Sucuri vs Sitelock:哪個是更好的安全插件

已發表: 2023-04-07

如果您一直在研究最好的 WordPress 安全插件,您可能遇到過Sucuri 和 Sitelock 。 這兩個流行的插件提供了一系列功能,可以幫助保護您的網站免受在線威脅。 然而,在它們之間進行選擇可能會讓人不知所措,尤其是在比較成本、易用性和功能等因素時。 還有很多難以理解的技術術語。 我們已經為您準備好了!

我們比較了Sucuri 與 Sitelock ,並將所有關鍵安全信息放在一起。 我們還簡化了信息,以便您可以為您的網站選擇最佳選項。

與 Sitelock 相比,Sucuri 是一個不錯的安全插件。 儘管他們的掃描儀並不完美,但他們的惡意軟件清除服務是一流的。 防火牆可以有效阻止大多數威脅,總的來說,Sucuri 的價值要高得多。 老實說,Sitelock 簡直太糟糕了。 為了讓您的 WordPress 網站獲得最佳安全性,請安裝 MalCare。

簡而言之

Sucuri 絕對是最受歡迎的插件之一,但它也有問題。 對於初學者來說,惡意軟件掃描器是不可靠的。 基本上,它不會捕獲您網站上的所有不良內容。 不過,好消息是 Sucuri 的惡意軟件清除服務非常有效。 然而,他們確實需要時間來做出回應,當您的網站被黑客入侵時,這可能會讓人非常緊張。

Sucuri安全

防火牆是另一回事。 它工作得很好,但設置它真的很困難。 基本上,我們不得不搞亂 DNS 設置,讓它們指向 Sucuri 的防火牆服務器,而不是我們的測試網站。 現在,公平地說,您可能不會在您的實時站點上遇到這個問題。 除非,您無權訪問您的域名註冊商,在這種情況下,這將是一個坎坷的旅程。

我們發現真正煩人的一件事是一切都太複雜了。 Sucuri 使用的語言令人困惑且近乎居高臨下。 此外,每次安全掃描都會減慢我們測試站點的速度,並導致服務器磁盤使用量激增。 事實證明,Sucuri 使用站點資源來掃描惡意軟件,這適得其反。 順便說一句,Wordfence 也犯了這個罪。

總而言之,Sucuri 是一個不錯的選擇,但肯定有一些缺點。 請記住,掃描儀並不完美,防火牆設置可能是一場噩夢。

站點鎖定簡而言之

Sitelock 似乎在許多方面都存在不足。 配置可能具有挑戰性,並且通常無法按預期工作。 掃描儀和刪除等關鍵安全功能非常糟糕,根本無法使用。

站點鎖安全

甚至雙因素身份驗證等輔助安全功能似乎也無法正常運行。 很難理解為什麼這個插件會出現在市場上,因為它似乎有很多問題。 總的來說,Sitelock 在功能和有效性方面似乎還有很多不足之處。

Sucuri vs Sitelock:安全功能的正面比較

雖然 Sitelock 和 Sucuri 都旨在為網站提供全面的安全性,但它們在特性和功能方面存在明顯差異。 我們將檢查它們的主要功能,例如惡意軟件掃描和刪除、Web 應用程序防火牆等。 到本節結束時,您將清楚地了解 Sitelock 和 Sucuri 的優缺點。

惡意軟件掃描器

Sucuri 捕獲了一些惡意軟件,但它是一個資源消耗者。 Sitelock 沒有捕捉到任何東西。

我們來談談 Sucuri 的惡意軟件掃描程序。 它能夠在我們的許多測試站點上捕獲一些惡意軟件。

每日掃描和按需掃描都可用,但問題是:它們會佔用服務器資源並降低您的網站速度。 此外,即使您選擇僅掃描某些文件和文件夾以減少內存消耗,也並非萬無一失。 惡意軟件可能仍然隱藏在其他地方。

Sucuri 惡意軟件掃描程序

要啟用服務器端掃描程序,您必須手動將文件上傳到 Web 服務器或允許 Sucuri 使用您的 FTP 憑據。 但是後來,我們遇到了一個名為“白名單 URL 路徑”的設置,我們認為這意味著我們可以添加不想掃描的文件夾。 但是,幫助圖標不是很有用,只是說添加的任何鏈接都會抑制這些路徑的警告。

好的一面是,當我們請求清除惡意軟件時,Sucuri 能夠從站點中刪除所有惡意軟件實例。 但是,幾個小時後,在每日掃描期間,它再次標記惡意軟件並建議進行另一次清理。 談論過山車之旅!

在我們的測試中,Sitelock 的惡意軟件掃描器被證明是無效的。 儘管每天運行掃描,但掃描器未能在我們的測試站點上檢測到任何惡意軟件。 我們甚至運行了按需掃描,但它仍然沒有捕獲到任何惡意代碼。 我們發現令人驚訝的是,Sitelock 在該站點受到嚴重感染的情況下仍為該站點提供了一份乾淨的健康證明。 用戶可以自定義自動掃描的頻率,但每天只允許一次按需掃描。

惡意軟件清理

Sucuri 的支持團隊能夠清理我們的網站,但需要 12 個小時。 我們無法測試 Sitelock 的惡意軟件刪除功能,因為它沒有標記任何惡意軟件。

儘管 Sucuri 為我們被黑的網站提供了一份乾淨的健康證明,但我們還是聯繫了支持團隊以檢查清潔服務。 他們以 12 小時的周轉時間作為回應。 他們在消除惡意軟件方面表現出色。 他們唯一需要的就是我們的 FTP 憑據。

他們完成清理後,指出了我們用於實驗的三個易受攻擊插件中的兩個,並要求我們更新它們。 他們還向我們提供了一套清理完成後要遵循的安全措施。

不幸的是,惡意軟件並不以耐心等待而著稱,因此這是一個極其漫長且充滿壓力的等待。 要獲得更快的響應時間,您需要升級您的計劃。

由於 FTP 連接問題,Sitelock 的自動惡意軟件刪除功能 SMART 無法用於測試。 Sitelock 的掃描器未能檢測到惡意軟件,這引發了人們對其自動清潔器有效性的懷疑。 此外,如果掃描器無法首先識別惡意軟件,專家惡意軟件刪除功能將如何發揮作用尚不清楚。

防火牆

Sucuri 的防火牆很難安裝,但非常有效。 Sitelock 在我們安裝的基本計劃中沒有防火牆。

我們對其進行了測試,它成功地阻止了 SQL 注入、遠程注入和跨站點腳本攻擊等攻擊。 我們的測試網站充滿了漏洞,但防火牆很堅固,保護它免受傷害。

但是,我們確實遇到了防火牆的一個問題:它的安裝。 Sucuri 擁有所謂的 DNS 防火牆,而不是基於插件或網絡的防火牆。 要激活防火牆,您需要將您的流量定向到他們的服務器,這將過濾掉所有惡意流量並僅向您的網站發送良好流量。

這聽起來像是個好主意,但是天哪,它很難配置。 我們的測試網站沒有附屬於任何域名註冊商,所以我們不得不請我們的工程團隊來解決這個問題。 我們只是說這不是最平穩的旅程,但我們最終到達了那裡。 我們在有關安裝的部分中對此進行了更多討論。

任何無法訪問其域註冊商或 DNS 設置的人都將難以安裝 Sucuri 的防火牆。

Sitelock 提供的基本計劃不包括防火牆或機器人保護,這意味著我們無法在評估期間測試這些功能。 令人失望。

漏洞檢測

Sucuri 能夠檢測出 3 個易受攻擊的插件中的 2 個。 站點鎖檢測到 0。

Sucuri 的漏洞檢測充其量只是平均水平,但至少它存在。 啟用服務器端掃描程序後,它能夠檢測到我們網站上三個易受攻擊的插件中的兩個。 雖然這不是 100% 的成功率,但它仍然是一項堅實的努力——在測試了其他所謂的安全插件後,​​我們逐漸意識到這一點。

儘管 Sitelock 聲稱具有漏洞檢測功能,但我們的測試表明它未能識別我們網站上的任何漏洞。 掃描器功能(包括 SQL 注入和 XSS 漏洞檢測)產生了乾淨的結果,即使這兩種類型的漏洞都存在於我們的站點上。 這是 Sitelock 的重大失敗。

暴力登錄保護

都失敗了。

為了測試 Sucuri 的暴力登錄保護,我們將設置更改為每小時 30 次失敗登錄。 最初,我們對鎖定設置和被鎖定在站點之外有點擔心。

然而,當我們試圖通過在 3 分鐘內嘗試 40 多次錯誤登錄來測試系統時,我們失望地發現 Sucuri 沒有發出警報。 我們檢查了審計日誌,發現記錄了失敗的身份驗證嘗試,但我們無法弄清楚為什麼 Sucuri 沒有提醒我們該攻擊。 這令人擔憂,因為缺乏警報可能會使網站容易受到進一步攻擊。

你感覺到趨勢了嗎? Sitelock 不提供暴力登錄保護,這是防止未經授權訪問網站的基本功能。

活動日誌

Sucuri 有很棒的日誌,而 Sitelock 沒有。

日誌很重要。 它們可以幫助您跟踪網站上發生的事情,例如誰在做什麼以及何時做了什麼。

為了確保這些日誌免受攻擊者的攻擊,Sucuri 需要一個 API 密鑰來將有關您網站的數據存儲在異地。 這樣,即使有人試圖刪除日誌,他們也無法刪除。

好消息是日誌工作得很好! 他們記錄時間、用戶和操作,這非常有幫助。 唯一的缺點是有時更新可能有點不清楚。 例如,當您安裝一個新插件時,它可能會顯示為“插件已激活”,並且日誌中可能還有七個條目顯示安裝對事情的影響。 但是,不幸的是,沒有太多關於這些條目的實際含義的解釋。

驚喜,驚喜! Sitelock 沒有活動日誌功能,這對於監視和跟踪網站上的用戶活動很有用。

雙因素身份驗證

Sucuri 沒有用於 WordPress 網站。 Sitelock 聲稱可以,但我們無法成功設置。

可以在您的 Sucuri 帳戶上啟用 2FA,但目前不適用於您的 WordPress 網站。

在 Sucuri 中配置 2FA

儘管 Sitelock 提供雙因素身份驗證,但我們對它的體驗令人失望。 我們嘗試使用文本消息選項,但在單擊以測試配置時遇到了一條失敗的消息。 此外,我們嘗試設置移動驗證也沒有成功。

在站點鎖中配置 2FA

服務器資源使用

Sucuri 是一個資源消耗大戶,但 Sitelock 對服務器的影響微乎其微。

Sucuri 的掃描器對服務器資源有巨大的影響。 如此之多以至於他們甚至因此而阻止頻繁掃描,這不是很好。 為什麼您必須在安全、良好的性能和合理的服務器費用之間做出選擇?

蘇庫裡

因此,在 Sucuri 的常規設置中,有一個數據存儲選項似乎表明大量數據(主要是日誌)存儲在網站本身上。 這就是需要 API 密鑰的原因,因為數據存儲在默認情況下可公開訪問的上傳文件夾中。 有一個選項可以將存儲位置更改為非公共文件夾,但奇怪的是這不是默認設置。

Sitelock 的掃描器沒有對我們的磁盤使用產生重大影響,這是該插件的一個積極方面。 這意味著將 Sitelock 用於網站安全不會對服務器資源造成不必要的壓力。 當然,這也意味著您也得不到任何安全保障。

警報

Sucuri 具有令人困惑的精細設置。 Sitelock 具有令人困惑的切換設置。

接收安全警報的設置非常具體和精細,但這裡的問題是可能會有太多噪音,您可能會在所有混亂中錯過重要的東西。

您可以設置要發送給特定人員的警報,甚至可以自定義警報的格式。 您還可以添加 IP 地址範圍,這樣這些地址就不會被標記為警報,這非常酷。 但說實話,他們使用的語言可能非常令人困惑。 什麼是“無類域間路由”? 沒有人有時間做這一切。 我們只希望我們的網站安全無虞。

Sucuri 似乎知道他們可以發送太多警報,因此他們有一個設置,您可以在其中配置您在一小時內收到的最大警報數量,例如最多 5 封電子郵件。 但問題是:如果前 5 個都是誤報而第 6 個實際上是合法的呢? 他們確實對此有免責聲明,但擁有實際信息總比無用的功能好,對吧?

Sitelock 具有一項功能,供用戶從儀表板打開和關閉安全問題通知。 然而,這些警報的性質並不明確,讓用戶不確定會發生什麼。

安裝、配置和可用性

兩者都很難安裝。

關於Sucuri的安裝、配置和使用,要說的很多。 那麼,讓我們分解一下:

安裝

Sucuri 的安裝過程通常很簡單,但防火牆設置除外,這需要多加註意。 在防火牆安裝方面,Sucuri 的文檔指出,只需更改您的 DNS A 記錄以指向其防火牆 IP 地址即可。 此步驟會將所有流量重定向到他們的服務器,在那裡可以過濾惡意內容。 此過程可確保僅將合法流量轉發到您的站點,從而提供額外的安全層。 如果您有使用 DNS 記錄的經驗,則該過程應該相對簡單。

不幸的是,我們的測試站點缺少域名,我們無法訪問它們的名稱服務器,這使我們無法將它們指向 Sucuri 防火牆。 儘管我們能夠毫無問題地為其中一個測試站點購買防火牆計劃,但我們無法自動集成它,因為 Cloudways 不提供 cPanel 或 Plesk。

為了繼續進行測試,我們需要確保內部域鏈接正常運行並正確加載我們的網站,它做到了。 然後我們嘗試使用 Sucuri 的 DNS 服務器,但由於擔心無法恢復更改而猶豫是否這樣做。

我們的第一次嘗試沒有成功,因為該域不是由我們的帳戶管理的。 但是,我們能夠在另一個測試站點上成功安裝防火牆,其中包括前面提到的審核日誌頁面。

您可能不會在實時站點上遇到這些問題,除非您無權訪問其 DNS 設置。 在這種情況下,您將需要工程協助來進行設置。

可用性

由於使用了技術術語,因此 Sucuri 的設置可能很難導航,這可能需要大量時間才能理解。 雖然該插件確實提供了一些推薦設置,但用戶可能不得不盲目相信這些建議。 此外,Sucuri 的惡意軟件掃描程序的有效性受到質疑,這可能會導致對該插件的整體功能產生懷疑。

後黑客功能

在探索此功能後,我們發現了一些缺點。

例如,通過從儀表板更改 WordPress 鹽來更新密鑰是有風險的,因為它是明文形式並且對所有登錄到 wp-admin 的管理員可見。 具有管理員訪問權限的黑客構成了重大威脅,只有在確認沒有管理員帳戶受到威脅後才能使用此功能,這一點沒有被強調。

重置用戶密碼功能看起來很有前途,但有一個警告。 從列表中選擇用戶來更改他們的密碼,終止他們的會話,並通過電子郵件接收密碼重置鏈接。 但是,該插件會在發送電子郵件之前更改密碼,因此如果 Web 服務器無法發送電子郵件,用戶可能會被鎖定在站點之外。

重置已安裝的插件僅對免費插件有用。 高級插件仍然需要重新安裝,而沒有提到主題,大概是因為它可能會導致自定義丟失。 與其重新安裝所有內容,不如清理代碼。

可用的插件和主題更新功能僅提供基本的版本管理,不會增強現有的管理儀表板功能。 然而,它可能會教育用戶過時的插件和主題與安全風險之間的聯繫。

配置

最初,我們對 wp-admin 儀表板的佈局印象深刻。 然而,我們注意到最大的信息框專注於 WordPress 的完整性,這是一個變相的文件更改監視器。 儘管此功能在某些情況下可能很有用,但它可能會誤導沒有經驗的用戶認為它是檢測惡意軟件的唯一必要工具。

當我們進一步探索設置時,我們發現了一個完整性差異實用程序,可用於比較核心文件和檢測差異。 此功能可能比在線 diffchecker 實用程序更加用戶友好。 但是,我們也發現一些設置,例如日誌分析軟件和反向代理,對於非技術用戶來說可能難以理解。 除非我們知道反向代理是什麼,否則收到居高臨下的指示以避免某些選項是令人沮喪的。 對於某些用戶來說,設置的複雜性可能會讓人不知所措。

安裝 Sitelock 並不是一個簡單的過程。 該插件與任何其他插件一樣安裝和激活,給人的第一印像是它很容易使用。 然而,找到插件儀表板有點棘手,因為它位於 wp-admin 的工具菜單下,並且插件菜單上沒有設置鏈接。

經過一番搜索後,找到了插件儀表板,但它需要連接到 Sitelock 的站點。 單擊該按鈕會轉到“工作原理”頁面,這不是我們想要的。 再次單擊該按鈕會轉到定價頁面,在購買計劃後,我們會被帶到 Sitelock 主頁,其中包含等待收到電子郵件的說明。 該電子郵件包含一封付款確認書,其中包含指向我們網站上 Sitelock 儀表板的鏈接。 從那裡,我們必須配置插件以訪問其選項。

但是,SMART 設置需要通過 FTP 訪問我們的站點,儘管擁有可與專用客戶端一起使用的憑據,但仍未成功。 放棄 SMART 設置後,我們在儀表板上測試了插件。

附加功能

蘇庫裡

強化功能

值得注意的是,實施這些安全措施可能會影響用戶體驗。 例如,禁用插件和主題編輯器會使對網站進行某些更改變得更加困難。 該公司還聲稱他們將阻止所有 PHP 文件,但這很可能僅適用於遠程執行 includes 文件夾中的 PHP 文件,因為阻止網站上的所有 PHP 文件會導致其功能失調。

Sucuri 硬化選項

然而,關於某些插件和主題需要訪問這些文件夾中的 PHP 文件的警告是不夠的。 例如,Sucuri 自己將 PHP 文件保存在上傳文件夾中。 目前尚不清楚他們是否需要從外部儀表板訪問自己的文件,或者這是否屬於規則的例外情況。 這表明用於實施安全措施的規則可能以用戶不易察覺的方式靈活。

API服務通信

有關 API 服務通信的文檔可能令人困惑,並且可能需要花費大量時間來了解設置並評估它們對安全的影響。

站點鎖

Sitelock 儀表板似乎具有反垃圾郵件功能,但不清楚如何處理垃圾郵件。

包括完整站點備份,而不僅僅是數據庫備份,令人印象深刻。 不幸的是,備份存儲在站點服務器上,因此在服務器發生故障時它們將變得毫無用處。

少了什麼東西?

Sucuri還有改進的餘地。 Sitelock 需要重新考慮它們是否首先是一個安全插件。

惡意軟件掃描器不是很好。 蠻力登錄保護有點令人失望,真的會耗盡服務器的資源。 另外,沒有內置的機器人保護,這有點令人失望。 它也沒有雙因素身份驗證——您需要為此安裝一個單獨的插件。 總而言之,Sucuri 絕對可以在這些方面進行一些改進。

簡而言之,Sitelock 缺少有效網站安全所需的一切。 它的惡意軟件掃描器無法正常工作,漏洞檢測不存在,並且清潔器使用起來有潛在危險。 雙因素身份驗證不起作用,並且沒有登錄保護,使其成為不可靠的安全工具。

價錢

Sucuri更值得。 它至少做了一些事情。 Sitelock 不值得。

如果惡意軟件掃描程序、刪除程序和防火牆都不錯,那麼每年 199 美元的價格就可以了。 但 MalCare 的基本計劃更有效且更便宜。

該插件提供的計劃從每個站點每年 149 美元到 349 美元不等。 根據基本計劃的表現,這似乎是一項浪費的投資。

我們試圖取消我們的訂閱,但被指示致電支持,然後計費或使用聊天。 複雜的取消流程引發了對公司客戶服務的擔憂。

Sucuri 和 Sitelock 的最佳替代品

我們顯然不認為 Sucuri 或 Sitelock 是最好的安全插件。 他們都有令人沮喪的嚴重問題和無效的安全功能。 那麼,最好的安全插件是什麼? 嗯,MalCare 很棒。 掃描器、惡意軟件清除、防火牆和可用性比其他插件好得多。

如何選擇最好的安全插件?

問題的關鍵在於如何為您的網站或應用程序選擇最好的安全插件。 有這麼多選擇,不知道從哪裡開始可能會讓人不知所措。 為簡化流程,我們編制了一份重要的安全功能列表,在選擇插件時應將這些功能放在首位,同時還列出了一些可進一步增強安全措施的必備功能。

基本安全功能

  • 惡意軟件掃描器:這意味著該插件將定期掃描您的網站或應用程序以查找可能由黑客注入的任何惡意代碼或文件。
  • 惡意軟件清除器:如果檢測到惡意軟件,該插件也應該能夠清除它。 否則,這是沒有意義的。
  • 防火牆:防火牆是您選擇的任何安全插件中都應包含的另一個基本功能。 防火牆充當您的網站或應用程序與互聯網其餘部分之間的屏障,阻止任何未經授權的訪問嘗試並防止惡意流量到達您的網站。

必備功能

  • 漏洞掃描器:這可以幫助識別您的網站或應用程序中可能被攻擊者利用的任何弱點。
  • 暴力登錄保護:暴力登錄保護是另一個有用的功能,可以通過猜測用戶名和密碼來防止自動登錄嘗試。
  • 活動日誌:它可以幫助您監控網站上的任何可疑活動,例如登錄嘗試失敗或未經授權更改您的內容。
  • 雙因素身份驗證:作為額外的安全層,這也越來越受歡迎,要求用戶除了輸入密碼外,還要輸入發送到他們手機或電子郵件的代碼。

潛在問題

  • 對服務器的影響:一些插件可能會佔用大量資源,導致您的網站或應用程序變慢或崩潰。 請務必選擇輕量級且針對性能進行優化的插件,以避免對您網站的速度和穩定性產生任何負面影響。

最後的想法

選擇安全插件時要評估的核心功能是掃描器、清理器和防火牆。 所有其他功能都可以通過其他插件實現。 Sucuri 和 Sitelock 在這些方面表現不佳。 如果您正在尋找可以保護您網站的無壓力安全插件,MalCare 就是您的不二之選。

常見問題

Sucuri 的防火牆值得嗎?

它是一種相當有效的安全工具。 但是,如果您無法訪問 DNS 信息,安裝可能會有點困難。 另外,防火牆本身不足以保護 WordPress 網站。

站點鎖有什麼用?

Sitelock 是 WordPress 網站的安全插件。 或者至少,他們是這麼說的。 它們在掃描、清理和防火牆等基本安全功能方面表現不佳。

Sucuri 有什麼好處?

Sucuri 為網站所有者提供惡意軟件檢測和刪除、網站防火牆、網站速度優化、SSL 證書管理、信譽監控和專業支持。 它提供了一套全面的網站安全服務來保護您的網站免受各種威脅並提高其性能。