Wordfence vs Sucuri: WordPress安全防护插件对比评测
对于许多WordPress用户来说,向他们的网站添加安全强化功能归结为Wordfence和Sucuri之间的选择。虽然还有许多其他选择,但这两个最为受欢迎,因此有必要了解它们在正面比较中方方面面的优劣势。在本文中,我们将看看WordPress安全插件的免费和高级产品,以帮助站长们选择更合适自己网站的选项。
Wordfence vs Sucuri
一直比较这两个安全插件非常有趣,因为它们确实提供了完全不同的服务,至少对免费用户而言是这样。两者的免费用户数量都非常庞大。但是,基本服务实现了相同的最终目标:保护您的站点免受威胁,例如隐藏的恶意软件、蛮力攻击以及各种其他类型的入侵和破坏。
因为Sucuri和Wordfence通过各种方式处理这个问题,这意味着每个插件都适合不同的用户群。没有WordPress插件或安全平台可以满足所有需求,但两者都可以满足特定需求。我们希望了解插件保护您网站的不同方式、通过预防性安全措施保护 Wordfence以及通过网站监控和恶意软件扫描/删除的Sucuri ,以便您可以做出最明智的决定,以确保您的网站安全。
然而,我们确实要注意,尽管插件存在差异,但任一种选择都会为您的站点提供全面的安全套件。
Wordfence
作为一个平台,Wordfence被设计为一个前期防护罩,可以将您的网站从传入的攻击中隔离开来。让我们来看看它是如何做到这一点的。
1.简单设置
互联网安全是一个技术含量高且复杂的领域。从长远来看,我们大多数人都不是这方面的专家。Wordfence对我们有好处,因为当它安装并激活时,它就可以正常工作。
是的,绝对有要调整的设置和要配置的选项。但是,即使您从未按过其他按钮,Wordfence也会阻止对您网站的传入威胁,并通过电子邮件警报和基于仪表板的警报让您了解正在发生的事情。
不可否认,仪表盘有点凌乱,到处都是选项卡、框和链接。但是就安装和运行插件而言,它只需要很少的努力并且没有真正的安全背景。
2. Web应用防火墙(WAF)
Wordfence免费版的核心是WAF(与Sucuri相比,WAF是一项高级功能)。从安装开始,Wordfence就会在您的站点周围设置障碍并阻止可疑流量和进入尝试。在防火墙内,用户可以阻止国家/地区、IP 范围或单个IP地址。
此外,白名单和黑名单功能让您只允许来自某些地方的流量,这是一种将可疑活动拒之门外的主动方式。
速率限制也是Wordfence通过WAF提供的一项令人难以置信的功能,因为您可以决定如何处理您网站上的不同机器人和爬虫。您可以确定人类是否可以访问一定数量的页面,或者是否有人占用了过多的服务器资源。
速率限制功能不仅有助于内容保护和服务器稳定性/性能,而且还可以限制恶意软件在您以某种方式受到感染时对您的站点造成的损害。
3. 两步验证(2FA)
免费版Wordfence提供的最酷功能是为您网站上的用户设置两因素身份验证。在Wordfence菜单项的登录安全部分下,您可以通过使用二维码轻松为您的用户设置 2FA。他们可以选择使用Google Authenticator、FreeOTP或许多其他2FA应用程序和令牌。
在被动安全方面,用户的双因素身份验证是最好的方法之一。在我们看来,将它作为Wordfence中的免费功能包含在内是一种超越。
4. 网站扫描
如果没有站点扫描,WordPress安全插件会是什么?您可以手动运行扫描。或者您可以将它们设置为在设定的时间自动运行。
Wordfence扫描很深,因为该软件存在于您的服务器上(与Sucuri是远程扫描相比)。结果很容易通过颜色编码的响应来解读。您将看到的许多问题都来自过时的插件或主题。但是,如果 Wordfence 发现恶意软件或可疑文件,您可以立即从扫描窗口中删除它们。(尽管请在删除任何内容之前始终备份您的网站。)
高级与免费Wordfence
Wordfence的免费版本为用户提供 了很多东西。作为免费用户确实有其缺点。您不会获得实时防火墙更新、IP 黑名单或恶意软件签名。当Wordfence团队发现安全问题时,会立即为高级用户修补这些问题。但是,免费用户会在30天后获得这些修复。
此外,使用高级计划,您需要为高级支持付费。如果您的网站出现问题,您可以在很短的延迟时间内直接联系Wordfence团队。
如果您运行的网站处理敏感或机密数据,那么到目前为止,高级版本是物有所值的。对于单个站点, 每年99美元。
Sucuri
与Wordfence不同的是,Sucuri基于一个外部平台,可以远程监控您的站点是否存在威胁。Sucuri不是使用您服务器的资源来架起盾牌,而是更像是一个超级英雄,在遇到麻烦时等待突袭以挽救局面。
1. API连接
由于Sucuri不基于您的服务器,因此您需要一种安全连接服务的方法。Sucuri完全基于异地,这意味着您需要从WordPress仪表板中生成API密钥,以使该服务能够访问您的站点。
在许多方面,这是Wordfence的现场扫描的一项优越功能。如果您的站点脱机,Wordfence也会脱机,因为它是在本地硬件上存储和运行的。但是,Sucuri是外部的,因此最初使您的网站脱机的威胁仍然可以由平台处理。
2. 网站加固
网站强化(Website hardening)是Sucuri提供的但Wordfence没有的一项主要功能。Sucuri的免费版本不提供WAF,这意味着来自某些 IP、国家/地区、IP 范围和实时威胁的流量仍然可以到达您的站点。然而,网站强化是一套详细的规则,可以防止未经授权的访问者采取特定行动。
例如在WP核心目录中创建PHP文件,从仪表板中编辑插件和主题,甚至混淆正在运行的WordPress版本以阻止黑客寻找过时的版本。
这些是积极的措施,而不是反动的。使用Sucuri,您可以提前阻止最常见的访问路径,为最坏的情况做好准备。
3. 恶意软件扫描
Sucuri的恶意软件扫描是混合包。扫描本身是彻底的,绝对会发现您网站上的许多问题和威胁(如果有的话)。但是,它是远程扫描,即使他们与您站点的API连接也无法完全访问您的服务器。他们的扫描仪附带了一份免责声明,说明了这一点。
然而,根据我们的经验,Sucuri的扫描结果是准确的,并且发现了一些我们不知道存在的真正威胁。但是,为了获得完整扫描,您需要为Sucuri团队付费,这感觉像是对WP安全插件看似基本元素的不必要的额外费用。
然而,我们确实认为,API连接的远程扫描范围更有限,因为它可以在攻击使您的网站脱机后扫描和修复您的网站 。这本身就可以节省宝贵的时间和收入。
4. 登录安全
Sucuri可让您跟踪登录您网站的用户。在插件仪表板中,您可以检查已登录的任何用户、当前登录的任何用户以及未能登录您站点的任何用户。此功能可能是具有大量快乐用户的安全站点的不同之处,也可能是有人有权访问但不应该访问的受感染站点。
看到登录失败可能表明存在暴力攻击,而查看当前登录的用户可以让您知道哪些帐户已被盗用。例如,Sucuri显示Bob Smith已登录到您的网站,但Bob三年前从您的公司退休……可能出现问题并且访问未经授权。
一旦有人以有效权限合法访问您的网站,世界上所有的预防措施、网站强化和密码保护都将毫无用处。
免费与高级Sucuri
我们毫不犹豫地说,Sucuri是一项出色的服务,可以保护您的网站,值得将其作为WP安全的首选标准。Sucuri的免费版本可以很好地用作扫描仪和工具,您可以在其中主动防御威胁。
但是,如果您在使用Sucuri时想要更不干涉的方法,则需要升级。免费版本不附带WAF,我们认为这是当今安全所必需的。您必须升级才能启用它。
WAF Sucuri的计划起价为每月9.99美元。不过,这是事情变得棘手的部分。9.99美元的计划不包括恶意软件/黑客清理(每月 19.98 美元的计划也不包括)。如果您以每年 199.99美元的价格订阅他们的平台计划,您就可以在其他功能(如CDN集成等)之上获得该计划。
然而,真正的症结在于,Sucuri基础套餐(WAF版每月9.99美元或平台版每年199.99美元)都不包括现有的 SSL 证书支持。由于Google几乎要求所有站点都使用SSL证书作为页面排名因素,因此基本计划中没有SSL证书支持使得基本计划对几乎所有客户都没用。
列出较低的价格但没有SSL证书支持等基本功能会让用户产生错误的想法,即以该价格就可以获得完整服务,而实际上并非如此。
实际上,Sucuri的WAF访问计划起价为每月19.98美元,完整平台每年起价为299.99美元。这些并不是荒谬的价格,它们为这些价格提供了强大的功能。但是,我们不喜欢处理定价层的方式。
小结
在查看两者的免费版本时,实际上归结为您的网站需要什么。对于一劳永逸的用户,Wordfence名列前茅。自动扫描、电子邮件警报、足够好的默认WAF设置和两因素身份验证使Wordfence成为免费用户的选择。该插件只是免费提供了太多而无法被废黜。
但是,在查看高级版本时,Sucuri用户确实可以物有所值。Wordfence高级升级非常适合让您的站点对新出现的威胁保持最新的保护,而Sucuri为我们上面强调的功能增加了很多。CDN集成、持续更新的WAF、DDoS保护和恶意软件移除/站点清理。还有更多。考虑到这一点,Sucuri名列前茅。
但是,我们确实想通过说高级Wordfence是高级Sucuri价格的1/3来限定这一点。每年99.99美元和299.99美元之间的差异并非微不足道。考虑到这一点,我们的建议是使用Wordfence免费版保护您的网站,如果您需要增加安全功能,请查看Sucuri的计划,看看他们的平台是否提供足够实惠的价格。
评论留言