Bulletproof Security vs Wordfence：哪個安全插件更好？

您剛剛啟動了您的網站，並且開始獲得一些關注。 您注意到您獲得了大量流量，但這些流量來自可疑來源。 你不知道該怎麼做，所以你決定研究安全插件。

Wordfence 是一個非常受歡迎的 WordPress 網站安全插件，經常在評論和推薦中提到。 這個插件提供了廣泛的功能，包括掃描器、清理器和防火牆——任何網站安全的三個最重要的組件。 雖然它當然有其優點，但也有缺點，本文將討論這些缺點。

Bulletproof Security 也經常出現在清單文章中，但它真的值得受到關注嗎？ Bulletproof Security 真的實現了圍繞它的炒作嗎？ 讓我們仔細看看吧！

絕對沒有比賽。 如果您在這兩個插件之間進行選擇，Wordfence 顯然是贏家，即使它有自己的問題。 Bulletproof Security 絕非它聲稱的可靠安全解決方案。 我們對它的高收視率感到非常迷惑。 如果您正在尋找可以正常工作的安全插件，請跳過這兩個插件並安裝 MalCare。

在保護您的網站免受網絡威脅方面，有多種安全插件可供選擇。 在本文中，我們將比較 Bulletproof Security 和 Wordfence 如何處理安全的不同方面，例如掃描和刪除惡意軟件。 繼續閱讀以發現這兩個安全插件之間的區別，並找出適合您的那個。

Wordfence 簡而言之

Wordfence 是 WordPress 最好的免費安全插件。 如果您沒有安全預算，它具有眾多功能，使其成為網站安全的不錯選擇。 Wordfence 包括防火牆和全面的惡意軟件掃描。 但需要注意的是，掃描只能檢測到 70% 到 80% 的惡意軟件，這是由於用於檢測的簽名匹配機制所致。 這是 Wordfence 的主要缺點之一。

防火牆在抵禦威脅方面做得很好，但免費版的規則比高級版晚 30 天更新。 由於防火牆依靠規則來抵禦威脅，因此這對站點安全來說是一個重大劣勢。

最後，您可能還需要與您的網絡託管服務商核實，看看您的網站上是否允許使用 Wordfence，因為它是一種資源消耗，一些主機完全禁止其服務器使用它。 總的來說，Wordfence 是一個優秀的安全插件，提供了很好的保護，但它仍然有一些缺點，在使用它之前應該考慮到。

防彈安全簡而言之

Bulletproof Security 聲稱提供可靠的安全解決方案，但它遠非防彈。 在測試免費版本後，我們失望地發現，包括掃描器、清潔器和登錄安全在內的所有功能實際上都無法抵禦惡意軟件。 我們不願意升級到專業版以查看防火牆是否更好，但免費版絕對是一個糟糕的安全插件。

安全功能的正面比較：Wordfence 與 Bulletproof Security

在本節中，我們將比較這兩個插件在重要的安全功能方面如何相互疊加，如下所示：

惡意軟件掃描

Wordfence 的免費掃描儀只有 70-80% 有效，但 Bulletproof Security 的掃描效果非常糟糕。

Wordfence 的免費掃描儀僅以 60% 的效率運行，如其儀表板上所述，這不是很好。 儘管掃描完成得很快，但如果它們不能有效檢測惡意軟件，這就沒什麼用了。

Wordfence 還使用簽名匹配來檢測惡意軟件。 這意味著他們擁有一個龐大的惡意軟件簽名數據庫，他們可以將您網站上的代碼與這些數據庫進行比較。 值得稱讚的是，Wordfence 在保持數據庫更新方面做得非常出色，但就其本質而言，它無法檢測到更新的惡意軟件。 所以它不能抵禦零日攻擊。

此外，此機制僅適用於基於文件的惡意軟件。 惡意軟件也可能存在於數據庫中； 事實上，重定向惡意軟件通常比網站上的文件更能感染數據庫。 Wordfence 檢測到我們所有基於文件的惡意軟件，據我們估計，它能夠檢測到 70% 到 80% 的惡意軟件。 不幸的是，它也容易出現誤報。

最後，掃描器只能真正檢測開源或免費插件和主題中的惡意軟件。 這是因為他們使用公開可用的代碼來比較站點代碼，以查找不應該存在的添加內容。 這排除了高級插件和主題，後者佔絕大多數

當我們測試 Bulletproof Security 時，我們觀察到了一些事情。 首先，當我們第一次運行掃描時，我們還必須打開數據庫選項。 我們不確定為什麼這是一個選項而不是自動掃描的一部分，因為數據庫惡意軟件是真實存在的。

接下來，掃描在另一個窗口中打開，並標記為：“文件哈希生成器”。 這是某種初步掃描，儘管從儀表板上看不清楚。

接下來我們運行了第二次（或者更確切地說是第一次實際的惡意軟件掃描）。 掃描我們被黑網站大約需要 5 分鐘。 在具有更多帖子和圖像的更大測試站點上更長。

儘管存在所有這些繁瑣的內容，但 Bulletproof Security 並未在我們被黑客入侵的網站上檢測到任何惡意軟件。 它還導致我們的 wp-admin 變得無響應，這是除了它所做的所有非掃描之外的意外獎勵。

我們進一步注意到它將我們的 cron 文件標記為可疑，因為它有自定義代碼。 對於很多插件來說，這是一個相當典型的事情，所以建議我們刪除 cron 文件是非常無益的！

惡意軟件清理

Wordfence 可以清除它標記的惡意軟件，儘管我們對站點破壞的威脅並不放心。 Bulletproof Security 的惡意軟件清除功能將所有責任都推給了站點管理員。

Wordfence 有兩個通過插件本身自動刪除惡意軟件的選項：刪除所有可刪除文件和修復所有可修復文件。

他們還為那些希望徹底清潔網站的人提供專業的清潔服務，但要付出一定的代價。 儘管我們也害怕丟失自定義代碼，但這兩個選項都從我們的網站上刪除了標記的惡意軟件。 但是，我們在使用它們時必須謹慎，因為網站因更改而中斷的警告非常可怕。

Wordfence 能夠清除我們網站上所有基於文件的惡意軟件。 因此接下來，我們決定使用我們插入到數據庫和高級主題文件中的惡意軟件來測試該功能。 不幸的是，掃描儀無法檢測到任何內容，因此甚至無法選擇自動修復。

Bulletproof Security 提供的掃描結果令人沮喪，它沒有標記出任何實際的惡意軟件。 所以沒有什麼可以測試清潔劑。 然而，為了好玩，我們點擊了查看/忽略/刪除可疑文件選項，看看會發生什麼。

需要明確的是，掃描儀標記的所有可疑文件實際上都不是惡意軟件。 真正的惡意軟件被允許在我們的網站上不受干擾地休息。 這對黑客來說是多麼令人欣慰。

每個可疑文件都有四個選項，您需要對 WordPress 文件有很好的了解才能使用此功能。 我們不推薦此選項，尤其是對於初學者。

防火牆

Wordfence 的防火牆只有 35% 有效。 我們沒有測試 Bulletproof Security 的防火牆，因為它是一項高級功能。

Wordfence 防火牆已預先安裝並可以使用。 它在抵禦攻擊方面相當成功。

為了優化其性能，Wordfence 建議將防火牆保持在學習模式一周，以允許它從實時流量中學習。 但是，對於我們的流量不多的測試網站來說，這是不切實際的。

Wordfence 的防火牆免費版只有 35% 有效，所以我們調查了這背後的原因。

首先，防火牆像插件一樣加載，如果它在 WordPress 核心之後加載，可能會限制其阻止所有惡意流量的能力。 其次，雖然防火牆會定期更新，但免費版會延遲 30 天接收這些更新，從而為黑客留下了潛在的利用窗口。

Bulletproof Security 中的防火牆是一項高級功能，因此我們無法對其進行測試。 但是，我們可以推斷很多繁重的工作是通過 .htaccess 文件完成的，這不是最安全的方法，也不推薦使用。 .htaccess 文件是一個非常強大的文件，但它並不是防火牆。 事實上，它在網站上，所以它在 WordPress 之後加載。 因此，攻擊仍然可以到達該站點。
在設置時，有一個自動修復設置可以掃描所有已安裝的插件並將它們的 IP 添加到白名單中。 在進一步挖掘時，我們看到這會向 .htaccess 文件添加行。 這會很快變得非常笨拙，因此我們對這種過濾流量的機制不是很滿意。

漏洞檢測

Wordfence 最有效，但 Bulletproof Security 甚至沒有這個基本功能。

Wordfence 正確地將過時的插件識別為中等威脅，將漏洞識別為嚴重威脅。 不幸的是，Wordfence 還給出了 iThemes 和 Backupbuddy 的誤報錯誤，表明它傾向於偶爾生成錯誤警報。

值得注意的是，Bulletproof Security 沒有這樣的基本安全功能，考慮到即使是 iThemes 也提供此功能。

暴力登錄保護

Wordfence 具有有效且可自定義的登錄安全性。 Bulletproof Security 提供了一個無用的。

Wordfence 的暴力破解保護默認啟用並有效運行，根據防火牆部分的配置設置，在一定次數的錯誤登錄嘗試後鎖定用戶。 此部分還提供許多自定義選項，例如設置鎖定、鎖定時間限制和密碼管理選項，以強制使用強密碼並防止數據洩露。 儘管可以將 IP 列入白名單，但我們不確定其有效性，因為動態設備 IP 可能會導致合法用戶被鎖定。

Bulletproof Security 的登錄安全功能在登錄屏幕上添加了一個簡單的驗證碼字段，必須正確輸入該字段以避免錯誤。 然而，這太基礎了，很容易被繞過，給合法用戶造成不必要的摩擦。

更糟糕的是，使用正確的驗證碼在用戶名和密碼字段中隨機輸入詳細信息實際上會第二次自動填充驗證碼字段，從而實際上消除了最初創建的小障礙。 可以肯定地說，此安全功能完全無效。

活動日誌

兩者都沒有用戶友好的活動日誌，但 Bulletproof Security 確實有防火牆安全日誌。

我們驚訝地發現 Wordfence 缺少活動日誌，而活動日誌被認為是最重要的安全組件之一。 在“工具”菜單下的“診斷”部分有一個啟用調試的選項，但這只會導致防火牆日誌變得更加詳細，與活動日誌不同。 經過進一步研究，我們發現在掃描部分有一個 Wordfence 事件的活動日誌，但它僅用於開發目的，對用戶不友好。

Bulletproof Security 不提供活動日誌，僅提供記錄防火牆活動的安全日誌。

雙因素身份驗證

Wordfence 提供了該功能，而 Bulletproof Security 則沒有。

Wordfence 的雙因素身份驗證易於配置和自定義，以前是一項高級功能，但現在可以通過免費插件訪問。

如果您猜到 Bulletproof Security 不提供雙因素身份驗證，那麼您是對的。

服務器資源使用

兩者都佔用服務器資源，但至少 Wordfence 提供了結果。

Wordfence 的資源密集型特性非常明顯。 它在網站上執行的每個操作都會消耗服務器資源，導致掃描期間磁盤使用量激增。 在我們相對較小的網站上，這導致磁盤使用量增加一倍甚至三倍，從而對加載時間、響應時間和整體用戶體驗產生不利影響。

Bulletproof Security 的掃描會消耗資源，但它們不會標記任何惡意軟件，這讓情況更加令人沮喪。 簡直是在傷口上撒鹽。

警報

Wordfence 提供了太多警報。 Bulletproof Security 沒有警報。

有了 Wordfence，就會有大量的電子郵件。 我們在很短的時間內被警報淹沒，最終使它們變得無用，因為過多的警報會導致在需要時無所作為。

鑑於掃描無法檢測到任何惡意軟件並且登錄安全性很差，我們沒有收到任何警報也就不足為奇了。 畢竟，有什麼可以提醒我們的呢？

安裝、配置和可用性

Wordfence 更易於設置和配置。 防彈安全令人困惑。

Wordfence 的安裝、配置和一般使用是我們遇到的最好的。 他們的文檔包括每個主要部分的演練，以易於理解的語言提供最重要的設置和功能的全面解釋。

此外，Wordfence 為配置提供了很好的建議，並且可以通過儀表板上的工具提示輕鬆獲得它們的文檔，從而使其高度用戶友好。 每個功能都得到了詳細說明，並且可以立即訪問有關如何將其應用到您的網站的說明。

Bulletproof Security 的設置嚮導有點令人困惑，因為它的作用不是很明顯。 我們發現它會創建文件夾和數據庫表，將已安裝的插件添加到 .htaccess 文件中以創建白名單，備份站點數據庫並啟用默認設置。 但是，它不會備份任何可能同樣重要的文件。

此外，設置僅顯示一個藍色或紅色行項目，通知我們我們的 .htaccess 文件未受保護。 該界面極難導航，並且充滿了晦澀難懂的術語而沒有解釋，使設置過程變得一團糟。

附加功能

Wordfence 包括一個通知部分，它指示哪些插件和主題由於被視為嚴重或中等威脅而需要更新。

還有一個 Wordfence Central 儀表板，它允許一個人在同一個帳戶上管理多個站點，並且它在每個連接站點的 wp-admin 上也有一個隨附的部分。 我們認為，此功能對於擁有數百個託管站點的機構而言實用性有限。

實時流量部分記錄流量並對流量進行分類，並且有一個“誰是”查找選項可以在不離開 wp-admin 的情況下查看攻擊者。

診斷部分特別有趣，因為它提供了有關網站的全面信息，讓開發人員在一個地方了解網站的規格。

Bulletproof Security 為 .htaccess 文件添加了大量加固選項，其中一些非常具體，例如 Timthumb 漏洞代碼以及根文件夾和文件的訪問保護。 我們不建議篡改 WordPress 核心文件的訪問權限，感覺使用好的防火牆是更好的選擇。

少了什麼東西？

儘管 Wordfence 是一個令人印象深刻的安全插件，但它缺乏保護和活動日誌。 該掃描儀非常先進，超過了大多數其他安全插件，MalCare 除外。 儘管缺少這些功能，它仍然是一個出色的安全插件。

Bulletproof Security 缺少掃描儀、登錄安全和可能的防火牆功能，儘管這是我們無情的猜測。

價錢

Wordfence 的免費版本非常強大，每年 99 美元的訂閱費也很合理。 此前，除了 99 美元的訂閱費外，還額外收取 490 美元的惡意軟件清理費。 但是，隨著 Care and Response 計劃的推出，客戶可以從一開始就選擇 Care 計劃。 Response 計劃提供有保證的 1 小時響應，每個站點每年的費用為 950 美元，這在發生黑客攻擊時非常有用，因為時間至關重要。 這使得 Care 計劃有些不足。

只需 69 美元的一次性付款，您的 WordPress 網站就沒有任何安全保障——絕對划算！

如何選擇一款物有所值的安全插件？

憑藉我們對 WordPress 安全性的廣泛了解，我們編制了一份全面的基本功能列表，以在安全插件中尋找。 我們省略了與安全性沒有直接關係的任何功能，以便為您提供簡明和信息豐富的指南。

基本安全功能：

• 惡意軟件掃描：此功能有助於檢測已添加到網站的任何惡意代碼、文件或腳本，提醒用戶注意任何潛在威脅。
• 惡意軟件清理：它有助於刪除已檢測到的任何惡意代碼。 這是確保網站安全的關鍵步驟。
• 防火牆：它有助於阻止惡意流量或請求到達網站，並阻止潛在威脅進入網站。 它還有助於提醒用戶注意任何可疑活動，例如嘗試進行暴力攻擊。

必備的安全功能：

• 漏洞檢測：此功能有助於檢測網站中可能被黑客利用的任何潛在漏洞。 識別這些漏洞並儘快修補它們很重要。
• 暴力登錄保護：此功能有助於阻止對網站的任何暴力攻擊嘗試，黑客經常使用這些攻擊來獲取對網站的訪問權限。
• 活動日誌：此功能有助於跟踪網站上的任何可疑活動，例如惡意請求或登錄嘗試失敗，以便在它們造成任何損害之前將其阻止。
• 雙因素身份驗證：此功能要求用戶在訪問網站之前輸入額外的代碼，從而有助於為網站增加額外的安全層。 這使得黑客更難訪問該網站。

潛在問題：

• 對服務器資源的影響：這是選擇安全插件時要考慮的重要因素。 安全插件通常是資源密集型的，這可能導致加載時間變慢和其他性能問題。

Wordfence 和 Bulletproof Security 的更好替代品：MalCare

老實說，Wordfence 和 Bulletproof Security 的最佳替代品是 MalCare，它是一個全面的安全插件，包含您需要的一切等等。 它提供了 Wordfece 所缺少的機器人保護和活動日誌，並且更加可靠。 此外，我們沒有忘記數據庫。

最後的想法

因此，總而言之，在為您的網站選擇 WordPress 安全插件時，必須考慮掃描儀、清潔器和防火牆功能，因為這三個功能是可靠插件的基礎。 在 MalCare，我們的使命是提供無壓力和輕鬆的安全性，這樣您就可以專注於您網站的基本元素，同時我們確保其安全性。

常見問題

Wordfence 值得嗎？

Wordfence free 的價格非常好，這不算什麼。 Wordfence 高級版並不比免費版更有效。

Wordfence 的免費版本是否足夠好？

是的，Wordfence 的免費版本足以滿足基本的安全需求。 它提供掃描儀、防火牆和登錄安全性，所有這些都是安全網站所必需的。

Wordfence 會減慢您的網站速度嗎？

是的，Wordfence 會大大降低網站速度。 它是一個資源密集型插件，在執行掃描和其他操作時會消耗服務器資源，從而導致磁盤使用量增加，並可能影響加載時間和響應時間。

什麼是 Wordfence 的最佳替代品？

MalCare 是 Wordfence 的最佳替代品，因為它提供了全面的功能並且更加可靠。 它提供了 Wordfence 所缺少的機器人保護、活動日誌和數據庫掃描，而且資源密集度也低得多。