Обзор Wordfence: хороший, плохой и безопасный - MalCare
Опубликовано: 2023-04-07Wordfence — это популярный и хорошо зарекомендовавший себя вариант защиты вашего сайта от взломов и вредоносных программ. Тем не менее, с таким количеством доступных вариантов может быть сложно определить, какой из них лучше всего подходит для ваших нужд.
Вот где я вхожу. Я составил всесторонний обзор Wordfence , чтобы помочь вам принять обоснованное решение и быть уверенным, что ваш сайт безопасен. Вы можете быть уверены, что я тщательно изучил и протестировал Wordfence, чтобы предоставить вам самую точную и актуальную информацию.
Итак, расслабьтесь и расслабьтесь, зная, что я здесь, чтобы направить вас в правильном направлении к безопасному веб-сайту.
Бесплатная версия WordFence — действительно хороший плагин безопасности для владельцев веб-сайтов с нулевым бюджетом на безопасность. Тем не менее, есть куча недостатков, в том числе некоторые пробелы в безопасности. Я настоятельно рекомендую MalCare, который намного надежнее и эффективнее блокирует угрозы и защищает ваш сайт от вредоносных программ.
Обзор
Wordfence — отличный вариант для новых сайтов или сайтов с небольшим бюджетом. Это один из лучших бесплатных плагинов безопасности, которые я тестировал, после MalCare, конечно. Хотя он не может обеспечить 100% защиту от вредоносных атак, он работает лучше других.
Однако есть несколько вещей, которые мне не нравятся в Wordfence. Начнем с того, что сканер Wordfence надежен только тогда, когда речь идет об обнаружении вредоносных программ в определенных разделах веб-сайта. Он может сканировать на наличие вредоносных программ файлы ядра, а также плагины и темы не премиум-класса, но не обнаруживает вредоносные программы в базе данных, которая часто является мишенью для вредоносных программ.
Кроме того, услуги по очистке Wordfence могут быть очень дорогими — на самом деле безумно дорогими! Кроме того, брандмауэр Wordfence загружается так же, как и любой другой плагин, поэтому он не на 100% эффективен для блокировки вредоносного трафика. Что еще хуже, брандмауэр бесплатной версии получает обновления только после премиум-версии, что может занять до 30 дней. Это дает хакерам достаточно времени для использования любых уязвимостей.
Еще одна проблема с Wordfence заключается в том, что он может сильно повлиять на ресурсы вашего сервера. Каждый раз, когда запускается сканирование, вы будете замечать значительное снижение производительности вашего сайта. Фактически, именно по этой причине некоторые веб-хостинги вообще запрещают его. В Wordfence также отсутствует защита от ботов, которая необходима для любого решения по обеспечению безопасности веб-сайтов.
В целом, в этом обзоре я предоставлю подробный анализ функций Wordfence, пользовательского интерфейса и общей эффективности, основанный на моем собственном опыте и исследованиях.
Критические функции безопасности и Wordfence
Когда я рассматриваю любой плагин безопасности, я всегда обращаю внимание на 3 обязательные функции: сканер вредоносных программ, средство для очистки от вредоносных программ и брандмауэр. Эти функции находятся в верхней части моего списка при определении того, является ли плагин жизнеспособным выбором. Я предоставил обширную информацию об этих трех функциях и многом другом в этом разделе.
Сканер вредоносных программ
Первой функцией, которую я протестировал, был сканер вредоносных программ. Многое зависит от сканера, так как это единственный способ узнать, есть ли на вашем сайте вредоносное ПО или нет.
Первое сканирование заняло около 20 минут. Сначала казалось, что сканирование не закончилось, но оказалось, что 60% — это не индикатор выполнения, а отображение того, какой процент сайта будет сканировать бесплатная версия.
Я провел еще одно сканирование, и на этот раз оно закончилось намного быстрее. Второе сканирование обнаружило большую часть вредоносного ПО на взломанном тестовом веб-сайте. Он обнаружил вредоносное ПО в файлах сайта, но не в базе данных. Это проблема, поскольку вредоносное ПО, основанное на базе данных, является очень реальной и опасной проблемой.
Сканер также отметил некоторые ошибки с плагинами iThemes и BackupBuddy, установленными на сайте. Это были ложные срабатывания.
Второй строкой в результатах сканирования был призыв к действию использовать премиум-версию для устранения вредоносного ПО. Если вы используете бесплатную версию, есть некоторые вещи, которые вы можете сделать, если ваш сайт взломан, но они рискованны. Я расскажу об этом в следующем разделе.
Удаление вредоносных программ
Бесплатная версия плагина дала мне два варианта: удалить все удаляемые файлы и восстановить все восстанавливаемые файлы.
Уверяю вас, что неосторожное удаление файла гарантированно приведет к сбою вашего сайта. Я собираюсь предположить, что Wordfence знает, какие файлы важны для WordPress, бесплатных тем и плагинов, но не для чего-то еще. Сначала я решил использовать вариант удаления, и он успешно избавился от одного файла, но с предупреждением о том, что удаление файлов может повредить ваш сайт. Это будет ужасающим предупреждением для всех, кто пытается удалить вредоносное ПО с работающего сайта.
Итак, я перешел к варианту восстановления, и он смог восстановить большинство файлов с вредоносными программами. Я снова проверил сайт с помощью сканера MalCare, и на нем не было вредоносных программ. Таким образом, он был довольно хорош в очистке от вредоносных программ, которые он распознал. Если разработчики Wordfence знают о вредоносных программах, они могут восстановить файлы и удалить их. К сожалению, это означает, что они не могут удалить недавно обнаруженное вредоносное ПО.
Также было ясно, что плагин Wordfence не способен бороться с вредоносными программами, находящимися в базе данных. Подобно сканеру, он также не удаляет вредоносное ПО из неосновных файлов WordPress или премиальных плагинов и тем.
Также есть призыв к действию обратиться в службу удаления Wordfence. Это связано с их пакетами Response и Care, о которых я расскажу позже в этой статье. Честно говоря, я не тестировал этот сервис.
Брандмауэр
Настройка брандмауэра Wordfence была сложной задачей. Правила брандмауэра и правила сканирования могут быть ошеломляющими для тех, кто не разбирается в технологиях. Разработчику, который знает, какие IP-адреса добавить в белый или черный список, может повезти больше, чем обычному пользователю.
Также есть отдельный раздел для брандмауэра Wordfence. Он также вводит термин «брандмауэр веб-приложений». Здесь они быстро описывают, что такое брандмауэр и что он делает.
Я также обнаружил, что рекомендуется держать режим обучения активным в течение недели, прежде чем включать его. Это связано с тем, что брандмауэрам требуется живой трафик для изучения, чтобы уменьшить вероятность того, что брандмауэр заблокирует законный трафик. Оставлять режим обучения на моих тестовых сайтах не имело смысла, так как на них не было трафика, поэтому я зашел в опции и поменял статус на «включен и защищен». Брандмауэр эффективно защищает ваш сайт от большинства угроз.
На этой странице также объясняется разница между бесплатной и премиальной версиями. Во-первых, бесплатная версия плагина загружается как обычный плагин после загрузки WordPress, что лишь отчасти эффективно. В идеале брандмауэр должен загружаться перед WordPress, чтобы блокировать весь вредоносный трафик.
Вот еще одна ситуация с хорошими и плохими новостями. Хорошей новостью является то, что Wordfence имеет самый обновленный брандмауэр. Плохая новость заключается в том, что бесплатная версия обновляется после премиум-версии. Любая задержка может привести к тому, что ваш сайт будет атакован вредоносным ПО. Итак, это не идеально.
Полезные функции безопасности
Хороший плагин безопасности не только обеспечит эффективный брандмауэр и систему сканирования вредоносных программ для защиты вашего веб-сайта WordPress, но и несколько вторичных функций безопасности для повышения защиты вашего веб-сайта. Это включает в себя журнал активности, обнаружение уязвимостей, двухфакторную аутентификацию и защиту входа в систему. В этом разделе я более подробно рассмотрю эти второстепенные функции безопасности Wordfence и изучу, как они работают.
Защита входа
Когда дело доходит до защиты входа в систему, Wordfence поможет вам. Защита от перебора находится в разделе брандмауэра и включена по умолчанию. Вы можете зайти в настройки, чтобы настроить надежный набор параметров. Вы можете установить блокировки для неправильных попыток входа в систему и даже время, в течение которого пользователь будет испытывать блокировку после определенного количества неправильных попыток входа. Они также предоставляют отличную документацию о том, что делает каждый параметр и как наиболее эффективно использовать его для защиты сайта.
Вы также можете установить белый список для IP-адресов, которые не должны проверяться брандмауэром. Это имеет ограниченное значение, потому что вы обнаружите, что IP-адреса вашего устройства изменятся.
Кроме того, существуют параметры, которые могут принудительно использовать надежные пароли, предотвращая использование паролей, обнаруженных при утечке данных, и многое другое. Защита от грубой силы работает точно в соответствии с вашими настройками, поэтому вы можете быть уверены, что ваш сайт в безопасности.
Обнаружение уязвимостей
Сканирование с помощью Wordfence выявило некоторые устаревшие плагины как среднюю угрозу. Всегда полезно держать все в курсе, так что это было хорошим напоминанием.
Плагины с обнаруженными уязвимостями также правильно помечались как критические угрозы, даже для малоизвестных плагинов с менее чем 200 пользователями. Приятно видеть, что Wordfence может выявить эти уязвимости, чего не смогли сделать многие другие плагины, которые я тестировал.
К сожалению, исправить уязвимости с панели управления Wordfence невозможно. Большинство других плагинов, таких как Jetpack и Sucuri, рекомендовали обновления и позволяли выполнять их с той же панели. В Wordfence вместо этого вы попадете на панель обновлений. Это была бы полезная функция.
Двухфакторная аутентификация
Защита учетных записей с помощью двухфакторной аутентификации — очень популярная мера безопасности, однако ее настройка может быть сложной. В Wordfence раньше эта функция была платной, чтобы включить эту функцию на вашем сайте WordPress, но теперь она бесплатна. Кроме того, его очень легко настроить, плюс вы можете настроить несколько параметров и включить recaptcha, чтобы добавить дополнительный уровень защиты.
Вы также можете использовать двухфакторную аутентификацию в своей учетной записи Wordfence. Это может быть полезно для защиты вашей учетной записи, особенно если вы управляете несколькими сайтами.
Журнал активности
Если вы ищете журнал действий в Wordfence, он недоступен, но вы можете включить отладку в разделе «Диагностика» в разделе «Инструменты». Это даст вам более подробные журналы, хотя они не будут такими же, как полный журнал активности.
Журнал сканирования есть, но он больше для разработчиков Wordfence. Просто имейте в виду, что включение режима отладки потребует больше ресурсов сервера, как указано в диагностике.
Установка и настройка Wordfence
Когда дело доходит до управления безопасностью вашего веб-сайта WordPress, удобство использования так же важно, как и сами функции безопасности. Чем проще установить и настроить плагин безопасности, тем лучше. Я хотел убедиться, что плагин удобен для пользователя и новичка, чтобы каждый мог использовать его для защиты своего веб-сайта WordPress.
Монтаж
Установка Wordfence очень проста; это так же, как любой другой плагин. Кроме того, он использует брандмауэр приложения веб-сайта, поэтому вам не нужно беспокоиться о настройках DNS, к которым у вас может не быть доступа. Ключи API не требуются и не нужно возиться с кодом вашего сайта. Wordfence настраивается так же, как и любой другой веб-продукт, и вы сразу же сможете увидеть свой сайт на внешней панели инструментов.
Простота использования
Wordfence прост в использовании, с понятными всплывающими подсказками и ссылками на документацию, когда это необходимо. Документация очень контекстуальна и полезна, четко объясняя, что делает каждая функция, как ее настроить и почему она необходима. Вам не нужно беспокоиться о том, как сканировать или настраивать брандмауэр, и Wordfence позаботится о большинстве аспектов безопасности за вас.
Однако, если ваш сайт когда-нибудь взломают, вам придется решить, как удалить вредоносное ПО. Существуют автоматические варианты, но служба экспертного удаления, которую предоставляет Wordfence, не включена в бесплатную версию.
Уведомления и оповещения
Мы избегаем плагинов, которые отправляют нам слишком много электронных писем, и, к сожалению, Wordfence — один из них.
Выяснить, сколько предупреждений безопасности слишком много, а сколько правильных, может быть сложно, но важно. Вы хотите получать уведомления о любых критических угрозах, требующих вашего внимания, потому что чем больше вы оставляете их без внимания, тем хуже они становятся.
Wordfence отправляет много предупреждений, но настроить их может быть сложно. Кроме того, после того, как ваш почтовый ящик был несколько раз затоплен из-за атаки грубой силы, вы можете в конечном итоге проигнорировать все предупреждения. В основном это похоже на то, что их вообще нет, так что это может быть более серьезной проблемой, чем кажется.
Центральный Wordfence
Если у вас есть несколько сайтов WordPress в одной учетной записи, WordFence Central позволяет легко управлять ими из wp-admin каждого сайта. Но если вы агентство с сотнями сайтов, ограниченное пространство не подойдет. Но, к счастью, у него есть внешняя приборная панель.
Я смог добавить все наши тестовые сайты и получил представление обо всех наших сайтах с высоты птичьего полета. Просто создайте учетную запись в WordFence, и вы сможете добавить все свои сайты. Это может быть немного переполнено более чем 20 сайтами, но это все же отличный способ получить обзор.
Другие факторы, которые следует учитывать
Прежде чем использовать Wordfence, необходимо учитывать несколько других факторов. Хотя Wordfence — мощный инструмент безопасности, лучший ли это плагин безопасности?
Влияние на ресурсы сервера
Wordfence — это огромная пожирательница ресурсов, которая сильно раздувает ваш сайт. Каждое сканирование, которое он запускает, полностью замедляет работу вашего сайта, и некоторые веб-хостинги даже запрещают его по этой причине.
На моих сайтах разного размера использование диска удвоилось, когда Wordfence начал сканирование. Это может не иметь большого значения для небольших сайтов, но для тех, которые используют много ресурсов, но это значительный скачок. Кроме того, если вы внесете какие-либо изменения в настройки по умолчанию, Wordfence предупредит вас о том, что он будет потреблять еще больше ресурсов вашего сервера.
Кроме того, если вы посмотрите в журнал активности, вы даже сможете увидеть, сколько памяти было использовано для каждого сканирования. Но это не самое худшее: брандмауэр также работает на ресурсах вашего сайта, поэтому, если ваш сайт подвергнется длительной атаке, у вас могут возникнуть проблемы, даже если он защищен от этих эксплойтов.
Помощь и поддержка
Если вы используете бесплатную версию Wordfence, будьте готовы к самостоятельности; никакой поддержки для вас! Вы будете полагаться на форум за помощью, что может быть немного больно. Теперь, если вы используете премиум-версию, вы получаете доступ к поддержке, но даже в этом случае это может быть немного случайным. Я видел много жалоб на сайтах с отзывами, так что имейте в виду.
Цены
Бесплатная версия Wordfence неплоха, но это не лучшая защита для вашего сайта. Если вы хотите перейти на премиум-версию, вы рассчитываете максимум на 99 долларов за сайт, и чем больше лицензий вы покупаете, тем дешевле становится.
В прошлом очистка от вредоносных программ стоила вам дополнительно 490 долларов, но теперь она включена в план обслуживания по той же цене в год. Тем не менее, вы все равно не должны ожидать быстрого ответа на любые ваши проблемы, а время ответа в 1 час предоставляется только с планом за 950 долларов в год; что немного дорого, если вы спросите меня.
Каковы лучшие альтернативы Wordfence?
Я упомянул, что у Wordfence лучшая бесплатная версия, которую я тестировал. Но если вам не понравился Wordfence, не волнуйтесь, существует множество других подключаемых модулей безопасности, которые могут обеспечить необходимую вам защиту.
- MalCare: MalCare — лучшая альтернатива Wordfence, особенно с точки зрения обеспечения превосходной защиты вашего сайта. Сканер MalCare более точен, чем Wordfence, а автоматическая очистка намного проще в использовании. Брандмауэр также более надежен.
Если ваш сайт взломан, план MalCare включает неограниченное удаление вредоносных программ экспертами по безопасности. MalCare обнаруживает больше уязвимостей, чем Wordfence, и уведомляет вас только в экстренных случаях. Все это делается без ущерба для ресурсов вашего сервера.
- Sucuri: Sucuri является тяжеловесом в области безопасности WordPress. Если вы ищете неограниченное удаление вредоносных программ, Sucuri поможет вам; все их платные планы поставляются с ним. Дело в том, что сканер не так хорош, поэтому вам нужно знать, что на вашем сайте есть вредоносное ПО, прежде чем вы сможете использовать функцию удаления. С другой стороны, цена намного лучше, чем у Wordfence, так что это определенно бонус.
Как выбрать плагин безопасности для WordPress?
Выбор правильного плагина безопасности для вашего сайта может быть сложной задачей. С таким количеством доступных вариантов может быть трудно понять, какой из них лучше всего подходит для ваших нужд. В этом разделе я расскажу о функциях, которые следует учитывать при выборе подключаемого модуля безопасности, таких как возможности сканирования, удаление вредоносных программ, брандмауэры и многое другое.
Важнейшие функции безопасности
- Сканирование вредоносных программ. Вредоносные программы бывают разных форм, и существуют разные способы их сканирования. Одним из способов является сопоставление сигнатур, при котором код вредоносного ПО сравнивается с базой данных известных сигнатур вредоносных программ. Это настолько надежно, насколько надежна база данных сигнатур, которую необходимо регулярно обновлять, чтобы убедиться в ее точности. Но даже в этом случае нет стопроцентной гарантии, что все вредоносные программы будут обнаружены, поскольку разработчики могут еще не знать о последних угрозах.
- Удаление вредоносных программ. Удаление вредоносных программ с вашего веб-сайта может быть сложным процессом. В некоторых случаях вы можете удалить файлы, добавленные вредоносной программой, или восстановить поврежденные файлы сайта. В более сложных случаях вам может потребоваться поговорить с экспертом по безопасности, чтобы полностью удалить вредоносное ПО. Многие подключаемые модули безопасности предлагают удаление вредоносных программ в качестве дополнительной функции, поэтому стоит изучить их, если вам нужна помощь.
- Брандмауэр: Брандмауэр — это инструмент, который помогает защитить ваш сайт от вредоносных программ и хакеров. Хороший брандмауэр будет отфильтровывать ненужный или ненужный трафик, пропуская при этом законный трафик. Брандмауэр должен регулярно обновляться, чтобы обеспечить применение последних мер безопасности.
Другие особенности
- Обнаружение уязвимостей: большинство попыток взлома происходят из-за уязвимостей в вашей системе. Сканер уязвимостей может помочь вам быстро выявить и устранить любые бреши в системе безопасности на вашем веб-сайте, чтобы обеспечить надежную настройку безопасности. Это делает его довольно важной функцией безопасности.
- Двухфакторная аутентификация. Двухфакторная аутентификация (2FA) — это дополнительный уровень безопасности, используемый для защиты учетных записей пользователей от несанкционированного доступа. Он работает, требуя двух разных методов аутентификации, прежде чем разрешить пользователю войти в систему. С 2FA пользователи должны предоставить что-то, что они знают (например, имя пользователя и пароль), а также что-то, что у них есть (например, телефон или токен безопасности). Это помогает защитить ваши учетные записи от хакеров и других злоумышленников. Это хорошая функция безопасности.
- Защита входа: хакеры часто пытаются проникнуть в админку WordPress, случайно угадывая ваше имя пользователя и пароль. Для этого они создали автоматизированные программы, которые продолжают пробовать разные комбинации, пока не получат правильный результат. Это называется атакой грубой силы. Чтобы защитить себя от этого, вы должны установить плагин, который имеет функции защиты входа в систему.
- Журнал активности. Если вы хотите убедиться, что ваш веб-сайт безопасен и надежен, важно следить за всеми изменениями, происходящими с ним. Таким образом, вы можете обнаружить любое подозрительное поведение или злонамеренные атаки и пресечь их в зародыше. Вот почему журнал активности так важен. Это поможет вам отслеживать все и быстро выявлять любые события безопасности.
Потенциальные проблемы
- Воздействие на сервер: Каждое действие на вашем сервере использует его ресурсы, что может замедлить работу вашего сайта, если происходит слишком много. Например, плагины безопасности, которые проводят сканирование, будут занимать массу серверных ресурсов, таких как Wordfence. С другой стороны, MalCare выполняет сканирование на своем собственном сервере, поэтому он не будет использовать ваш. Это определенно плюс. Ищите плагины, которые не используют ресурсы вашего сервера.
Последние мысли
Wordfence — достойный выбор, но если вам нужна надежная защита, MalCare Premium — то, что вам нужно. Это может стоить немного дороже, но оно того стоит из-за комплексной защиты, которую он предлагает. Не оставляйте свой сайт открытым для потенциальных угроз; инвестируйте в лучшую защиту, которую вы можете получить.
Часто задаваемые вопросы
Подходит ли Wordfence?
У Wordfence есть замечательная бесплатная версия, которая дает вашему сайту хороший уровень защиты. Сканер обычно хорошо защищает от угроз, хотя и не проверяет базу данных. Брандмауэр всегда обновлен и отлично защищает вас от любых вредоносных программ. Но бесплатный брандмауэр обновляется после премиума. Однако, если вы обнаружите что-то вредоносное, избавиться от него может быть сложно и может потребоваться переход на более дорогой план.
Wordfence хороший плагин?
Мы бы сказали, что у Wordfence есть несколько замечательных функций, но есть и недостатки. Бесплатная версия - лучшее, что я видел. Сканер довольно хорош, но не принимает во внимание вредоносные программы на основе баз данных. Брандмауэр хорошо обновляется, но бесплатная версия обновляется позже, чем премиальная, что оставляет окно возможностей для хакеров. Он также имеет довольно хорошую функцию восстановления файлов, но экспертное удаление стоит дорого.
Насколько безопасен Wordfence?
Wordfence — это надежный инструмент безопасности, который обеспечивает хороший уровень безопасности веб-сайтов. Функция сканера в основном хороша и обеспечивает хороший уровень защиты, хотя и не сканирует базу данных. Брандмауэр хорошо обновлен и обеспечивает хорошую защиту от вредоносных атак. Однако удаление вредоносного кода или вредоносных программ может быть сложным или потребовать дорогостоящего обновления плана.
Что лучше: Sucuri или Wordfence?
Sucuri предлагает преимущества по сравнению с Wordfence в некоторых областях, например, менее ресурсоемкий на веб-сайте. Однако его функция сканирования не так хороша, как Wordfence, а услуга по удалению вредоносных программ стоит более разумно. С другой стороны, защита брандмауэром не так хороша, как в Wordfence.
Эффективно ли WordFence защищает от большинства атак/взломов?
Это может помочь предотвратить более распространенные атаки, такие как вход в систему методом грубой силы, блокирование загрузки вредоносных файлов, SQL-инъекции и т. д., но не может полностью предотвратить всех ботов, а брандмауэр склонен также блокировать законных пользователей.