Bulletproof Security vs Wordfence:哪个安全插件更好?
已发表: 2023-04-07您刚刚启动了您的网站,并且开始获得一些关注。 您注意到您获得了大量流量,但这些流量来自可疑来源。 你不知道该怎么做,所以你决定研究安全插件。
Wordfence 是一个非常受欢迎的 WordPress 网站安全插件,经常在评论和推荐中提到。 这个插件提供了广泛的功能,包括扫描器、清理器和防火墙——任何网站安全的三个最重要的组件。 虽然它当然有其优点,但也有缺点,本文将讨论这些缺点。
Bulletproof Security 也经常出现在清单文章中,但它真的值得受到关注吗? Bulletproof Security 真的实现了围绕它的炒作吗? 让我们仔细看看吧!
绝对没有比赛。 如果您在这两个插件之间进行选择,Wordfence 显然是赢家,即使它有自己的问题。 Bulletproof Security 绝非它声称的可靠安全解决方案。 我们对它的高收视率感到非常迷惑。 如果您正在寻找可以正常工作的安全插件,请跳过这两个插件并安装 MalCare。
在保护您的网站免受网络威胁方面,有多种安全插件可供选择。 在本文中,我们将比较 Bulletproof Security 和 Wordfence 如何处理安全的不同方面,例如扫描和删除恶意软件。 继续阅读以发现这两个安全插件之间的区别,并找出适合您的那个。
Wordfence 简而言之
Wordfence 是 WordPress 最好的免费安全插件。 如果您没有安全预算,它具有众多功能,使其成为网站安全的不错选择。 Wordfence 包括防火墙和全面的恶意软件扫描。 但需要注意的是,扫描只能检测到 70% 到 80% 的恶意软件,这是由于用于检测的签名匹配机制所致。 这是 Wordfence 的主要缺点之一。

防火墙在抵御威胁方面做得很好,但免费版的规则比高级版晚 30 天更新。 由于防火墙依靠规则来抵御威胁,因此这对站点安全来说是一个重大劣势。
最后,您可能还需要与您的网络托管服务商核实,看看您的网站上是否允许使用 Wordfence,因为它是一种资源消耗,一些主机完全禁止其服务器使用它。 总的来说,Wordfence 是一个优秀的安全插件,提供了很好的保护,但它仍然有一些缺点,在使用它之前应该考虑到。
防弹安全简而言之
Bulletproof Security 声称提供可靠的安全解决方案,但它远非防弹。 在测试免费版本后,我们失望地发现,包括扫描器、清洁器和登录安全在内的所有功能实际上都无法抵御恶意软件。 我们不愿意升级到专业版以查看防火墙是否更好,但免费版绝对是一个糟糕的安全插件。

安全功能的正面比较:Wordfence 与 Bulletproof Security
在本节中,我们将比较这两个插件在重要的安全功能方面如何相互叠加,如下所示:
恶意软件扫描
Wordfence 的免费扫描仪只有 70-80% 有效,但 Bulletproof Security 的扫描效果非常糟糕。
Wordfence 的免费扫描仪仅以 60% 的效率运行,如其仪表板上所述,这不是很好。 尽管扫描完成得很快,但如果它们不能有效检测恶意软件,这就没什么用了。

Wordfence 还使用签名匹配来检测恶意软件。 这意味着他们拥有一个庞大的恶意软件签名数据库,他们可以将您网站上的代码与这些数据库进行比较。 值得称赞的是,Wordfence 在保持数据库更新方面做得非常出色,但就其本质而言,它无法检测到更新的恶意软件。 所以它不能抵御零日攻击。

此外,此机制仅适用于基于文件的恶意软件。 恶意软件也可能存在于数据库中; 事实上,重定向恶意软件通常比网站上的文件更能感染数据库。 Wordfence 检测到我们所有基于文件的恶意软件,据我们估计,它能够检测到 70% 到 80% 的恶意软件。 不幸的是,它也容易出现误报。
最后,扫描器只能真正检测开源或免费插件和主题中的恶意软件。 这是因为他们使用公开可用的代码来比较站点代码,以查找不应该存在的添加内容。 这排除了高级插件和主题,后者占绝大多数
当我们测试 Bulletproof Security 时,我们观察到了一些事情。 首先,当我们第一次运行扫描时,我们还必须打开数据库选项。 我们不确定为什么这是一个选项而不是自动扫描的一部分,因为数据库恶意软件是真实存在的。

接下来,扫描在另一个窗口中打开,并标记为:“文件哈希生成器”。 这是某种初步扫描,尽管从仪表板上看不清楚。

接下来我们运行了第二次(或者更确切地说是第一次实际的恶意软件扫描)。 扫描我们被黑网站大约需要 5 分钟。 在具有更多帖子和图像的更大测试站点上更长。

尽管存在所有这些繁琐的内容,但 Bulletproof Security 并未在我们被黑客入侵的网站上检测到任何恶意软件。 它还导致我们的 wp-admin 变得无响应,这是除了它所做的所有非扫描之外的意外奖励。

我们进一步注意到它将我们的 cron 文件标记为可疑,因为它有自定义代码。 对于很多插件来说,这是一个相当典型的事情,所以建议我们删除 cron 文件是非常无益的!


恶意软件清理
Wordfence 可以清除它标记的恶意软件,尽管我们对站点破坏的威胁并不放心。 Bulletproof Security 的恶意软件清除功能将所有责任都推给了网站管理员。
Wordfence 有两个通过插件本身自动删除恶意软件的选项:删除所有可删除文件和修复所有可修复文件。

他们还为那些希望彻底清洁网站的人提供专业的清洁服务,但要付出一定的代价。 尽管我们也害怕丢失自定义代码,但这两个选项都从我们的网站上删除了标记的恶意软件。 但是,我们在使用它们时必须谨慎,因为网站因更改而中断的警告非常可怕。

Wordfence 能够清除我们网站上所有基于文件的恶意软件。 因此接下来,我们决定使用我们插入到数据库和高级主题文件中的恶意软件来测试该功能。 不幸的是,扫描仪无法检测到任何内容,因此甚至无法选择自动修复。
Bulletproof Security 提供的扫描结果令人沮丧,它没有标记出任何实际的恶意软件。 所以没有什么可以测试清洁剂。 然而,为了好玩,我们点击了查看/忽略/删除可疑文件选项,看看会发生什么。

需要明确的是,扫描仪标记的所有可疑文件实际上都不是恶意软件。 真正的恶意软件被允许在我们的网站上不受干扰地休息。 这对黑客来说是多么令人欣慰。
每个可疑文件都有四个选项,您需要对 WordPress 文件有很好的了解才能使用此功能。 我们不推荐此选项,尤其是对于初学者。

防火墙
Wordfence 的防火墙只有 35% 有效。 我们没有测试 Bulletproof Security 的防火墙,因为它是一项高级功能。
Wordfence 防火墙已预先安装并可以使用。 它在抵御攻击方面相当成功。
为了优化其性能,Wordfence 建议将防火墙保持在学习模式一周,以允许它从实时流量中学习。 但是,对于我们的流量不多的测试网站来说,这是不切实际的。

Wordfence 的防火墙免费版只有 35% 有效,所以我们调查了这背后的原因。
首先,防火墙像插件一样加载,如果它在 WordPress 核心之后加载,可能会限制其阻止所有恶意流量的能力。 其次,虽然防火墙会定期更新,但免费版会延迟 30 天接收这些更新,从而为黑客留下了潜在的利用窗口。
Bulletproof Security 中的防火墙是一项高级功能,因此我们无法对其进行测试。 但是,我们可以推断很多繁重的工作是通过 .htaccess 文件完成的,这不是最安全的方法,也不推荐使用。 .htaccess 文件是一个非常强大的文件,但它并不是防火墙。 事实上,它在网站上,所以它在 WordPress 之后加载。 因此,攻击仍然可以到达该站点。
在设置时,有一个自动修复设置可以扫描所有已安装的插件并将它们的 IP 添加到白名单中。 在进一步挖掘时,我们看到这会向 .htaccess 文件添加行。 这会很快变得非常笨拙,因此我们对这种过滤流量的机制不是很满意。

漏洞检测
Wordfence 最有效,但 Bulletproof Security 甚至没有这个基本功能。
Wordfence 正确地将过时的插件识别为中等威胁,将漏洞识别为严重威胁。 不幸的是,Wordfence 还给出了 iThemes 和 Backupbuddy 的误报错误,表明它倾向于偶尔生成错误警报。

值得注意的是,Bulletproof Security 没有这样的基本安全功能,考虑到即使是 iThemes 也提供此功能。
暴力登录保护
Wordfence 具有有效且可自定义的登录安全性。 Bulletproof Security 提供了一个无用的。
Wordfence 的暴力破解保护默认启用并有效运行,根据防火墙部分的配置设置,在一定次数的错误登录尝试后锁定用户。 此部分还提供许多自定义选项,例如设置锁定、锁定时间限制和密码管理选项,以强制使用强密码并防止数据泄露。 尽管可以将 IP 列入白名单,但我们不确定其有效性,因为动态设备 IP 可能会导致合法用户被锁定。


Bulletproof Security 的登录安全功能在登录屏幕上添加了一个简单的验证码字段,必须正确输入该字段以避免错误。 然而,这太基础了,很容易被绕过,给合法用户造成不必要的摩擦。

更糟糕的是,使用正确的验证码在用户名和密码字段中随机输入详细信息实际上会第二次自动填充验证码字段,从而实际上消除了最初创建的小障碍。 可以肯定地说,此安全功能完全无效。

活动日志
两者都没有用户友好的活动日志,但 Bulletproof Security 确实有防火墙安全日志。
我们惊讶地发现 Wordfence 缺少活动日志,而活动日志被认为是最重要的安全组件之一。 在“工具”菜单下的“诊断”部分有一个启用调试的选项,但这只会导致防火墙日志变得更加详细,与活动日志不同。 经过进一步研究,我们发现在扫描部分有一个 Wordfence 事件的活动日志,但它仅用于开发目的,对用户不友好。

Bulletproof Security 不提供活动日志,仅提供记录防火墙活动的安全日志。

双因素身份验证
Wordfence 提供了该功能,而 Bulletproof Security 则没有。
Wordfence 的双因素身份验证易于配置和自定义,以前是一项高级功能,但现在可以通过免费插件访问。

如果您猜到 Bulletproof Security 不提供双因素身份验证,那么您是对的。
服务器资源使用
两者都占用服务器资源,但至少 Wordfence 提供了结果。
Wordfence 的资源密集型特性非常明显。 它在网站上执行的每个操作都会消耗服务器资源,导致扫描期间磁盘使用量激增。 在我们相对较小的网站上,这导致磁盘使用量增加一倍甚至三倍,从而对加载时间、响应时间和整体用户体验产生不利影响。

Bulletproof Security 的扫描会消耗资源,但它们不会标记任何恶意软件,这让情况更加令人沮丧。 简直是在伤口上撒盐。
警报
Wordfence 提供了太多警报。 Bulletproof Security 没有警报。
有了 Wordfence,就会有大量的电子邮件。 我们在很短的时间内被警报淹没,最终使它们变得无用,因为过多的警报会导致在需要时无所作为。
鉴于扫描无法检测到任何恶意软件并且登录安全性很差,我们没有收到任何警报也就不足为奇了。 毕竟,有什么可以提醒我们的呢?
安装、配置和可用性
Wordfence 更易于设置和配置。 防弹安全令人困惑。
Wordfence 的安装、配置和一般使用是我们遇到的最好的。 他们的文档包括每个主要部分的演练,以易于理解的语言提供最重要的设置和功能的全面解释。

此外,Wordfence 为配置提供了很好的建议,并且可以通过仪表板上的工具提示轻松获得它们的文档,从而使其高度用户友好。 每个功能都得到了详细说明,并且可以立即访问有关如何将其应用到您的网站的说明。
Bulletproof Security 的设置向导有点令人困惑,因为它的作用不是很明显。 我们发现它会创建文件夹和数据库表,将已安装的插件添加到 .htaccess 文件中以创建白名单,备份站点数据库并启用默认设置。 但是,它不会备份任何可能同样重要的文件。


此外,设置仅显示一个蓝色或红色行项目,通知我们我们的 .htaccess 文件未受保护。 该界面极难导航,并且充满了晦涩难懂的术语而没有解释,使设置过程变得一团糟。

附加功能
Wordfence 包括一个通知部分,它指示哪些插件和主题由于被视为严重或中等威胁而需要更新。
还有一个 Wordfence Central 仪表板,它允许一个人在同一个帐户上管理多个站点,并且它在每个连接站点的 wp-admin 上也有一个随附的部分。 我们认为,此功能对于拥有数百个托管站点的机构而言实用性有限。

实时流量部分记录流量并对流量进行分类,并且有一个“谁是”查找选项可以在不离开 wp-admin 的情况下查看攻击者。

诊断部分特别有趣,因为它提供了有关网站的全面信息,让开发人员在一个地方了解网站的规格。
Bulletproof Security 为 .htaccess 文件添加了大量加固选项,其中一些非常具体,例如 Timthumb 漏洞代码以及根文件夹和文件的访问保护。 我们不建议篡改 WordPress 核心文件的访问权限,感觉使用好的防火墙是更好的选择。

少了什么东西?
尽管 Wordfence 是一个令人印象深刻的安全插件,但它缺乏保护和活动日志。 该扫描仪非常先进,超过了大多数其他安全插件,MalCare 除外。 尽管缺少这些功能,它仍然是一个出色的安全插件。
Bulletproof Security 缺少扫描仪、登录安全和可能的防火墙功能,尽管这是我们无情的猜测。
价钱
Wordfence 的免费版本非常强大,每年 99 美元的订阅费也很合理。 此前,除了 99 美元的订阅费外,还额外收取 490 美元的恶意软件清理费。 但是,随着 Care and Response 计划的推出,客户可以从一开始就选择 Care 计划。 Response 计划提供有保证的 1 小时响应,每个站点每年的费用为 950 美元,这在发生黑客攻击时非常有用,因为时间至关重要。 这使得 Care 计划有些不足。

只需 69 美元的一次性付款,您的 WordPress 网站就没有任何安全保障——绝对划算!
如何选择一款物有所值的安全插件?
凭借我们对 WordPress 安全性的广泛了解,我们编制了一份全面的基本功能列表,以在安全插件中寻找。 我们省略了与安全性没有直接关系的任何功能,以便为您提供简明和信息丰富的指南。
基本安全功能:
- 恶意软件扫描:此功能有助于检测已添加到网站的任何恶意代码、文件或脚本,提醒用户注意任何潜在威胁。
- 恶意软件清理:它有助于删除已检测到的任何恶意代码。 这是确保网站安全的关键步骤。
- 防火墙:它有助于阻止恶意流量或请求到达网站,并阻止潜在威胁进入网站。 它还有助于提醒用户注意任何可疑活动,例如尝试进行暴力攻击。
必备的安全功能:
- 漏洞检测:此功能有助于检测网站中可能被黑客利用的任何潜在漏洞。 识别这些漏洞并尽快修补它们很重要。
- 暴力登录保护:此功能有助于阻止对网站的任何暴力攻击尝试,黑客经常使用这些攻击来获取对网站的访问权限。
- 活动日志:此功能有助于跟踪网站上的任何可疑活动,例如恶意请求或登录尝试失败,以便在它们造成任何损害之前将其阻止。
- 双因素身份验证:此功能要求用户在访问网站之前输入额外的代码,从而有助于为网站增加额外的安全层。 这使得黑客更难访问该网站。
潜在问题:
- 对服务器资源的影响:这是选择安全插件时要考虑的重要因素。 安全插件通常是资源密集型的,这可能导致加载时间变慢和其他性能问题。
Wordfence 和 Bulletproof Security 的更好替代品:MalCare
老实说,Wordfence 和 Bulletproof Security 的最佳替代品是 MalCare,它是一个全面的安全插件,包含您需要的一切等等。 它提供了 Wordfece 所缺少的机器人保护和活动日志,并且更加可靠。 此外,我们没有忘记数据库。
最后的想法
因此,总而言之,在为您的网站选择 WordPress 安全插件时,必须考虑扫描仪、清洁器和防火墙功能,因为这三个功能是可靠插件的基础。 在 MalCare,我们的使命是提供无压力和轻松的安全性,这样您就可以专注于您网站的基本元素,同时我们确保其安全性。
常见问题
Wordfence 值得吗?
Wordfence free 的价格非常好,这不算什么。 Wordfence 高级版并不比免费版更有效。
Wordfence 的免费版本是否足够好?
是的,Wordfence 的免费版本足以满足基本的安全需求。 它提供扫描仪、防火墙和登录安全性,所有这些都是安全网站所必需的。
Wordfence 会减慢您的网站速度吗?
是的,Wordfence 会大大降低网站速度。 它是一个资源密集型插件,在执行扫描和其他操作时会消耗服务器资源,从而导致磁盘使用量增加,并可能影响加载时间和响应时间。
什么是 Wordfence 的最佳替代品?
MalCare 是 Wordfence 的最佳替代品,因为它提供了全面的功能并且更加可靠。 它提供了 Wordfence 所缺少的机器人保护、活动日志和数据库扫描,而且资源密集度也低得多。