Sucuri vs Sitelock:哪个是更好的安全插件

已发表: 2023-04-07

如果您一直在研究最好的 WordPress 安全插件,您可能遇到过Sucuri 和 Sitelock 。 这两个流行的插件提供了一系列功能,可以帮助保护您的网站免受在线威胁。 然而,在它们之间进行选择可能会让人不知所措,尤其是在比较成本、易用性和功能等因素时。 还有很多难以理解的技术术语。 我们已经为您准备好了!

我们比较了Sucuri 与 Sitelock ,并将所有关键安全信息放在一起。 我们还简化了信息,以便您可以为您的网站选择最佳选项。

与 Sitelock 相比,Sucuri 是一个不错的安全插件。 尽管他们的扫描仪并不完美,但他们的恶意软件清除服务是一流的。 防火墙可以有效阻止大多数威胁,总的来说,Sucuri 的价值要高得多。 老实说,Sitelock 简直太糟糕了。 为了让您的 WordPress 网站获得最佳安全性,请安装 MalCare。

简而言之

Sucuri 绝对是最受欢迎的插件之一,但它也有问题。 对于初学者来说,恶意软件扫描器是不可靠的。 基本上,它不会捕获您网站上的所有不良内容。 不过,好消息是 Sucuri 的恶意软件清除服务非常有效。 然而,他们确实需要时间来做出回应,当您的网站被黑客入侵时,这可能会让人非常紧张。

Sucuri安全

防火墙是另一回事。 它工作得很好,但设置它真的很困难。 基本上,我们不得不搞乱 DNS 设置,让它们指向 Sucuri 的防火墙服务器,而不是我们的测试网站。 现在,公平地说,您可能不会在您的实时站点上遇到这个问题。 除非,您无权访问您的域名注册商,在这种情况下,这将是一个坎坷的旅程。

我们发现真正烦人的一件事是一切都太复杂了。 Sucuri 使用的语言令人困惑且近乎居高临下。 此外,每次安全扫描都会减慢我们测试站点的速度,并导致服务器磁盘使用量激增。 事实证明,Sucuri 使用站点资源来扫描恶意软件,这适得其反。 顺便说一句,Wordfence 也犯了这个罪。

总而言之,Sucuri 是一个不错的选择,但肯定有一些缺点。 请记住,扫描仪并不完美,防火墙设置可能是一场噩梦。

站点锁定简而言之

Sitelock 似乎在许多方面都存在不足。 配置可能具有挑战性,并且通常无法按预期工作。 扫描仪和删除等关键安全功能非常糟糕,根本无法使用。

站点锁安全

甚至双因素身份验证等辅助安全功能似乎也无法正常运行。 很难理解为什么这个插件会出现在市场上,因为它似乎有很多问题。 总的来说,Sitelock 在功能和有效性方面似乎还有很多不足之处。

Sucuri vs Sitelock:安全功能的正面比较

虽然 Sitelock 和 Sucuri 都旨在为网站提供全面的安全性,但它们在特性和功能方面存在明显差异。 我们将检查它们的主要功能,例如恶意软件扫描和删除、Web 应用程序防火墙等。 到本节结束时,您将清楚地了解 Sitelock 和 Sucuri 的优缺点。

恶意软件扫描器

Sucuri 捕获了一些恶意软件,但它是一个资源消耗者。 Sitelock 没有捕捉到任何东西。

我们来谈谈 Sucuri 的恶意软件扫描程序。 它能够在我们的许多测试站点上捕获一些恶意软件。

每日扫描和按需扫描都可用,但问题是:它们会占用服务器资源并降低您的网站速度。 此外,即使您选择仅扫描某些文件和文件夹以减少内存消耗,也并非万无一失。 恶意软件可能仍然隐藏在其他地方。

Sucuri 恶意软件扫描程序

要启用服务器端扫描程序,您必须手动将文件上传到 Web 服务器或允许 Sucuri 使用您的 FTP 凭据。 但是后来,我们遇到了一个名为“白名单 URL 路径”的设置,我们认为这意味着我们可以添加不想扫描的文件夹。 但是,帮助图标不是很有用,只是说添加的任何链接都会抑制这些路径的警告。

好的一面是,当我们请求清除恶意软件时,Sucuri 能够从站点中删除所有恶意软件实例。 但是,几个小时后,在每日扫描期间,它再次标记恶意软件并建议进行另一次清理。 谈论过山车之旅!

在我们的测试中,Sitelock 的恶意软件扫描器被证明是无效的。 尽管每天运行扫描,但扫描器未能在我们的测试站点上检测到任何恶意软件。 我们甚至运行了按需扫描,但它仍然没有捕获到任何恶意代码。 我们发现令人惊讶的是,Sitelock 在该站点受到严重感染的情况下仍为该站点提供了一份干净的健康证明。 用户可以自定义自动扫描的频率,但每天只允许一次按需扫描。

恶意软件清理

Sucuri 的支持团队能够清理我们的网站,但需要 12 个小时。 我们无法测试 Sitelock 的恶意软件删除功能,因为它没有标记任何恶意软件。

尽管 Sucuri 为我们被黑的网站提供了一份干净的健康证明,但我们还是联系了支持团队以检查清洁服务。 他们以 12 小时的周转时间作为回应。 他们在消除恶意软件方面表现出色。 他们唯一需要的就是我们的 FTP 凭据。

他们完成清理后,指出了我们用于实验的三个易受攻击插件中的两个,并要求我们更新它们。 他们还向我们提供了一套清理完成后要遵循的安全措施。

不幸的是,恶意软件并不以耐心等待而著称,因此这是一个极其漫长且充满压力的等待。 要获得更快的响应时间,您需要升级您的计划。

由于 FTP 连接问题,Sitelock 的自动恶意软件删除功能 SMART 无法用于测试。 Sitelock 的扫描器未能检测到恶意软件,这引发了人们对其自动清洁器有效性的怀疑。 此外,如果扫描器无法首先识别恶意软件,专家恶意软件删除功能将如何发挥作用尚不清楚。

防火墙

Sucuri 的防火墙很难安装,但非常有效。 Sitelock 在我们安装的基本计划中没有防火墙。

我们对其进行了测试,它成功地阻止了 SQL 注入、远程注入和跨站点脚本攻击等攻击。 我们的测试网站充满了漏洞,但防火墙很坚固,保护它免受伤害。

但是,我们确实遇到了防火墙的一个问题:它的安装。 Sucuri 拥有所谓的 DNS 防火墙,而不是基于插件或网络的防火墙。 要激活防火墙,您需要将您的流量定向到他们的服务器,这将过滤掉所有恶意流量并仅向您的网站发送良好流量。

这听起来像是个好主意,但是天哪,它很难配置。 我们的测试网站没有附属于任何域名注册商,所以我们不得不请我们的工程团队来解决这个问题。 我们只是说这不是最平稳的旅程,但我们最终到达了那里。 我们在有关安装的部分中对此进行了更多讨论。

任何无法访问其域注册商或 DNS 设置的人都将难以安装 Sucuri 的防火墙。

Sitelock 提供的基本计划不包括防火墙或机器人保护,这意味着我们无法在评估期间测试这些功能。 令人失望。

漏洞检测

Sucuri 能够检测出 3 个易受攻击的插件中的 2 个。 站点锁检测到 0。

Sucuri 的漏洞检测充其量只是平均水平,但至少它存在。 启用服务器端扫描程序后,它能够检测到我们网站上三个易受攻击的插件中的两个。 虽然这不是 100% 的成功率,但它仍然是一项坚实的努力——在测试了其他所谓的安全插件后,我们逐渐意识到这一点。

尽管 Sitelock 声称具有漏洞检测功能,但我们的测试表明它未能识别我们网站上的任何漏洞。 扫描器功能(包括 SQL 注入和 XSS 漏洞检测)产生了干净的结果,即使这两种类型的漏洞都存在于我们的站点上。 这是 Sitelock 的重大失败。

暴力登录保护

都失败了。

为了测试 Sucuri 的暴力登录保护,我们将设置更改为每小时 30 次失败登录。 最初,我们对锁定设置和被锁定在站点之外有点担心。

然而,当我们试图通过在 3 分钟内尝试 40 多次错误登录来测试系统时,我们失望地发现 Sucuri 没有发出警报。 我们检查了审计日志,发现记录了失败的身份验证尝试,但我们无法弄清楚为什么 Sucuri 没有提醒我们该攻击。 这令人担忧,因为缺乏警报可能会使网站容易受到进一步攻击。

你感觉到趋势了吗? Sitelock 不提供暴力登录保护,这是防止未经授权访问网站的基本功能。

活动日志

Sucuri 有很棒的日志,而 Sitelock 没有。

日志很重要。 它们可以帮助您跟踪网站上发生的事情,例如谁在做什么以及何时做了什么。

为了确保这些日志免受攻击者的攻击,Sucuri 需要一个 API 密钥来将有关您网站的数据存储在异地。 这样,即使有人试图删除日志,他们也无法删除。

好消息是日志工作得很好! 他们记录时间、用户和操作,这非常有帮助。 唯一的缺点是有时更新可能有点不清楚。 例如,当您安装一个新插件时,它可能会显示为“插件已激活”,并且日志中可能还有七个条目显示安装对事情的影响。 但是,不幸的是,没有太多关于这些条目的实际含义的解释。

惊喜,惊喜! Sitelock 没有活动日志功能,这对于监视和跟踪网站上的用户活动很有用。

双因素身份验证

Sucuri 没有用于 WordPress 网站。 Sitelock 声称可以,但我们无法成功设置。

可以在您的 Sucuri 帐户上启用 2FA,但目前不适用于您的 WordPress 网站。

在 Sucuri 中配置 2FA

尽管 Sitelock 提供双因素身份验证,但我们对它的体验令人失望。 我们尝试使用文本消息选项,但在单击以测试配置时遇到了一条失败的消息。 此外,我们尝试设置移动验证也没有成功。

在站点锁中配置 2FA

服务器资源使用

Sucuri 是一个资源消耗大户,但 Sitelock 对服务器的影响微乎其微。

Sucuri 的扫描器对服务器资源有巨大的影响。 如此之多以至于他们甚至因此而阻止频繁扫描,这不是很好。 为什么您必须在安全、良好的性能和合理的服务器费用之间做出选择?

苏库里

因此,在 Sucuri 的常规设置中,有一个数据存储选项似乎表明大量数据(主要是日志)存储在网站本身上。 这就是需要 API 密钥的原因,因为数据存储在默认情况下可公开访问的上传文件夹中。 有一个选项可以将存储位置更改为非公共文件夹,但奇怪的是这不是默认设置。

Sitelock 的扫描器没有对我们的磁盘使用产生重大影响,这是该插件的一个积极方面。 这意味着将 Sitelock 用于网站安全不会对服务器资源造成不必要的压力。 当然,这也意味着您也得不到任何安全保障。

警报

Sucuri 具有令人困惑的精细设置。 Sitelock 具有令人困惑的切换设置。

接收安全警报的设置非常具体和精细,但这里的问题是可能会有太多噪音,您可能会在所有混乱中错过重要的东西。

您可以设置要发送给特定人员的警报,甚至可以自定义警报的格式。 您还可以添加 IP 地址范围,这样这些地址就不会被标记为警报,这非常酷。 但说实话,他们使用的语言可能非常令人困惑。 什么是“无类域间路由”? 没有人有时间做这一切。 我们只希望我们的网站安全无虞。

Sucuri 似乎知道他们可以发送太多警报,因此他们有一个设置,您可以在其中配置您在一小时内收到的最大警报数量,例如最多 5 封电子邮件。 但问题是:如果前 5 个都是误报而第 6 个实际上是合法的呢? 他们确实对此有免责声明,但拥有实际信息总比无用的功能好,对吧?

Sitelock 具有一项功能,供用户从仪表板打开和关闭安全问题通知。 然而,这些警报的性质并不明确,让用户不确定会发生什么。

安装、配置和可用性

两者都很难安装。

关于Sucuri的安装、配置和使用,要说的很多。 那么,让我们分解一下:

安装

Sucuri 的安装过程通常很简单,但防火墙设置除外,这需要多加注意。 在防火墙安装方面,Sucuri 的文档指出,只需更改您的 DNS A 记录以指向其防火墙 IP 地址即可。 此步骤会将所有流量重定向到他们的服务器,在那里可以过滤恶意内容。 此过程可确保仅将合法流量转发到您的站点,从而提供额外的安全层。 如果您有使用 DNS 记录的经验,则该过程应该相对简单。

不幸的是,我们的测试站点缺少域名,我们无法访问它们的名称服务器,这使我们无法将它们指向 Sucuri 防火墙。 尽管我们能够毫无问题地为其中一个测试站点购买防火墙计划,但我们无法自动集成它,因为 Cloudways 不提供 cPanel 或 Plesk。

为了继续进行测试,我们需要确保内部域链接正常运行并正确加载我们的网站,它做到了。 然后我们尝试使用 Sucuri 的 DNS 服务器,但由于担心无法恢复更改而犹豫是否这样做。

我们的第一次尝试没有成功,因为该域不是由我们的帐户管理的。 但是,我们能够在另一个测试站点上成功安装防火墙,其中包括前面提到的审核日志页面。

您可能不会在实时站点上遇到这些问题,除非您无权访问其 DNS 设置。 在这种情况下,您将需要工程协助来进行设置。

可用性

由于使用了技术术语,因此 Sucuri 的设置可能很难导航,这可能需要大量时间才能理解。 虽然该插件确实提供了一些推荐设置,但用户可能不得不盲目相信这些建议。 此外,Sucuri 的恶意软件扫描程序的有效性受到质疑,这可能会导致对该插件的整体功能产生怀疑。

后黑客功能

在探索此功能后,我们发现了一些缺点。

例如,通过从仪表板更改 WordPress 盐来更新密钥是有风险的,因为它是明文形式并且对所有登录到 wp-admin 的管理员可见。 具有管理员访问权限的黑客构成了重大威胁,只有在确认没有管理员帐户受到威胁后才能使用此功能,这一点没有被强调。

重置用户密码功能看起来很有前途,但有一个警告。 从列表中选择用户来更改他们的密码,终止他们的会话,并通过电子邮件接收密码重置链接。 但是,该插件会在发送电子邮件之前更改密码,因此如果 Web 服务器无法发送电子邮件,用户可能会被锁定在站点之外。

重置已安装的插件仅对免费插件有用。 高级插件仍然需要重新安装,而没有提到主题,大概是因为它可能会导致自定义丢失。 与其重新安装所有内容,不如清理代码。

可用的插件和主题更新功能仅提供基本的版本管理,不会增强现有的管理仪表板功能。 然而,它可能会教育用户过时的插件和主题与安全风险之间的联系。

配置

最初,我们对 wp-admin 仪表板的布局印象深刻。 然而,我们注意到最大的信息框专注于 WordPress 的完整性,这是一个变相的文件更改监视器。 尽管此功能在某些情况下可能很有用,但它可能会误导没有经验的用户认为它是检测恶意软件的唯一必要工具。

当我们进一步探索设置时,我们发现了一个完整性差异实用程序,可用于比较核心文件和检测差异。 此功能可能比在线 diffchecker 实用程序更加用户友好。 但是,我们也发现一些设置,例如日志分析软件和反向代理,对于非技术用户来说可能难以理解。 除非我们知道反向代理是什么,否则收到居高临下的指示以避免某些选项是令人沮丧的。 对于某些用户来说,设置的复杂性可能会让人不知所措。

安装 Sitelock 并不是一个简单的过程。 该插件与任何其他插件一样安装和激活,给人的第一印象是它很容易使用。 然而,找到插件仪表板有点棘手,因为它位于 wp-admin 的工具菜单下,并且插件菜单上没有设置链接。

经过一番搜索后,找到了插件仪表板,但它需要连接到 Sitelock 的站点。 单击该按钮会转到“工作原理”页面,这不是我们想要的。 再次单击该按钮会转到定价页面,在购买计划后,我们会被带到 Sitelock 主页,其中包含等待收到电子邮件的说明。 该电子邮件包含一封付款确认书,其中包含指向我们网站上 Sitelock 仪表板的链接。 从那里,我们必须配置插件以访问其选项。

但是,SMART 设置需要通过 FTP 访问我们的站点,尽管拥有可与专用客户端一起使用的凭据,但仍未成功。 放弃 SMART 设置后,我们在仪表板上测试了插件。

附加功能

苏库里

强化功能

值得注意的是,实施这些安全措施可能会影响用户体验。 例如,禁用插件和主题编辑器会使对网站进行某些更改变得更加困难。 该公司还声称他们将阻止所有 PHP 文件,但这很可能仅适用于远程执行 includes 文件夹中的 PHP 文件,因为阻止网站上的所有 PHP 文件会导致其功能失调。

Sucuri 硬化选项

然而,关于某些插件和主题需要访问这些文件夹中的 PHP 文件的警告是不够的。 例如,Sucuri 自己将 PHP 文件保存在上传文件夹中。 目前尚不清楚他们是否需要从外部仪表板访问自己的文件,或者这是否属于规则的例外情况。 这表明用于实施安全措施的规则可能以用户不易察觉的方式灵活。

API服务通信

有关 API 服务通信的文档可能令人困惑,并且可能需要花费大量时间来了解设置并评估它们对安全的影响。

站点锁

Sitelock 仪表板似乎具有反垃圾邮件功能,但不清楚如何处理垃圾邮件。

包括完整站点备份,而不仅仅是数据库备份,令人印象深刻。 不幸的是,备份存储在站点服务器上,因此在服务器发生故障时它们将变得毫无用处。

少了什么东西?

Sucuri还有改进的余地。 Sitelock 需要重新考虑它们是否首先是一个安全插件。

恶意软件扫描器不是很好。 蛮力登录保护有点令人失望,真的会耗尽服务器的资源。 另外,没有内置的机器人保护,这有点令人失望。 它也没有双因素身份验证——您需要为此安装一个单独的插件。 总而言之,Sucuri 绝对可以在这些方面进行一些改进。

简而言之,Sitelock 缺少有效网站安全所需的一切。 它的恶意软件扫描器无法正常工作,漏洞检测不存在,并且清洁器使用起来有潜在危险。 双因素身份验证不起作用,并且没有登录保护,使其成为不可靠的安全工具。

价钱

Sucuri更值得。 它至少做了一些事情。 Sitelock 不值得。

如果恶意软件扫描程序、删除程序和防火墙都不错,那么每年 199 美元的价格就可以了。 但 MalCare 的基本计划更有效且更便宜。

该插件提供的计划从每个站点每年 149 美元到 349 美元不等。 根据基本计划的表现,这似乎是一项浪费的投资。

我们试图取消我们的订阅,但被指示致电支持,然后计费或使用聊天。 复杂的取消流程引发了对公司客户服务的担忧。

Sucuri 和 Sitelock 的最佳替代品

我们显然不认为 Sucuri 或 Sitelock 是最好的安全插件。 他们都有令人沮丧的严重问题和无效的安全功能。 那么,最好的安全插件是什么? 嗯,MalCare 很棒。 扫描器、恶意软件清除、防火墙和可用性比其他插件好得多。

如何选择最好的安全插件?

问题的关键在于如何为您的网站或应用程序选择最好的安全插件。 有这么多选择,不知道从哪里开始可能会让人不知所措。 为简化流程,我们编制了一份重要的安全功能列表,在选择插件时应将这些功能放在首位,同时还列出了一些可进一步增强安全措施的必备功能。

基本安全功能

  • 恶意软件扫描器:这意味着该插件将定期扫描您的网站或应用程序以查找可能由黑客注入的任何恶意代码或文件。
  • 恶意软件清除器:如果检测到恶意软件,该插件也应该能够清除它。 否则,这是没有意义的。
  • 防火墙:防火墙是您选择的任何安全插件中都应包含的另一个基本功能。 防火墙充当您的网站或应用程序与互联网其余部分之间的屏障,阻止任何未经授权的访问尝试并防止恶意流量到达您的网站。

必备功能

  • 漏洞扫描器:这可以帮助识别您的网站或应用程序中可能被攻击者利用的任何弱点。
  • 暴力登录保护:暴力登录保护是另一个有用的功能,可以通过猜测用户名和密码来防止自动登录尝试。
  • 活动日志:它可以帮助您监控网站上的任何可疑活动,例如登录尝试失败或未经授权更改您的内容。
  • 双因素身份验证:作为额外的安全层,这也越来越受欢迎,要求用户除了输入密码外,还要输入发送到他们手机或电子邮件的代码。

潜在问题

  • 对服务器的影响:一些插件可能会占用大量资源,导致您的网站或应用程序变慢或崩溃。 请务必选择轻量级且针对性能进行优化的插件,以避免对您网站的速度和稳定性产生任何负面影响。

最后的想法

选择安全插件时要评估的核心功能是扫描器、清理器和防火墙。 所有其他功能都可以通过其他插件实现。 Sucuri 和 Sitelock 在这些方面表现不佳。 如果您正在寻找可以保护您网站的无压力安全插件,MalCare 就是您的不二之选。

常见问题

Sucuri 的防火墙值得吗?

它是一种相当有效的安全工具。 但是,如果您无法访问 DNS 信息,安装可能会有点困难。 另外,防火墙本身不足以保护 WordPress 网站。

站点锁有什么用?

Sitelock 是 WordPress 网站的安全插件。 或者至少,他们是这么说的。 它们在扫描、清理和防火墙等基本安全功能方面表现不佳。

Sucuri 有什么好处?

Sucuri 为网站所有者提供恶意软件检测和删除、网站防火墙、网站速度优化、SSL 证书管理、信誉监控和专业支持。 它提供了一套全面的网站安全服务来保护您的网站免受各种威胁并提高其性能。