Sucuri vs Sitelock: która wtyczka jest lepszą bezpieczeństwem

Opublikowany: 2023-04-07

Jeśli prowadziłeś badania na temat najlepszych wtyczek do bezpieczeństwa WordPress, prawdopodobnie natknąłeś się na Sucuri i Sitelock . Te dwie popularne wtyczki oferują szereg funkcji, które mogą pomóc chronić Twoją witrynę przed zagrożeniami internetowymi. Jednak wybór między nimi może być przytłaczający, zwłaszcza przy porównywaniu czynników, takich jak koszt, łatwość użytkowania i funkcje. Istnieje również tak wiele technicznego żargonu, że może być trudno się przebić. Jesteśmy z Tobą!

Porównaliśmy Sucuri z Sitelock i zebraliśmy wszystkie kluczowe informacje dotyczące bezpieczeństwa. Uprościliśmy również informacje, abyś mógł wybrać najlepszą opcję dla swojej witryny.

Sucuri to przyzwoita wtyczka bezpieczeństwa w porównaniu do Sitelock. Chociaż ich skaner nie jest doskonały, ich usługa usuwania złośliwego oprogramowania jest na najwyższym poziomie. Zapora sieciowa skutecznie blokuje większość zagrożeń i ogólnie Sucuri ma znacznie lepszą wartość. Szczerze mówiąc, Sitelock jest po prostu okropny. Aby zapewnić najlepsze bezpieczeństwo swojej witryny WordPress, zainstaluj MalCare.

Sucuri w skrócie

Sucuri jest zdecydowanie jedną z najpopularniejszych wtyczek, ale ma problemy. Na początek skaner złośliwego oprogramowania jest zawodny. Zasadniczo nie złapie wszystkich złych rzeczy, które znajdują się w Twojej witrynie. Jednak dobrą wiadomością jest to, że usługa usuwania złośliwego oprogramowania Sucuri jest skuteczna. Jednak odpowiedź wymaga czasu, a to może być bardzo stresujące, gdy Twoja witryna zostanie zhakowana.

Bezpieczeństwo Sucuri

Firewall to inna historia. Działa świetnie, ale konfiguracja była naprawdę trudna. Zasadniczo musieliśmy pokombinować z ustawieniami DNS, aby wskazywały na serwer zapory sieciowej Sucuri zamiast na naszą stronę testową. Szczerze mówiąc, prawdopodobnie nie napotkasz tego problemu w swojej aktywnej witrynie. Chyba że nie masz dostępu do swojego rejestratora domen, w takim przypadku będzie to wyboista jazda.

Jedną z rzeczy, które naprawdę nas irytowały, było to, jak wszystko było skomplikowane. Język, którego używa Sucuri, jest mylący i na granicy protekcjonalności. Ponadto każde skanowanie zabezpieczeń spowalniało nasze witryny testowe i powodowało gwałtowny wzrost wykorzystania dysku serwera. Okazuje się, że Sucuri wykorzystuje zasoby witryny do skanowania w poszukiwaniu złośliwego oprogramowania, co przynosi efekt przeciwny do zamierzonego. Nawiasem mówiąc, Wordfence jest również temu winny.

Podsumowując, Sucuri to przyzwoita opcja, ale zdecydowanie ma pewne wady. Pamiętaj tylko, że skaner nie jest doskonały, a konfiguracja zapory może być koszmarem.

Sitelock w skrócie

Sitelock wydaje się zawodzić na wielu frontach. Konfiguracja może być trudna i często nie działa zgodnie z przeznaczeniem. Krytyczne funkcje bezpieczeństwa, takie jak skaner i usuwanie, są okropne i w ogóle nie działają.

Zabezpieczenia SiteLocka

Wydaje się, że nawet drugorzędne funkcje bezpieczeństwa, takie jak uwierzytelnianie dwuskładnikowe, nie działają prawidłowo. Trudno zrozumieć, dlaczego ta wtyczka jest w ogóle dostępna na rynku, biorąc pod uwagę liczne problemy, które wydaje się mieć. Ogólnie rzecz biorąc, wydaje się, że Sitelock pozostawia wiele do życzenia pod względem funkcjonalności i skuteczności.

Sucuri vs Sitelock: Bezpośrednie porównanie funkcji bezpieczeństwa

Chociaż zarówno Sitelock, jak i Sucuri zostały zaprojektowane w celu zapewnienia kompleksowego bezpieczeństwa stron internetowych, mają wyraźne różnice w ich funkcjach i możliwościach. Przyjrzymy się ich kluczowym funkcjom, takim jak skanowanie i usuwanie złośliwego oprogramowania, zapora aplikacji internetowych i inne. Pod koniec tej sekcji będziesz mieć jasne zrozumienie mocnych i słabych stron zarówno Sitelock, jak i Sucuri.

Skaner złośliwego oprogramowania

Sucuri złapał część złośliwego oprogramowania, ale jest świnią zasobów. Sitelock nic nie złapał.

Porozmawiajmy o skanerze złośliwego oprogramowania Sucuri. Udało mu się złapać niektóre złośliwe oprogramowanie na naszych wielu witrynach testowych.

Dostępne jest zarówno skanowanie codzienne, jak i na żądanie, ale oto haczyk: mogą one pochłaniać zasoby serwera i spowalniać Twoją witrynę. Ponadto, nawet jeśli wybierzesz skanowanie tylko niektórych plików i folderów w celu zmniejszenia zużycia pamięci, nie jest to niezawodne. Złośliwe oprogramowanie może nadal ukrywać się gdzieś indziej.

Skaner złośliwego oprogramowania Sucuri

Aby włączyć skaner po stronie serwera, musisz ręcznie przesłać plik na serwer WWW lub zezwolić Sucuri na użycie poświadczeń FTP. Ale potem natknęliśmy się na ustawienie o nazwie „Dozwolone ścieżki adresów URL”, które naszym zdaniem oznacza, że ​​możemy dodawać foldery, których nie chcemy skanować. Jednak ikona pomocy nie była zbyt pomocna, informując jedynie, że wszelkie dodane łącza spowodują wyłączenie ostrzeżeń dotyczących tych ścieżek.

Z drugiej strony, kiedy poprosiliśmy o usunięcie złośliwego oprogramowania, Sucuri była w stanie usunąć wszystkie wystąpienia złośliwego oprogramowania z witryny. Ale potem, kilka godzin później, podczas codziennego skanowania, ponownie oznaczył złośliwe oprogramowanie i zasugerował kolejne czyszczenie. Porozmawiaj o przejażdżce kolejką górską!

Podczas naszych testów skaner złośliwego oprogramowania Sitelock okazał się nieskuteczny. Pomimo przeprowadzania codziennych skanów skaner nie wykrył żadnego złośliwego oprogramowania w naszej witrynie testowej. Przeprowadziliśmy nawet skanowanie na żądanie, ale nadal nie wykryto żadnego złośliwego kodu. Zaskoczyło nas, że Sitelock dał stronie czysty rachunek, mimo że była mocno zainfekowana. Użytkownicy mogą dostosować częstotliwość automatycznego skanowania, ale dozwolone jest tylko jedno skanowanie na żądanie dziennie.

Czyszczenie złośliwego oprogramowania

Zespół wsparcia Sucuri był w stanie wyczyścić naszą witrynę, ale zajęło to 12 godzin. Nie mogliśmy przetestować funkcji usuwania złośliwego oprogramowania Sitelock, ponieważ nie oznaczała ona żadnego złośliwego oprogramowania.

Chociaż Sucuri dał naszej zaatakowanej przez hakerów kartę zdrowia, skontaktowaliśmy się z zespołem pomocy technicznej, aby znaleźć usługę sprzątania. Odpowiedzieli z 12-godzinnym czasem realizacji. Wykonali wyjątkową pracę, eliminując złośliwe oprogramowanie. Jedyne, czego wymagali, to nasze dane uwierzytelniające FTP.

Po zakończeniu czyszczenia wskazali dwie z trzech podatnych na ataki wtyczek, których używaliśmy w naszych eksperymentach, i poprosili nas o ich aktualizację. Przedstawili nam również zestaw środków bezpieczeństwa, których należy przestrzegać po zakończeniu sprzątania.

Niestety, złośliwe oprogramowanie nie jest znane z tego, że cierpliwie czeka, więc jest to bardzo długie — i stresujące — oczekiwanie. Aby uzyskać szybszy czas odpowiedzi, musisz uaktualnić swój plan.

Funkcja automatycznego usuwania złośliwego oprogramowania Sitelock, SMART, była niedostępna do testów z powodu problemów z łącznością FTP. Niepowodzenie skanera Sitelock w wykrywaniu złośliwego oprogramowania budzi wątpliwości co do skuteczności jego automatycznego czyszczenia. Ponadto nie jest jasne, w jaki sposób funkcja usuwania złośliwego oprogramowania przez ekspertów będzie działać, jeśli skaner nie może zidentyfikować złośliwego oprogramowania.

Zapora ogniowa

Zapora Sucuri była trudna do zainstalowania, ale w większości skuteczna. Sitelock nie ma zapory ogniowej w podstawowym planie, który zainstalowaliśmy.

Poddaliśmy go testowi i skutecznie blokował ataki, takie jak iniekcje SQL, iniekcje zdalne i ataki typu cross-site scripting. Nasza strona testowa była pełna luk w zabezpieczeniach, ale zapora ogniowa była silna i chroniła ją przed szkodami.

Mieliśmy jednak jeden problem z zaporą ogniową: jej instalacją. Sucuri ma tak zwaną zaporę DNS, w przeciwieństwie do zapór opartych na wtyczkach lub zaporach sieciowych. Aby aktywować zaporę ogniową, musisz skierować ruch na ich serwery, które odfiltrują złośliwy ruch i wyślą tylko dobry ruch do Twojej witryny.

To może brzmieć jak świetny pomysł, ale, rany, czy to było trudne do skonfigurowania. Nasze strony testowe nie były podłączone do żadnych rejestratorów domen, więc musieliśmy wezwać nasz zespół inżynierów, aby to rozgryźć. Powiedzmy, że nie była to najpłynniejsza jazda, ale w końcu dotarliśmy na miejsce. Mówiliśmy o tym więcej w sekcji dotyczącej instalacji.

Każdy, kto nie ma dostępu do swoich rejestratorów domen lub ustawień DNS, będzie miał trudności z zainstalowaniem zapory sieciowej Sucuri.

Podstawowy plan oferowany przez Sitelock nie obejmuje zapory ogniowej ani ochrony przed botami, co oznacza, że ​​nie byliśmy w stanie przetestować tych funkcji podczas naszej oceny. Niezadowalający.

Wykrywanie luk w zabezpieczeniach

Sucuri był w stanie wykryć 2 z 3 podatnych na ataki wtyczek. Wykryto blokadę witryny 0.

Wykrywanie luk w zabezpieczeniach Sucuri jest co najwyżej średnie, ale przynajmniej istnieje. Przy włączonym skanerze po stronie serwera był w stanie wykryć dwie z trzech podatnych na ataki wtyczek w naszej witrynie. Chociaż nie jest to 100% skuteczność, nadal jest to solidny wysiłek — coś, co doceniliśmy po przetestowaniu innych tak zwanych wtyczek bezpieczeństwa.

Pomimo twierdzeń Sitelock, że ma wykrywanie luk w zabezpieczeniach, nasze testy wykazały, że nie udało się zidentyfikować żadnych luk w naszej witrynie. Funkcja skanera, która obejmuje wykrywanie luk w zabezpieczeniach w celu wstrzyknięcia SQL i XSS, dała czyste wyniki, mimo że w naszej witrynie istniały oba rodzaje luk. Jest to znacząca awaria ze strony Sitelock.

Brutalna ochrona logowania

Oba nie powiodły się.

Aby przetestować ochronę logowania Sucuri przed brutalną siłą, zmieniliśmy ustawienie na 30 nieudanych logowań na godzinę. Początkowo byliśmy trochę zaniepokojeni ustawieniami blokady i zablokowaniem dostępu do strony.

Jednak kiedy próbowaliśmy przetestować system, próbując ponad 40 błędnych logowań w ciągu 3 minut, byliśmy rozczarowani, gdy stwierdziliśmy, że Sucuri nie podniosła alertu. Sprawdziliśmy dzienniki kontroli i stwierdziliśmy, że rejestrowano nieudane próby uwierzytelnienia, ale nie mogliśmy zrozumieć, dlaczego Sucuri nie powiadomiła nas o ataku. Było to niepokojące, ponieważ brak alertu mógł narazić witrynę na dalsze ataki.

Czy wyczuwasz już trend? Sitelock nie zapewnia ochrony logowania przed użyciem siły, która jest podstawową funkcją zapobiegającą nieautoryzowanemu dostępowi do strony internetowej.

Dziennik aktywności

Sucuri ma świetne logi, a Sitelock nie ma żadnych.

Logi są ważne. Pomagają śledzić, co dzieje się w Twojej witrynie, np. kto, co i kiedy robi.

Aby upewnić się, że te dzienniki są bezpieczne przed atakującymi, Sucuri potrzebuje klucza API do przechowywania danych o Twojej witrynie poza witryną. W ten sposób nawet jeśli ktoś spróbuje usunąć logi, nie będzie w stanie tego zrobić.

Dobra wiadomość jest taka, że ​​dzienniki działają świetnie! Rejestrują czas, użytkownika i akcję, co jest bardzo pomocne. Jedynym minusem jest to, że czasami aktualizacje mogą być nieco niejasne. Na przykład, gdy instalujesz nową wtyczkę, może się ona wyświetlać jako „wtyczka aktywowana”, aw dzienniku może znajdować się jeszcze siedem wpisów, które pokazują, w jaki sposób instalacja wpłynęła na rzeczy. Ale niestety nie ma zbyt wielu wyjaśnień na temat tego, co te wpisy tak naprawdę oznaczają.

Niespodzianka niespodzianka! Sitelock nie ma funkcji dziennika aktywności, która mogłaby być przydatna do monitorowania i śledzenia aktywności użytkownika na stronie internetowej.

Uwierzytelnianie dwuskładnikowe

Sucuri nie ma go dla witryn WordPress. Sitelock twierdzi, że tak, ale nie mogliśmy pomyślnie skonfigurować.

Włączenie 2FA na koncie Sucuri jest możliwe, ale obecnie nie jest dostępne dla Twojej witryny WordPress.

Konfigurowanie 2FA w Sucuri

Chociaż Sitelock oferuje uwierzytelnianie dwuskładnikowe, nasze doświadczenia z nim były rozczarowujące. Próbowaliśmy użyć opcji wiadomości tekstowej, ale napotkaliśmy komunikat o niepowodzeniu, gdy kliknęliśmy, aby przetestować konfigurację. Ponadto nasze próby skonfigurowania weryfikacji mobilnej również zakończyły się niepowodzeniem.

Konfigurowanie 2FA w sitelocku

Wykorzystanie zasobów serwera

Sucuri pochłania zasoby, ale Sitelock ma minimalny wpływ na serwer.

Skanery Sucuri mają ogromny wpływ na zasoby serwera. Tak bardzo, że nawet zniechęcają do częstych skanów z tego powodu, co nie jest wspaniałe. Dlaczego miałbyś wybierać między bezpieczeństwem a dobrą wydajnością i rozsądnymi rachunkami za serwer?

Sucuri

Tak więc w ustawieniach ogólnych Sucuri dostępna jest opcja przechowywania danych, która wydaje się wskazywać, że wiele danych (głównie dzienniki) jest przechowywanych w samej witrynie. Dlatego potrzebny jest klucz API, ponieważ dane są przechowywane w folderze przesyłania, który jest domyślnie dostępny publicznie. Istnieje opcja zmiany miejsca przechowywania na folder niepubliczny, ale to dziwne, że nie jest to ustawienie domyślne.

Skaner Sitelock nie miał znaczącego wpływu na nasze wykorzystanie dysku, co jest pozytywnym aspektem wtyczki. Oznacza to, że korzystanie z Sitelock do zabezpieczania witryny nie powoduje niepotrzebnego obciążenia zasobów serwera. Oczywiście oznacza to również, że nie otrzymujesz żadnych zabezpieczeń.

Alerty

Sucuri ma szczegółowe ustawienia, które są mylące. Sitelock ma ustawienia przełączania, które są mylące.

Ustawienia, dla których mają być otrzymywane alerty bezpieczeństwa, są naprawdę szczegółowe i szczegółowe, ale obawa polega na tym, że może być zbyt dużo hałasu i możesz przegapić ważne rzeczy w całym bałaganie.

Możesz skonfigurować alerty, które mają być wysyłane do określonych osób, a nawet dostosować format alertów. Możesz także dodać zakresy adresów IP, aby te adresy nie były oznaczane dla alertów, co jest całkiem fajne. Ale bądźmy szczerzy, język, którego używają, może być dość mylący. Co to jest „bezklasowy routing między domenami”? Nikt nie ma czasu na to wszystko. Chcemy tylko, aby nasza strona internetowa była bezpieczna i stabilna.

Sucuri wydaje się wiedzieć, że mogą wysyłać zbyt wiele alertów, więc mają ustawienie, w którym można skonfigurować maksymalną liczbę alertów otrzymywanych w ciągu godziny, na przykład do 5 e-maili. Ale o to chodzi: co jeśli pierwsze 5 to wszystkie fałszywe alarmy, a szósty jest rzeczywiście uzasadniony? Mają na to zastrzeżenie, ale nadal lepiej jest mieć rzeczywiste informacje niż bezużyteczną funkcję, prawda?

Sitelock ma funkcję umożliwiającą użytkownikom włączanie i wyłączanie powiadomień o problemach bezpieczeństwa z pulpitu nawigacyjnego. Jednak natura tych alertów nie jest jasna, przez co użytkownicy nie są pewni, czego się spodziewać.

Instalacja, konfiguracja i użyteczność

Oba były dla nas trudne do zainstalowania.

Jest wiele do powiedzenia na temat instalacji, konfiguracji i użytkowania Sucuri. Więc podzielmy to:

Instalacja

Proces instalacji Sucuri jest ogólnie prosty, z wyjątkiem konfiguracji zapory ogniowej, która wymaga nieco więcej uwagi. Jeśli chodzi o instalację zapory ogniowej, dokumentacja Sucuri stwierdza, że ​​wystarczy zmienić rekord DNS A, aby wskazywał adresy IP ich zapory ogniowej. Ten krok przekieruje cały ruch na ich serwery, gdzie można go filtrować pod kątem złośliwej zawartości. Ten proces gwarantuje, że do Twojej witryny przekazywany jest tylko legalny ruch, co zapewnia dodatkową warstwę bezpieczeństwa. Jeśli masz doświadczenie z rekordami DNS, proces powinien być stosunkowo prosty.

Niestety, nasze strony testowe nie mają nazw domen i nie mamy dostępu do ich serwerów nazw, co uniemożliwia nam skierowanie ich do zapory sieciowej Sucuri. Chociaż udało nam się kupić plan zapory ogniowej dla jednej z witryn testowych bez żadnych problemów, nie byliśmy w stanie automatycznie go zintegrować, ponieważ Cloudways nie oferuje cPanel ani Plesk.

Aby przystąpić do testów, musieliśmy upewnić się, że wewnętrzny link do domeny działa poprawnie i prawidłowo ładuje naszą witrynę, co się udało. Następnie próbowaliśmy użyć serwerów DNS Sucuri, ale wahaliśmy się, czy to zrobić z obawy, że nie będziemy w stanie cofnąć zmian.

Nasza pierwsza próba zakończyła się niepowodzeniem, ponieważ domena nie była zarządzana przez nasze konto. Udało nam się jednak pomyślnie zainstalować zaporę na innej stronie testowej, która zawierała wspomnianą wcześniej stronę dzienników kontroli.

Możesz nie napotkać tych problemów w działającej witrynie, chyba że nie masz dostępu do jej ustawień DNS. W takim przypadku będziesz potrzebować pomocy inżyniera, aby go skonfigurować.

Użyteczność

Ustawienia Sucuri mogą być trudne w nawigacji ze względu na używaną terminologię techniczną, której zrozumienie może zająć dużo czasu. Chociaż wtyczka zapewnia pewne zalecane ustawienia, użytkownicy mogą być zmuszeni do ślepego zaufania sugestiom. Dodatkowo zakwestionowano skuteczność skanera złośliwego oprogramowania Sucuri, co może budzić wątpliwości co do ogólnych możliwości wtyczki.

Funkcje po włamaniu

Po zbadaniu tej funkcji odkryliśmy pewne wady.

Na przykład aktualizacja tajnych kluczy poprzez zmianę soli WordPress z pulpitu nawigacyjnego jest ryzykowna, ponieważ jest w postaci zwykłego tekstu i jest widoczna dla wszystkich administratorów zalogowanych do wp-admin. Hakerzy z dostępem administratora stanowią poważne zagrożenie, a tej funkcji należy używać tylko po potwierdzeniu, że żadne z kont administratora nie zostało naruszone, co nie jest podkreślane.

Funkcja resetowania hasła użytkownika wydaje się obiecująca, ale ma zastrzeżenie. Użytkownicy są wybierani z listy w celu zmiany hasła, zakończenia sesji i otrzymania linku do resetowania hasła pocztą elektroniczną. Jednak wtyczka zmienia hasła przed wysłaniem wiadomości e-mail, więc użytkownicy mogą zostać zablokowani w witrynie, jeśli serwer WWW nie wyśle ​​wiadomości e-mail.

Resetowanie zainstalowanych wtyczek jest tylko nieznacznie przydatne w przypadku darmowych wtyczek. Wtyczki premium nadal wymagają ponownej instalacji, podczas gdy motywy nie są wymienione, prawdopodobnie dlatego, że może to spowodować utratę dostosowań. Zamiast ponownie instalować wszystko, zaleca się wyczyszczenie kodu.

Dostępna funkcja aktualizacji wtyczek i motywów zapewnia tylko podstawowe zarządzanie wersjami i nie rozszerza funkcjonalności istniejącego pulpitu administratora. Niemniej jednak może edukować użytkowników na temat związku między nieaktualnymi wtyczkami i motywami a zagrożeniami bezpieczeństwa.

Konfiguracja

Początkowo byliśmy pod wrażeniem układu pulpitu nawigacyjnego wp-admin. Zauważyliśmy jednak, że największy infoboks skupiał się na integralności WordPressa, który jest ukrytym monitorem zmian plików. Chociaż ta funkcja może okazać się przydatna w niektórych sytuacjach, niedoświadczeni użytkownicy mogą pomyśleć, że jest to jedyne narzędzie niezbędne do wykrywania złośliwego oprogramowania.

Podczas dalszej eksploracji ustawień odkryliśmy narzędzie do porównywania integralności, którego można użyć do porównania podstawowych plików i wykrycia różnic. Ta funkcja może być bardziej przyjazna dla użytkownika niż narzędzie do sprawdzania różnic online. Odkryliśmy jednak również, że niektóre ustawienia, takie jak oprogramowanie do analizy dzienników i odwrotne proxy, mogą być trudne do zrozumienia dla użytkowników nietechnicznych. Frustrujące było otrzymywanie protekcjonalnych instrukcji, aby uniknąć pewnych opcji, chyba że wiedzieliśmy, czym jest odwrotne proxy. Złożoność ustawień może być przytłaczająca dla niektórych użytkowników.

Instalacja Sitelock nie była prostym procesem. Wtyczka jest instalowana i aktywowana jak każda inna wtyczka, co daje pierwsze wrażenie, że będzie łatwa w użyciu. Jednak znalezienie pulpitu nawigacyjnego wtyczek było nieco trudne, ponieważ znajduje się w menu Narzędzia w wp-admin, aw menu wtyczek nie ma linku do ustawień.

Po krótkim szukaniu pulpit nawigacyjny wtyczki został zlokalizowany, ale wymagało to połączenia ze stroną Sitelock. Kliknięcie przycisku prowadziło do strony „jak to działa”, czego nie chcieliśmy. Ponowne kliknięcie przycisku prowadziło do strony z cenami, a po zakupie planu zostaliśmy przeniesieni na stronę główną Sitelock z instrukcjami dotyczącymi oczekiwania na wiadomość e-mail. Wiadomość e-mail zawierała potwierdzenie płatności z linkiem do pulpitu nawigacyjnego Sitelock na naszej stronie. Stamtąd musieliśmy skonfigurować wtyczkę, aby uzyskać dostęp do jej opcji.

Jednak konfiguracja SMART wymagała dostępu FTP do naszej witryny, co nie powiodło się pomimo posiadania poświadczeń współpracujących z dedykowanymi klientami. Po porzuceniu konfiguracji SMART przetestowaliśmy wtyczkę na desce rozdzielczej.

Dodatki

Sucuri

Właściwości utwardzające

Warto zauważyć, że wdrożenie tych środków bezpieczeństwa może mieć wpływ na wrażenia użytkownika. Na przykład wyłączenie edytora wtyczek i motywów może utrudnić wprowadzanie pewnych zmian w witrynie. Firma twierdzi również, że zablokuje wszystkie pliki PHP, ale jest prawdopodobne, że dotyczy to tylko zdalnego uruchamiania plików PHP w folderze include, ponieważ zablokowanie wszystkich plików PHP na stronie internetowej spowodowałoby jej dysfunkcję.

Opcje utwardzania Sucuri

Jednak zastrzeżenie dotyczące niektórych wtyczek i motywów wymagających dostępu do plików PHP w tych folderach nie jest wystarczające. Na przykład Sucuri sami zapisują pliki PHP w folderze przesyłania. Nie jest jasne, czy potrzebują dostępu do własnych plików z zewnętrznego pulpitu nawigacyjnego, czy też jest to wyjątek od reguły. Wskazuje to, że zasady wdrażania środków bezpieczeństwa mogą być elastyczne w sposób, który nie jest od razu widoczny dla użytkownika.

Komunikacja usługi API

Dokumentacja dotycząca komunikacji usługi API może być myląca, a zrozumienie ustawień i ocena ich wpływu na bezpieczeństwo może zająć dużo czasu.

Blokada serwisu

Pulpit nawigacyjny Sitelock wydaje się mieć funkcje antyspamowe, ale nie jest jasne, jak postępować ze spamem po jego zidentyfikowaniu.

Włączenie pełnych kopii zapasowych witryn, zamiast tylko kopii zapasowych baz danych, jest imponujące. Niestety kopie zapasowe są przechowywane na serwerze lokacji, co czyni je bezużytecznymi w przypadku awarii serwera.

Czego brakuje?

Sucuri ma miejsce na ulepszenia. Sitelock musi ponownie rozważyć, czy w ogóle jest wtyczką bezpieczeństwa.

Skaner złośliwego oprogramowania nie jest świetny. Ochrona logowania przed brutalną siłą jest trochę rozczarowująca i może naprawdę pochłonąć zasoby twojego serwera. Ponadto nie ma wbudowanej ochrony przed botami, co jest trochę kłopotliwe. Nie ma również uwierzytelniania dwuskładnikowego — do tego trzeba zainstalować osobną wtyczkę. Podsumowując, Sucuri zdecydowanie przydałoby się kilka ulepszeń w tych obszarach.

Krótko mówiąc, Sitelock nie ma wszystkiego, co jest potrzebne do skutecznego zabezpieczenia witryny. Jego skaner złośliwego oprogramowania nie działa, wykrywanie luk w zabezpieczeniach nie istnieje, a użycie narzędzia czyszczącego jest potencjalnie niebezpieczne. Uwierzytelnianie dwuskładnikowe nie działa i nie ma ochrony logowania, co czyni go niewiarygodnym narzędziem bezpieczeństwa.

cennik

Sucuri jest tego bardziej wart. To przynajmniej coś robi. Sitelock nie jest tego wart.

Cena 199 USD rocznie byłaby w porządku, gdyby skaner złośliwego oprogramowania, usuwanie i zapora ogniowa były dobre. Ale podstawowy plan MalCare jest znacznie skuteczniejszy i tańszy.

Wtyczka oferuje plany od 149 do 349 USD rocznie na witrynę. Opierając się na wydajności podstawowego planu, wydaje się, że jest to marnotrawna inwestycja.

Próbowaliśmy anulować naszą subskrypcję, ale polecono nam zadzwonić do pomocy technicznej, a następnie rozliczyć się lub skorzystać z czatu. Skomplikowany proces anulacji budzi obawy co do obsługi klienta firmy.

Najlepsze alternatywy dla Sucuri i Sitelock

Oczywiście nie uważamy, aby Sucuri lub Sitelock były najlepszymi wtyczkami zabezpieczającymi. Oba mają poważne problemy, które są frustrujące, i funkcje bezpieczeństwa, które są nieskuteczne. Jaka jest najlepsza wtyczka bezpieczeństwa? Cóż, MalCare jest niesamowity. Skaner, usuwanie złośliwego oprogramowania, zapora ogniowa i użyteczność są o wiele lepsze niż inne wtyczki.

Jak wybrać najlepszą wtyczkę zabezpieczającą?

Sedno sprawy polega na tym, jak wybrać najlepszą wtyczkę zabezpieczającą dla swojej witryny lub aplikacji. Przy tak wielu opcjach może być przytłaczająca wiedza, od czego zacząć. Aby uprościć ten proces, przygotowaliśmy listę podstawowych funkcji bezpieczeństwa, które powinny mieć najwyższy priorytet przy wyborze wtyczki, a także kilka przydatnych funkcji, które mogą jeszcze bardziej ulepszyć środki bezpieczeństwa.

Podstawowe funkcje bezpieczeństwa

  • Skaner złośliwego oprogramowania: Oznacza to, że wtyczka będzie regularnie skanować Twoją witrynę internetową lub aplikację w poszukiwaniu złośliwego kodu lub plików, które mogły zostać wstrzyknięte przez hakerów.
  • Czyszczenie złośliwego oprogramowania: jeśli zostanie wykryte złośliwe oprogramowanie, wtyczka powinna być w stanie je również wyczyścić. W przeciwnym razie jest to bez sensu.
  • Zapora ogniowa: Zapora sieciowa to kolejna istotna funkcja, która powinna być zawarta w dowolnej wtyczce bezpieczeństwa, którą wybierzesz. Zapora działa jak bariera między Twoją witryną lub aplikacją a resztą Internetu, blokując wszelkie nieautoryzowane próby dostępu i zapobiegając przedostawaniu się złośliwego ruchu do Twojej witryny.

Funkcje, które warto mieć

  • Skaner luk w zabezpieczeniach: może pomóc zidentyfikować wszelkie słabości Twojej witryny lub aplikacji, które mogą zostać wykorzystane przez atakujących.
  • Ochrona logowania przed brutalną siłą: ochrona logowania przed brutalną siłą to kolejna przydatna funkcja, która może zapobiegać automatycznym próbom logowania poprzez odgadywanie nazw użytkowników i haseł.
  • Dziennik aktywności: może pomóc Ci monitorować wszelkie podejrzane działania w Twojej witrynie, takie jak nieudane próby logowania lub nieautoryzowane zmiany w treści.
  • Uwierzytelnianie dwuskładnikowe: staje się również coraz bardziej popularne jako dodatkowa warstwa bezpieczeństwa, wymagając od użytkowników wprowadzenia kodu wysłanego na ich telefon lub e-mail oprócz hasła.

Potencjalne problemy

  • Wpływ na serwer: niektóre wtyczki mogą wymagać dużej ilości zasobów, powodując spowolnienie lub awarię witryny lub aplikacji. Pamiętaj, aby wybrać wtyczkę, która jest lekka i zoptymalizowana pod kątem wydajności, aby uniknąć negatywnego wpływu na szybkość i stabilność witryny.

Końcowe przemyślenia

Podstawowe funkcje, które należy ocenić przy wyborze wtyczki zabezpieczającej, to skaner, program czyszczący i zapora ogniowa. Wszystkie pozostałe funkcje można zaimplementować za pomocą innych wtyczek. Sucuri i Sitelock nie mają sobie równych na tych frontach. MalCare to dobry wybór, jeśli szukasz bezstresowej wtyczki zabezpieczającej, która chroni Twoją witrynę.

Często zadawane pytania

Czy zapora sieciowa Sucuri jest tego warta?

Jest to dość skuteczne narzędzie bezpieczeństwa. Jednak instalacja może być nieco trudna, jeśli nie masz dostępu do informacji DNS. Ponadto sama zapora ogniowa nie wystarczy do ochrony witryny WordPress.

Do czego służy Sitelock?

Sitelock to wtyczka bezpieczeństwa dla witryn WordPress. A przynajmniej tak twierdzą. Zawodzą podstawowe funkcje bezpieczeństwa, takie jak skanowanie, czyszczenie i zapory ogniowe.

Jakie są zalety Sucuri?

Sucuri oferuje właścicielom witryn wykrywanie i usuwanie złośliwego oprogramowania, zaporę sieciową, optymalizację szybkości witryny, zarządzanie certyfikatem SSL, monitorowanie reputacji i profesjonalne wsparcie. Zapewnia kompleksowy zestaw usług bezpieczeństwa witryn internetowych w celu ochrony witryny przed różnymi zagrożeniami i poprawy jej wydajności.