Bulletproof Security vs Wordfence: どちらのセキュリティ プラグインが優れているか?

公開: 2023-04-07

ウェブサイトを立ち上げたばかりで、注目を集め始めています。 大量のトラフィックが発生していることに気付きましたが、それは疑わしいソースからのものです。 何をすべきかわからないため、セキュリティ プラグインを調べることにしました。

Wordfence は、WordPress Web サイトの非常に人気のあるセキュリティ プラグインであり、レビューや推奨事項で頻繁に言及されています。 このプラグインは、Web サイトのセキュリティの最も重要な 3 つのコンポーネントであるスキャナー、クリーナー、ファイアウォールなど、幅広い機能を提供します。 確かに利点はありますが、この記事で説明する欠点もあります。

防弾セキュリティはリストにもよく登場しますが、本当に注目に値するのでしょうか? Bulletproof Security は、それを取り巻く誇大宣伝に本当に応えていますか? 詳しく見ていきましょう!

コンテストは絶対にありません。 これら 2 つのプラグインのどちらかを選択する場合は、Wordfence が明らかに勝者ですが、それ自体に問題があります。 Bulletproof Security は、それが主張する信頼できるセキュリティ ソリューションではありません。 私たちはその高い評価に完全に当惑しています. 機能するセキュリティ プラグインを探している場合は、両方をスキップして MalCare をインストールしてください。

Web サイトをサイバー脅威から保護するために、さまざまなセキュリティ プラグインを選択できます。 この記事では、Bulletproof Security と Wordfence の両方が、マルウェアのスキャンや削除など、セキュリティのさまざまな側面を処理する方法を比較します. 読み進めて、これら 2 つのセキュリティ プラグインの違いを発見し、どちらが適切かを判断してください。

一言で言えばワードフェンス

Wordfence は、WordPress 向けの最高の無料セキュリティ プラグインです。 セキュリティの予算がない場合に、Web サイトのセキュリティに適した選択肢となる多数の機能があります。 Wordfence には、ファイアウォールと包括的なマルウェア スキャンが含まれています。 ただし、スキャンではマルウェアの 70 ~ 80% しか検出できないことに注意してください。これは、検出に使用されるシグネチャ マッチング メカニズムによるものです。 これは、Wordfence の主な欠点の 1 つです。

ファイアウォールは脅威をうまく遮断しますが、無料版のルールはプレミアム版より 30 日遅れて更新されます。 ファイアウォールはルールに依存して脅威を排除するため、これはサイトのセキュリティにとって重大な欠点です。

最後に、Web ホストに確認して、サイトで Wordfence が許可されているかどうかを確認する必要がある場合もあります。Wordfence はリソースを大量に消費し、一部のホストではサーバーから完全に禁止されているためです。 全体として、Wordfence は優れた保護を提供する優れたセキュリティ プラグインですが、使用する前に考慮すべき欠点がいくつかあります。

一言で言えば防弾セキュリティ

Bulletproof Security は、信頼できるセキュリティ ソリューションを提供すると主張していますが、防弾にはほど遠いものです。 無料版をテストした後、スキャナー、クリーナー、ログイン セキュリティなどの機能が実際にはマルウェアに対して機能しないことがわかり、がっかりしました。 ファイアウォールがより優れているかどうかを確認するためにプロ版にアップグレードするつもりはありませんでしたが、無料版は間違いなく悪いセキュリティ プラグインです。

セキュリティ機能の直接比較: Wordfence と防弾セキュリティ

このセクションでは、次のように、重要なセキュリティ機能に関して、両方のプラグインが互いにどのように積み重なっているかを比較します。

マルウェアのスキャン

Wordfence の無料のスキャナーは 70 ~ 80% しか有効ではありませんが、Bulletproof Security のスキャンはひどいものでした.

Wordfence の無料スキャナーは、ダッシュボードに記載されているように 60% の効率でしか実行されませんが、これはあまり良くありません. スキャンは迅速に完了しますが、マルウェアの検出に効果的でない場合、これはほとんど役に立ちません。

Wordfence はまた、シグネチャ マッチングを使用してマルウェアを検出します。 これは、マルウェア シグネチャの膨大なデータベースがあり、サイト上のコードを比較することを意味します。 当然のことながら、Wordfence はデータベースを最新の状態に保つという素晴らしい仕事をしていますが、その性質上、新しいマルウェアを検出することはできません。 したがって、ゼロデイ攻撃に対する証明にはなりません。

さらに、このメカニズムはファイルベースのマルウェアに対してのみ機能します。 マルウェアもデータベースに存在する可能性があります。 実際、リダイレクト マルウェアは、サイト上のファイルよりもデータベースに感染することがよくあります。 Wordfence はすべてのファイルベースのマルウェアを検出し、私たちの推定では、マルウェアの 70 ~ 80% を検出できます。 残念ながら、誤検知も起こりやすいです。

最後に、スキャナはオープン ソースまたは無料のプラグインとテーマのマルウェアのみを実際に検出できます。 これは、公開されているコードを使用してサイト コードを比較し、存在しないはずの追加を探すためです。 これにより、プレミアムプラグインとテーマが除外されます。後者は大多数です

Bulletproof Security をテストしたところ、いくつかのことがわかりました。 まず、初めてスキャンを実行したときに、データベース オプションもオンにする必要がありました。 データベースマルウェアは実在するため、これがオプションであり、自動的にスキャンの一部ではない理由はわかりません.

次に、別のウィンドウでスキャンが開き、「ファイル ハッシュ メーカー」というラベルが付けられます。 ダッシュボードからは明確ではありませんでしたが、これはある種の事前スキャンです。

次に、2 回目の (というよりも、最初の実際のマルウェア スキャン) を実行しました。 ハッキングされたサイトのスキャンには約 5 分かかりました。 より多くの投稿と画像を含む大規模なテスト サイトでより長く。

あらゆる巧妙な方法にもかかわらず、Bulletproof Security は、非常にハッキングされたサイトでマルウェアを検出しませんでした。 また、wp-admin が応答しなくなりました。これは、実行したすべての非スキャンに加えて、予想外のボーナスです。

カスタムコードが含まれているため、cronファイルに疑わしいフラグが付けられたことにさらに感銘を受けません. これは多くのプラグインでよくあることなので、cron ファイルを削除するよう提案するのは非常に役に立ちません。

マルウェアのクリーニング

Wordfence は、フラグが立てられたマルウェアをクリアできますが、サイトが破壊されるという脅威に安心することはできませんでした. Bulletproof Security のマルウェア除去は、サイト管理者にすべての責任を負わせます。

Wordfence には、プラグイン自体を介してマルウェアを削除するための 2 つの自動オプションがあります。削除可能なファイルをすべて削除し、修復可能なファイルをすべて修復します。

彼らはまた、ウェブサイトを徹底的に掃除したい人のために専門家の掃除サービスを提供していますが、価格は. どちらのオプションも、フラグが立てられたマルウェアを Web サイトから削除しましたが、カスタム コードも失われるのではないかと心配していました。 ただし、変更によるサイトの破損の警告は非常に悲惨だったため、使用する際には注意が必要でした.

Wordfence は、当社の Web サイトからすべてのファイルベースのマルウェアを駆除することができました。 次に、データベースに挿入したマルウェアとプレミアム テーマのファイルを使用して機能をテストすることにしました。 残念ながら、スキャナーはそれらのいずれも検出できなかったため、自動修復はオプションでさえありませんでした.

Bulletproof Security によって提供されたスキャンは陰気で、実際のマルウェアのフラグは立てられませんでした。 そのため、クリーナーをテストするものは何もありませんでした。 ただし、おふざけとして、疑わしいファイルの表示/無視/削除オプションをクリックして、何が起こるかを確認しました。

明確にするために言うと、スキャナーによってフラグが付けられた疑わしいファイルは、実際にはマルウェアではありませんでした。 本物のマルウェアは、私たちのサイトで邪魔されずに休むことができました。 ハッカーにとってどれほど慰めになることでしょう。

疑わしいファイルにはそれぞれ 4 つのオプションがあり、この機能を使用するには WordPress ファイルをよく理解している必要があります。 特に初心者には、このオプションはお勧めしません。

ファイアウォール

Wordfence のファイアウォールは 35% しか効果がありません。 Bulletproof Security のファイアウォールはプレミアム機能であるため、テストしていません。

Wordfence ファイアウォールはプリインストールされており、すぐに使用できます。 攻撃を防ぐのにかなり成功しています。

パフォーマンスを最適化するために、Wordfence では、ファイアウォールを 1 週間学習モードにして、ライブ トラフィックから学習できるようにすることを推奨しています。 ただし、トラフィックがあまりないテスト Web サイトでは、これは実用的ではありませんでした。

無料版の Wordfence のファイアウォールは 35% しか効果がないため、その理由を調査しました。

まず、ファイアウォールはプラグインのように読み込まれるため、WordPress コアの後に読み込まれると、すべての悪意のあるトラフィックをブロックする機能が制限される可能性があります. 第 2 に、ファイアウォールは定期的に更新されますが、無料版ではこれらの更新の受信に 30 日間の遅延が発生し、ハッカーが悪用できる可能性が残されています。

Bulletproof Security のファイアウォールはプレミアム機能であるため、テストできませんでした。 ただし、.htaccess ファイルを介して多くの重労働が行われていると推測できますが、これは最も安全な方法ではなく、推奨されません。 .htaccess ファイルは非常に強力なファイルですが、ファイアウォールを意図したものではありません。 実際はサイト上にあるので、WordPress の後に読み込みます。 したがって、攻撃は引き続きサイトに到達する可能性があります。
セットアップ時に、インストールされているすべてのプラグインをスキャンし、それらの IP をホワイトリストに追加する自動修正設定があります。 さらに掘り下げると、これにより .htaccess ファイルに行が追加されることがわかりました。 これは非常に扱いにくく、非常に高速になる可能性があるため、トラフィックをフィルタリングするこのメカニズムには満足できません。

脆弱性の検出

Wordfence はおおむね効果的でしたが、Bulletproof Security にはこの基本的な機能さえありませんでした。

Wordfence は、古いプラグインを中程度の脅威として、脆弱性を重大な脅威として正しく識別しました。 残念なことに、Wordfence は iThemes と Backupbuddy に対しても誤検知エラーを発生させ、時折誤ったアラートを生成する傾向があることを示しています。

iThemes でさえこの機能を提供していることを考えると、Bulletproof Security にそのような基本的なセキュリティ機能がないことは注目に値します。

ブルート フォース ログイン保護

Wordfence には、効果的でカスタマイズ可能なログイン セキュリティがあります。 防弾セキュリティは役に立たないものを提供します。

Wordfence のブルート フォース保護はデフォルトで有効になっており、効果的に機能し、ファイアウォール セクションで設定された構成に従って、一定回数の不正なログイン試行後にユーザーをロックアウトします。 このセクションには、ロックアウトの設定、ロックアウトの時間制限、強力なパスワードを強制してデータ侵害を防ぐためのパスワード管理オプションなど、多くのカスタマイズ オプションも用意されています。 IP をホワイトリストに登録することは可能ですが、デバイス IP が動的であるため、正当なユーザーがロックアウトされる可能性があるため、その有効性は不明です。

Bulletproof Security のログイン セキュリティ機能は、ログイン画面に単純化されたキャプチャ フィールドを追加し、エラーを回避するために正しく入力する必要があります。 ただし、これはあまりにも基本的であり、簡単に回避できるため、正当なユーザーにとって不必要な摩擦が生じます。

さらに悪いことに、ユーザー名とパスワードのフィールドにランダムな詳細を正しいキャプチャで入力すると、実際にはキャプチャ フィールドが 2 回目に自動的に入力されるため、最初に作成された小さなハードルが事実上なくなります。 このセキュリティ機能はまったく効果がないと言っても過言ではありません。

活動記録

どちらにも使いやすいアクティビティ ログはありませんが、Bulletproof Security にはファイアウォールのセキュリティ ログがあります。

Wordfence には、最も重要なセキュリティ コンポーネントの 1 つであると考えられているアクティビティ ログがないことがわかり、びっくりしました。 [ツール] メニューの [診断] セクションでデバッグを有効にするオプションがありますが、これによりファイアウォール ログがより詳細になるだけで、アクティビティ ログと同じではありません。 さらに調査した結果、スキャン セクションに Wordfence イベントのアクティビティ ログがあることがわかりましたが、これは開発目的のみであり、ユーザー フレンドリーではありません。

Bulletproof Security はアクティビティ ログを提供せず、ファイアウォール アクティビティを記録するセキュリティ ログのみを提供します。

二要素認証

Wordfence はこの機能を提供しますが、Bulletproof Security は提供しません。

Wordfence の 2 要素認証は、構成とカスタマイズが簡単で、以前はプレミアム機能でしたが、無料のプラグインでアクセスできるようになりました.

Bulletproof Security が 2 要素認証を提供しないと推測した場合は、その通りです。

サーバーのリソース使用量

どちらもサーバー リソースを消費しますが、少なくとも Wordfence は結果を提供します。

Wordfence のリソース集約型の性質は痛ましいほど明白でした。 Web サイトで実行されるすべてのアクションはサーバー リソースを消費するため、スキャン中にディスク使用量が急増します。 当社の比較的小規模な Web サイトでは、これによりディスク使用量が 2 倍または 3 倍にもなり、読み込み時間、応答時間、および全体的なユーザー エクスペリエンスに悪影響を及ぼしました。

Bulletproof Security のスキャンはリソースを消費しますが、マルウェアにフラグを立てないため、状況はさらに苛立たしいものになっています。 傷に塩を塗っているようだった。

アラート

Wordfence が提供するアラートが多すぎます。 Bulletproof Security にはアラートがありません。

Wordfence では、圧倒的な数のメールがありました。 非常に短時間でアラートが殺到し、アラートが多すぎると、必要なときにアクションが起こらない可能性があるため、それらは最終的に役に立たなくなりました。

スキャンでマルウェアを検出できず、ログイン セキュリティが湿ったスクイブであったことを考えると、アラートを受信しなかったことは驚くべきことではありません。 結局のところ、私たちに警告するものは何でしょうか?

インストール、構成、および使いやすさ

Wordfence はセットアップと構成が簡単です。 防弾セキュリティは紛らわしいです。

Wordfence のインストール、構成、および一般的な使用法は、私たちが遭遇した中で最高のものです。 ドキュメントには、各主要セクションのウォークスルーが含まれており、最も重要な設定と機能の包括的な説明がわかりやすい言語で提供されています。

さらに、Wordfence は構成に関する優れた推奨事項を提供し、そのドキュメントはダッシュボードのツールチップからすぐに利用できるため、非常に使いやすいものになっています。 各機能は詳細に説明されており、ウェブサイトに適用する方法についての指示にすぐにアクセスできます.

Bulletproof Security のセットアップ ウィザードは、それが何をするのかすぐにはわからないため、やや混乱しました。 フォルダーとデータベース テーブルを作成し、インストールされたプラグインを .htaccess ファイルに追加してホワイトリストを作成し、サイト データベースをバックアップし、デフォルト設定を有効にすることがわかりました。 ただし、重要なファイルはバックアップされません。

さらに、セットアップでは、.htaccess ファイルが保護されていないことを知らせる青または赤の項目が 1 つだけ表示されました。 インターフェースは操作が非常に難しく、説明のないあいまいな用語が満載されているため、セットアッププロセスが完全に混乱しています.

エクストラ

Wordfence には、重大または中程度の脅威と見なされたために更新が必要なプラグインとテーマを示す [通知] セクションが含まれています。

また、同じアカウントで複数のサイトを管理できる Wordfence Central ダッシュボードもあり、接続された各サイトの wp-admin に関するセクションも付随しています。 私たちの意見では、この機能は、何百もの管理サイトを持つ代理店にとっては有用性が限られています.

ライブ トラフィック セクションは、トラフィックをログに記録して分類します。また、wp-admin を離れずに攻撃者を表示する「誰が」検索オプションがあります。

診断セクションは、Web サイトに関する包括的な情報を提供し、開発者に Web サイトの仕様を 1 か所で提供するため、特に興味深いものです。

Bulletproof Security は、多数の強化オプションを .htaccess ファイルに追加します。そのうちのいくつかは、Timthumb 脆弱性コードやルート フォルダーとファイルのアクセスからの保護など、非常に特殊なものです。 WordPress のコア ファイルへのアクセスを改ざんすることはお勧めしません。

何が欠けていますか?

Wordfence は印象的なセキュリティ プラグインですが、保護とアクティビティ ログの両方が欠けています。 スキャナーは非常に高度で、他のほとんどのセキュリティ プラグインを凌駕しています。 これらの機能が欠けているにもかかわらず、それでも優れたセキュリティ プラグインです。

Bulletproof Security には、スキャナ、ログイン セキュリティ、およびおそらくファイアウォール機能がありませんが、これは私たちの無慈悲な憶測です.

価格

Wordfence の無料版は非常に堅牢で、年間サブスクリプション料金 99 ドルは非常にリーズナブルです。 以前は、99 ドルのサブスクリプション料金に加えて、490 ドルのマルウェア クリーンアップ料金が追加で請求されていました。 ただし、Care and Response プランの導入により、お客様は最初から Care プランを選択できます。 レスポンス プランでは、1 サイトあたり年間 950 ドルの費用で 1 時間のレスポンスが保証されます。これは、時間が重要であるため、ハッキングが発生した場合に非常に有益です。 これにより、ケアプランがやや不十分になります。

わずか 69 ドルの 1 回限りの支払いで、WordPress サイトのセキュリティを確保できません。これは絶対にお買い得です!

お金に見合うセキュリティプラグインの選び方

WordPress のセキュリティに関する豊富な知識を基に、セキュリティ プラグインに求められる重要な機能の包括的なリストをまとめました。 簡潔で有益なガイドを提供するために、セキュリティに直接関係のない機能は省略しています。

基本的なセキュリティ機能:

  • マルウェア スキャン:この機能は、Web サイトに追加された悪意のあるコード、ファイル、またはスクリプトを検出し、潜在的な脅威をユーザーに警告するのに役立ちます。
  • マルウェア クリーニング:検出された悪意のあるコードを削除するのに役立ちます。 これは、ウェブサイトを安全かつセキュアに保つための重要なステップです。
  • ファイアウォール:悪意のあるトラフィックやリクエストが Web サイトに到達するのをブロックし、潜在的な脅威が Web サイトに侵入するのを阻止するのに役立ちます。 また、ブルート フォース攻撃の試みなど、疑わしいアクティビティをユーザーに警告するのにも役立ちます。

あると便利なセキュリティ機能:

  • 脆弱性の検出:この機能は、ハッカーによって悪用される可能性のある Web サイトの潜在的な脆弱性を検出するのに役立ちます。 これらの脆弱性を特定し、できるだけ早くパッチを適用することが重要です。
  • ブルート フォース ログイン保護:この機能は、Web サイトへのアクセスを取得するためにハッカーによってよく使用される、Web サイトに対するブルート フォース攻撃の試みをブロックするのに役立ちます。
  • アクティビティ ログ:この機能は、悪意のあるリクエストやログイン試行の失敗など、Web サイトでの疑わしいアクティビティを追跡するのに役立ち、損害が発生する前にそれらをブロックできます。
  • 二要素認証:この機能は、ユーザーが Web サイトにアクセスする前に追加のコードを入力することを要求することで、Web サイトにセキュリティ層を追加するのに役立ちます。 これにより、ハッカーが Web サイトにアクセスすることが難しくなります。

潜在的な問題:

  • サーバー リソースへの影響:これは、セキュリティ プラグインを選択する際に考慮すべき重要な要素です。 多くの場合、セキュリティ プラグインはリソースを大量に消費する可能性があり、読み込み時間が遅くなったり、その他のパフォーマンスの問題が発生したりする可能性があります。

Wordfence と Bulletproof Security の優れた代替手段: MalCare

正直なところ、Wordfence と Bulletproof Security の両方に代わる最良の方法は MalCare です。これは、必要なものすべてを備えた包括的なセキュリティ プラグインです。 Wordfece にはないボット保護とアクティビティ ログを提供し、はるかに信頼性が高くなります。 また、データベースも忘れていません。

最終的な考え

まとめると、Web サイト用の WordPress セキュリティ プラグインを選択するときは、スキャナー、クリーナー、ファイアウォールの機能を考慮することが不可欠です。これら 3 つの機能は、信頼できるプラグインの基盤となるからです。 ここ MalCare の使命は、ストレスのない簡単なセキュリティを提供することです。そのため、セキュリティを確保している間、Web サイトの重要な要素に集中することができます。

よくある質問

Wordfence はそれだけの価値がありますか?

Wordfence free は価格の割に優れていますが、それは何もありません。 Wordfence のプレミアム バージョンは、無料バージョンよりもはるかに効果的ではありません。

Wordfence の無料版で十分ですか?

はい、Wordfence の無料版は、基本的なセキュリティのニーズには十分です。 スキャナー、ファイアウォール、およびログイン セキュリティを提供します。これらはすべて、安全な Web サイトに必要です。

Wordfence はサイトの速度を低下させますか?

はい、Wordfence は Web サイトの速度を大幅に低下させる可能性があります。 これはリソースを大量に消費するプラグインであり、スキャンやその他の操作を実行するときにサーバー リソースを消費するため、ディスク使用量が増加し、読み込み時間と応答時間に影響を与える可能性があります。

Wordfence に代わる最良の方法は何ですか?

MalCare は、包括的な機能を提供し、はるかに信頼性が高いため、Wordfence の最良の代替手段です。 ボット保護、アクティビティ ログ、および Wordfence にはないデータベース スキャンを提供し、リソースの消費もはるかに少なくなります。