多合一安全审查:深入探讨利弊 - MalCare

已发表: 2023-04-07

如果您正在寻找一体化安全审查,您可能希望了解该插件是否能有效保护您的网站免受黑客攻击、恶意软件和其他安全漏洞等威胁。 您可能还想了解它的功能和易用性,以及它与其他 WordPress 插件和主题的兼容性。

我们已经在多个站点上测试了 All-In-One Security,使我们能够评估其在一系列配置中的性能和兼容性。 我们的审查是公正的,并且基于我们作为安全专家的知识。 我们的目标是提供全面且值得信赖的评论。

这种深入的审查将提供对这些领域的宝贵见解,帮助您就一体式安全性是否是适合您网站的正确安全解决方案做出明智的决定。

All-In-One Security 的 3 个主要宣传功能是:登录保护、防火墙和内容保护。 登录保护? 效果不是很好,容易出错。 防火墙? 不是一个好的配置。 内容保护? 基本上是不错的反垃圾邮件功能。 总而言之,这离安全插件还差得很远。 MalCare 是一个更好的选择。 它具有出色的扫描仪、一键式恶意软件清除功能和强大的防火墙。

概述

All-In-One Security 并不是它声称的综合安全插件。 相反,它只是一个反垃圾邮件插件,充其量只有一些平庸的安全功能,还有一些完全没有或不起作用。

不过也有一些好消息。 内容保护功能有助于防止垃圾邮件。 有一个双重身份验证功能可提供额外的安全性,您可以限制登录以防止未经授权的访问。 站点服务器上没有负载并且没有过多的警报是一个好处。

现在,让我们谈谈坏处。 All-In-One Security 的免费版本不包含扫描仪,因此我们无法测试此功能。 因此,我们无法评论其有效性。 也没有漏洞检测、恶意软件清理器或清理服务。 防火墙严重依赖 .htaccess 文件,似乎仅限于阻止某些类别的不良机器人。 强化功能很不错,但没有什么是您无法从较小的插件中轻松获得的。

我们只建议为反垃圾邮件功能安装 All-In-One Security,尽管为此我们更喜欢 CleanTalk 甚至 Akismet。 该插件实际上在某些方面让我们想起了 iThemes。 wp-admin 页面上的大量设置似乎试图隐藏插件缺乏实际价值的事实。 我们根本不推荐此插件作为安全插件。

关键安全功能和一体化安全

每个可行的安全插件都必须具有三个不可协商的功能:恶意软件扫描、防火墙保护和恶意软件删除。 All-In-One Security 是否具有这些功能? 一体机安全管理这些功能的情况如何?

恶意软件扫描器

我们无法测试恶意软件扫描功能,因为它是一项高级功能。 然而,根据他们的网站,他们利用自己的服务器扫描恶意软件,这是避免网站超载的好习惯。 所以,这是极好的。

恶意软件清除

遗憾的是,All-In-One Security 不提供恶意软件清除功能或任何专业的清除服务。 他们确实提供建议,但不是很有用。 因此,如果您的网站遭到黑客攻击,多合一安全性将毫无帮助。

防火墙

这个功能带来了惊喜。

All-In-One Security 使用 Perishable Press 的 6G 防火墙,这有点令人失望。 他们严重依赖 .htaccess 文件进行操作,虽然我们喜欢 .htaccess 文件的强大功能,但它并不是为完成真正的防火墙工作而设计的。 另外,6G 仅适用于 Apache 服务器,因为它使用 .htaccess 文件,因此它对 nginx 服务器上的站点毫无用处。 不理想!

多合一安全性可能具有一些类似防火墙的功能。 如果您有足够的勇气尝试一下,您可以从仪表板将 IP 和用户代理列入黑名单。

防火墙可以阻止某些机器人程序(垃圾邮件、暴力登录和抓取程序)并阻止对某些文件的访问。 这是一种基本类型的 bot 保护,应该可以阻止假冒的 googlebots——这很好——但它也能阻止真正的 googlebots。 网站报告称由于该插件而失去了排名。

不过,我们还没有亲身经历过这个问题,这有可能是地理封锁的误用。 我们不确定。 地理封锁本身就是一项高级功能。

二级安全功能

关键的安全功能没有达到标准。 All-In-One Security 具有(或缺乏)哪些其他安全功能?

登录保护

有很多设置可以防止用户登录屏幕上的暴力攻击。 我们通过尝试使用不正确的密码和用户名暴力破解登录页面来对其进行测试,并且效果很好。 您可以使用其他设置来调整您的偏好,但总的来说,此功能是我们所见过的用于限制登录的更好版本之一。

还有一组单独的切换开关专门用于防止暴力破解,其中之一是更改登录 URL。 这是一种强化措施,也是一种特别恶劣的措施,它伪装成暴力预防。

另外,还有一个蜜罐选项,只有机器人可以看到。 您可以启用它来自动拒绝落入蜜罐陷阱的注册。 此功能是为了防止垃圾邮件注册。

漏洞检测

看起来 All-In-One Security 完全错过了漏洞检测。 大多数安全插件都将此功能与其恶意软件扫描程序捆绑在一起,因此我们假设它会出现在高级版本中。 但是,在做了很多检查之后,它似乎也不在那里。

双因素身份验证

多合一安全性允许您为所有类型的用户或您认为最需要保护的用户设置双因素身份验证 (2FA)。

此切换将 2FA 作为用户配置文件中的选项添加,用户可以从多种身份验证机制中进行选择。 总而言之,All-In-One Security 2FA 是一项非常全面的功能。

活动日志

该插件有一个登录日志功能,但它不是最好的。 总体感觉有点半生不熟。 它不能替代活动日志。

强化功能

无论有多少 WordPress 安全文章谈论它们,强化措施永远不会像人们想象的那样有效。

  • 删除 WordPress 版本不会防止漏洞。 正确的解决方案是实际更新 WordPress 版本。
  • 一个更无用的功能是更改数据库前缀,这只会弄乱数据库结构。
  • 如果设置不那么受限,更改文件权限会很有用。
  • 文件更改检测的用途也很有限。

唯一真正有用的例外是禁用对 XML-RPC 的访问的能力。 我们还认为 All-In-One Security 的密码工具会有所帮助。

安装和配置多合一安全性

我们在实施安全功能方面是否取得了成功? 并不真地。 但是,就可用性而言,安装和配置过程有多简单?

安装

安装和激活轻而易举,但配置我们的安全性则完全是另一回事。 由于我们已经在我们的测试站点上安装了 MalCare,我们不能只切换到一体式安全防火墙。 我们必须进入 .htaccess 文件并将 MalCare 防火墙替换为多合一安全性。 这意味着我们必须能够在终端中列出隐藏文件才能进行编辑。

有趣的是,这之所以有效,是因为我们的站点位于 Apache 服务器上。 想知道在 nginx 服务器上会发生什么。

仪表板上有我们网站的安全评分。 乍一看,有点令人沮丧。 插件上的刻度盘显示我们应该有 505 个安全点,但我们的网站是 0。我们喜欢评分系统,所以我们开始通过激活设置菜单中的基本安全功能来增强我们的安全性。 然而,这些设置基本上毫无用处,因此评分系统会给您一种虚假的安全感。

使用方便

设置仪表板非常简单,尽管花了一些时间来完成所有选项。 他们中的大多数并没有真正对我们的安全产生有意义的影响。 All-In-One Security 遇到的最大问题是,通过打开错误的设置很容易将我们自己锁定在我们的网站之外。

即使更改登录 URL(根本不推荐这样做)也没有那么有效。 该插件仅有助于更改 URL slug。 实际上,您还必须对代码的其他部分进行更改才能使其正常运行。

通知和警报

对于诸如锁定用户等重要事项,有足够的警报。 另外,您可以自定义要接收的通知。

其他需要考虑的因素

除了安全功能,在考虑多合一安全性时,您还应该考虑什么? 好吧,您需要检查插件对您的服务器的影响,以及支持团队在您需要帮助时的响应速度。

对网站性能的影响

我们尝试了 All-In-One Security 的免费版本,但效果不佳。 它没有自己的扫描仪,所以它是一个非常轻量级的插件,不会影响我们网站的性能。

帮助和支持

一体化安全团队在 WordPress 论坛上非常活跃。 他们回答遇到的每一个问题。 不幸的是,似乎没有任何其他方式可以联系他们寻求支持。

价钱

对于两个站点每年 70 美元,All-In-One Security 乍看之下是一笔不错的交易。 但请记住,您不会得到任何清理,并且删除恶意软件将增加成本。 我们也不知道扫描仪的效果如何。

多合一安全性的最佳替代品

All-In-One Security 是最好的安全插件吗? 不,那么,您最好的选择是什么?

  • MalCare: MalCare 是最好的选择。 它有一个很棒的扫描器和防火墙,不会对您的服务器产生任何影响。 它也很容易删除恶意软件,并为您的站点提供全面的安全解决方案。
  • Wordfence: Wordfence 的免费版本提供强大的安全功能,例如扫描仪和防火墙,后者会不断更新。 但是,如果检测到任何有害物质,则需要升级到价格更高的计划以消除它。
  • Sucuri: Sucuri 是彻底消除恶意软件的绝佳选择。 通过所有付费计划,用户可以获得无限制的恶意软件清除服务。 然而,一个缺点是扫描器不是很好,因此在使用删除功能之前警惕任何潜在的恶意软件问题是至关重要的。

如何为 WordPress 选择安全插件?

市场上有这么多 WordPress 安全插件,浏览所有评论和比较可能会让人不知所措,尤其是它们附带的所有行话。 但是,选择正确的安全插件对于保护您的网站免受潜在威胁并保持其平稳运行至关重要。 在本节中,我们将分解做出选择时要考虑的主要功能和因素,让您更轻松地为您的 WordPress 网站选择最好的安全插件。

  • 恶意软件扫描器:恶意软件扫描器很重要,因为它有助于检测可能已注入您的 WordPress 网站的任何恶意代码。 此外,定期扫描有助于确保您的网站保持安全并免受潜在攻击。
  • 恶意软件清除:恶意软件可能损坏或损坏文件、窃取个人或敏感信息、减慢或崩溃您的站点,甚至允许黑客获得访问权限。 恶意软件还可能使您的网站容易受到进一步攻击,并危及访问者信息的安全。 重要的是尽快删除恶意软件,以防止其传播并造成进一步的危害。
  • 防火墙:在安全方面,防火墙就像一个过滤器。 这是一种防止恶意软件、不良机器人等的安全措施。 最好的防火墙是一种不断更新的防火墙,可以区分好流量和坏流量。
  • 漏洞检测:黑客总是在寻找通过插件和主题进入您网站的方法。 这就是插件和主题经常更新以修复任何安全漏洞的原因。 漏洞扫描器会在检测到漏洞时提醒您,让您有机会修补它或让开发人员知道。
  • 双因素身份验证:双因素身份验证是一个额外的安全层,要求用户提供两种不同的方式来确认其身份。 这可能包括发送到他们的电话或电子邮件的密码和附加代码。 这使它成为一个很好的安全功能。
  • 登录保护:暴力攻击是通过随机猜测您的用户名和密码自动尝试闯入您的帐户。 为了将它们拒之门外,您应该安装具有登录保护功能的插件。 例如,您可以设置有多少次错误的登录尝试会触发锁定。
  • 活动日志:活动日志是监控站点上发生的事情的好方法。 它跟踪您网站上发生的所有活动和事件。 通过这种方式,您可以轻松识别可能表示恶意软件的任何异常行为。 这也是审核谁访问和更改了您的站点的好方法,因此您可以保持控制。
  • 对服务器的影响:安全插件可能会消耗您的服务器资源。 这会使您的网站变慢,进而影响您的排名或客户体验。 这就是为什么安全插件在自己的服务器上扫描恶意软件很重要。 例如,MalCare 旨在不使用您的任何资源。

最后的想法

All-In-One WordPress Security 是一个插件,提供了一些很好的功能,如反垃圾邮件和双因素身份验证。 但是,它不包括关键的安全功能,如恶意软件扫描程序、恶意软件删除或防火墙。 因此,我们建议投资更全面的安全插件,例如 MalCare,以确保您的网站得到充分保护。

常见问题

All-In-One WP Security 的防火墙设置是什么?

多合一 WordPress 安全性使用 Perishable Press 的 6G 防火墙,它依赖于 .htaccess,因此仅适用于 Apache 服务器。 防火墙可以有效阻止恶意机器人,但有时也可以阻止 googlebot。 它还允许用户从仪表板将 IP 和用户代理列入黑名单。