Bulletproof Security vs Wordfence : quel plugin de sécurité est le meilleur ?
Publié: 2023-04-07Vous venez de lancer votre site Web et il commence à avoir du succès. Vous remarquez que vous recevez beaucoup de trafic, mais qu'il provient d'une source suspecte. Vous ne savez pas quoi faire, alors vous décidez de vous pencher sur les plugins de sécurité.
Wordfence est un plugin de sécurité incroyablement populaire pour les sites Web WordPress qui est souvent mentionné dans les critiques et les recommandations. Ce plugin offre un large éventail de fonctionnalités, notamment un scanner, un nettoyeur et un pare-feu, les trois composants les plus importants de la sécurité de tout site Web. Bien qu'il ait certainement ses avantages, il y a aussi des inconvénients qui seront discutés dans cet article.
La sécurité à l'épreuve des balles apparaît également souvent dans les listes, mais mérite-t-elle vraiment l'attention qu'elle reçoit ? Bulletproof Security répond-il vraiment au battage médiatique qui l'entoure ? Regardons de plus près pour le savoir !
Il n'y a absolument aucun concours. Wordfence est clairement le gagnant si vous choisissez entre ces deux plugins, même s'il a ses propres problèmes. Bulletproof Security est tout sauf la solution de sécurité fiable qu'elle prétend être. Nous sommes complètement mystifiés par ses notes élevées. Si vous recherchez un plugin de sécurité qui fonctionne, ignorez les deux et installez MalCare.
Lorsqu'il s'agit de protéger votre site Web contre les cybermenaces, il existe une variété de plugins de sécurité parmi lesquels choisir. Dans cet article, nous comparerons la manière dont Bulletproof Security et Wordfence gèrent différents aspects de la sécurité, tels que l'analyse et la suppression des logiciels malveillants. Lisez la suite pour découvrir les différences entre ces deux plugins de sécurité et découvrir celui qui vous convient.
Wordfence en quelques mots
Wordfence est le meilleur plugin de sécurité gratuit pour WordPress. Il possède une pléthore de fonctionnalités qui en font un bon choix pour la sécurité des sites Web si vous n'avez pas de budget pour la sécurité. Wordfence comprend un pare-feu et une analyse complète des logiciels malveillants. Cependant, il convient de noter que les analyses ne peuvent détecter que 70 à 80 % des logiciels malveillants, ce qui est dû au mécanisme de correspondance des signatures utilisé pour la détection. C'est l'un des principaux inconvénients de Wordfence.
Le pare-feu fait du bon travail pour empêcher les menaces, mais les règles de la version gratuite sont mises à jour 30 jours plus tard que celles de la version premium. Étant donné que les pare-feu s'appuient sur des règles pour empêcher les menaces d'entrer, il s'agit d'un inconvénient majeur pour la sécurité du site.
Enfin, vous devrez peut-être également vérifier auprès de votre hébergeur pour voir si Wordfence est autorisé sur votre site, car il s'agit d'un porc de ressources et certains hébergeurs l'interdisent carrément de leurs serveurs. Dans l'ensemble, Wordfence est un excellent plugin de sécurité qui offre une excellente protection, mais il présente encore quelques inconvénients qui doivent être pris en compte avant de l'utiliser.
La sécurité à toute épreuve en un mot
Bulletproof Security prétend fournir des solutions de sécurité fiables, mais il est loin d'être à l'épreuve des balles. Après avoir testé la version gratuite, nous avons été déçus de constater qu'aucune des fonctionnalités, y compris le scanner, le nettoyeur et la sécurité de connexion, ne fonctionnait réellement contre les logiciels malveillants. Nous n'étions pas disposés à passer à la version pro pour savoir si le pare-feu était meilleur, mais la version gratuite est définitivement un mauvais plugin de sécurité.
Comparaison directe des fonctionnalités de sécurité : Wordfence contre Bulletproof Security
Dans cette section, nous comparerons la façon dont les deux plugins se comparent en ce qui concerne les fonctionnalités de sécurité importantes comme suit :
Analyse des logiciels malveillants
Le scanner gratuit de Wordfence n'est efficace qu'à 70-80%, mais le scan de Bulletproof Security était catastrophique.
Le scanner gratuit de Wordfence ne fonctionne qu'à 60% d'efficacité, comme indiqué sur son tableau de bord, ce qui n'est pas génial. Bien que les analyses se terminent rapidement, cela ne sert à rien s'ils ne sont pas efficaces pour détecter les logiciels malveillants.
Wordfence utilise également la correspondance de signature pour détecter les logiciels malveillants. Cela signifie qu'ils disposent d'une énorme base de données de signatures de logiciels malveillants, à laquelle ils comparent le code de votre site. Crédit là où le crédit est dû, Wordfence fait un travail remarquable pour maintenir sa base de données à jour, mais de par sa nature, il ne peut pas détecter les nouveaux logiciels malveillants. Il n'est donc pas à l'épreuve des attaques zero-day.
De plus, ce mécanisme ne fonctionne que sur les logiciels malveillants basés sur des fichiers. Les logiciels malveillants peuvent également se trouver dans la base de données ; en fait, le logiciel malveillant de redirection infecte souvent la base de données plus que les fichiers d'un site. Wordfence a détecté tous nos logiciels malveillants basés sur des fichiers et, selon notre estimation, il est capable de détecter 70 à 80 % des logiciels malveillants. Malheureusement, il est également sujet aux faux positifs.
Enfin, le scanner ne peut vraiment détecter les logiciels malveillants que dans les plugins et thèmes open source ou gratuits. En effet, ils utilisent le code accessible au public pour comparer le code du site, pour rechercher des ajouts qui ne devraient pas être là. Cela exclut les plugins et thèmes premium, ce dernier étant la grande majorité
Lorsque nous avons testé Bulletproof Security, nous avons observé certaines choses. Premièrement, lorsque nous avons exécuté une analyse pour la première fois, nous avons également dû activer l'option de base de données. Nous ne savons pas pourquoi il s'agit d'une option et ne fait pas automatiquement partie de l'analyse, car les logiciels malveillants de base de données sont une réalité.
Ensuite, l'analyse s'ouvre dans une autre fenêtre et s'intitule : "file hash maker". Il s'agit d'une sorte d'analyse préliminaire, bien que cela ne ressorte pas clairement du tableau de bord.
Nous avons ensuite exécuté une seconde (ou plutôt la première véritable analyse de logiciels malveillants). L'analyse a pris environ 5 minutes pour notre site piraté. Plus longtemps sur un site de test plus grand avec plus de messages et d'images.
Malgré tout ce charivari, Bulletproof Security n'a détecté aucun logiciel malveillant sur notre site très piraté. Cela a également empêché notre wp-admin de répondre, ce qui est un bonus inattendu en plus de tout le non-balayage qu'il a fait.
Nous sommes en outre peu impressionnés de noter qu'il a signalé notre fichier cron comme suspect car il contient un code personnalisé. C'est une chose assez typique pour beaucoup de plugins, il est donc très inutile de suggérer de supprimer le fichier cron !
Nettoyage des logiciels malveillants
Wordfence peut éliminer les logiciels malveillants qu'il a signalés, bien que nous n'ayons pas été rassurés par les menaces de rupture du site. La suppression des logiciels malveillants par Bulletproof Security met toute la responsabilité sur l'administrateur du site.
Wordfence dispose de deux options automatisées pour la suppression des logiciels malveillants via le plugin lui-même : supprimer tous les fichiers supprimables et réparer tous les fichiers réparables.
Ils offrent également un service de nettoyage expert pour ceux qui souhaitent faire nettoyer leur site Web en profondeur, mais à un prix. Les deux options ont supprimé le logiciel malveillant signalé de notre site Web, même si nous avions également peur de perdre le code personnalisé. Cependant, nous devions être prudents lors de leur utilisation car les avertissements de rupture du site en raison de changements étaient assez graves.
Wordfence a pu nettoyer tous les logiciels malveillants basés sur des fichiers de notre site Web. Ensuite, nous avons décidé de tester la fonctionnalité avec des logiciels malveillants que nous avons insérés dans la base de données et des fichiers de thèmes premium. Malheureusement, le scanner n'a rien pu détecter, donc la réparation automatique n'était même pas une option.
L'analyse fournie par Bulletproof Security était lamentable et n'a signalé aucun logiciel malveillant réel. Il n'y avait donc rien pour tester le nettoyant. Cependant, juste pour le plaisir, nous avons cliqué sur l'option afficher/ignorer/supprimer les fichiers suspects pour voir ce qui se passerait.
Pour être clair, aucun des fichiers suspects signalés par le scanner n'était en fait un logiciel malveillant. Le vrai logiciel malveillant a été autorisé à se reposer sans être dérangé sur notre site. Comme c'est réconfortant pour les pirates.
Chacun des fichiers suspects a quatre options, et vous devez avoir une bonne compréhension des fichiers WordPress pour pouvoir utiliser cette fonctionnalité. Nous ne recommandons pas cette option, surtout pour les débutants.
Pare-feu
Le pare-feu de Wordfence n'est efficace qu'à 35 %. Nous n'avons pas testé le pare-feu de Bulletproof Security car il s'agit d'une fonctionnalité premium.
Le pare-feu Wordfence est préinstallé et prêt à l'emploi. Il réussit raisonnablement à empêcher les attaques.
Pour optimiser ses performances, Wordfence recommande de garder le pare-feu en mode apprentissage pendant une semaine pour lui permettre d'apprendre du trafic en direct. Cependant, pour nos sites Web de test qui ne reçoivent pas beaucoup de trafic, cela n'était pas pratique.
La version gratuite du pare-feu de Wordfence n'est efficace qu'à 35 %, nous avons donc enquêté sur les raisons derrière cela.
Premièrement, le pare-feu se charge comme un plugin, ce qui peut limiter sa capacité à bloquer tout le trafic malveillant s'il se charge après le cœur de WordPress. Deuxièmement, alors que le pare-feu est mis à jour régulièrement, la version gratuite subit un retard de 30 jours dans la réception de ces mises à jour, laissant une fenêtre potentielle à exploiter par les pirates.
Le pare-feu de Bulletproof Security est une fonctionnalité premium, nous n'avons donc pas pu le tester. Cependant, nous pouvons en déduire que beaucoup de travail lourd est effectué via le fichier .htaccess, qui n'est pas la méthode la plus sécurisée et n'est pas recommandée. Le fichier .htaccess est très puissant, mais il n'est pas censé être un pare-feu. En fait, il est sur le site, il se charge donc après WordPress. Par conséquent, les attaques peuvent toujours atteindre le site.
Lors de la configuration, il existe un paramètre de correction automatique qui analyse tous les plugins installés et ajoute leurs adresses IP à une liste blanche. En creusant davantage, nous avons vu que cela ajoutait des lignes au fichier .htaccess. Cela peut devenir très lourd très rapidement, nous ne sommes donc pas satisfaits de ce mécanisme de filtrage du trafic.
Détection de vulnérabilité
Wordfence était surtout efficace mais Bulletproof Security n'avait même pas cette fonctionnalité de base.
Wordfence a correctement identifié les plugins obsolètes comme des menaces moyennes et les vulnérabilités comme des menaces critiques. Malheureusement, Wordfence a également donné des erreurs de faux positifs pour iThemes et Backupbuddy, démontrant sa tendance à générer occasionnellement de fausses alertes.
Il est remarquable que Bulletproof Security ne dispose pas d'une telle fonctionnalité de sécurité de base, étant donné que même iThemes offre cette capacité.
Protection de connexion par force brute
Wordfence dispose d'une sécurité de connexion efficace et personnalisable . Bulletproof Security en propose un inutile.
La protection contre la force brute de Wordfence est activée par défaut et fonctionne efficacement, bloquant les utilisateurs après un certain nombre de tentatives de connexion incorrectes selon la configuration définie dans la section Pare-feu. Cette section propose également de nombreuses options de personnalisation, telles que la définition de verrouillages, des limites de temps pour les verrouillages et des options de gestion des mots de passe pour appliquer des mots de passe forts et empêcher la violation de données. Bien qu'il soit possible de mettre des adresses IP sur liste blanche, nous ne sommes pas certains de son efficacité en raison des adresses IP dynamiques des appareils qui pourraient potentiellement entraîner le verrouillage des utilisateurs légitimes.
La fonction de sécurité de connexion de Bulletproof Security ajoute un champ captcha simpliste à l'écran de connexion qui doit être correctement saisi pour éviter une erreur. Cependant, cela est trop basique et peut facilement être contourné, créant un point de friction inutile pour les utilisateurs légitimes.
Pour aggraver les choses, la saisie de détails aléatoires dans les champs de nom d'utilisateur et de mot de passe avec le captcha correct remplit automatiquement le champ captcha la deuxième fois, éliminant ainsi pratiquement l'obstacle mineur qui a été initialement créé. Il est prudent de dire que cette fonctionnalité de sécurité est totalement inefficace.
Journal d'activité
Ni l'un ni l'autre n'a de journal d'activité convivial, mais Bulletproof Security dispose d'un journal de sécurité pour les pare-feu.
Nous avons été surpris de constater que Wordfence ne disposait pas d'un journal d'activité, considéré comme l'un des composants de sécurité les plus essentiels. Il existe une option pour activer le débogage dans la section Diagnostics du menu Outils, mais cela ne fait que rendre les journaux du pare-feu plus détaillés, et non les mêmes qu'un journal d'activité. Après des recherches plus approfondies, nous avons découvert qu'il existe un journal d'activité pour les événements Wordfence dans la section Analyse, mais il est uniquement à des fins de développement et n'est pas convivial.
Bulletproof Security n'offre pas de journal d'activité, uniquement un journal de sécurité qui enregistre l'activité du pare-feu.
Authentification à deux facteurs
Wordfence offre la fonctionnalité et Bulletproof Security ne le fait pas.
L'authentification à deux facteurs de Wordfence est simple à configurer et à personnaliser, et était auparavant une fonctionnalité premium, mais est désormais accessible avec le plugin gratuit.
Si vous avez deviné que Bulletproof Security ne fournit pas d'authentification à deux facteurs, vous avez raison.
Utilisation des ressources du serveur
Les deux utilisent les ressources du serveur, mais au moins Wordfence fournit des résultats.
La nature gourmande en ressources de Wordfence était douloureusement évidente. Chaque action qu'il effectue sur un site Web consomme des ressources serveur, ce qui entraîne un pic d'utilisation du disque lors des analyses. Sur nos sites Web relativement petits, l'utilisation du disque a doublé, voire triplé, ce qui a nui au temps de chargement, au temps de réponse et à l'expérience utilisateur globale.
Les analyses de Bulletproof Security consomment des ressources, mais elles ne signalent aucun logiciel malveillant, ce qui rend la situation encore plus frustrante. C'était presque remuer du sel sur une blessure.
Alertes
Wordfence propose trop d'alertes. Bulletproof Security n'a pas d'alertes.
Avec Wordfence, il y avait un nombre écrasant d'e-mails. Nous avons été inondés d'alertes en très peu de temps, les rendant finalement inutiles car trop d'alertes peuvent conduire à l'inaction en cas de besoin.
Étant donné que l'analyse n'a pu détecter aucun logiciel malveillant et que la sécurité de connexion était un pétard humide, il n'est pas surprenant que nous n'ayons reçu aucune alerte. Après tout, qu'y aurait-il à nous alerter ?
Installation, configuration et convivialité
Wordfence est plus facile à installer et à configurer. La sécurité à l'épreuve des balles est déroutante.
L'installation, la configuration et l'utilisation générale de Wordfence sont parmi les meilleures que nous ayons rencontrées. Leur documentation comprend des procédures pas à pas sur chaque section principale, fournissant des explications complètes des paramètres et fonctionnalités les plus importants dans un langage facile à comprendre.
De plus, Wordfence fournit d'excellentes recommandations pour la configuration et leur documentation est facilement disponible via des info-bulles sur le tableau de bord, ce qui le rend très convivial. Chaque fonctionnalité est expliquée en détail et des instructions sur la façon de l'appliquer à votre site Web sont accessibles sans délai.
L'assistant de configuration de Bulletproof Security était quelque peu déroutant car il n'est pas immédiatement évident de savoir ce qu'il fait. Nous avons constaté qu'il crée des dossiers et des tables de base de données, ajoute des plugins installés au fichier .htaccess pour créer une liste blanche, sauvegarde la base de données du site et active les paramètres par défaut. Cependant, il ne sauvegarde aucun fichier qui pourrait être tout aussi important.
De plus, la configuration n'a montré qu'un seul élément de ligne bleu ou rouge nous informant que notre fichier .htaccess n'est pas protégé. L'interface est extrêmement difficile à naviguer et est chargée de termes obscurs sans explication, ce qui rend le processus de configuration un gâchis absolu.
Suppléments
Wordfence comprend une section Notifications qui indique quels plugins et thèmes doivent être mis à jour car ils sont considérés comme des menaces critiques ou moyennes.
Il existe également un tableau de bord Wordfence Central qui permet de gérer plusieurs sites sur le même compte, et il a également une section d'accompagnement sur le wp-admin de chaque site connecté. À notre avis, cette fonctionnalité est d'une utilité limitée pour les agences disposant de centaines de sites gérés.
La section Live Traffic enregistre et classe le trafic, et il existe une option de recherche "Qui est" pour voir l'attaquant sans quitter wp-admin.
La section Diagnostics est particulièrement intéressante car elle offre des informations complètes sur le site Web, donnant aux développeurs une spécification du site Web en un seul endroit.
Bulletproof Security ajoute un grand nombre d'options de renforcement au fichier .htaccess, dont certaines sont très spécifiques telles que le code de vulnérabilité Timthumb et la protection du dossier racine et des fichiers contre l'accès. Nous ne recommandons pas de falsifier l'accès aux fichiers principaux de WordPress et pensons que l'utilisation d'un bon pare-feu est un meilleur choix.
Que manque-t-il ?
Bien que Wordfence soit un plugin de sécurité impressionnant, il manque à la fois une protection et un journal d'activité. Le scanner est assez avancé et surpasse la plupart des autres plugins de sécurité, à l'exception de MalCare. Malgré ces fonctionnalités manquantes, il s'agit toujours d'un plugin de sécurité exceptionnel.
Bulletproof Security manque d'un scanner, d'une sécurité de connexion et vraisemblablement de capacités de pare-feu, bien que ce ne soit pas une spéculation charitable de notre part.
Tarification
La version gratuite de Wordfence est assez robuste et les frais d'abonnement annuels de 99 $ sont tout à fait raisonnables. Auparavant, des frais supplémentaires de nettoyage des logiciels malveillants de 490 $ étaient facturés en plus des frais d'abonnement de 99 $. Cependant, avec l'introduction des plans Care et Response, les clients peuvent opter pour le plan Care dès le début. Le plan de réponse offre une réponse garantie en 1 heure pour un coût de 950 $ par an et par site, ce qui est extrêmement bénéfique en cas de piratage car le temps presse. Cela rend le plan de soins quelque peu inadéquat.
Pour le paiement unique de seulement 69 $, vous ne pouvez obtenir aucune sécurité pour votre site WordPress – une aubaine absolue !
Comment choisir un plugin de sécurité qui vaut votre argent ?
En nous appuyant sur notre connaissance approfondie de la sécurité WordPress, nous avons compilé une liste complète des fonctionnalités essentielles à rechercher dans un plugin de sécurité. Nous avons omis toutes les fonctionnalités qui ne sont pas directement liées à la sécurité afin de vous fournir un guide concis et informatif.
Fonctions de sécurité essentielles :
- Analyse des logiciels malveillants : cette fonctionnalité permet de détecter tout code, fichier ou script malveillant qui a été ajouté au site Web, alertant l'utilisateur de toute menace potentielle.
- Nettoyage des logiciels malveillants : il aide à supprimer tout code malveillant qui a été détecté. Il s'agit d'une étape cruciale pour assurer la sécurité du site Web.
- Pare-feu : il aide à empêcher le trafic ou les demandes malveillants d'atteindre le site Web, ainsi qu'à empêcher les menaces potentielles d'entrer sur le site Web. Il aide également à alerter l'utilisateur de toute activité suspecte, telle que les tentatives d'attaques par force brute.
Fonctions de sécurité utiles :
- Détection des vulnérabilités : cette fonctionnalité permet de détecter toute vulnérabilité potentielle du site Web qui pourrait être exploitée par des pirates. Il est important d'identifier ces vulnérabilités et de les corriger dès que possible.
- Protection de connexion par force brute : cette fonctionnalité permet de bloquer toute tentative d'attaque par force brute sur le site Web, qui est souvent utilisée par les pirates pour accéder au site Web.
- Journal d'activité : cette fonctionnalité permet de suivre toute activité suspecte sur le site Web, telle que des demandes malveillantes ou des tentatives de connexion infructueuses, afin qu'elles puissent être bloquées avant qu'elles ne causent des dommages.
- Authentification à deux facteurs : cette fonctionnalité permet d'ajouter une couche de sécurité supplémentaire au site Web en demandant à l'utilisateur de saisir un code supplémentaire avant de pouvoir accéder au site Web. Cela rend plus difficile pour les pirates d'accéder au site Web.
Problèmes potentiels :
- Impact sur les ressources du serveur : il s'agit d'un facteur important à prendre en compte lors du choix d'un plug-in de sécurité. Les plugins de sécurité peuvent souvent être gourmands en ressources, ce qui peut entraîner des temps de chargement lents et d'autres problèmes de performances.
Meilleure alternative à Wordfence et Bulletproof Security : MalCare
En toute honnêteté, la meilleure alternative à la fois à Wordfence et à Bulletproof Security est MalCare, qui est un plugin de sécurité complet avec tout ce dont vous avez besoin et plus encore. Il offre la protection contre les bots et le journal d'activité qui manque à Wordfece et est beaucoup plus fiable. De plus, nous n'avons pas oublié la base de données.
Dernières pensées
Donc, pour conclure, lors de la sélection d'un plugin de sécurité WordPress pour votre site Web, il est essentiel de prendre en compte les capacités de scanner, de nettoyage et de pare-feu car ces trois fonctionnalités sont à la base d'un plugin fiable. Chez MalCare, notre mission est de fournir une sécurité sans stress et sans effort, afin que vous puissiez vous concentrer sur les éléments essentiels de votre site Web pendant que nous assurons sa sécurité.
FAQ
Est-ce que Wordfence en vaut la peine ?
Wordfence gratuit est excellent pour son prix, qui n'est rien. Les versions premium de Wordfence ne sont pas beaucoup plus efficaces que la version gratuite.
La version gratuite de Wordfence est-elle suffisante ?
Oui, la version gratuite de Wordfence est suffisante pour les besoins de sécurité de base. Il fournit un scanner, un pare-feu et une sécurité de connexion, tous nécessaires pour un site Web sécurisé.
Wordfence ralentit-il votre site ?
Oui, Wordfence peut ralentir considérablement un site Web. Il s'agit d'un plug-in gourmand en ressources, consommant des ressources serveur lors de l'exécution d'analyses et d'autres opérations, entraînant ainsi une augmentation de l'utilisation du disque et pouvant avoir un impact sur le temps de chargement et le temps de réponse.
Quelle est la meilleure alternative à Wordfence ?
MalCare est la meilleure alternative à Wordfence car il offre une gamme complète de fonctionnalités et est beaucoup plus fiable. Il fournit une protection contre les bots, un journal d'activité et une analyse de base de données manquante dans Wordfence, et nécessite également beaucoup moins de ressources.