ในแวบแรก iThemes Security ดูเหมือนเป็นปลั๊กอินความปลอดภัยที่ยอดเยี่ยมและราคาไม่แพงสำหรับเว็บไซต์ WordPress ของคุณ โดยเฉพาะอย่างยิ่งหากคุณพิจารณาว่าคุณสามารถปกป้องเว็บไซต์ได้ไม่จำกัดในราคาเพียง $199
ในทางกลับกัน Sucuri เป็นหนึ่งในปลั๊กอินความปลอดภัย WordPress ที่ได้รับความนิยมมากที่สุด มันอัดแน่นด้วยสแกนเนอร์และไฟร์วอลล์และเสนอการกำจัดมัลแวร์ด้วย ดังนั้นในเรื่องนี้แบบตัวต่อตัว มันจึงได้ขโมยการเดินขบวนบน iThemes
อย่างไรก็ตาม สรุปได้ว่าปลั๊กอินความปลอดภัยใดให้การป้องกันที่ดีที่สุดจากแฮกเกอร์และมัลแวร์ เราทดสอบปลั๊กอินความปลอดภัย 5 อันดับแรกสำหรับ WordPress บนเว็บไซต์ 3 แห่ง เว็บไซต์ต่างๆ เต็มไปด้วยมัลแวร์และช่องโหว่ และเรานำปลั๊กอินไปใช้อย่างเต็มที่ อ่านต่อไปเพื่อดูผลการทดสอบของเรา และค้นหาว่าปลั๊กอินใดที่จะปกป้องเว็บไซต์ WordPress ของคุณได้อย่างแท้จริง
คำตัดสิน ความปลอดภัยของ iThemes กับ Sucuri:iThemes ถูกเขี่ยออกจากการแข่งขันโดยสิ้นเชิง ในการแข่งขันครั้งนี้ Sucuri เป็นผู้ชนะอย่างไม่ต้องสงสัย ที่กล่าวว่าเรายังคงไม่ไว้วางใจ Sucuri ในการปกป้องเว็บไซต์ของเรา รายละเอียดการทดสอบทั้งหมดของเราด้านล่าง
สิ่งที่เราเลือก
เราสร้างเว็บไซต์ WordPress 3 แห่งเพื่อทดสอบปลั๊กอินความปลอดภัย หนึ่งคือบล็อกธรรมดาเป็นตัวควบคุมการทดสอบ ต่อไป เราติดตั้งปลั๊กอินที่ล้าสมัย 3 รายการพร้อมช่องโหว่ที่เผยแพร่บนเว็บไซต์ที่สอง สุดท้าย เรายัดเว็บไซต์ที่สามที่เต็มไปด้วยมัลแวร์และแบ็คดอร์ ทั้งในไฟล์และฐานข้อมูล เรานับจากเว็บไซต์สุดท้ายเพื่อคัดแยกข้าวสาลีออกจากแกลบ และเด็กผู้ชายทำมัน
ปลั๊กอินแต่ละตัวถูกใช้งานเป็นเวลา 45 วัน เราทดสอบเครื่องสแกน เครื่องทำความสะอาด ไฟร์วอลล์ การป้องกันแรงเดรัจฉาน—ผลงาน ในตอนท้าย ข้อสรุปก็ชัดเจน MalCare ชนะในทุกกรณี
คำถามสำหรับชุดบทความนี้ง่ายมาก:ปลั๊กอินความปลอดภัยใดที่รับประกันว่าจะปกป้องเว็บไซต์ WordPress จากแฮกเกอร์ คำตอบนั้นชัดเจน:MalCare
สรุปการเปรียบเทียบความปลอดภัยของ iThemes กับ Sucuri
iThemes Security เป็นยาหลอกของปลั๊กอินความปลอดภัย WordPress คุณคิดว่าเว็บไซต์ของคุณปลอดภัยจากแฮกเกอร์ แต่สิ่งที่ป้องกันได้จริงคือความคิดที่ปรารถนาและความรู้สึกในเชิงบวก Sucuri นั้นดีกว่าอย่างไม่ต้องสงสัย แต่ดีกว่านั้นเป็นคำที่สัมพันธ์กัน มันไม่ใช่ปลั๊กอินความปลอดภัยที่ยอดเยี่ยม
สรุปความปลอดภัยของ iThemes
สิ่งสำคัญที่สุดคือ iThemes ไม่ได้ปกป้องเว็บไซต์ของคุณ เราขอแนะนำอย่างยิ่งให้ข้าม iThemes ไปพร้อมกัน หากคุณกำลังพิจารณาว่ามันเพื่อความปลอดภัยของ WordPress และหากคุณติดตั้งแล้ว โปรดสแกนเว็บไซต์ของคุณทันที เว็บไซต์ของคุณไม่มีการรักษาความปลอดภัย
ความประทับใจครั้งแรกของเราที่มีต่อ iThemes นั้นดีจริง ๆ เว็บไซต์พูดถึงเกมที่ยอดเยี่ยมและปลูกฝังความมั่นใจเนื่องจากวิธีการที่เชื่อถือได้ซึ่งพวกเขาพูดถึงความปลอดภัยของ WordPress ข้อบกพร่องเดียวที่เราเห็นคือคุณไม่สามารถใช้ปลั๊กอินเพื่อล้างมัลแวร์ได้ ไม่เหมาะ แต่ก็ยังสามารถใช้เป็นเครื่องสแกนได้
หรืออย่างที่เราคิด
เครื่องสแกน iThemes ตรวจไม่พบมัลแวร์ เลย เราเสี่ยงที่จะเดาได้ว่าเครื่องไม่สแกนไฟล์และข้อมูลด้วยซ้ำ เพราะการสแกนจะเสร็จสิ้นภายในไม่กี่วินาที สิ่งที่ 'เครื่องสแกน' ของ iThemes ทำคือตรวจสอบรายงานเพื่อความโปร่งใสของ Google เพื่อดูว่าเว็บไซต์ของคุณอยู่ในรายการนั้นหรือไม่ เราไม่ต้องการปลั๊กอินความปลอดภัยในการทำเช่นนั้น เรากลับไปตรวจสอบเว็บไซต์ และต้องตกตะลึงเมื่อสังเกตว่าฟีเจอร์ไม่ได้ระบุอย่างชัดเจนว่าสแกนหามัลแวร์ มันบอกว่าการตรวจจับมัลแวร์เป็นหนึ่งในขั้นตอนสำคัญในการรักษาความปลอดภัย WordPress นั่นเป็นการพูดสองครั้งถ้าเราเคยเห็นมัน
เราถูกล่อลวงให้ตัดการทดสอบ iThemes ว่าไม่มีประโยชน์ แต่ยังคงดำเนินต่อไปเพื่อความยุติธรรม
ปลั๊กอินมีคุณสมบัติการตรวจสอบสิทธิ์แบบสองปัจจัยซึ่งคุณสามารถเปิดใช้งานได้ในหน้าเข้าสู่ระบบของคุณ นอกจากนี้ยังมีคุณสมบัติการชุบแข็งที่ดี เช่น การบล็อกการทำงานของ PHP ในโฟลเดอร์ ต้องบอกว่าการป้องกันการเข้าสู่ระบบแบบเดรัจฉานใช้งานได้ในบางครั้งเท่านั้น เครื่องหมายสีดำอีกอันบนปลั๊กอิน
ประเด็นสำคัญจากการใช้ iThemes ของเราคือคุณลักษณะเฉพาะของค่าความปลอดภัยใด ๆ คือการตรวจสอบสิทธิ์แบบสองปัจจัยและการใช้งาน reCAPTCHA ที่ง่ายดายบน wp-login คุณลักษณะทั้งสองนี้ไม่รับประกันการเรียกเก็บเงิน 199 ดอลลาร์ เนื่องจากมีปลั๊กอินความปลอดภัยที่ดีกว่าที่จะนำเสนอคุณลักษณะเดียวกัน นอกเหนือจากการรักษาความปลอดภัยจริงบางอย่าง
การทดสอบ iThemes เป็นประสบการณ์ที่แย่มาก เพราะเราไม่สามารถจินตนาการถึงจำนวนเว็บไซต์ที่เชื่อว่าได้รับการปกป้องด้วยการรักษาความปลอดภัยที่ไม่มีอยู่จริง อันที่จริง ผู้ใช้ iThemes คุณควรสแกนเว็บไซต์ของคุณทันที
สรุปซูคิวริ
Sucuri มีไฟร์วอลล์ที่ดีและบริการกำจัดมัลแวร์ที่ยอดเยี่ยม แต่ล้มเหลวอย่างน่าทึ่งในฐานะเครื่องสแกนมัลแวร์ หากคุณไม่ทราบว่าเว็บไซต์ของคุณมีมัลแวร์ ไม่มีทางที่จะกำจัดมันได้ นี่เป็นส่วนที่ไม่สามารถต่อรองได้ของปลั๊กอินความปลอดภัย
เมื่อเราเริ่มทดสอบ Sucuri เราคาดหวังอย่างมากจากมัน เป็นหนึ่งในปลั๊กอินความปลอดภัยที่ได้รับความนิยมมากที่สุดสำหรับ WordPress และเรารู้สึกทึ่งเมื่อเห็นว่าเครื่องสแกนไม่สามารถตรวจจับมัลแวร์ใด ๆ ในเว็บไซต์ทดสอบที่ถูกแฮ็กได้ เราจะพูดถึงรายละเอียดเพิ่มเติมในหัวข้อต่อไป แต่สิ่งนี้เป็นตัวกำหนดขั้นตอนการทดสอบทั้งหมดของเรา
นอกจากความล้มเหลวแล้ว การสแกนเองยังใช้เวลานานกว่าจะเสร็จสมบูรณ์และใช้ทรัพยากรเซิร์ฟเวอร์ของเราในการดำเนินการ Sucuri เองไม่สนับสนุนการสแกนมากเกินไปเนื่องจากผลกระทบต่อประสิทธิภาพของเว็บไซต์ การแลกเปลี่ยนระหว่างประสิทธิภาพและความปลอดภัยเป็นเรื่องที่แย่มาก และไม่ควรเป็นเช่นนั้น
การย้ายไปยังบริการกำจัดไฟร์วอลล์และมัลแวร์ Sucuri ทำได้ดี ไฟร์วอลล์นั้นกำหนดค่าได้ยากมาก และเราใช้เวลานานมากในการกำหนดค่านั้น แต่มันปิดกั้นการโจมตีที่เราพยายามทำ และเราไม่สามารถใช้ประโยชน์จากช่องโหว่ใดๆ ได้
บริการกำจัดมัลแวร์เป็นจุดเด่นของประสบการณ์การทดสอบของเรา แม้ว่าเครื่องสแกนจะทำให้เว็บไซต์ที่ถูกแฮ็กของเรามีสุขภาพที่ดี แต่เราก็รู้ว่ามันเต็มไปด้วยมัลแวร์ ก่อนอื่น เราใส่มัลแวร์ไว้ที่นั่น และการสแกน MalCare ครั้งที่สองก็ยืนยันการวินิจฉัยนี้ ทีม Sucuri ลบทุกร่องรอยของมัลแวร์ออกจากไซต์ของเรา และผลลัพธ์ที่ได้ก็สะอาดสะอ้าน มหัศจรรย์! เชอร์รี่บนเค้กนี้คือคุณสามารถมีคำขอลบมัลแวร์ได้ไม่จำกัดซึ่งเป็นส่วนหนึ่งของแผนของคุณ ซึ่งถือว่าดีมาก
นอกเหนือจากไฟร์วอลล์แล้ว การตั้งค่ายังคลุมเครือมาก เราพบว่าตัวเองงงกับศัพท์แสงที่ใช้มากมาย และนั่นคือความเชี่ยวชาญด้านความปลอดภัยของ WordPress อินเทอร์เฟซไม่เป็นมิตรกับผู้ใช้ และเรามั่นใจว่าหลาย ๆ คนจะพบว่ามันน่าตกใจโดยไม่จำเป็น ลบจุดสำหรับ Sucuri ที่นั่น
โดยรวมแล้ว เราไม่คิดว่า Sucuri เป็นโซลูชันด้านความปลอดภัยที่ดีที่สุดสำหรับเว็บไซต์ WordPress เกียรตินั้นตกเป็นของ MalCare เพราะเครื่องสแกนที่ทำงานทุกครั้ง MalCare ยังได้รับคะแนนโบนัสไม่ทำให้เรารู้สึกไม่ชัด
วิธีเลือกปลั๊กอินความปลอดภัยที่เหมาะสมสำหรับเว็บไซต์ WordPress ของคุณ
ความปลอดภัยสำหรับเว็บไซต์ WordPress ของคุณไม่สามารถต่อรองได้ มัลแวร์สามารถสร้างความสูญเสียให้กับธุรกิจได้นับไม่ถ้วน:สูญเสียรายได้ คดีฟ้องร้อง ค่าใช้จ่ายในการล้างข้อมูล ผลกระทบต่อการสร้างแบรนด์ การสูญเสียการเข้าชมที่เกิดขึ้นเอง และอื่นๆ อีกมากมาย การลงทุนในปลั๊กอินที่เหมาะสมจะช่วยคุณประหยัดจากแฮกเกอร์และมัลแวร์ และปัญหาที่มัลแวร์ทิ้งไว้
คำถามคือ คุณจะเลือกปลั๊กอินความปลอดภัยที่มีประสิทธิภาพสำหรับเว็บไซต์ของคุณได้อย่างไร
เมื่อเราตั้งค่าการทดสอบ มีหลายปัจจัยที่ต้องพิจารณา:ความปลอดภัย แต่ความสะดวกในการใช้งานและความคุ้มค่าด้วยเช่นกัน อย่างไรก็ตาม ในไม่ช้า เราก็ตระหนักว่าปัจจัยทั้งหมดนอกเหนือจากความปลอดภัยนั้นไร้ความหมาย เพราะควรพิจารณาเพียงว่าปลั๊กอินมีประสิทธิภาพด้านความปลอดภัยเพียงใด
ต่อไปนี้เป็นปัจจัยที่ควรพิจารณาเมื่อเลือกปลั๊กอินความปลอดภัย
- คุณสมบัติความปลอดภัยที่สำคัญ
- การสแกนมัลแวร์
- การทำความสะอาดมัลแวร์
- ไฟร์วอลล์
- คุณสมบัติด้านความปลอดภัยที่ดี
- การตรวจจับช่องโหว่
- การป้องกันการเข้าสู่ระบบด้วยกำลังดุร้าย
- บันทึกกิจกรรม
- การตรวจสอบสิทธิ์แบบสองปัจจัย
- ปัญหาที่อาจเกิดขึ้น
- ผลกระทบต่อทรัพยากรเซิร์ฟเวอร์
ดังที่คุณเห็นจากรายการ มีเพียง 3 ปัจจัยเท่านั้นที่จำเป็นอย่างยิ่ง MalCare เอซในทั้งหมด 3:การสแกนและทำความสะอาดมัลแวร์ที่ปลั๊กอินอื่นรับประกันว่าจะพลาด และปกป้องเว็บไซต์ของคุณจากการรับส่งข้อมูลที่เป็นอันตรายด้วยไฟร์วอลล์ที่ทรงพลัง นอกจากนี้ MalCare ยังทำได้ดีกว่าปลั๊กอินความปลอดภัยอื่น ๆ ที่มีอยู่ในปัจจุบัน
iThemes Security vs Sucuri:การเปรียบเทียบฟีเจอร์แบบตัวต่อตัว
วิธีที่เราได้จัดวางการเปรียบเทียบนี้คือการใช้คุณลักษณะที่สำคัญที่สุดก่อน จากนั้นจึงหารือเกี่ยวกับการสังเกตอื่นๆ ที่เกิดขึ้นระหว่างการทดสอบ บ่อยครั้ง เราเห็นคุณสมบัติและการตั้งค่าที่ไม่ทำอะไรเลย (เรากำลังพูดถึง iThemes) และยังวาดภาพลวงด้านความปลอดภัยที่ซับซ้อน
การตัดแกลบเพื่อไปหาข้าวสาลีไม่ใช่เรื่องง่าย แต่เราจะนำเสนอข้อมูลทั้งหมดของเราอย่างชัดเจนและยุติธรรมที่สุด
หากคุณต้องการข้ามการฉีกขาดนี้ เราขอแนะนำให้คุณติดตั้ง MalCare
การสแกนมัลแวร์
เครื่องสแกนของ Sucuri ตรวจไม่พบมัลแวร์ใดๆ บนเว็บไซต์ของเรา ตัดสินโดยความเร็วที่สแกนเสร็จ iThemes ไม่ได้สแกนเว็บไซต์ของเราเพื่อหามัลแวร์เลย
เวอร์ชันฟรีและจ่ายเงินของ Sucuri ทั้งคู่มีเครื่องสแกน ดังนั้นเราจึงสนใจที่จะดูว่ามันทำงานแตกต่างกันหรือไม่ เวอร์ชันฟรีขับเคลื่อนโดย Sucuri SiteCheck ซึ่งเป็นยูทิลิตี้ออนไลน์ที่สแกนมัลแวร์ในส่วนที่เปิดเผยต่อสาธารณะในเว็บไซต์ของคุณ แน่นอนว่าสิ่งนี้มีข้อจำกัด ดังนั้น Clean chit จาก SiteCheck จึงไม่รับประกันเว็บไซต์ที่ปราศจากมัลแวร์
แผนชำระเงินมีเครื่องสแกนระดับเซิร์ฟเวอร์ที่คุณต้องติดตั้งลงในเว็บเซิร์ฟเวอร์ของคุณ คุณสามารถทำได้ด้วยตนเอง หรือป้อนรายละเอียด FTP ของคุณลงในแดชบอร์ด Sucuri เพื่อติดตั้งโดยอัตโนมัติ มันเป็นกระบวนการที่ค่อนข้างไม่เจ็บปวด
สแกนเนอร์ถูกตั้งค่าให้ทำงานทุกวัน แต่คุณสามารถสแกนตามต้องการได้ในระดับหนึ่ง คำขอสแกนเพิ่มเติมจะถูกวางลงในคิวและดำเนินการ Sucuri เตือนอย่าใช้การสแกนมากเกินไปเนื่องจากการสแกนใช้ทรัพยากรเซิร์ฟเวอร์
นั่นทำให้เราหยุดชั่วคราวเพราะเราตระหนักว่า Sucuri ใช้ทรัพยากรของเว็บไซต์ของเราเพื่อทำการสแกน ด้วยไซต์ทดสอบของเรา การระบายน้ำไม่รุนแรงเกินไป เนื่องจากไซต์มีขนาดเล็กและไม่มีการเข้าชมจากภายนอก อย่างไรก็ตาม เราเห็นข้อผิดพลาดในการใช้งาน CPU ของเราอย่างแน่นอน เพิ่มเติมในส่วนต่อไป
รุ่นโปรยังไม่ตรวจพบมัลแวร์ใด ๆ บนเว็บไซต์ที่ถูกแฮ็กของเรา สิ่งนี้น่าประหลาดใจเพราะผลการสแกน MalCare ของเราระบุมัลแวร์ได้อย่างชัดเจน ดังนั้นเราจึงยื่นคำขอให้นำออกด้วยตนเอง เมื่อคำขอได้รับการจัดการโดยทีมของ Sucuri แล้ว ไซต์ก็ปรากฏบน MalCare อย่างชัดเจน แต่นั่นเป็นตอนที่เครื่องสแกน Sucuri ติดธงมัลแวร์บนเว็บไซต์ มันแปลกมาก
โชคดีที่ไม่มีปัญหากับเครื่องสแกน iThemes ไม่สแกนหามัลแวร์ บริสุทธิ์และเรียบง่าย เครื่องสแกน iThemes เพียงตรวจสอบว่าเว็บไซต์ของคุณอยู่ในบัญชีดำของ Google หรือไม่ แค่นั้นแหละ. เราไม่แปลกใจเลยที่เห็นว่าไซต์ของเราไม่อยู่ในบัญชีดำ เนื่องจากไม่ได้จัดทำดัชนี
การล้างมัลแวร์
การทำความสะอาดมัลแวร์ไม่ได้อยู่ในรายการคุณสมบัติของ iThemes ดังนั้นจึงไม่สามารถล้างมัลแวร์ได้อย่างชัดเจน Sucuri มีบริการกำจัดมัลแวร์ไม่ จำกัด ซึ่งเป็นส่วนหนึ่งของแผนชำระเงิน เว็บไซต์ของคุณจะได้รับการทำความสะอาดภายใน 6 ถึง 30 ชั่วโมงทั้งนี้ขึ้นอยู่กับแผนของคุณ
แม้ว่าผลการสแกนของ Sucuri จะบอกว่าเว็บไซต์ของเราไม่มีมัลแวร์ แต่เรารู้ชัดเจนว่าไม่ใช่กรณีนี้ มีมัลแวร์อยู่ทุกที่:ในไฟล์และในฐานข้อมูล นอกจากนี้เรายังมีแบ็คดอร์จำนวนมากในนั้นด้วย เครื่องสแกน MalCare ยืนยันว่าไซต์ทดสอบของเราเต็มไปด้วยมัลแวร์
ดังนั้นเราจึงยื่นคำขอลบมัลแวร์กับ Sucuri ซึ่งแสดงให้เห็นชัดเจนว่าเราสงสัยว่ามีมัลแวร์อยู่ในไซต์ หากต้องการส่งคำขอ คุณต้องกรอกแบบฟอร์มและระบุรายละเอียด FTP เพื่อทำความสะอาด แล้วรอดูผล
หมายเหตุด้านข้าง:มีรายการแบบเลื่อนลงที่น่าสนใจในแบบฟอร์มคำขอให้นำออกซึ่งแสดงอาการที่อาจเกิดขึ้นที่คุณอาจพบเห็น นอกจากนี้ เพื่อความสนุกสนานของเรา คุณต้องระบุระดับความสามารถทางเทคนิคของคุณ ดังนั้นเราจึงเลือก:“ไม่มีความชำนาญ โปรดอธิบายทุกอย่างชัดเจน ”
ขอขอบคุณ Sucuri ที่ทีมของพวกเขาได้ลบมัลแวร์ทั้งหมดออกจากไซต์ของเรา นอกจากนี้ แม้ว่าเงื่อนไขแผนของเราจะบอกว่าเราคาดว่าจะได้รับการแก้ไขใน 30 ชั่วโมง แต่เราได้รับการติดต่อกลับภายในเวลาไม่ถึง 10 ชั่วโมง นั่นเป็นการยกนิ้วให้อย่างมากสำหรับบริการกำจัดมัลแวร์ของ Sucuri
เรายืนยันกับ MalCare ว่ามัลแวร์ทั้งหมดถูกลบออก และจากนั้นก็แปลกใจที่เครื่องสแกนของ Sucuri ติดธงว่าไซต์นั้นติดไวรัส—หลังจากที่ทีมของพวกเขาได้ทำความสะอาดแล้ว นั่นเป็นเรื่องแปลก
ในทางกลับกัน iThemes ไม่สามารถล้างมัลแวร์ได้ ดังนั้นจึงไม่มีอะไรต้องทดสอบ โชคดีที่พวกเขาไม่ได้อ้างสิทธิ์ในเว็บไซต์ของตน
ตรงไปตรงมา การล้างมัลแวร์เป็นส่วนที่ยากที่สุดของการรักษาความปลอดภัยของ WordPress และมักจะเป็นสิ่งที่มีราคาสูงที่สุด แผนชำระเงินของ Sucuri มีการล้างข้อมูลไม่จำกัด ซึ่งถือว่ายอดเยี่ยมเพราะหากไม่แก้ไขช่องโหว่ มัลแวร์สามารถเกิดขึ้นซ้ำได้ หากเราพบข้อผิดพลาดกับบริการทำความสะอาด คุณจะต้องรอสักครู่เพื่อแก้ไข ในกรณีของมัลแวร์ เราพบว่าการติดไวรัสเพิ่มขึ้นแบบทวีคูณในช่วงเวลาสั้นๆ ดังนั้นจึงเป็นสาเหตุให้เกิดข้อกังวล
ด้วย MalCare เราสามารถใช้ฟังก์ชันล้างอัตโนมัติเพื่อกำจัดมัลแวร์ในไม่กี่นาที ระหว่างที่รอ Sucuri กลับมา เราก็เห็นคุณค่าของการล้างข้อมูลอย่างรวดเร็วสำหรับเว็บไซต์ที่มีความสำคัญต่อธุรกิจ
ไฟร์วอลล์
ไฟร์วอลล์ของ Sucuri ทำงานและป้องกันการโจมตีที่พบบ่อยที่สุดของเรา iThemes ไม่มีไฟร์วอลล์
ไฟร์วอลล์เป็นองค์ประกอบที่สำคัญในความปลอดภัยของเว็บไซต์ เนื่องจากป้องกันทราฟฟิกที่เป็นอันตรายและป้องกันการบุกรุก เมื่อมาถึงจุดนี้ในบทความนี้ คุณจะไม่แปลกใจเลยที่ได้ยินว่า iThemes ไม่มีไฟร์วอลล์ ทำไมมันจะ? มันล้มเหลวในทุกประการในฐานะปลั๊กอินความปลอดภัย
ในทางกลับกัน Sucuri ปกป้องเว็บไซต์ของเราจากการโจมตีด้วยเวิร์ดเพรส เราทดสอบกับช่องโหว่ต่างๆ เช่น การอัปโหลดไฟล์ที่ไม่จำกัด, XSS และการฉีด SQL ไฟร์วอลล์บล็อกความพยายามทั้งหมดของเราในการใช้ประโยชน์จากช่องโหว่เหล่านี้และอัปโหลดมัลแวร์ไปยังเว็บไซต์ เราไม่สามารถทดสอบการโจมตีที่ซับซ้อนกว่านี้ได้ในทุกด้าน
ดังนั้นไฟร์วอลล์ของ Sucuri จึงใช้งานได้ แต่เราต้องพูดถึงความผิดหวังในการกำหนดค่าไฟร์วอลล์ด้วย วิธีการทำงานของไฟร์วอลล์คือทำหน้าที่เป็นชั้นระหว่างปริมาณข้อมูลขาเข้ากับเว็บไซต์ของคุณ ดังนั้นการเข้าชมทั้งหมดจึงเข้าสู่ไฟร์วอลล์ของ Sucuri ก่อนแล้วจึงเปลี่ยนเส้นทางไปยังเว็บไซต์ของคุณ
อย่างที่คุณสามารถจินตนาการได้ ต้องมีการกำหนดค่าบางอย่าง โดเมนที่คุณใช้สำหรับเว็บไซต์ของคุณต้องชี้ไปที่ Sucuri ก่อน จากนั้นจึงวิเคราะห์การเข้าชม จากนั้นจึงส่งการเข้าชมที่อนุญาตไปยังเว็บไซต์ของคุณ ซึ่งเยี่ยมมาก แต่การตั้งค่าไฟร์วอลล์จะลำบากหากคุณไม่มีความชำนาญด้านเนมเซิร์ฟเวอร์และการกำหนดค่า DNS
โดยรวมแล้ว จะดีกว่าอย่างมากที่จะมีโซลูชันด้านความปลอดภัยที่ใช้งานได้จริง ไม่มีการกำหนดค่าที่ซับซ้อนเพื่อปกป้องเว็บไซต์ของเรา เช่นเดียวกับที่คุณได้รับจาก MalCare
การตรวจจับช่องโหว่
Sucuri ตรวจพบช่องโหว่ส่วนใหญ่บนเว็บไซต์ของเรา แม้ว่าจะไม่ใช่ทั้งหมดก็ตาม ไม่พบ iThemes
หลังจากที่เราเปิดใช้งานเครื่องสแกนฝั่งเซิร์ฟเวอร์แล้ว Sucuri ตรวจพบว่าเรามีปลั๊กอินที่มีช่องโหว่บางตัวติดตั้งอยู่บนเว็บไซต์ ตรวจไม่พบทั้งหมด และคำแนะนำคือเพียงให้อัปเดต
นอกจากนี้ยังมีมุมมองหลังการแฮ็กบน wp-admin ซึ่งแสดงรายการปลั๊กอินและธีมที่ติดตั้งอยู่ในปัจจุบัน เวอร์ชันที่ติดตั้ง และเวอร์ชันล่าสุดที่มี ในคำอธิบายของส่วนนี้ Sucuri กล่าวถึงช่องโหว่ที่เกี่ยวข้องกับความปลอดภัยของเว็บไซต์ และควรปรับปรุงทุกอย่างให้เป็นแนวปฏิบัติที่ดี ไม่น่าเป็นไปได้ที่ทุกคนจะไปถึงที่นั่นผ่านปลั๊กอินเป็นประจำ ดังนั้นเราจึงไม่แน่ใจว่าตำแหน่งนี้จะมีประโยชน์
ในฐานะส่วนหนึ่งของคำขอลบมัลแวร์ Sucuri ยังส่งข้อความถึงเราเพื่อแนะนำให้เราใช้มาตรการเสริมความแข็งแกร่งและอัปเดตปลั๊กอินที่มีช่องโหว่ (2 จาก 3) ของเรา นี่เป็นส่วนหนึ่งของรายการตรวจสอบหลังแฮ็ก
iThemes ไม่ตั้งค่าสถานะช่องโหว่ อย่างไรก็ตาม มีตัวนับที่ไร้ประโยชน์อย่างยิ่งบนแดชบอร์ด ซึ่งระบุว่ามีการอัปเดตจำนวนเท่าใดนับจากเวลาที่ติดตั้งปลั๊กอิน ข้อมูลนี้จะมีประโยชน์อย่างไรเราไม่สามารถเข้าใจได้
การป้องกันการเข้าสู่ระบบด้วยกำลังเดรัจฉาน
Sucuri ควรจะป้องกันการโจมตีด้วยกำลังเดรัจฉานและเตือนคุณ แต่ก็ไม่ทำเช่นกัน iThemes บางครั้งทำ บางครั้งก็ไม่ทำ ยากจะบอกว่าอันไหนแย่กว่ากัน
iThemes บันทึกการพยายามเข้าสู่ระบบที่ไม่ถูกต้องแต่ละครั้งเป็นการโจมตีแบบเดรัจฉาน ซึ่งตรงไปตรงมาน่ากลัวสำหรับผู้ใช้ที่จะเห็น ในกรณีหนึ่ง เราลืมรหัสผ่านอย่างแท้จริง
เมื่อเราลองใช้เดรัจฉานบังคับหน้าเข้าสู่ระบบเราเห็นผลลัพธ์ที่ไม่สม่ำเสมอ iThemes บล็อกความพยายามใน 1 ไซต์ แต่ไม่ใช่อีกไซต์หนึ่ง เราพยายามหาสาเหตุที่ทำให้เกิดความคลาดเคลื่อนนี้ แต่ข้อแตกต่างเพียงอย่างเดียวคือมัลแวร์บนเว็บไซต์ เนื่องจากมัลแวร์มักเป็นผลมาจากการโจมตีด้วยกำลังเดรัจฉานที่ประสบความสำเร็จ เราไม่คิดว่านี่คือเหตุผล ดูเหมือนว่าจะมีจุดบกพร่องที่ทำให้คุณลักษณะนี้ทำงานเป็นระยะๆ ผลก็คือมันไร้สาระ
Sucuri มอบความหวังให้กับเรา เพราะมีชุดตัวเลือกที่ละเอียดสำหรับการโจมตีด้วยกำลังเดรัจฉาน คุณสามารถกำหนดจำนวนครั้งที่ล้มเหลวซึ่งนับเป็นการโจมตีด้วยกำลังเดรัจฉาน เราตั้งค่าให้มีการพยายาม 30 ครั้งต่อชั่วโมง แม้ว่าปกติแล้วการโจมตีด้วยการเข้าสู่ระบบจะเป็น 100 ครั้งต่อนาทีก็ตาม
หลังจากที่ได้เห็นการตั้งค่าทั้งหมดสำหรับการล็อกเอาต์แล้ว เราก็รู้สึกกังวลเล็กน้อยเกี่ยวกับการถูกล็อกไม่ให้ออกจากไซต์ เราได้ปิด MalCare เพื่อให้การป้องกันการเข้าสู่ระบบของ MalCare ไม่ได้บล็อกความพยายาม อย่างไรก็ตาม ไม่มีอะไรเกิดขึ้น เราลองเข้าสู่ระบบที่ไม่ถูกต้องมากกว่า 40 ครั้งใน 3 นาที แต่ Sucuri ก็ไม่แจ้งเตือน ตรวจสอบบันทึกการตรวจสอบแล้วและการตรวจสอบสิทธิ์ที่ล้มเหลวจะปรากฏขึ้น แต่ไม่มีการแจ้งเตือน ไม่มีการล็อกเอาต์ ไม่มีอะไร
บันทึกกิจกรรม
iThemes มีคุณสมบัติบันทึกกิจกรรมที่ไม่สมบูรณ์ Sucuri มีดี แต่ปิดบังได้
Sucuri มีคุณลักษณะที่เรียกว่าบันทึกการตรวจสอบ ซึ่งติดตามการดำเนินการทั้งหมดจากผู้ใช้ ปลั๊กอิน และธีม คุณลักษณะนี้ทำงานได้ตามที่คาดไว้ อย่างไรก็ตาม การตั้งค่าอย่างใดอย่างหนึ่งทำให้เราหยุดชั่วคราว คุณต้องมีคีย์ API เพื่อ "ป้องกันไม่ให้ผู้โจมตีลบบันทึก" โดยพื้นฐานแล้วสิ่งนี้อนุญาตให้ Sucuri รวบรวมและจัดเก็บข้อมูลเกี่ยวกับเว็บไซต์นอกไซต์ ซึ่งก็ใช้ได้ แต่ภาษาที่พวกเขาใช้นั้นไม่ค่อยจะพูดเลย เพิ่มเติมเกี่ยวกับสิ่งนั้นในส่วนการใช้งาน
แม้ว่าบันทึกจะทำงานเหมือน บันทึก และรวบรวมการประทับเวลา ผู้ใช้ และการดำเนินการ แต่ก็อาจคลุมเครือได้ ตัวอย่างเช่น เราติดตั้งปลั๊กอินใหม่ซึ่งจะแสดงขึ้นเมื่อเปิดใช้งานปลั๊กอิน จนถึงตอนนี้ดีมาก และมีอีก 7 รายการในบันทึกซึ่งแสดงว่าการติดตั้งได้รับผลกระทบอย่างไร แต่มีคำอธิบายเล็กน้อยว่ารายการเหล่านี้หมายถึงอะไร ไฟล์หรือโฟลเดอร์เหล่านี้มีการเปลี่ยนแปลงหรือไม่ ไม่ เรารู้ในภายหลังว่าปลั๊กอินเฉพาะนี้ ซึ่งเป็นปลั๊กอินแกลเลอรี ได้เปลี่ยนเทมเพลตสำหรับโพสต์ มีเหตุผล แต่การเปิดเผยไม่ได้มาจาก Sucuri
บันทึกกิจกรรมเป็นส่วนสำคัญของชุดเครื่องมือรักษาความปลอดภัยเว็บไซต์ของคุณ แฮกเกอร์ใช้ประโยชน์จากการบันทึกที่ไม่เพียงพอในการโจมตีไซต์ ดังนั้นคุณควรถือเอาบันทึกที่เชื่อถือได้ซึ่งคุณสามารถเชื่อถือได้เพื่อแบ่งปันข้อมูลที่ถูกต้องเกี่ยวกับเว็บไซต์ของคุณ
โดยทั่วไป ไม่เหมือน iThemes ที่มี บันทึกกิจกรรมที่นี่มีข้อมูลที่เป็นประโยชน์ เช่น กิจกรรมของผู้ใช้ การจัดการเวอร์ชัน การสแกนไซต์ และการโจมตีแบบเดรัจฉาน ไม่มีอะไรเกี่ยวกับปลั๊กอินหรือธีม มีคุณลักษณะแยกต่างหากที่จะส่งอีเมลรายงานการเปลี่ยนแปลงไฟล์ให้คุณทุกวันเช่นกัน สรุปแล้ว บันทึกไม่เพียงพอเนื่องจากไม่ได้วาดภาพเว็บไซต์ของคุณอย่างถูกต้อง
การรับรองความถูกต้องด้วยสองปัจจัย
iThemes มีคุณสมบัติการตรวจสอบสิทธิ์แบบสองปัจจัยที่ยอดเยี่ยมซึ่งใช้งานได้ทันที ซูคูริไม่ได้
หลังจากทิ้ง iThemes ในบทความนี้และบทความอื่นๆ ที่คล้ายกันในซีรีส์นี้ เรายินดีที่จะรายงานว่านี่เป็นหนึ่งในฟีเจอร์ความปลอดภัยเดียวที่ใช้งานได้จริงบน iThemes—และทำงานได้ดีทีเดียว
คุณลักษณะการตรวจสอบสิทธิ์แบบสองปัจจัยบน iThemes นั้นแข็งแกร่งมาก มีการปรับแต่งมากมายและใช้งานได้ทันทีโดยไม่ต้องยุ่งยาก ปลั๊กอินยังช่วยบังคับใช้รหัสผ่านที่คาดเดายาก ซึ่งเราสนับสนุนอย่างยิ่ง
ข้อกังวลเดียวของเราที่นี่คือ iThemes รุ่นโปรมีการตั้งค่ามากมายที่จะลบโทเค็นการเข้าสู่ระบบออกเพื่อให้ใช้งานง่าย:การเข้าสู่ระบบแบบไม่ใช้รหัสผ่าน อุปกรณ์ที่เชื่อถือได้ ลิงก์มายากล และอื่นๆ แม้ว่าสิ่งเหล่านี้จะมีประโยชน์ในการทำให้กระบวนการเข้าสู่ระบบราบรื่น แต่ก็ขัดต่อวัตถุประสงค์ของการตรวจสอบสิทธิ์แบบสองปัจจัย
เรามองหาการรับรองความถูกต้องด้วยสองปัจจัยเมื่อเราทดสอบ Sucuri เราพบว่ามีอยู่ในแดชบอร์ดของ Sucuri อย่างไรก็ตาม เราทั้งคู่รู้สึกขบขันและงุนงงเมื่อตระหนักว่าการรับรองความถูกต้องด้วยสองปัจจัยมีให้สำหรับบัญชี Sucuri ของคุณ ไม่ใช่สำหรับเว็บไซต์ WordPress ของคุณ
การใช้ทรัพยากรเซิร์ฟเวอร์
iThemes จะไม่ระบายทรัพยากรเซิร์ฟเวอร์ของคุณเลย เพราะมันไม่ได้ทำอะไรเลย Sucuri จะทำลายประสิทธิภาพเว็บไซต์ของคุณด้วยการสแกน
ที่น่าสนใจคือ ผู้คนมักไม่ถามเราเกี่ยวกับทรัพยากรเซิร์ฟเวอร์ในบริบทของการรักษาความปลอดภัย แต่ในอุดมคติแล้ว คุณต้องการให้เว็บไซต์ของคุณได้รับการปกป้องและไม่ช้าในการรวบรวมข้อมูลในกระบวนการ เครื่องสแกนของ Sucuri จะทำอย่างนั้นกับเว็บไซต์ของคุณ
Sucuri สแกนอ้างว่าใช้ทรัพยากรเซิร์ฟเวอร์ของเว็บไซต์ทันที อันที่จริง ดูเหมือนว่าพวกเขาจะกีดกันการสแกนบ่อยๆ ด้วยเหตุผลดังกล่าว ตรงไปตรงมานี้แย่มาก ทำไมทุกคนต้องเลือกระหว่างประสิทธิภาพและค่าเซิร์ฟเวอร์ที่เหมาะสมในด้านหนึ่งและความปลอดภัยอีกด้านหนึ่ง? พวกเขาไม่ได้ล้อเล่น มีทรัพยากรเซิร์ฟเวอร์เพิ่มขึ้นอย่างมากทันทีที่เราติดตั้ง Sucuri จากนั้นทำการสแกนครั้งที่สอง หากไซต์เล็กเห็นความแตกต่างได้ชัดเจน ไซต์ขนาดใหญ่จะมีค่ามากกว่านั้นมาก
นอกจากนี้ ในการตั้งค่าทั่วไปบนแดชบอร์ด ยังมีการตั้งค่าสำหรับการจัดเก็บข้อมูลซึ่งบ่งชี้ว่า Sucuri จัดเก็บข้อมูลจำนวนมาก (บันทึกส่วนใหญ่เป็นลักษณะที่ปรากฏ) บนเว็บไซต์ นี่อาจเป็นสาเหตุที่จำเป็นต้องใช้คีย์ API เนื่องจากคีย์นี้จะอยู่ในโฟลเดอร์อัปโหลดโดยค่าเริ่มต้น ซึ่งเป็นโฟลเดอร์ที่เข้าถึงได้แบบสาธารณะ มีตัวเลือกในการเปลี่ยนที่เก็บข้อมูลเป็นโฟลเดอร์ที่ไม่สามารถเข้าถึงได้โดยสาธารณะ แต่นั่นควรเป็นค่าเริ่มต้นเริ่มต้น
iThemes จะไม่ระบายทรัพยากรเซิร์ฟเวอร์ของคุณ เป็นไปได้อย่างไรในเมื่อมันไม่ทำอะไรเลย
การแจ้งเตือน
iThemes จะไม่แจ้งเตือนคุณในสิ่งใด Sucuri ทำได้ แต่คุณต้องระมัดระวังเกี่ยวกับการแจ้งเตือนที่คุณต้องการรับ กล่องจดหมายของคุณสามารถเติมได้ภายในไม่กี่ชั่วโมง
Sucuri ให้คุณตั้งค่าการแจ้งเตือนเพื่อส่งไปยังบุคคลที่ต้องการ ปรับแต่งรูปแบบของการแจ้งเตือน และอื่นๆ อีกมากมาย คุณยังสามารถเพิ่มช่วงที่อยู่ IP เพื่อที่ที่อยู่เหล่านั้นจะไม่ถูกตั้งค่าสถานะสำหรับการแจ้งเตือน ได้รับการเตือนสำหรับคำอธิบายที่เต็มไปด้วยศัพท์แสงแม้ว่า 'การกำหนดเส้นทางระหว่างโดเมนแบบไม่มีคลาส . คืออะไร ’ ? เราไม่อยากรู้ แค่อยากปกป้องเว็บไซต์
เมื่อพิจารณาจากการตั้งค่าแบบละเอียดสำหรับการแจ้งเตือน ดูเหมือนว่า Sucuri จะตระหนักดีว่าพวกเขาอาจส่งการแจ้งเตือนมากเกินไป มีการตั้งค่าให้กำหนดค่าการแจ้งเตือนสูงสุดที่ได้รับในหนึ่งชั่วโมง พูดได้ถึง 5 อีเมล ปัญหาคือ สมมติว่า 5 ตัวแรกมีผลบวกลวง และตัวที่ 6 ไม่ใช่ มีข้อจำกัดความรับผิดชอบ—แต่อีกครั้ง—ดีกว่าที่จะมีข้อมูลจริงเทียบกับคุณสมบัติที่ไร้ประโยชน์ Takeaway ของเราที่นี่คือผู้ดูแลระบบคนใดจะไม่ไปดูป่าเพื่อต้นไม้ มีเสียงรบกวนมากเกินไป
น่าแปลกที่เรายังคงตรวจสอบ iThemes โดยไม่ยอมแพ้เพราะเหตุที่สูญหาย iThemes ส่งรายงานแจ้งการเปลี่ยนแปลงไฟล์ การสำรองข้อมูลฐานข้อมูล และการยืนยันอื่นๆ เกี่ยวกับการตั้งค่าของเรา เรายังสมัครรับข้อมูลสรุปความปลอดภัยรายวันเกี่ยวกับเว็บไซต์ของเรา และรายงานช่องโหว่สัปดาห์ละครั้ง สันนิษฐานว่าเพื่อให้เราสามารถตรวจสอบสิ่งเหล่านั้นกับเว็บไซต์ของเราได้ ไม่ดีพอสำหรับไซต์เดียว หากมีไซต์มากขึ้นก็อาจหลุดมือไปโดยสิ้นเชิง
การติดตั้ง การกำหนดค่า และการใช้งาน
การติดตั้ง iThemes นั้นยากอย่างน่าประหลาดใจ เนื่องจากตัวเลือกการกำหนดค่าที่สับสน Sucuri ค่อนข้างตรงไปตรงมา แต่ตัวเลือกการกำหนดค่าในปลั๊กอินนั้นน่ากลัวมาก
iThemes เป็นปลั๊กอินตัวแรกที่เราทดสอบ ดังนั้นในตอนแรกจึงดูเหมือนง่าย นอกจากนี้ยังตั้งค่าแถบสำหรับการตั้งค่าที่ไร้ประโยชน์ที่สุด คุณต้องผ่านการกำหนดค่าจึงจะสามารถสร้างแดชบอร์ดความปลอดภัยได้ เราผ่านการตั้งค่าแต่ละอย่างแล้ว แต่ไม่มีการตั้งค่าใดที่มีผลกระทบต่อความปลอดภัยอย่างแท้จริง เราจึงตั้งค่าแบบสุ่มและปล่อยทิ้งไว้อย่างนั้น
Sucuri ติดตั้งโดยไม่ยุ่งยากและปลั๊กอินตั้งค่าเป็นส่วนใหญ่ เราต้องสร้างบัญชีกับ Sucuri เพื่อเข้าถึงคุณสมบัติแบบชำระเงิน นอกจากนี้ ยังควรสังเกตว่าในการติดตั้งเครื่องสแกนฝั่งเซิร์ฟเวอร์ คุณต้องใช้แดชบอร์ดภายนอกของ Sucuri ไม่ยากหากคุณมีรายละเอียด FTP พร้อมใช้งาน แม้ว่าเราจะไม่เห็นประเด็นมากนักเนื่องจากไม่พบมัลแวร์ใดๆ
แดชบอร์ด iThemes บน wp-admin ของคุณมีเสียงรบกวน ไม่มีข้อมูลที่เกี่ยวข้องกับความปลอดภัยที่เกี่ยวข้อง
แดชบอร์ดและการตั้งค่าของ Sucuri นั้นซับซ้อนมาก เราใช้เวลาหลายชั่วโมงในการค้นหาความหมายของคำศัพท์ทางเทคนิคที่พวกเขาใช้ ในบางกรณี ปลั๊กอินจะบอกคุณถึงการตั้งค่าที่แนะนำ ดังนั้นผู้ใช้จึงทำงานอย่างเชื่องช้า ปัญหาเดียวคือ Sucuri ไม่ได้สร้างแรงบันดาลใจให้คนตาบอดเพราะเครื่องสแกนมัลแวร์ไม่ทำงาน!
เราหวังว่าปลั๊กอินนี้จะเข้าใจง่ายขึ้น มันดูซับซ้อนมากและดูเหมือนจะทำสิ่งต่างๆ มากมาย แต่เราไม่แน่ใจเพราะบางสิ่งที่เรารู้ว่ามีความสำคัญ เช่น การป้องกันกำลังเดรัจฉาน ดูเหมือนจะไม่ทำงาน
ต้องเปิดใช้งานไฟร์วอลล์และสแกนเนอร์ฝั่งเซิร์ฟเวอร์แยกต่างหาก เราใช้เวลามากกว่าหนึ่งสัปดาห์ในการค้นหาปลั๊กอินนี้กับ 3 เว็บไซต์ เราตัวสั่นเมื่อคิดว่าจะเกิดอะไรขึ้นกับคนที่ได้รับการจัดการมากกว่านี้ มันน่าเบื่อมากที่จะตั้งค่า
เราต้องการย้ำว่าการตั้งค่านี้ยากต่อความเข้าใจสำหรับผู้ใช้ที่ไม่ใช่เทคโนโลยี เราไม่ทราบว่ามีบางอย่างที่เรียกว่าซอฟต์แวร์วิเคราะห์บันทึก นอกจากนี้เรายังเห็นข้อความที่น่าสนใจสำหรับ reverse proxy ซึ่ง Sucuri บอกเราว่าไม่ต้องกังวลกับตัวเลือกนี้ เว้นแต่เราจะรู้ว่ามันคืออะไร ขอบคุณสำหรับความสับสนกับด้านของความอ่อนน้อมถ่อมตน
iThemes:พิเศษ
มีฟีเจอร์รายการที่อนุญาตพิเศษที่ซับซ้อนมากใน iThemes ซึ่งน่าประหลาดใจจนเราตระหนักว่ามีการร้องเรียนเกี่ยวกับการล็อกไซต์มากเกินไปที่เราเคยเห็น มีปัญหาสองประการกับสิ่งนี้:หนึ่งคือ IP ของอุปกรณ์เปลี่ยนไป ดังนั้นการอนุญาต IP ของคุณจึงไม่เป็นการป้องกันมากเท่าที่คุณคิด และสอง เราพยายามทำทุกวิถีทางเพื่อให้เกิดการล็อกเอาต์ แต่มันไม่ได้เกิดขึ้น
การตรวจสอบการเปลี่ยนแปลงไฟล์เป็นอีกหนึ่งคุณลักษณะที่ฟังดูเป็นความคิดที่ดี เว้นแต่คุณจะรู้อะไรเกี่ยวกับความปลอดภัย แฮกเกอร์สามารถเปลี่ยนการประทับเวลาของไฟล์ได้ แม้จะดูเหมือนว่าไฟล์นั้นไม่ได้ถูกแก้ไขมาหลายปีแล้วก็ตาม นอกจากนี้ยังมีรายการยกเว้นประเภทไฟล์สำหรับจอภาพนี้ ตรงไปตรงมา นี่แสดงให้เห็นว่าขาดความเข้าใจในมัลแวร์ มัลแวร์สามารถซ่อนในไฟล์ใดก็ได้ รวมถึงไฟล์ .ico เป็นต้น
iThemes มีระบบจัดการรหัสผ่านที่ดี คุณสามารถบังคับใช้รหัสผ่านที่รัดกุมและปฏิเสธที่จะอนุญาตรหัสผ่านที่ถูกบุกรุก นอกจากนี้ยังสามารถตั้งรหัสผ่านแอปพลิเคชันสำหรับ XML-RPC ได้หากคุณเลือก
สุดท้ายนี้ iThemes มีฟีเจอร์เสริมบางอย่าง ซึ่งส่วนใหญ่เราไม่แนะนำเลย สิ่งเดียวที่เหมาะสมคือการบล็อกการทำงานของ PHP ในโฟลเดอร์อัพโหลด เพื่อป้องกันการโจมตีของมัลแวร์บางประเภท ส่วนอื่น ๆ เราแนะนำให้เพิกเฉยทั้งหมด
Sucuri:อาหารเสริม
แดชบอร์ดของ Sucuri บน wp-admin ดูน่าประทับใจมาก แต่ทันทีที่เราเห็นว่ากล่องข้อมูลที่ใหญ่ที่สุดคือความสมบูรณ์ของ WordPress หวังว่านี่เป็นเพียงเวอร์ชันฟรีที่เรากำลังใช้อยู่เท่านั้น เนื่องจากเป็นเวอร์ชันที่ปรับแต่งแล้วของการตรวจสอบการเปลี่ยนแปลงไฟล์สำหรับไฟล์หลักของ WordPress
ในบางกรณี เราอาจเห็นว่ามีประโยชน์เมื่อพิจารณาจากมัลแวร์จำนวนมากที่เข้ามาในไฟล์หลัก ในทางกลับกัน เราสามารถเห็นได้ว่าอาจเป็นอันตรายได้ เพราะคนที่ไม่มีประสบการณ์อาจเชื่อว่านั่นคือขอบเขตของมัลแวร์ซึ่งเป็นความคิดที่น่ากลัว ที่น่าตลกคือ ไฟล์ความสมบูรณ์ของ wordpress 2 ใน 3 ไฟล์ที่ถูกตั้งค่าสถานะนั้นมาจาก MalCare:ตัวเชื่อมต่อฉุกเฉินและไฟร์วอลล์
ในการตั้งค่าที่ลึกกว่านั้น มียูทิลิตี้ความแตกต่างด้านความสมบูรณ์เพื่อเปรียบเทียบไฟล์หลักและค้นหาความแตกต่าง นี้อาจใช้ง่ายกว่ายูทิลิตี้ diffchecker ออนไลน์
มีตัวเลือกการชุบแข็งจำนวนมาก:บางตัวมีประโยชน์ บางตัวไม่มากนัก เราชอบที่สามารถบล็อก PHP ในโฟลเดอร์อัปโหลด ไฟร์วอลล์ และเปิดใช้งานการอัปเดตคีย์ลับอัตโนมัติ ซึ่งจะเปลี่ยนเกลือของเวิร์ดเพรส
อย่างไรก็ตาม การตรวจสอบเวอร์ชันของ WordPress, การลบเวอร์ชันของ WordPress, การหลีกเลี่ยงการรั่วไหลของข้อมูล (ลบไฟล์ readme ที่ WordPress สร้างขึ้นใหม่) และการตรวจสอบบัญชีผู้ดูแลระบบเริ่มต้นนั้นเป็นคุณสมบัติที่งี่เง่าและมีผลกระทบด้านความปลอดภัยเพียงเล็กน้อย ตรงไปตรงมา อุตสาหกรรมความปลอดภัยทั้งหมดได้เปลี่ยนจากเทคนิคเหล่านี้
หากคุณเลือกที่จะปิดการใช้งานปลั๊กอินและตัวแก้ไขธีม คุณจะพบว่าการอัปเดตนั้นทำได้ยาก โดยมีข้อแม้เกี่ยวกับปลั๊กอินและธีมบางตัวที่จำเป็นต้องเข้าถึงไฟล์ PHP ในโฟลเดอร์เหล่านี้ นี้ไม่เพียงพอ Case in point:Sucuri themselves save PHP files in the uploads folder. Do they not want access to their own files from their external dashboard? Or is that an exception to the rule? In which case, the rule seems flexible in ways that are hidden from the user.
We were interested to check out the post-hack feature on the wp-admin dashboard. After cleaning, you want to make sure you do everything to protect your website from future hacks. We liked the idea, until we looked a little further.
You can update secret keys—change wordpress salts—from the dashboard. The only problem with this is that it is in plaintext, visible to every admin logged into wp-admin. If a hacker has an account with admin access, this is ridiculously dangerous. This feature only makes sense if a user has verified that none of the admin accounts are compromised, and then changes the salts. A point which is not mentioned anywhere.
You can reset user passwords. Again, a seemingly good feature until you read the fine print:“Select users from the list in order to change their passwords, terminate their sessions and email them a password reset link. Please be aware that the plugin will change the passwords before sending the emails, meaning that if your web server is unable to send emails, your users will be locked out of the site.”
There is a place to see available plugin and theme updates, which is basic version management. It doesn’t add anything to the existing admin dashboard functionality. However, it may serve to educate people that outdated plugins and themes are connected to security.
What’s missing from iThemes Security and Sucuri
iThemes doesn’t have a firewall, which is a serious lacuna for your WordPress security. Firewalls protect sites from certain types of attacks, and are invaluable if your website has vulnerabilities.
Sucuri’s malware scanner is not adequate. So, even though the malware removal service is great, you have to guess that there is malware on your website because the scanner is not going to flag it.
iThemes Security vs Sucuri:Pricing
Sucuri’s Basic Platform plan at $199.99 a year per site is a good deal for unlimited malware removal services. However, considering it is supposed to have a working scanner as well, that’s all your sub will get for you. iThemes is not worth anything. Just don’t bother.
We’ve made our opinion about iThemes abundantly clear in this article. The only feature worth mentioning in iThemes is the two-factor authentication, which is available on the free plan. We definitely do not recommend the Pro plan.
Sucuri’s pricing is a steal for a malware removal service, but the fly in the ointment is the scanner. If you don’t know you have malware, you can’t submit a request for removal.
Better alternative to iThemes Security and Sucuri:MalCare
Invest in a good security plugin that will scan, clean and protect your website from hackers. Of all the plugins we tested for this series, MalCare stands out as the best option. MalCare trumps iThemes in, well, everything, and scans for malware better than Sucuri.
In fact MalCare’s $99 Basic plan is better than Sucuri’s $199.99 Basic Platform plan, with instant malware removal as well. It also includes unlimited cleanups
บทสรุป
The security of your website is of paramount importance. We’ve seen many customers skimp out on a security plugin, only to face devastating losses after a hack. One customer gave up after a point, and decided to rebuild his website from scratch. Malware is expensive, MalCare is not.
Did the article help you make a decision? We’d love to know! Do drop us a line.
