationen liefern als Google Analytics. Diese Protokolle klassifizieren den Website-Verkehr in Kategorien wie „Mensch“, „Bot“, „Warnung“ und „Blockiert“, wodurch ein besseres Verständnis der Arten von Besuchern der Website ermöglicht wird.
Die Whois-Suchoption im Abschnitt Tools bietet die Möglichkeit, die Informationen eines Angreifers anzuzeigen, ohne wp-admin zu verlassen.
Besonders interessant und hilfreich fanden wir auch den Bereich Diagnostik. Es enthält umfangreiche Informationen über die Website, von Prozessverantwortlichen bis hin zu Datenbanktabellen, die Entwickler wie ein Pflichtenheft für die Website verwenden können.
WP Zerber
WP Cerber hat einige nützliche Härtungsoptionen. Wir empfehlen, den XML-RPC-Zugriff und die Verzeichnisliste zu deaktivieren sowie PHP im Uploads-Ordner zu blockieren, da dort keine ausführbaren Skripte vorhanden sein sollten.
Es gibt Richtlinien für Benutzerkonten, die von WP Cerber angeboten werden, z. B. das Verbot von admin als Benutzername. Allerdings sind sie unserer Meinung nach von begrenztem Nutzen.
Es hat auch eine umfassende Anti-Spam-Funktion, einschließlich einer reCAPTCHA-Einrichtung und einer Vielzahl von Spambot-Blockern.
WP Cerber kann verwendet werden, um ein Dashboard für alle Websites mit derselben Lizenz zu erstellen. Dies ist zwar eine verwässerte Version eines externen Dashboards. Ein externes Dashboard bietet einen großen Mehrwert, wenn etwas schief gehen sollte und auf wp-admin nicht zugegriffen werden kann. Die Version von WP Cerber ist von deutlich geringerem Wert.
Preis
Wordfence ist definitiv mehr Ihr Geld wert als WP Cerber.
Die kostenlose Version von Wordfence ist ziemlich robust und die jährliche Abonnementgebühr von 99 $ ist ziemlich vernünftig.
Zuvor war zusätzlich zur Abonnementgebühr eine einmalige Malware-Bereinigungsgebühr in Höhe von 490 US-Dollar erforderlich. Mit der Einführung von Care and Response-Plänen können sich Kunden jedoch für einen 99-Dollar-Plan entscheiden, der eine Gebühr von 490 US-Dollar beinhaltet, wenn die Website gehackt wird. Der Response-Plan garantiert eine 1-stündige Antwort auf gehackte Websites für 950 USD pro Jahr und Website; Das ist zwar großartig, rückt den Pflegeplan jedoch in ein ungünstigeres Licht.
Die kostenlose Version von WP Cerber ist bereits unzureichend. Wir können uns nicht vorstellen, dass die kostenpflichtige Version viel besser ist, daher ist es nicht sinnvoll, 99 US-Dollar pro Jahr und Website zu zahlen.
Was fehlt?
Wordfence
Wordfence ist ein außergewöhnliches kostenloses Sicherheits-Plugin mit einem überdurchschnittlichen Scanner, der die meisten anderen verfügbaren Optionen mit Ausnahme von MalCare übertrifft. Die einzigen Nachteile sind der fehlende Bot-Schutz und ein Aktivitätsprotokoll.
WP Zerber
Kann man sagen, dass alles fehlt? Der Scanner in WP Cerber stützt sich auf Open-Source-Code, um Änderungen zu erkennen und sie als Malware zu markieren. Dies ist sogar noch schlimmer als der Signaturabgleich, da Plugins und Themen Anpassungen enthalten können und ganze Themen kundenspezifisch entwickelt werden können. Das bedeutet, dass selbst wenn echte Malware vorhanden ist, diese nicht separat gekennzeichnet wird, was den Scanner fast unbrauchbar macht. Außerdem fehlen alle anderen notwendigen Sicherheitsfunktionen oder sind schlecht implementiert.
Wie wählt man ein Sicherheits-Plugin aus, das sein Geld wert ist?
Unser prägnanter und informativer Leitfaden zu den wichtigsten Sicherheits-Plugin-Funktionen basiert auf unserem umfassenden WordPress-Sicherheitswissen. Wir haben alle nicht sicherheitsrelevanten Funktionen ausgeschlossen, um sicherzustellen, dass unser Leitfaden fokussiert und relevant ist.
Wesentliche Sicherheitsmerkmale:
- Auf Malware scannen: Dies bedeutet, schädlichen Code, Dateien oder Skripte zu identifizieren, die der Website hinzugefügt wurden, um den Benutzer vor potenziellen Bedrohungen zu warnen.
- Malware entfernen: Es ist das Entfernen von erkanntem Schadcode. Dies ist ein wesentlicher Schritt, um Ihre Website sicher zu halten.
- Firewall: Dies bezieht sich auf die Fähigkeit, schädlichen Datenverkehr oder Anfragen daran zu hindern, die Website zu erreichen, sowie das Eindringen potenzieller Bedrohungen in die Website zu verhindern. Es warnt den Benutzer auch vor verdächtigen Aktivitäten, wie z. B. versuchten Brute-Force-Angriffen.
Gut zu habende Sicherheitsfunktionen:
- Schwachstellenerkennung: Kann das Plugin potenzielle Schwachstellen auf der Website identifizieren, die von Hackern ausgenutzt werden könnten. Es ist wichtig, diese Schwachstellen so schnell wie möglich zu lokalisieren und zu patchen.
- Brute-Force-Anmeldeschutz: Ein gutes Sicherheits-Plugin blockiert alle Versuche von Brute-Force-Angriffen auf die Website, die häufig von Hackern verwendet werden, um Zugriff auf die Website zu erhalten.
- Aktivitätsprotokoll: Diese Funktion verfolgt alle verdächtigen Aktivitäten auf der Website, wie z. B. böswillige Anfragen oder fehlgeschlagene Anmeldeversuche, sodass sie blockiert werden können, bevor sie Schaden anrichten.
- Zwei-Faktor-Authentifizierung: Wahrscheinlich haben Sie diesen Begriff schon einmal gehört. Diese Funktion fügt der Website eine zusätzliche Sicherheitsebene hinzu, indem der Benutzer aufgefordert wird, einen zusätzlichen Code einzugeben, bevor er auf die Website zugreifen kann. Dies erschwert Hackern den Zugriff auf die Website.
Potenzielle Probleme:
- Auswirkungen auf Serverressourcen: Die Ressourcennutzung ist ein wichtiger Aspekt, der bei der Auswahl eines Sicherheits-Plugins berücksichtigt werden muss. Sicherheits-Plugins können oft ressourcenintensiv sein, was zu langsamen Ladezeiten und anderen Leistungsproblemen führt.
Bessere Alternative zu Wordfence und WP Cerber Security: MalCare
Die beste Alternative zu Wordfence und WP Cerber ist unserer Meinung nach MalCare. Es ist ein umfassendes Sicherheits-Plugin, das alles hat, was Sie brauchen, und mehr. Es bietet den Bot-Schutz und das Aktivitätsprotokoll, das Wordfence fehlt, und ist weitaus zuverlässiger.
Einpacken
Bei der Auswahl eines WordPress-Sicherheits-Plugins für Ihre Website ist es wichtig, die Scanner-, Bereinigungs- und Firewall-Funktionen zu berücksichtigen. Obwohl die anderen Funktionen mit anderen Plugins implementiert werden können, bilden diese drei Funktionen den Kern eines guten Sicherheits-Plugins. Leider sind weder Wordfence noch WPCerber die Besten. MalCare ist viel zuverlässiger.
Unser Ziel bei MalCare ist es, die Website-Sicherheit stressfrei und schmerzlos zu gestalten, damit Sie sich auf die wichtigeren Aspekte Ihres Unternehmens konzentrieren können. Überlassen Sie uns die Sicherheit, während Sie Ihr Geschäft ausbauen.