Jetpack là một plugin quản trị đa năng và đóng gói các bản sao lưu, bảo mật, tăng trưởng và tốc độ trong một plugin tiện dụng. Thêm vào đó, nó có bộ nhớ đệm từ hệ thống ổn định Automattic, vì vậy rõ ràng là nó có trọng lượng trong miền WordPress.
Đối thủ khác của chúng tôi là Wordfence, được cho là plugin bảo mật WordPress phổ biến nhất hiện nay. Họ được biết đến với phương pháp tiếp cận an ninh không có tù nhân và các nguồn lực an ninh tuyệt vời mà họ phát triển một cách nhất quán.
Chúng tôi đã đưa 5 plugin bảo mật WordPress thông qua các bước của chúng trong một loạt thử nghiệm kéo dài 1,5 tháng. Chúng tôi muốn tìm hiểu cách mỗi plugin đối phó với phần mềm độc hại, các cuộc tấn công, lỗ hổng bảo mật và hơn thế nữa.
VERDICT Có lẽ tốt hơn hết là làm tốt một việc còn hơn làm nhiều việc nhưng chỉ ở mức trung bình. Giữa Jetpack và Wordfence , Bởi vì bất kể phả hệ WordPress của nó, Jetpack đã thua trong trận chiến gay cấn này. Wordfence là một plugin bảo mật miễn phí tuyệt vời, có một số nhược điểm, nhưng vẫn là một lựa chọn tốt hơn cho Jetpack.
Lựa chọn của chúng tôi
Ý tưởng chính đằng sau loạt thử nghiệm này là tìm ra plugin bảo mật WordPress tốt nhất cho trang web của bạn. Để đạt được mục tiêu đó, chúng tôi đã lấy 5 plugin hàng đầu, 3 trang web thử nghiệm và dành ra 45 ngày để tìm ra tất cả ưu và nhược điểm của từng plugin.
3 trang web thử nghiệm của chúng tôi được thiết lập như sau:một blog đơn giản với khoảng 500 bài đăng, hình ảnh và nhận xét làm đối chứng; một trang web có các plugin và chủ đề dễ bị tấn công; và cuối cùng là một trang web chứa đầy các loại phần mềm độc hại khác nhau. Chúng tôi đã đặt các plugin này vào các cuộc tấn công SQL injection, RCE và brute force, đồng thời đưa chúng chống lại phần mềm độc hại chuyển hướng, hack dược phẩm, phần mềm độc hại từ khóa tiếng Nhật và hơn thế nữa.
Mỗi plugin tự hào có một bộ tính năng khác nhau, nhưng đối với bảo mật WordPress, những tính năng quan trọng nhất là trình quét, trình dọn dẹp và tường lửa. Cũng có những điều đáng mừng khác, nhưng những điều này rất quan trọng.
Vào cuối 45 ngày, một người chiến thắng rõ ràng đã xuất hiện:MalCare. Với một máy quét tinh vi, trình dọn phần mềm độc hại tự động và một bức tường lửa tiên tiến, nó không thể bị đánh bại. Tìm kiếm plugin bảo mật tốt nhất cho trang web WordPress của bạn? Chọn MalCare.
Tóm tắt so sánh Jetpack và Wordfence
Nếu bạn đang thắc mắc, Jetpack vs Wordfence — chọn cái nào? Chọn Wordfence. Nó là các đơn đặt hàng có độ lớn tốt hơn như một plugin bảo mật.
Chúng tôi thích cách tiếp cận tất cả trong một của Jetpack để quản trị WordPress, nhưng nó thực sự đánh bại mặt trận bảo mật, đặc biệt là khi so sánh với Wordfence. Điều đó không có nghĩa là Wordfence không có vấn đề riêng; chỉ là nó tốt hơn về mặt ngữ cảnh so với Jetpack.
Cuối cùng, cả Jetpack và Wordfence đều không phải là lựa chọn tốt nhất để bảo mật trang web của bạn. Chúng tôi sẽ đi vào chi tiết hơn ở phần sau của bài viết, nhưng nếu bạn muốn tiếp tục, hãy tải xuống plugin bảo mật tốt nhất trong lớp:MalCare.
Tóm lại là Jetpack
Trình quét phần mềm độc hại của Jetpack tốt nhất là tầm thường. Nó sẽ có thể phát hiện một số phần mềm độc hại trên trang web của bạn. Tuy nhiên, không có tùy chọn dọn dẹp cũng như tường lửa. Mặc dù có một số tính năng bảo mật tốt nhưng chúng ít ảnh hưởng đến bảo mật trang web hơn. Nhìn chung, Jetpack không phải là một lựa chọn tốt.
Với bất kỳ plugin bảo mật nào, chúng tôi tìm kiếm trước 3 yếu tố quan trọng:trình quét phần mềm độc hại, trình dọn dẹp phần mềm độc hại và tường lửa. Jetpack đã loại 2 trong số 3 khỏi danh sách đó, vì vậy chúng tôi bắt đầu bằng cách kiểm tra trình quét phần mềm độc hại.
Jetpack là plugin thứ hai mà chúng tôi đã thử nghiệm, sau iThemes và thành thật mà nói, chúng tôi rất vui khi thấy thứ gì đó hoạt động như nó được cho là vậy. Rõ ràng, đây không phải là một cách tiếp cận tốt khi cố gắng tỏ ra khách quan, vì vậy chúng tôi đã ném rất nhiều phần mềm độc hại vào Jetpack để xem nó sẽ phản ứng như thế nào. Thật đáng thất vọng, trình quét phần mềm độc hại đã bắt được khoảng 30% tệp và thư mục bị nhiễm trên trang web WordPress bị tấn công của chúng tôi.
Khi chúng tôi thử các tính năng khác, như bảo vệ bạo lực, nó hoạt động không nhất quán. Đôi khi các cuộc tấn công đã bị dừng lại và vào những lúc khác, chúng tôi không thể đưa ra bất kỳ phản hồi nào. Plugin cũng không phát hiện được tất cả các lỗ hổng trên trang web. Những cái khó hiểu hơn vẫn không bị phát hiện, mặc dù chúng chứa các lỗi bảo mật nghiêm trọng. Trang web thử nghiệm của chúng tôi chỉ có một số chủ đề và plugin dễ bị tấn công, vì vậy kết quả 2 trên 3 không tệ. Tuy nhiên, với một trang web lớn hơn với nhiều phần mềm hơn, tỷ lệ đó chắc chắn sẽ kém hơn nhiều.
Nó không phải là tất cả xấu mặc dù. Nhật ký hoạt động của Jetpack thực sự tuyệt vời và thân thiện với người dùng. Không có biệt ngữ công nghệ khó hiểu mà mọi người không thể hiểu một cách dễ dàng. Chúng tôi cũng thích tính năng sao lưu tích hợp, vì sao lưu có thể là lần lưu cuối cùng với một trang web bị nhiễm. Tuy nhiên, chúng tôi không thể kiểm tra các bản sao lưu vì nó nằm ngoài phạm vi của thử nghiệm này.
Nhìn chung, Jetpack là một plugin bảo mật dưới mức trung bình. Chúng tôi đã mong đợi nhiều hơn nữa, xem xét thẻ giá lớn, nhưng nó vẫn chưa phải là đáy đối với chúng tôi. Niềm vinh dự đáng ngờ đó thuộc về iThemes.
Tóm lại là Wordfence
Sau MalCare, Wordfence là plugin bảo mật miễn phí tốt nhất mà chúng tôi đã thử nghiệm. Nếu bạn không có ngân sách cho bảo mật trang web, Wordfence sẽ cung cấp cho bạn sự bảo mật trang web tốt nhất. Máy quét phát hiện hầu hết phần mềm độc hại dựa trên tệp và sửa chữa tự động sẽ loại bỏ hầu hết phần mềm độc hại. Tường lửa là một trong những tường lửa được cập nhật nhiều nhất hiện có, nhưng nếu bạn chọn phiên bản miễn phí, bạn nên lưu ý rằng tường lửa không nhận được các bản cập nhật theo thời gian thực. Wordfence cũng có dịch vụ loại bỏ phần mềm độc hại, nhưng nó đắt.
Chúng tôi đã để lại Wordfence cho phần cuối cùng trong loạt bài thử nghiệm của mình, bởi vì chúng tôi rất vui mừng được thử sức nặng được thừa nhận của các plugin bảo mật WordPress. Ngoại trừ MalCare, các plugin khác đều đáng thất vọng ở mức tốt nhất, tệ nhất là đáng kinh ngạc.
Trình quét của Wordfence đã phát hiện tất cả phần mềm độc hại dựa trên tệp trong các tệp lõi WordPress, thư mục gốc của trang web cũng như trong các tệp và thư mục plugin và chủ đề. Nhìn bề ngoài, đây có thể giống như một máy quét tuyệt vời và theo nhiều cách, nó chắc chắn là trên mức trung bình. Tuy nhiên, Wordfence không phát hiện được phần mềm độc hại đã bị loại bỏ trong các plugin và chủ đề cao cấp, và trong một số trường hợp, cả trong cơ sở dữ liệu.
Nhược điểm lớn của máy quét, ngoài thực tế là nó không thể kiểm tra mọi ngóc ngách trên trang web của bạn, đó là các trang web của chúng tôi đã đạt được hiệu suất. Wordfence sử dụng tài nguyên máy chủ để thực hiện bất kỳ điều gì trên trang web. Điều đó không tốt.
Tại thời điểm này, Wordfence vẫn tốt hơn tất cả các plugin bảo mật khác mà chúng tôi đã thử nghiệm. Ý kiến của chúng tôi đã tăng lên một số khía cạnh khi chúng tôi thử tính năng sửa chữa tự động và nó đã loại bỏ tất cả phần mềm độc hại mà nó phát hiện được. Tất nhiên, nó không thể xóa phần mềm độc hại mà nó không phát hiện được, nhưng việc xóa phần mềm độc hại tự động nhanh hơn nhiều so với việc chờ chuyên gia bảo mật làm sạch trang web. Một lần nữa, đây là cách tốt hơn so với các plugin khác mà chúng tôi đã thử nghiệm, ngoại trừ MalCare.
Cuối cùng, chúng tôi đã thử tường lửa, có hiệu quả trong việc ngăn chặn một số hành vi khai thác, như chèn SQL, tấn công XSS và chèn mã từ xa.
Wordfence là một plugin bảo mật miễn phí tuyệt vời, nhưng nó dễ bị nhầm lẫn và gửi cảnh báo cho mọi thứ nhỏ nhất mà tường lửa chặn. Sau một vài ngày, chúng tôi không thể tìm thấy tín hiệu vì tất cả tiếng ồn. Thành thật mà nói, quá nhiều cảnh báo cũng tệ như không có cảnh báo, bởi vì chúng dẫn đến cùng một kết quả:không có hành động.
Sau khi chúng tôi kiểm tra 3 tính năng bảo mật chính, chúng tôi đã thử xác thực hai yếu tố và bảo vệ bạo lực. Cả hai đều hoạt động thực sự tốt. Wordfence cũng đã phát hiện tất cả các lỗ hổng trên các trang web của chúng tôi, ngay cả một lỗ hổng trong một plugin tối nghĩa mà hầu hết các plugin khác không phát hiện được.
Điều chúng tôi hoàn toàn yêu thích về Wordfence là trải nghiệm người dùng tuyệt vời. Không có biệt ngữ không cần thiết, đáng sợ và các thuật ngữ bảo mật phức tạp trên bảng điều khiển. Ngôn ngữ đơn giản, với các đề xuất rõ ràng cho quản trị viên mới.
Chúng tôi rất ngạc nhiên rằng Wordfence không có nhật ký hoạt động, ngoại trừ một nhật ký thô rõ ràng dành cho các nhà phát triển Wordfence. Nó cũng không bảo vệ các trang web khỏi các bot xấu, điều này thật kỳ lạ.
Tóm lại, Wordfence rất được khuyến khích cho các trang web không có ngân sách cho bảo mật. Đây là tùy chọn miễn phí tốt nhất, nhưng ngay cả như vậy, không cung cấp bảo mật hoàn toàn. Để yên tâm hơn, bạn nên chọn MalCare để thay thế.
Cách chọn plugin bảo mật tốt nhất
Với tất cả các lời khuyên sai lầm của chuyên gia có sẵn trực tuyến, bảo mật WordPress có thể là một hộp đen vào mọi lúc. Nhiều quản trị viên muốn chắc chắn rằng trang web của họ được bảo vệ, nhưng không hiểu chi tiết và do đó không biết cách chọn tùy chọn tốt nhất cho trang web của họ.
Là một phần của chuỗi thử nghiệm này, chúng tôi muốn đảm bảo rằng chúng tôi đã trình bày tất cả dữ liệu của mình theo cách không thiên vị và dễ tiếp cận. Điều đó có nghĩa là chúng tôi cần giải thích cách thức và lý do tại sao chúng tôi đi đến kết luận của mình.
Các plugin bảo mật có thể có rất nhiều tính năng và đôi khi những tính năng đó dùng để che khuất sự kém hiệu quả nằm bên dưới tất cả sự cường điệu đó. Nếu một danh sách tính năng khổng lồ không phải là thước đo tốt để chọn một plugin, thì đó là gì? Chà, những yếu tố sau:
- Các tính năng bảo mật cần thiết
- Quét phần mềm độc hại
- Dọn dẹp phần mềm độc hại
- Tường lửa
- Các tính năng bảo mật tốt nên có
- Phát hiện lỗ hổng bảo mật
- Bảo vệ đăng nhập bằng bạo lực
- Nhật ký hoạt động
- Xác thực hai yếu tố
- Các vấn đề tiềm ẩn
- Ảnh hưởng đến tài nguyên máy chủ
Như bạn có thể thấy, đây là một danh sách rất ngắn. Nhưng đây là những yếu tố sẽ ngăn không cho tin tặc khai thác trang web của bạn và phần mềm độc hại xâm nhập trang web của bạn và bạn hãy yên tâm. Trong số tất cả các plugin mà chúng tôi đã thử nghiệm, không có plugin nào phù hợp với chúng tôi.
Trên thực tế, plugin duy nhất lọt vào danh sách này là MalCare. Với MalCare, trang web của bạn được đảm bảo về một trình quét phần mềm độc hại tuyệt vời, một trình dọn dẹp tự động loại bỏ phần mềm độc hại mà không phá vỡ trang web của bạn và tường lửa ngăn tin tặc khai thác các lỗ hổng. Bạn hoàn toàn không thể làm sai với MalCare.
Worfence và Jetpack Security:So sánh trực tiếp các tính năng
Để trình bày kết quả của quá trình thử nghiệm một cách công bằng và ngắn gọn, chúng tôi đã sắp xếp dữ liệu theo đặc điểm. Mỗi plugin đều có ưu và nhược điểm, và tùy thuộc vào những gì bạn đang tìm kiếm, phần này sẽ giúp bạn đánh giá cả Wordfence và Jetpack về giá trị của tính năng cụ thể đó.
Chúng tôi đã sắp xếp danh sách từ quan trọng nhất đến quan trọng nhất và gói gọn trải nghiệm của chúng tôi với cài đặt, cài đặt và các khía cạnh khác của plugin.
Tuy nhiên, nếu bạn muốn bỏ qua phần kết luận, chúng tôi khuyên bạn nên cài đặt MalCare trên trang web WordPress của mình và gọi nó là một ngày.
Quét phần mềm độc hại
Máy quét Wordfence đã tìm thấy tất cả phần mềm độc hại dựa trên tệp trong các tệp và thư mục cốt lõi của WordPress cũng như các plugin và chủ đề miễn phí. Nhưng nó không thể phát hiện phần mềm độc hại trong cơ sở dữ liệu trang web của chúng tôi và nội dung trong một số plugin và chủ đề cao cấp. Jetpack đã tìm thấy khoảng 30% phần mềm độc hại trên trang web của chúng tôi.
Khi bạn kích hoạt Wordfence, hai điều xảy ra ngay lập tức:quá trình quét trang web đầu tiên bắt đầu và tường lửa chuyển sang chế độ học tập. Chúng tôi sẽ trình bày chi tiết hơn về tường lửa sau. Chúng tôi thấy máy quét đang chạy và nó sớm đạt 60%. Và sau đó nó ở đó một thời gian. Được rồi, chúng tôi nhận thấy rằng nó cần thêm thời gian để chạy, vì vậy hãy để nó yên trong vài giờ và quay lại thì thấy nó vẫn ở mức 60%.
Khi nó xảy ra, 60% không phải là thanh tiến trình cho máy quét, mà là một chỉ báo cho hiệu quả của máy quét miễn phí. Để đạt được 100%, bạn cần nâng cấp lên phiên bản chuyên nghiệp. Đây là trường hợp đầu tiên và cuối cùng của sự bất hòa về nhận thức với Wordfence, vì vậy chúng tôi đã bỏ qua.
Chúng tôi thiết lập Wordfence để quét lại trang web và rất ngạc nhiên khi thấy nó hoàn tất nhanh chóng. Chính xác là 37 giây đối với trang web nhỏ bé chứa phần mềm độc hại của chúng tôi. Máy quét đã phát hiện tất cả phần mềm độc hại trong các tệp WordPress cốt lõi và trong các plugin và chủ đề miễn phí, nhưng không có phần mềm độc hại nào từ những cái cao cấp cũng như từ cơ sở dữ liệu. Vì vậy, mặc dù Wordfence là một sự thay thế tuyệt vời cho hầu hết các plugin của chúng tôi hiện có (tất nhiên là ngoại trừ MalCare), máy quét chỉ ở mức trên trung bình.
Điểm mấu chốt của chúng tôi là cơ sở dữ liệu phần mềm độc hại của Wordfence rất rộng và tương đối cập nhật. Tuy nhiên, nếu nhóm Wordfence không gặp phải phần mềm độc hại, nó sẽ không có trong cơ sở dữ liệu. Do đó, nó không thể bảo vệ các trang web chống lại các mối đe dọa mới hơn.
Một nhược điểm khác của máy quét là nó tạo ra rất nhiều kết quả dương tính giả. Kết quả tích cực giả cũng tốt như không có cảnh báo, bởi vì chúng dẫn đến sự nhầm lẫn về cảnh báo và sự tự mãn.
Jetpack bao gồm một máy quét phần mềm độc hại như một phần của các gói trả phí của nó. Mặc dù đây không phải là bản vá trên Wordfence, nhưng chúng tôi lưu ý rằng Jetpack đã phát hiện một số phần mềm độc hại. Tuy nhiên, tỷ lệ này thấp hơn đáng kể so với Wordfence, đạt hiệu quả khoảng 30-50%, so với 70-80% hiệu quả của Wordfence.
Dọn dẹp phần mềm độc hại
Jetpack không có tính năng dọn dẹp phần mềm độc hại, tự động hoặc cách khác. Wordfence có một tùy chọn để sửa chữa các tệp bị nhiễm, nhưng chỉ phần mềm độc hại mà nó thực sự phát hiện được ngay từ đầu. Mặt khác, Wordfence có dịch vụ loại bỏ phần mềm độc hại cao cấp, có giá 490 đô la cho mỗi trang web.
Sau khi quét, Wordfence liệt kê danh sách các tệp bị tấn công kèm theo đề xuất để các chuyên gia WordPress chuyên nghiệp của họ làm sạch tệp. Ngoài ra, bạn có thể thử sử dụng hai tùy chọn dọn dẹp tự động trên bảng điều khiển:xóa tất cả các tệp có thể xóa và sửa chữa tất cả các tệp có thể sửa chữa được.
Trong các thử nghiệm của chúng tôi, tùy chọn xóa đã loại bỏ thành công 1 tệp mà không có lỗi, khiến nhiều tệp khác vẫn bị tấn công. Sau đó, hãy thử tùy chọn sửa chữa, đã sửa tất cả các tệp được hiển thị trong danh sách. Điều đó thật tuyệt, vì điều đó có nghĩa là chúng tôi không cần phải bắt đầu xóa phần mềm độc hại một cách riêng biệt.
Mối quan tâm duy nhất của chúng tôi với toàn bộ tập này là đã có những cảnh báo đáng sợ rằng trang web của chúng tôi có thể bị hỏng nếu chúng tôi sử dụng tùy chọn xóa hoặc sửa chữa. Tuy nhiên, chúng tôi đảm bảo rằng chúng tôi đã có các bản sao lưu và được cấp nguồn. Phần mềm độc hại mà chúng tôi nhận thấy vẫn cần được xóa, vì vậy, các cảnh báo đã khiến chúng tôi tranh luận ngắn gọn xem liệu sống chung với phần mềm độc hại có tốt hơn phá trang web hay không. Không, hoàn toàn không phải như vậy.
Bởi vì các plugin bảo mật khác mà chúng tôi đã thử nghiệm thậm chí không đạt đến điểm này trong lễ hội thành công, nên chúng tôi không bận tâm đến việc kiểm tra chúng để chống lại bất kỳ loại phần mềm độc hại nào khác. Tuy nhiên, vì Wordfence đã thực hiện một cách ngắn gọn về phần mềm độc hại dựa trên tệp, chúng tôi đã thêm một số đường cong vào danh mục thử nghiệm của mình.
Đầu tiên, một số phần mềm độc hại chuyển hướng bị tấn công đã đi vào cơ sở dữ liệu trang web của chúng tôi. Sau đó, chúng tôi cũng đã thêm một số trang spam hack từ khóa của Nhật Bản. Ngoài ra, chúng tôi đã chèn các tập lệnh độc hại vào các plugin cao cấp và cài đặt một plugin không có giá trị trên các trang web thử nghiệm. Chúng tôi giả định rằng những điều này sẽ đẩy máy quét lên, và chúng hoàn toàn làm được. Máy quét không đăng ký bất kỳ phần mềm độc hại nào trong các thư mục cao cấp, không phải lõi.
Cơ sở dữ liệu phần mềm độc hại của Wordfence rất toàn diện, nhưng dường như phụ thuộc nhiều vào những gì nhóm của họ đã thấy trước đây. Đó là khi sửa chữa tự động hoạt động. Wordfence không có khả năng phát hiện phần mềm độc hại khó hiểu hoặc phần mềm độc hại trong các plugin và chủ đề cao cấp. Kết quả thực tế là trình dọn dẹp chỉ thực sự hiệu quả như máy quét, tức là hiệu quả khoảng 70-80% theo đúng nghĩa của nó.
Bước tiếp theo là chọn dịch vụ xóa phần mềm độc hại của Wordfence, dịch vụ này tuyên bố sẽ xóa tất cả các trường hợp phần mềm độc hại, cửa hậu và hơn nữa đánh giá trang web để tìm các lỗ hổng bảo mật và lỗi bảo mật. Là một phần của gói, Wordfence sẽ hỗ trợ bạn xóa trang web của mình khỏi bất kỳ danh sách đen nào, chẳng hạn như của Google. Có một đảm bảo 1 năm cho việc dọn dẹp, với điều kiện là bạn tuân theo danh sách kiểm tra sau hack một cách tận tình với lá thư.
Xin lưu ý rằng chúng tôi không thể nhận xét về hiệu quả của dịch vụ xóa phần mềm độc hại vì chúng tôi chưa dùng thử.
Jetpack bảo hiểm một chút về chủ đề làm sạch phần mềm độc hại trên trang web của họ. Điều đó, tự nó, là một món quà chết mà họ không thể làm được. Dọn dẹp phần mềm độc hại được cho là phần quan trọng nhất và khó nhất của bảo mật WordPress, vì việc xóa vụng về có thể làm hỏng trang web không thể sửa chữa. Nếu một plugin có thể làm sạch phần mềm độc hại một cách tự tin, họ sẽ nói về nó một cách chắc chắn.
Kỳ vọng của chúng tôi về Jetpack không cao, đặc biệt là sau khi chúng tôi thấy rằng máy quét không thể gắn cờ tất cả các phần mềm độc hại. Chúng tôi đã được biện minh bởi vì ngay cả với phần mềm độc hại mà nó đã gắn cờ, Jetpack cũng không thể làm gì với nó. Kết quả quét cho thấy mã thực tế đã được gắn thẻ là phần mềm độc hại và đề xuất trên mỗi thẻ là nhờ chuyên gia xóa mã. Vì vậy, nó không phải là toàn diện và cũng không hữu ích.
Tường lửa
Jetpack không có tường lửa. Tường lửa ứng dụng web của Wordfence sẽ bảo vệ các trang web một cách hiệu quả khỏi hầu hết các cuộc tấn công lớn và phổ biến. Một điểm đáng quan tâm là phiên bản miễn phí được cập nhật sau phiên bản cao cấp.
Tường lửa là một phần không thể thiếu trong bảo mật WordPress của bạn, vì nó ngăn chặn các cuộc tấn công WordPress và lưu lượng truy cập độc hại vào trang web của bạn. Nếu những kẻ xấu không thể truy cập trang web của bạn, chúng không thể khai thác các lỗ hổng và do đó không thể cài đặt phần mềm độc hại. Hãy nghĩ về tường lửa như một vành đai bảo mật xung quanh trang web của bạn. Jetpack không có tường lửa, vì vậy phần này thực sự chỉ nói về Wordfence.
Tường lửa Wordfence chuyển trực tiếp vào chế độ học khi bạn cài đặt plugin lần đầu tiên. Bạn nên để nó ở chế độ học ít nhất một tuần để có kết quả tốt nhất. Điều này đúng, vì tường lửa yêu cầu lưu lượng truy cập trực tiếp để chặn hiệu quả trong tương lai. Trong trường hợp của chúng tôi, các trang web thử nghiệm của chúng tôi không nhận được bất kỳ lưu lượng truy cập nào, vì vậy chúng tôi đã tắt chế độ tìm hiểu ngay lập tức và bắt đầu thử nghiệm.
Cả phiên bản miễn phí và cao cấp của tường lửa Wordfence đã ngăn chặn các cuộc tấn công thành công. Chúng tôi đã thử đưa vào SQL, tấn công tập lệnh trên nhiều trang web, giả mạo yêu cầu trên nhiều trang và đưa mã từ xa. Chúng tôi không thể khai thác bất kỳ lỗ hổng nào trên trang web.
Có một câu hỏi mặc dù. Bảng điều khiển Wordfence cho thấy hiệu quả của tường lửa miễn phí ở mức 35%, trái ngược với 100% được đề xuất của tường lửa cao cấp. Vậy sự khác biệt giữa phiên bản miễn phí và cao cấp là gì?
Sự khác biệt là hai lần:thứ nhất là khi tường lửa tải trên trang web của bạn; và thứ hai là khi tường lửa của bạn nhận được các bản cập nhật.
Cả hai yếu tố này đều là những khác biệt không nhỏ và rất quan trọng đối với cách mà cùng một plugin có thể có 65% sự khác biệt về hiệu quả giữa phiên bản miễn phí và cao cấp của chúng. Chúng tôi sẽ chia nhỏ cả hai điểm khác biệt để giải thích điều gì đang xảy ra ở đây.
Thứ nhất, trang web của bạn tải theo thứ tự tuần tự. WordPress nói chung là đầu tiên, với các tệp và thư mục cốt lõi, sau đó là các plugin và chủ đề, và cơ sở dữ liệu. Đây được gọi là thứ tự tải và các tệp quan trọng nhất luôn được tải đầu tiên vì chúng là công cụ cho phần còn lại của trang web. Ví dụ:nếu không có wp-config, bạn không thể kết nối với cơ sở dữ liệu. Đây là một ví dụ nhỏ, nhưng cho thấy thứ tự tải quan trọng như thế nào khi xử lý vấn đề an ninh.
Tường lửa Wordfence miễn phí tải giống như một plugin thông thường, có nghĩa là nó tải sau WordPress, tất cả các tệp cốt lõi và có thể cùng với các plugin khác. Điều đó có nghĩa là, tường lửa không thể giữ tất cả lưu lượng truy cập độc hại khỏi trang web, mà chỉ một số trong số đó.
Thứ hai, tường lửa có hiệu quả vì chúng có các quy tắc để lọc ra các lưu lượng truy cập xấu. Các quy tắc này cần được cập nhật thường xuyên để tính đến các mối đe dọa đang thay đổi.
Ví dụ:tường lửa của MalCare học hỏi từ tất cả các trang web mà nó bảo vệ. Vì vậy, nếu tường lửa chặn một mối đe dọa trên một vài trang web, nó sẽ học được rằng cần có quy tắc cho mối đe dọa đó và cập nhật quy tắc tường lửa trên tất cả hơn 100.000 trang web khác mà nó được cài đặt — ngay cả trước khi mối đe dọa tấn công các trang web đó . Đó là sức mạnh của bảo vệ phủ đầu.
Vì vậy, trong khi Wordfence có tường lửa cập nhật nhất, người dùng tường lửa miễn phí nhận được bản cập nhật muộn hơn so với các đối tác cao cấp của họ. Nếu có dấu hiệu nào đó về độ dài của thời gian trì hoãn, chúng ta có thể nói rủi ro được tính toán là bao nhiêu, bởi vì ngay cả một cửa sổ nhỏ cũng có vấn đề. Tuy nhiên, không có, vì vậy chúng tôi chỉ có thể suy đoán nó là đáng kể. Ai biết được.
Phát hiện lỗ hổng bảo mật
Wordfence đã khắc phục tất cả các lỗ hổng trên các trang web thử nghiệm của chúng tôi, trong khi Jetpack hoàn toàn bỏ sót một số lỗ hổng ít được biết đến hơn.
Trong lần quét đầu tiên, Wordfence đã cảnh báo chúng tôi về tất cả các lỗ hổng, gắn cờ chúng là mối đe dọa quan trọng. Chúng tôi đã đưa vào rất nhiều plugin và chủ đề khó hiểu, bởi vì những plugin đó đã vấp phải các plugin bảo mật khác trong quá trình quét. Một số trong số đó có ít hơn 200 người dùng và rất thích hợp. Vì vậy, đầy đủ các điểm đến Wordfence trên mặt trận đó.
Một điểm bổ sung mà chúng tôi thực sự thích là WordFence đã gắn cờ các plugin và chủ đề lỗi thời là mối đe dọa trung bình. Điều này thực sự quan trọng, bởi vì các lỗ hổng trong phần mềm lỗi thời là nguyên nhân chính gây ra các vụ hack thành công trên các trang web WordPress.
Điều thú vị là bạn không thể sửa chữa các lỗ hổng từ bảng điều khiển WordFence. Một số plugin bảo mật thấp hơn thêm tính năng này như một tính năng bổ sung, tuy nhiên về cốt lõi, “tính năng” chỉ cập nhật phần mềm đã lỗi thời — một chức năng đã tồn tại trên bảng điều khiển wp-admin. Không có lý do thực sự nào để sao chép điều đó, trừ khi plugin có các bản cập nhật được quản lý như MalCare.
Jetpack đã đánh bại chúng tôi và bỏ qua hoàn toàn phần mềm lỗi thời ít người biết đến. Tuy nhiên, không phải là điều đáng ngạc nhiên mà là đáng thất vọng.
Bảo vệ đăng nhập bằng vũ lực
Wordfence thực hiện một công việc tuyệt vời trong việc bảo vệ trang đăng nhập khỏi các cuộc tấn công vũ phu. Jetpack thêm hình ảnh xác thực vào wp-login, khi có một số lần đăng nhập không thành công, nhưng nó không chặn IP ngay cả tạm thời.
Chỉ đối với bản ghi, chặn IP là một tính năng không chính xác để bắt đầu. Vậy tại sao chúng tôi lại chỉ ra sự kém cỏi của Jetpack về mặt đó? Chủ yếu là do họ có quá nhiều cài đặt dành riêng cho việc đưa các IP vào danh sách trắng, đến mức chúng tôi nhận thấy rằng chúng tôi sắp có nguy cơ tự chặn. Nhưng không có gì. Nếu bạn định nói về bất kỳ tính năng nào nhiều như vậy, bạn cần phải theo dõi kỹ lưỡng. Đó là tất cả.
Chúng tôi đã cưỡng bức trang đăng nhập nhiều lần và vượt quá giới hạn đã đặt của chúng tôi. Sự khác biệt duy nhất mà chúng tôi thấy là một hình ảnh xác thực số chưa có trước đây. Nó đã trừ đi bất kỳ thương hiệu nào, vì vậy chúng tôi sẽ đi ra ngoài và cho rằng đó là Jetpack.
Nhìn chung, hình ảnh xác thực là một giải pháp thanh lịch nhưng không đủ để chống lại các cuộc tấn công vũ phu vào trang đăng nhập. Các cuộc tấn công bạo lực có thể áp đảo một trang web bằng cách sử dụng hết tài nguyên máy chủ, vì vậy chúng cần được ngăn chặn bằng nhiều hình ảnh xác thực.
Mặt khác, Wordfence hoạt động như một nhà vô địch. Chúng tôi hơi kinh ngạc bởi một số lượng lớn các cài đặt cho mọi plugin và đôi khi có thể có nghĩa là plugin không hoạt động, vì vậy thật sảng khoái khi chỉ thấy một vài tùy chọn.
Mặc dù tính năng bảo vệ brute force được bật theo mặc định, bạn có thể tùy chỉnh cài đặt từ phần tường lửa. Có các tùy chọn để đặt số lần đăng nhập không thành công dẫn đến khóa tạm thời và thậm chí thời gian khóa đó sẽ kéo dài. Không thể tránh khỏi, chúng tôi thấy tùy chọn danh sách cho phép, mặc dù chúng tôi biết rằng IP của thiết bị là động, vì vậy điều này tốt nhất là biểu thị, tệ nhất là vô nghĩa.
Bạn cũng sẽ tìm thấy các tùy chọn mật khẩu mạnh ở đây. Mặc dù những thứ đó là tuyệt vời để có, nhưng trong phần tường lửa, bảo vệ bằng vũ lực không phải là nơi hợp lý để có những cài đặt đó. Có, cả hai đều liên quan đến bảo mật đăng nhập, nhưng điều đó vẫn yêu cầu một bước nhảy vọt để kết nối. Chúng tôi nghi ngờ về việc mọi người tìm thấy những cài đặt rất hữu ích này ở nơi hẻo lánh này.
Nhật ký hoạt động
Chúng tôi thực sự thích nhật ký hoạt động của Jetpack, vì đây là một trong những phiên bản tốt nhất mà chúng tôi từng thấy. Đáng ngạc nhiên là Wordfence không có nhật ký hoạt động.
Chúng tôi thực sự ngạc nhiên rằng Wordfence không có nhật ký hoạt động vì nó là một phần thực sự quan trọng trong bảo mật trang web. Tin tặc lợi dụng việc ghi nhật ký không đủ để tấn công các trang web. Bạn chắc chắn muốn có một nhật ký hoạt động đáng tin cậy có thông tin chính xác về hoạt động của trang web của bạn.
Trên Wordfence, có một tùy chọn để kích hoạt tính năng gỡ lỗi, trong trường hợp xảy ra sự cố. Tùy chọn này nằm sâu bên trong phần Chẩn đoán trong Công cụ. Nó nhằm mục đích làm cho các bản ghi tường lửa dài hơn. Chúng tôi cũng tìm thấy nhật ký hoạt động đầy đủ dành riêng cho các sự kiện Wordfence trong phần Quét, nhưng đó không phải là ý của chúng tôi đối với nhật ký hoạt động. Nó cũng giống như một nhật ký thô dành cho các nhà phát triển Wordfence.
Tính năng nhật ký hoạt động của Jetpack rất tuyệt vời và giúp bạn dễ dàng hiểu những gì đã xảy ra trên trang web. Nó có sẵn để xem trước trên các gói miễn phí, nhưng cần đăng ký trả phí để thực sự hữu ích. Nhật ký có tất cả thông tin người dùng, plugin và hoạt động chủ đề, với tính năng bổ sung là cảnh báo cho những thứ cần chú ý, như phần mềm độc hại hoặc lỗ hổng bảo mật.
Lưu ý của chúng tôi ở đây là dữ liệu nhật ký hoạt động chỉ có sẵn trong 30 ngày. Chúng tôi muốn xem khung thời gian dài hơn nhiều để nó thực sự hữu ích.
Xác thực hai yếu tố
Wordfence có xác thực hai yếu tố tuyệt vời, hoạt động hiệu quả. Jetpack không có tính năng này.
Xác thực hai yếu tố không phải là một công cụ phá vỡ thỏa thuận đối với một plugin bảo mật, bởi vì có các plugin dành riêng cho chức năng này. Vì vậy, chúng tôi sẽ không quá khó khăn với Jetpack vì không bao gồm nó.
Trên Wordfence, xác thực hai yếu tố hoạt động hoàn hảo. Hơn hết, nó rất dễ sử dụng, không có một loạt các tùy chọn khó hiểu. Trên thực tế, nó từng là một tính năng cao cấp, hiện cũng có sẵn cho người dùng miễn phí.
Sử dụng tài nguyên máy chủ
Jetpack sẽ sử dụng một số tài nguyên máy chủ để quét, nhưng không ảnh hưởng đến hiệu suất. Mặt khác, Wordfence bị một số máy chủ web nhất định cấm vì nó gây căng thẳng cho tài nguyên máy chủ.
Chúng tôi nhận ra rằng Jetpack là một thứ gì đó nhẹ về mặt bảo mật và có tác động tương tự đến tài nguyên máy chủ. Có một bước ngoặt đáng chú ý trong việc sử dụng đĩa, nhưng chúng tôi không thấy quá nhiều ảnh hưởng đến hiệu suất trang web.
Wordfence là một ma cà rồng tài nguyên máy chủ. Đúng là, chúng tôi đã quét trang web nhiều lần và thực hiện một loạt các thử nghiệm về phần mềm độc hại, nhưng chúng tôi không mong đợi việc sử dụng đĩa sẽ tăng vọt 2-3 lần. Thành thật mà nói, các trang web thử nghiệm của chúng tôi nhỏ, vì vậy hình phạt không nghiêm trọng. Nhưng chúng tôi rùng mình khi nghĩ điều gì sẽ xảy ra trên một trang web thương mại điện tử hoặc một trang web có nhiều nội dung. Rất tiếc.
Sau khi nhìn thấy một loạt các thông báo trên trang tổng quan của nó, thật công bằng khi kết luận rằng Wordfence sử dụng tài nguyên của trang web để làm mọi thứ:ngay từ quét đến dọn dẹp và mọi thứ ở giữa. Rắc rối với điều này là hiệu suất và bảo mật không nên đọ sức với nhau theo một kiểu cân bằng nào đó. Bạn không cần phải thỏa hiệp với cả hai.
Cảnh báo
Jetpack thỉnh thoảng sẽ gửi cho bạn cảnh báo kỳ lạ, trong khi Wordfence có thể nhấn chìm hộp thư đến của bạn trong một giờ.
Theo chúng tôi, các cảnh báo cần được cân bằng. Bạn muốn biết liệu có điều gì đó đã đi đúng hướng với trang web của bạn càng sớm càng tốt hay không. Nhưng bạn không cần cảnh báo nếu ai đó hắt hơi trong vùng lân cận chung của trang web của bạn. Cân bằng là chìa khóa.
Wordfence thất bại thảm hại trong bộ phận này. Các cảnh báo từ kết quả quét, dương tính giả, khóa tường lửa và nhiều hơn nữa là quá nhiều để đếm. Thành thật mà nói, một tường lửa tốt sẽ chặn các cuộc tấn công trực tiếp mà không cần tạo cảnh báo mọi lúc.
Trong trường hợp này, Jetpack hoạt động rất tốt. Bạn chỉ nhận được cảnh báo cho những thứ quan trọng, như lỗ hổng bảo mật được phát hiện hoặc phần mềm độc hại được phát hiện; tức là những thứ cần bạn chú ý ngay lập tức.
Cài đặt, cấu hình và khả năng sử dụng
Wordfence là cài đặt dễ dàng nhất từ trước đến nay. Không thể nói như vậy về Jetpack.
Wordfence là rất tốt về mặt này. Bắt đầu sử dụng plugin và nó chỉ cho bạn con đường phía trước. Không có cấu hình phức tạp nào cả. Ngôn ngữ được sử dụng rất đơn giản và dễ tiếp cận.
Chúng tôi đặc biệt thích cách có các hướng dẫn ngắn khi bạn truy cập từng phần trên trang tổng quan lần đầu tiên. Những lời giải thích rõ ràng rất dễ hiểu, và không có thứ gì trong số đó là gobbledegook công nghệ thường đi kèm với những điều này.
Thiết kế tổng thể rất trực quan và được thiết kế để cung cấp cho bạn cái nhìn tổng thể về tính bảo mật của trang web của bạn. Nếu bất cứ điều gì cảm thấy khó hiểu, hãy nhấp vào chú giải công cụ và chuyển đến tài liệu tuyệt vời của họ.
Nếu Wordfence dễ dàng, thì Jetpack lại khó một cách đáng ngạc nhiên. Việc cài đặt chủ yếu dựa vào nhu cầu nâng cấp. Bạn thậm chí phải chọn một gói, miễn phí hoặc cách khác, để tiếp tục. Nó có thể tốt hơn nhiều so với nó.
Jetpack:Thêm
Điều tốt về Jetpack là nó kết hợp nhiều tác vụ quản trị WordPress vào một plugin. Nó có các bản sao lưu, mà chúng tôi biết là cực kỳ quan trọng đối với bất kỳ trang web nào. Bảng điều khiển bên ngoài nằm trên WordPress.com, vì vậy nó rất quen thuộc để sử dụng.
Sau khi nói tất cả những điều đó, chúng tôi sẽ đánh giá cao Jetpack như một plugin bảo mật không rườm rà và rườm rà, nếu nó đã thực hiện tốt công việc bảo vệ các trang web của chúng tôi. Cuối cùng thì không có chuyện đáng mừng này không có giá trị gì cả.
Wordfence:Thêm
Wordfence là tất cả về bảo mật. Không có gì trong plugin thậm chí liên quan đến bảo mật, như khả năng cập nhật plugin như chúng tôi đã đề cập trước đây. Nhưng vẫn còn rất nhiều tính năng bổ sung.
Bắt đầu từ cài đặt, điều đầu tiên chúng tôi nhận thấy là phần thông báo cho các bản cập nhật của trang web. Ví dụ:nó cho chúng tôi thấy rằng 5 plugin của trang web thử nghiệm của chúng tôi cần được cập nhật.
Về phía trước, có một bảng được gọi là trạng thái Trung tâm Wordfence. Điều này cho phép bạn kết nối tài khoản của mình với nhiều trang web và xem trạng thái của tất cả các trang web của bạn trong wp-admin của trang web này. Nếu điều đó nghe có vẻ khó hiểu, đó là bởi vì nó khó hiểu và không trực quan chút nào. Bạn thực sự không muốn quản lý nhiều trang web từ trang tổng quan của một trang web. Bạn cần một bảng điều khiển bên ngoài cho điều đó, mà Wordfence Central thực sự là. Nhưng nó thực hiện một công việc kém trong việc đưa điều đó đi qua.
Mặc dù vậy, Wordfence Central vẫn ổn, không có gì gần với đầy đủ tính năng. Có lẽ chúng tôi rất hư hỏng vì bảng điều khiển của MalCare, cảm giác giống như bảng điều khiển máy bay cho các trang web. Wordfence Central looks unwieldy for anything more than 10 or 20 sites, and could be much better.
In the Tools section, there is a panel for live traffic. It initially looks like it is a skin for Google Analytics, but it turned out to be more than that. It records traffic logs to your website, and you can see exactly what kind of traffic your website gets:human, bot, warning, blocked.
We thought Diagnostics was quite interesting, as it had a lot of information about the website; things like process owners and database tables, for instance. It is like a blueprint of the website, which the status of each of the specifications alongside. It doesn’t look like something a normal user would need, but definitely could help out a developer.
What’s missing from Jetpack and Wordfence
Ultimately, there is a lot missing from Jetpack:the scanner is below-average, there is no cleaner or firewall. The rest of the stuff is alright, but these three factors are non-negotiable for security.
Wordfence doesn’t have bot protection, and surprisingly no activity log. Although it is a comprehensive security plugin, the drain on server resources and the tendency to cry wolf at the drop of a hat is off-putting.
Jetpack vs Wordfence:Pricing
Jetpack is exorbitant at $300 per year for the security suite. Wordfence premium is far more reasonable at $99 for the year, but the premium version isn’t a significant upgrade on the free version.
Wordfence has a really great free version, and in our opinion the upgrade to premium doesn’t add much more. The site license is still competitive at $99 a pop, and gets better with more websites.
The knockout punch from the Wordfence corner is their malware removal service. That will set you back a cool $490 per site cleanup. The 1-year guarantee is also subject to terms and conditions, so you shouldn’t consider that a one-time expense.
Jetpack is really not worthy of that fancy price tag. There is little to say beyond that.
Better alternative to Jetpack and Wordfence:MalCare
The best investment you can make in your website is to invest in a good security plugin. By this point, you know what to look for in a security plugin. And you will find all those things and more in MalCare. MalCare scans, cleans and protects your website from exploits in a major way. It far outperforms all other plugins.
Plans for MalCare start at $99 for the Basic plan, which includes unlimited cleanups. Contrast that to Wordfence’s $99 plan and $490 per cleanup needed thereafter and the choice becomes clear. MalCare all the way.
Kết luận
We really hope this article helps to clear any confusion with respect to WordPress security. It is admittedly hard to wade through all the misinformation available online to arrive at a good decision.
If you have any questions, please write to us. We would be happy to help, and thrilled to hear from you!