WordPress安全性就像是定時炸彈。您永遠不會知道它何時會消失。每天都有成千上萬的WordPress網站被黑。這是一個嚴重的問題,應在萌芽成為威脅性威脅之前將其消除!
保護您的WordPress網站有兩種主要方法:首先,選擇具有可靠的遵循行業最佳實踐記錄的安全託管服務。其次,通過專門的第三方安全服務來增強網站的安全性。
藉助WordPress安全性,Wordfence和Sucuri是最受歡迎的兩個選項。它們都具有一組強大的安全功能,以確保您的網站安全。在許多方面,它們是相同的,但有所不同。
只需移至Kinsta,即可將WordPress網站的速度提高200%。
今天免費遷移
Wordfence還是Sucuri?如果您想知道這兩者中的哪一個最適合您的網站,本文將幫助您做出決定性的決定。我已經廣泛地使用它們來對它們進行一對一比較,以比較它們的各種功能,性能,價格和總價值。
您可以使用此信息為您選擇最合適的選項。
聽起來不錯?讓我們開始吧!
WordPress安全簡介
WordPress是世界上最流行的內容管理系統(CMS)。它是如此受歡迎,以至於超過35%的網站都可以使用。並伴隨著巨大的流行帶來了很大的麻煩!
WordPress一直受到黑客的不斷威脅。根據GoDaddy Security的報告,2018年所有被黑客入侵的CMS平台中有90%是WordPress網站。僅Google一人每天就將10,000個網站列入黑名單以託管和傳播惡意軟體,而這些列入黑名單的網站可能會損失多達95%的自然流量。
WordPress安全統計
被黑客入侵的WordPress網站中有41%是由於託管平台中的漏洞所致。因此,從一開始就可以使用安全的WordPress託管平台避免很多麻煩。
更令人驚訝的是,60%的小型企業在網路攻擊後的6個月內關閉了。由於絕大多數黑客攻擊都發生在中小企業,因此保護您的網站至關重要。
黑客如何破壞WordPress網站
被黑客入侵的WordPress網站中只有36.7%是由過時的易受攻擊的WordPress版本引起的。 WordPress網站的主要攻擊媒介是其可擴展組件,即插件和主題。
WordPress如何受到危害(圖片來源:Wordfence)
插件尤其是最大的風險!如Kinsta的WordPress安全文章所述,具有已知和未知漏洞的插件構成了大部分WordPress黑客。 Wordfence的一項研究發現,它們占每個已知後門的55.9%。
下一個主要的攻擊手段是蠻力攻擊,以猜測較弱的密碼,佔總黑客嘗試次數的16.1%。同一項研究還發現了另一個令人震驚的統計數據:61.5%的被黑客入侵的網站所有者甚至都不知道自己的網站遭到了入侵。
如何保護您的WordPress網站
通過三個主要步驟可以保護WordPress網站免受網路攻擊:
網路安全的三大支柱
預防
無論是生物疾病還是數字惡意軟體,預防總比治癒好!
儘管WordPress是免費的,但建立WordPress網站,然後對其進行保護和維護的成本卻不是。但是可悲的是,在構建網站時,安全性通常是優先考慮的重點。
WordPress核心團隊在保持WordPress安全方面做得非常出色。但是如前所述,大多數WordPress駭客並不是由其核心軟體引起的。
預防措施的重點是防止惡意代碼進入您的WordPress網站。通常是通過防火牆,防病毒程序,電子郵件過濾解決方案,針對DDoS攻擊的防護措施以及不良的殭屍程序等來完成的。
偵測
檢測的重點是儘早發現安全事件,因此您可以立即採取措施保護網站安全,然後再進行任何重大破壞。
它包括入侵檢測系統,網路掃描,完整性監視等工具。
許多遭到WordPress入侵的網站所有者甚至都不知道其網站的安全受到了破壞。因此,擁有可靠的檢測系統至關重要,尤其是在託管級別。 Sucuri或Wordfence等安全插件是不錯的插件。
響應與恢復
希望有最好的,但總是要為最壞的事情做準備!響應和恢復致力於快速有效地解決安全事件。
一個好的恢復過程不僅應該在遭受攻擊後進行清理,還應該包括備份和取證功能。這樣可確保您在事件發生之前停止類似事件的發生。
這是為什麼在簽署託管服務商之前必須對託管公司的安全性承諾進行徹底研究的主要原因。例如,如果您的WordPress網站在Kinsta託管時遭到黑客入侵,則Kinsta的安全專家將與您一起確定並刪除惡意軟體。
Sucuri或Wordfence等安全服務將事件響應服務作為其專業軟體包的一部分提供。
Sucuri vs Wordfence,誰是最好的安全插件?在此詳盡的動手實踐中找到答案! ??
點擊鳴叫
Sucuri vs Wordfence
Sucuri和Wordfence都可以幫助您保護WordPress網站,但是它們的方法有所不同。他們之間的快速攤牌:
| 蘇庫里 | 圍欄 | |
| 防火牆定價(WAF) | 每月$ 9.99起 | 每年$ 99美元起 |
| 惡意軟體刪除定價 | 最低$ 199.99 /年-無限制清理 | 每次清理$ 179 |
| 提供免費插件 | 是 | 是 |
| Web應用程序防火牆(WAF) | 是的,但僅適用於高級客戶 | 是的,它是免費的 |
| 網站完整性掃描 | 是 | 是 |
| SSL證書支持(在WAF上) | 是 | 沒有 |
| DDoS攻擊防護 | 是 | 沒有 |
| 零日漏洞預防 | 是 | 沒有 |
| CDN提高性能 | 是 | 沒有 |
| 基於雲的平台 | 是的,遠程掃描 | 沒有 |
| 自託管平台 | 沒有 | 是的,本地掃描 |
| 系統安全性調整 | 沒有 | 是 |
上表涵蓋了Sucuri和Wordfence之間的主要區別。現在,讓我們深入研究!
Sucuri評論
Sucuri Security是WordPress的免費安全插件
Sucuri簡介
Sucuri是用於保護網站安全的基於雲的網站安全工具。它甚至可以過濾到您網站的所有流量,甚至不會到達您的託管伺服器。
其核心功能包括惡意軟體檢測,完整性監控和安全性強化。 Sucuri遠程掃描所有內容,因此不會在伺服器級別執行任何深度掃描。
Sucuri承諾保護網站,提高性能,監視黑客的跡象並為安全事件提供無限支持(僅適用於高級用戶)。
Sucuri Security擁有4.4星級評級,活躍安裝量超過60萬
您應該注意,Sucuri並不是滿足您所有網站安全需求的靈丹妙藥。它旨在補充您現有的網路安全性。但是,Sucuri為您提供了許多降低風險的工具,從而使您更加放心,並提高了安全意識。
Sucuri如何運作
在談論Sucuri的工作方式時,最好區分三個層次:
-
Sucuri Security是一個免費插件,帶有標準WordPress安全強化功能。免費版本的插件不包含防火牆。
-
Sucuri防火牆(WAF)是一項付費服務,您可以將其與免費的Sucuri Security插件集成。您也可以不使用插件使用防火牆。它包括網站保護功能,例如網站應用程序防火牆(WAF),用於性能優化的CDN,用於高可用性的負載平衡,入侵檢測系統(IDS),DDoS緩解以及許多其他工具。
-
Sucuri平台是一套基於雲的高級安全服務。它包括Sucuri防火牆隨附的所有內容,以及其他重要功能,例如監視,檢測和事件響應。通過註冊Sucuri平台,您可以要求Sucuri團隊為您的網站「刪除所有惡意軟體和黑名單警告」。
Sucuri Web應用程序防火牆(WAF)的工作方式
為了更好地理解,下面是有關Sucuri工作的簡短視頻:
Sucuri跟蹤您網站中的所有更改並將日誌保存到其自己的雲伺服器中。您可以審核這些日誌,以找出問題出在哪裡。這有助於快速有效地解決安全問題。
安全設置和可用功能
您可以將Sucuri的WordPress產品分解為兩個主要產品:一個名為Sucuri Security的免費插件,以及一個基於雲的高級Sucuri防火牆(WAF)。
我們先來看一下免費插件。
Sucuri安全性儀錶板具有直觀的界面,可讓您對其安全性檢查持鷹眼圖。
它的主要任務是通知您WordPress核心文件的完整性。如果發現任何遭到破壞的核心文件,則會向您顯示警告。然後,您可以採取適當的措施:用原始文件替換受感染的文件或將其標記為誤報。
在此處的「審核日誌」標籤下,您會找到網站上發生的所有更改。同樣,在「 iFrame」,「鏈接」和「腳本」標籤下,您可以在網站上找到腳本和鏈接的每個實例。
Sucuri安全儀錶板。注意右上方的警告
就我而言,警告是誤報。因此,我將其手動標記為固定。 Sucuri將在下次執行掃描時記住此修復程序。
您可以教Sucuri忽略誤報
「設置」面板上有許多選項卡,可自定義Sucuri如何保護您的網站。在「常規設置」選項卡下,您可以找到您的API密鑰,數據存儲目錄以及其他設置,例如日誌導出器,反向代理,IP地址發現器和時區替代。
您也可以從此處導入或導出Sucuri的整體設置。
Sucuri安全性中的「常規設置」選項卡
接下來,讓我們進入「掃描儀」標籤。在這裡,您可以看到Sucuri的計劃任務,WordPress完整性差異實用程序設置(將伺服器上的文件與原始文件進行比較)以及誤報列表。
如果您想通過Sucuri的掃描忽略伺服器上的某些文件和文件夾,可以在此處進行設置。此工具有助於忽略與代碼無關的文件和文件夾,這些文件和文件夾可能太重而無法掃描,例如包含大量媒體文件的文件夾,備份等。
從這裡設置掃描儀設置
強化選項卡使您可以應用一組標準的WordPress和PHP安全強化方法。但是,您可以使用「白名單阻止的PHP文件」設置從這些嚴格的限制中忽略某些PHP文件。
應用標準的安全強化規則
如果發生攻擊或破壞,「後黑客」選項卡將非常方便。在這裡,您可以更新秘密密鑰,重置用戶密碼,重置已安裝的插件,以及應用任何可用的插件和主題更新。
快速工具來增強安全性(如果您被黑客入侵)
警報選項卡允許您設置警報收件人,受信任的IP地址,警報主題,每小時警報。您可以設置哪種類型的安全警報將觸發警報機制,以及它將忽略哪些類型(通常是第三方插件產生的警報)。這是一個很棒的檢測功能。
Sucuri Security可讓您自定義警報
「 API服務通信」選項卡簡單明了。它主要供開發人員訪問Sucuri的遠程API服務。
從此處與Sucuri的遠程API服務進行通信
最後,「網站信息」標籤列出了您想了解的有關網站及其託管的網路伺服器的幾乎所有信息。在這裡,在「訪問文件完整性」部分下,您可以檢查.htaccess文件的完整性。
如果您的網站由諸如Kinsta之類的託管託管平台提供支持,則不必擔心,因為Kinsta不使用cPanel並使用其自己的自定義用戶面板MyKinsta。
信息
想嘗試一下MyKinsta嗎?您無需成為Kinsta用戶,只需轉到MyKinsta演示並免費創建一個帳戶即可。
「網站信息」標籤列出了您的網站和伺服器的規格
Sucuri的基於雲的防火牆是一項高級服務。過濾掉垃圾流量,DDoS攻擊和不良機器人非常好。
即使沒有插件,它也可以發揮其魔力(推薦的方式)。您只需要將主機的DNS指向其名稱伺服器即可。
Sucuri WAF保護您的網站免受惡意攻擊
閱讀Kinsta的深入Sucuri防火牆指南,以了解有關其所有功能的更多信息。
大多數Web主機,包括Kinsta,都具有適當的額外安全功能,可以阻止和/或過濾出垃圾IP地址和錯誤的bot。 Kinsta甚至具有可用於允許IP限制的安全設置。
但是,像Sucuri這樣的專業WAF服務(其業務模型主要側重於清除不良流量)將提供更精細的控制。
用戶註冊Sucuri的基於雲的防火牆作為備份並僅在受到攻擊時才切換到備用防火牆並不少見。 Sucuri非常容易做到這一點。
Sucuri CDN POP遍布世界各地(圖片來源:Sucuri)
考慮到所有因素,Sucuri不僅僅是安全插件或防火牆。這是一個完整的網路安全解決方案,可保護您的網站免受幾乎任何惡意攻擊。
使用方便
Sucuri使用簡單。用戶界面就是重點。如果Sucuri建議您應用任何安全性強化設置,則只需單擊一下即可啟用它們。
安裝插件後,您需要生成其免費API密鑰,您可以直接在WordPress儀錶板中執行此操作。
Sucuri會自動執行其大多數安全功能,因此您只需設置一次就可以永遠忘記。您也不必擔心更新或維護插件。
如果Sucuri檢測到違規行為,則會發出警報。但是,如果您想手動控制,它會為您提供許多選擇。而且,由於Sucuri的WAF是基於雲的,因此您不需要任何技術維護。
總體而言,我發現Sucuri易於安裝和使用。
Sucuri如何在網路安全三合會上賺錢
預防
免費的Sucuri Security插件足以在WordPress網站上保留一個標籤並應用一些標準的安全措施。但這並不是為了防止對您的網站進行任何重大攻擊。
如果您正在尋找免費的WordPress安全解決方案,我不建議您使用Sucuri Security。不要依靠它來保護您的網站。
另一方面,Sucuri防火牆在抵禦DDoS攻擊,惡意漫遊器和客戶數據泄露方面表現出色。 Sucuri安全平台更進一步,並增加了更多的預防措施。
以Kinsta的一個案例研究為例,將Sucuri Firewall添加到一個受到DDoS攻擊的小型電子商務站點中,可以在激活一小時內阻止所有安全問題。
偵測
Sucuri的免費插件在嗅探您網站上最微小的變化方面做得很好。如果發現任何異常,它將立即提醒您,以便您採取適當的措施。
即使黑客將您拒之門外,您也可以審核保存在Sucuri雲伺服器上的日誌,以了解發生了什麼以及如何獲得控制權。
但是,它是高級的Sucuri安全平台,可真正實現監控和檢測。它具有各種附加功能,例如常規伺服器端安全掃描,黑名單監視,SSL監視,即時通知和日誌關聯集成(SIEM)。
響應與恢復
如果網路安全平台無法為您提供清除被黑網站的方法,則它是不完整的。
對我來說幸運的是,當Sucuri保護它們時,我的網站上從未發生過安全事件。但是有很多人遇到了嚴重的問題,他們已經在G2.com等人群評論網站上分享了他們的經驗。
Sucuri在G2.com上享有4星級評級
這是一家網站的所有者,與Sucuri分享了她的正面評價。
「當我突然意識到我的網站(主要由教師和兒童使用)遭到黑客入侵時,我需要儘快解決問題。 Sucuri在報告問題並註冊服務後的半小時內使我的網站恢復正常。我將永遠不會再對我的網站失去保護,並為Sucuri處理這種安全感到高興。」
— Janice P,海洋教育家
一位網路設計師在Sucuri上分享了她在幫助她清理客戶的WordPress網站方面的積極經驗。
「我的客戶的wordpress網站存在問題。自註冊我的客戶以來-網站沒有被黑客入侵的任何問題。」
—企業主Melissa C
您應該注意,有很多評論使用戶抱怨Sucuri響應票證所花費的時間。了解Sucuri的定價策略可以幫助解釋這一問題。
Sucuri定價
現在,最重要的是定價。
Sucuri防火牆價格和功能明細
Sucuri防火牆(WAF)從$ 9.99 /月起,而Sucuri Platform從$ 199.99 /年起。註冊Sucuri平台還可以無限制地訪問惡意軟體清除和黑客清除功能。
Sucuri的所有高級計劃都提供30天退款保證。
除了原始伺服器上的SSL證書支持(保留用於第二便宜的計劃)之外,Sucuri並未從其較低級別的計劃中排除任何安全功能。
取而代之的是,Sucuri使用掃描和響應優先順序來激勵您註冊他們的更高計劃。
Sucuri平台定價和功能明細
這種定價策略為每個Sucuri客戶提供了相同的預防和檢測功能,但是對於掃描和惡意軟體清除,已簽署更高計劃的客戶將獲得最高優先順序。
每個人都會在適當的時候收到他們的票,但是如果您是最低層,在大多數情況下,不會立即做出響應。如果需要更快的解析度,則可以選擇更高的方案。相比之下,Cloudflare的等效安全解決方案每月的費用為200美元。
我能理解為什麼這種方法會使某些用戶感到沮喪,尤其是當他們正在處理被黑的網站並正在尋求快速修復時。但是考慮到您從中獲得的總價值,從長遠來看,它對於大多數Sucuri用戶而言效果更好。
現在我們已經介紹了Sucuri,讓我們轉到Wordfence,看看它如何與之比較。
Wordfence評論
Wordfence Security是WordPress的免費安全插件
Wordfence簡介
Wordfence是一個免費的WordPress安全插件,其中包括端點防火牆(WAF)和惡意軟體掃描程序。
它具有其他安全性措施,例如登錄安全性(2FA,登錄頁面CAPTCHA,限制登錄嘗試),實時流量和基於規則的高級阻止。
Wordfence擁有4.8星評級,活躍安裝量超過3百萬次
與Sucuri不同,Wordfence是本地化的防火牆。它位於您的Web伺服器上,而不是雲服務。因此,它可以在更深層次上執行伺服器端掃描,並提供完整的端到端加密。
但是,這種優勢是以性能為代價的。
為什麼?由於伺服器的資源將分析流量,因此請檢查是否有惡意,並在必要時丟棄流量。如果您將網站託管在資源較少的伺服器上(例如共享託管和便宜的託管計劃),則您的網站可能會快速爬網。
如果發生DDoS攻擊,惡意流量的泛濫可能會淹沒您伺服器的資源。任何本地安全插件都無法承受。與Sucuri相比,這是Wordfence的最大弱點。
相比之下,如果您啟用了Sucuri的WAF,則到您網站的任何惡意流量都會在到達伺服器之前在雲中被過濾掉。
但是Wordfence的本地化WAF是一項免費的內置功能,而Sucuri的雲WAF是一項高級功能。
Wordfence的工作原理
Wordfence的防火牆由其Threat Defense Feed提供支持,這是其防火牆規則,惡意IP地址和惡意軟體簽名收集的好用語。
威脅防禦源與WordPress網站上安裝的Wordfence插件集成在一起。它由您的伺服器提供動力。
Wordfence防火牆(WAF)的工作方式
藉助Wordfence Premium,您可以實時更新威脅防禦源。它包括以下功能:
- 實時IP黑名單,防火牆規則和惡意軟體簽名更新。
- 高級支持。
- 站點/ IP信譽檢查。
- 國家/地區級屏蔽。
免費用戶只有在上線30天後才能獲取關鍵任務更新。他們也不會獲得實時IP黑名單。對於個人網站來說,這似乎是一個不錯的選擇,但如果您託管的是企業網站或電子商務網站,則可能會成為交易的突破口。
端點防火牆比雲防火牆具有一個優勢。由於它完全由您的伺服器提供支持,因此從理論上講它不會泄漏任何數據,也無法繞開它。相反,如果攻擊者知道伺服器的IP地址,則雲防火牆可能會泄漏數據或被繞過。
雲防火牆與端點防火牆(圖像來源:Wordfence)
安全設置和可用功能
Wordfence位於您的Web伺服器上。因此,您可以在WordPress儀錶板中找到其所有設置。
儀錶板乾淨且內容豐富。它為您提供重要的信息和警告,一目了然。
Wordfence儀錶板
Wordfence的掃描程序會對伺服器上的每個文件進行完整性檢查。如果它不是WordPress核心文件或官方主題/插件,它會提醒您。
它將伺服器文件中的文本與已知惡意軟體的文本進行匹配。如果發現相似的內容(即使是一兩行),則會警告您。如果您的任何主題或插件都有可用更新,您還將收到通知。
現在,讓我們轉到Wordfence的「防火牆」面板。在這裡,您可以管理Wordfence的WAF設置並優化其配置。
Wordfence的防火牆設置大部分是自動的
首次安裝Wordfence時,默認情況下,其WAF處於學習模式一周。這使它可以徹底研究您的站點和訪問者,因此它了解要僅允許合法流量通過防火牆的規則。
實時IP黑名單功能僅適用於高級用戶。
啟用暴力破解保護後,Wordfence在幾次未成功的密碼猜測嘗試之後鎖定了他們的帳戶,從而保護了您免受攻擊者的攻擊。如果它認為密碼太弱而無法輕易猜出,還會迫使您更改密碼。
通過“阻止”選項卡管理站點的阻止規則
在「阻止」選項卡下,您可以根據IP地址,IP範圍,瀏覽器,主機名和引薦來源網址阻止流量。但是,國家/地區級屏蔽是僅高級功能。您可以組合所有不同的阻止規則,並將其另存為阻止類型。
從此處激活速率限制和高級阻止規則
在「防火牆選項」部分下,您可以將IP地址和服務列入白名單,將WAF警報的IP地址設置為忽略,配置速率限制以及將URL列入白名單。
Wordfence還使您可以阻止訪問某些URL的IP。如果有人反覆調查您的網站是否存在已知漏洞,這將很有幫助。
接下來,讓我們轉到「掃描儀設置」標籤。
從這裡管理您的Wordfence掃描設置
在這裡,您會找到Wordfence的掃描任務。前三個測試是對垃圾郵件和黑名單的檢查,僅保留給高級用戶。
如果掃描發現異常,它會警告您。
在「掃描選項和計劃」部分下,您可以設置掃描靈敏度,掃描頻率和白名單文件。您還可以優化掃描以提高設置的性能。
Wordfence具有廣泛的掃描和計劃選項
Wordfence附帶了許多其他方便的工具。
實時流量工具可幫助您實時查看網站上發生的情況。您可以僅按與安全性相關的流量進行過濾。這將顯示所有用戶登錄,黑客嘗試和惡意請求。
實時流量是Wordfence的最酷卻資源密集的功能
雖然這是一項很酷的功能,但「實時流量」會佔用您伺服器的大量資源。我建議您在不使用時將其關閉。
其他工具包括Whois查找,導入/導出選項和診斷。
您還可以使用Wordfence的登錄安全模塊為WordPress網站上的所有登錄啟用雙向認證(2FA)。以前是高級功能,但現在可以免費使用。
輕鬆在您的站點上啟用兩因素身份驗證
您可以使用免費的移動應用程序(例如Google Authenticator,FreeOTP或Authy(我的個人推薦))來設置2FA。
Wordfence的「登錄安全性設置」選項卡
您可以為所有用戶角色啟用2FA。這是保護您和您的用戶免遭蠻力攻擊(例如密碼猜測和憑據填充)的好方法。
您可以為2FA設置IP白名單,以便某些IP在登錄時不必經過額外的安全檢查。如果您主要是在單個位置工作,則此功能可幫助您避免每次登錄時都經過2FA在。
阻止暴力攻擊的其他登錄安全功能包括:
- 限制「忘記密碼」嘗試和登錄失敗的次數。經過一定次數的嘗試後,用戶被鎖定。
- 在站點範圍內強制使用強密碼。
- 禁止使用某些用戶名(例如admin)註冊用戶
- 阻止試圖立即使用特定用戶名登錄的用戶(例如admin,yoursite_admin等)。
- 禁用XML-RPC身份驗證,這是用於注入惡意軟體的常見攻擊媒介。
最後,Wordfence包括「所有選項」面板,您可以在其中找到每個Wordfence設置。考慮到Wordfence下可用的廣泛選項,這非常有幫助。
在「所有選項」面板中查看Wordfence的所有選項
使用方便
關於用戶友好性,Wordfence可與Sucuri Security相提並論,並且超級易於使用。安裝並激活插件後,Wordfence將立即進入學習模式一周。
根據您的伺服器設置和流量,它將自動應用建議的防火牆和掃描設置。以我的經驗,這些設置足以保護您免受大多數攻擊。
登錄安全功能易於設置和實施。
如果您的網站受到DDoS攻擊,Wordfence可以使您的伺服器爬網。在最極端的情況下,伺服器可能不堪重負,以至於您無法訪問WordPress管理信息中心。
由於Wordfence是本地化的解決方案,因此您可以完全控制其設置。如果您精通技術,這可能會有所幫助,但對於大多數WordPress用戶而言,這可能是一件麻煩事。
總體而言,只要能正常工作,我就會發現Wordfence就像餡餅一樣容易。
Wordfence如何在Web安全三合會上取得成功
預防
與Sucuri不包含防火牆的免費解決方案不同,Wordfence可以阻止大多數攻擊。它不僅採用標準的安全性強化措施,而且還附帶伺服器端WAF。
但是最新的威脅更新僅適用於高級用戶。免費用戶上線30天後可獲得更新。而且,由於您的網路伺服器支持Wordfence(而不是雲),即使您選擇了高級選項,也可以自行抵禦DDoS攻擊。
我可以理解此決定背後的業務需求,但是為了安全起見,我認為Sucuri的全有或全無的方法更好。至少您不會認為自己沒有受到保護,免受最普遍的威脅。
話雖這麼說,Wordfence的高級版在防止大多數安全攻擊方面做得很好。他們的博客和YouTube頻道是使您隨時了解最新WordPress安全威脅的絕佳資源。
偵測
免費的Wordfence插件可以很好地檢測大多數安全問題。但是,您需要使用其高級軟體包才能發現最新的威脅。
但是,如果黑客成功將您從網站中鎖定,則無法像Sucuri一樣審核日誌。因此,調查黑客行為要困難得多。
除了聯繫託管服務提供商或第三方安全服務(具有諷刺意味的是,其中還包括Wordfence)之外,您別無其他選擇。
與Sucuri相比,Wordfence具有基本的警報自定義功能,並且做得很好。如果發現安全異常,它將及時提醒您。
響應與恢復
如前所述,免費版本的Wordfence讓您好好照顧自己。但是,即使有了高級軟體包,Wordfence也不會提供任何響應和恢復服務。
這是從Wordfence的使用條款中直接摘錄的報價:
「我們為Wordfence Premium提供的支持僅限於每次事件2小時的支持。我們保留拒絕提供進一步支持或在2小時支持後收取額外支持費用的權利。」
要獲得完整解析度,您必須使用其單獨的名為WordPress Site Cleaning的服務。每個實例的價格為179美元(另加根據需求增加的電費)。
Wordfence WordPress網站清理服務
他們的WordPress網站清潔服務包括:
- 通過刪除所有惡意代碼和鏈接來清理受感染的站點。
- 調查該網站是如何被感染的。
- Provide an in-depth report of the investigation and infection removal.
- Apple the site for removal from anti-malware and anti-spam blacklists.
- Provide a checklist to avoid future attacks.
I haven』t used their site cleaning service yet, but it seems comprehensive enough. Here are a couple of good reviews I found on Twitter:
Dr. David Miles, Editor-in-Chief, Global Politics
Rachel Bustin, Family Lifestyle Blogger
Compared to Sucuri』s malware removal and hacks cleanup service, which is included with the premium Sucuri Platform, Wordfence』s site cleaning service seems costlier.
And with Sucuri you get unlimited malware removals during your subscription period, whereas Wordfence』s malware removal service is for a single job. If your site gets infected with malware again a few months down the line, you need to pay the same fee again for removal.
Info
Kinsta provides a security guarantee to all users on all plans.
Wordfence Pricing
You can download Wordfence』s security plugin for free. As of now, it』s the highest-rated and most installed security plugin on the WordPress plugin repository.
Wordfence Premium starts at $99/year for 1 site. You get a discount if you tack on additional sites to your order. The more sites you add, the bigger the discount!
Wordfence Premium Pricing
How Security Plugins Impact Site Performance
WordPress plugins are not only the biggest security risks, but they』re also one of the major performance killers. Security plugins are particularly the top culprits, thanks to their always-on requirement and scanning features.
However, cloud-based security solutions like Sucuri Firewall or Cloudflare are super neat if you need extra protection, especially if you』re up against bots and proxy traffic.
Sucuri vs Wordfence, who’s the best security plugin? Check out this thorough hands-on review and comparison to find out! ??
Click to Tweet
Summary
Sucuri vs Wordfence. What』s the best pick?
On one hand, Sucuri is the better solution of the two for web security and performance, especially if you』re running a mission-critical business or ecommerce website.
But if you』re looking for a free web firewall, Wordfence is a sturdier solution. If that』s your choice, I』d suggest pairing it up with a reliable free CDN, like Cloudflare.
At the end of the day, it all comes down to your hosting. A great hosting provider will take care of most of the security measures for you. They understand that the performance hit to their servers and service brought on by third-party plugins is not worth the hassle.
Ideally, your host should lock down code to only be executable in limited locations and instances. And they』d restrict writing uploads to only its respective folder. With a few more security hardening measures added at the server level, this would make WordPress security plugins redundant.
Ultimately, website security is a journey and not a destination. I recommend you to take the best path forward!
If you enjoyed this article, then you’ll love Kinsta』s WordPress hosting platform. Turbocharge your website and get 24/7 support from our veteran WordPress team. Our Google Cloud powered infrastructure focuses on auto-scaling, performance, and security. Let us show you the Kinsta difference! Check out our plans