iThemes セキュリティと Sucuri:WordPress Web サイトを保護するのはどっち?

一見すると、iThemes Security は WordPress ウェブサイト用の優れた手頃な価格のセキュリティ プラグインのように見えます。特に、わずか 199 ドルで無制限の Web サイトを保護できると考えている場合は.

一方、Sucuri は、利用可能な最も人気のある WordPress セキュリティ プラグインの 1 つです。スキャナーとファイアウォールが強力で、マルウェアの削除も提供します。したがって、すでにこの直接対決で、iThemes の行進を盗んでいます。

ただし、結局のところ、どのセキュリティ プラグインが実際にハッカーやマルウェアから最高の保護を提供するかということになります。 3 つの Web サイトで、WordPress の上位 5 つのセキュリティ プラグインをテストしました。 Web サイトにはマルウェアと脆弱性がぎっしり詰まっていたので、プラグインを試してみました。テストの結果を読んで、WordPress Web サイトを本当に保護するプラグインを見つけてください。

評決 iThemes のセキュリティ vs Sucuri:iThemes は競争から完全に脱落しました。このコンテストでは、Sucuri が間違いなく勝者でした。そうは言っても、私たちはまだ Sucuri が私たちのウェブサイトを保護しているとは信じていません.テストの詳細については、以下をご覧ください。

おすすめ

セキュリティ プラグインをテストするために、3 つの WordPress Web サイトを作成しました。 1 つは、テスト コントロールとしての通常のブログでした。次に、脆弱性が公開されている 3 つの古いプラグインを 2 つ目の Web サイトにインストールしました。最後に、マルウェアとバックドアでいっぱいの 3 つ目の Web サイトを、ファイルとデータベースの両方に詰め込みました。私たちは、もみ殻から小麦を選別するために最後のウェブサイトを頼りにしました.そして少年、やった。

各プラグインは、45 日間そのペースでテストされました。スキャナー、クリーナー、ファイアウォール、ブルート フォース プロテクションなどの動作をテストしました。最後に、結論は明白で、MalCare がすべての点で勝った.

この記事シリーズに対する私たちの質問は単純です。WordPress Web サイトをハッカーから保護することが保証されているセキュリティ プラグインはどれですか?答えは明白です。MalCare です。

iThemes Security と Sucuri の比較のまとめ

iThemes Security は、WordPress セキュリティ プラグインのプラセボです。自分の Web サイトはハッカーから守られていると思っていても、実際に Web サイトを守っているのは、希望的観測と前向きな気持ちだけです。 Sucuri の方が間違いなく優れていますが、結局のところ、優れているというのは相対的な用語です。優れたセキュリティ プラグインではありません。

iThemes セキュリティの概要

肝心なのは、iThemes は Web サイトを保護しないということです。 WordPress のセキュリティを考慮している場合は、iThemes を完全にスキップすることを強くお勧めします。すでにインストールされている場合は、すぐにウェブサイトをスキャンしてください。あなたのウェブサイトにはセキュリティがありません。

iThemes の第一印象は、実際には好意的でした。ウェブサイトは素晴らしいゲームを語り、WordPress のセキュリティについて権威ある方法で語っているため、自信を与えています.確認できた唯一の欠陥は、プラグインを使用してマルウェアを駆除できないことでした。これは理想的ではありませんが、それでもスキャナーとして機能する可能性があります。

またはそう思った。

iThemes スキャナーはマルウェアを検出しません。まったく。スキャンは数秒で終了するため、ファイルやデータのスキャンすら行わないと推測するのは危険です。 iThemes の「スキャナー」が行うことは、Google の透明性レポートをチェックして、Web サイトがそのリストに含まれているかどうかを確認することです。そのためにセキュリティプラグインは必要ありません。戻って Web サイトを確認したところ、機能にマルウェアのスキャンが明示的に記載されていないことに驚きました。マルウェアの検出は、WordPress のセキュリティにおける重要なステップの 1 つです。私たちがそれを見たことがあれば、それはダブルスピークです。

私たちは iThemes のテストを役に立たないものとして片付けたくなりましたが、公平を期すために続けました。

プラグインには、ログイン ページで有効にできる堅牢な 2 要素認証機能があります。また、フォルダー内での PHP の実行をブロックするなどの適切な強化機能も備えています。そうは言っても、ブルート フォース ログイン保護が機能するのは、ある時だけです。プラグインに対する別の黒いマーク。

iThemes を使用することから得られることは、セキュリティ値の唯一の機能は、2 要素認証と wp-login での reCAPTCHA の簡単な実装であるということです。ただし、実際のセキュリティに加えて、同じ機能を提供するより優れたセキュリティ プラグインがあるため、これら 2 つの機能は 199 ドルの請求を正当化するものではありません。

存在しないセキュリティによって保護されていると信じている Web サイトの数を想像できないため、iThemes のテストはひどい経験でした。実際、iThemes ユーザーの皆さんは、今すぐ Web サイトをスキャンする必要があります。

Sucuri の概要

Sucuri は適切なファイアウォールと優れたマルウェア除去サービスを備えていますが、マルウェア スキャナーとしては見事に機能しませんでした。 Web サイトにマルウェアがあることがわからない場合、それを取り除く方法はありません。これは、セキュリティ プラグインの交渉不可能な部分です。

Sucuri のテストを開始したとき、私たちは Sucuri に大きな期待を寄せていました。これは WordPress の最も人気のあるセキュリティ プラグインの 1 つであり、ハッキングされたテスト サイトでスキャナーがマルウェアを検出できなかったことに驚いています。詳細については後のセクションで説明しますが、これにより、テスト プロセス全体のトーンが設定されます。

失敗に加えて、スキャン自体が完了するまでに長い時間がかかり、それを実行するためにサーバー リソースを使い果たします。 Sucuri 自体は、Web サイトのパフォーマンスに影響を与えるため、あまりにも多くのスキャンを思いとどまらせています。パフォーマンスとセキュリティの間で行うのはひどいトレードオフであり、そうであってはなりません.

ファイアウォールとマルウェア除去サービスに移ると、Sucuri はうまくいきました。ファイアウォールの設定は非常に難しく、非常に時間がかかりました。しかし、私たちが試みた攻撃はブロックされ、脆弱性を悪用することはできませんでした。

ただし、マルウェア除去サービスは、私たちのテスト経験のハイライトでした.スキャナーは、ハッキングされた Web サイトに問題のない状態を示しましたが、それがマルウェアでいっぱいであることはわかっていました。まず、そこにマルウェアを配置し、次に MalCare スキャンでこの診断を確認しました。 Sucuri チームがサイトからマルウェアの痕跡をすべて削除した結果、サイトはきしみなくきれいになりました。素晴らしい！このケーキのチェリーは、プランの一部として無制限のマルウェア削除リクエストを行うことができるということでした。これはお得です.

ファイアウォールを除けば、設定は非常にわかりにくいです。私たちは、使用されている専門用語の多くに困惑していることに気付きました。それは、WordPress のセキュリティに関する専門知識によるものです。インターフェースはユーザーフレンドリーではなく、多くの人が不必要に警戒していると確信しています.そこでSucuriのマイナスポイント。

全体として、Sucuri が WordPress Web サイトの最適なセキュリティ ソリューションであるとは考えていません。その栄誉は MalCare に送られます。これは、常に機能するスキャナーのおかげです。 MalCare は、私たちを鈍感にさせないボーナス ポイントも獲得します。

WordPress ウェブサイトに適したセキュリティ プラグインの選び方

WordPress Web サイトのセキュリティは交渉の余地がありません。マルウェアは、収益の損失、訴訟、クリーンアップ コスト、ブランディングへの影響、オーガニック トラフィックの損失など、ビジネスに無数の損失をもたらす可能性があります。適切なプラグインに投資することで、ハッカーやマルウェア、およびマルウェアが残した問題からあなたを救うことができます.

問題は、Web サイトに効果的なセキュリティ プラグインをどのように選択するかということです。

テストを設定する際には、考慮すべき要素がいくつかありました。セキュリティはもちろんですが、使いやすさとコストパフォーマンスも重要です。しかし、プラグインがセキュリティでどれだけ効果的であるかだけを考慮する必要があるため、セキュリティ以外のすべての要素が無意味になることにすぐに気付きました。

セキュリティプラグインを選択する際に考慮すべき要素は次のとおりです。

• 基本的なセキュリティ機能
  
  • マルウェア スキャン
  • マルウェアのクリーニング
  • ファイアウォール
• あると便利なセキュリティ機能
  
  • 脆弱性の検出
  • 力ずくのログイン保護
  • 活動記録
  • 二要素認証
• 潜在的な問題
  
  • サーバー リソースへの影響

リストからわかるように、完全に不可欠な要素は 3 つだけです。 MalCare は、他のプラグインでは見逃すことが保証されているマルウェアをスキャンしてクリーニングし、強力なファイアウォールで悪意のあるトラフィックから Web サイトを保護します。さらに、MalCare は、現在利用可能な他のどのセキュリティ プラグインよりも優れています。

iThemes セキュリティと Sucuri:機能の直接比較

この比較をレイアウトする方法は、最初に最も重要な機能を取り上げ、次にテスト中に現れた他の観察事項について説明することです.多くの場合、機能や設定はほとんど何もしない (iThemes について話している) にもかかわらず、精巧なセキュリティの幻想を描いています。

もみ殻を切り裂いて小麦にたどり着くのは簡単ではありませんでしたが、すべてのデータをできるだけ明確かつ公平に提示します.

この分解を省略したい場合は、MalCare をインストールすることをお勧めします。

マルウェア スキャン

Sucuri のスキャナーは、当社の Web サイトでマルウェアを検出しませんでした。スキャンの完了速度から判断すると、iThemes は Web サイトのマルウェアをまったくスキャンしませんでした。

Sucuri の無料版と有料版の両方にスキャナーが搭載されているため、パフォーマンスに違いがあるかどうかに興味がありました。無料版は、Sucuri SiteCheck を利用しています。Sucuri SiteCheck は、Web サイトの一般に公開されている部分のマルウェアをスキャンするオンライン ユーティリティです。もちろん、これには制限があるため、SiteCheck からのクリーン チットは、マルウェアのない Web サイトを保証するものではありません。

有料プランには、Web サーバーにインストールする必要があるサーバー レベルのスキャナーが含まれています。これを手動で行うか、Sucuri ダッシュボードに FTP の詳細を入力して自動的にインストールすることができます。それは比較的痛みのないプロセスでした。

スキャナーは毎日実行するように設定されていますが、ある程度オンデマンドでスキャンできます。追加のスキャン要求はキューに入れられてから実行されます。スキャンはサーバー リソースを使い果たすため、Sucuri はスキャンの使用が多すぎることを警告します。

Sucuri が Web サイトのリソースを使用してスキャンを実行していることに気付いたので、一時停止しました。私たちのテストサイトでは、サイトが小さく、外部トラフィックがないため、ドレインはそれほど深刻ではありませんでした.ただし、CPU 使用率の低下は確実に見られました。これについては、後のセクションで詳しく説明します。

また、プロ バージョンでは、ハッキングされた Web サイトでマルウェアは検出されませんでした。 MalCare スキャンの結果が明らかにマルウェアを特定していたため、これは驚くべきことでした。そのため、手動による削除リクエストを提出しました。リクエストが Sucuri のチームによって処理されると、サイトは MalCare で問題なく表示されました。しかし、それは Sucuri スキャナーが Web サイト上のマルウェアにフラグを立てたときです。とても奇妙でした。

幸いなことに、iThemes スキャナーには問題はありませんでした。純粋で単純なマルウェアをスキャンしません。 iThemes スキャナーは、Web サイトが Google のブラックリストに載っているかどうかを確認するだけです。それでおしまい。私たちのサイトがインデックスに登録されていないことを考えると、実際にはブラックリストに載っていなかったことに驚きはありませんでした.

マルウェアのクリーニング

マルウェアのクリーニングは iThemes の機能リストに含まれていないため、明らかにマルウェアをクリーニングすることはできません。 Sucuri には、有料プランの一部として無制限のマルウェア除去サービスがあります。プランにもよりますが、ウェブサイトは 6 時間から 30 時間でクリーンアップされます。

Sucuri のスキャン結果では、当社の Web サイトにマルウェアは含まれていませんでしたが、そうではないことは明らかでした。ファイルやデータベースなど、いたるところにマルウェアが存在していました。また、適切な対策として、そこにはたくさんのバックドアがありました。 MalCare スキャナーは、テスト サイトが実際にマルウェアに感染していることを確認しました。

そのため、Sucuri にマルウェアの削除リクエストを提出し、サイトにマルウェアが存在する疑いがあることを明確に示しました。リクエストを提出するには、フォームに記入し、クリーニング用の FTP の詳細を提供する必要があります。そして、結果を待ちます。

補足:削除リクエスト フォームに興味深いドロップダウンがあり、発生している可能性のある症状が一覧表示されています。また、おもしろいことに、技術的な習熟度を示す必要があったため、「習熟度がありません。すべてを明確に説明してください」を選択しました。 」

Sucuri のおかげで、彼らのチームがサイトからすべてのマルウェアを削除しました。また、プランの条件では 30 時間以内に解決できると記載されていましたが、10 時間もかからずに返信がありました。つまり、Sucuri のマルウェア除去サービスには非常に感謝しています。

すべてのマルウェアが削除されたことを MalCare に確認したところ、Sucuri のスキャナーがサイトに感染したというフラグを立てたのを見て驚きました。

一方、iThemes はマルウェアを駆除できないため、テストするものは何もありませんでした。ありがたいことに、彼らは自分のウェブサイトでそうすることを主張していません.

率直に言って、マルウェアのクリーニングは WordPress のセキュリティで最も困難な部分であり、多くの場合、最も費用がかかる側面です。 Sucuri の有料プランには無制限のクリーンアップがあります。脆弱性に対処しないと、マルウェアが再発する可能性があるため、これは素晴らしいことです。清掃サービスに問題がある場合は、解決までしばらくお待ちいただく必要があります。マルウェアの場合、感染が短期間で指数関数的に増加することが確認されているため、これは懸念の原因です。

MalCare を使用すると、自動クリーン機能を使用してマルウェアを数分で取り除くことができます。 Sucuri からの連絡を待っている間に、ビジネス クリティカルな Web サイトを迅速にクリーンアップすることには大きな価値があることに気付きました。

ファイアウォール

Sucuri のファイアウォールは機能し、最も一般的な攻撃を防ぎます。 iThemes にはファイアウォールがありません。

ファイアウォールは、悪意のあるトラフィックを遮断し、エクスプロイトを防止するため、Web サイトのセキュリティにおいて重要なコンポーネントです。記事のこの時点では、iThemes にファイアウォールがないことを聞いても驚かないでしょう。なぜでしょうか？セキュリティプラグインとしては、他のすべての点で失敗します。

一方、Sucuri は私たちのウェブサイトを wordpress 攻撃から保護してくれました。無制限のファイル アップロード、XSS、SQL インジェクションなどの脆弱性に対してテストしました。ファイアウォールは、これらの脆弱性を悪用して Web サイトにマルウェアをアップロードしようとするすべての試みをブロックしました。より複雑な攻撃を完全に透過的にテストすることはできませんでした。

したがって、Sucuri のファイアウォールは機能しますが、ファイアウォールを構成するのがどれほどイライラしたかについても言及する必要があります。ファイアウォールの仕組みは、着信トラフィックと Web サイトの間の層のように機能することです。したがって、すべてのトラフィックは最初に Sucuri のファイアウォールに到達し、次に Web サイトにリダイレクトされます。

ご想像のとおり、これにはいくつかの構成が必要です。 Web サイトに使用するドメインは、最初に Sucuri を指す必要があります。トラフィックが分析され、許可されたトラフィックが Web サイトに転送されます。これは素晴らしいことですが、ネームサーバーと DNS 構成の専門知識がない場合、ファイアウォールをセットアップするのは面倒です.

全体として、すぐに使えるセキュリティ ソリューションを使用する方がはるかに優れています。当社のウェブサイトを保護するための複雑な構成はありません。ご存知のように、MalCare で得られるようなものです。

脆弱性の検出

Sucuri は、すべてではありませんが、Web サイトのほとんどの脆弱性を検出しました。 iThemes は見つかりませんでした。

サーバー側のスキャナーを有効にした後、Sucuri は Web サイトにいくつかの脆弱なプラグインがインストールされていることを検出しました。それらすべてを検出したわけではなく、推奨事項は単に更新することでした。

さらに、wp-admin にはハック後のビューがあり、現在インストールされているプラ​​グインとテーマ、それらのインストール済みバージョン、および利用可能な最新バージョンが一覧表示されます。このセクションの説明で、Sucuri は脆弱性が Web サイトのセキュリティに関連していることに言及しており、すべてを最新の状態に保つことをお勧めします。プラグインを定期的に見てそこにたどり着く人はまずいないので、この配置が有用かどうかはわかりません.

マルウェアの削除リクエストの一環として、Sucuri は、強化対策を適用し、脆弱なプラグイン (3 つのうち 2 つ) を更新することを推奨するメッセージも送信しました。これはハッキング後のチェックリストの一部です。

iThemes は脆弱性にフラグを立てません。ただし、ダッシュボードには非常に役に立たないカウンターがあり、プラグインがインストールされてから何回の更新が行われたかを示しています.この情報がどのように役立つかはわかりません。

ブルート フォース ログイン保護

Sucuri はブルート フォース攻撃をブロックして警告するはずですが、どちらも行いません。 iThemes は、そうする場合もあれば、そうでない場合もあります。どちらが悪いかは難しい。

iThemes は、不正なログイン試行をブルート フォース攻撃としてログに記録します。率直に言って、これはユーザーにとって恐ろしいことです。あるケースでは、本当にパスワードを忘れてしまいました。

ログインページの総当たり攻撃を試みたところ、不均一な結果が得られました。 iThemes は 1 つのサイトでの試行をブロックしましたが、他のサイトではブロックしませんでした。この不一致の原因を突き止めようとしましたが、唯一の違いは Web サイト上のマルウェアでした。マルウェアは通常、ブルート フォース攻撃の成功の結果であるため、これが理由だとは考えていません。おそらく、機能が散発的に機能するバグがあるようです。事実上、それは無意味です。

Sucuri は、ブルート フォース攻撃の詳細なオプション セットがあるため、私たちに希望を与えてくれました。ブルート フォース攻撃としてカウントされる試行の失敗回数を設定できます。通常、ログイン攻撃は 1 分あたり数 100 回の試行ですが、1 時間あたり 30 回という控えめな試行回数に設定しました。

ロックアウトのすべての設定を見た後、サイトからロックアウトされることに少し不安を感じました. MalCare のログイン保護が試行をブロックしないように、MalCare をオフにしました。しかし、何も起こりませんでした。 3 分間で 40 回以上の不正ログインを試みましたが、Sucuri は警告を発しませんでした。監査ログを確認すると、失敗した認証は問題なく表示されます。しかし、アラートはありません。ロックアウトなし。

活動記録

iThemes には不完全なアクティビティ ログ機能があります。 Sucuri には優れた機能がありますが、あいまいな場合があります。

Sucuri には、ユーザー、プラグイン、およびテーマからのすべてのアクションを追跡する監査ログと呼ばれる機能があります。この機能は期待どおりに機能しますが、設定の 1 つが一時停止しました。 「攻撃者によるログの削除を防ぐ」には API キーが必要です。これは基本的に、Sucuri がウェブサイトのオフサイトに関するデータを収集して保存することを許可します。これは問題ありませんが、彼らが使用する言語は控えめに言っても不快です.これについては、ユーザビリティのセクションで詳しく説明します。

ログはログのように機能し、タイムスタンプ、ユーザー、およびアクションを収集しますが、非常にわかりにくい場合があります。たとえば、プラグインがアクティブ化されていると表示される新しいプラグインをインストールしました。ここまでは順調ですね。ログには、インストールの影響を示す 7 つのエントリがあります。しかし、これらのエントリが何を意味するかについての説明はほとんどありません。おそらく、これらは変更されたファイルまたはフォルダーですか?いいえ、後になって、ギャラリー プラグインであるこの特定のプラグインが投稿のテンプレートを変更していることに気付きました。それは理にかなっていますが、啓示はスクリから来たものではありません.

アクティビティ ログは、Web サイト セキュリティ ツールキットの重要な部分です。ハッカーは不十分なロギングを利用してサイトを攻撃するため、Web サイトに関する正しい情報を共有するために信頼できる信頼できるログを保持する必要があります。

基本的に、iThemes のものとは異なります。ここのアクティビティ ログには、ユーザー アクティビティ、バージョン管理、サイト スキャン、ブルート フォース攻撃などの有用な情報が含まれています。ただし、プラグインやテーマについては何もありません。ファイル変更レポートを毎日メールで送信する別の機能もあります。全体として、ログは Web サイトの正確な全体像を描写していないため、不十分です。

二要素認証

iThemes には、すぐに使える優れた 2 要素認証機能があります。 Sucuriはそうではありません。

この記事やシリーズの他の同様の記事で iThemes を破棄した後、これが iThemes で実際に機能する唯一のセキュリティ機能の 1 つであることを報告できることをうれしく思います。

iThemes の 2 要素認証機能は非常に堅牢です。たくさんのカスタマイズがあり、箱から出してすぐに問題なく動作します。このプラグインは、私たちが強く推奨する強力なパスワードの強制にも役立ちます.

ここでの唯一の懸念は、iThemes プロ バージョンには、使いやすさのためにログイン トークンを削除する設定がたくさんあることです。パスワードなしのログイン、信頼できるデバイス、マジック リンクなどです。これらはログイン プロセスをスムーズにするのに役立ちますが、2 要素認証の目的を無効にします。

Sucuri をテストしたとき、2 要素認証を探しました。 Sucuri ダッシュボードに存在することがわかりました。しかし、WordPress Web サイトではなく、Sucuri アカウントで 2 要素認証を利用できることに気づき、私たちは面白がると同時に困惑しました。

サーバー リソースの使用量

iThemes は何もしないため、サーバー リソースをまったく消費しません。 Sucuri は、スキャンによって Web サイトのパフォーマンスを低下させます。

興味深いことに、セキュリティの観点からサーバー リソースについて尋ねられることはあまりありません。しかし、理想的には、Web サイトを保護し、その過程でクロールが遅くならないようにする必要があります。 Sucuri のスキャナーは、サイトに対してそれを行います。

Sucuri は、Web サイトのサーバー リソースを完全に使用するという主張をスキャンします。実際、その理由で頻繁なスキャンを思いとどまらせているようです。率直に言って、これはひどいです。一方ではパフォーマンスと合理的なサーバー料金、もう一方ではセキュリティのどちらかを選択しなければならないのはなぜでしょうか?しかし、彼らは冗談ではありませんでした。 Sucuri をインストールしてから 2 回目のスキャンを実行するとすぐに、サーバー リソースが急増しました。小規模なサイトで違いが非常に顕著である場合、大規模なサイトではかなり大きくなります。

さらに、ダッシュボードの一般設定には、Sucuri が Web サイト自体に大量のデータ (主にログ) を保存していることを示すように見えるデータ ストレージの設定があります。これがおそらく、API キーが必要な理由です。デフォルトでは、公開されているフォルダーであるアップロード フォルダーにすべて含まれているからです。ストレージを一般公開されていないフォルダーに変更するオプションがありますが、最初はそれがデフォルトであったはずです.

iThemes はサーバー リソースを使い果たすことはありません。何もしないのにどうしてできるの?

アラート

iThemes は何も警告しません。 Sucuri はそうしますが、どのアラートを受け取りたいかについては注意が必要です。受信トレイは数時間でいっぱいになる可能性があります。

Sucuri を使用すると、アラートを特定の人に送信するように設定したり、アラートの形式をカスタマイズしたりできます。 IP アドレス範囲を追加して、それらのアドレスにアラートのフラグが立てられないようにすることもできます。ただし、専門用語がいっぱいの説明には注意してください。 「クラスレス ドメイン間ルーティング」とは '?私たちは知りたくありませんでした。ウェブサイトを保護したかっただけです。

アラートのきめ細かな設定から判断すると、Sucuri は、送信するアラートが多すぎる可能性があることを鋭く認識しているようです。 1 時間に受信するアラートの最大数を構成する設定があり、たとえば最大 5 通のメールです。これの問題は、最初の 5 つが誤検知で、6 つ目がそうでないと仮定することです。そこには免責事項がありますが、役に立たない機能よりも実際の情報を入手したほうがよいでしょう。ここでのポイントは、どの管理者も木を見て森を見るわけではないということです。ノイズが多すぎます。

驚いたことに、私たちはまだ iThemes のレビューを続けており、失われた理由でそれをあきらめているわけではありません。 iThemes は、ファイル変更通知レポート、データベース バックアップ、およびその他の設定の確認を送信してくれました。また、Web サイトに関する毎日のセキュリティ ダイジェストと、週に 1 回の脆弱性レポートも購読していました。 1 つのサイトだけでは不十分でしたが、サイトが増えると完全に手に負えなくなります。

インストール、構成、使いやすさ

iThemes のインストールは、構成オプションがわかりにくいため、驚くほど大変でした。 Sucuri はかなり簡単でしたが、プラグインの構成オプションは恐ろしく困難でした。

iThemes は私たちがテストした最初のプラグインだったので、最初は簡単に見えました。また、最も役に立たない設定の基準を設定しました。セキュリティ ダッシュボードを作成するには、構成を行う必要があります。それぞれの設定を確認しましたが、どれもセキュリティに実際に影響を与えるものではないため、ランダムに設定してそのままにしました。

Sucuri は大騒ぎせずにインストールされ、プラグインはほとんど単独でセットアップされました。有料機能にアクセスするには、Sucuri でアカウントを作成する必要がありました。また、サーバー側スキャナーをインストールするには、Sucuri 外部ダッシュボードを使用する必要があることも指摘しておく価値があります。 FTP の詳細がすぐに利用できる場合は、実行するのは難しくありませんが、マルウェアが検出されなかったため、あまり意味がありません.

wp-admin の iThemes ダッシュボードはノイズです。関連するセキュリティ関連の情報はありません。

Sucuri のダッシュボードと設定は非常に複雑です。私たちは、彼らが使用する技術用語が何を意味するのかを理解しようと何時間も費やしました.場合によっては、プラグインが推奨設定を教えてくれるので、ユーザーは基本的に盲目的に作業しています。唯一の問題は、マルウェア スキャナーが機能しないため、Sucuri が盲目的な信仰を刺激しないことです!

このプラグインが理解しやすくなれば幸いです。非常に複雑で、多くのことを行っているように見えますが、ブルート フォース保護など、重要であることがわかっているいくつかの機能が機能していないように見えるため、確信が持てません。

ファイアウォールとサーバー側のスキャナーは個別に有効にする必要があります。 3 つの Web サイトでこのプラグインを見つけるのに 1 週​​間以上かかりました。私たちは、もっと多くのことを扱う人に何が起こるかを考えると身震いします.設定するのはとても面倒です。

技術者以外のユーザーにとって設定が理解しにくいことを繰り返します。ログ解析ソフトというものがあるとは知りませんでした。また、リバース プロキシに関する興味深いメッセージも見られました。Sucuri は、このオプションが何であるかを理解していない限り、このオプションについて心配する必要はないと言っています。見下した面で混乱させてくれてありがとう。

iThemes:エクストラ

iThemes には非常に精巧なホワイトリスト機能がありますが、サイト ロックアウトの苦情が非常に多いことに気付くまでは驚きでした。これには 2 つの問題があります。1 つは、デバイスの IP が変更されるため、IP をホワイトリストに登録しても、思ったほど保護されないことです。 2 つ目は、ロックアウトをトリガーするために可能な限りのことを試みたことです。しかし、それは起こりませんでした。

ファイル変更モニターは、セキュリティについて何も知らない限り、良いアイデアのように思えるもう 1 つの機能です。ハッカーは、ファイルが何年も編集されていないように見せかけて、ファイルのタイムスタンプを変更することができます。さらに、このモニターにはファイルタイプの除外リストがあります。率直に言って、これはマルウェアに対する理解の欠如を示しています。マルウェアは、たとえば .ico ファイルを含む任意のファイルに隠れる可能性があります。

iThemes には優れたパスワード管理システムがあります。強力なパスワードを強制し、侵害されたパスワードを許可しないようにすることができます。必要に応じて、XML-RPC のアプリケーション パスワードを設定することもできます。

最後に、iThemes には強化機能がいくつかありますが、そのほとんどはまったくお勧めしません。意味のある唯一の方法は、アップロード フォルダーで PHP の実行をブロックすることです。これにより、特定の種類のマルウェア攻撃が防止されます。その他は、完全に無視することをお勧めします。

スクリ:エクストラ

wp-admin の Sucuri のダッシュボードは非常に印象的ですが、すぐに最大のインフォボックスが WordPress の整合性であることがわかりました。これは基本的に、WordPress コア ファイルのファイル変更モニターのドレスアップ バージョンであるため、現在使用している無料バージョンのみを対象としています。

多くのマルウェアがコア ファイルに侵入することを考えると、場合によっては、それが有用であることがわかります。逆に、経験の浅い人はそれがマルウェアの範囲であると信じている可能性があるため、それは恐ろしい考えであるということもわかります.おかしなことに、フラグが立てられた 3 つの wordpress 整合性ファイルのうち 2 つは MalCare のものでした:緊急コネクタとファイアウォールです。

設定のさらに奥には、コア ファイルを比較して違いを見つけるための整合性差分ユーティリティがあります。これは、オンラインの diffchecker ユーティリティよりも使いやすい場合があります。

かなりの数の強化オプションがありました。便利なものもあれば、それほど多くないものもあります。アップロード フォルダーとファイアウォールで PHP をブロックし、wordpress ソルトを変更する自動秘密鍵更新を有効にできる点が気に入りました。

ただし、WordPress のバージョンの確認、WordPress のバージョンの削除、情報漏えいの回避 (WordPress が再作成したばかりの readme ファイルを削除する)、およびデフォルトの管理者アカウントの確認はすべて、セキュリティへの影響がごくわずかなばかげた機能です。率直に言って、セキュリティ業界全体がこれらのトリックから脱却しました。

プラグインとテーマ エディターを無効にすることを選択すると、更新が難しくなります。これらのフォルダー内の PHP ファイルにアクセスする必要がある一部のプラグインとテーマに関する警告が含まれています。これでは不十分です。適切な例:Sucuri 自体はアップロード フォルダーに PHP ファイルを保存します。 Do they not want access to their own files from their external dashboard? Or is that an exception to the rule? In which case, the rule seems flexible in ways that are hidden from the user.

We were interested to check out the post-hack feature on the wp-admin dashboard. After cleaning, you want to make sure you do everything to protect your website from future hacks. We liked the idea, until we looked a little further.

You can update secret keys—change wordpress salts—from the dashboard. The only problem with this is that it is in plaintext, visible to every admin logged into wp-admin. If a hacker has an account with admin access, this is ridiculously dangerous. This feature only makes sense if a user has verified that none of the admin accounts are compromised, and then changes the salts. A point which is not mentioned anywhere.

You can reset user passwords. Again, a seemingly good feature until you read the fine print:“Select users from the list in order to change their passwords, terminate their sessions and email them a password reset link. Please be aware that the plugin will change the passwords before sending the emails, meaning that if your web server is unable to send emails, your users will be locked out of the site.”

There is a place to see available plugin and theme updates, which is basic version management. It doesn’t add anything to the existing admin dashboard functionality. However, it may serve to educate people that outdated plugins and themes are connected to security.

What’s missing from iThemes Security and Sucuri

iThemes doesn’t have a firewall, which is a serious lacuna for your WordPress security. Firewalls protect sites from certain types of attacks, and are invaluable if your website has vulnerabilities.

Sucuri’s malware scanner is not adequate. So, even though the malware removal service is great, you have to guess that there is malware on your website because the scanner is not going to flag it.

iThemes Security vs Sucuri:Pricing

Sucuri’s Basic Platform plan at $199.99 a year per site is a good deal for unlimited malware removal services. However, considering it is supposed to have a working scanner as well, that’s all your sub will get for you. iThemes is not worth anything. Just don’t bother.

We’ve made our opinion about iThemes abundantly clear in this article. The only feature worth mentioning in iThemes is the two-factor authentication, which is available on the free plan. We definitely do not recommend the Pro plan.

Sucuri’s pricing is a steal for a malware removal service, but the fly in the ointment is the scanner. If you don’t know you have malware, you can’t submit a request for removal.

Better alternative to iThemes Security and Sucuri:MalCare

Invest in a good security plugin that will scan, clean and protect your website from hackers. Of all the plugins we tested for this series, MalCare stands out as the best option. MalCare trumps iThemes in, well, everything, and scans for malware better than Sucuri.

In fact MalCare’s $99 Basic plan is better than Sucuri’s $199.99 Basic Platform plan, with instant malware removal as well. It also includes unlimited cleanups

結論

The security of your website is of paramount importance. We’ve seen many customers skimp out on a security plugin, only to face devastating losses after a hack. One customer gave up after a point, and decided to rebuild his website from scratch. Malware is expensive, MalCare is not.

Did the article help you make a decision? We’d love to know! Do drop us a line.