Trong một cuộc thảo luận về bảo mật WordPress, Sucuri chắc chắn sẽ đưa ra. Nó là một trong những plugin bảo mật phổ biến nhất hiện nay. Các kế hoạch chuyên nghiệp đi kèm với máy quét phía máy chủ, tường lửa và loại bỏ phần mềm độc hại thủ công không giới hạn.
Jetpack là một giải pháp tất cả trong một cho nhiều chức năng của WordPress; không có gì đáng ngạc nhiên vì nó được xây dựng bởi Automattic. Ngoài ra, có một plugin thực hiện công việc của nhiều plugin là một lựa chọn hấp dẫn, vì vậy Jetpack là một đối thủ trong loạt bài kiểm tra plugin bảo mật của chúng tôi.
Nhưng nếu chúng ta bỏ qua chuông và còi, thì plugin bảo mật nào bảo vệ trang WordPress của bạn tốt hơn?
Chúng tôi đã thử nghiệm 5 plugin bảo mật hàng đầu để có câu trả lời. Trong hơn 45 ngày, chúng tôi đã nghiên cứu các plugin chống lại phần mềm độc hại, lỗ hổng bảo mật, các cuộc tấn công và hơn thế nữa. Đọc tiếp để đọc thêm về kết quả của chúng tôi và quan trọng nhất:lựa chọn của chúng tôi cho một plugin bảo mật WordPress thực sự hoạt động.
VERDICT : Sucuri và Jetpack rất khó để quyết định, bởi vì cả hai đều thất bại theo những cách khác nhau. Cuối cùng, chúng tôi nghĩ rằng Sucuri sẽ thắng Jetpack. Máy quét phần mềm độc hại của Jetpack đã quản lý để phát hiện một số phần mềm độc hại, trái ngược với Sucuri’s, không phát hiện được bất kỳ phần mềm nào. Nhưng dịch vụ xóa phần mềm độc hại của Sucuri đã làm tốt công việc, trong khi Jetpack hoàn toàn không có tùy chọn để làm sạch. Thành thật mà nói, mặc dù cả hai đều không đủ tốt, vì vậy đề xuất của chúng tôi là MalCare.
Lựa chọn của chúng tôi
Chúng tôi đã kiểm tra từng plugin trong số 5 plugin bảo mật hàng đầu trong 45 ngày. Chúng tôi đã sử dụng 3 trang web:1) một blog bình thường làm quyền kiểm soát; 2) blog có các plugin dễ bị tấn công và 3) trang web có phần mềm độc hại trong tệp và cơ sở dữ liệu ở cấp độ ông chủ.
Có một danh sách các yếu tố ở phần sau của bài viết để hiển thị cách chúng tôi xếp hạng từng plugin, nhưng tóm lại, chúng tôi đã thử nghiệm trình quét, trình dọn dẹp và tường lửa (nếu plugin có) để đi đến kết quả của chúng tôi.
Điều quan trọng là chọn một plugin bảo mật mà bạn có thể chắc chắn bảo vệ trang web của mình khỏi tin tặc và phần mềm độc hại của chúng. Không nghi ngờ gì nữa, plugin đó chính là MalCare.
Tóm tắt so sánh Sucuri và Jetpack
Trong cuộc thi giành tất cả những người chiến thắng này, Sucuri dẫn trước Jetpack vì các dịch vụ loại bỏ phần mềm độc hại tuyệt vời mà họ cung cấp. Tuy nhiên, đó là một chiến thắng trống rỗng, bởi vì máy quét của Sucuri là một trong những thứ tồi tệ nhất mà chúng tôi từng thấy cho đến nay.
Tóm lại là Jetpack
Các gói trả phí của Jetpack có một trình quét phần mềm độc hại trung bình, sẽ phát hiện một số phần mềm độc hại trên trang web của bạn. Phần còn lại của các tính năng bảo mật khá tốt, nhưng chúng không bù đắp được cho máy quét hoặc việc thiếu tường lửa và dọn dẹp phần mềm độc hại. Nhìn chung, Jetpack là một sự bỏ lỡ.
Jetpack là plugin thứ hai mà chúng tôi đã thử nghiệm, ngay sau iThemes và chúng tôi rất ấn tượng vì ít nhất nó đã làm được điều gì đó. Rõ ràng, điều đó không làm cho nó trở thành một plugin bảo mật tốt.
Về mặt tích cực, nhật ký hoạt động của Jetpack rất tuyệt. Nhật ký hoạt động là một công cụ quan trọng để gỡ lỗi và bảo mật trang web. Chúng tôi cũng nghĩ rằng bảng điều khiển bên ngoài trên WordPress.com rất rộng và là một giao diện quen thuộc để làm việc. Vì chúng tôi là những người ủng hộ rất lớn cho việc sao lưu, chúng tôi thích đó là một phần trong các tính năng của Jetpack.
Tuy nhiên, không có lý do nào ở trên là đủ để bắt đầu sử dụng gói trả phí, bởi vì Jetpack viết rất nhiều séc nên nó không thể rút tiền mặt. Chúng tôi đã đề cập rằng máy quét hoạt động không tốt. Nó phát hiện khoảng 30% phần mềm độc hại trên trang web. Khả năng bảo vệ vũ lực chỉ ở mức tầm thường. Chúng tôi đã thử tấn công trang đăng nhập và sau một vài lần đăng nhập không thành công, chúng tôi thấy một hình ảnh xác thực. Nhưng IP của chúng tôi không bị gắn cờ và chúng tôi cũng không nhận được cảnh báo qua email. Khi chúng tôi kiểm tra nhật ký, cuộc tấn công đã được ghi lại.
Ngoài ra, Jetpack chỉ phát hiện một số lỗ hổng bảo mật của trang web. Trong số 3 mà chúng tôi đã cài đặt, nó gắn cờ 2. Trong trường hợp các trang web có nhiều lỗ hổng hơn, tỷ lệ chắc chắn sẽ tồi tệ hơn nhiều.
Không có plugin bảo mật nào là hoàn hảo, nhưng chúng tôi muốn có một plugin càng gần với mức hoàn hảo càng tốt. Jetpack không phải là plugin đó.
Tóm lại là Sucuri
Sucuri nhận được đánh giá hỗn hợp từ chúng tôi, vì tường lửa và các tính năng dọn dẹp phần mềm độc hại của nó hoạt động tốt, nhưng máy quét hoàn toàn không hoạt động. Quét phần mềm độc hại cần phải là 100% và không có plugin bảo mật nào đáng giá nếu không có máy quét hoạt động.
Sucuri là một trong những plugin bảo mật WordPress phổ biến nhất hiện nay, nhưng nó lại thiếu một lĩnh vực quan trọng:quét phần mềm độc hại. Nếu máy quét không hoạt động, không có cách nào để biết rằng trang web của bạn bị nhiễm phần mềm độc hại. Và nếu bạn không biết điều đó, không có cách nào bạn có thể giải quyết nó.
Trong hai khía cạnh khác, tường lửa và dọn dẹp phần mềm độc hại, Sucuri hoạt động tốt. Tường lửa đã chặn hầu hết các cuộc tấn công và dịch vụ loại bỏ phần mềm độc hại là hàng đầu. Có một số tùy chọn làm cứng hữu ích trên trang tổng quan. Yêu cầu loại bỏ phần mềm độc hại không giới hạn cũng là một điều tuyệt vời, đặc biệt là khi so sánh với một số dịch vụ khác có sẵn.
Mặt khác, cấu hình và cài đặt là một cơn ác mộng, đặc biệt là tường lửa. Chúng tôi đã phải vật lộn với việc cài đặt tường lửa mà không có công ty đăng ký tên miền và thành thật mà nói, đó là một quá trình khó chịu. Quá trình quét bảo mật cũng tải tài nguyên máy chủ của chúng tôi đến mức chúng tôi thấy sự khác biệt trên trang web của mình. May mắn thay, trang web của chúng tôi đã sử dụng dịch vụ lưu trữ chuyên dụng, nếu không, các công ty lưu trữ được chia sẻ sẽ nhanh chóng gửi cho chúng tôi một email vi phạm.
Điểm mấu chốt ở đây là bạn phải lựa chọn giữa bảo mật và hiệu suất với Sucuri. Đó là một thỏa hiệp khủng khiếp để thực hiện. Nhìn chung, Sucuri vừa là một plugin bảo mật tốt vừa không tốt, và do đó là một mâu thuẫn. Chúng tôi không đề xuất sự mâu thuẫn như một biện pháp bảo mật. Chỉ nói.
Cách chọn plugin bảo mật phù hợp cho WordPress
Trong bối cảnh mối đe dọa luôn thay đổi, plugin bảo mật là một cách để bảo vệ trang web, dữ liệu, khách truy cập và doanh nghiệp của bạn. Tin tặc gây ra thiệt hại to lớn bằng phần mềm độc hại, đánh cắp tiền, dữ liệu và danh tính của mọi người. Là chủ sở hữu trang web, plugin bảo mật là một phần thiết yếu trong bộ công cụ quản trị của bạn.
Tuy nhiên, việc chọn đúng plugin bảo mật không phải là đơn giản. Có rất nhiều plugin, mỗi plugin đều tuyên bố là tốt hơn plugin tiếp theo. Vì vậy, làm thế nào để bạn chọn một trong những quyền?
Về bảo mật, chỉ có 3 tính năng cần thiết của một plugin bảo mật: quét phần mềm độc hại, dọn dẹp phần mềm độc hại, và tường lửa. Mọi thứ khác đều là tiền thưởng. Điều đó không có nghĩa là bảo vệ bằng vũ lực là không quan trọng, bởi vì nó chắc chắn là như vậy. Nhưng nếu bạn không có 3 điều cần thiết, thì bạn cũng có thể không có những thứ khác.
Khi đánh giá một plugin bảo mật, đây là những yếu tố bạn nên tìm kiếm:
- Các tính năng bảo mật cần thiết
- Quét phần mềm độc hại
- Dọn dẹp phần mềm độc hại
- Tường lửa
- Các tính năng bảo mật tốt cần có
- Phát hiện lỗ hổng bảo mật
- Bảo vệ đăng nhập bằng bạo lực
- Nhật ký hoạt động
- Xác thực hai yếu tố
- Các vấn đề tiềm ẩn
- Ảnh hưởng đến tài nguyên máy chủ
Plugin duy nhất có tất cả các tính năng cần thiết để bảo vệ các trang web WordPress là MalCare. Như chúng ta tiếp tục nói trong bài viết này, mỗi người trong số họ đều thất bại theo cách này hay cách khác, đặc biệt là khiến chúng ta thất bại trong 3 lĩnh vực thiết yếu.
Sucuri vs Jetpack:So sánh trực tiếp các tính năng
Để làm cho so sánh này hữu ích nhất có thể, chúng tôi đã tổ chức các phần dựa trên các tiêu chí được liệt kê ở trên. Đây là những khía cạnh quan trọng nhất của một plugin bảo mật, nhưng chúng tôi cũng muốn đề cập đến những trải nghiệm khác của chúng tôi như tính dễ cấu hình, giá trị đồng tiền, v.v.
Chúng tôi đã trình bày những phát hiện của mình một cách công bằng và ngắn gọn nhất có thể để giúp bạn đưa ra quyết định đúng đắn về bảo mật cho trang web của mình. Tuy nhiên, nếu bạn cần một giải pháp bảo mật nhanh chóng, chúng tôi khuyên bạn nên cài đặt MalCare để bảo mật WordPress vô song.
Quét phần mềm độc hại
Cả SiteCheck và máy quét cấp máy chủ của Sucuri đều không phát hiện thấy phần mềm độc hại trên trang web của chúng tôi. Máy quét của Jetpack đã phát hiện một số phần mềm độc hại.
Sucuri có hai trình quét phần mềm độc hại:SiteCheck và một trình quét cấp máy chủ mà bạn cần cài đặt từ bảng điều khiển Sucuri của mình. Chúng tôi muốn kiểm tra cả hai, bởi vì chúng tôi thường giới thiệu SiteCheck, một máy quét miễn phí, như một chẩn đoán cấp một cho các trang web. SiteCheck quét các phần hiển thị công khai trên trang web của bạn, vì vậy chỉ cần nó không tìm thấy phần mềm độc hại không đảm bảo cho một trang web sạch. Tuy nhiên, bạn không phải cài đặt SiteCheck để sử dụng nó. Vì vậy, nhiều quản trị viên thấy nó dễ sử dụng hơn trong trường hợp máy chủ lưu trữ web đã tạm ngưng trang web của họ hoặc Google đã đưa nó vào danh sách đen.
Chuyển sang máy quét cấp máy chủ, đi kèm với các gói cao cấp của Sucuri, bạn cần cài đặt nó vào máy chủ web của mình. Bạn có thể chọn làm như vậy theo cách thủ công hoặc nhập chi tiết FTP của bạn để làm như vậy từ trang tổng quan của bạn. Sau khi chúng tôi cài đặt xong, máy quét đã mất nhiều thời gian để kiểm tra phần mềm độc hại trên trang web của chúng tôi.
Khi quá trình quét hoàn tất, kết quả cho thấy trang web của chúng tôi không có phần mềm độc hại. Kết quả sai, vì trang web của chúng tôi chứa đầy phần mềm độc hại, cả trong tệp và cơ sở dữ liệu. Sau đó, chúng tôi đã thử chạy lại quá trình quét vài giờ sau đó, nhưng kết quả vẫn như cũ. Rõ ràng là không có phần mềm độc hại nào trên trang web bị tấn công nghiêm trọng của chúng tôi.
Máy quét được thiết lập để chạy mỗi ngày một lần, nhưng bạn có thể yêu cầu quét đặc biệt. Các yêu cầu được đưa vào một hàng đợi và sau đó được thực thi. Điều duy nhất ở đây là Sucuri cảnh báo bạn về việc chạy quá nhiều lần quét, vì quá trình quét sử dụng hết tài nguyên máy chủ. Điều đó .. không tốt. Các bản quét không được chiếm tài nguyên của trang web vì điều đó có tác động đến hiệu suất trên trang web. Chúng ta sẽ quay lại vấn đề này ở phần sau của bài viết.
Jetpack có một trình quét phần mềm độc hại trong các gói trả phí của nó và sau khi xem cách Sucuri lột xác trong phần quét, chúng tôi rất ngạc nhiên khi thấy rằng Jetpack thực sự đã gắn cờ một số phần mềm độc hại.
Tuy nhiên, sự phấn khích chỉ tồn tại trong thời gian ngắn vì Jetpack không gắn cờ tất cả các phần mềm độc hại. Trên thực tế, nó không phát hiện ra một lượng lớn phần mềm độc hại. Vì vậy, mặc dù nó đã làm tốt hơn Sucuri về mặt này, nhưng việc phát hiện một số phần mềm độc hại cũng tốt như không phát hiện ra phần mềm độc hại nào. Kết quả là trang web có thể tiếp tục bị tấn công. Để quét toàn bộ trang web của bạn, không cần tìm đâu xa hơn là trình quét phần mềm độc hại MalCare.
Dọn dẹp phần mềm độc hại
Jetpack không có tính năng dọn dẹp phần mềm độc hại. Sucuri có một dịch vụ dọn dẹp phần mềm độc hại thủ công tuyệt vời giúp loại bỏ phần mềm độc hại khỏi trang web của chúng tôi trong vòng 12 giờ.
Chúng tôi mâu thuẫn về Sucuri ở điểm này, bởi vì trong khi chúng tôi rất ấn tượng với dịch vụ dọn dẹp của họ, máy quét đã cho trang web bị tấn công của chúng tôi một cách sạch sẽ. Dựa trên những kết quả đó, về mặt lý thuyết, chúng tôi sẽ không biết rằng trang web của chúng tôi có phần mềm độc hại. Nhưng vì đây là hoạt động thử nghiệm, chúng tôi đã yêu cầu dọn dẹp thủ công khi biết rằng trang web của chúng tôi chắc chắn có phần mềm độc hại.
Theo kế hoạch của chúng tôi, chúng tôi có thể mong đợi việc dọn dẹp của chúng tôi sẽ được thực hiện trong vòng 30 giờ. Về mặt lý thuyết, đó là một thời gian dài để chờ đợi nếu trang web của bạn bị tấn công. Ví dụ:nếu trang web của bạn nằm trong danh sách đen của Google, thời gian trôi qua là doanh thu bị mất. Tuy nhiên, chúng tôi đã làm sạch lại một trang web trong vòng chưa đầy 10 giờ. Chúng tôi rất ấn tượng.
Để yêu cầu dọn dẹp phần mềm độc hại khỏi Sucuri, bạn cần điền vào biểu mẫu với tất cả các thông tin chi tiết mà bạn có thể điền vào. Cho biết khả năng công nghệ của bạn, nhập bằng chứng xác thực FTP và bạn sẽ lấy lại được một trang web đã được làm sạch. Chúng tôi đã kiểm tra vị trí đã được làm sạch bằng MalCare và nó sạch sẽ. Tuyệt vời! Nhóm đã cung cấp cho chúng tôi một danh sách kiểm tra sau khi làm sạch, cảnh báo chúng tôi về các lỗ hổng bảo mật trên trang web và chúng tôi sẵn sàng tiếp tục.
Ngoại trừ một điều nhỏ:sau khi nhóm của Sucuri xóa phần mềm độc hại và MalCare xác nhận điều đó, máy quét của Sucuri sau đó nói rằng trang web đã bị tấn công. Sau khi nó được làm sạch bởi đội của họ? Đi tìm con số.
Các kế hoạch bảo mật của Jetpack không bao gồm loại bỏ phần mềm độc hại, mặc dù họ nói rằng chúng có thể loại bỏ một số bệnh lây nhiễm. Sau khi chạy trình quét phần mềm độc hại, chúng tôi thấy rằng một số phần mềm độc hại đã bị gắn cờ, nhưng không có phần mềm nào có thể sửa được. Trên thực tế, trong tất cả các trường hợp phần mềm độc hại bị gắn cờ, Jetpack vui lòng khuyên chúng tôi nên sử dụng dịch vụ xóa phần mềm độc hại.
Mối quan tâm của chúng tôi với Jetpack là bằng cách gắn cờ vị trí của phần mềm độc hại và chính mã, nó dường như ủng hộ việc làm sạch thủ công như một tùy chọn. Đây không phải là một quyết định khôn ngoan. Các trang web bị tấn công là những bãi mìn, đặc biệt là vì phần mềm độc hại có thể ẩn náu ở bất cứ đâu. Việc dọn dẹp phần mềm độc hại theo cách thủ công dễ xảy ra lỗi do con người và có nguy cơ làm hỏng trang web hoàn toàn.
Dịch vụ xóa phần mềm độc hại là một đề xuất tốn kém và không có gì đảm bảo rằng trang web của bạn sẽ không bị tấn công lần nữa. Trong trường hợp đó, chi phí có thể tăng lên đáng kể. Các kế hoạch của Sucuri có số lần dọn dẹp không giới hạn, điều này thật tuyệt vời. Vấn đề duy nhất của chúng tôi với Sucuri là máy quét sẽ không cảnh báo bạn về hầu hết các phần mềm độc hại, vậy làm cách nào bạn biết khi nào cần yêu cầu dọn dẹp?
Chúng tôi đã sử dụng MalCare để quét phần mềm độc hại và cũng để làm sạch trang web của chúng tôi trong vài phút. Tính năng tự động làm sạch đã loại bỏ phần mềm độc hại khỏi trang web của chúng tôi mà không cần thông tin xác thực FTP hoặc yêu cầu xóa. Nó không đau và liền mạch, và gần như tức thì. Thật khó để đánh bại điều đó.
Tường lửa
Tường lửa của Sucuri đã làm tốt công việc đối phó với hầu hết các cuộc tấn công phổ biến, nhưng cài đặt lại là một cơn ác mộng. Jetpack không có tường lửa.
Sucuri có một tường lửa đi kèm với các kế hoạch bảo mật của nó, nhưng cũng có các kế hoạch tường lửa độc lập. Chúng tôi muốn kiểm tra tính hiệu quả của tường lửa, vì vậy chúng tôi đã cố gắng định cấu hình nó cho trang web của mình.
Trước khi nói về cách hoạt động của tường lửa, chúng ta phải dành thời gian để diễn đạt trải nghiệm cài đặt tường lửa của Sucuri khủng khiếp như thế nào. Chúng tôi đã có một gói trả phí hiện có và đã có một trang web được định cấu hình tường lửa. Vì vậy, khi chúng tôi cố gắng thay thế trang web đó bằng trang web thử nghiệm của mình, Sucuri chỉ từ chối nhúc nhích.
Vấn đề ở đây là để sử dụng tường lửa, bạn phải trỏ DNS của trang web của mình tới máy chủ định danh của tường lửa. Điều đó có nghĩa là tất cả lưu lượng truy cập vào trang web của bạn trước tiên sẽ đi qua tường lửa của Sucuri và sau đó được chuyển hướng đến trang web của bạn. Nếu điều này nghe có vẻ phức tạp, thì đó là vì nó cực kỳ phức tạp.
Trong mọi trường hợp, chúng tôi có thể định cấu hình trang web thử nghiệm có lỗ hổng như tải lên tệp không hạn chế, XSS và chèn SQL sau một vài ngày. Tường lửa đã chặn mọi nỗ lực của chúng tôi nhằm khai thác các lỗ hổng này và tải lên các tệp độc hại.
Trong tất cả sự minh bạch, chúng tôi không thể kiểm tra các cuộc tấn công phức tạp hơn trong khung thời gian nhất định của chúng tôi. Tuy nhiên, bất cứ thứ gì chúng tôi ném vào tường lửa của Sucuri đều bị chặn lại.
Tường lửa là một phần không thể thiếu trong bảo mật trang web của bạn. Họ ngăn chặn phần mềm độc hại bằng cách ngăn chặn tin tặc khai thác các lỗ hổng trong trang web. Jetpack không có và đó là một lỗ hổng trong plugin bảo mật của họ.
MalCare thực hiện một công việc xuất sắc trong việc bảo vệ trang web của bạn chống lại các loại tấn công khác nhau. Và nó rất dễ cấu hình không giống như Sucuri’s.
Phát hiện lỗ hổng bảo mật
Cả Jetpack và Sucuri chỉ phát hiện một số lỗ hổng trên trang web của chúng tôi.
Sau khi chúng tôi cài đặt trình quét phía máy chủ của Sucuri, quá trình quét cho chúng tôi biết rằng chúng tôi có một vài lỗ hổng trên trang web của mình. Máy quét không phát hiện ra một số plugin và chủ đề khó hiểu hơn và về cơ bản, chúng tôi khuyên bạn nên cập nhật các plugin và chủ đề lỗi thời.
Điều thú vị là có một tab post-hack trên plugin Sucuri trên wp-admin. Nó có một danh sách các phiên bản của các plugin và chủ đề đã cài đặt, cùng với các phiên bản mới nhất. Trong phần in nhỏ trên trang này, Sucuri đề cập rằng phần mềm lỗi thời là mối nguy hiểm về bảo mật và thường dẫn đến lây nhiễm phần mềm độc hại.
Nhóm của Sucuri cũng đã gửi cho chúng tôi danh sách các đề xuất để cập nhật các plugin và chủ đề lỗi thời, nhằm giải quyết các lỗ hổng bảo mật. Một lần nữa, họ chỉ có thể phát hiện một số lỗ hổng chứ không phải tất cả.
Máy quét của Jetpack cũng đã phát hiện ra một số lỗ hổng và cung cấp cho chúng tôi tùy chọn tự động sửa chữa; về cơ bản, chúng tôi có thể cập nhật chúng. Có rất ít điểm để phân biệt giữa Sucuri và Jetpack trong trường hợp này. Giao diện Jetpack dễ quản lý hơn, nhưng nói chung thì Sucuri là một plugin phức tạp hơn nhiều.
Bảo vệ đăng nhập bằng vũ lực
Jetpack thêm hình ảnh xác thực vào trang đăng nhập sau nhiều lần đăng nhập không thành công, nhưng không chặn IP. Sucuri dường như không có tính năng bảo vệ đăng nhập đang hoạt động.
Jetpack có tính năng bảo vệ đăng nhập brute force trên các gói trả phí và miễn phí của họ. Khi chúng tôi cố gắng cưỡng bức trang đăng nhập, chúng tôi thấy một hình ảnh xác thực số được thêm vào sau 10 lần thử không thành công. Các bản ghi cho thấy tất cả các lần đăng nhập không thành công sau 3 lần đầu tiên như một cuộc tấn công vũ phu.
Jetpack cũng có tính năng lập danh sách IP cho phép phức tạp, vì vậy chúng tôi đã giả định rằng một lúc nào đó chúng tôi có thể bị khóa hoàn toàn khỏi trang web. Tuy nhiên, điều đó hoàn toàn không xảy ra. Chúng tôi đã thử tối đa 50 mật khẩu không chính xác cho tài khoản quản trị viên trong vòng chưa đầy một phút và không có gì xảy ra.
Thành thật mà nói, danh sách trắng IP là một công cụ rửa mắt. IP của thiết bị có thể thay đổi, do đó, việc đưa IP của quản trị viên vào danh sách trắng không đảm bảo cho việc khóa tài khoản có thể xảy ra. Tuy nhiên, nếu tính năng tồn tại, nó sẽ hoạt động. Nhưng nó đã không.
Chúng tôi nghĩ rằng Sucuri sẽ làm tốt hơn nhiều so với Jetpack về điểm này, bởi vì nó có một bộ tùy chọn phức tạp để định cấu hình cảnh báo bạo lực. Bạn có thể đặt ngưỡng mà một cuộc tấn công được coi là bạo lực. Mặc dù vậy, các giới hạn này là không thực tế, bởi vì có một tùy chọn coi 30 lần thử thất bại mỗi giờ là một cuộc tấn công, trong khi trên thực tế, một cuộc tấn công vũ phu khiến trang đăng nhập lên tới 100 yêu cầu mỗi phút. Trên thực tế, thường có rất nhiều yêu cầu đăng nhập mà máy chủ không thể xử lý chúng.
Tóm lại, Sucuri không cảnh báo chúng tôi về các cuộc tấn công đăng nhập. Các cuộc tấn công đã hiển thị trong nhật ký kiểm tra, nhưng chúng tôi không nhận được bất kỳ cảnh báo nào.
Nhật ký hoạt động
Nhật ký của Jetpack rất tuyệt. Họ theo dõi mọi hành động của người dùng và plugin. Nhật ký kiểm toán Sucuri cũng hoạt động, nhưng có thể hoàn toàn không thể hiểu được.
Nhật ký kiểm tra của Sucuri theo dõi tất cả các hành động của người dùng cũng như các thay đổi về plugin và chủ đề. Tất cả các thay đổi được thực hiện đối với bất kỳ tệp và bảng nào đều hiển thị trong nhật ký kiểm tra. Càng xa càng tốt. Ngoài ra còn có một tùy chọn để đặt khóa API để ngăn những kẻ tấn công xóa nhật ký, bằng cách cho phép Sucuri lưu nhật ký trang web của bạn ra bên ngoài trang web.
Nhật ký thu thập thông tin cần thiết như người dùng, hành động, dấu thời gian, v.v. Tuy nhiên, chúng tôi nhận thấy rằng trong một số trường hợp, chúng rất khó hiểu. Trường hợp điển hình:chúng tôi đã cài đặt một plugin thư viện trên trang web của mình. Các bản ghi đã đăng ký 7 mục nhập khác nhau cho plugin, cho thấy rằng 7 tệp đã được thay đổi. Hoặc chúng tôi đã nghĩ. Đó thực sự là ghi nhật ký các thay đổi đối với mẫu bài đăng, nhưng chúng tôi không thể tìm ra bất kỳ thay đổi nào trong số đó từ các nhật ký.
Jetpack có một tính năng nhật ký hoạt động tuyệt vời và nó có sẵn để xem trước trên các gói miễn phí. Nhật ký hiển thị tất cả hoạt động của người dùng, plugin và chủ đề, ngoài ra còn hiển thị những thứ cần được chú ý ngay lập tức, như phần mềm độc hại hoặc lỗ hổng bảo mật được phát hiện.
Tuy nhiên, dữ liệu của Jetpack chỉ tồn tại trong tối đa 30 ngày. Lý tưởng nhất là các bản ghi nên lưu trong một khoảng thời gian dài hơn.
Xác thực hai yếu tố
Không có plugin bảo mật nào có xác thực hai yếu tố.
Không có nhiều điều để nói trong phần này, vì cả Jetpack và Sucuri đều không có xác thực hai yếu tố cho các trang web của bạn.
Tuy nhiên, khi chúng tôi thử nghiệm các plugin, chúng tôi đã tìm kiếm xác thực hai yếu tố trên Sucuri. Trên thực tế, có xác thực hai yếu tố trên bảng điều khiển Sucuri, nhưng nó đã có sẵn cho tài khoản Sucuri của bạn. Không phải trang web của bạn.
Sử dụng tài nguyên máy chủ
Cả hai plugin sẽ tiêu tốn tài nguyên máy chủ để thực hiện quét trên trang web của bạn. Máy quét của Sucuri đã làm chậm trang web của chúng tôi một cách đáng kể.
Chúng tôi cho điểm Sucuri về tính trung thực, vì họ tuyên bố sử dụng tài nguyên máy chủ để quét ngay trên trang tổng quan. Ngoài ra, thật là khủng khiếp khi họ làm điều đó.
Các bản quét Sucuri cho thấy một bước ngoặt đáng chú ý trong việc sử dụng CPU máy chủ của chúng tôi. Và các trang web thử nghiệm của chúng tôi nhỏ; hầu như không nhiều hơn 100 MB cho cái lớn nhất. Nếu chúng ta có một trang WooCommerce hoặc một trang có cơ sở dữ liệu lớn, hiệu suất của trang web sẽ bị ảnh hưởng nghiêm trọng. Thêm vào đó, việc quét Sucuri cũng mất một lượng thời gian đáng kể. Vì vậy, tác động sẽ diễn ra trong một thời gian.
Ngoài việc sử dụng CPU, trong Cài đặt chung trên wp-admin, bạn sẽ thấy rằng Sucuri sử dụng máy chủ của bạn để lưu trữ dữ liệu. Ngay cả khi không gian lưu trữ không đáng kể, điểm vẫn là không gian máy chủ trên trang web của bạn đang được sử dụng.
Jetpack cũng có tác động đến tài nguyên máy chủ. Đúng là nó không đáng chú ý như ảnh quét của Sucuri, nhưng nó vẫn không lý tưởng chút nào.
Thành thật mà nói, chúng tôi không bị ấn tượng bởi tình trạng này. Không có quản trị viên trang web nào phải lựa chọn giữa bảo mật và hiệu suất. Việc thiếu một trong hai điều này có thể ảnh hưởng đến doanh thu theo những cách chính, vì vậy nó không phải là một sự đánh đổi.
Cảnh báo
Thông báo của Sucuri có thể lấp đầy hộp thư đến của bạn sau một giờ, vì vậy bạn cần phải hoàn toàn chắc chắn về những gì bạn muốn được thông báo. Jetpack chỉ gửi thông báo về những thứ quan trọng.
Sucuri cho phép bạn tùy chỉnh định dạng của cảnh báo, gửi chúng cho các hành động cụ thể, gửi chúng cho một số người nhất định, v.v. Bạn cũng có thể định cấu hình cài đặt để bỏ qua các IP nhất định để chúng không kích hoạt cảnh báo.
Số lượng tuyệt đối các tùy chọn cho các cảnh báo của Sucuri thật đáng kinh ngạc. Tất nhiên, bạn chỉ thực sự cần cấu hình nó một lần, và sau đó quên nó đi. Nhưng thực sự, các tùy chọn đáng được đề cập đặc biệt. Và nếu con số không đủ gây khó khăn, thì kỹ thuật nói hoàn toàn không có lợi.
Cuối cùng, các cảnh báo quá chi tiết để hữu ích. Quản trị viên sẽ có thể dựa vào plugin bảo mật của họ để cảnh báo họ về những thứ cần được xử lý và lọc bỏ tất cả các tạp âm. Trong trường hợp của Sucuri, chúng tôi khá chắc chắn rằng có nhiều khả năng bị mất tín hiệu trong tất cả các tiếng ồn.
Jetpack xử lý cảnh báo một cách trang nhã. Không có một triệu tùy chọn để sàng lọc và plugin sẽ gửi cho bạn cảnh báo về những thứ bạn cần chú ý. Chẳng hạn như các lỗ hổng và phần mềm độc hại.
Ngoài ra, chúng tôi cũng đã thử nghiệm tính năng theo dõi thời gian ngừng hoạt động của Jetpack. Nó được cho là sẽ thông báo cho chúng tôi nếu trang web gặp sự cố, nhưng nó đã không xảy ra. Chúng tôi đã gặp sự cố trang web theo một số cách khác nhau và thấy rằng Jetpack hoàn toàn không ghi nhận những sự cố đó.
Mặc dù giám sát thời gian chết không phải là một tính năng bảo mật, nhưng nó là một số liệu quan trọng cho trang web của bạn. Các trang web bị sập hoặc gặp sự cố thường là dấu hiệu cho thấy hoạt động của tin tặc hoặc phần mềm độc hại. Tính năng thời gian ngừng hoạt động của Jetpack không hoạt động.
Cài đặt, cấu hình và khả năng sử dụng
Ban đầu Sucuri rất dễ, nhưng càng về sau càng khó hơn. Jetpack rất dễ cấu hình nhưng giao diện liên tục thúc đẩy bạn nâng cấp.
Cài đặt Jetpack thật tẻ nhạt. Mặc dù plugin của bạn đã được cài đặt, không có cách nào để tiếp tục mà không tạo trang tổng quan WordPress.com. Tuy nhiên, nó đóng vai trò là trang tổng quan bên ngoài của bạn, vì vậy bạn cần có tài khoản. Bạn hơi bối rối khi được đưa đi chuyển lại từ trang tổng quan của riêng bạn tới Jetpack’s mà không hiểu rõ ràng về thời điểm và lý do cần phải làm như vậy.
Việc cài đặt Sucuri rất dễ dàng và trình quét giao diện người dùng bắt đầu chạy ngay lập tức. Để truy cập các tính năng trả phí, như tường lửa và máy quét phía máy chủ, bạn cần tạo một tài khoản trên Sucuri. Tuy nhiên, phiên bản miễn phí có thể tự cung cấp được.
Trang tổng quan bên ngoài của Jetpack rất dễ sử dụng vì nó bắt chước wp-admin. Tuy nhiên, có rất nhiều tính năng bị khóa tùy thuộc vào gói của bạn, vì vậy trải nghiệm người dùng không phải là tốt nhất khi thấy ‘nâng cấp’ ở mọi nơi. Theo quan điểm bảo mật, một số chỉ số là vô dụng, vì vậy nhìn chung, chúng tôi không thích giao diện của Jetpack.
Phải nói rằng, chúng tôi muốn giao diện của Jetpack hơn là của Sucuri. Nếu chúng ta phải mô tả Sucuri bằng một từ, từ đó sẽ gây nhầm lẫn. Có quá nhiều biệt ngữ công nghệ trong cấu hình và cài đặt. Chúng tôi thực sự đã dành hàng giờ để tìm hiểu ý nghĩa của một số thuật ngữ. Ngoài ra, các mô tả không hữu ích và trong một số trường hợp là hạ mình. Không chắc tại sao mọi người lại nghĩ rằng viết mô tả có nội dung hiệu quả là:nếu bạn không biết điều này có nghĩa là gì, tốt nhất hãy để nó yên.
Thiết lập tường lửa của Sucuri là một cơn ác mộng. Điều này có vẻ đơn giản nếu bạn có quyền truy cập vào một công ty đăng ký tên miền và bí quyết tìm hiểu về máy chủ định danh (tình cờ mất vài giờ để cập nhật). Trang web thử nghiệm của chúng tôi không có miền, vì chúng tôi không muốn Google lập chỉ mục nó hoặc mọi người vô tình truy cập vào nó, vì vậy việc thay đổi máy chủ định danh không phải là một nhiệm vụ đơn giản. Nếu ai đó muốn thiết lập tường lửa trên một trang web dàn dựng, họ sẽ cảm thấy khó thực hiện nếu không có sự hỗ trợ của kỹ thuật.
Jetpack:Thêm
Jetpack kết hợp nhiều tác vụ quản trị WordPress vào một plugin, do đó, có rất nhiều tính năng bổ sung. Chúng tôi thích rằng nó có các bản sao lưu, bởi vì bản sao lưu là điều cực kỳ quan trọng đối với bất kỳ trang web nào. Ngoài ra, tài khoản WordPress.com quen thuộc để sử dụng, mặc dù nếu bạn có nhiều trang web trên một tài khoản, việc chuyển đổi qua lại giữa chúng để quản lý sẽ rất tẻ nhạt.
Sucuri:Thêm
Sucuri có rất nhiều chuông và còi bổ sung trong plugin của họ. Không giống như Jetpack cung cấp nhiều thứ hơn là bảo mật, Sucuri chỉ thiên về bảo mật. Vì vậy, chúng tôi đã thử tìm hiểu kỹ các tính năng để xem điều gì có thể ảnh hưởng đến bảo mật.
Khi bạn cài đặt plugin, đầu tiên và lớn nhất bạn sẽ thấy là hộp thông tin toàn vẹn của WordPress. Nó trông thực sự ấn tượng, nhưng nó thực sự là một phiên bản rất chỉnh chu của trình theo dõi thay đổi tệp lõi WordPress. Rõ ràng là có một số tiện ích để có một trình theo dõi thay đổi tệp cho các tệp lõi, đặc biệt là vì phần mềm độc hại được biết là thường xuyên phá hoại các tệp lõi. Tuy nhiên, theo ý kiến của chúng tôi, sự nổi bật và vị trí là sai lệch. Trình theo dõi thay đổi tệp không phải là phạm vi bảo mật của WordPress. Thành thật mà nói, nó thậm chí không phải là bắt đầu.
Ngoài ra còn có một tiện ích khác biệt toàn vẹn để so sánh các tệp chính trên trang web với bản dựng ban đầu. Sẽ dễ dàng hơn so với việc sử dụng bộ khuếch tán trực tuyến cho các tệp lõi, nếu bạn đang dọn dẹp phần mềm độc hại theo cách thủ công.
Sucuri có rất nhiều tùy chọn tăng cường WordPress. Một số trong số chúng hữu ích, trong khi những bản khác là các bản hack cũ hơn đã không còn hữu ích về mặt bảo mật.
Ví dụ:chặn PHP trong thư mục tải lên là một ý tưởng hay và khả năng thay đổi các muối WordPress dễ dàng từ bảng điều khiển cũng vậy. Nhưng đây không phải là một sự chứng thực rõ ràng. Sẽ an toàn hơn nhiều nếu có tính năng này trên bảng điều khiển Sucuri hơn là trên wp-admin. Nếu một hacker giành được quyền truy cập vào phần phụ trợ của trang web, các muối sẽ bị xâm phạm vì chúng được hiển thị ở dạng bản rõ.
Những thứ như xác minh phiên bản WordPress, gỡ bỏ phiên bản WordPress, tránh rò rỉ thông tin và xác minh tài khoản quản trị mặc định là những tính năng bảo mật vô nghĩa. Họ làm rất ít để bảo mật trang web theo những cách cụ thể. Hãy quên ngành công nghiệp bảo mật đi, ngay cả tin tặc cũng đã chuyển sang từ những mánh khóe này.
Một số tính năng khó làm chúng tôi bối rối. Nếu chúng tôi chọn tắt trình chỉnh sửa plugin và chủ đề, chúng tôi sẽ cập nhật plugin và chủ đề của mình như thế nào khi phát hiện ra lỗ hổng bảo mật? Ngoài ra, Sucuri lưu trữ các tệp PHP trong thư mục tải lên, do đó, việc cắt tất cả quyền truy cập bên ngoài có nghĩa là họ sẽ không thể truy cập tệp của chính mình. Có lẽ có một quy tắc cho phép họ truy cập, nhưng điều này không rõ ràng đối với người dùng cuối.
Có một tính năng quản lý mật khẩu, nhưng cảnh báo kèm theo sẽ khiến hầu hết mọi người không bao giờ sử dụng nó nữa: “Chọn người dùng từ danh sách để thay đổi mật khẩu, chấm dứt phiên của họ và gửi email cho họ liên kết đặt lại mật khẩu. Xin lưu ý rằng plugin sẽ thay đổi mật khẩu trước khi gửi email, có nghĩa là nếu máy chủ web của bạn không thể gửi email, người dùng của bạn sẽ bị khóa khỏi trang web. ”
Điều gì còn thiếu trong Jetpack và Sucuri
Vấn đề lớn nhất của chúng tôi với Sucuri là thực tế là trình quét phần mềm độc hại không hoạt động. Chúng tôi đã mong đợi rằng nó sẽ phát hiện một số phần mềm độc hại, xem xét mức độ sử dụng rộng rãi của Sucuri trên các trang web. Nhưng nó không phát hiện ra bất cứ điều gì! Không thể tha thứ theo ý kiến của chúng tôi.
Jetpack không có tường lửa cũng như dọn dẹp phần mềm độc hại, tự động hoặc cách khác. Nó thực hiện một nửa công việc là tìm ra phần mềm độc hại đã có trên trang web, nhưng không có gì để xóa hoặc bảo vệ nó. Không nơi nào gần tương xứng, về mặt an ninh.
Sucuri vs Jetpack:Định giá
Gói trả phí thấp nhất của Sucuri có giá 199,99 đô la một năm trên mỗi trang web. It is a good deal for the unlimited malware removal requests you can have. The firewall is also decent, but the scanner is terrible. It is not entirely value for money. Jetpack is not a good security plugin for the $300 price tag.
If we were going to pay $300 for a security plugin, we would ask a lot of that plugin:an unerring malware scanner, a firewall and cleaning options. Jetpack has none of these. It helped with identifying some of the malware, detecting some of the vulnerabilities, and having average brute force protection.
Unlimited malware removal is a huge positive in Sucuri’s favour. The response time was great, there was a post-hack checklist shared with us, and all the malware was cleaned. But—and this is a big but—the malware scanner was a complete failure. We were so disappointed that it didn’t detect a flicker of malware. And yet, the team cleaned it all up. If Sucuri could bring some of the manual malware cleaning energy to the scanner, it would become a formidable plugin. Till then though, not so much.
Better alternative to Jetpack and Sucuri:MalCare
In this article, we’ve presented all our findings from intensive testing sessions. Neither Jetpack nor Sucuri works effectively to protect WordPress websites from hackers and their malware. If you have read this far into the article, you know that security is non-negotiable. So investing in a solid and reliable security plugin is the way to go forward.
The best WordPress security plugin available today is MalCare. MalCare has a top-notch malware scanner, automated malware cleaning, and an advanced firewall to protect your website from attacks.
In a feature-to-feature comparison between all the other security plugins, MalCare also works out to be significantly more economical. Against Jetpack’s hefty $300, MalCare’s $150 plan is a much better deal for many more features. Similarly for Sucuri, MalCare’s $99 plan is vastly better than their $199.99 Basic Platform plan.
Kết luận
A security plugin is an essential part of your administrative toolkit. It is one of those things that should require minimum intervention and work out of the box. MalCare has the best security, without the unnecessary noise that most other plugins bring to the table. It is a worthwhile investment to protect your revenue from hackers.
Did this article help? Drop us a line and let us know. We would love to hear from you!