Wordfence против All-In-One WP Security: какой плагин безопасности лучше?

У вас есть веб-сайт, и вы начинаете становиться очень популярным. Вы слышали об угрозах безопасности и беспокоитесь о состоянии своего сайта. Вы решаете получить подключаемый модуль безопасности, который поможет управлять здоровьем вашего сайта и защитить его от атак. Но какой из них вы выбираете? Есть так много плагинов безопасности на выбор? Когда дело доходит до чего-то столь же важного, как безопасность, вы не можете просто выбрать любой плагин.

Wordfence — это имя, которое постоянно всплывает, когда речь заходит о плагинах безопасности веб-сайтов. Это популярный выбор, предлагающий пользователям ряд функций, предназначенных для защиты их сайтов от вредоносных угроз. Но подходит ли вам Wordfence для обеспечения безопасности? Каких функций ему не хватает?

All-In-One Security — это подключаемый модуль безопасности и программное обеспечение для защиты от спама, получившее высокую оценку и высокую оценку за широкий спектр функций. Он не только предоставляет все функции безопасности плагина безопасности, но также имеет множество функций повышения безопасности, чтобы обеспечить максимальную безопасность вашего сайта. Но как он по сравнению с конкурентами? Оправдывает ли он свою репутацию?

Мы не являемся поклонниками All-In-One Security, так как в нем отсутствует очиститель и, по сути, это просто прославленный плагин для защиты от спама и защиты; Wordfence, без сомнения, лучший вариант. Лучший плагин безопасности для WordPress — это не Wordfence и не All-in-One Security; это МалКэр.

Когда дело доходит до безопасности WordPress, существует множество плагинов на выбор. Двумя наиболее популярными являются All-In-One Security и Wordfence. В этой статье мы сравним, как оба плагина выполняют важные действия по обеспечению безопасности, такие как установка брандмауэра или удаление вредоносных программ. Читайте дальше, чтобы узнать о различиях между этими двумя плагинами безопасности и почему мы считаем, что Wordfence лучше.

Обзор: Wordfence и All-In-One Security

Wordfence и All-In-One Security — это плагины безопасности для WordPress с бесплатной и платной версиями, но они имеют существенные различия.

Wordfence имеет механизм обнаружения сигнатур, который может обнаруживать от 70 до 80% вредоносных программ, и брандмауэр, защищающий от угроз, но бесплатная версия обновляется позже, чем премиум-версия.

All-In-One Security имеет возможности защиты от спама и функцию двухфакторной аутентификации, но в бесплатной версии отсутствует сканер для проверки взломанного сайта, обнаружения уязвимостей или очистки от вредоносных программ. Брандмауэр сильно зависит от файла .htaccess, который может блокировать только определенные категории плохих ботов.

В целом, Wordfence кажется более комплексным плагином безопасности, в то время как All-In-One Security больше ориентирован на функции защиты от спама.

В двух словах

Wordfence — это комплексный бесплатный плагин безопасности для WordPress.

Его механизм обнаружения сопоставления сигнатур может обнаруживать от 70 до 80% вредоносных программ, хотя он пропускает большинство вредоносных программ на основе баз данных. Его брандмауэр хорошо защищает от угроз, но стоит отметить, что бесплатная версия обновляется намного позже, чем премиум-версия. Кроме того, важно проверить у своего веб-хостинга, разрешен ли Wordfence на вашем сайте, поскольку он может потреблять ресурсы, что приводит к тому, что многие хосты полностью запрещают его использование на своих серверах.

Коротко о системе безопасности «все в одном»

All-In-One Security имеет несколько положительных особенностей. Во-первых, он имеет возможности защиты от спама, функцию двухфакторной аутентификации и функцию ограничения входа в систему, без нагрузки на сервер сайта или чрезмерных предупреждений.

К сожалению, минусы перевешивают плюсы: в бесплатной версии нет сканера для проверки взломан ли ваш сайт, нет обнаружения уязвимостей и очистки от вредоносных программ. Кроме того, брандмауэр в значительной степени зависит от файла .htaccess, который, похоже, способен блокировать только определенные категории вредоносных ботов. Мы можем рекомендовать All-In-One Security только из-за его функций защиты от спама, хотя для них мы предпочитаем CleanTalk или Akismet.

Функции усиления хороши, но ничего такого, чего нельзя было бы легко достичь с помощью меньшего плагина. Мы считаем, что All-In-One Security очень похож на iThemes в том смысле, что множество настроек на wp-admin, похоже, пытается скрыть тот факт, что плагину не хватает реального содержания.

Прямое сравнение функций безопасности: Wordfence и All-In-One WP Security

В этом разделе мы сравним, как оба плагина соотносятся друг с другом с точки зрения важных функций безопасности, таких как обнаружение вредоносных программ, двухфакторная аутентификация, усиление безопасности и использование ресурсов.

Сканирование вредоносных программ

Любое обнаружение вредоносного ПО менее 95% — это нехорошо, но, по крайней мере, бесплатный Wordfence несколько эффективен. All-In-One Security не имеет сканера в своем бесплатном плагине.

Бесплатный сканер Wordfence эффективен только на 60%, что не идеально. Сканирование выполняется быстро, поскольку Wordfence использует сопоставление сигнатур для обнаружения вредоносных программ, сравнивая код на вашем сайте с обширной базой данных сигнатур вредоносных программ. Они отлично справляются с поддержанием своей базы данных сигнатур в актуальном состоянии; однако он не может обнаруживать атаки нулевого дня.

Кроме того, сопоставление сигнатур эффективно только против вредоносных программ на основе файлов и не может обнаруживать вредоносные программы в базе данных. Мы обнаружили, что он обнаруживает только 70-80% вредоносных программ и при этом выдает ложные срабатывания. Наконец, сканер может обнаруживать вредоносное ПО только в открытых или бесплатных плагинах и темах, поскольку для сравнения он использует общедоступный код. Плагины и темы премиум-класса не включаются в сканирование.

Мы были удивлены, узнав, что сканирование на наличие вредоносных программ является расширенной функцией All-In-One Security. С другой стороны, сканирование выполняется на их серверах, а не на вашем собственном веб-сайте.

Очистка от вредоносных программ

Функция удаления вредоносных программ Wordfence средняя, ​​но, по крайней мере, она существует. Не так с All-In-One Security.

Wordfence предлагает два варианта автоматического удаления вредоносных программ: удаление всех удаляемых файлов и восстановление всех файлов, которые можно восстановить. Если требуется более тщательная очистка, Wordfence также предлагает квалифицированную услугу по уборке.

Мы протестировали оба автоматизированных варианта и обнаружили, что они успешно удаляют вредоносное ПО с нашего веб-сайта; однако нам пришлось действовать с осторожностью из-за предупреждений о потенциальном нарушении работы сайта. К сожалению, сканер не смог обнаружить какие-либо вредоносные программы для баз данных или вредоносные программы, обнаруженные в премиальных плагинах, поэтому автоматическое восстановление было невозможно.

К сожалению, All-In-One Security не предлагает функцию очистки от вредоносных программ или даже рекомендуемую услугу очистки. Единственное руководство, которое они дают, — это советы, которые далеко не удовлетворительны. Для плагина безопасности это очень разочаровывает.

Брандмауэр

Бесплатный брандмауэр Wordfence оставляет желать лучшего. Брандмауэр All-In-One Security защищает от спам-ботов, но не более того.

Брандмауэр Wordfence запускается в режиме обучения, который Wordfence предлагает оставить на неделю, чтобы он стал более эффективным. Однако из-за отсутствия живого трафика на наши тестовые сайты мы решили немедленно его отключить.

Он успешно блокирует онлайн-атаки, хотя эффективность бесплатного брандмауэра составляет всего 35%, согласно информационной панели. Мы изучили, почему это может быть так, и нашли два возможных объяснения.

Во-первых, бесплатный брандмауэр загружается как плагин после ядра WordPress, а это означает, что он может защищать только от некоторого вредоносного трафика, а не от всего. Во-вторых, премиум-версия Wordfence получает обновления в режиме реального времени, в то время как бесплатная версия получает их через неизвестный промежуток времени, что, возможно, оставляет окно уязвимости для хакеров. Из собственной оценки Wordfence ясно, что бесплатный брандмауэр не так эффективен, как премиум-версия.

All-In-One Security имеет функцию, похожую на брандмауэр, которая может останавливать некоторых ботов, спам, входы в систему методом грубой силы и скребки, а также закрывать доступ к определенным файлам. Однако эти функции не являются настоящим брандмауэром. Брандмауэр, похоже, в значительной степени полагается на файл .htaccess для операций, который является мощным инструментом, но не подходит для работы брандмауэра.

На панели управления вы можете внести в черный список IP-адреса и пользовательские агенты, чтобы защитить свой сайт. Чтобы включить геоблокировку, необходимо обновить плагин.

Обнаружение уязвимостей

Обнаружение уязвимостей в Wordfence работает «из коробки» и очень надежно. All-In-One Security рекламирует это как премиальную функцию как часть своего сканера.

Wordfence точно предупредил нас обо всех устаревших плагинах как о средних угрозах и правильно пометил уязвимости как критические угрозы.

Похоже, что обнаружение уязвимостей доступно только в расширенной функции сканирования All-In-One Security. Поэтому на данный момент нет возможности обнаружения уязвимостей.

Защита от грубой силы

Wordfence имеет отличную защиту от грубой силы, тогда как All-In-One Security имеет удивительно сложную функцию с множеством приятных наворотов.

Защита от грубой силы включена по умолчанию в Wordfence и каждый раз работает эффективно, блокируя пользователей при слишком большом количестве неправильных попыток на основе конфигурации, установленной на панели инструментов. Настройки можно найти в разделе брандмауэра, и есть множество параметров для настройки, таких как время блокировки для неправильных попыток входа в систему. Wordfence четко объясняет каждый из этих параметров и предоставляет обширную документацию.

Здесь также можно установить параметры управления паролями, такие как принудительное использование надежных паролей и предотвращение использования паролей, обнаруженных при утечке данных. В этом разделе можно внести IP-адреса в белый список, однако мы не уверены в их эффективности, поскольку IP-адреса устройств могут быть динамическими, а это означает, что законный пользователь все равно может быть заблокирован.

All-In-One Security предлагает множество настроек для предотвращения грубой силы на экране входа пользователя, и мы использовали рекомендуемые значения по умолчанию для тестирования этой функции. Мы проверили неправильные пароли с существующими именами пользователей и неправильными именами пользователей, и блокировка работала гладко.

Можно настроить параметры в соответствии со своими предпочтениями, и в целом эта функция является одной из лучших версий, которые мы видели для ограничения входа в систему.

Кроме того, есть отдельный набор переключателей специально для предотвращения перебора, одним из которых является возможность изменить URL-адрес входа. Это мера ужесточения, маскирующаяся под предотвращение грубой силы. Кроме того, существует опция приманки, видимая только для ботов, которую можно включить для автоматического отклонения регистрации, попавшей в ловушку приманки. Эта функция предназначена для предотвращения регистрации спама.

Журнал активности

Ни у одного из плагинов нет журнала активности.

Мы были удивлены, обнаружив, что Wordfence не имеет журнала активности, так как это важный компонент безопасности веб-сайта. В разделе «Диагностика» меню «Инструменты» есть возможность включить отладку, но это приводит к тому, что журналы брандмауэра становятся более подробными, а не журнал активности. Благодаря обширным исследованиям мы смогли найти журнал действий специально для событий Wordfence в разделе «Сканирование». Однако это необработанный журнал, предположительно созданный только для разработчиков Wordfence.

К сожалению, в AIOS нет журнала действий, только недоработанный журнал входа в систему.

Двухфакторная аутентификация

И All-In-One Security, и Wordfence имеют достойные функции 2FA.

Двухфакторную аутентификацию Wordfence легко настроить и настроить с помощью множества параметров. Раньше это была платная функция, но теперь она также включена в бесплатный плагин.

All-In-One Security предлагает возможность настроить двухфакторную аутентификацию (2FA) для всех типов пользователей или выбрать наиболее важные учетные записи для защиты.

Этот переключатель добавляет 2FA в качестве опции в профиль пользователя, позволяя пользователю включить ее, если он того пожелает.

Пользователь может выбирать из различных вариантов, в зависимости от того, какой механизм ему больше подходит. В общем, All-In-One Security 2FA — это комплексная функция.

Использование ресурсов сервера

Wordfence - это болезнь на сервере сайта. All-In-One Security, с другой стороны, почти не использует никаких ресурсов, поскольку фактически не сканирует сайт в бесплатной версии.

Wordfence может быть довольно ресурсоемким, так как каждое действие, которое он выполняет на веб-сайте, потребляет ресурсы сервера. Это может привести к пиковому использованию диска во время сканирования, что может привести к удвоению или даже троению использования диска, что отрицательно скажется на времени загрузки, времени отклика и взаимодействии с пользователем даже на относительно небольших веб-сайтах.

All-In-One Security очень бережно относится к серверу сайта, поскольку в бесплатной версии сканирование недоступно. Кроме того, вы можете предотвратить хотлинкинг, включив настройку в разделе брандмауэра. Это предотвратит использование людьми ресурсов, хранящихся на сервере вашего сайта, на своем сайте, что может занять место на вашем сервере.

Оповещения

Wordfence будет бомбардировать вас предупреждениями. С All-In-One Security вы можете настроить те, которые вы хотите получать.

С Wordfence мы быстро погрузились в электронные письма и оповещения. К сожалению, это делает их бесполезными, потому что слишком много предупреждений может привести к бездействию, когда это необходимо.

All-In-One Security имеет разумное количество предупреждений, таких как заблокированные пользователи, и вы можете настроить, какие предупреждения вы хотели бы получать. Однако это далеко не то количество предупреждений, которое предлагает Wordfence.

Установка, настройка и удобство использования

У Wordfence лучшая установка и настройка, которые мы видели. Даже All-In-One Security был простым по сравнению с некоторыми другими ужасными пользовательскими интерфейсами, которые мы видели.

Многие высоко оценили установку, настройку и общее использование Wordfence. Их документация включает пошаговые инструкции по каждому основному разделу с подробными объяснениями наиболее важных настроек и функций на простом для понимания языке.

Кроме того, Wordfence предоставляет отличные рекомендации по настройке, а документация доступна во всплывающих подсказках на панели инструментов, что делает ее очень удобной для пользователя. Каждая функция подробно объясняется, и инструкции о том, как применить ее на вашем веб-сайте, доступны мгновенно.

Установка и активация All-In-One Security была относительно простой по сравнению с беспорядком, который представлял собой пользовательский интерфейс Bulletproof Security.

Однако из-за того, что MalCare уже был установлен на сайте, мы не смогли автоматически настроить брандмауэр, и нам пришлось отредактировать код в терминале, чтобы заменить брандмауэр MalCare брандмауэром All-In-One Security.

All-In-One Security имеет систему подсчета очков, чтобы определить, насколько безопасен наш веб-сайт. Оценка 0/505 на сайте стала неприятным сюрпризом, однако эта система помогает понять статус сайта. Чтобы повысить безопасность и получить более высокие баллы, необходимо включить основные функции безопасности для каждого из параметров в меню настроек.

Дополнительно

Wordfence предлагает раздел «Уведомления», чтобы указать, какие плагины и темы необходимо обновить из-за того, что они считаются критическими или средними угрозами.

Кроме того, панель инструментов Wordfence Central позволяет управлять несколькими сайтами в одной учетной записи, однако это может быть не очень полезно для агентств с сотнями управляемых сайтов.

Раздел Live Traffic регистрирует и классифицирует трафик и даже предлагает поиск «Кто есть», чтобы увидеть злоумышленника, не выходя из wp-admin.

И последнее, но не менее важное: раздел «Диагностика» предлагает исчерпывающую информацию о веб-сайте в одном месте, что делает его бесценным инструментом для разработчиков.

All-In-One Security предлагает частичные резервные копии базы данных сайта, файла .htaccess и файла wp-config, что является отличной идеей. Но этих резервных копий недостаточно, чтобы самостоятельно восстановить разрушенный сайт. Плагины и темы могут быть значительно изменены, и отсутствие их резервного копирования может привести к дорогостоящим ошибкам. Чтобы убедиться, что ваш сайт полностью защищен, обязательно сделайте явную резервную копию и сохраните ее на своем устройстве.

Кроме того, файл .htaccess меняется нечасто, но база данных, безусловно, меняется. Автоматическое резервное копирование будет наиболее эффективным способом защиты вашего сайта, поскольку люди могут даже не знать об изменениях в базе данных.

Хотя All-In-One Security включает в себя некоторые параметры защиты, они могут быть не такими эффективными для защиты веб-сайта, как некоторые могут предположить. Например, удаление версии WordPress не предотвратит уязвимость, поскольку обновление WordPress — единственный способ оставаться в безопасности.

Кроме того, попытка скрыть имя пользователя администратора не остановит атаки грубой силы, поскольку они по-прежнему потребляют ресурсы сервера. Инструмент пароля All-In-One Security может быть полезен при создании надежного пароля, однако изменение префикса базы данных и изменение прав доступа к файлам являются неэффективными мерами. Отключение доступа к XML-RPC — полезная функция, но обнаружение изменений файлов имеет ограниченное применение.

Возможность изменять права доступа к файлам была бы полезной функцией, если бы она не была такой беззубой. Вы можете изменить права доступа только для определенных файлов и папок, и можете изменить их только на разрешения, рекомендованные AIOS. Расскажите о том, как защитить функцию от идиотов и сделать ее совершенно бесполезной.

Интересно отметить, что регистрация пользователей на веб-сайте может быть ограничена для защиты от хакеров. Эта тактика может помешать хакерам создавать учетные записи пользователей и повышать привилегии для получения неограниченного доступа к сайту. Кроме того, существует множество вариантов предотвращения спам-комментариев, что является отличной функцией, поскольку спам-комментарии могут очень раздражать. Брандмауэр должен предотвращать публикацию спам-ботов, но наличие дополнительного фильтра полезно.

Чего не хватает?

Нам явно нравится бесплатная версия Wordfence, но у нее есть некоторые недостатки. Он не включает защиту от ботов или журнал активности. Его сканер выше среднего по сравнению с другими доступными плагинами безопасности, за исключением MalCare. MalCare имеет как защиту, так и журнал действий, что делает его лучшим плагином.
Вы можете догадаться, что мы собираемся сказать о All-In-One Security. Не хватает очистителя. Мы звучим как заезженная пластинка, но, к сожалению, из-за отсутствия опций очистки этот плагин трудно считать жизнеспособным вариантом безопасности.

Цены

Бесплатная версия Wordfence довольно обширна, а годовая подписка в размере 99 долларов — это хорошее соотношение цены и качества. Раньше клиентам приходилось платить дополнительно 490 долларов за очистку от вредоносных программ вместе с абонентской платой. Однако теперь клиенты могут выбирать между планами Care и Response, при этом план Care не требует дополнительных затрат. План реагирования предлагает гарантированное время ответа в течение 1 часа в случае взлома по цене 950 долларов США за сайт в год, что может быть неоценимым.

На первый взгляд, цена All-In-One Security в размере 70 долларов в год для двух сайтов кажется разумной. Однако следует отметить, что очистка от вредоносных программ не включена, а это означает, что это будет дополнительная плата. Кроме того, трудно оценить эффективность сканера.

Лучшая альтернатива Wordfence и All-In-One Security: MalCare

Хотя нам нравится Wordfence, MalCare — гораздо лучший плагин безопасности. MalCare — самый полный плагин безопасности со всем, что вам нужно, и даже больше. Он обеспечивает защиту от ботов и журнал действий, которого нет в Wordfence, и который намного надежнее. MalCare также покрывает базу данных, чего нет у других плагинов.

Рекомендуем прочитать: Wordfence против безопасности WP Cerber

Что делает плагин безопасности хорошим?

Наши обширные знания в области безопасности WordPress позволили нам создать краткое и информативное руководство по основным функциям безопасности, которые следует искать в плагине безопасности. Мы исключили все функции, не связанные напрямую с безопасностью, чтобы предоставить вам более подробный список.

Важные особенности:

• Сканирование вредоносных программ: эта функция помогает обнаруживать любой вредоносный код, файлы или сценарии, которые были добавлены на веб-сайт, предупреждая пользователя о любых потенциальных угрозах и обеспечивая ему душевное спокойствие.

• Удаление вредоносных программ: помогает удалить любой обнаруженный вредоносный код, что делает его важным шагом в обеспечении безопасности веб-сайта.
• Брандмауэр: помогает блокировать вредоносный трафик и запросы на веб-сайт, а также предотвращает проникновение на веб-сайт потенциальных угроз. Кроме того, он может предупреждать пользователя о любых подозрительных действиях, таких как попытки грубой силы, предоставляя им раннее предупреждение и дополнительную защиту.

Полезные функции безопасности:

• Обнаружение уязвимостей: это помогает выявить любые потенциальные уязвимости на веб-сайте, которые могут быть использованы хакерами, поэтому крайне важно выявить и исправить их как можно скорее.
• Защита от грубой силы при входе в систему: это означает блокирование любых попыток атак методом грубой силы на веб-сайт, что затрудняет доступ хакеров и обеспечивает дополнительный уровень защиты вашего веб-сайта.
• Журнал активности: Отслеживайте и отслеживайте любые подозрительные действия на веб-сайте, такие как вредоносные запросы или неудачные попытки входа в систему, что позволяет пользователю принять меры и заблокировать угрозы до того, как будет нанесен какой-либо серьезный ущерб.
• Двухфакторная аутентификация: это добавляет дополнительный уровень безопасности веб-сайту, требуя от пользователя ввести дополнительный код, прежде чем он сможет получить доступ к веб-сайту. Это затрудняет доступ хакеров к веб-сайту, что дает пользователям больше спокойствия.

Потенциальные проблемы:

• Влияние на ресурсы сервера. При принятии решения важно учитывать ресурсоемкость подключаемых модулей безопасности, поскольку они могут вызывать медленную загрузку и другие проблемы с производительностью.

Заворачивать

Выбирая плагин безопасности WordPress для своего веб-сайта, вы должны оценить сканер, очиститель и брандмауэр, поскольку эти три функции необходимы для надежного плагина безопасности. Вы найдете все эти функции в MalCare. В MalCare мы стремимся сделать безопасность легкой и безболезненной, чтобы вы могли сосредоточиться на развитии своего бизнеса. Позвольте нам позаботиться о безопасности, пока вы позаботитесь об остальном.