Sucuri vs Cloudflare: co jest lepsze dla bezpieczeństwa witryny?

Opublikowany: 2023-04-07

Jeśli chodzi o witryny WordPress, bezpieczeństwo i wydajność to dwa podstawowe aspekty, które należy wziąć pod uwagę. Wraz z rosnącą liczbą cyberzagrożeń i potrzebą szybszego ładowania stron internetowych konieczne jest posiadanie niezawodnych usług bezpieczeństwa i wydajności sieci.

W tym artykule porównamy Sucuri i Cloudflare , zagłębiając się w ich funkcje, łatwość użytkowania, ceny i wiele więcej. Porównamy je obok siebie, abyś lepiej wiedział, którą usługę wybrać, aby Twoja witryna WordPress była bezpieczna i działała najlepiej.

Zarówno Cloudflare, jak i Sucuri oferują zaporę ogniową, ochronę przed atakami DDoS i CDN, ale na tym kończą się podobieństwa. Wtyczka bezpieczeństwa WordPress wymaga skanera złośliwego oprogramowania, narzędzia czyszczącego i zapory ogniowej, aby była kompletna. Sucuri ma skaner i zaporę ogniową, ale usuwanie złośliwego oprogramowania odbywa się za pośrednictwem ich zespołu wsparcia. Cloudflare koncentruje się na usługach ruchu sieciowego, więc nie można go uważać za wtyczkę bezpieczeństwa, ale za hybrydę między wydajnością a bezpieczeństwem. W tej zaciętej bitwie Sucuri jest zwycięzcą, ale tylko dlatego, że ma wszystkie niezbędne funkcje. Aby korzystać z funkcji bezpieczeństwa, które faktycznie chronią Twoją witrynę przed złośliwym oprogramowaniem, potrzebujesz MalCare.

Sucuri w skrócie

Sucuri jest niezaprzeczalnie popularną wtyczką, ale nie jest pozbawiona wad. Po pierwsze, jego skaner złośliwego oprogramowania jest zawodny, ponieważ nie wykrywa całego złośliwego oprogramowania znajdującego się na stronie. Ustawilibyśmy skaner na około 40 do 50% wydajności, czyli poniżej średniej. Ponadto skanowanie zabezpieczeń spowalnia witryny, powodując gwałtowny wzrost wykorzystania dysku serwera.

Bezpieczeństwo Sucuri

Jednak usługa usuwania złośliwego oprogramowania jest skuteczna. Widzimy tutaj problem polegający na tym, że jeśli skaner nie ostrzega o złośliwym oprogramowaniu, trudno będzie stwierdzić, czy witryna jest zainfekowana. W rzeczywistości, jeśli nie widzisz bardzo wyraźnych objawów zaatakowanej witryny WordPress, w ogóle nie wiedziałbyś, aby skorzystać z ich usługi usuwania złośliwego oprogramowania.

Zapora jest doskonała, ale jej konfiguracja jest trudna i wymaga zabawy z ustawieniami DNS. Ponadto, naszym zdaniem, język Sucuri może być mylący i protekcjonalny.

Cloudflare w skrócie

Cloudflare zapewnia usługi bezpieczeństwa i wydajności stron internetowych. Jedną z ich głównych funkcji jest zapora ogniowa, która chroni przed cyberatakami, takimi jak ataki DDoS.

Rozbłysk chmur

Bezpłatny plan obejmuje tylko ochronę przed atakami DDoS, więc aby uzyskać dostęp do zapory i innych zaawansowanych funkcji, musisz kupić wyższy plan. Im lepszy plan kupisz, tym większą ochronę uzyskasz przed różnymi typami ataków, w tym ochroną przed botami.

Ochrona przed botami w Cloudflare może pomóc w powstrzymaniu botów spamujących, więc możesz zauważyć zmniejszenie liczby spamerskich komentarzy i przesyłanych formularzy bez konieczności używania oddzielnej wtyczki antyspamowej. Jednak boty spamujące nie są jedynymi rodzajami złośliwych botów. Boty do brutalnej siły, boty do skrobania i te, które udają boty wyszukiwarek, są równie złe, jeśli nie gorsze. Zaawansowana ochrona przed botami powstrzymuje złe boty, nie przeszkadzając tym dobrym.

Cloudflare oferuje również opcje wydajności i optymalizacji stron internetowych, takie jak sieć dostarczania treści (CDN) i równoważenie obciążenia. CDN Cloudflare jest w znacznym stopniu lepszy niż Sucuri.

Sucuri vs Cloudflare: Bezpośrednie porównanie funkcji bezpieczeństwa

Sucuri i Cloudflare mają kilka wspólnych funkcji bezpieczeństwa i niektóre wspólne cechy wydajności, dlatego ludzie chcą porównać te dwie usługi. Jednak podczas naszych testów widzimy, że mają różne cele. Sucuri to bardziej usługa bezpieczeństwa, podczas gdy Cloudflare skłania się ku wydajności.

Mimo to porównaliśmy podobne funkcje, wskazując jednocześnie, których funkcji bezpieczeństwa nie ma Cloudflare. Jako eksperci ds. bezpieczeństwa zawsze skupiamy się na bezpieczeństwie witryny WordPress. Zanurzmy się więc i dowiedzmy, która wtyczka powstrzyma złoczyńców.

Skanowanie złośliwego oprogramowania

Sucuri jest trochę dobry w skanowaniu w poszukiwaniu złośliwego oprogramowania. Cloudflare w ogóle nie skanuje.

Sucuri

Skaner złośliwego oprogramowania Sucuri oferuje zarówno codzienne, jak i na żądanie skanowanie Twojej witryny.

Włączenie skanera po stronie serwera wymaga przesłania pliku na serwer WWW lub zezwolenia Sucuri na użycie danych uwierzytelniających FTP. Jeśli martwisz się o bezpieczeństwo, możesz zamiast tego wybrać SFTP. Sucuri oferuje również funkcję o nazwie „lista dozwolonych ścieżek URL”, która umożliwia dodawanie folderów, których nie chcesz skanować.

Skany nie wykryły złośliwego oprogramowania załadowanego na naszą stronę. Wiedzieliśmy, że Sucuri będzie miał problemy z identyfikacją złośliwego oprogramowania w bazie danych, ale nie udało mu się również znaleźć złośliwego oprogramowania w plikach. Jest to niepokojące, ponieważ mieliśmy do czynienia zarówno ze starym, jak i nowym złośliwym oprogramowaniem. Jeśli baza sygnatur była aktualna, powinna przynajmniej przechwycić stare złośliwe oprogramowanie.

Ponadto te skany spowalniają Twoją witrynę ze względu na zużycie zasobów serwera. Nawet jeśli wybierzesz skanowanie tylko niektórych plików i folderów w celu zmniejszenia wykorzystania pamięci, złośliwe oprogramowanie może nadal ukrywać się w innych obszarach Twojej witryny. Nigdy nie powinieneś wybierać między bezpieczeństwem a wydajnością.

Oczyszczanie po złośliwym oprogramowaniu, codzienne skanowanie ponownie oznaczało złośliwe oprogramowanie i sugerowało kolejne czyszczenie.

Ogólnie rzecz biorąc, skaner złośliwego oprogramowania Sucuri nie jest skuteczny i pochłania zasoby.

Rozbłysk chmur

Cloudflare nie ma wbudowanego skanera złośliwego oprogramowania, który mógłby skanować Twoją witrynę w poszukiwaniu złośliwego kodu lub plików.

Czyszczenie złośliwego oprogramowania

Sucuri ma dobrą, ale opóźnioną reakcję na usuwanie złośliwego oprogramowania. Cloudflare nie ma.

Sucuri

Po pierwsze, skaner nie znalazł śladów złośliwego oprogramowania na naszej zaatakowanej przez hakerów stronie, jak szczegółowo opisaliśmy w poprzedniej sekcji. To powinien być koniec drogi, ale i tak przetestowaliśmy narzędzie do usuwania złośliwego oprogramowania.

Gdy poprosiliśmy o usługę usuwania złośliwego oprogramowania, odpowiedzieli usunięciem w ciągu 12 godzin. Niestety, złośliwe oprogramowanie staje się gorsze, im dłużej jest pozostawione. Możesz wybrać wyższy plan, aby przyspieszyć czas oczekiwania, ale nawet kilka godzin może być nie do zniesienia, gdy Twoja witryna wisi na włosku.

Sucuri wykonał jednak fantastyczną robotę, usuwając złośliwe oprogramowanie w witrynie WordPress. Nasz skan MalCare wyszedł nieskazitelnie czysty. Uznanie dla Sucuri za to. Jedyne, czego potrzebowali, to dane FTP.

Po wyczyszczeniu naszej witryny wskazali kilka wrażliwych wtyczek, które wymagały aktualizacji. Złapali 2 z 3 podatnych na ataki wtyczek, które zainstalowaliśmy na potrzeby naszych testów. Jest to pomocne, ponieważ bądźmy szczerzy, uwielbiamy usuwać złośliwe oprogramowanie tak samo, jak uwielbiamy chodzić do dentysty.

Rozbłysk chmur

Cloudflare nie oferuje żadnych specjalnych funkcji do usuwania złośliwego oprogramowania ze stron internetowych.

Zapora ogniowa

Zapora ogniowa była trudna do zainstalowania z Sucuri, a Cloudflare ma niekompletną zaporę ogniową, która głównie chroni przed botami.

Sucuri

Przeprowadziliśmy zaporę ogniową przez wyżymaczkę, która doskonale poradziła sobie z blokowaniem wszelkiego rodzaju ataków, takich jak iniekcje SQL, zdalne iniekcje i ataki typu cross-site scripting. Nasza strona testowa była pełna luk w zabezpieczeniach, ale zapora ogniowa dawała sobie radę i zapewniała jej bezpieczeństwo.

Napotkaliśmy jednak jedną czkawkę związaną z zaporą ogniową: jej proces instalacji. Musisz przekierować ruch na serwery Sucuri. Sucuri następnie przesiewa cały przychodzący ruch i odfiltrowuje wszystko, co złośliwe, wysyłając tylko dobry ruch do Twojej witryny.

Brzmi dobrze, prawda? Ale to była trudna instalacja. Nasze witryny testowe nie były połączone z żadnym rejestratorem domen, więc musieliśmy wezwać nasz zespół inżynierów, aby to uporządkować. Zagłębimy się w to później, kiedy będziemy mówić o instalacji.

Rozbłysk chmur

W bezpłatnym abonamencie Cloudflare użytkownicy mogą utworzyć do 5 niestandardowych reguł zapory sieciowej, ale wymaga to specjalistycznej wiedzy, więc większość użytkowników może potrzebować pomocy programisty. Bezpłatna zapora ogniowa zapewnia podstawową ochronę przed botami, a także oddzielną funkcję Scrape Shield, która chroni przed botami skrobającymi. Geoblokowanie jest dostępne, ale jest to funkcja premium.

Wykrywanie luk w zabezpieczeniach

Sucuri ma przeciętny skaner podatności. Cloudflare nie ma.

Sucuri

Chociaż skaner po stronie serwera Sucuri może wykrywać pewne luki w zabezpieczeniach, należy pamiętać, że nie jest on niezawodny. Skanowanie naszej witryny wykryło 2 z 3 luk w zabezpieczeniach. Bardziej niejasne wtyczki lub motywy, z mniej niż 200 instalacjami, prawdopodobnie zostaną przemilczane.

Rozbłysk chmur

Cloudflare nie oferuje żadnych funkcji wykrywania luk w zabezpieczeniach.

Brutalna ochrona logowania

Sucuri zawiódł w naszych testach. Cloudflare może być w stanie zatrzymać boty, ale nie ma funkcji ochrony logowania.

Sucuri

Przeprowadziliśmy test ochrony logowania Sucuri metodą brute force, konfigurując ustawienia tak, aby zezwalały na 30 nieudanych logowań na godzinę. Początkowo wahaliśmy się co do funkcji blokady, obawiając się zablokowania dostępu do strony.

Aby ocenić system, próbowaliśmy go przetestować, próbując ponad 40 błędnych logowań w ciągu 3 minut. Jednak byliśmy rozczarowani, gdy odkryliśmy, że Sucuri nie wywołał alertu.

Chociaż nieudane próby logowania były rejestrowane w dziennikach kontrolnych, nie mogliśmy ustalić, dlaczego Sucuri nie wysłała alertu. Ta sytuacja jest niepokojąca, ponieważ brak ostrzeżenia może narazić witrynę na kolejne ataki.

Rozbłysk chmur

Cloudflare oferuje ochronę przed botami i to może pomóc. Jednak Cloudflare nie ma określonych funkcji bezpieczeństwa logowania, które są wymagane do zapobiegania atakom logowania typu brute force.

Dziennik aktywności

Sucuri ma złożony dziennik aktywności, ale przynajmniej jeden. Cloudflare ma tylko dzienniki zapory sieciowej, które nie śledzą aktywności użytkownika w witrynie.

Sucuri

Na desce rozdzielczej Sucuri ta funkcja nazywa się dziennikiem kontroli. Zauważysz, że rejestrują one sygnaturę czasową określonych działań, a także użytkownika, który je wykonał.

Chociaż dzienniki są obszerne, uznaliśmy je za zbyt mylące w użyciu. Na przykład instalacja nowej wtyczki zwykle pojawia się w dzienniku jako wpis „wtyczka aktywowana”. Ale może być jeszcze kilka wpisów, które pokazują, na co wpłynęła instalacja, bez jasnych wyjaśnień, jakie to były zmiany.

Na osobnej notatce, aby uniemożliwić potencjalnym atakującym usunięcie dzienników, możesz uzyskać klucz API. Ten klucz pozwala firmie Sucuri przechowywać gromadzone przez nią dane witryn internetowych i zapewniać ich bezpieczeństwo na swoich serwerach.

Rozbłysk chmur

Cloudflare zapewnia dziennik zapory do śledzenia ruchu i zdarzeń związanych z bezpieczeństwem, ale nie oferuje dziennika aktywności, który monitoruje zmiany wprowadzone przez użytkownika w witrynie.

Uwierzytelnianie dwuskładnikowe

Ani dla Twojej witryny WordPress.

Sucuri

Chociaż włączenie uwierzytelniania dwuskładnikowego na koncie Sucuri jest możliwe, należy pamiętać, że ta funkcja nie jest obecnie dostępna dla witryn WordPress za pośrednictwem Sucuri.

Rozbłysk chmur

Cloudflare nie oferuje uwierzytelniania dwuskładnikowego jako funkcji bezpieczeństwa kont użytkowników.

CDN

CDN Cloudflare jest lepszy, ponieważ ma więcej centrów danych i funkcji optymalizacji.

Sucuri

Globalna sieć centrów danych Sucuri jest wykorzystywana przez jej CDN do obsługi treści przechowywanych w pamięci podręcznej, co ostatecznie prowadzi do zmniejszenia opóźnień i czasu ładowania witryny. Ta funkcja zapewnia użytkownikom szybki i efektywny dostęp do witryny, niezależnie od ich lokalizacji. Oprócz buforowania, CDN Sucuri wykorzystuje również techniki optymalizacji stron internetowych, takie jak kompresja i minifikacja, w celu dalszej poprawy wydajności witryny.

Użytkownicy zgłosili zauważalny spadek czasu ładowania i wydajności witryny po wdrożeniu CDN firmy Sucuri. Po skonfigurowaniu CDN wymaga minimalnej bieżącej konserwacji, a zaawansowani użytkownicy mogą dostosować ustawienia pamięci podręcznej w celu uzyskania lepszej kontroli.

Rozbłysk chmur

Cloudflare's CDN to globalnie rozproszona sieć centrów danych obejmująca ponad 250 miast w ponad 100 krajach. Ma na celu poprawę wydajności witryny poprzez buforowanie i udostępnianie treści. W połączeniu z zaawansowanymi technologiami, takimi jak Argo Smart Routing i ustalanie priorytetów HTTP/2, CDN Cloudflare skutkuje znaczną poprawą czasu ładowania i wydajności witryny.

Dodatkowo CDN Cloudflare oferuje zmianę rozmiaru obrazu, funkcję nie zapewnianą przez Sucuri. Zmiana rozmiaru obrazu jest ważna, ponieważ pozwala zmniejszyć rozmiar treści serwowanej z CDN, oszczędzając do 50-60% danych, szczególnie w przypadkach, gdy użytkownik otwiera stronę internetową na urządzeniu o mniejszych wymiarach niż obraz.

Chociaż sieć CDN Cloudflare jest znacznie większa niż sieć Sucuri, użytkownicy w regionach bez obecności CDN Cloudflare mogą doświadczać wolniejszego ładowania.

Wykorzystanie zasobów serwera

Cloudflare optymalizuje wydajność Twojej witryny, a Sucuri pochłania zasoby.

Sucuri

Skanowanie po stronie serwera Sucuri może mieć znaczący wpływ na zasoby serwera, co może prowadzić do spowolnienia działania witryny i wyższych rachunków za serwer. Jest to niepokojące, ponieważ właściciele witryn nie powinni wybierać między bezpieczeństwem a dobrą wydajnością witryny.

Sucuri

W ustawieniach ogólnych Sucuri dostępna jest opcja przechowywania danych, która wskazuje, że wiele danych, głównie dzienników, jest przechowywanych w samej witrynie. Dlatego potrzebny jest klucz API, ponieważ dane są przechowywane w folderze przesyłania, który jest domyślnie dostępny publicznie. Chociaż istnieje opcja zmiany lokalizacji przechowywania na folder niepubliczny, dziwne jest, że nie jest to ustawienie domyślne.

Ważne jest, aby właściciele witryn byli świadomi potencjalnego wpływu na zasoby serwera podczas korzystania z usług skanowania Sucuri i rozważyli odpowiednie dostosowanie swoich ustawień.

Rozbłysk chmur

Cloudflare może poprawić wskaźniki wykorzystania serwera, zapobiegając złym żądaniom za pomocą zapory ogniowej. Nie zapewnia skanera ani czyszczenia złośliwego oprogramowania, które zwykle zajmuje zasoby serwera. Dlatego jest to lepsze dla wydajności niż bezpieczeństwa.

Alerty

Sucuri ma szczegółowe ustawienia alertów, a Cloudflare ich nie ma.

Sucuri

Ustawienia alertów bezpieczeństwa Sucuri są bardzo szczegółowe i szczegółowe, co może być zarówno błogosławieństwem, jak i przekleństwem. Z jednej strony użytkownicy mogą dostosować otrzymywane alerty, a nawet wybrać format i odbiorcę tych alertów. Możliwe jest również wykluczenie niektórych zakresów adresów IP z oflagowania, co jest przydatną funkcją.

Jednak język używany w ustawieniach może być mylący dla osób niebędących ekspertami. Terminy takie jak „bezklasowy routing między domenami” mogą być zastraszające i trudne do zrozumienia. Ostatecznie większość użytkowników chce po prostu, aby ich witryna była bezpieczna bez konieczności poruszania się po skomplikowanym technicznym żargonie.

Sucuri przyznaje, że zbyt wiele alertów może być przytłaczających, i oferuje ustawienie ograniczające liczbę alertów otrzymywanych na godzinę do maksymalnie pięciu e-maili. Chociaż ta funkcja może początkowo wydawać się przydatna, należy pamiętać, że najbardziej krytyczne alerty mogą zostać utracone w zalewie fałszywych alarmów. Sucuri zapewnia zrzeczenie się odpowiedzialności za to ograniczenie, ale ważne jest, aby dokładnie rozważyć zalety i wady tej funkcji.

Rozbłysk chmur

Podczas naszych testów Cloudflare nie wygenerowało żadnych alertów i nie znaleźliśmy żadnych ustawień do konfiguracji powiadomień na platformie.

Instalacja, konfiguracja i użyteczność

Oba są dość trudne do skonfigurowania bez pomocy z zewnątrz.

Sucuri

Mamy wiele do powiedzenia na temat użyteczności i konfiguracji Sucuri. Więc zacznijmy:

Instalacja

Instalacja Sucuri jest zwykle prostym procesem, ale konfiguracja zapory wymaga nieco więcej uwagi. Dokumentacja instruuje użytkowników, aby zmienili rekord DNS A, aby wskazywał adresy IP zapory Sucuri, która przekierowuje cały ruch na ich serwery w celu filtrowania. Ten proces dodaje dodatkową warstwę bezpieczeństwa, zapewniając, że do Twojej witryny dociera tylko legalny ruch. Jeśli jednak nie masz doświadczenia z rekordami DNS lub dostępu do nich, proces ten może być nieco skomplikowany.

Nasze witryny testowe nie miały nazw domen, więc nie mogliśmy wskazać im zapory sieciowej Sucuri. Mimo że udało nam się kupić plan zapory sieciowej dla jednej z witryn testowych bez żadnych problemów, automatyczna integracja nie była możliwa, ponieważ Sucuri nie oferowało cPanel ani Plesk. Aby kontynuować testowanie, musieliśmy upewnić się, że wewnętrzny link do domeny działa poprawnie i prawidłowo ładuje witrynę, co się udało.

Próbowaliśmy użyć serwerów DNS Sucuri, ale wahaliśmy się przed wprowadzeniem zmiany, ponieważ obawialiśmy się, że nie będziemy w stanie jej przywrócić. Chociaż nasza pierwsza próba zakończyła się niepowodzeniem, udało nam się pomyślnie zainstalować zaporę na innej stronie testowej, która zawierała wspomnianą wcześniej stronę dzienników kontroli.

Użyteczność

Użyteczność Sucuri jest trudna ze względu na złożoność jego ustawień. Zrozumienie terminów technicznych używanych we wtyczce wymaga pewnego wysiłku. W niektórych przypadkach wtyczka sugeruje zalecane ustawienia, ale użytkownik może być zmuszony działać na ślepo. Niestety, problem polega na tym, że skaner złośliwego oprogramowania Sucuri jest nieskuteczny, co zmniejsza zaufanie do możliwości wtyczki.

Byłoby pomocne, gdyby wtyczka Sucuri była bardziej przyjazna dla użytkownika. Chociaż wydaje się, że oferuje przyzwoitą funkcjonalność, trudno być pewnym, ponieważ kluczowe funkcje, takie jak ochrona przed brutalną siłą, nie wydają się skuteczne.

Funkcje po włamaniu

Po zbadaniu tych funkcji zidentyfikowaliśmy pewne wady. Na przykład zmiana soli WordPress z pulpitu nawigacyjnego może być ryzykowna, ponieważ jest widoczna w postaci zwykłego tekstu i dostępna dla wszystkich administratorów zalogowanych do wp-admin. Ta funkcja powinna być używana tylko po sprawdzeniu, że żadne z kont administratora nie zostało przejęte, co nie jest podkreślane.

Funkcja resetowania hasła użytkownika jest obiecująca, ale jest pewien haczyk. Użytkownicy są wybierani z listy w celu zmiany hasła, zakończenia sesji i otrzymania linku do resetowania hasła pocztą elektroniczną. Jednak wtyczka zmienia hasła przed wysłaniem wiadomości e-mail, więc użytkownicy mogą zostać zablokowani w witrynie, jeśli serwer WWW nie wyśle ​​wiadomości e-mail.

Resetowanie zainstalowanych wtyczek jest tylko umiarkowanie przydatne w przypadku darmowych wtyczek. Wtyczki premium nadal wymagają ponownej instalacji, podczas gdy motywy nie są wymienione, prawdopodobnie dlatego, że może to spowodować utratę dostosowań. Jeśli potrzebujesz tej funkcji z powodu włamania, lepiej jest użyć narzędzia do usuwania złośliwego oprogramowania zamiast ponownej instalacji wszystkiego.

Dostępna funkcja aktualizacji wtyczek i motywów zapewnia podstawowe zarządzanie wersjami i nie rozszerza istniejącej funkcjonalności pulpitu nawigacyjnego wp-admin. Niemniej jednak może pomóc edukować użytkowników w zakresie związku między przestarzałymi wtyczkami i motywami a zagrożeniami bezpieczeństwa.

Konfiguracja

Po uzyskaniu dostępu do pulpitu nawigacyjnego wp-admin początkowo byliśmy pod wrażeniem jego układu. Zauważyliśmy jednak, że największy infobox dotyczył integralności WordPressa, który wydawał się być przebraną wersją monitora zmian plików. Chociaż ta funkcja może okazać się przydatna w pewnych sytuacjach, może być również myląca dla niedoświadczonych użytkowników, którzy mogą sądzić, że jest to jedyne narzędzie potrzebne do wykrywania złośliwego oprogramowania.

Gdy zagłębiliśmy się w ustawienia, natknęliśmy się na narzędzie do porównywania integralności, którego można użyć do porównania podstawowych plików i wykrycia różnic. Ta funkcja może być bardziej przyjazna dla użytkownika niż narzędzie do sprawdzania różnic online. Odkryliśmy jednak również, że niektóre ustawienia, takie jak oprogramowanie do analizy dzienników i odwrotne proxy, mogą być trudne do zrozumienia dla użytkowników nietechnicznych. Frustrujące było otrzymywanie protekcjonalnych instrukcji, aby uniknąć pewnych opcji, chyba że wiedzieliśmy, czym jest odwrotne proxy. Ogólnie rzecz biorąc, złożoność ustawień może być przytłaczająca dla niektórych użytkowników.

Rozbłysk chmur

Instalacja i aktywacja wtyczki Cloudflare to prosty proces, który wymaga zarejestrowania konta Cloudflare i zweryfikowania adresu e-mail. Jednak konfiguracja wtyczki może być złożonym procesem, szczególnie dla użytkowników, którzy nie są zaznajomieni z konfiguracją DNS. Zapora działa poprzez ustawienia DNS, które muszą zostać odpowiednio zweryfikowane, aby upewnić się, że działa zgodnie z przeznaczeniem. Ponadto zmiana serwerów nazw jest konieczna do prawidłowego działania zapory.

Ważną informacją jest to, że połączenie wp-admin z kontem Cloudflare wymaga klucza API, który można znaleźć w sekcji tokenów API na pulpicie nawigacyjnym Cloudflare. Konieczne jest użycie klucza API zamiast identyfikatora strefy lub identyfikatora konta, ponieważ nie będą one działać. Jednak nawet z kluczem API proces konfiguracji może być trudny i może wymagać pomocy z zewnątrz.

Dodatki

Sucuri

Utwardzające funkcje Sucuri są niezbędne do poprawy bezpieczeństwa witryny, ale mogą również wpływać na wrażenia użytkownika. Na przykład wyłączenie edytora wtyczek i motywów może utrudnić wprowadzanie pewnych zmian w witrynie. Ponadto, chociaż firma twierdzi, że blokuje wszystkie pliki PHP, może to dotyczyć tylko zdalnego uruchamiania plików PHP w folderze include, ponieważ zablokowanie wszystkich plików PHP na stronie internetowej uniemożliwiłoby jej działanie.

Jednak zastrzeżenie dotyczące niektórych wtyczek i motywów wymagających dostępu do plików PHP w tych folderach nie jest wystarczające. Sucuri sami zapisują pliki PHP w folderze przesyłania, ale nie jest jasne, czy potrzebują dostępu do własnych plików z zewnętrznego pulpitu nawigacyjnego, czy też jest to wyjątek od reguły. Wskazuje to, że zasady wdrażania środków bezpieczeństwa mogą być elastyczne w sposób, który nie jest od razu jasny dla użytkownika.

Dokumentacja dotycząca komunikacji usługi API może być myląca, a zrozumienie ustawień i ocena ich wpływu na bezpieczeństwo może wymagać znacznej ilości czasu.

Rozbłysk chmur

Cloudflare oferuje opcję konfiguracji SSL, ale ponieważ nasz rejestrator domen dostarczył bezpłatny certyfikat SSL, nie wykorzystaliśmy Cloudflare do tego celu.

Cloudflare zapewnia również kilka funkcji, które replikują funkcje zwykle występujące w pliku .htaccess, w tym przepisywanie adresów URL w celu uzyskania ładniejszych adresów URL, reguły stron do przekierowywania ruchu oraz reguły przekierowań dla przekierowań 301 i 302. Ponadto reguły przekształcania mogą służyć do dodawania nagłówków zabezpieczeń do witryny.

Czego brakuje?

Sucuri

Wydajność skanera złośliwego oprogramowania Sucuri pozostawia wiele do zrobienia. Funkcja ochrony logowania przed brutalną siłą może nie spełniać oczekiwań i może obciążać zasoby serwera. Ponadto brakuje natywnej ochrony przed botami, co jest rozczarowujące. Uwierzytelnianie dwuskładnikowe również nie jest wbudowane i wymaga zainstalowania oddzielnej wtyczki. Obszary te stanowią dla Sucuri możliwości ulepszenia swoich funkcji.

Rozbłysk chmur

Jeśli chodzi o bezpieczeństwo, w Cloudflare brakuje kilku elementów. Jednym z największych jest brak skanera i czyścika. Są one niezbędne do pełnego bezpieczeństwa WordPress, ponieważ mogą wykrywać i usuwać złośliwe oprogramowanie w Twojej witrynie. Ponadto, chociaż Cloudflare oferuje pewne funkcje bezpieczeństwa, takie jak ochrona przed atakami DDoS i zapora ogniowa, nie ma funkcji bezpieczeństwa specyficznych dla logowania, takich jak ochrona przed brutalną siłą. Można argumentować, że DDoS jest większym zagrożeniem, ale faktem jest, że witryny WordPress rzadko doświadczają ataków DDoS.

cennik

Sucuri jest w lepszej cenie i ma więcej funkcji.

Sucuri

Gdyby skaner złośliwego oprogramowania i zapora ogniowa Sucuri były skuteczne, cena 199 USD rocznie byłaby rozsądna. Jednak w porównaniu z podstawowym planem MalCare, który jest tańszy i skuteczniejszy w ochronie witryn, ceny Sucuri są nieuzasadnione.

Rozbłysk chmur

Ceny Cloudflare mogą być stosunkowo wysokie, a plany zaczynają się od 20 USD miesięcznie za witrynę. Jednak darmowa wersja Cloudflare oferuje kilka przydatnych funkcji, takich jak podstawowa ochrona przed botami, niezawodny CDN i podstawowa zapora sieciowa.

Najlepsze alternatywy dla Sucuri i Cloudflare

Z naszej oceny wynika, że ​​ani Sucuri, ani Cloudflare nie kwalifikują się jako najlepsze wtyczki bezpieczeństwa. Opcje te stwarzają poważne problemy, w tym nieskuteczne funkcje bezpieczeństwa i frustrację.

Którą wtyczkę wybrać dla maksymalnego bezpieczeństwa? Naszym zdaniem MalCare wyróżnia się jako najlepszy wybór. Jego skaner, usuwanie złośliwego oprogramowania, zapora ogniowa i ogólna użyteczność są znacznie lepsze niż w przypadku innych wtyczek.

Która wtyczka bezpieczeństwa jest warta twoich pieniędzy?

Wybór najlepszej wtyczki zabezpieczającej dla Twojej witryny lub aplikacji może być trudnym zadaniem, biorąc pod uwagę mnogość dostępnych opcji. Aby ten proces był mniej przytłaczający, konieczne jest skupienie się na kluczowych funkcjach bezpieczeństwa, które powinny być Twoim najwyższym priorytetem przy wyborze wtyczki. Sporządziliśmy listę tych podstawowych funkcji, a także podkreśliliśmy kilka dodatkowych funkcji, które mogą jeszcze bardziej ulepszyć Twoje środki bezpieczeństwa.

Podstawowe funkcje bezpieczeństwa

  • Skaner złośliwego oprogramowania: czy wtyczka przeprowadza regularne skanowanie w poszukiwaniu złośliwego kodu lub plików?
  • Czyszczenie złośliwego oprogramowania: czy wtyczka może usuwać wykryte złośliwe oprogramowanie?
  • Zapora ogniowa: czy działa jako bariera między witryną a Internetem, blokując próby nieautoryzowanego dostępu i zapobiegając złośliwemu ruchowi?

Funkcje, które warto mieć

  • Skaner luk w zabezpieczeniach: czy może zidentyfikować słabe strony wtyczek i motywów, które mogą zostać wykorzystane?
  • Ochrona logowania przed brutalną siłą: czy zapobiega atakom brutalnej siły, zapobiegając wielokrotnym próbom logowania?
  • Dziennik aktywności: monitoruje podejrzaną aktywność w witrynie.
  • Uwierzytelnianie dwuskładnikowe: wymaga od użytkowników wprowadzenia kodu wysłanego na ich telefon lub e-mail oprócz hasła.

Potencjalne problemy

  • Wpływ na serwer: niektóre wtyczki mogą wymagać dużej ilości zasobów, powodując spowolnienie lub awarię witryny/aplikacji.

Końcowe przemyślenia

Podstawowymi elementami, które należy wziąć pod uwagę we wtyczce bezpieczeństwa, są skaner, program czyszczący i zapora ogniowa. Dodatkowe funkcje można uzyskać za pomocą alternatywnych wtyczek. Niestety zarówno Sucuri, jak i Cloudflare zawodzą w tych kluczowych obszarach. Aby uzyskać bezproblemową wtyczkę bezpieczeństwa, która skutecznie zabezpieczy Twoją witrynę, zalecamy MalCare jako optymalny wybór.

Często zadawane pytania

Czy potrzebuję Sucuri i Cloudflare?

Nie. Nie potrzebujesz obu. Zarówno Sucuri, jak i Cloudflare mają podobieństwa, takie jak zapora ogniowa, ochrona przed atakami DDoS i CDN. Sucuri ma dodatkowo rzeczywiste funkcje bezpieczeństwa, takie jak skaner złośliwego oprogramowania i usuwanie. Ze względów bezpieczeństwa rozważ użycie MalCare, która jest lepszą wtyczką bezpieczeństwa w porównaniu do Sucuri.

Który jest lepszy? Wordfence czy Sucuri?

Wordfence jest lepszy. Skaner jest bardziej wydajny. Firewall był łatwiejszy do zainstalowania. Usuwanie złośliwego oprogramowania jest znacznie droższe. Lepszy od obu? MalCare.