Wordfence và Sucuri đều là những nhà vô địch nặng ký của các plugin bảo mật WordPress. Trong bất kỳ cuộc trò chuyện nào, họ chắc chắn sẽ đưa ra và mọi người chia sẻ về việc plugin nào là plugin bảo mật tốt nhất.
Sucuri có một trình quét trực tuyến phổ biến, được quản trị viên trang web sử dụng rộng rãi để phát hiện phần mềm độc hại. Plugin của họ cũng có máy quét phía máy chủ, tường lửa và nhiều tính năng bảo mật khác. Sucuri cung cấp loại bỏ phần mềm độc hại không giới hạn với bất kỳ gói nào của họ.
Wordfence là người dẫn đầu không thể bàn cãi về các plugin bảo mật WordPress. Nhóm bổ sung plugin bảo mật của họ với nhiều nội dung giáo dục, giúp quản trị viên hiểu cách bảo vệ trang web của họ khỏi tin tặc. Plugin có trình quét và tường lửa, đồng thời có thể xóa một số phần mềm độc hại. Họ cũng có dịch vụ xóa phần mềm độc hại, nhưng đó là một tính năng cao cấp theo yêu cầu.
Để trả lời cái nào tốt hơn trong trận chiến Sucuri vs Wordfence, chúng tôi đã thử nghiệm rộng rãi cả hai plugin. Như bạn sẽ thấy trong phần còn lại của bài viết, các thử nghiệm được thiết kế để làm cho các plugin hoạt động tốt để bạn có thể đưa ra quyết định tốt nhất cho bảo mật trang web của mình.
5 plugin bảo mật, 3 trang web, 45 ngày và vô số phần mềm độc hại. Các kết quả đã được kết luận.
VERDICT Sucuri và Wordfence không phải là một câu hỏi đơn giản. Cả hai đều có trình quét phần mềm độc hại và tường lửa. Wordfence có một trình dọn dẹp tự động và một dịch vụ loại bỏ phần mềm độc hại đắt tiền, trong khi Sucuri chỉ có các kế hoạch dọn dẹp không giới hạn. Sau khi cân nhắc tất cả các yếu tố, Wordfence chắc chắn là người chiến thắng. Đọc để tìm hiểu thêm.
Lựa chọn của chúng tôi
Đối với loạt bài này, chúng tôi đã phát triển 3 trang web thử nghiệm:thứ nhất, một blog đơn giản với rất nhiều hình ảnh và nhận xét làm điều khiển; thứ hai, một trang web có rất nhiều plugin và chủ đề dễ bị tấn công ở các mức độ khác nhau của sự khó hiểu; và cuối cùng, một trang web chứa nhiều loại phần mềm độc hại khác nhau.
Các tiêu chí cho một plugin hiệu quả là rất đa dạng, nhưng chúng tôi muốn nói đến một câu hỏi đơn giản:plugin có thực hiện tốt công việc bảo vệ trang web của bạn chống lại tin tặc và phần mềm độc hại không?
45 ngày sau, chúng tôi đã có câu trả lời cho mình. Đối với 4 trong số 5 plugin, câu trả lời là không. 1 plugin giành được tất cả các số lượng. Plugin đó là MalCare.
MalCare có trình quét phần mềm độc hại tốt nhất mà chúng tôi từng thấy, thu thập phần mềm độc hại từ các tệp, cơ sở dữ liệu và thư mục, bất kể nó được ẩn như thế nào. Nó có một trình dọn dẹp tự động thực sự hoạt động, chỉ làm sạch phần mềm độc hại với độ chính xác phẫu thuật. Và cuối cùng, một bức tường lửa tiên tiến giúp ngăn chặn các mối đe dọa có thể khai thác trang web của bạn.
Plugin bảo mật tốt nhất cho trang web WordPress của bạn rõ ràng là MalCare.
Tóm tắt so sánh Sucuri và Wordfence
Trong cuộc chiến đấu khẩu này, Wordfence là người chiến thắng. Chúng tôi phải thừa nhận rằng đó là một cuộc gọi gần gũi, bởi vì Sucuri cũng có những điểm của nó.
Chúng ta có thể thấy lý do tại sao mọi người lại chăm chăm xem cái nào tốt hơn, bởi vì những sai sót của Wordfence là điểm mạnh của Sucuri và ngược lại. Vì vậy, tùy thuộc vào trải nghiệm cá nhân của một cá nhân, họ sẽ ủng hộ plugin giải quyết vấn đề cụ thể của họ.
Nhưng vì điều này, không có câu trả lời khách quan về việc cái nào tốt hơn về mặt tổng thể cho tất cả các trang web WordPress. Và câu trả lời cho điều đó là không. Bạn không cần phải thỏa hiệp về khía cạnh bảo mật này hay khía cạnh khác. Có tất cả bằng cách mua MalCare thay thế.
Tóm lại là Wordfence
Wordfence là plugin bảo mật tốt nhất cho trang WordPress sau MalCare. Phiên bản miễn phí mạnh mẽ với các tính năng bảo mật tuyệt vời. Máy quét phát hiện hầu hết các phần mềm độc hại dựa trên tệp và có thể làm sạch hầu hết những gì nó phát hiện được. Tường lửa là một trong những tường lửa được cập nhật nhiều nhất và ngăn chặn một số mối đe dọa. Nhược điểm là hiệu suất trang web ảnh hưởng rất lớn đến Wordfence và dịch vụ dọn dẹp phần mềm độc hại của họ rất đắt.
Máy quét của Wordfence có thể phát hiện tất cả phần mềm độc hại dựa trên tệp mà chúng tôi đã chèn vào các plugin và chủ đề miễn phí của mình. Nếu điều đó nghe cụ thể một cách kỳ lạ, thì đó là bởi vì nó là như vậy. Nó không thể phát hiện phần mềm độc hại có trong cơ sở dữ liệu, cũng như phần mềm độc hại được chèn vào các plugin và chủ đề cao cấp. Điều này là do cơ chế phát hiện đối sánh tệp mà Wordfence sử dụng chủ yếu dựa vào mã có sẵn công khai.
Kết quả quét đã gắn cờ phần mềm độc hại và các lỗ hổng trong các chủ đề và plugin đã cài đặt. Thật thú vị, Wordfence cũng gắn cờ một số plugin cao cấp của chúng tôi là phần mềm độc hại hoặc lỗi. Đây là những kết quả dương tính giả mà chúng ta có thể nhìn thấy vì chúng ta đã quen với việc đào sâu mã WordPress. Tuy nhiên, một số quản trị viên trang web có thể kết thúc việc loại bỏ các plugin hoàn toàn khả thi vì điều này.
Ngoài ra, có một tùy chọn để tự động sửa chữa các tệp chứa phần mềm độc hại sau khi kết quả quét được hiển thị. Chúng tôi đã thử nó, và nó đã hoạt động. Tất cả phần mềm độc hại được phát hiện đã bị xóa khỏi trang web. Tất nhiên, nó không thể sửa chữa phần mềm độc hại mà ngay từ đầu nó không thể phát hiện ra.
Tiếp theo, chúng tôi đã thử tường lửa. Nó rất hiệu quả, ngăn chặn rất nhiều mối đe dọa mà chúng tôi đã mắc phải. Nhưng mỗi khi tường lửa chặn một mối đe dọa, chúng tôi nhận được một cảnh báo. Có rất nhiều cảnh báo trong quá trình thử nghiệm của chúng tôi, chúng tôi chỉ có thể tưởng tượng những gì sẽ xảy ra trên một trang web trực tiếp. Quản trị viên chắc chắn sẽ bị choáng ngợp và bỏ lỡ các cảnh báo quan trọng.
Ngoài ba tiêu chí chính này, có một loạt các tùy chọn khác có sẵn trên Wordfence. Tính năng bảo vệ bạo lực là tuyệt vời và xác thực hai yếu tố hoạt động giống như một sự quyến rũ.
Điều thực sự đưa plugin lên nhiều khía là khả năng sử dụng tuyệt vời của nó. Wordfence là một plugin bảo mật phức tạp, nhưng nó cũng có thể tiếp cận được đối với người mới làm quen. Cách trang tổng quan được trình bày, với các mẹo và tài liệu đi kèm, bất kỳ ai cũng có thể định cấu hình plugin bảo mật mà không vô tình làm cho trang web của họ không sử dụng được. Đây là một điểm cộng rất lớn theo quan điểm của chúng tôi, đặc biệt là khi so sánh với Sucuri, như bạn sẽ thấy ở phần sau.
Đáng ngạc nhiên là Wordfence không có nhật ký hoạt động, điều mà chúng tôi nghĩ là rất kỳ quặc. Nhưng điểm yếu thực sự là nó là một nguồn tài nguyên chìm. Mỗi lần quét mà chúng tôi thực hiện trên trang web của mình đều khiến việc sử dụng đĩa tăng đột biến và hiệu suất trang web giảm mạnh. Chính vì lý do này mà nhiều máy chủ web đã cấm Wordfence.
Tóm lại, Wordfence là một plugin bảo mật tuyệt vời, nhưng với lỗi nghiêm trọng. Đối với tất cả những lợi ích mà nó có, và không có sai sót, MalCare là một con đường để đi.
Tóm lại là Sucuri
Sucuri có một bức tường lửa tốt và dịch vụ loại bỏ phần mềm độc hại của họ rất tuyệt. Nhưng trình quét phần mềm độc hại không phát hiện được bất kỳ phần mềm độc hại nào, mặc dù nhóm của họ đã xóa phần mềm đó sau đó. Một plugin bảo mật không có trình quét phần mềm độc hại hoạt động không hiệu quả.
Sucuri là plugin khác duy nhất có cơ hội được xem xét cùng với MalCare và Wordfence, bởi vì nó ít nhất cũng có chức năng như một plugin bảo mật. Jetpack và iThemes đã bị xóa sổ.
Nó được cho là một trong những plugin bảo mật phổ biến nhất hiện có, nhưng nó vẫn thất bại trong một lĩnh vực cơ bản:quét phần mềm độc hại. Như chúng ta sẽ thấy ở phần sau, dịch vụ loại bỏ phần mềm độc hại của họ là topnotch. Chúng hoạt động hiệu quả và nhanh chóng, liên hệ lại với chúng tôi trước khi chúng tôi mong đợi và làm tốt công việc dọn dẹp trang web. Tuy nhiên, nếu đó không phải là một trang web thử nghiệm mà chúng tôi đã tạo và chứa phần mềm độc hại, thì ngay từ đầu chúng tôi sẽ không bao giờ biết nó đã bị lây nhiễm vì máy quét đã cho chúng tôi biết rõ về các vụ hack. Vì vậy, trên thực tế, Sucuri là một trường hợp cổ điển của việc đặt cỗ xe trước con ngựa. Bạn phải biết trang web bị tấn công để làm sạch nó, nhưng không có cách nào để biết nó bị tấn công bằng máy quét của Sucuri.
Tiếp tục, tường lửa hoạt động tốt. Nó ngăn chặn các cuộc tấn công như tiêm SQL và các cuộc tấn công thực thi mã từ xa một cách dễ dàng và nhất quán. Nhưng đó là một cơn ác mộng để thiết lập. Bởi vì chúng tôi đang sử dụng các trang web thử nghiệm, đã có rất nhiều khó khăn khi thay đổi máy chủ định danh để trỏ đến các IP tường lửa của Sucuri thay vì trang web thử nghiệm của chúng tôi. Nếu bất kỳ câu nào trong số đó không có ý nghĩa, thì không sao. Chúng tôi cũng mất nhiều thời gian để cấu hình nó. Công bằng mà nói, bạn sẽ không gặp phải khó khăn như vậy trên các trang web trực tiếp của mình, nhưng nếu bạn muốn định cấu hình nó cho một trang web dàn dựng hoặc cục bộ? Dự kiến vấn đề.
Chúng tôi đã rất thất vọng với tường lửa, khi chúng tôi xem xét các tùy chọn cấu hình khác. Tại sao mọi thứ lại phức tạp như vậy? Ngôn ngữ khó hiểu và trong một số trường hợp, hết sức trịch thượng. Và đó là trước khi chúng tôi nhận ra rằng mỗi lần quét bảo mật đều làm chậm các trang web thử nghiệm của chúng tôi. Khi chúng tôi kiểm tra việc sử dụng đĩa máy chủ, có một sự gia tăng đáng báo động.
Sucuri sử dụng tài nguyên trang web để quét phần mềm độc hại — một máy quét không hoạt động, hãy nhớ. Vì vậy, nó không làm những gì nó phải làm và vẫn làm hỏng hiệu suất của trang web. Không phải là một cái nhìn tuyệt vời cho Sucuri.
Plugin bảo mật nào đáng giá tiền của bạn?
Lời khuyên bảo mật WordPress là hợp pháp và có thiện chí, nhưng nó thường là lời khuyên tồi. Chúng tôi đã thấy những người ủng hộ iThemes — một trong những plugin bảo mật tồi tệ nhất mà chúng tôi từng thấy — bởi vì trang web của họ chưa bao giờ bị tấn công, hoàn toàn giảm giá trị thực tế là họ cập nhật plugin thường xuyên, sử dụng mật khẩu tốt, không sử dụng phần mềm nulled và có một liều may mắn lớn. Nếu GoDaddy có thể có vi phạm dữ liệu, thì trang web của bạn cũng vậy.
Điểm mấu chốt của vấn đề là làm thế nào để chọn một plugin bảo mật tốt. Chúng tôi đã biên soạn một danh sách cần thiết, loại bỏ những thứ không liên quan đến bảo mật.
- Các tính năng bảo mật cần thiết
- Quét phần mềm độc hại
- Dọn dẹp phần mềm độc hại
- Tường lửa
- Các tính năng bảo mật tốt nên có
- Phát hiện lỗ hổng bảo mật
- Bảo vệ đăng nhập bằng bạo lực
- Nhật ký hoạt động
- Xác thực hai yếu tố
- Các vấn đề tiềm ẩn
- Ảnh hưởng đến tài nguyên máy chủ
Như bạn có thể thấy, chỉ có 3 tính năng cần thiết mà bạn cần phải lo lắng. Một plugin bảo mật phải thực hiện tốt 3 điều sau: quét phần mềm độc hại, làm sạch phần mềm độc hại, và tường lửa. Mọi thứ khác là nước thịt. Chúng tôi sẽ không đặt chế độ bảo vệ bằng vũ lực hoặc xác thực hai yếu tố, bởi vì những điều này cũng rất quan trọng. Nhưng bạn có thể tải các plugin khác cho chức năng đó.
MalCare là plugin bảo mật duy nhất có khả năng quét và làm sạch phần mềm độc hại tuyệt vời cũng như tường lửa nâng cao giúp ngăn chặn các mối đe dọa. Every other plugin fails in one place or the other.
Sucuri vs Wordfence:Head-to-head comparison of features
Choosing the right security plugin can be a bewildering experience, especially when you have to test drive each one for efficacy, hoping all the while that it works.
In this section, we have presented our testing results organised by feature. Comparing and contrasting the same features across plugins gives a clearer picture of the effectiveness of the security plugin.
We have spelt out our results as fairly and transparently as possible, with the view to helping people make a better choice for their websites. However, if you want to secure your websites quickly, install MalCare instead and skip to the end.
Quét phần mềm độc hại
Sucuri has 2 scanners:an online one called SiteCheck, and a server-level one that is part of the plugin. Both didn’t detect malware. Wordfence has a decent malware scanner, which can detect malicious scripts in core files and folders, and those in free plugins and themes. Otherwise, it missed malware in the database and premium plugins and themes.
We often recommend Sucuri SiteCheck as a first-level diagnostic for malware, in case someone suspects their WordPress has been hacked. It cannot scan the full website, but it can identify common malware infections quickly, and without the need of installing a plugin for the express purpose.
We had greater expectations of the server-level scanner, considering it would have full access to the website. The installation is a little different compared to other plugins, because the scanner needs to be installed onto your web server. This can be done so manually, or by putting in FTP details on your dashboard. We finished the installation and waited for the scan to complete.
A considerable time later, the scan was completed and our malware-ridden website was apparently free of hacks. Ran the scan a second time to see if there was a mistake the first time around. Nope, still no malware according to Sucuri. Major failure.
On installation, Sucuri is set up to run once daily, but you can request on-demand scans. The requests are queued and then executed based on availability. The plugin itself will warn you that scanning your website will use up server resources, and therefore impact the performance of your website. Honestly, that is terrible because security shouldn’t come at the expense of performance and user experience. We will go into that in greater detail in another section.
Wordfence also runs a scan automatically on installation. There was a little confusion here though, because we assumed the percentage circle on the dashboard was the scanner’s progress. After we saw that it hadn’t moved past 60% for a few hours, we looked more closely and realised it was a measurement of scanner efficiency. To get to 100%, you need to upgrade the plugin.
Restarted the scanner to benchmark how much time it took, and because our test sites are small, the scanner was done in less than a minute. That is definitely a plus. The scan results were only above-average though, not perfect, because it detected most of the malware, not all of it.
The reason for this is that Wordfence uses signature matching to detect malware. This means the Wordfence scanner compares your website’s code to a database of malware signatures. If there is a match, the scanner flags it as malware. While Wordfence has a formidable malware database, which they update regularly based off of their security research, it can never be 100% complete because the team would need to have seen the malware to update it in the database, and irrespective of comprehensive research, new malware shows up all the time
Therefore, Wordfence is adept at picking up malware found in WordPress core files and folders, as well as malicious scripts in free plugins and themes. But it cannot detect malware in premium software, like Elementor for instance, because they do not have access to the source code for analysis. For the same reason, Wordfence also fails at detecting malware in the database, because that requires a mechanism beyond signature matching to discover.
That being said, Wordfence detected all our file-based malware. By our estimation, it is able to detect 70 to 80% of malware. It is prone to false positives as well, and tends to generate a ton of alerts. We will get to that in a separate section as well.
Dọn dẹp phần mềm độc hại
Wordfence has an auto-repair feature to clean malware, but the efficacy is debatable for more complex malware. They have a premium malware removal service but it can gouge a hole in the pocket at $490 per site. Sucuri on the other hand has an unlimited manual malware cleaning service included with all their plans.
Even though Sucuri’s scanner said our site didn’t have malware—which it definitely did—we requested a cleanup, not expecting a lot. However, the site came back to us spotless. We ran it through MalCare to check. Oddly enough, after the Sucuri team cleaning our site, the scanner flagged malware on it. Clearly, a bug somewhere.
The malware removal service was very prompt. Although our plan guaranteed a response in 30 hours, we got a cleaned site back in less than 10. That’s terrific. The only caution we would want to point out is that, when you have a hacked site, time is of the essence. You cannot afford to have malware languishing on your website for long. Just to underscore how important it is to act fast, Google blacklist also measures your response time to notifications of malware.
For malware removal, you need to request a cleanup from Sucuri. Fill out a form with all the information you can provide, and the team takes over from there. We got a message back from Sucuri with a post-hack checklist with great recommendations. So overall, the malware cleaning feature with Sucuri is a thumbs up.
Wordfence has 2 options for dealing with hacked files on the dashboard:delete all deletable files and repair all repairable files. This is apart from a CTA suggesting we opt for their expert cleaning service.
We tried both options, and they were both fairly successful at removing the malware off of our website. The problem is that the automatic removal is preceded by dire warnings of the site breaking due to changes.
Our test sites are backed up on BlogVault, and frankly we weren’t all that fussed about them breaking. While we were able to power through without too much thought, it is because we were interested in testing the repair feature. However, the case would be very different for, say, someone’s ecommerce store or a high-traffic website.
In our testing series, we usually stopped at this point because most of the other security plugins failed. Wordfence cleaned all the file-based malware from our website, so we tried the feature with database malware and some in our premium plugins. The scanner wasn’t able to detect this lot of malware, and therefore automatic repair wasn’t even an option.
The other alternative was to request malware removal. The service purports to remove malware, backdoors, and do a security audit of the website, assessing for vulnerabilities. In case your site has landed on a blacklist, Wordfence will help get rid of that as well. The service is guaranteed for a year, contingent on whether the site admin has followed the post-hack recommendations to the letter. Please note:We cannot speak to the efficacy of Wordfence’s malware removal service, as we didn’t try it out.
On the other hand, we used MalCare to remove all the malware automatically, and we were able to do so without an issue. No dire warnings, no missed malware, and our site was squeaky clean in minutes. That’s the sort of malware cleaning that we want for our website.
Tường lửa
Both Sucuri and Wordfence have great firewalls which block out most common and major threats. But Sucuri’s firewall was a nightmare to install, and Wordfence’s free firewall worryingly gets updates later than their premium version.
Sucuri’s firewall kept out attacks like SQL injections, remote injections and cross-site scripting attacks. Our test website had a ton of vulnerabilities, like unsecured file uploads for instance, and remained safe behind the firewall.
Our issue with Sucuri’s firewall was its installation. To use the firewall, you need to point your traffic to their nameservers, so that the bad traffic is filtered out and only good traffic is sent forward to your website. Excellent idea, but what a nightmare to configure. Our test websites weren’t attached to any domain registrars, so we had to enlist the engineering team to figure this out.
Wordfence’s firewall also works out of the box, and keeps out attacks successfully.
Straight after installation, the firewall went into learning mode. Wordfence recommended that we leave learning mode on for a week. This is fair, because firewalls need live traffic to learn how to be effective. However, because we don’t have live traffic to our test websites, we saw little point in waiting for a week and turned it out right away.
With Wordfence, the free firewall is supposedly only 35% effective. This is not an assumption on our part, but is actually on the dashboard. We dug a little deeper to figure why that might be the case. There are 2 reasons:
One:the free firewall loads like a plugin, after WordPress has finished. Load order affects security significantly, because if the firewall loads after WordPress core that means it can keep out only some malicious traffic, not all of it.
Two:While Wordfence has the most updated firewall, the premium version receives those updates in real-time. The free version however receives updates after an unspecified length of time. We have no way of knowing what the delay is, but it is potentially problematic. Hackers can strike in the window after all.
The biggest giveaway is that Wordfence themselves rank their free firewall at 35% effective compared to their premium version. Not great.
Phát hiện lỗ hổng bảo mật
Wordfence did a superb job of detecting all the vulnerabilities on our website. Sucuri missed the obscure ones altogether.
We were impressed to see that Wordfence alerted us to all the out-of-date plugins as medium threats. The vulnerabilities were flagged correctly as critical threats. Other security plugins tripped up on the more obscure plugins and themes, not alerting us at all to their serious vulnerabilities like cross-site scripting in one case. So Wordfence came up trumps here.
It isn’t possible to fix vulnerabilities directly from the Wordfence dashboard, but that makes sense. Fixing vulnerabilities essentially means updating the plugin or theme, and that functionality is already easily available on wp-admin. Unless Wordfence had a visual regression like MalCare to make sure the update didn’t break the site, there is no point in replicating an existing feature.
Wordfence also threw up errors for iThemes and Backupbuddy. This is indicative of their tendency to flag false positives on the website.
Sucuri detected all but the most obscure vulnerabilities on our test websites. You can update your outdated software from the Sucuri dashboard though, unlike Wordfence. We don’t really see the utility, since updates are easily possible through wp-admin.
The post-hack tab lists out versions of the installed plugins and themes, alongside their latest versions. Sucuri cautions against continuing with out-of-date software because they can lead to malware infections.
Interestingly, even Sucuri’s malware removal service was only able to detect some of the vulnerabilities on our website. Given our experience with the scanner, we thought that the removal service would do a better job of detecting vulnerabilities. That doesn’t appear to be the case.
Bảo vệ đăng nhập bằng vũ lực
Wordfence does an excellent job of blocking all brute force attacks. Sucuri’s login protection feature doesn’t seem to work.
Brute force protection is enabled by default on Wordfence. It works perfectly each time, locking out users with too many incorrect attempts, based on the configuration we set on the dashboard.
You’ll find the settings in the firewall section. There are plenty of things to customise in the options menu:setting lockouts for incorrect login attempts; how much time a user will experience lockout; and so on. The options aren’t overwhelming, and Wordfence explains each one cogently and with great documentation.
You can set password management options here too, making sure to enforce strong passwords, and preventing the use of passwords discovered in a data breach.
It is possible to whitelist IPs in this section, but we are ambivalent about their effectiveness. Device IPs are dynamic, so having an allowlist doesn’t guarantee that a legitimate user isn’t locked out.
Sucuri’s brute force protection didn’t work as expected. We didn’t experience a lockout, nor was there a captcha to make sure that we were humans not bots. We didn’t get alerts, even though the attacks showed up in the audit logs. Overall, the feature was a washout.
You wouldn’t think that to see the configuration options on the dashboard though. There were so many options, we were reeling after a point. All in all, we’d prefer fewer options with a feature that works, rather than the opposite.
Nhật ký hoạt động
Sucuri has an audit log, but it can be hard to comprehend. Wordfence doesn’t have an activity log.
Sucuri has an audit log which tracks all user actions, and plugin and theme changes. The logs will show all changes made to files and tables, which is good.
The logs have necessary information like user, action, timestamp, etc. But in some cases, the entries are very difficult to understand. For instance, to test the logs, we installed a gallery plugin. The resulting entries on the audit log show 7 different changes. It wasn’t clear from the entries what the change was, why it was happening, or who was responsible. Therefore, the audit log is next to useless to anyone who doesn’t speak Sucuri.
We were surprised to see that Wordfence doesn’t have an activity log, considering it is one of the pillars of website security. There is an option to enable debugging in the Diagnostics section of the Tools menu, which causes the firewall logs to become more verbose, but that’s not the same thing as an activity log.
After much digging, we discovered an activity log specifically for Wordfence events in the Scan section. It is a raw log though, clearly intended for Wordfence developers only.
Xác thực hai yếu tố
Wordfence has a great two-factor authentication feature. Sucuri doesn’t support it on your website.
Wordfence two-factor authentication works out of the box, with an easy set of options to customise the experience. It used to be a premium feature, but has since been added to the free plugin as well.
Sucuri doesn’t support two-factor authentication for your website, but you can secure your Sucuri account with it.
Sử dụng tài nguyên máy chủ
Both Sucuri and Wordfence are resource hogs. We saw unmistakeable blips in disk usage with scans and because of the firewall.
This is one factor where there is nothing to choose between Wordfence and Sucuri:they both did equally badly.
Every single action these plugins perform on your website consumes server resources. Our websites are relatively small, and we saw the disk usage double and sometimes triple when we set up scans. This impacted load time, response time and the overall experience on the website.
If you have a WooCommerce website, or one with high-traffic, this effect will be noticeable to your users. If you are on shared hosting, your web host will raise flags and your hosting expenses can potentially increase. In fact, many web hosts have banned Wordfence for this very reason.
While people rarely talk about server resources when discussing security, it is an important factor. No one should have to compromise on either performance or security. It is entirely possible to optimise both.
Not with Sucuri or Wordfence, though. For that, you’ll need MalCare.
Cảnh báo
Both Sucuri and Wordfence are notorious for innumerable alerts and false positives.
We are firm believers in taking the burden off our customers when it comes to WordPress administration. Firewalls should block traffic quietly. Bot protection should work out of the box. Admin should only be alerted if there is something that needs their attention and action. WordPress security should be stress-free and easy, otherwise what is the point of a security plugin?
Apparently neither Sucuri nor Wordfence subscribe to this school of thought, because their alerts are overwhelming. Our inboxes were flooded in no time at all. Too many alerts is as bad as no alerts, because ultimately both lead to inaction when necessary.
Cài đặt, cấu hình và khả năng sử dụng
Wordfence is designed to be very straightforward for a novice user. Sucuri is not.
Wordfence’s installation, configuration and overall use is one of the best we have ever seen. There are walkthroughs on each major section, explaining the most important settings and features in simple, non-threatening language.
Wordfence has great recommendations for configuration. Their documentation is accessible from the tooltips on the dashboard, making it highly contextual. Each feature is clearly explained, and instructions on how to make it work on your website are instantly accessible.
These may seem like odd things to point out. However, if you have ever tried Sucuri, you realise that ease of understanding is a non-trivial part of any user experience. In fact, if we had to describe Sucuri in one word, that word would be bewildering.
Installing Sucuri was easy, and it went downhill from there. To use the server-side scanner and firewall, you have to configure them manually. There are so many options that we spent hours trying to make sense of them, in addition to figuring out if they had any real impact on security.
Overall, these two plugins are at opposite ends of the spectrum.
Wordfence:Extras
Wordfence is strictly security. There isn’t a single feature, option or line that is even security-adjacent, like updates or user management options. In spite of that, there are several extras.
There was a notifications section for site updates, which showed us which plugins and themes needed to be updated on priority because they were either critical or medium threats.
Wordfence has an external dashboard to manage multiple sites on the same account called Wordfence Central. It has an accompanying section on the wp-admin of each connected site as well, presumably so you have a bird’s eye view of every site regardless of which site you are currently working on. In our opinion, this is of limited utility and will not work for agencies with hundreds of managed sites.
Next we looked at the Tools section. There is a section for live traffic, which seemed to replicate Google Analytics, but was more than that. These logs classify traffic with a key to see what type of traffic the website is getting:human, bot, warning, blocked.
There is a Whois lookup option, in case you want to see who the attacker is without leaving wp-admin. Again, this is an incidental feature at best.
We thought Diagnostics was really interesting, as it had a lot of information about the website. Everything is very granular there, right from process owners to database tables. Developers will find this info vastly useful, because it is like a spec of the website all in one place.
Sucuri:Thêm
Sucuri has a lot of extra frills and furbelows in their plugin. Whether any have an impact on security is another matter altogether.
The first thing you will see on installation is the WordPress integrity infobox. It really is a fancy version of a WordPress core file change monitor. Obviously, it is somewhat useful to have a file change monitor for WordPress core files, but the efficacy is not as much as is made out to be. Hackers can and will change file metadata, like update timestamps, to work around these measures. So yes useful, but not so much.
There is an integrity diff utility to compare core files on the website with the original WordPress installation. It is certainly easier than using an online one, if you are cleaning out malware manually—which we don’t at all recommend.
Sucuri has lots of WordPress hardening features. Blocking PHP in the uploads folder protects against one category of hacks, and we like the ability to change WordPress salts quickly from the dashboard. It could have been done better though. If the feature was on the Sucuri’s external dashboard rather than on wp-admin, it would have been safer. Imagine a hacker gains access to wp-admin, the salts would be easily compromised as they are in plaintext.
Some of the other options are of limited utility, like verifying WordPress version, removing WordPress version, avoiding information leakage, and verifying default admin account. They are meaningless from a security perspective.
Other hardening features were confounding. For instance, if we were to disable plugin and theme editor, how could we update plugins and themes with vulnerabilities? Counterproductive to say the least.
The password management feature held some promise, but the warning would terrify all but the most brave:“Select users from the list in order to change their passwords, terminate their sessions and email them a password reset link. Xin lưu ý rằng plugin sẽ thay đổi mật khẩu trước khi gửi email, có nghĩa là nếu máy chủ web của bạn không thể gửi email, người dùng của bạn sẽ bị khóa khỏi trang web. ”
What’s missing from Wordfence and Sucuri
Sucuri doesn’t have a good malware scanner. The brute force login protection doesn’t work, and it takes up too much of server resources. There is no bot protection either, and you would need a separate plugin for two-factor authentication.
Wordfence misses out on bot protection and an activity log. The scanner is above average; definitely a cut above the other security plugins available apart from MalCare. Apart from these things, it is an exceptional security plugin.
Wordfence vs Sucuri:Pricing
Sucuri’s plans start at $199.99 a year per site, which is a great deal for unlimited malware removal. The firewall works well, but the scanner is a let down. Wordfence premium plans are at $99 for the year per site, with attractive bulk pricing options. However, our opinion is that the free version is almost as good as the premium version.
Sucuri is a winner when it comes to the unlimited malware removal feature. The support team was great, with a quick turnaround time, helpful response and a proactive post-hack checklist. But the malware scanner was a complete failure, and that’s not a small flaw to overlook.
The free version of Wordfence is strong enough to stand on its own. The premium version is not all that different, the efficiency percentages on the dashboard notwithstanding. The real expense to consider with Wordfence is the cleaning service at $490 a pop, over and above the site license. If you are considering Wordfence seriously, read the fine print. Although they say unlimited pages, there are additional charges for sites above 10 GB. They guarantee the service for a year, but there are terms and conditions. None of this is unreasonable, but it is important to be aware before taking the plunge.
Better alternative to Wordfence and Sucuri:MalCare
The best security plugin for your website isn’t Wordfence or Sucuri, it is MalCare. It has an excellent scanner that detects malware in all parts of your website:core WordPress, files and the database. Additionally, the auto-clean feature removes all malware surgically, without breaking your website.
MalCare has an advanced firewall that proactively blocks bad traffic from reaching your website. The brute force protection makes sure that your login page is safe from malicious attacks, and the bot protection goes even further to make sure only bad bots are kept away from your website.
There is a formidable support team of WordPress security experts to help with any issues that come up. Any malware removal cleanups necessary beyond the auto-clean are covered with the site license.
Thus, in a feature-to-feature comparison, MalCare undoubtedly comes out on top. MalCare’s $99 plan is vastly better than Sucuri’s $199.99 Basic Platform plan, and includes unlimited malware removal, which is over and above Wordfence’s $99 plan.
Recommended Read:MalCare vs Wordfence
Kết luận
When choosing a WordPress security plugin for your website, make sure to evaluate the scanner, cleaner and firewall. All the other features can be implemented with other plugins, but these 3 features form the essence of a good plugin.
At MalCare, our goal is to make security stress-free and painless, so that you can focus on the more important aspects of your website. Leave the security to us, as you grow your business.
We hope this comparison was helpful, as we have presented all our findings transparently. Have further questions? Drop us a line. We would love to hear from you.