iThemes Security trông giống như một hợp đồng tuyệt vời chỉ $ 199 cho các trang web không giới hạn và vì mức giá cạnh tranh nhất của nó, nó đã là một đối thủ nặng ký trong cuộc đua plugin bảo mật WordPress.
Ở góc khác, chúng ta có Wordfence, ứng cử viên nặng ký không thể tranh cãi trong danh mục này. Wordfence được biết đến với plugin miễn phí có nhiều tính năng và tài nguyên và nghiên cứu bảo mật của họ. Đối với phiên bản cao cấp, mỗi trang web sẽ đặt lại cho bạn mức tối thiểu là 99 đô la một năm; mà vẫn là một thỏa thuận tốt.
Ngay cả ở giai đoạn này, không có sự so sánh thực sự giữa hai người. Tuy nhiên, chúng tôi đã chạy cả hai thông qua một lượng pin thử nghiệm.
Trong loạt bài này, 5 plugin bảo mật hàng đầu đã trải qua các trận chiến theo phong cách đấu sĩ với phần mềm độc hại, các cuộc tấn công và lỗ hổng bảo mật. Cái nào nổi lên là người chiến thắng? Đọc để tìm hiểu.
VERDICT iThemes Security so với Wordfence là một cuộc cạnh tranh không bình đẳng. Plugin miễn phí của Wordfence tốt hơn nhiều so với plugin cao cấp của iThemes Security. Wordfence có những mặt trái của nó, nhưng ít nhất nó bảo vệ trang web ở một mức độ nào đó. iThemes, không quá nhiều.
Lựa chọn của chúng tôi
Trong loạt bài này, chúng tôi muốn kiểm tra các plugin bảo mật hàng đầu của WordPress để tìm ra plugin nào thực sự hoạt động. Để làm được điều đó, chúng tôi đã tạo ra 3 trang web:Một là một blog đơn giản, với một vài plugin và chủ đề, làm điều khiển. Trang web thứ hai có 3 plugin lỗi thời với các lỗ hổng. Chúng tôi đã chọn các plugin từ phổ biến đến ít người biết đến và có một số lỗ hổng bảo mật. Và cuối cùng, chúng tôi đã có một trang web bị nhiễm phần mềm độc hại.
3 trang web, 5 plugin, 45 ngày. Chúng tôi đã thử nghiệm trình quét plugin, trình dọn dẹp, tường lửa, bảo vệ bot, tường lửa, nhật ký hoạt động, v.v. Chúng tôi đã tính đến phần mềm độc hại mới, phần mềm độc hại cũ, phần mềm độc hại dựa trên tệp, phần mềm độc hại cơ sở dữ liệu, tấn công chuyển hướng, tấn công dược phẩm, tiêm SQL, tấn công bạo lực, v.v.
Kết quả rất rõ ràng:chỉ có MalCare mới có thể quét, làm sạch và bảo vệ các trang web thử nghiệm. Nếu bạn đang tìm kiếm sự an tâm với bảo mật WordPress của mình, MalCare là lựa chọn phù hợp.
Tóm tắt so sánh iThemes Security và Wordfence
iThemes Security vs Wordfence là điều không cần phải bàn cãi:Wordfence hoàn toàn có thể.
Hãy coi bảo mật WordPress là một dải phân cách giữa hai thái cực:một bên là không có bảo vệ và cảm giác an toàn sai, bên còn lại là tích cực sai và cảnh báo nghiêm trọng. iThemes Security mang lại cho bạn cảm giác an toàn sai lầm và Wordfence là thứ khiến bạn luôn trong trạng thái sợ hãi thường trực.
Theo ý kiến của chúng tôi, cả hai đều không phải là lựa chọn tốt. Tuy nhiên, Wordfence có một phiên bản miễn phí tuyệt vời sẽ bảo vệ trang web của bạn ở mức độ lớn, trong khi ngay cả phiên bản cao cấp của iThemes Security sẽ không làm bất cứ điều gì để bảo vệ trang web của bạn. Lời khuyên của chúng tôi để tránh cả hai thái cực và sử dụng một plugin bảo mật tốt.
Tóm lạiiThemes Security
iThemes Security cho đến nay là plugin bảo mật WordPress tồi tệ nhất mà chúng tôi từng thấy. Nó có một vài tính năng tốt, như xác thực hai yếu tố và hỗ trợ mật khẩu mạnh, nhưng chỉ có vậy. Không có máy quét phần mềm độc hại, nó không thể làm sạch phần mềm độc hại và không có lý do gì để thảo luận về tường lửa. Trên thực tế, nếu bạn sử dụng iThemes ngay bây giờ, hãy quét trang web của bạn ngay lập tức.
Thực tế thú vị:iThemes là plugin bảo mật đầu tiên mà chúng tôi thử nghiệm. Trang web và toàn bộ quá trình thiết lập đã cho chúng tôi ấn tượng rằng, vâng, những người này biết tất cả về bảo mật WordPress. Tuy nhiên, thật không may, không có bí quyết nào trong số đó dường như đã biến nó thành plugin thực tế.
iThemes Security thực tế là một trình quét phần mềm độc hại vì không có cơ chế nào để làm sạch phần mềm độc hại. Trang web cũng không nói rằng có tường lửa. Điều này không phải là tuyệt vời, bởi vì quét là một trong những trụ cột của bảo mật WordPress nhưng không phải là duy nhất. Tuy nhiên, bạn có thể kết hợp nhiều plugin khác nhau để cung cấp cho bạn chức năng đó, nếu bạn có một máy quét tốt ngay từ đầu.
À, nhưng đó là vấn đề. iThemes không phải là một trình quét phần mềm độc hại. Nó không phải là một máy quét lỗ hổng bảo mật. Nó quét danh sách đen của Google cho trang web của bạn. Bạn biết đấy, điều tương tự bạn có thể làm từ trang Báo cáo minh bạch mà không cần cài đặt plugin. Phần quà lớn nhất là quá trình quét kéo dài vài giây. Không có cách nào mà một máy quét có thể lướt qua tất cả các tệp và thư mục của trang web chỉ trong vài giây.
Tính năng bảo vệ bạo lực cho trang đăng nhập bị vá và không nhất quán, và nhật ký hoạt động là vô dụng. Thêm về điều đó sau.
Về mặt tích cực, iThemes Security có tính năng xác thực hai yếu tố tuyệt vời. Chúng tôi cũng thích việc triển khai reCAPTCHA khi đăng nhập wp dễ dàng như thế nào. Và cuối cùng, cài đặt quản lý mật khẩu người dùng thực sự rất chi tiết và cụ thể. Ngoài ra, có một số tính năng tăng cường WordPress phù hợp, chẳng hạn như chặn thực thi PHP trong các thư mục.
Nhìn chung, thử nghiệm iThemes Security là một trải nghiệm thú vị. Chúng tôi rất coi trọng vấn đề bảo mật và chúng tôi đã bị sốc khi thấy cách thức thông minh và một bộ tính năng gây hiểu lầm có thể khiến quản trị viên nghĩ rằng trang web của họ được bảo vệ. Trên thực tế, chúng tôi đặc biệt khuyên mọi người dùng iThemes nên xem xét lại toàn bộ về bảo mật và quét trang web của họ ngay lập tức.
Tóm lại là Wordfence
Wordfence là plugin bảo mật miễn phí tốt nhất mà chúng tôi đã tìm thấy sau MalCare. Chúng tôi thực sự khuyên bạn nên sử dụng nó cho các trang web hoàn toàn không có ngân sách để bảo mật. Tường lửa chặn hầu hết các cuộc tấn công, máy quét phát hiện hầu hết các phần mềm độc hại dựa trên tệp và tính năng sửa chữa phần mềm độc hại sẽ giúp bạn loại bỏ hầu hết chúng. Mặt hạn chế là sẽ có rất nhiều thông tin dương tính giả, một số phần mềm độc hại bị bỏ sót và các dịch vụ dọn dẹp hack khẩn cấp có giá cắt cổ.
Chúng tôi rất vui khi dùng thử Wordfence, vì nó là plugin bảo mật được sử dụng rộng rãi nhất. Và sau một số trải nghiệm khủng khiếp (đọc:iThemes), sẽ thật tuyệt khi thấy plugin xử lý như thế nào với bảo mật WordPress.
Chúng ta sẽ đi vào chi tiết hơn trong các phần sau, nhưng muốn nói về các khía cạnh chính của bảo mật ở đây trước.
Wordfence có một trình quét khá tốt, có thể thu thập tất cả phần mềm độc hại dựa trên tệp mà chúng tôi có trong các plugin và chủ đề miễn phí của chúng tôi. Tuy nhiên, có một số cảnh báo lớn về hiệu quả của nó. Máy quét không thể phát hiện phần mềm độc hại dựa trên cơ sở dữ liệu, cũng như phần mềm độc hại trong các plugin và chủ đề cao cấp. Ngoài ra, trên trang web của chúng tôi thậm chí còn phải trả một khoản phí đáng kể để chạy quá trình quét.
Tiếp theo, chúng tôi đã thử sửa chữa phần mềm độc hại tự động. Trước sự hài lòng của chúng tôi, nó đã sửa chữa tất cả phần mềm độc hại dựa trên tệp từ trang web gần như ngay lập tức; không phải là phần mềm độc hại dựa trên cơ sở dữ liệu. Hãy nghĩ lại, đây không phải là hiệu suất tuyệt vời đối với một trình dọn dẹp, nhưng rõ ràng là nó tốt hơn những cái khác trong loạt thử nghiệm này và chúng tôi thực sự hài lòng khi thấy sự khác biệt.
Tường lửa khá hiệu quả, ngăn chặn hầu hết các cuộc tấn công WordPress phổ biến và chính gây ra bệnh dịch trang web. Một điểm đáng chú ý mà chúng tôi có ở đây là tường lửa tạo ra rất nhiều cảnh báo cho chúng tôi. Chúng ta có thực sự cần biết ai đó từ Đức đã cố gắng hack trang web của chúng ta 20 lần trong 5 phút qua trong 20 thông báo riêng biệt không? Không, chúng tôi không. Hộp thư đến của chúng tôi chìm trong cảnh báo Wordfence trong vài ngày và không thể phân loại lúa mì khỏi trấu. Ngoài ra, người dùng miễn phí nhận được bản cập nhật tường lửa muộn hơn so với người dùng cao cấp, do đó, có cơ hội cho tin tặc xâm nhập vào các trang web không được bảo vệ.
Mặt khác cũng có một số tính năng bảo mật hợp lý. Wordfence chạy một con tàu tinh gọn và tất cả các chức năng khác, như cập nhật plugin khi phát hiện lỗ hổng bảo mật, được giao cho wp-admin. Có lý, vì tại sao lại sao chép nó trên cùng một bảng điều khiển? Nó có khả năng bảo vệ vũ phu khá tốt và xác thực hai yếu tố rất mạnh mẽ.
Chúng tôi cũng rất thích khả năng sử dụng to lớn của plugin. Ngôn ngữ dễ hiểu và đơn giản, không sử dụng quá nhiều biệt ngữ. Các tính năng nâng cao hơn dành cho người dùng thành thạo cũng được giấu trong cài đặt.
Tuy nhiên, chúng tôi rất ngạc nhiên khi lưu ý rằng không có nhật ký hoạt động nào như vậy, ngoại trừ một danh sách khó đọc nhất dành cho các nhà phát triển Wordfence. Ngoài ra, không có bảo vệ bot nào cho trang web cả. Cuối cùng, và đáng nguyền rủa nhất đối với plugin này, nó cần một lượng lớn tài nguyên máy chủ để hoạt động. Nhiều đến mức các máy chủ web đã cấm hoàn toàn việc sử dụng Wordfence.
Nói chung, Wordfence là một plugin bảo mật tuyệt vời, nhưng không phải là plugin tốt nhất cho trang web của bạn. MalCare là cách đi cùng với một máy quét tuyệt vời, dọn dẹp phần mềm độc hại hiệu quả và một tường lửa tiên tiến với các bản cập nhật theo thời gian thực.
Tìm kiếm gì trong một plugin bảo mật
Bảo mật WordPress có thể là một con thú khó hiểu để đối phó, đặc biệt là với những thông tin sai lệch đáng kể có sẵn trên mạng. Một điều chắc chắn là tin tặc có thể khiến bạn mất đi doanh thu, công việc kinh doanh, các vụ kiện tụng, chi phí tự trả, xây dựng thương hiệu, lưu lượng truy cập không phải trả tiền và nhiều hơn thế nữa. Plugin bảo mật phù hợp sẽ chống lại tất cả những điều đó, ngoài ra còn giúp bạn tiết kiệm thời gian và tiền bạc để đầu tư vào các lĩnh vực khác của doanh nghiệp.
Chúng tôi thường gặp câu hỏi:làm cách nào để bạn chọn đúng plugin bảo mật cho trang web WordPress của mình?
Câu trả lời thường là danh sách các tính năng giặt là. Một số là quan trọng, một số không quá nhiều. Nhưng mọi plugin đều muốn bán cho bạn hơn 100 tính năng của chúng, hầu hết trong số đó có ít hoặc không ảnh hưởng đến bảo mật trang web của bạn. Nhưng danh sách sẽ gây nhầm lẫn vấn đề đủ dài để làm cho vấn đề bảo mật WordPress một lần nữa đau đầu.
Vì vậy, chúng tôi đã biên soạn danh sách các tính năng bảo mật cần thiết và ngắn gọn này! Bạn nên tìm một plugin bảo mật đánh dấu hầu hết mọi thứ trong danh sách này và nhận các giải pháp khác cho các tính năng mà nó không có.
- Các tính năng bảo mật cần thiết
- Quét phần mềm độc hại
- Dọn dẹp phần mềm độc hại
- Tường lửa
- Các tính năng bảo mật tốt nên có
- Phát hiện lỗ hổng bảo mật
- Bảo vệ đăng nhập bằng bạo lực
- Nhật ký hoạt động
- Xác thực hai yếu tố
- Các vấn đề tiềm ẩn
- Ảnh hưởng đến tài nguyên máy chủ
Plugin duy nhất gần đạt được tất cả các hộp là MalCare. Bằng cách chọn MalCare, bạn đang đảm bảo rằng trang web của mình được bảo mật tốt nhất trước tin tặc và phần mềm độc hại của chúng.
iThemes Security và Wordfence:So sánh trực tiếp các tính năng
Trong phần này, chúng tôi đã trình bày chi tiết những phát hiện của mình trong trường hợp bạn muốn đọc thêm về một tính năng cụ thể. Sau 45 ngày thử nghiệm, chúng tôi đã có rất nhiều thông tin và rất nhiều phát hiện. Tất cả những điều đó được gói gọn ở đây để bạn đọc vui vẻ.
Các tính năng được sắp xếp theo thứ tự từ quan trọng nhất đến kém quan trọng nhất và chúng tôi đánh giá cả hai plugin trên từng yếu tố. Mục tiêu của chúng tôi là trình bày mọi thứ chúng tôi tìm thấy một cách công bằng nhất có thể, vì vậy chúng tôi sẽ không kìm hãm bất cứ đâu.
Tuy nhiên, nếu bạn muốn đi đến điểm mấu chốt của bài tập này, hãy cài đặt MalCare và bạn sẽ không phải nghe về một số điều khủng khiếp mà chúng tôi đã phát hiện ra.
Quét phần mềm độc hại
Máy quét của Wordfence đã phát hiện phần mềm độc hại dựa trên tệp trên trang web thử nghiệm của chúng tôi, nhưng không phát hiện phần mềm độc hại trong cơ sở dữ liệu của chúng tôi. Nó cũng bỏ sót phần mềm độc hại trong các plugin và chủ đề cao cấp. iThemes Security ngay từ đầu đã không quét trang web của chúng tôi, vì vậy rõ ràng là sẽ không tìm thấy bất kỳ phần mềm độc hại nào.
Sau khi cài đặt Wordfence, nó sẽ tự động thiết lập lần quét đầu tiên. Càng xa càng tốt. Để máy quét hoàn tất và khám phá các tính năng khác trong vài giờ. Chỉ thấy rằng nó vẫn bị kẹt ở mức 60%. Xem xét trang web khá nhỏ, điều gì mang lại?
Hóa ra, 60% không phải là thanh tiến trình, mà là tỷ lệ phần trăm cho thấy hiệu quả của máy quét miễn phí. Để có được đầy đủ 100%, bạn cần phải nâng cấp lên phiên bản chuyên nghiệp của plugin. Khá công bằng, nhưng cách nó được hiển thị trên bảng điều khiển rất khó hiểu.
Chúng tôi đã bắt đầu lại quá trình quét và rất vui khi thấy nó hoàn tất rất nhanh chóng. Máy quét đã gắn cờ hầu hết các phần mềm độc hại, mặc dù không phải tất cả. Phần mềm độc hại mà nó có thể dễ dàng phát hiện nằm trong các tệp WordPress cốt lõi cũng như trong các tệp và thư mục của các plugin và chủ đề miễn phí. Nó đã bỏ sót phần mềm độc hại chuyển hướng bị tấn công trong cơ sở dữ liệu và bất kỳ tệp nào có trong các plugin và chủ đề cao cấp.
Chúng tôi đã ném rất nhiều phần mềm độc hại dựa trên tệp vào Wordfence và nó đã phát hiện gần như tất cả. Nó có một cơ sở dữ liệu phần mềm độc hại mở rộng cho thuật toán khớp chữ ký, vì vậy chúng tôi hy vọng rằng nó sẽ phát hiện khoảng 70 đến 80% phần mềm độc hại. Điều đó không tốt bằng 95%, giống như với MalCare, nhưng nó tốt hơn rất nhiều so với tất cả các plugin bảo mật khác hiện có. Rốt cuộc, phát hiện là một nửa của trận chiến.
Cảnh báo mà chúng tôi gặp phải với Wordfence là có rất nhiều cảnh báo và số lượng xác thực sai cao. Cả hai yếu tố này có thể dẫn đến cảnh báo mất tác động theo thời gian và sau đó có một mối nguy hiểm thực sự mà một cảnh báo chính hãng có thể lọt qua không được đánh dấu. Ngoài ra, quá trình quét tốn rất nhiều tài nguyên máy chủ để thực hiện. Chúng ta sẽ nói thêm về điều đó trong phần sau.
Trình quét iThemes hoàn toàn không quét phần mềm độc hại. Nó kiểm tra xem trang web của bạn có nằm trong danh sách đen hay không và đó cũng chỉ là một danh sách đen. Sucuri cũng có kiểm tra này, nhưng họ có lý do, thứ nhất, không gắn nhãn nó là máy quét và thứ hai, kiểm tra nhiều hơn chỉ là danh sách đen của Google. Các trang web thử nghiệm của chúng tôi rõ ràng không nằm trong danh sách đen, vì chúng không được lập chỉ mục. Vì vậy, khi báo cáo quét phần mềm độc hại của iThemes cho chúng ta biết một trang web chứa đầy phần mềm độc hại? Không ấn tượng.
Dọn dẹp phần mềm độc hại
iThemes Security không có tính năng dọn dẹp phần mềm độc hại, tự động hoặc theo cách khác. Wordfence có thể sửa chữa các tệp phần mềm độc hại, nhưng hiệu quả phụ thuộc vào phần mềm độc hại được phát hiện. Wordfence có một dịch vụ loại bỏ phần mềm độc hại cao cấp, có giá $ 490 cho mỗi trang web.
Sau khi quét xong, Wordfence liệt kê 2 tùy chọn để xử lý các tệp bị tấn công — ngoài CTA để nhận trợ giúp chuyên nghiệp:xóa tất cả các tệp có thể xóa và sửa tất cả các tệp có thể sửa được.
Tùy chọn xóa đã loại bỏ thành công 1 tệp mà không có lỗi, sau khi hiển thị một thông báo đáng sợ về cách xóa tệp có thể phá vỡ trang web của bạn. Đúng là như vậy, nhưng phần mềm độc hại cũng rất đáng sợ! Dù sao, tùy chọn là một cái gì đó của một squib ẩm ướt, vì vậy hãy chuyển sang tùy chọn sửa chữa thay thế. Tùy chọn sửa chữa có một cảnh báo tương tự, nhưng chúng tôi đã hỗ trợ và nó có thể sửa chữa hầu hết các tệp. Khi chúng tôi chạy trang web thông qua máy quét của MalCare, trang web không có phần mềm độc hại.
Hầu hết các plugin bảo mật khác không thành công vào thời điểm này, vì vậy chúng tôi không phải kiểm tra thêm. Chúng tôi đã nhận được kết quả của chúng tôi. Tuy nhiên, cơ sở dữ liệu về chữ ký phần mềm độc hại của Wordfence rất toàn diện, vì vậy chúng tôi đã mở rộng mạng lưới.
Chúng tôi đã thêm phần mềm độc hại chuyển hướng bị tấn công vào cơ sở dữ liệu trang web của mình, với một số trường hợp bị tấn công từ khóa của Nhật Bản để có biện pháp tốt. Chúng tôi cũng đã giấu các phần mềm độc hại trong các plugin và chủ đề cao cấp của mình, nghi ngờ rằng những thứ này sẽ tăng tốc độ quét và dọn dẹp. Và họ đã làm.
Kết luận xuất hiện là nếu nhóm Wordfence đã nhìn thấy phần mềm độc hại, thì việc sửa chữa các tệp sẽ hoạt động. Nếu không thì không. Wordfence cũng không thành công khi có phần mềm độc hại trong cơ sở dữ liệu. Vì vậy, phần mềm độc hại như hack chuyển hướng hoặc thậm chí chỉ là phần mềm độc hại mới hơn chắc chắn sẽ bị bỏ sót. Nó cũng sẽ bỏ sót phần mềm độc hại trong các tệp WordPress không phải cốt lõi hoặc các plugin và chủ đề không công khai. Wordfence không thể tìm thấy phần mềm độc hại trong các plugin và chủ đề cao cấp.
Trong trường hợp sửa chữa tự động không hoạt động, bạn có thể chọn dịch vụ xóa phần mềm độc hại của Wordfence. Dịch vụ loại bỏ phần mềm độc hại, cửa hậu và đánh giá trang web để tìm các lỗ hổng. Wordfence cũng giúp xóa trang web chứa phần mềm độc hại khỏi bất kỳ danh sách đen nào mà nó có thể đã truy cập. Việc dọn dẹp trang web được đảm bảo trong một năm, chỉ khi quản trị viên trang web làm theo các hướng dẫn sau khi hack. Chúng tôi không thể nhận xét về hiệu quả của dịch vụ xóa phần mềm độc hại vì chúng tôi chưa dùng thử.
Như chúng tôi đã nói trước đây, iThemes Security không thể làm sạch phần mềm độc hại, vì vậy không có gì phải nói thêm về vấn đề đó.
Theo kinh nghiệm của chúng tôi, dọn dẹp phần mềm độc hại là khía cạnh quan trọng nhất của bảo mật WordPress. Nó chắc chắn chỉ nên được thực hiện bởi các chuyên gia bảo mật, bởi vì có rất nhiều khả năng xảy ra sai lầm khủng khiếp. MalCare cung cấp cho bạn tùy chọn để tự động xóa phần mềm độc hại và truy cập vào các chuyên gia bảo mật để giúp giải quyết bất kỳ sự cố nào có thể xảy ra.
Tường lửa
iThemes Security không có tường lửa. Wordfence có tường lửa ứng dụng web bảo vệ khỏi hầu hết các mối đe dọa chính và phổ biến một cách hiệu quả. Nhưng phiên bản miễn phí được cập nhật muộn hơn phiên bản cao cấp.
Tường lửa WordPress là một phần quan trọng trong kho vũ khí bảo mật của bạn, vì nó ngăn chặn các cuộc tấn công và lưu lượng độc hại thông qua việc sử dụng các quy tắc. Trong hầu hết các plugin bảo mật mà chúng tôi đã xem xét, chúng tôi tránh giải thích chi tiết kỹ thuật hơn, vì không có ý nghĩa gì vì tường lửa quá khủng khiếp hoặc không tồn tại. Nhưng với Wordfence, mọi thứ phức tạp hơn một chút.
Khi chúng tôi cài đặt Wordfence, tường lửa đã chuyển thẳng vào chế độ học tập. Đây là bước bắt buộc để tường lửa có thể hiểu được lưu lượng truy cập bình thường của trang web và do đó chặn các mối đe dọa hiệu quả hơn. Vì chúng tôi không nhận được bất kỳ lưu lượng truy cập nào vào các trang web của mình, nên chúng tôi đã tắt chế độ học tập ngay lập tức, mặc dù chúng tôi khuyên bạn nên bật chế độ này trong ít nhất một tuần.
Có một phần riêng để quản lý tường lửa Wordfence, vì vậy chúng ta sẽ khám phá phần tiếp theo. Lần đầu tiên bạn nhìn thấy nó, nó giải thích tường lửa là gì và nó làm gì để bảo vệ trang web của bạn. Nó cũng giới thiệu thuật ngữ 'tường lửa ứng dụng web' ở đây với một mô tả ngắn.
Sau khi thử nghiệm cả tường lửa miễn phí và cao cấp, rõ ràng Wordfence có một tường lửa tuyệt vời trong cả hai phiên bản. Cả hai đều ngăn chặn một loạt các cuộc tấn công chèn SQL, giả mạo yêu cầu giữa các trang web, tiêm mã từ xa và các cuộc tấn công tập lệnh giữa các trang web. Chúng tôi không thể khai thác các lỗ hổng plugin và chủ đề.
Đó là lúc chúng tôi nghĩ mình nên tìm hiểu sâu hơn:sự khác biệt giữa phiên bản miễn phí và cao cấp là gì?
Trong các tùy chọn tường lửa, Wordfence giải thích sự khác biệt:phiên bản miễn phí tải như một plugin thông thường, sau khi WordPress tải xong. Ngoài ra, phiên bản cao cấp nhận được cập nhật quy tắc thời gian thực, trong khi phiên bản miễn phí nhận được cập nhật sau một khoảng thời gian không xác định.
Cả hai điều này đã khiến chúng tôi tạm dừng.
Thứ nhất, tường lửa nên tải trước để bảo vệ tốt nhất, tuy nhiên hầu hết các plugin bảo mật có tường lửa thường tải sau WordPress giống như một plugin thông thường. Trong trường hợp này, tường lửa Wordfence có thể ngăn chặn hầu hết các lưu lượng độc hại, nhưng chắc chắn không phải tất cả.
Thứ hai, Wordfence có tường lửa cập nhật nhất, tuy nhiên người dùng không phải trả phí sẽ nhận được bản cập nhật sau đó. Ngay cả cửa sổ đó cũng có vấn đề, vì tin tặc có thể tấn công trong đó. Khi nào tường lửa miễn phí nhận được các bản cập nhật quy tắc:ngày, tuần hoặc tháng sau? Ai biết.
Không có gì ngạc nhiên khi iThemes không có tường lửa.
Phát hiện lỗ hổng bảo mật
iThemes Security không thể phát hiện lỗ hổng bảo mật, ít giúp giải quyết chúng. Wordfence đã tìm ra tất cả các lỗ hổng mà chúng tôi đưa vào trang web, bất kể chúng phổ biến hay ít người biết đến.
Wordfence đã gắn cờ tất cả các plugin lỗi thời với các lỗ hổng được phát hiện một cách chính xác là các mối đe dọa nghiêm trọng. Chúng tôi đã đưa một loạt các plugin ít người biết đến vào danh sách, một số plugin có ít hơn 200 người dùng. Các plugin khác không thể phát hiện ra những lỗ hổng đó, vì vậy thật sảng khoái khi thấy rằng Wordfence đã làm được. Máy quét thậm chí còn gắn cờ các plugin lỗi thời là mối đe dọa trung bình, điều này thật tuyệt vời vì luôn tốt để cập nhật mọi thứ.
Bạn không thể sửa chữa các lỗ hổng trực tiếp từ bảng điều khiển Wordfence. Hầu hết các plugin khác, như Jetpack và Sucuri, đã đề xuất các bản cập nhật và cho phép bạn thực hiện các bản cập nhật đó từ cùng một bảng điều khiển. Nhưng nhìn xung quanh Wordfence, không có cách nào để làm điều đó. Tuy nhiên, nó sẽ đưa bạn đến trang tổng quan cập nhật, điều này đủ tốt. Không có lý do hợp lý nào để sao chép chức năng hiện có đã tồn tại trên wp-admin.
Điều thú vị là máy quét cũng cho chúng tôi thấy lỗi với các plugin iThemes và BackupBuddy mà chúng tôi đã cài đặt trên một trong các trang web thử nghiệm. Dường như có sự bất thường về mã hóa trong các plugin.
Chúng tôi đã hy vọng rằng máy quét iThemes kiểm tra các lỗ hổng bảo mật ít nhất, xem xét sự thất bại đáng tiếc của nó như một máy quét phần mềm độc hại. Vâng, không.
Trên hết, bảng điều khiển iThemes có một bộ đếm cho biết có bao nhiêu bản cập nhật đã được thực hiện kể từ khi cài đặt plugin. Chúng tôi tưởng tượng rằng lý do tồi tệ này cho một số liệu được cho là hữu ích để theo dõi các bản cập nhật plugin và chủ đề. Nó thực sự không phải vậy.
Bảo vệ đăng nhập bằng vũ lực
iThemes đôi khi chặn các cuộc tấn công bạo lực, đôi khi thì không. Wordfence chặn tất cả các cuộc tấn công bạo lực một cách không mệt mỏi.
Với iThemes, chúng tôi đã thấy các khối vũ phu không nhất quán. Khi chúng tôi cố gắng nhập một loạt thông tin đăng nhập không hợp lệ trên trang đăng nhập, iThemes chỉ chặn các nỗ lực trên 1 trang web chứ không chặn trang khác. Sự khác biệt duy nhất giữa cả hai trang web là trang đầu tiên có phần mềm độc hại, trong khi trang thứ hai thì không. Phần mềm độc hại thường là kết quả của một cuộc tấn công đăng nhập thành công, vì vậy sự khác biệt này không chắc là lý do. Sau nhiều giờ thử các bài kiểm tra liên tục, kết quả không có kết quả. Cuối cùng chúng tôi đã từ bỏ việc cố gắng tìm ra những gì có vẻ là một lỗi.
Sau bài tập này trong sự thất vọng sâu sắc, chúng tôi đã kiểm tra nhật ký iThemes. Mỗi nỗ lực đăng nhập không chính xác đều được đăng ký ở đó như một cuộc tấn công vũ phu, ngay cả khi chúng tôi thực sự quên mật khẩu của mình. Tuy nhiên, plugin không chặn tất cả chúng. Rất lạ và do đó không đáng tin cậy.
Với Wordfence, lần đầu tiên chúng tôi xem xét các cài đặt. Bảo vệ bạo lực được bật theo mặc định và bạn có thể vào phần tường lửa để tùy chỉnh các tùy chọn.
Bạn có thể thiết lập khóa cho các lần đăng nhập không chính xác và thậm chí thời gian người dùng sẽ bị khóa sau một số lần đăng nhập không chính xác nhất định. Điều đặc biệt tuyệt vời là họ giải thích những gì mỗi tùy chọn làm trong tài liệu tuyệt vời và cách sử dụng nó hiệu quả nhất để bảo vệ trang web.
Bạn có thể đặt danh sách cho phép cho các IP không được tường lửa kiểm tra. Chúng tôi đã thấy tính năng này trong nhiều plugin, nhưng với việc thay đổi IP thiết bị, điều đó không có ý nghĩa gì.
Các tùy chọn mật khẩu mạnh cũng có ở đây. Bạn có thể thực thi mật khẩu mạnh, ngăn chặn việc sử dụng mật khẩu được tìm thấy trong các vụ vi phạm dữ liệu và hơn thế nữa.
Cuối cùng, chúng tôi bắt đầu thử nghiệm và tính năng bảo vệ bạo lực hoạt động chính xác theo các cài đặt mà chúng tôi đã chọn. Hoàn hảo mỗi lần.
Nhật ký hoạt động
Nhật ký hoạt động iThemes không ghi lại tất cả các sự kiện, vì vậy nó vô dụng. Wordfence hoàn toàn không có nhật ký hoạt động.
Chúng tôi rất ủng hộ nhật ký hoạt động khiêm tốn. Nó là một công cụ bảo mật cần thiết vì tin tặc lợi dụng việc ghi nhật ký không đủ để tấn công các trang web. Lý tưởng nhất là bạn muốn có một nhật ký đáng tin cậy có thông tin chính xác về hoạt động của trang web của bạn.
Vì vậy, không giống như một trong những iThemes có. Nhật ký hoạt động iThemes giữ lời hứa về thông tin tốt, như hoạt động của người dùng, quản lý phiên bản, quét trang web và các cuộc tấn công bạo lực. Nhưng những điều này không được ghi chính xác, vì vậy không thể tin tưởng để trình bày hình ảnh chính xác. Ngoài điều đó ra, không có gì về plugin hoặc chủ đề.
Wordfence, thật đáng ngạc nhiên, không có nhật ký hoạt động. Có một tùy chọn để bật gỡ lỗi từ phần Chẩn đoán trong Công cụ, cho phép nhật ký tường lửa dài dòng hơn. Chỉ có một nhật ký hoạt động đầy đủ cho các sự kiện Wordfence trong phần Quét, nhưng điều đó không giống với nhật ký hoạt động. Bên cạnh đó, nó là một bản ghi thô chỉ dành cho các nhà phát triển Wordfence. Bằng cách bật chế độ gỡ lỗi, bạn cũng sẽ tiêu tốn nhiều tài nguyên máy chủ hơn. Nó được nêu rất rõ ràng trong phần đó.
Xác thực hai yếu tố
iThemes có tính năng xác thực hai yếu tố tuyệt vời hoạt động liền mạch. Tương tự với Wordfence.
Xác thực hai yếu tố hoạt động hoàn hảo trên cả hai plugin. Cả hai đều có một tập hợp các tùy chọn tuyệt vời và thiết lập tối thiểu. Với Wordfence, xác thực hai yếu tố từng là một tính năng cao cấp mà giờ đây họ cũng đã bật cho người dùng miễn phí.
Chúng tôi chỉ có một quan sát nhỏ với phiên bản iThemes pro. Có rất nhiều cài đặt loại bỏ mã thông báo đăng nhập trong phiên bản pro:đăng nhập không cần mật khẩu, thiết bị đáng tin cậy, liên kết ma thuật, v.v. Theo ý kiến của chúng tôi, họ phản đối trực tiếp nguyên tắc xác thực hai yếu tố bằng cách làm cho quá trình đăng nhập dễ dàng hơn.
Sử dụng tài nguyên máy chủ
iThemes rất tốt với tài nguyên máy chủ của bạn, vì nó không làm gì cả. Wordfence thực sự bị cấm bởi một số máy chủ web vì chi phí lớn của nó đối với tài nguyên máy chủ.
Chúng tôi rất vui mừng khi đưa Wordfence vượt qua các bước của nó. Tuy nhiên, điều ngạc nhiên thực sự đã đến khi chúng tôi kiểm tra hiệu suất của trang web. Số lần quét tăng gấp đôi, và trong một số trường hợp, mức sử dụng đĩa của trang web của chúng tôi tăng gấp ba lần khi quá trình quét Wordfence diễn ra. Chúng tôi thừa nhận rằng các trang web thử nghiệm của chúng tôi rất nhỏ, vì vậy chúng không tiêu tốn quá nhiều tài nguyên để bắt đầu, nhưng dù sao thì đó cũng là một bước nhảy đáng kể. Trên các trang web lớn hơn, hình phạt sẽ là đáng kể.
Trên thực tế, bất kỳ thay đổi nào đối với cài đặt mặc định đều đi kèm với cảnh báo rằng sẽ có nhiều tài nguyên máy chủ bị tiêu tốn hơn. Sau đó, có thể an toàn khi cho rằng Wordfence sử dụng tài nguyên máy chủ trang web để thực hiện tất cả các tác vụ của nó.
Điều đó đã đủ tệ, nhưng sẽ còn tệ hơn nhiều với tường lửa. Bất kỳ cuộc tấn công kéo dài nào cũng sẽ áp đảo trang web ngay cả khi trang web được bảo vệ chống lại những hành vi khai thác này.
Việc sử dụng tài nguyên máy chủ hiếm khi được coi là một điểm đáng nói trong vấn đề bảo mật trang web, nhưng thường thì các plugin bảo mật có ảnh hưởng đáng kể đến hiệu suất trang web. Nhiều đến mức quản trị viên phải cân bằng giữa bảo mật và khả năng sử dụng. Chúng tôi nghĩ không nên xảy ra trường hợp này và bạn cũng có thể lấy bánh và ăn với MalCare.
iThemes rất tốt cho tài nguyên máy chủ của bạn. Không thể nói như vậy đối với bảo mật trang web của bạn.
Cảnh báo
iThemes không gửi cho bạn bất kỳ cảnh báo nào. Wordfence gửi quá nhiều.
Cảnh báo cần phải đạt được điểm chính xác giữa không có và quá nhiều. Cả hai đều là những thái cực xấu như nhau, bởi vì kết quả thực tế là bạn không có manh mối nào về tính bảo mật của trang web của bạn thực sự là gì.
Trình quét của Wordfence có thể tạo ra rất nhiều thông tin xác thực sai, vì vậy bạn không thực sự biết khi nào trang web của mình thực sự bị tấn công. Sau một thời điểm, nó có thể trở nên giống như cậu bé khóc sói. Tương tự với tường lửa. Tường lửa chỉ nên chặn các cuộc tấn công mà không cần báo động mỗi lần, vì nó không phục vụ một mục đích nào đó. Do đó, ý kiến của chúng tôi là Wordfence tạo ra quá nhiều cảnh báo để có thể hữu ích.
iThemes gửi một loạt email hoàn toàn vô dụng, vô dụng:báo cáo thông báo thay đổi tệp, sao lưu cơ sở dữ liệu và các xác nhận khác về cài đặt của chúng tôi. Ngoài ra còn có thông báo bảo mật hàng ngày về trang web của chúng tôi và báo cáo lỗ hổng bảo mật hàng tuần. Chúng tôi tưởng tượng đây là kiến thức của chúng tôi, vì vậy chúng tôi có thể cập nhật các plugin và chủ đề vi phạm trên một hoặc nhiều trang web của chúng tôi theo cách thủ công.
Cài đặt, cấu hình và khả năng sử dụng
Wordfence cài đặt như một sự quyến rũ. Không có cài đặt phức tạp và cấu hình khó hiểu. Mặt khác, iThemes thực sự rất khó.
iThemes bắt đầu dễ bị lừa dối, và sau đó dần dần chuyển thành nhiều cài đặt vô dụng. Có một cấu hình dài để lướt qua trước khi bảng điều khiển thậm chí được tạo. Thành thật mà nói, chúng ta nên đọc các dấu hiệu và coi điều này là một nguyên nhân bị mất. Nhưng chúng ta là những kẻ tham ăn để trừng phạt quyền lực đó vì điều tốt đẹp hơn.
Cài đặt Wordfence rất dễ dàng và không có tùy chọn cấu hình trả trước. Màn hình đầu tiên bật lên là đăng ký email, trong đó nói rõ rằng bạn nhận được tin tức bảo mật trong hộp thư đến của mình. Màn hình tiếp theo là lời nhắc nâng cấp lên cao cấp. Tại thời điểm này, chúng tôi không biết plugin miễn phí có những tính năng gì, vì vậy chúng tôi chưa đưa vào giấy phép cao cấp của mình ngay lập tức.
Có 3 hướng dẫn chú giải công cụ khi bạn truy cập trang tổng quan trên wp-admin lần đầu tiên. Khả năng sử dụng và ngôn ngữ là tuyệt vời trên Wordfence. Có những giải thích rõ ràng được đưa ra cho các tính năng và cách chúng tác động đến bảo mật. Nó không phải là áp đảo, cũng không phải là thứ làm chết lặng.
Thiết kế bảng điều khiển rất trực quan và bạn có thể thấy ngay tất cả các khía cạnh bảo mật quan trọng liên quan đến trang web của mình. Nhìn chung, ấn tượng đầu tiên của chúng tôi về Wordfence là tuyệt vời.
Ngoài ra Wordfence cung cấp cho bạn các đề xuất hữu ích để cấu hình. Tài liệu mà bạn có thể truy cập từ các chú giải công cụ trên bảng điều khiển, có tính ngữ cảnh cao. Nó đưa ra rõ ràng những gì mỗi tính năng làm và tại sao, ngoài cách đặt nó hoạt động tối ưu trên trang web của bạn. Một lần nữa, điều đáng chú ý là cách tiếp cận ngôn ngữ được sử dụng.
iThemes:Extras
Sau khi xem xét các khía cạnh quan trọng của bảo mật và nhận thấy iThemes thiếu nghiêm trọng, phần này có vẻ gần như buồn cười.
iThemes đã bổ sung cho plugin rất nhiều tính năng, có ít hoặc không ảnh hưởng đến bảo mật. Trường hợp cụ thể:tính năng IP danh sách trắng. IP thiết bị của chúng tôi thay đổi liên tục, vì vậy điều này không đảm bảo rằng một số người nhất định sẽ được thông qua trang web, đây có lẽ là điểm chính.
Ngoài ra còn có một trình theo dõi thay đổi tệp, sẽ gửi báo cáo đến địa chỉ email của bạn 24 giờ một lần. Báo cáo chứa danh sách tất cả các tệp đã thay đổi. Không phải thay đổi là gì, ai đã thực hiện nó hay chính xác là khi nào nó xảy ra. Không, chỉ là một email có nội dung:“Xin chào! Tất cả điều này trên trang web của bạn bây giờ khác với những gì nó đã được ngày hôm qua. Từ biệt!"
Khi chúng tôi đã vượt qua sự khó chịu của mình, chúng tôi muốn thừa nhận rằng iThemes có một hệ thống quản lý mật khẩu tốt. Bạn có thể thực thi mật khẩu mạnh và từ chối cho phép sử dụng mật khẩu bị xâm phạm trên trang web. Chúng tôi không thể kiểm tra điều này một cách kết luận, nhưng một lần nữa kết quả lại khá loang lổ.
Có một tính năng tăng cường hữu ích:chặn thực thi PHP trong thư mục tải lên. Những người khác là vô nghĩa.
Wordfence:Thêm
Các tính năng bổ sung của Wordfence đều liên quan đến bảo mật nghiêm ngặt. Không có tính năng hữu ích liền kề, như cập nhật hoặc tùy chọn quản lý người dùng. Phải nói rằng, có rất nhiều tính năng bổ sung.
Sau khi cài đặt ban đầu, chúng tôi đã thấy phần thông báo cập nhật trang web. Trên trang web thử nghiệm của chúng tôi, nó cho chúng tôi thấy rằng 5 plugin cần được cập nhật.
Có trạng thái Wordfence Central cho phép bạn quản lý nhiều trang web từ wp-admin của mỗi trang web. Điều này có ý nghĩa nếu bạn có một vài trang web trên cùng một tài khoản, nhưng không gian có hạn và sẽ không hoạt động đối với các đại lý có hàng trăm trang web. Điều tốt là có một bảng điều khiển bên ngoài. Bạn phải tạo một tài khoản trên trang web Wordfence để truy cập Wordfence Central. Theo ý kiến của chúng tôi, việc có hộp trung tâm trên trang tổng quan của trang web là không có ý nghĩa.
Chúng tôi đã thêm tất cả các trang web thử nghiệm vào Wordfence Central và có cái nhìn tổng quan về tất cả chúng. It isn’t the best layout for anything more than 20 sites. The idea is good, the execution is lacking.
Next we checked out the Tools section. There is a panel for live traffic, which at first glance, seemed like a version of Google Analytics, but turned out to be more than that. You can set the traffic logs to include all traffic or just security related traffic. The logs are great, because there is a clear legend to indicate what kind of traffic the website is getting:human, bot, warning, blocked.
There is also a Whois lookup, in case you want to see who is attacking your website. This is a frill at best, because this feature is easily available online too.
The Diagnostics one is an interesting feature. It contains a whole bunch of information about the website, right from process owners to database tables and more besides. It is like a spec of the website in one place, along with the status of each of those things. Hard to imagine how an ordinary user (non-dev) would use any of this info, but definitely useful for a developer.
What’s missing from iThemes Security and Wordfence
iThemes is missing a scanner, cleaner and firewall. Also, it would be nice if it had functional brute force protection and activity log, and detected a vulnerability on occasion. One can hope.
Wordfence doesn’t have bot protection nor an activity log. Other than that, it is a comprehensive and well-rounded security plugin.
Wordfence vs iThemes Security:Pricing
It is not worth buying iThemes Security, because its only worthwhile feature is two-factor authentication, which is available for free. Wordfence premium is available for $99 for the year, but the free version is strong enough on its own.
Wordfence’s free plugin is really great, considering it is free. The premium licenses are at a max of $99 per site, and get progressively lower with the more licenses you purchase.
The real kicker is the site cleaning service which is a hefty $490 per site, and although they say unlimited pages in the features, additional charges may apply for sites above 10 GB—which, fair enough. They do have a malware removal guarantee for 1 year, but there are caveats in the small print. So read those carefully.
After reading this article, you know that iThemes isn’t worth your money. Use it for two-factor authentication or get a dedicated plugin for that feature.
Better alternative to iThemes Security and Wordfence:MalCare
The best thing you can do for your website is to invest in a good security plugin. The plugin should scan, clean and protect your website from all manner of threats. During our testing series, only one plugin stood out:MalCare. It outshines iThemes in every way, and has a much better scanning, auto-cleaning, firewall, and notifications compared to Wordfence. It is a no-brainer.
MalCare’s $99 Basic plan includes unlimited cleanups, which is equivalent to Wordfence’s $99 plan and $490 per cleanup needed thereafter.
Kết luận
We hope this article helped you decide on a way forward for your website security. If you have any questions or thoughts, do drop us a line. We would love to hear from you!