Thoạt nhìn, iThemes Security trông giống như một plugin bảo mật tuyệt vời và giá cả phải chăng cho các trang web WordPress của bạn. Đặc biệt nếu bạn cho rằng bạn có thể bảo vệ các trang web không giới hạn chỉ với $ 199.
Mặt khác, Sucuri là một trong những plugin bảo mật WordPress phổ biến nhất hiện có. Nó đóng gói một cú đấm với máy quét và tường lửa, đồng thời cung cấp khả năng loại bỏ phần mềm độc hại. Vì vậy, trong cuộc đối đầu này, nó đã đánh cắp một cuộc hành quân trên iThemes.
Tuy nhiên, nó tóm tắt về plugin bảo mật nào thực sự cung cấp sự bảo vệ tốt nhất khỏi tin tặc và phần mềm độc hại. Chúng tôi đã thử nghiệm 5 plugin bảo mật hàng đầu cho WordPress trên 3 trang web. Các trang web chứa đầy phần mềm độc hại và lỗ hổng bảo mật, và chúng tôi đã đưa các plugin vào các bước của chúng. Đọc tiếp để xem kết quả các thử nghiệm của chúng tôi và tìm ra plugin nào sẽ thực sự bảo vệ trang web WordPress của bạn.
VERDICT iThemes security vs Sucuri:iThemes hoàn toàn bị loại khỏi cuộc đua. Trong cuộc thi này, Sucuri chắc chắn là người chiến thắng. Phải nói rằng, chúng tôi vẫn sẽ không tin tưởng Sucuri trong việc bảo vệ trang web của chúng tôi. Chi tiết đầy đủ về các thử nghiệm của chúng tôi bên dưới.
Lựa chọn của chúng tôi
Chúng tôi đã tạo 3 trang web WordPress để kiểm tra các plugin bảo mật. Một là một blog bình thường như một kiểm soát thử nghiệm. Tiếp theo, chúng tôi đã cài đặt 3 plugin lỗi thời với các lỗ hổng đã được công bố trên trang web thứ hai. Cuối cùng, chúng tôi đã đưa vào một trang web thứ ba chứa đầy phần mềm độc hại và cửa hậu, cả trong tệp và cơ sở dữ liệu. Chúng tôi đã tính đến trang web cuối cùng để phân loại lúa mì khỏi trấu. Và cậu bé, đã làm được.
Mỗi plugin đã được thực hiện qua các bước của nó trong 45 ngày. Chúng tôi đã thử nghiệm các máy quét, trình dọn dẹp, tường lửa, bảo vệ bằng bạo lực — hoạt động. Cuối cùng, kết luận không rõ ràng, MalCare đã thắng về tất cả các tội danh.
Câu hỏi của chúng tôi cho loạt bài viết này rất đơn giản:plugin bảo mật nào được đảm bảo để bảo vệ các trang web WordPress khỏi tin tặc? Câu trả lời là rõ ràng:MalCare.
Tóm tắt so sánh iThemes Security và Sucuri
iThemes Security là giả dược của các plugin bảo mật WordPress. Bạn nghĩ rằng trang web của mình an toàn trước tin tặc, nhưng tất cả những gì thực sự bảo vệ nó là suy nghĩ mơ mộng và cảm xúc tích cực. Sucuri chắc chắn là tốt hơn, nhưng tốt hơn sau cùng là một thuật ngữ tương đối. Nó không phải là một plugin bảo mật tuyệt vời.
Tóm lại iThemes Security
Điểm mấu chốt là iThemes không bảo vệ trang web của bạn. Chúng tôi thực sự khuyên bạn nên bỏ qua iThemes hoàn toàn nếu bạn đang xem xét nó để bảo mật WordPress. Và nếu bạn đã cài đặt nó, hãy quét trang web của bạn ngay lập tức. Trang web của bạn không có bảo mật.
Ấn tượng đầu tiên của chúng tôi về iThemes thực sự rất thuận lợi. Trang web nói về một trò chơi tuyệt vời và tạo niềm tin vì cách họ nói về bảo mật WordPress có thẩm quyền. Lỗ hổng duy nhất mà chúng tôi có thể thấy là bạn không thể sử dụng plugin để làm sạch phần mềm độc hại. Điều đó không lý tưởng, nhưng nó vẫn có thể hoạt động như một máy quét.
Hoặc chúng tôi đã nghĩ.
Trình quét iThemes không phát hiện ra phần mềm độc hại. Ở tất cả. Chúng tôi sẽ đánh giá nguy cơ phỏng đoán rằng nó thậm chí không quét được tệp và dữ liệu, vì quá trình quét kết thúc trong vài giây. Những gì ‘máy quét’ iThemes làm là kiểm tra Báo cáo minh bạch của Google để xem liệu trang web của bạn có nằm trong danh sách đó hay không. Chúng tôi không cần một plugin bảo mật để làm điều đó. Chúng tôi đã quay lại để kiểm tra trang web và rất ngạc nhiên khi lưu ý rằng các tính năng không nói rõ là quét phần mềm độc hại. Nó chỉ nói rằng phát hiện phần mềm độc hại là một trong những bước quan trọng trong bảo mật WordPress. Đó là tiếng nói đôi, nếu chúng ta từng thấy.
Chúng tôi đã muốn loại bỏ các bài kiểm tra iThemes là vô ích, nhưng vẫn tiếp tục vì lợi ích của sự công bằng.
Plugin có tính năng xác thực hai yếu tố vững chắc, bạn có thể bật tính năng này trên trang đăng nhập của mình. Nó cũng có một số tính năng tăng cường độ cứng tốt như chặn thực thi PHP trong các thư mục. Phải nói rằng, bảo vệ đăng nhập brute force chỉ hoạt động trong một số thời điểm. Một vết đen khác chống lại plugin.
Điểm mấu chốt của chúng tôi khi sử dụng iThemes là các tính năng duy nhất của bất kỳ giá trị bảo mật nào là xác thực hai yếu tố và dễ dàng triển khai reCAPTCHA khi đăng nhập wp. Tuy nhiên, hai tính năng này không đảm bảo một hóa đơn 199 đô la, vì có những plugin bảo mật tốt hơn sẽ cung cấp các tính năng tương tự, ngoài một số bảo mật thực tế.
Thử nghiệm iThemes là một trải nghiệm khủng khiếp vì chúng tôi không thể tưởng tượng được số lượng trang web tin rằng chúng đang được bảo vệ bằng bảo mật không tồn tại. Trên thực tế, người dùng iThemes, bạn nên quét trang web của mình ngay bây giờ.
Tóm lại là Sucuri
Sucuri có một bức tường lửa tốt và các dịch vụ loại bỏ phần mềm độc hại tuyệt vời, nhưng đã thất bại một cách ngoạn mục trong vai trò một máy quét phần mềm độc hại. Nếu bạn không biết trang web của mình có phần mềm độc hại, thì không có cách nào để loại bỏ nó. Đây là một phần không thể thương lượng của một plugin bảo mật.
Khi chúng tôi bắt đầu thử nghiệm Sucuri, chúng tôi đã mong đợi rất nhiều từ nó. Đây là một trong những plugin bảo mật phổ biến nhất cho WordPress và chúng tôi đã rất ngạc nhiên khi thấy rằng máy quét không phát hiện được bất kỳ phần mềm độc hại nào trên trang web thử nghiệm bị tấn công của chúng tôi. Chúng ta sẽ đi vào chi tiết hơn trong phần sau, nhưng điều này đã tạo nên âm hưởng cho toàn bộ quá trình thử nghiệm của chúng ta.
Ngoài lỗi, quá trình quét mất nhiều thời gian để hoàn thành và sử dụng hết tài nguyên máy chủ của chúng tôi để thực hiện. Bản thân Sucuri không khuyến khích việc quét quá nhiều vì ảnh hưởng đến hiệu suất của trang web. Thật là một sự đánh đổi kinh khủng giữa hiệu suất và bảo mật, và không nên như vậy.
Chuyển sang tường lửa và các dịch vụ loại bỏ phần mềm độc hại, Sucuri đã làm tốt. Tường lửa rất khó định cấu hình và chúng tôi mất rất nhiều thời gian để làm như vậy. Nhưng nó đã chặn các cuộc tấn công mà chúng tôi đã thử và chúng tôi không thể khai thác bất kỳ lỗ hổng nào.
Tuy nhiên, dịch vụ loại bỏ phần mềm độc hại là điểm nổi bật trong trải nghiệm thử nghiệm của chúng tôi. Mặc dù máy quét đã cung cấp cho trang web bị tấn công của chúng tôi một thông tin về tình trạng sạch sẽ, nhưng chúng tôi biết rằng nó chứa đầy phần mềm độc hại. Trước hết, chúng tôi đặt phần mềm độc hại ở đó và thứ hai là các bản quét MalCare đã xác nhận chẩn đoán này. Nhóm Sucuri đã xóa mọi dấu vết của phần mềm độc hại khỏi trang web của chúng tôi và kết quả là nó đã sạch sẽ. Tuyệt vời! Quả anh đào trên chiếc bánh này là bạn có thể có các yêu cầu xóa phần mềm độc hại không giới hạn như một phần trong kế hoạch của mình, đó là một điều tuyệt vời.
Ngoài tường lửa, các cài đặt rất ít người biết đến. Chúng tôi thấy mình phân vân về rất nhiều thuật ngữ được sử dụng và đó là kiến thức chuyên môn về bảo mật WordPress. Giao diện không thân thiện với người dùng và chúng tôi chắc chắn rằng nhiều người sẽ thấy điều này đáng báo động một cách không cần thiết. Điểm trừ cho Sucuri ở đó.
Nhìn chung, chúng tôi không nghĩ Sucuri là giải pháp bảo mật tốt nhất cho một trang web WordPress. Niềm vinh dự đó thuộc về MalCare, vì có một máy quét hoạt động mọi lúc. MalCare cũng nhận được điểm thưởng mà không khiến chúng tôi cảm thấy khó hiểu.
Cách chọn plugin bảo mật phù hợp cho trang web WordPress của bạn
Bảo mật cho trang web WordPress của bạn là không thể thương lượng. Phần mềm độc hại có thể gây ra vô số tổn thất cho doanh nghiệp:mất doanh thu, kiện tụng, chi phí dọn dẹp, ảnh hưởng đến thương hiệu, mất lưu lượng truy cập tự nhiên và nhiều hơn thế nữa. Đầu tư vào đúng plugin sẽ giúp bạn thoát khỏi tin tặc và phần mềm độc hại, cũng như các vấn đề mà phần mềm độc hại để lại sau khi phát sinh.
Tuy nhiên, câu hỏi đặt ra là:làm thế nào để bạn chọn một plugin bảo mật hiệu quả cho trang web của mình?
Khi chúng tôi thiết lập các thử nghiệm của mình, có một số yếu tố cần xem xét:tất nhiên là bảo mật, nhưng cũng dễ sử dụng và đáng đồng tiền. Tuy nhiên, chúng tôi sớm nhận ra rằng tất cả các yếu tố ngoài bảo mật đều trở nên vô nghĩa, bởi vì mức độ hiệu quả của một plugin về bảo mật chỉ nên được xem xét.
Vì vậy, đây là các yếu tố cần xem xét khi lựa chọn một plugin bảo mật.
- Các tính năng bảo mật cần thiết
- Quét phần mềm độc hại
- Dọn dẹp phần mềm độc hại
- Tường lửa
- Các tính năng bảo mật tốt cần có
- Phát hiện lỗ hổng bảo mật
- Bảo vệ đăng nhập bằng bạo lực
- Nhật ký hoạt động
- Xác thực hai yếu tố
- Các vấn đề tiềm ẩn
- Ảnh hưởng đến tài nguyên máy chủ
Như bạn có thể thấy từ danh sách, chỉ có 3 yếu tố là hoàn toàn cần thiết. MalCare đạt cả 3 ưu điểm:quét và làm sạch phần mềm độc hại mà các plugin khác được đảm bảo sẽ bỏ sót và bảo vệ trang web của bạn khỏi lưu lượng truy cập độc hại bằng tường lửa mạnh mẽ. Hơn nữa, MalCare làm điều đó tốt hơn bất kỳ plugin bảo mật nào khác hiện có.
iThemes Security vs Sucuri:So sánh trực tiếp các tính năng
Cách chúng tôi đưa ra so sánh này là trước tiên hãy xem xét các tính năng cần thiết nhất, sau đó thảo luận về các quan sát khác đã thu thập được trong quá trình thử nghiệm. Khá thường xuyên, chúng tôi đã thấy các tính năng và cài đặt chẳng có tác dụng gì (chúng ta đang nói về iThemes) nhưng lại vẽ ra một ảo ảnh phức tạp về bảo mật.
Việc cắt qua lớp vỏ cây để đến được lúa mì không hề dễ dàng, nhưng chúng tôi sẽ trình bày tất cả dữ liệu của mình một cách rõ ràng và công bằng nhất có thể.
Nếu bạn muốn bỏ qua quá trình chia nhỏ này, chúng tôi khuyên bạn nên cài đặt MalCare.
Quét phần mềm độc hại
Máy quét của Sucuri không phát hiện thấy bất kỳ phần mềm độc hại nào trên trang web của chúng tôi. Đánh giá về tốc độ hoàn thành quá trình quét, iThemes thậm chí còn không quét phần mềm độc hại trên trang web của chúng tôi.
Cả hai phiên bản miễn phí và trả phí của Sucuri đều có máy quét, vì vậy chúng tôi muốn xem liệu nó có hoạt động khác nhau hay không. Phiên bản miễn phí được cung cấp bởi Sucuri SiteCheck, một tiện ích trực tuyến có chức năng quét phần mềm độc hại hiển thị công khai trên trang web của bạn. Tất nhiên, điều này có những hạn chế, vì vậy một chit sạch sẽ từ SiteCheck không phải là sự đảm bảo cho một trang web không có phần mềm độc hại.
Gói trả phí bao gồm một máy quét cấp máy chủ mà bạn phải cài đặt trên máy chủ web của mình. Bạn có thể thực hiện việc này theo cách thủ công hoặc nhập chi tiết FTP của bạn vào trang tổng quan Sucuri để cài đặt tự động. Đó là một quá trình tương đối không đau đớn.
Máy quét được thiết lập để chạy hàng ngày, nhưng bạn có thể quét theo yêu cầu — ở một mức độ nào đó. Các yêu cầu quét bổ sung được đưa vào một hàng đợi và sau đó được thực thi. Sucuri cảnh báo không nên sử dụng quá nhiều lần quét vì quá trình quét sử dụng hết tài nguyên máy chủ.
Điều đó khiến chúng tôi tạm dừng, vì sau đó chúng tôi nhận ra rằng Sucuri sử dụng tài nguyên trên trang web của chúng tôi để quét. Với các trang web thử nghiệm của chúng tôi, tình trạng cạn kiệt không quá nghiêm trọng vì các trang web nhỏ và không có lưu lượng truy cập bên ngoài. Tuy nhiên, chúng tôi chắc chắn đã thấy một bước ngoặt trong việc sử dụng CPU của chúng tôi. Thông tin thêm về điều đó trong phần sau.
Phiên bản chuyên nghiệp cũng không phát hiện thấy bất kỳ phần mềm độc hại nào trên trang web bị tấn công của chúng tôi. Điều này thật đáng ngạc nhiên, vì kết quả quét MalCare của chúng tôi đã xác định rõ ràng phần mềm độc hại. Vì vậy, chúng tôi đã đưa ra yêu cầu xóa thủ công. Sau khi yêu cầu được xử lý bởi nhóm của Sucuri, trang web đã hiển thị rõ ràng trên MalCare. Nhưng đó là khi máy quét Sucuri gắn cờ phần mềm độc hại trên trang web. Nó rất kỳ lạ.
May mắn thay, không có câu hỏi hóc búa nào với máy quét iThemes. Nó không quét phần mềm độc hại, thuần túy và đơn giản. Máy quét iThemes chỉ kiểm tra xem trang web của bạn có nằm trong danh sách đen của Google hay không. Đó là nó. Chúng tôi không ngạc nhiên khi thấy rằng các trang web của chúng tôi trên thực tế không nằm trong danh sách đen, vì chúng không được lập chỉ mục.
Dọn dẹp phần mềm độc hại
Dọn dẹp phần mềm độc hại không có trong danh sách tính năng của iThemes, vì vậy rõ ràng là không thể làm sạch phần mềm độc hại. Sucuri có các dịch vụ loại bỏ phần mềm độc hại không giới hạn như một phần trong gói trả phí của họ. Tùy thuộc vào kế hoạch của bạn, trang web của bạn sẽ được làm sạch trong khoảng từ 6 đến 30 giờ.
Mặc dù kết quả quét của Sucuri cho biết trang web của chúng tôi không có phần mềm độc hại, nhưng rõ ràng chúng tôi biết rằng không phải vậy. Có phần mềm độc hại ở khắp mọi nơi:trong các tệp và trong cơ sở dữ liệu. Chúng tôi cũng có một loạt các cửa hậu trong đó để có biện pháp tốt. Máy quét MalCare xác nhận rằng các trang web thử nghiệm của chúng tôi thực sự đã bị nhiễm phần mềm độc hại.
Vì vậy, chúng tôi đã đưa ra yêu cầu xóa phần mềm độc hại với Sucuri, cho biết rõ rằng chúng tôi nghi ngờ rằng có phần mềm độc hại trên trang web. Để đưa ra yêu cầu, bạn cần điền vào biểu mẫu và cung cấp chi tiết FTP để làm sạch. Và sau đó chờ đợi kết quả.
Lưu ý:Có một danh sách thả xuống thú vị trong biểu mẫu yêu cầu xóa liệt kê các triệu chứng tiềm ẩn mà bạn có thể gặp phải. Ngoài ra, để chúng tôi giải thích, bạn phải cho biết mức độ thành thạo kỹ thuật của mình, vì vậy chúng tôi đã chọn:“ Không thành thạo, vui lòng giải thích mọi thứ rõ ràng. ”
Tín dụng cho Sucuri, nhóm của họ đã xóa tất cả phần mềm độc hại khỏi trang web của chúng tôi. Ngoài ra, mặc dù các điều khoản kế hoạch của chúng tôi cho biết chúng tôi có thể mong đợi một giải pháp trong vòng 30 giờ, nhưng chúng tôi đã nhận được phản hồi trong vòng chưa đầy 10 giờ. Vì vậy, đó là một sự ủng hộ rất lớn đối với dịch vụ xóa phần mềm độc hại của Sucuri.
Chúng tôi đã xác nhận với MalCare rằng tất cả phần mềm độc hại đã bị xóa và sau đó rất ngạc nhiên khi thấy rằng máy quét của Sucuri giờ đây đã gắn cờ trang web là bị nhiễm — sau khi nhóm của họ đã dọn dẹp. Điều đó thật kỳ lạ.
Mặt khác, iThemes không thể làm sạch phần mềm độc hại, vì vậy không có gì để kiểm tra. Rất may, họ không tuyên bố làm như vậy trên trang web của họ.
Thành thật mà nói, dọn dẹp phần mềm độc hại là phần khó khăn nhất của bảo mật WordPress và thường là khía cạnh đắt tiền nhất. Các gói trả phí của Sucuri có số lần dọn dẹp không giới hạn, điều này thật tuyệt vời vì nếu các lỗ hổng bảo mật không được giải quyết, phần mềm độc hại có thể tái phát. Nếu chúng tôi tìm thấy lỗi với dịch vụ vệ sinh thì bạn cần phải đợi một lúc để giải quyết. Trong trường hợp của phần mềm độc hại, chúng tôi đã thấy sự lây nhiễm phát triển theo cấp số nhân trong khoảng thời gian ngắn, vì vậy đây là một nguyên nhân đáng lo ngại.
Với MalCare, chúng tôi có thể sử dụng chức năng tự động làm sạch để loại bỏ phần mềm độc hại trong vài phút. Trong khi chờ đợi Sucuri quay lại với chúng tôi, chúng tôi nhận ra giá trị to lớn mà việc dọn dẹp nhanh chóng mang lại cho một trang web quan trọng về kinh doanh.
Tường lửa
Tường lửa của Sucuri hoạt động và ngăn chặn các cuộc tấn công phổ biến nhất của chúng tôi. iThemes không có tường lửa.
Tường lửa là một thành phần quan trọng trong bảo mật trang web, vì chúng ngăn chặn lưu lượng truy cập độc hại và ngăn chặn việc khai thác. Đến điểm này của bài viết, bạn sẽ không ngạc nhiên khi biết rằng iThemes không có tường lửa. Tại sao nó? Nó không thành công trong mọi khía cạnh khác như một plugin bảo mật.
Mặt khác, Sucuri đã bảo vệ trang web của chúng tôi khỏi các cuộc tấn công bằng wordpress. Chúng tôi đã kiểm tra nó để chống lại các lỗ hổng như tải lên tệp không hạn chế, XSS và chèn SQL. Tường lửa đã chặn mọi nỗ lực của chúng tôi nhằm khai thác các lỗ hổng này và tải phần mềm độc hại lên trang web. Chúng tôi không thể kiểm tra các cuộc tấn công phức tạp hơn, trong tất cả sự minh bạch.
Do đó tường lửa của Sucuri hoạt động, nhưng chúng ta cũng phải đề cập đến việc cấu hình tường lửa đã gây khó chịu như thế nào. Cách hoạt động của tường lửa là nó hoạt động giống như một lớp giữa lưu lượng truy cập đến và trang web của bạn. Do đó, tất cả lưu lượng truy cập đầu tiên sẽ truy cập vào tường lửa của Sucuri và sau đó được chuyển hướng đến trang web của bạn.
Như bạn có thể tưởng tượng, điều này cần một số cấu hình. Tên miền bạn sử dụng cho trang web của mình trước tiên phải trỏ đến Sucuri, lưu lượng truy cập được phân tích và sau đó lưu lượng truy cập được phép sẽ được chuyển tiếp đến trang web của bạn. Điều này thật tuyệt, nhưng sẽ rất khó để thiết lập tường lửa nếu bạn không có chuyên môn về máy chủ định danh và cấu hình DNS.
Nhìn chung, sẽ tốt hơn rất nhiều nếu có một giải pháp bảo mật hoạt động hiệu quả. Không có cấu hình phức tạp để bảo vệ trang web của chúng tôi. Bạn biết đấy, giống như loại bạn nhận được với MalCare.
Phát hiện lỗ hổng bảo mật
Sucuri đã phát hiện hầu hết các lỗ hổng trên trang web của chúng tôi, mặc dù không phải tất cả chúng. iThemes không tìm thấy bất kỳ.
Sau khi chúng tôi bật trình quét phía máy chủ, Sucuri phát hiện ra rằng chúng tôi đã cài đặt một số plugin dễ bị tấn công trên trang web. Nó không phát hiện ra tất cả và đề xuất chỉ đơn giản là cập nhật chúng.
Ngoài ra, có một chế độ xem sau hack trên wp-admin liệt kê các plugin và chủ đề hiện đã được cài đặt, các phiên bản đã cài đặt của chúng và các phiên bản mới nhất hiện có. Trong phần mô tả của phần này, Sucuri có đề cập rằng các lỗ hổng bảo mật gắn liền với bảo mật trang web và việc cập nhật mọi thứ là một thực tiễn tốt. Không có khả năng bất kỳ ai sẽ đến đó để xem qua plugin thường xuyên, vì vậy chúng tôi không chắc vị trí này có hữu ích hay không.
Là một phần của yêu cầu xóa phần mềm độc hại, Sucuri cũng đã gửi cho chúng tôi một thông báo để khuyến nghị chúng tôi áp dụng các biện pháp tăng cường và cập nhật (2 trong 3) các plugin dễ bị tấn công. Đây là một phần trong danh sách kiểm tra sau hack của họ.
iThemes không gắn cờ các lỗ hổng bảo mật. Tuy nhiên, nó có một bộ đếm cực kỳ vô dụng trên bảng điều khiển, cho biết có bao nhiêu bản cập nhật đã được thực hiện kể từ khi cài đặt plugin. Làm thế nào thông tin này có thể hữu ích, chúng tôi không thể hiểu được.
Bảo vệ đăng nhập bằng vũ lực
Sucuri được cho là sẽ chặn các cuộc tấn công vũ phu và cảnh báo bạn, nhưng cũng không làm vậy. iThemes đôi khi có, đôi khi không. Khó nói cái nào tệ hơn.
iThemes ghi lại mỗi lần đăng nhập không chính xác như một cuộc tấn công vũ phu, điều này thực sự khiến người dùng phải khiếp sợ. Trong một trường hợp, chúng tôi thực sự quên mật khẩu.
Khi chúng tôi thử cưỡng bức trang đăng nhập một cách thô bạo, chúng tôi đã thấy kết quả không đồng đều. iThemes đã chặn các nỗ lực trên 1 trang web nhưng không chặn trang khác. Chúng tôi đã cố gắng tìm ra nguyên nhân gây ra sự khác biệt này, nhưng điểm khác biệt duy nhất là phần mềm độc hại trên trang web. Vì phần mềm độc hại thường là hậu quả của các cuộc tấn công vũ phu thành công, chúng tôi không nghĩ đây là lý do. Nhiều khả năng có một lỗi khiến tính năng hoạt động không thường xuyên. Trên thực tế, nó là vô nghĩa.
Sucuri mang lại hy vọng cho chúng tôi, bởi vì có một loạt các tùy chọn chi tiết cho các cuộc tấn công vũ phu. Bạn có thể đặt số lần thất bại được tính là một cuộc tấn công vũ phu. Chúng tôi đặt nó ở mức rất khiêm tốn 30 lần thử mỗi giờ, mặc dù các cuộc tấn công đăng nhập thường là vài 100 lần thử mỗi phút.
Sau khi xem tất cả các cài đặt cho khóa, chúng tôi hơi lo sợ về việc bị khóa khỏi trang web. Chúng tôi đã tắt MalCare để bảo vệ đăng nhập của MalCare không chặn nỗ lực này. Tuy nhiên, không có gì xảy ra. Chúng tôi đã thử hơn 40 lần đăng nhập không chính xác trong 3 phút nhưng Sucuri không đưa ra cảnh báo. Đã kiểm tra nhật ký kiểm tra và xác thực không thành công hiển thị. Nhưng, không có cảnh báo. Không có khóa. Không có gì.
Nhật ký hoạt động
iThemes có tính năng nhật ký hoạt động chưa hoàn chỉnh. Sucuri có một cái hay, nhưng có thể ít người biết đến.
Sucuri có một tính năng gọi là Nhật ký kiểm tra, theo dõi tất cả các hành động từ người dùng, plugin và chủ đề. Tính năng hoạt động như mong đợi, tuy nhiên một trong các cài đặt đã khiến chúng tôi tạm dừng. Bạn cần một khóa API để “ngăn kẻ tấn công xóa nhật ký”. Về cơ bản, điều này cho phép Sucuri thu thập và lưu trữ dữ liệu về trang web ngoại vi, điều này là tốt, nhưng ngôn ngữ họ sử dụng là khó nói nhất. Tìm hiểu thêm về điều đó trong phần khả năng sử dụng.
Mặc dù nhật ký hoạt động như, tốt, nhật ký và thu thập dấu thời gian, người dùng và hành động, chúng có thể rất khó hiểu. Ví dụ:chúng tôi đã cài đặt một plugin mới hiển thị dưới dạng plugin được kích hoạt. Càng xa càng tốt. Và có 7 mục khác trong nhật ký cho thấy những gì cài đặt đã ảnh hưởng. Nhưng có rất ít lời giải thích về ý nghĩa của những mục này. Có lẽ đây là những tệp hoặc thư mục đã thay đổi? Không, sau đó chúng tôi nhận ra rằng plugin cụ thể này, là một plugin thư viện, đã thay đổi mẫu cho các bài đăng. Điều đó có lý, nhưng sự tiết lộ không đến từ Sucuri.
Nhật ký hoạt động là một phần quan trọng trong bộ công cụ bảo mật trang web của bạn. Tin tặc lợi dụng việc ghi nhật ký không đủ để tấn công các trang web và vì vậy bạn nên giữ lại nhật ký đáng tin cậy mà bạn có thể tin tưởng để chia sẻ thông tin chính xác về trang web của mình.
Về cơ bản, không giống như iThemes có. Nhật ký hoạt động ở đây có một số thông tin hữu ích, như hoạt động của người dùng, quản lý phiên bản, quét trang web và các cuộc tấn công bạo lực. Không có gì về plugin hoặc chủ đề mặc dù. Có một tính năng riêng biệt gửi email cho bạn báo cáo thay đổi tệp hàng ngày. Nhìn chung, nhật ký không đầy đủ vì chúng không vẽ nên bức tranh chính xác về trang web của bạn.
Xác thực hai yếu tố
iThemes có một tính năng xác thực hai yếu tố tuyệt vời hoạt động hiệu quả. Sucuri thì không.
Sau khi chuyển iThemes vào thùng rác trong bài viết này và các bài viết tương tự khác trong loạt bài, chúng tôi vui mừng thông báo rằng đây là một trong những tính năng bảo mật duy nhất thực sự hoạt động trên iThemes — và hoạt động khá tốt ở điều đó.
Tính năng xác thực hai yếu tố trên iThemes rất mạnh mẽ. Nó có rất nhiều tùy chỉnh và hoạt động hiệu quả mà không gặp rắc rối. Plugin này cũng giúp thực thi các mật khẩu mạnh mà chúng tôi rất ủng hộ.
Mối quan tâm duy nhất của chúng tôi ở đây là phiên bản iThemes pro có rất nhiều cài đặt loại bỏ mã thông báo đăng nhập để dễ sử dụng:đăng nhập không cần mật khẩu, thiết bị đáng tin cậy, liên kết ma thuật, v.v. Mặc dù những điều này hữu ích để làm trơn tru quá trình đăng nhập, nhưng chúng lại đánh bại mục đích của xác thực hai yếu tố.
Chúng tôi đã tìm kiếm xác thực hai yếu tố khi chúng tôi thử nghiệm Sucuri. Chúng tôi thấy nó tồn tại trên bảng điều khiển Sucuri. Tuy nhiên, chúng tôi vừa thích thú vừa ngạc nhiên khi nhận ra rằng xác thực hai yếu tố có sẵn cho tài khoản Sucuri của bạn, không phải cho trang web WordPress của bạn.
Sử dụng tài nguyên máy chủ
iThemes hoàn toàn không làm tiêu hao tài nguyên máy chủ của bạn vì nó không làm được gì cả. Sucuri sẽ làm tê liệt hiệu suất trang web của bạn với các bản quét của nó.
Điều thú vị là mọi người không thường hỏi chúng tôi về tài nguyên máy chủ trong bối cảnh bảo mật. Nhưng lý tưởng nhất là bạn muốn trang web của mình được bảo vệ và không bị chậm quá trình thu thập thông tin. Máy quét của Sucuri sẽ thực hiện điều đó với trang web của bạn.
Bản quét Sucuri tuyên bố sử dụng hoàn toàn tài nguyên máy chủ của trang web. Trên thực tế, họ dường như không khuyến khích việc quét thường xuyên vì lý do đó. Thành thật mà nói, điều này thật khủng khiếp. Tại sao mọi người phải lựa chọn giữa hiệu suất và hóa đơn máy chủ hợp lý ở một bên và bảo mật ở bên kia? Họ không đùa đâu. Tài nguyên máy chủ đã tăng đột biến ngay sau khi chúng tôi cài đặt Sucuri và sau đó chạy lần quét thứ hai. Nếu trên một trang web nhỏ, sự khác biệt là đáng chú ý, thì trên một trang web lớn, nó sẽ nhiều hơn đáng kể.
Ngoài ra, trong Cài đặt chung trên trang tổng quan, có một cài đặt cho Lưu trữ dữ liệu dường như cho biết rằng Sucuri lưu trữ toàn bộ dữ liệu (nhật ký chủ yếu là giao diện của nó) trên chính trang web. Đây có lẽ là lý do tại sao khóa API là cần thiết, bởi vì nó nằm trong thư mục tải lên theo mặc định, là thư mục có thể truy cập công khai. Có một tùy chọn để thay đổi bộ nhớ thành một thư mục không thể truy cập công khai, nhưng điều đó đáng lẽ phải là mặc định bắt đầu.
iThemes sẽ không tiêu hao tài nguyên máy chủ của bạn. Làm thế nào nó có thể, khi nó không làm bất cứ điều gì?
Cảnh báo
iThemes không cảnh báo bạn về bất cứ điều gì. Sucuri thì có, nhưng bạn cần phải cẩn thận về những cảnh báo bạn muốn nhận. Hộp thư đến của bạn có thể đầy trong vài giờ.
Sucuri cho phép bạn thiết lập cảnh báo để gửi đến những người cụ thể, tùy chỉnh định dạng cảnh báo và hơn thế nữa. Bạn cũng có thể thêm các dải địa chỉ IP để những địa chỉ đó không bị gắn cờ cho các cảnh báo. Tuy nhiên, hãy cảnh báo cho các mô tả đầy biệt ngữ. ‘ Định tuyến liên miền không phân loại là gì '? Chúng tôi không muốn biết, chỉ muốn bảo vệ trang web.
Đánh giá bằng các cài đặt chi tiết cho cảnh báo, Sucuri dường như nhận thức sâu sắc rằng chúng có khả năng gửi quá nhiều cảnh báo. Có một cài đặt để định cấu hình các cảnh báo tối đa nhận được trong một giờ, chẳng hạn như tối đa 5 email. Vấn đề với điều này là:giả sử 5 cái đầu tiên là dương tính giả và cái thứ 6 thì không? Có một tuyên bố từ chối trách nhiệm ở đó — nhưng một lần nữa — tốt hơn là nên có thông tin thực tế so với một tính năng vô dụng. Bài học kinh nghiệm của chúng tôi ở đây là bất kỳ quản trị viên nào sẽ không đi xem rừng để lấy cây. Chỉ có cách là quá nhiều tiếng ồn.
Đáng ngạc nhiên, chúng tôi vẫn đang xem xét iThemes, không phải từ bỏ nó vì lý do bị mất. iThemes đã gửi cho chúng tôi các báo cáo thông báo thay đổi tệp, sao lưu cơ sở dữ liệu và các xác nhận khác về cài đặt của chúng tôi. Chúng tôi cũng đã đăng ký nhận thông báo bảo mật hàng ngày về trang web của mình và báo cáo lỗ hổng bảo mật mỗi tuần một lần, có lẽ để chúng tôi có thể kiểm tra những thông báo đó dựa trên trang web của chúng tôi. Nó đã đủ tồi tệ với một trang web, với nhiều trang web hơn, nó có thể hoàn toàn vượt quá tầm kiểm soát.
Cài đặt, cấu hình và khả năng sử dụng
Cài đặt iThemes khó một cách đáng ngạc nhiên, vì các tùy chọn cấu hình khó hiểu. Sucuri khá đơn giản, nhưng các tùy chọn cấu hình trong plugin lại gây khó khăn khủng khiếp.
iThemes là plugin đầu tiên chúng tôi thử nghiệm, vì vậy ban đầu nó có vẻ dễ dàng. Nó cũng đặt thanh cho các cài đặt vô dụng nhất. Bạn phải trải qua một cấu hình để có thể tạo một bảng điều khiển bảo mật. Chúng tôi đã xem qua từng cài đặt, nhưng không có cài đặt nào có tác động thực sự đến bảo mật, vì vậy chúng tôi đặt chúng một cách ngẫu nhiên và để nguyên ở đó.
Sucuri được cài đặt mà không cần phiền phức và plugin này chủ yếu tự thiết lập. Chúng tôi đã phải tạo một tài khoản với Sucuri để truy cập các tính năng trả phí. Ngoài ra, cần chỉ ra rằng để cài đặt máy quét phía máy chủ, bạn cần sử dụng bảng điều khiển bên ngoài Sucuri. Việc này không khó thực hiện nếu bạn có sẵn thông tin chi tiết về FTP, mặc dù chúng tôi không thấy nhiều điểm vì nó không phát hiện ra bất kỳ phần mềm độc hại nào.
Trang tổng quan iThemes trên wp-admin của bạn bị nhiễu. Không có thông tin liên quan đến bảo mật có liên quan.
Trang tổng quan và cài đặt của Sucuri cực kỳ phức tạp. Chúng tôi đã dành hàng giờ để cố gắng tìm hiểu ý nghĩa của chúng qua các thuật ngữ kỹ thuật mà chúng sử dụng. Trong một số trường hợp, plugin cho bạn biết cài đặt được đề xuất, vì vậy về cơ bản người dùng đang làm việc dựa trên niềm tin mù quáng. Vấn đề duy nhất là Sucuri không khơi dậy niềm tin mù quáng, bởi vì trình quét phần mềm độc hại của họ không hoạt động!
Chúng tôi muốn plugin này dễ hiểu hơn. Nó trông rất phức tạp và có vẻ như phải làm nhiều thứ, nhưng chúng tôi không thể chắc chắn vì một số điều chúng tôi biết là quan trọng, chẳng hạn như bảo vệ bằng vũ lực, dường như không hoạt động.
Tường lửa và máy quét phía máy chủ phải được bật riêng. Chúng tôi đã mất hơn một tuần để tìm ra plugin này với 3 trang web. Chúng tôi rùng mình khi nghĩ điều gì sẽ xảy ra với một người xử lý nhiều hơn. Thật là tẻ nhạt để thiết lập.
Chúng tôi muốn nhắc lại rằng các cài đặt này rất khó hiểu đối với người dùng không chuyên về công nghệ. Chúng tôi không biết có một thứ gọi là phần mềm phân tích nhật ký. Chúng tôi cũng thấy thông điệp thú vị cho proxy ngược, nơi Sucuri hữu ích nói với chúng tôi rằng đừng lo lắng về tùy chọn này trừ khi chúng tôi biết nó là gì. Cảm ơn vì sự nhầm lẫn với một mặt của lời chiếu cố.
iThemes:Extras
Có một tính năng danh sách trắng rất phức tạp trên iThemes, điều này thật đáng ngạc nhiên cho đến khi chúng tôi nhận ra rằng dường như có một số lượng không đáng kể các khiếu nại về khóa trang web mà chúng tôi đã thấy. Có hai vấn đề với vấn đề này:một là các IP của thiết bị thay đổi, vì vậy việc đưa IP của bạn vào danh sách trắng không phải là biện pháp bảo vệ nhiều như bạn nghĩ; và hai, chúng tôi đã thử mọi cách có thể để kích hoạt khóa. Nhưng nó đã không xảy ra.
Trình theo dõi thay đổi tệp là một tính năng khác nghe có vẻ là một ý tưởng hay, trừ khi bạn biết bất cứ điều gì về bảo mật. Tin tặc có thể thay đổi dấu thời gian của tệp, thậm chí đến mức làm cho tệp trông giống như tệp đã không được chỉnh sửa trong nhiều năm. Ngoài ra, có một danh sách loại trừ loại tệp cho màn hình này. Thành thật mà nói, điều này cho thấy sự thiếu hiểu biết về phần mềm độc hại. Phần mềm độc hại có thể ẩn trong bất kỳ tệp nào, bao gồm cả tệp .ico chẳng hạn.
iThemes có một hệ thống quản lý mật khẩu tốt. Bạn có thể thực thi mật khẩu mạnh và từ chối cho phép mật khẩu bị xâm phạm. Cũng có thể đặt mật khẩu ứng dụng cho XML-RPC nếu bạn chọn.
Cuối cùng, iThemes có một số tính năng khó khăn, hầu hết trong số đó chúng tôi không đề xuất. Điều duy nhất có ý nghĩa là chặn thực thi PHP trong thư mục tải lên. Điều này ngăn chặn một loại phần mềm độc hại tấn công nhất định. Những người khác, chúng tôi khuyên bạn nên bỏ qua hoàn toàn.
Sucuri:Thêm
Trang tổng quan của Sucuri trên wp-admin trông khá ấn tượng, nhưng ngay từ đầu, chúng tôi đã thấy rằng hộp thông tin lớn nhất là tính toàn vẹn của WordPress. Hy vọng rằng đây chỉ dành cho phiên bản miễn phí mà chúng tôi hiện đang sử dụng, vì đây thực chất là phiên bản chỉnh sửa của trình theo dõi thay đổi tệp cho các tệp lõi của WordPress.
Trong một số trường hợp, chúng tôi có thể thấy nó hữu ích, vì rất nhiều phần mềm độc hại xâm nhập vào các tệp chính. Ngược lại, chúng ta cũng có thể thấy rằng nó có thể là một kẻ mua chuộc vì những người thiếu kinh nghiệm có thể tin rằng đó là phạm vi của phần mềm độc hại, đó là một suy nghĩ đáng sợ. Thật thú vị, 2 trong số 3 tệp toàn vẹn của wordpress mà nó gắn cờ là từ MalCare:trình kết nối khẩn cấp và tường lửa.
Sâu hơn trong cài đặt, có một tiện ích khác biệt toàn vẹn để so sánh các tệp cốt lõi và tìm ra sự khác biệt. Điều này có thể dễ sử dụng hơn một tiện ích kiểm tra nhiễu trực tuyến.
Có một số tùy chọn tăng cường đáng kể:một số hữu ích, một số khác thì không quá nhiều. Chúng tôi thích có thể chặn PHP trong thư mục tải lên, tường lửa và kích hoạt cập nhật khóa bí mật tự động, thay đổi muối của wordpress.
Tuy nhiên, xác minh phiên bản WordPress, xóa phiên bản WordPress, tránh rò rỉ thông tin (xóa tệp readme mà WordPress vừa tạo) và xác minh tài khoản quản trị mặc định đều là những tính năng ngớ ngẩn với tác động bảo mật nhỏ. Thành thật mà nói, toàn bộ ngành công nghiệp an ninh đã chuyển sang từ những mánh khóe này.
Nếu bạn chọn tắt plugin và trình chỉnh sửa chủ đề, bạn sẽ thấy việc cập nhật khá khó khăn. Nó bao gồm một cảnh báo về một số plugin và chủ đề cần quyền truy cập vào các tệp PHP trong các thư mục này. Điều này là bất cập. Trường hợp điển hình:Sucuri tự lưu các tệp PHP trong thư mục tải lên. Họ không muốn truy cập vào các tệp của riêng họ từ bảng điều khiển bên ngoài của họ? Hay đó là một ngoại lệ đối với quy tắc? Trong trường hợp đó, quy tắc có vẻ linh hoạt theo những cách bị ẩn với người dùng.
Chúng tôi muốn kiểm tra tính năng sau hack trên bảng điều khiển wp-admin. Sau khi làm sạch, bạn muốn đảm bảo rằng bạn làm mọi thứ để bảo vệ trang web của mình khỏi các vụ tấn công trong tương lai. Chúng tôi thích ý tưởng này, cho đến khi chúng tôi nhìn xa hơn một chút.
Bạn có thể cập nhật khóa bí mật — thay đổi muối của wordpress — từ trang tổng quan. Vấn đề duy nhất với điều này là nó ở dạng văn bản rõ ràng, hiển thị cho mọi quản trị viên đăng nhập vào wp-admin. Nếu một tin tặc có tài khoản có quyền truy cập quản trị viên, điều này rất nguy hiểm. This feature only makes sense if a user has verified that none of the admin accounts are compromised, and then changes the salts. A point which is not mentioned anywhere.
You can reset user passwords. Again, a seemingly good feature until you read the fine print:“Select users from the list in order to change their passwords, terminate their sessions and email them a password reset link. Please be aware that the plugin will change the passwords before sending the emails, meaning that if your web server is unable to send emails, your users will be locked out of the site.”
There is a place to see available plugin and theme updates, which is basic version management. It doesn’t add anything to the existing admin dashboard functionality. However, it may serve to educate people that outdated plugins and themes are connected to security.
What’s missing from iThemes Security and Sucuri
iThemes doesn’t have a firewall, which is a serious lacuna for your WordPress security. Firewalls protect sites from certain types of attacks, and are invaluable if your website has vulnerabilities.
Sucuri’s malware scanner is not adequate. So, even though the malware removal service is great, you have to guess that there is malware on your website because the scanner is not going to flag it.
iThemes Security vs Sucuri:Pricing
Sucuri’s Basic Platform plan at $199.99 a year per site is a good deal for unlimited malware removal services. However, considering it is supposed to have a working scanner as well, that’s all your sub will get for you. iThemes is not worth anything. Just don’t bother.
We’ve made our opinion about iThemes abundantly clear in this article. The only feature worth mentioning in iThemes is the two-factor authentication, which is available on the free plan. We definitely do not recommend the Pro plan.
Sucuri’s pricing is a steal for a malware removal service, but the fly in the ointment is the scanner. If you don’t know you have malware, you can’t submit a request for removal.
Better alternative to iThemes Security and Sucuri:MalCare
Invest in a good security plugin that will scan, clean and protect your website from hackers. Of all the plugins we tested for this series, MalCare stands out as the best option. MalCare trumps iThemes in, well, everything, and scans for malware better than Sucuri.
In fact MalCare’s $99 Basic plan is better than Sucuri’s $199.99 Basic Platform plan, with instant malware removal as well. It also includes unlimited cleanups
Kết luận
The security of your website is of paramount importance. We’ve seen many customers skimp out on a security plugin, only to face devastating losses after a hack. One customer gave up after a point, and decided to rebuild his website from scratch. Malware is expensive, MalCare is not.
Did the article help you make a decision? We’d love to know! Do drop us a line.