Kompleksowy przegląd zabezpieczeń: szczegółowe omówienie zalet i wad — MalCare

Jeśli szukasz kompleksowej recenzji zabezpieczeń, być może masz nadzieję dowiedzieć się, czy wtyczka skutecznie chroni Twoją witrynę internetową przed zagrożeniami, takimi jak hakowanie, złośliwe oprogramowanie i inne luki w zabezpieczeniach. Możesz także chcieć dowiedzieć się o jego funkcjach i łatwości użytkowania, a także o kompatybilności z innymi wtyczkami i motywami WordPress.

Przetestowaliśmy rozwiązanie All-In-One Security w wielu lokalizacjach, co pozwoliło nam ocenić jego wydajność i kompatybilność w różnych konfiguracjach. Nasza recenzja jest bezstronna i oparta na naszej wiedzy jako ekspertów ds. bezpieczeństwa. Naszym celem jest zapewnienie kompleksowej i wiarygodnej recenzji.

Ta dogłębna analiza dostarczy cennych informacji na temat tych obszarów, pomagając w podjęciu świadomej decyzji, czy All-In-One Security jest właściwym rozwiązaniem zabezpieczającym dla Twojej witryny.

Trzy najczęściej reklamowane funkcje All-In-One Security to: ochrona logowania, zapora ogniowa i ochrona treści. Ochrona logowania? Nie działa zbyt dobrze i jest podatny na błędy. Zapora ogniowa? Nie dobra konfiguracja. Ochrona treści? Zasadniczo funkcje antyspamowe, które są przyzwoite. Podsumowując, nie jest to bliskie wtyczce bezpieczeństwa. MalCare to znacznie lepsza alternatywa. Ma świetny skaner, usuwanie złośliwego oprogramowania jednym kliknięciem i potężną zaporę ogniową.

Przegląd

All-In-One Security nie jest wszechstronną wtyczką zabezpieczającą, za którą się podaje. Zamiast tego jest to po prostu wtyczka antyspamowa z kilkoma przeciętnymi funkcjami bezpieczeństwa i kilkoma całkowicie nieobecnymi lub niefunkcjonalnymi.

Jest jednak kilka dobrych wiadomości. Funkcja ochrony treści pomaga chronić przed spamem. Dostępna jest funkcja uwierzytelniania dwuskładnikowego dla dodatkowego bezpieczeństwa i można ograniczyć logowanie, co zapobiega nieautoryzowanemu dostępowi. Brak obciążenia serwera witryny i brak nadmiernych alertów to bonus.

Porozmawiajmy teraz o tym, co złe. Darmowa wersja All-In-One Security nie zawiera skanera, więc nie mogliśmy przetestować tej funkcji. Dlatego nie możemy komentować jego skuteczności. Nie ma również wykrywania luk w zabezpieczeniach, czyszczenia złośliwego oprogramowania ani usługi czyszczenia. Zapora w dużym stopniu polega na pliku .htaccess i wydaje się, że ogranicza się do blokowania niektórych kategorii złych botów. Funkcje utwardzania są przyzwoite, ale nic, czego nie można uzyskać równie łatwo z mniejszej wtyczki.

Sugerujemy zainstalowanie All-In-One Security tylko dla funkcji antyspamowych, chociaż w tym celu preferujemy CleanTalk lub nawet Akismet. Wtyczka w pewnym sensie przypomina nam iThemes. Wydaje się, że mnogość ustawień na stronie wp-admin próbuje ukryć fakt, że wtyczka nie ma rzeczywistej wartości. W ogóle nie zalecamy tej wtyczki jako wtyczki bezpieczeństwa.

Krytyczne funkcje bezpieczeństwa i zabezpieczenia typu „wszystko w jednym”.

Każda realna wtyczka bezpieczeństwa musi mieć trzy niezbywalne funkcje: skanowanie złośliwego oprogramowania, ochronę zaporą sieciową i usuwanie złośliwego oprogramowania. Czy All-In-One Security ma te funkcje? Jak dobrze All-In-One Security zarządza tymi funkcjami?

Skaner złośliwego oprogramowania

Nie byliśmy w stanie przetestować funkcji skanowania złośliwego oprogramowania, ponieważ jest to funkcja premium. Jednak zgodnie z ich witryną internetową wykorzystują własne serwery do skanowania w poszukiwaniu złośliwego oprogramowania, co jest dobrą praktyką, aby uniknąć przeciążenia witryny. Więc to jest doskonałe.

Usuwanie złośliwego oprogramowania

Niestety All-In-One Security nie zapewnia funkcji usuwania złośliwego oprogramowania ani żadnej profesjonalnej usługi czyszczenia. Oferują porady, ale nie są one zbyt przydatne. Tak więc, jeśli Twoja witryna została zhakowana, All-In-One Security w ogóle nie będzie pomocny.

Zapora ogniowa

Ta funkcja była niespodzianką.

All-In-One Security wykorzystuje zaporę ogniową 6G firmy Perishable Press, a to trochę niefortunne. Podczas operacji polegają one w dużej mierze na pliku .htaccess i chociaż uwielbiamy moc pliku .htaccess, nie jest on przeznaczony do wykonywania pracy prawdziwej zapory ogniowej. Ponadto 6G działa tylko na serwerach Apache, ponieważ wykorzystuje plik .htaccess, więc jest bezużyteczny w przypadku witryn na serwerach nginx. Nieidealny!

All-In-One Security może mieć pewne funkcje podobne do zapory. Możesz umieścić na czarnej liście adresy IP i klientów użytkownika z pulpitu nawigacyjnego, jeśli masz dość odwagi, aby to wypróbować.

Zapora może zatrzymać niektóre boty (spam, logowanie metodą brute-force i scrapery) oraz blokować dostęp do niektórych plików. Jest to podstawowy rodzaj ochrony przed botami, który ma chronić przed fałszywymi googlebotami — co jest świetne — ale równie dobrze zatrzymuje rzeczywiste googleboty. Witryny zgłaszały utratę pozycji w rankingu z powodu wtyczki.

Nie doświadczyliśmy jednak tego problemu na własnej skórze i istnieje szansa, że ​​może to być spowodowane niewłaściwie zastosowanym blokowaniem geograficznym. nie jesteśmy pewni. Samo geoblokowanie jest funkcją premium.

Dodatkowe funkcje bezpieczeństwa

Krytyczne funkcje bezpieczeństwa nie były na równi. Jakie inne funkcje bezpieczeństwa ma (lub nie ma) urządzenie All-In-One Security?

Ochrona logowania

Istnieje wiele ustawień zapobiegających atakom siłowym na ekranie logowania użytkownika. Przetestowaliśmy to, próbując brutalnie wymusić stronę logowania z nieprawidłowymi hasłami i nazwami użytkowników, i zadziałało świetnie. Możesz użyć innych ustawień, aby dostosować swoje preferencje, ale ogólnie rzecz biorąc, ta funkcja jest jedną z lepszych wersji ograniczania logowania, jakie widzieliśmy.

Istnieje również osobny zestaw przełączników specjalnie do zapobiegania brutalnej sile, z których jednym jest zmiana adresu URL logowania. Jest to środek wzmacniający i szczególnie rażący, który udaje zapobieganie brutalnej sile.

Dodatkowo istnieje również opcja honeypot, która będzie widoczna tylko dla botów. Możesz włączyć tę opcję, aby automatycznie odrzucać rejestracje, które wpadną w pułapkę honeypota. Ta funkcja ma na celu zapobieganie rejestracji spamu.

Wykrywanie luk w zabezpieczeniach

Wygląda na to, że All-In-One Security całkowicie nie wykrywa luk w zabezpieczeniach. Większość wtyczek zabezpieczających ma tę funkcję w pakiecie ze skanerem złośliwego oprogramowania, więc założyliśmy, że będzie to wersja premium. Ale po przeprowadzeniu wielu kontroli wydaje się, że go tam też nie ma.

Uwierzytelnianie dwuskładnikowe

All-In-One Security umożliwia skonfigurowanie uwierzytelniania dwuskładnikowego (2FA) dla wszystkich typów użytkowników lub tylko tych, których bezpieczeństwo uważasz za najważniejsze.

Ten przełącznik dodaje 2FA jako opcję w profilu użytkownika, a użytkownicy mogą wybierać spośród różnych mechanizmów uwierzytelniania. Podsumowując, All-In-One Security 2FA to dość wszechstronna funkcja.

Dziennik aktywności

Wtyczka ma funkcję dziennika logowania, ale nie jest najlepsza. Ogólnie rzecz biorąc, wydaje się trochę niedopieczony. Nie zastępuje dziennika aktywności.

Właściwości utwardzające

Środki wzmacniające nigdy nie są tak skuteczne, jak mogłoby się wydawać, bez względu na to, ile artykułów na temat bezpieczeństwa WordPress o nich mówi.

• Usunięcie wersji WordPress nie chroni przed lukami w zabezpieczeniach. Właściwym rozwiązaniem byłoby faktyczne zaktualizowanie wersji WordPress.
• Jeszcze bardziej bezużyteczną funkcją jest zmiana prefiksu bazy danych , która tylko psuje strukturę bazy danych.
• Zmiana uprawnień do plików byłaby przydatna, gdyby ustawienia nie były tak ograniczone.
• Wykrywanie zmian plików ma również ograniczone zastosowanie.

Jedynymi wyjątkami, które są faktycznie pomocne, jest możliwość wyłączenia dostępu do XML-RPC . Uważamy również, że narzędzie do tworzenia haseł All-In-One Security może być pomocne.

Instalowanie i konfigurowanie zabezpieczeń urządzenia wielofunkcyjnego

Czy widzieliśmy już jakiś sukces we wdrażaniu funkcji bezpieczeństwa? Nie bardzo. Ale pod względem użyteczności, jak prosty jest proces instalacji i konfiguracji?

Instalacja

Instalacja i aktywacja były dziecinnie proste, ale konfiguracja naszych zabezpieczeń to zupełnie inna historia. Ponieważ MalCare było już zainstalowane w naszych witrynach testowych, nie mogliśmy po prostu przełączyć się na zaporę zabezpieczającą All-In-One. Musieliśmy wejść do pliku .htaccess i zastąpić zaporę MalCare zaporą All-In-One Security. Oznaczało to, że musieliśmy mieć możliwość wyświetlenia listy ukrytych plików w terminalu, aby dokonać edycji.

Co ciekawe, zadziałało to tylko dlatego, że nasze strony są na serwerach Apache. Ciekawe, co by się stało na serwerach nginx.

Na pulpicie nawigacyjnym znajduje się ocena bezpieczeństwa naszej witryny. Na pierwszy rzut oka było to trochę zniechęcające. Tarcza na wtyczce mówi, że powinniśmy mieć 505 punktów bezpieczeństwa, ale nasza strona ma 0. Podoba nam się system punktacji, więc zaczęliśmy budować nasze bezpieczeństwo, aktywując podstawowe funkcje bezpieczeństwa w menu ustawień. Jednak te ustawienia były w zasadzie bezużyteczne, więc system punktacji daje fałszywe poczucie bezpieczeństwa.

Łatwość użycia

Konfigurowanie pulpitu nawigacyjnego było dość łatwe, chociaż przejrzenie wszystkich opcji zajęło trochę czasu. Większość z nich tak naprawdę nie miała znaczącego wpływu na nasze bezpieczeństwo. Największym problemem, jaki napotkaliśmy w przypadku All-In-One Security, było to, że zbyt łatwo było zablokować się na naszej stronie, włączając niewłaściwe ustawienia.

Nawet zmiana adresu URL logowania (co nie jest w ogóle zalecane) nie była tak skuteczna. Wtyczka pomaga tylko w zmianie ślimaka adresu URL. W rzeczywistości musisz wprowadzić zmiany w innych częściach kodu, aby działał poprawnie.

Powiadomienia i alerty

Jest wystarczająco dużo alertów dotyczących ważnych rzeczy, takich jak zablokowani użytkownicy i tak dalej. Ponadto możesz dostosować powiadomienia, które chcesz otrzymywać.

Inne czynniki do rozważenia

Oprócz funkcji bezpieczeństwa, co jeszcze należy wziąć pod uwagę, rozważając bezpieczeństwo urządzenia All-In-One? Cóż, będziesz chciał sprawdzić wpływ wtyczki na twój serwer i jak reaguje zespół wsparcia, gdy potrzebujesz pomocy.

Wpływ na wydajność witryny

Wypróbowaliśmy darmową wersję All-In-One Security i nie działała dobrze. Nie ma własnego skanera, więc jest dość lekką wtyczką i nie wpływa na wydajność naszej strony.

Pomoc i wsparcie

Zespół All-In-One Security jest bardzo aktywny na forum WordPress. Odpowiadają na każde zadane im pytanie. Niestety wydaje się, że nie ma innego sposobu, aby skontaktować się z nimi w celu uzyskania pomocy.

cennik

Za 70 USD rocznie za dwie witryny, All-In-One Security na pierwszy rzut oka nie jest złą ofertą. Pamiętaj jednak, że nie otrzymasz żadnych porządków, a usunięcie złośliwego oprogramowania będzie dodatkowym kosztem. Nie możemy też powiedzieć, jak skuteczny jest skaner.

Najlepsze alternatywy dla All-In-One Security

Czy All-In-One Security to najlepsza wtyczka zabezpieczająca? Nie. Więc jakie są twoje najlepsze opcje?

• MalCare: MalCare to najlepsza alternatywa. Ma świetny skaner i zaporę ogniową i nie będzie miał żadnego wpływu na twój serwer. Jest również łatwe do usunięcia złośliwego oprogramowania i zapewnia kompleksowe rozwiązanie bezpieczeństwa dla Twojej witryny.
• Wordfence: Darmowa wersja Wordfence zapewnia potężne funkcje bezpieczeństwa, takie jak skaner i zapora ogniowa, przy czym ta ostatnia jest stale aktualizowana. Jeśli jednak zostanie wykryty jakikolwiek szkodliwy materiał, konieczna będzie aktualizacja do droższego planu, aby go wyeliminować.
• Sucuri: Sucuri to świetna opcja do dokładnej eliminacji złośliwego oprogramowania. Dzięki wszystkim płatnym planom użytkownicy uzyskują dostęp do nieograniczonej liczby usług usuwania złośliwego oprogramowania. Jednak jedną wadą jest to, że skaner nie jest świetny, dlatego ważne jest, aby być czujnym na wszelkie potencjalne problemy ze złośliwym oprogramowaniem przed skorzystaniem z funkcji usuwania.

Jak wybrać wtyczkę bezpieczeństwa dla WordPressa?

Przy tak wielu wtyczkach bezpieczeństwa WordPress dostępnych na rynku poruszanie się po wszystkich recenzjach i porównaniach może być przytłaczające, zwłaszcza z całym żargonem, który im towarzyszy. Jednak wybór odpowiedniej wtyczki zabezpieczającej ma kluczowe znaczenie dla ochrony witryny przed potencjalnymi zagrożeniami i zapewnienia jej płynnego działania. W tej sekcji podzielimy najważniejsze funkcje i czynniki, które należy wziąć pod uwagę przy dokonywaniu wyboru, ułatwiając wybór najlepszej wtyczki zabezpieczającej dla witryny WordPress.

• Skaner złośliwego oprogramowania: Skaner złośliwego oprogramowania jest ważny, ponieważ pomaga wykryć złośliwy kod, który mógł zostać wstrzyknięty do Twojej witryny WordPress. Ponadto regularne skanowanie może pomóc zapewnić bezpieczeństwo witryny i ochronę przed potencjalnymi atakami.
• Usuwanie złośliwego oprogramowania: złośliwe oprogramowanie może uszkodzić lub uszkodzić pliki, wykraść dane osobowe lub poufne, spowolnić lub zawiesić witrynę, a nawet umożliwić hakerom uzyskanie dostępu. Złośliwe oprogramowanie może również narazić Twoją witrynę na dalsze ataki i zagrozić bezpieczeństwu informacji odwiedzających. Ważne jest, aby usunąć złośliwe oprogramowanie tak szybko, jak to możliwe, aby zapobiec jego rozprzestrzenianiu się i powodowaniu dalszych szkód.
• Firewall: Jeśli chodzi o bezpieczeństwo, firewall jest jak filtr. To zabezpieczenie, które chroni przed złośliwym oprogramowaniem, złymi botami i nie tylko. Najlepsza zapora ogniowa to taka, która jest stale aktualizowana i potrafi odróżnić dobry i zły ruch.
• Wykrywanie luk w zabezpieczeniach: Hakerzy zawsze szukają sposobów, aby dostać się do Twojej witryny za pomocą wtyczek i motywów. Dlatego wtyczki i motywy są często aktualizowane, aby naprawić wszelkie luki w zabezpieczeniach. Skaner luk w zabezpieczeniach ostrzega o wykryciu luki, dając szansę na jej załatanie lub powiadomienie programistów.
• Uwierzytelnianie dwuskładnikowe: Uwierzytelnianie dwuskładnikowe to dodatkowa warstwa zabezpieczeń, która wymaga od użytkowników podania dwóch różnych sposobów potwierdzenia swojej tożsamości. Może to obejmować hasło i dodatkowy kod wysłany na telefon lub e-mail. To sprawia, że ​​​​jest to dobra funkcja bezpieczeństwa.
• Ochrona logowania: Ataki siłowe to zautomatyzowane próby włamania się na Twoje konto poprzez losowe odgadnięcie Twojej nazwy użytkownika i hasła. Aby ich uniknąć, należy zainstalować wtyczkę z funkcjami ochrony logowania. Na przykład możesz ustawić, ile błędnych prób logowania powoduje blokadę.
• Dziennik aktywności: Dziennik aktywności to świetny sposób monitorowania tego, co dzieje się w Twojej witrynie. Śledzi wszystkie działania i zdarzenia, które mają miejsce w Twojej witrynie. W ten sposób możesz łatwo zidentyfikować wszelkie nietypowe zachowania, które mogą wskazywać na złośliwe oprogramowanie. To także świetny sposób na sprawdzenie, kto uzyskiwał dostęp do Twojej witryny i kto ją zmienił, dzięki czemu możesz zachować kontrolę.
• Wpływ na serwer: wtyczki zabezpieczające mogą poważnie obciążać zasoby serwera. Spowoduje to spowolnienie Twojej witryny, co z kolei wpłynie na Twoje rankingi lub wrażenia klientów. Dlatego ważne jest, aby wtyczka bezpieczeństwa skanowała w poszukiwaniu złośliwego oprogramowania na własnym serwerze. Na przykład program MalCare został zaprojektowany tak, aby nie wykorzystywać żadnych Twoich zasobów.

Końcowe przemyślenia

All-In-One WordPress Security to wtyczka, która zapewnia kilka dobrych funkcji, takich jak antyspam i uwierzytelnianie dwuskładnikowe. Nie obejmuje jednak krytycznych funkcji bezpieczeństwa, takich jak skaner złośliwego oprogramowania, usuwanie złośliwego oprogramowania lub zapora ogniowa. Dlatego zalecamy zainwestowanie w bardziej wszechstronną wtyczkę zabezpieczającą, taką jak MalCare, aby zapewnić odpowiednią ochronę witryny.

Często zadawane pytania

Jakie są ustawienia zapory sieciowej All-In-One WP Security?

All-In-One WordPress Security wykorzystuje zaporę 6G firmy Perishable Press, która jest zależna od .htaccess i dlatego działa tylko na serwerach Apache. Zapora sieciowa skutecznie powstrzymuje złośliwe boty, ale czasami może też zatrzymać googlebota. Umożliwia także użytkownikom umieszczanie na czarnej liście adresów IP i agentów użytkownika z pulpitu nawigacyjnego.