Bulletproof Security против Wordfence: какой плагин безопасности лучше?

Опубликовано: 2023-04-07

Вы только что запустили свой веб-сайт, и он начинает набирать обороты. Вы замечаете, что получаете много трафика, но он исходит из подозрительного источника. Вы не знаете, что делать, поэтому решаете изучить плагины безопасности.

Wordfence — невероятно популярный плагин безопасности для веб-сайтов WordPress, который часто упоминается в обзорах и рекомендациях. Этот плагин предлагает широкий спектр функций, включая сканер, очиститель и брандмауэр — три наиболее важных компонента безопасности любого веб-сайта. Хотя у него, безусловно, есть свои преимущества, есть и недостатки, о которых мы поговорим в этой статье.

Bulletproof Security тоже часто появляется в списках, но действительно ли она заслуживает того внимания, которое получает? Действительно ли Bulletproof Security оправдывает шумиху вокруг себя? Давайте посмотрим поближе, чтобы узнать!

Конкурса абсолютно нет. Wordfence — явный победитель, если вы выбираете между этими двумя плагинами, хотя у него есть свои проблемы. Bulletproof Security — это что угодно, только не надежное решение для обеспечения безопасности, за которое он себя выдает. Мы совершенно озадачены его высокими рейтингами. Если вы ищете плагин безопасности, который просто работает, пропустите оба и установите MalCare.

Когда дело доходит до защиты вашего веб-сайта от киберугроз, существует множество плагинов безопасности на выбор. В этой статье мы сравним, как Bulletproof Security и Wordfence справляются с различными аспектами безопасности, такими как сканирование и удаление вредоносных программ. Читайте дальше, чтобы узнать о различиях между этими двумя плагинами безопасности и выяснить, какой из них подходит именно вам.

В двух словах

Wordfence — лучший бесплатный плагин безопасности для WordPress. Он имеет множество функций, которые делают его хорошим выбором для обеспечения безопасности веб-сайтов, если у вас нет бюджета на безопасность. Wordfence включает в себя брандмауэр и комплексное сканирование на наличие вредоносных программ. Однако следует отметить, что сканирование может обнаружить только от 70 до 80% вредоносных программ, что связано с механизмом сопоставления сигнатур, используемым для обнаружения. Это один из основных недостатков Wordfence.

Брандмауэр хорошо справляется с защитой от угроз, но правила бесплатной версии обновляются на 30 дней позже, чем у премиум-версии. Поскольку брандмауэры полагаются на правила для защиты от угроз, это является существенным недостатком для безопасности сайта.

Наконец, вам, возможно, также придется проверить у своего веб-хостинга, разрешен ли вообще Wordfence на вашем сайте, поскольку он потребляет ресурсы, и некоторые хосты прямо запрещают его использование на своих серверах. В целом, Wordfence — отличный плагин безопасности, который предлагает отличную защиту, но у него все еще есть некоторые недостатки, которые следует учитывать перед его использованием.

Коротко о пуленепробиваемой безопасности

Bulletproof Security утверждает, что предоставляет надежные решения для обеспечения безопасности, но они далеко не пуленепробиваемые. После тестирования бесплатной версии мы были разочарованы, обнаружив, что ни одна из функций, включая сканер, очиститель и безопасность входа, на самом деле не работала против вредоносных программ. Мы не хотели переходить на профессиональную версию, чтобы узнать, стал ли брандмауэр лучше, но бесплатная версия определенно плохой плагин безопасности.

Прямое сравнение функций безопасности: Wordfence и Bulletproof Security

В этом разделе мы сравним, как оба плагина сочетаются друг с другом, когда речь идет о важных функциях безопасности, а именно:

Сканирование вредоносных программ

Бесплатный сканер Wordfence эффективен только на 70-80%, но сканирование Bulletproof Security было ужасным.

Бесплатный сканер Wordfence работает только с эффективностью 60%, как указано на панели инструментов, что не очень хорошо. Хотя сканирование выполняется быстро, от него мало пользы, если оно неэффективно для обнаружения вредоносных программ.

Wordfence также использует сопоставление сигнатур для обнаружения вредоносных программ. Это означает, что у них есть огромная база данных сигнатур вредоносных программ, с которой они сравнивают код на вашем сайте. Следует отдать должное, Wordfence отлично справляется с обновлением своей базы данных, однако по своей природе он не может обнаруживать новые вредоносные программы. Так что это не защита от атак нулевого дня.

Кроме того, этот механизм работает только с файловыми вредоносными программами. Вредоносное ПО также может находиться в базе данных; на самом деле вредоносное ПО перенаправления часто заражает базу данных больше, чем файлы на сайте. Wordfence обнаружил все наши файловые вредоносные программы и, по нашим оценкам, способен обнаружить от 70 до 80% вредоносных программ. К сожалению, он также подвержен ложным срабатываниям.

Наконец, сканер может действительно обнаруживать вредоносные программы только в открытых или бесплатных плагинах и темах. Это связано с тем, что они используют общедоступный код для сравнения с кодом сайта, чтобы найти дополнения, которых там быть не должно. Это исключает премиальные плагины и темы, последние из которых составляют подавляющее большинство.

Когда мы тестировали Bulletproof Security, мы заметили несколько вещей. Во-первых, когда мы запускали сканирование в первый раз, нам также пришлось включить параметр базы данных. Мы не уверены, почему это вариант, а не автоматическая часть сканирования, поскольку вредоносное ПО базы данных — это реальная вещь.

Затем скан открывается в другом окне и помечен как «создание файлового хэша». Это какое-то предварительное сканирование, хотя из приборной панели этого не видно.

Затем мы запустили второе (или, скорее, первое фактическое сканирование вредоносных программ). Сканирование взломанного сайта заняло около 5 минут. Дольше на большем тестовом сайте с большим количеством постов и изображений.

Несмотря на всю эту чепуху, Bulletproof Security не обнаружила никаких вредоносных программ на нашем сильно взломанном сайте. Это также привело к тому, что наш wp-admin перестал отвечать на запросы, что является неожиданным бонусом в дополнение ко всему тому, что он не сканировал.

Мы также не впечатлены тем, что он пометил наш файл cron как подозрительный, потому что он имеет собственный код. Это довольно типичная вещь для многих плагинов, поэтому очень бесполезно предлагать удалить файл cron!

Очистка от вредоносных программ

Wordfence может удалять вредоносные программы, которые он помечает, хотя нас не успокаивают угрозы взлома сайта. Удаление вредоносных программ Bulletproof Security возлагает всю ответственность на администратора сайта.

Wordfence имеет два автоматизированных варианта удаления вредоносного ПО с помощью самого плагина: удалить все удаляемые файлы и восстановить все файлы, которые можно восстановить.

Они также предлагают профессиональные услуги по очистке для тех, кто хочет тщательно очистить свой веб-сайт, но по цене. Оба варианта удалили помеченное вредоносное ПО с нашего веб-сайта, хотя мы также боялись потерять пользовательский код. Тем не менее, мы должны были быть осторожны при их использовании, потому что предупреждения о поломке сайта из-за изменений были довольно ужасными.

Wordfence удалось очистить наш веб-сайт от всех файловых вредоносных программ. Затем мы решили протестировать эту функцию с вредоносным ПО, которое мы вставили в базу данных и файлы премиальных тем. К сожалению, сканер ничего не смог обнаружить, поэтому автоматический ремонт был даже невозможен.

Сканирование, предоставленное Bulletproof Security, было удручающим и не выявило никаких реальных вредоносных программ. Так что проверить очиститель было не на чем. Однако, просто для развлечения, мы нажали на опцию просмотра/игнорирования/удаления подозрительных файлов, чтобы посмотреть, что произойдет.

Чтобы было ясно, ни один из подозрительных файлов, отмеченных сканером, на самом деле не был вредоносным ПО. Настоящему вредоносному ПО было позволено спокойно покоиться на нашем сайте. Как утешительно для хакеров.

У каждого из подозрительных файлов есть четыре параметра, и вам нужно хорошо разбираться в файлах WordPress, чтобы использовать эту функцию. Мы бы не рекомендовали этот вариант, особенно новичкам.

Брандмауэр

Брандмауэр Wordfence эффективен только на 35%. Мы не тестировали брандмауэр Bulletproof Security, так как это премиум-функция.

Брандмауэр Wordfence предварительно установлен и готов к использованию. Он достаточно успешно защищает от атак.

Чтобы оптимизировать свою производительность, Wordfence рекомендует оставить брандмауэр в режиме обучения на неделю, чтобы он мог учиться на живом трафике. Однако для наших тестовых веб-сайтов, которые не получают много трафика, это было нецелесообразно.

Эффективность бесплатной версии брандмауэра Wordfence составляет всего 35%, поэтому мы исследовали причины этого.

Во-первых, брандмауэр загружается как плагин, что может ограничить его способность блокировать весь вредоносный трафик, если он загружается после ядра WordPress. Во-вторых, хотя брандмауэр регулярно обновляется, бесплатная версия получает эти обновления с 30-дневной задержкой, что оставляет потенциальное окно для хакеров.

Брандмауэр в Bulletproof Security — это премиум-функция, поэтому мы не смогли его протестировать. Однако мы можем сделать вывод, что большая часть тяжелой работы выполняется через файл .htaccess, что не является самым безопасным методом и не рекомендуется. Файл .htaccess очень мощный, но он не предназначен для использования в качестве брандмауэра. На самом деле он есть на сайте, поэтому загружается после WordPress. Поэтому атаки все еще могут пройти на сайт.
При настройке есть параметр автоисправления, который сканирует все установленные плагины и добавляет их IP-адреса в белый список. При дальнейшем копании мы увидели, что это добавляет строки в файл .htaccess. Это может очень быстро стать очень громоздким, поэтому мы не очень довольны этим механизмом фильтрации трафика.

Обнаружение уязвимостей

Wordfence был в основном эффективным, но у Bulletproof Security не было даже этой базовой функции.

Wordfence правильно определил устаревшие плагины как средние угрозы, а уязвимости — как критические. К сожалению, Wordfence также выдавал ложные срабатывания для iThemes и Backupbuddy, демонстрируя свою склонность время от времени генерировать ложные предупреждения.

Примечательно, что у Bulletproof Security нет такой базовой функции безопасности, учитывая, что даже iThemes предлагает эту возможность.

Защита входа от грубой силы

Wordfence имеет эффективную и настраиваемую систему безопасности входа. Bulletproof Security предлагает бесполезный.

Защита от грубой силы Wordfence включена по умолчанию и работает эффективно, блокируя пользователей после определенного количества неправильных попыток входа в систему в соответствии с конфигурацией, установленной в разделе «Брандмауэр». В этом разделе также предлагается множество параметров настройки, таких как установка блокировки, ограничение времени блокировки и параметры управления паролями для обеспечения надежных паролей и предотвращения утечки данных. Хотя можно внести IP-адреса в белый список, мы не уверены в его эффективности из-за динамических IP-адресов устройств, которые потенциально могут привести к блокировке законных пользователей.

Функция безопасности входа в систему Bulletproof Security добавляет на экран входа в систему упрощенное поле с капчей, которое необходимо правильно ввести, чтобы избежать ошибки. Однако это слишком просто, и его можно легко обойти, создавая ненужную точку трения для законных пользователей.

Что еще хуже, ввод случайных данных в поля имени пользователя и пароля с правильной капчей фактически автоматически заполняет поле капчи во второй раз, что практически устраняет небольшое препятствие, которое было изначально создано. Можно с уверенностью сказать, что эта функция безопасности совершенно неэффективна.

Журнал активности

Ни у одного из них нет удобного журнала действий, но у Bulletproof Security есть журнал безопасности для брандмауэров.

Мы были ошеломлены, обнаружив, что в Wordfence отсутствует журнал действий, который считается одним из самых важных компонентов безопасности. Существует возможность включить отладку в разделе «Диагностика» в меню «Инструменты», но это приводит к тому, что журналы брандмауэра становятся более подробными, а не такими, как журнал активности. После дальнейших исследований мы обнаружили, что в разделе «Сканирование» есть журнал действий для событий Wordfence, однако он предназначен исключительно для целей разработки и не удобен для пользователя.

Bulletproof Security не предлагает журнал активности, а только журнал безопасности, который записывает активность брандмауэра.

Двухфакторная аутентификация

Wordfence предлагает эту функцию, а Bulletproof Security — нет.

Двухфакторная аутентификация Wordfence проста в настройке и настройке. Ранее она была платной функцией, но теперь доступна с помощью бесплатного плагина.

Если вы догадались, что Bulletproof Security не обеспечивает двухфакторную аутентификацию, вы были правы.

Использование ресурсов сервера

Оба занимают ресурсы сервера, но, по крайней мере, Wordfence дает результаты.

Ресурсоемкий характер Wordfence был до боли очевиден. Каждое действие, которое он выполняет на веб-сайте, потребляет ресурсы сервера, что приводит к резкому увеличению использования диска во время сканирования. На наших относительно небольших веб-сайтах это привело к удвоению или даже утроению использования диска, что отрицательно сказалось на времени загрузки, времени отклика и общем взаимодействии с пользователем.

Сканирование Bulletproof Security потребляет ресурсы, но не помечает никаких вредоносных программ, что делает ситуацию еще более неприятной. Это было почти сыпать соль на рану.

Оповещения

Wordfence предлагает слишком много предупреждений. У Bulletproof Security нет предупреждений.

С Wordfence было огромное количество электронных писем. Мы были завалены предупреждениями за очень короткое время, что сделало их в конечном итоге бесполезными, поскольку слишком много предупреждений может привести к бездействию, когда это необходимо.

Учитывая, что сканирование не смогло обнаружить какое-либо вредоносное ПО, а безопасность входа в систему была слабой, неудивительно, что мы не получили никаких предупреждений. В конце концов, что могло нас насторожить?

Установка, настройка и удобство использования

Wordfence проще установить и настроить. Bulletproof Security сбивает с толку.

Установка, настройка и общее использование Wordfence — одни из лучших, с которыми мы сталкивались. Их документация включает в себя пошаговые руководства по каждому основному разделу, предоставляя исчерпывающие объяснения наиболее важных настроек и функций на простом для понимания языке.

Кроме того, Wordfence предоставляет отличные рекомендации по настройке, а их документация легко доступна через всплывающие подсказки на панели инструментов, что делает ее очень удобной для пользователя. Каждая функция подробно объясняется, и инструкции о том, как применить ее на вашем веб-сайте, доступны без промедления.

Мастер установки Bulletproof Security несколько сбивал с толку, так как не сразу понятно, что он делает. Мы обнаружили, что он создает папки и таблицы базы данных, добавляет установленные плагины в файл .htaccess для создания белого списка, создает резервную копию базы данных сайта и включает настройки по умолчанию. Однако он не создает резервные копии файлов, которые могут быть столь же важными.

Кроме того, установка показала только одну синюю или красную строку, информирующую нас о том, что наш файл .htaccess не защищен. Интерфейс чрезвычайно сложен для навигации и загружен непонятными терминами без объяснения причин, что делает процесс установки полным беспорядком.

Дополнительно

Wordfence включает раздел «Уведомления», в котором указано, какие плагины и темы необходимо обновить из-за того, что они считаются критическими или средними угрозами.

Существует также панель инструментов Wordfence Central, которая позволяет управлять несколькими сайтами в одной учетной записи, а также имеет сопутствующий раздел для wp-admin каждого подключенного сайта. По нашему мнению, эта функция имеет ограниченную полезность для агентств с сотнями управляемых сайтов.

Раздел Live Traffic регистрирует и классифицирует трафик, а также есть опция поиска «Кто есть», чтобы просмотреть злоумышленника, не выходя из wp-admin.

Раздел «Диагностика» особенно интересен, поскольку он предлагает исчерпывающую информацию о веб-сайте, предоставляя разработчикам спецификацию веб-сайта в одном месте.

Bulletproof Security добавляет в файл .htaccess большое количество параметров защиты, некоторые из которых очень специфичны, например, код уязвимости Timthumb и защита корневой папки и файлов от доступа. Мы не рекомендуем вмешиваться в доступ к основным файлам WordPress и считаем, что лучше использовать хороший брандмауэр.

Чего не хватает?

Хотя Wordfence — впечатляющий плагин безопасности, ему не хватает ни защиты, ни журнала действий. Сканер довольно продвинут и превосходит большинство других плагинов безопасности, за исключением MalCare. Несмотря на эти недостающие функции, это по-прежнему исключительный плагин безопасности.

В Bulletproof Security нет сканера, защиты входа в систему и, предположительно, возможностей брандмауэра, хотя это неблаговидное предположение с нашей стороны.

Цены

Бесплатная версия Wordfence довольно надежна, а годовая абонентская плата в размере 99 долларов вполне разумна. Ранее в дополнение к плате за подписку в размере 99 долларов США взималась дополнительная плата за очистку от вредоносных программ в размере 490 долларов США. Однако с введением планов Care and Response клиенты могут выбрать план Care с самого начала. План реагирования предлагает гарантированный ответ в течение 1 часа по цене 950 долларов в год за сайт, что чрезвычайно выгодно в случае взлома, поскольку время имеет существенное значение. Это делает план ухода несколько неадекватным.

За единовременный платеж всего в 69 долларов вы не можете получить никакой гарантии для своего сайта WordPress — абсолютная сделка!

Как выбрать плагин безопасности, который стоит ваших денег?

Основываясь на наших обширных знаниях о безопасности WordPress, мы составили исчерпывающий список основных функций, которые следует искать в плагине безопасности. Мы исключили все функции, не связанные напрямую с безопасностью, чтобы предоставить вам краткое и информативное руководство.

Основные функции безопасности:

  • Сканирование вредоносных программ: эта функция помогает обнаруживать любой вредоносный код, файлы или сценарии, которые были добавлены на веб-сайт, предупреждая пользователя о любых потенциальных угрозах.
  • Очистка от вредоносных программ: помогает удалить любой обнаруженный вредоносный код. Это важный шаг в обеспечении безопасности веб-сайта.
  • Брандмауэр: помогает блокировать вредоносный трафик или запросы на веб-сайт, а также предотвращает проникновение потенциальных угроз на веб-сайт. Это также помогает предупреждать пользователя о любых подозрительных действиях, таких как попытки атаки методом грубой силы.

Полезные функции безопасности:

  • Обнаружение уязвимостей: эта функция помогает обнаруживать любые потенциальные уязвимости на веб-сайте, которыми могут воспользоваться хакеры. Важно выявить эти уязвимости и исправить их как можно скорее.
  • Защита входа в систему методом грубой силы: эта функция помогает блокировать любые попытки атак методом грубой силы на веб-сайт, которые часто используются хакерами для получения доступа к веб-сайту.
  • Журнал активности: эта функция помогает отслеживать любые подозрительные действия на веб-сайте, такие как вредоносные запросы или неудачные попытки входа в систему, чтобы их можно было заблокировать до того, как они нанесут какой-либо ущерб.
  • Двухфакторная аутентификация: эта функция помогает добавить дополнительный уровень безопасности веб-сайту, требуя от пользователя ввести дополнительный код, прежде чем он сможет получить доступ к веб-сайту. Это затрудняет доступ хакеров к сайту.

Потенциальные проблемы:

  • Влияние на ресурсы сервера: это важный фактор, который следует учитывать при выборе подключаемого модуля безопасности. Плагины безопасности часто могут быть ресурсоемкими, что может привести к медленной загрузке и другим проблемам с производительностью.

Лучшая альтернатива Wordfence и Bulletproof Security: MalCare

Честно говоря, лучшей альтернативой как Wordfence, так и Bulletproof Security является MalCare, который представляет собой комплексный плагин безопасности со всем, что вам нужно, и даже больше. Он предлагает защиту от ботов и журнал активности, которого нет в Wordfece, и он гораздо надежнее. Кроме того, мы не забыли базу данных.

Последние мысли

Итак, в заключение, при выборе плагина безопасности WordPress для вашего веб-сайта важно учитывать возможности сканера, очистки и брандмауэра, поскольку эти три функции являются основой надежного плагина. Наша миссия в MalCare — обеспечить безопасность без стресса и усилий, чтобы вы могли сосредоточиться на основных элементах своего веб-сайта, пока мы обеспечиваем его безопасность.

Часто задаваемые вопросы

Стоит ли Wordfence?

Бесплатный Wordfence отлично подходит для своей цены, которая ничто. Премиум-версии Wordfence не намного эффективнее бесплатной версии.

Достаточно ли хороша бесплатная версия Wordfence?

Да, бесплатная версия Wordfence достаточно хороша для базовых потребностей безопасности. Он обеспечивает сканер, брандмауэр и безопасность входа в систему, все это необходимо для безопасного веб-сайта.

Wordfence замедляет работу вашего сайта?

Да, Wordfence может значительно замедлить работу веб-сайта. Это ресурсоемкий плагин, потребляющий ресурсы сервера при сканировании и других операциях, что приводит к увеличению использования диска и потенциально влияет на время загрузки и время отклика.

Какая лучшая альтернатива Wordfence?

MalCare — лучшая альтернатива Wordfence, поскольку она предлагает широкий спектр функций и гораздо более надежна. Он обеспечивает защиту от ботов, журнал действий и сканирование базы данных, чего нет в Wordfence, а также гораздо менее ресурсоемкий.