Wordfence vs All-In-One WP Security:哪个安全插件更好?

已发表: 2023-04-07

您正在运营一个网站,并且您开始变得非常受欢迎。 您已经听说过安全威胁并且担心您网站的健康状况。 您决定获取一个安全插件来帮助管理您网站的健康并保护它免受攻击。 但是你选择哪一个呢? 有这么多安全插件可供选择? 当涉及到像安全这样重要的事情时,您不能只选择任何插件。

Wordfence 是一个在网站安全插件方面不断出现的名称。 这是一个流行的选择,为用户提供了一系列旨在保护他们的站点免受恶意威胁的功能。 但是 Wordfence 是适合您的安全插件吗? 它缺少什么功能?

All-In-One Security 是一种安全插件和反垃圾邮件软件,因其广泛的功能而受到高度评价和赞誉。 它不仅提供安全插件的所有安全功能,而且还具有大量强化功能以确保您的网站尽可能安全。 但它与竞争对手相比如何? 它是否辜负了它的声誉?

我们不是 All-In-One Security 的粉丝,因为它缺少清洁器,本质上只是一个美化的反垃圾邮件和强化插件; Wordfence 无疑是更好的选择。 WordPress 最好的安全插件既不是 Wordfence 也不是 All-in-One Security; 它是 MalCare。

说到 WordPress 安全性,有多种插件可供选择。 最受欢迎的两个是多合一安全和 Wordfence。 在本文中,我们比较了这两个插件如何处理重要的安全操作,例如安装防火墙或删除恶意软件。 继续阅读以了解这两个安全插件之间的区别以及我们认为 Wordfence 更好的原因。

概述:Wordfence 与多合一安全性

Wordfence 和 All-In-One Security 都是 WordPress 的安全插件,有免费版和高级版,但它们有很大的区别。

Wordfence 有一个签名匹配检测机制,可以检测 70% 到 80% 的恶意软件和一个将威胁拒之门外的防火墙,但免费版本比高级版本更新得晚。

All-In-One Security 具有反垃圾邮件功能和双因素身份验证功能,但免费版本缺少扫描程序来检查站点是否被黑客入侵、漏洞检测或恶意软件清除程序。 防火墙严重依赖 .htaccess 文件,该文件只能阻止某些类别的恶意机器人。

总的来说,Wordfence 似乎是一个更全面的安全插件,而 All-In-One Security 更侧重于反垃圾邮件功能。

Wordfence 简而言之

Wordfence 是一个全面的免费 WordPress 安全插件。

Wordfence 安全

它的签名匹配检测机制可以检测到 70% 到 80% 的恶意软件,但它确实会漏掉大多数基于数据库的恶意软件。 它的防火墙在抵御威胁方面做得很好,但值得注意的是,免费版本的更新比高级版本晚得多。 此外,如果您的站点允许使用 Wordfence,请务必与您的 Web 主机核实,因为它可能会占用大量资源,导致许多主机完全禁止其服务器使用它。

多合一安全性简而言之

多合一安全性具有一些积极的特点。 对于初学者来说,它具有反垃圾邮件功能、双因素身份验证功能和限制登录功能,不会对站点服务器造成负载或过多警报。

多合一安全和防火墙

不幸的是,弊大于利:免费版本没有扫描仪来检查您的网站是否被黑客入侵,也没有漏洞检测或恶意软件清除程序。 此外,防火墙严重依赖 .htaccess 文件,该文件似乎只能阻止某些类别的恶意机器人。 我们只能推荐 All-In-One Security 的反垃圾邮件功能,尽管我们更喜欢 CleanTalk 或 Akismet。

强化功能还不错,但没有什么是用较小的插件无法轻松实现的。 我们发现 All-In-One Security 与 iThemes 非常相似,因为 wp-admin 上的过多设置似乎试图掩盖插件缺乏实质内容的事实。

安全功能的正面比较:Wordfence vs All-In-One WP Security

在本节中,我们将比较这两个插件在恶意软件检测、双因素身份验证、安全强化和资源使用等重要安全功能方面的相互比较。

恶意软件扫描

任何低于 95% 的恶意软件检测都不好,但至少免费的 Wordfence 有点有效。 All-In-One Security 的免费插件中没有扫描仪。

Wordfence 的免费扫描仪只有 60% 有效,这并不理想。 扫描很快完成,因为 Wordfence 使用签名匹配通过将您站点上的代码与庞大的恶意软件签名数据库进行比较来检测恶意软件。 他们在保持签名数据库最新方面做得很好; 但是,它无法检测到零日攻击。

Wordfence 恶意软件扫描

此外,签名匹配仅对基于文件的恶意软件有效,无法检测数据库中的恶意软件。 我们发现它只检测到 70-80% 的恶意软件,并产生误报以启动。 最后,扫描器只能检测开源或免费插件和主题中的恶意软件,因为它依赖于公开可用的代码进行比较。 扫描中不包括高级插件和主题。

Wordfence 恶意软件扫描程序

我们惊讶地发现恶意软件扫描是一体化安全的一项高级功能。 从好的方面来说,扫描是在他们的服务器上进行的,而不是在您自己的网站上进行的。

恶意软件清理

Wordfence 的恶意软件清除功能一般,但至少它存在。 多合一安全性并非如此。

Wordfence 提供了两个自动删除恶意软件的选项:删除所有可删除文件和修复所有可修复文件。 如果需要更彻底的清洁,Wordfence 还提供专业的清洁服务。

我们测试了这两个自动化选项,发现它们成功地从我们的网站中删除了恶意软件; 但是,由于可能出现网站中断的警告,我们不得不谨慎行事。 不幸的是,扫描器无法检测到任何数据库恶意软件或高级插件中的恶意软件,因此无法进行自动修复。

遗憾的是,All-In-One Security 不提供恶意软件清除功能,甚至不提供推荐的清除服务。 他们提供的唯一指导是建议,这远不能令人满意。 对于安全插件,这是非常令人失望的。

防火墙

Wordfence 的免费防火墙还有很多不足之处。 All-In-One Security 的防火墙可以抵御垃圾邮件机器人,但仅此而已。

Wordfence 的防火墙以学习模式开始,Wordfence 建议保留一周以提高效率。 但是,由于我们的测试网站缺乏实时流量,我们决定立即将其关闭。

Wordfence 防火墙

根据仪表板,它确实成功阻止了在线攻击,尽管免费防火墙的效率仅为 35%。 我们调查了为什么会出现这种情况,并找到了两种可能的解释。

Wordfence 保护已激活

首先,免费防火墙作为插件加载在 WordPress 核心之后,这意味着它只能防御部分恶意流量,而不是全部。 其次,高级版的 Wordfence 会实时接收更新,而免费版会在未知的时间后接收更新,这可能会给黑客留下一个漏洞窗口。 从 Wordfence 自己的评估中可以清楚地看出,免费防火墙不如高级版本有效。

All-In-One Security 具有类似防火墙的功能,可以阻止某些机器人程序、垃圾邮件、暴力登录和抓取程序,并关闭对某些文件的访问。 但是,这些功能并不构成真正的防火墙。 防火墙似乎主要依赖 .htaccess 文件进行操作,这是一个强大的工具,但不适合防火墙的工作。

从仪表板中,您可以将 IP 地址和用户代理列入黑名单以保护您的站点。 要启用地理封锁,您必须升级插件。

漏洞检测

Wordfence 上的漏洞检测开箱即用,非常可靠。 All-In-One Security 称这是一项高级功能,是他们扫描仪的一部分。

Wordfence 准确地提醒我们所有过时的插件都是中等威胁,并正确地将漏洞标记为严重威胁。

漏洞检测似乎只能在 All-In-One Security 的高级扫描功能中使用。 因此,到目前为止,还没有可用的漏洞检测。

暴力破解保护

Wordfence 具有强大的暴力破解保护,而 All-In-One Security 具有非常复杂的功能以及许多漂亮的功能。

Wordfence 上默认启用暴力破解保护,并且每次都能有效地工作,根据仪表板上设置的配置将用户锁定在错误尝试过多的门外。 这些设置可以在防火墙部分找到,并且有很多选项可以自定义,例如错误登录尝试的锁定时间。 Wordfence 清楚地解释了这些设置中的每一个,并提供了充足的文档。

还可以在此处设置密码管理选项,例如强制使用强密码和防止使用在数据泄露中发现的密码。 可以在本节中将 IP 列入白名单,但是我们不确定它们的有效性,因为设备 IP 可以是动态的,这意味着合法用户仍可能被锁定。

All-In-One Security 提供了多种设置来防止用户登录屏幕上的暴力破解,我们使用默认推荐值来测试该功能。 我们用现有用户名和不正确的用户名测试了不正确的密码,并且锁定工作顺利。

可以根据个人喜好调整设置,总的来说,此功能是我们见过的限制登录的更好版本之一。

此外,还有一组单独的切换开关专门用于防止暴力破解,其中之一是能够更改登录 URL。 这是一种伪装成暴力预防的强化措施。 此外,还有一个仅对机器人可见的蜜罐选项,可以启用该选项以自动拒绝落入蜜罐陷阱的注册。 此功能是为了防止垃圾邮件注册。

活动日志

这两个插件都没有活动日志。

我们惊讶地发现 Wordfence 没有活动日志,因为它是网站安全的重要组成部分。 在“工具”菜单的“诊断”部分有一个启用调试的选项,但这会导致防火墙日志变得更加详细,而不是活动日志。 通过广泛的研究,我们能够在扫描部分找到专门针对 Wordfence 事件的活动日志。 然而,它是一个原始日志,大概是为 Wordfence 开发人员创建的。

遗憾的是,AIOS 没有活动日志,只有半生不熟的登录日志。

双重身份验证

All-In-One Security 和 Wordfence 都具有不错的 2FA 功能。

Wordfence 的双因素身份验证很容易设置和自定义各种选项。 它曾经是一项高级功能,但现在也包含在免费插件中。

多合一安全性提供了为所有类型的用户设置双因素身份验证 (2FA) 或选择最需要保护的帐户的能力。

此切换将 2FA 添加为用户配置文件中的一个选项,允许用户根据需要启用它。

用户可以选择多种选项,具体取决于最适合他们的机制。 总而言之,All-In-One Security 2FA 是一项全面的功能。

服务器资源使用

Wordfence 是站点服务器上的一个缺陷。 另一方面,All-In-One Security 几乎不使用任何资源,因为它实际上并不扫描免费版本中的站点。

Wordfence 可能会占用大量资源,因为它在网站上执行的每个操作都会消耗服务器资源。 这可能会导致扫描期间磁盘使用量激增,从而导致磁盘使用量增加一倍甚至三倍,从而对加载时间、响应时间和用户体验产生负面影响,即使在相对较小的网站上也是如此。

多合一安全性对站点服务器非常温和,因为免费版本中没有可用的扫描功能。 此外,您可以通过启用防火墙部分中的设置来防止盗链。 这将防止人们在他们自己的站点上使用存储在您的站点服务器上的资产,这会耗尽您的服务器空间。

警报

Wordfence 会用警报轰炸你。 使用多合一安全性,您可以自定义要接收的信息。

使用 Wordfence,我们很快就被电子邮件和警报淹没了。 不幸的是,这使它们变得毫无用处,因为过多的警报会导致在必要时无所作为。

All-In-One Security 具有合理数量的警报,例如锁定用户,您可以自定义您希望接收的警报。 然而,这与 Wordfence 提供的大量警报相去甚远。

安装、配置和可用性

Wordfence 拥有我们见过的最好的安装和设置。 与我们见过的其他一些可怕的 UI 相比,即使是多合一安全性也很容易。

Wordfence 的安装、配置和一般使用受到许多人的高度评价。 他们的文档包括每个主要部分的分步演练,以易于理解的语言提供最重要的设置和功能的详细解释。

此外,Wordfence 提供了很好的配置建议,并且可以通过仪表板上的工具提示获取文档,使其非常人性化。 每个功能都得到了深入的解释,并且可以立即访问有关如何将其应用到您的网站的说明。

与 Bulletproof Security 的混乱用户界面相比,All-In-One Security 的安装和激活相对简单。

但是,由于网站上已经安装了 MalCare,我们无法自动设置防火墙,不得不在终端中编辑代码,将 MalCare 防火墙替换为一体式安全防火墙。

All-In-One Security 有一个评分系统来确定我们网站的安全程度。 网站上的 0/505 分是一个令人痛苦的惊喜,但是,该系统有助于了解网站的状态。 为了增强安全性并获得更好的分数,需要在设置菜单中的每个选项上启用基本安全功能。

附加功能

Wordfence 提供了一个通知部分来指示哪些插件和主题由于被认为是严重或中等威胁而需要更新。

此外,Wordfence Central 仪表板允许一个人在同一个帐户上管理多个站点,但是,这对于拥有数百个托管站点的机构来说可能不是很有用。

实时流量部分记录流量并对流量进行分类,甚至提供“谁是”查找功能,无需离开 wp-admin 即可查看攻击者。

最后但同样重要的是,诊断部分在一个地方提供了有关网站的全面信息,使其成为开发人员的宝贵工具。

All-In-One Security 提供站点数据库、.htaccess 文件和 wp-config 文件的部分备份,这是一个好主意。 但这些备份不足以自行重建被破坏的站点。 插件和主题可以进行重大修改,不备份它们会导致代价高昂的错误。 为确保您的站点受到充分保护,请确保进行明确备份并将其保存到您的设备中。

另外,.htaccess 文件不经常更改,但数据库确实如此。 自动备份将是保护您网站的最有效方式,因为人们甚至可能不知道数据库发生了变化。

尽管 All-In-One Security 包括一些强化设置,但它们在保护网站方面可能不如某些人想象的那么有效。 例如,删除 WordPress 版本并不能防止漏洞,因为更新 WordPress 是保持安全的唯一方法。

此外,试图隐藏管理员用户名不会阻止暴力攻击,因为它们仍然会消耗服务器资源。 All-In-One Security 的密码工具可以帮助创建强密码,但是更改数据库前缀和更改文件权限都是无效的措施。 禁用对 XML-RPC 的访问是一项有用的功能,但文件更改检测的用途有限。

能够更改文件权限将是一个有用的功能,如果它不是那么无牙的话。 您只能更改某些文件和文件夹的文件权限,并且只能更改为 AIOS 推荐的权限。 谈论防白痴功能,并使其完全无用。

有趣的是,可以限制网站上的用户注册以帮助防止黑客攻击。 这种策略可以防止黑客创建用户帐户和提升权限以获得对站点的不受限制的访问。 此外,还有多种选项可用于防止垃圾评论,这是一个很棒的功能,因为垃圾评论可能非常烦人。 防火墙应该可以防止垃圾邮件机器人发布,但是有一个额外的过滤器是有益的。

验证码
垃圾邮件块
蜜罐

少了什么东西?

我们显然喜欢 Wordfence 的免费版本,但它有一些缺点。 它不包括机器人保护或活动日志。 与其他可用的安全插件相比,它的扫描器高于平均水平,MalCare 除外。 MalCare 同时具有保护和活动日志,使其成为更好的插件。
您可以猜到我们要说的关于一体化安全性的内容。 它缺少清洁剂。 我们听起来像是一个破纪录,但不幸的是,由于缺乏清理选项,很难将此插件视为可行的安全选项。

价钱

Wordfence 的免费版本非常全面,每年 99 美元的订阅费物超所值。 以前,客户必须额外支付 490 美元用于清除恶意软件以及订阅费。 但是,客户现在可以在 Care 和 Response 计划之间进行选择,Care 计划不提供额外费用。 Response 计划在发生黑客攻击时保证 1 小时的响应时间,每个站点每年的成本为 950 美元,这是非常宝贵的。

Wordfence 定价

乍一看,All-In-One Security 针对两个站点每年 70 美元的价格似乎很合理。 但是,应该注意的是,其中不包括恶意软件清理,这意味着这将是一项额外费用。 此外,很难评估扫描仪的有效性。

Wordfence 和多合一安全性的更好替代品:MalCare

虽然我们喜欢 Wordfence,但 MalCare 是一个更好的安全插件。 MalCare 是最全面的安全插件,具备您所需的一切以及更多功能。 它提供了 Wordfence 缺少的机器人保护和活动日志,并且更加可靠。 MalCare 还涵盖了数据库,这是其他插件所没有的。

推荐阅读:Wordfence vs WP Cerber security

安全插件的优点是什么?

我们对 WordPress 安全性的广泛了解使我们能够创建一个简明且信息丰富的基本安全功能指南,以在安全插件中寻找。 我们排除了与安全性没有直接关系的任何功能,以便为您提供更有针对性的列表。

重要功能:

  • 恶意软件扫描:此功能有助于检测已添加到网站的任何恶意代码、文件或脚本,提醒用户任何潜在威胁并让他们高枕无忧。
  • 恶意软件删除:它有助于删除已检测到的任何恶意代码,使其成为确保网站安全的关键步骤。
  • 防火墙:它有助于阻止恶意流量和请求到达网站,并阻止潜在威胁进入网站。 此外,它还可以提醒用户任何可疑活动,例如尝试进行暴力攻击,为他们提供预警和额外保护。

必备的安全功能:

  • 漏洞检测:它有助于识别网站中可能被黑客利用的任何潜在漏洞,因此尽快识别和修补它们至关重要。
  • 暴力登录保护:这意味着阻止对网站的任何暴力攻击尝试,使黑客难以获得访问权限并为您的网站提供额外的保护层。
  • 活动日志:监控和跟踪网站上的任何可疑活动,例如恶意请求或登录尝试失败,允许用户在造成任何严重损害之前采取行动并阻止威胁。
  • 双因素身份验证:这通过要求用户在访问网站之前输入额外的代码来为网站增加额外的安全层。 这使得黑客更难访问网站,让用户更加安心。

潜在问题:

  • 对服务器资源的影响:在做出决定时考虑安全插件的资源强度很重要,因为它们会导致加载时间变慢和其他性能问题。

包起来

在为您的网站选择 WordPress 安全插件时,您应该评估扫描器、清理器和防火墙,因为这三个功能对于强大的安全插件来说是必不可少的。 您会在 MalCare 中找到所有这些功能。 在 MalCare,我们努力让安全变得轻松无忧,以便您可以专注于发展您的业务。 让我们负责安全,而您负责其余的工作。