iThemes セキュリティと Wordfence:どちらのセキュリティ プラグインを選ぶべきか?

iThemes Security は、無制限の Web サイトでわずか 199 ドルというお得な価格のように見えます。また、その無敵の価格により、WordPress セキュリティ プラグイン レースで真剣な競争相手となっています.

もう一方のコーナーには、このカテゴリで誰もが認めるヘビー級の Wordfence があります。 Wordfence は、機能が豊富な無料のプラグインと、そのセキュリティ研究およびリソースで知られています。プレミアム バージョンの場合、各サイトで年間最低 $99 の費用がかかります。これはまだ良い取引です。

この段階でも、この 2 つを実際に比較することはできません。ただし、一連のテストで両方を実行しました。

このシリーズでは、トップ 5 のセキュリティ プラグインが、マルウェア、攻撃、および脆弱性とのグラディエーター スタイルの戦いを経験しました。勝者となったのはどっち？読み進めてください。

評決 iThemes セキュリティと Wordfence の比較 不平等な競争です。 Wordfence の無料プラグインは、iThemes Security のプレミアム プラグインよりも桁違いに優れています。 Wordfence には欠点もありますが、少なくとも Web サイトをある程度保護します。 iThemes、それほどではありません。

おすすめ

このシリーズでは、上位の WordPress セキュリティ プラグインをテストして、どれが実際に機能するかを確認したいと考えました。そのために、3 つの Web サイトを作成しました。1 つは、コントロールとしていくつかのプラグインとテーマを備えた単純なブログでした。 2 番目の Web サイトには、脆弱性のある古いプラグインが 3 つありました。人気のあるプラグインからあまり知られていないプラグインまで、一連の脆弱性を備えたプラグインを選びました。そして最後に、マルウェアだらけの Web サイトを手に入れました。

3 つの Web サイト、5 つのプラグイン、45 日間。プラグイン スキャナー、クリーナー、ファイアウォール、ボット保護、ファイアウォール、アクティビティ ログなどをテストしました。新しいマルウェア、古いマルウェア、ファイルベースのマルウェア、データベース マルウェア、リダイレクト ハッキング、製薬会社のハッキング、SQL インジェクション、ブルート フォース攻撃などを考慮しました。

結果は明らかでした。テスト Web サイトをスキャン、クリーニング、保護できたのは MalCare だけでした。 WordPress のセキュリティに安心を求めるなら、MalCare が最適です。

iThemes セキュリティと Wordfence の比較のまとめ

iThemes Security と Wordfence の比較は非常に簡単です。

WordPress のセキュリティを 2 つの極端なものの間のスペクトルと考えてみましょう:一方では保護がなく、誤った安心感があり、他方では誤検知と悲惨な警告があります。 iThemes Security は偽りの安心感を与え、Wordfence はほぼ絶え間ない恐怖の状態に保ちます。

私たちの考えでは、どちらも良い選択肢ではありません。ただし、Wordfence には Web サイトを大幅に保護する優れた無料バージョンがありますが、iThemes Security のプレミアム バージョンでさえ、Web サイトを保護するために何もしません.両極端を避け、優れたセキュリティ プラグインを使用することをお勧めします。

iThemes セキュリティの概要

iThemes Security は、これまで見た中で最悪の WordPress セキュリティ プラグインです。二要素認証や強力なパスワードのサポートなど、いくつかの優れた機能がありますが、それだけです.マルウェア スキャナーは存在せず、マルウェアを駆除することもできず、ファイアウォールについて議論する意味もありません。実際、現在 iThemes を使用している場合は、すぐに Web サイトをスキャンしてください。

興味深い事実:iThemes は、私たちがテストした最初のセキュリティ プラグインです。 Web サイトとセットアップ プロセス全体から、WordPress のセキュリティとは何かを知っているという印象を受けました。残念ながら、そのノウハウは実際のプラグインには反映されていないようです。

マルウェアを駆除するメカニズムがないため、iThemes Security は実質的にマルウェア スキャナーです。また、Web サイトにはファイアウォールがあるとは書かれていません。スキャンは WordPress セキュリティの柱の 1 つですが、唯一のものではないため、これは素晴らしいことではありません。ただし、そもそもまともなスキャナーを持っている場合は、さまざまなプラグインを組み合わせてその機能を提供することができます.

あ、でもそこが問題でした。 iThemes はマルウェア スキャナーではありません。これは脆弱性スキャナーではありません。ウェブサイトの Google ブラックリストをスキャンします。プラグインをインストールしなくても、透明性レポート ページから同じことができます。最大の利点は、スキャンが数秒続いたことです。スキャナーが文字通り数秒ですべての Web サイトのファイルとフォルダーを通過できる方法はありません。

ログイン ページのブルート フォース保護は不完全で一貫性がなく、アクティビティ ログは役に立ちませんでした。それについては後で詳しく説明します。

プラス面として、iThemes Security には優れた 2 要素認証機能があります。また、wp-login に reCAPTCHA を簡単に実装できることも気に入りました。最後に、ユーザーのパスワード管理設定は非常にきめ細かく詳細でした。さらに、フォルダー内での PHP の実行をブロックするなど、いくつかの適切な WordPress 強化機能があります。

全体として、iThemes Security のテストは驚くべき経験でした。私たちはセキュリティを非常に真剣に受け止めており、巧妙な言い回しと誤解を招く機能セットによって、管理者が自分のサイトが保護されていると思い込ませる方法を知ってショックを受けました。実際、iThemes ユーザーには、セキュリティを完全に再考し、Web サイトをすぐにスキャンすることを強くお勧めします。

一言で言えばワードフェンス

Wordfence は、MalCare の後で見つけた最高の無料セキュリティ プラグインです。セキュリティの予算がまったくないウェブサイトに強くお勧めします。ファイアウォールはほとんどの攻撃をブロックし、スキャナーはほとんどのファイルベースのマルウェアを検出し、マルウェア修復機能はそれらのほとんどを取り除くのに役立ちます.マイナス面は、大量の誤検出が発生し、一部のマルウェアが見逃され、緊急ハッキング クリーンアップ サービスが法外に高額になることです。

Wordfence は最も広く使用されているセキュリティ プラグインであるため、Wordfence を試してみることに興奮しました。そして、いくつかの恐ろしい経験 (読んでください:iThemes) の後、プラグインが WordPress のセキュリティをどのように処理したかを確認するのは素晴らしいことです.

後のセクションで詳しく説明しますが、ここではまずセキュリティの主要な側面について説明したいと思います。

Wordfence には適切なスキャナーがあり、無料のプラグインとテーマに含まれていたファイルベースのマルウェアをすべて検出しました。ただし、その有効性についてはいくつかの大きな注意点があります。スキャナーは、データベースベースのマルウェアも、プレミアム プラグインとテーマのマルウェアも検出できません。さらに、スキャンを実行するだけでも、Web サイトにかなりの負荷がかかりました。

次に、マルウェアの自動修復を試みました。嬉しいことに、Web サイトからのすべてのファイルベースのマルウェアがほぼ即座に修復されました。ただし、データベースベースのマルウェアではありません。考えてみると、これはクリーナーとしては優れたパフォーマンスではありませんが、このテストシリーズの他のものよりも明らかに優れていたので、違いを見て本当にうれしく思いました.

ファイアウォールは非常に効果的で、Web サイトを悩ませている主要で一般的な WordPress 攻撃のほとんどをブロックしました。ここで気になる点の 1 つは、ファイアウォールが大量のアラートを生成することです。ドイツの誰かが過去 5 分間に 20 回、20 回の個別の通知で当社の Web サイトをハッキングしようとしたことを本当に知る必要がありますか?いいえ、ありません。私たちの受信トレイは、数日で Wordfence のアラートに埋もれ、もみ殻から小麦を選別することは不可能でした.また、無料ユーザーは、プレミアム ユーザーよりも後にファイアウォールの更新を取得するため、ハッカーが保護されていない Web サイトに侵入する機会が生じます。

それ以外にも、かなりの数のセキュリティ機能があります。 Wordfence はリーンシップを実行し、脆弱性が検出されたときにプラグインを更新するなど、他のすべての機能は wp-admin に任されています。なぜ同じダッシュボードに複製するのでしょうか?ブルート フォースに対する保護はかなり優れており、2 要素認証は堅牢です。

プラグインの非常に使いやすい点にも魅了されました。言葉遣いは親しみやすく、専門用語を過度に使用することなく、率直です。パワーユーザー向けのより高度な機能も設定に隠されています.

ただし、Wordfence 開発者向けの最も読みにくいリストを除いて、アクティビティ ログ自体がないことに驚いた.また、Web サイトのボット保護はまったくありません。最後に、このプラグインにとって最も厄介なことに、機能するには膨大な量のサーバー リソースが必要です。 WebホストがWordfenceの使用を完全に禁止したほどです.

全体として、Wordfence は優れたセキュリティ プラグインですが、Web サイトに最適なプラグインではありません。 MalCare は、優れたスキャナー、効果的なマルウェア クリーニング、およびリアルタイム アップデートを備えた高度なファイアウォールを備えたソリューションです。

セキュリティ プラグインに求めるもの

WordPress のセキュリティは、特にオンラインで入手できるかなりの誤情報に対処するのが厄介な獣になる可能性があります. 1 つ確かなことは、ハッカーは、収益、ビジネス、訴訟、自己負担費用、ブランディング、オーガニック トラフィックなど、さまざまな損失を被る可能性があるということです。適切なセキュリティ プラグインは、ビジネスの他の分野に投資する時間とお金を節約するだけでなく、そのすべてに対抗します.

WordPress Web サイトに適したセキュリティ プラグインをどのように選択すればよいでしょうか?

答えは通常、機能の長いリストです。重要なものもあれば、そうでないものもあります。しかし、すべてのプラグインは 100 以上の機能を売り込みたいと思っていますが、そのほとんどは Web サイトのセキュリティにほとんどまたはまったく影響を与えません.しかし、このリストは問題を混乱させ、WordPress のセキュリティが再び頭を悩ませます。

そこで、セキュリティ機能の重要な (そして短い!) リストをまとめました。このリストのほぼすべてに対応するセキュリティ プラグインを探し、それが備えていない機能については他のソリューションを入手する必要があります。

• 必須のセキュリティ機能
  • マルウェア スキャン
  • マルウェアのクリーニング
  • ファイアウォール
• あると便利なセキュリティ機能
  • 脆弱性の検出
  • 力ずくのログイン保護
  • 活動記録
  • 二要素認証
• 潜在的な問題
  • サーバー リソースへの影響

すべての条件をほぼ満たす唯一のプラグインは MalCare です。 MalCare を選択することで、Web サイトがハッカーとそのマルウェアから利用可能な最高のセキュリティを確実に得ることができます。

iThemes セキュリティと Wordfence の比較:機能の直接比較

このセクションでは、特定の機能について詳しく知りたい場合に備えて、調査結果を詳しく説明しています。 45 日間のテストの後、大量の情報と多くの調査結果が得られました。あなたの読書の喜びのためにここにカプセル化されているすべて.

機能は重要度の高いものから順に並べられており、各要素について両方のプラグインを評価しています。私たちの目標は、見つけたものすべてを可能な限り公平に提示することでした。

ただし、この演習の核心に到達したい場合は、MalCare をインストールすると、私たちが明らかにした恐怖のいくつかについて聞く必要はありません.

マルウェア スキャン

Wordfence のスキャナーは、テスト Web サイトでファイルベースのマルウェアを検出しましたが、データベース内のマルウェアは検出しませんでした。また、プレミアム プラグインとテーマのマルウェアも検出されませんでした。 iThemes Security はそもそも私たちの Web サイトをスキャンしなかったため、明らかにマルウェアを検出することはできませんでした。

Wordfence をインストールすると、最初のスキャンが自動的に設定されます。これまでのところ、とても素晴らしいです。スキャナーをそのままにして、他の機能を数時間調べました。まだ 60% のままであることがわかりました。サイトがかなり小さいことを考えると、何が得られますか?

結局のところ、60% はプログレス バーではなく、無料のスキャナーの有効性を示すパーセンテージです。完全な 100% を得るには、プラグインのプロ バージョンにアップグレードする必要があります。当然のことですが、ダッシュボードに表示される方法は非常にわかりにくいものでした.

スキャンを再開しましたが、非常に迅速に完了したことを嬉しく思います。スキャナーは、すべてではありませんが、ほとんどのマルウェアにフラグを立てました。簡単に検出できたマルウェアは、WordPress のコア ファイルと、無料のプラグインとテーマのファイルとフォルダーに含まれていました。データベース内のハッキングされたリダイレクト マルウェア、およびプレミアム プラグインとテーマに含まれていたすべてのファイルを見逃していました。

Wordfence に多くのファイルベースのマルウェアを投入しましたが、Wordfence はそのほぼすべてを検出しました。シグネチャ マッチング アルゴリズム用の広範なマルウェア データベースを備えているため、マルウェアの約 70 ～ 80% を検出できると予想されます。これは、MalCare のように 95% ほどではありませんが、他のすべてのセキュリティ プラグインよりもはるかに優れています。結局のところ、検出は戦いの半分です。

Wordfence に関する警告は、大量のアラートと多数の誤検知があることです。これらの要因は両方とも、時間の経過とともにアラートの影響を失うことにつながる可能性があり、本物のアラートが見過ごされる危険性があります。また、スキャンの実行には多くのサーバー リソースが必要です。これについては、後のセクションで詳しく説明します。

iThemes スキャナーはマルウェアをまったくスキャンしません。あなたのウェブサイトがブラックリストに載っているかどうかをチェックします。 Sucuri にもこのチェック機能がありますが、第一に、スキャナーとしてラベルを付けず、第二に、Google のブラックリスト以上のものをチェックする良識がありました。私たちのテスト サイトは、インデックスに登録されていないため、明らかにブラックリストに載っていませんでした。では、iThemes のマルウェア スキャン レポートで、マルウェアでいっぱいのサイトのクリーン チットが得られたのはいつですか?感心しません。

マルウェアの駆除

iThemes Security には、自動またはその他の方法でマルウェアを駆除する機能はありません。 Wordfence はマルウェア ファイルを修復できますが、有効性は検出されたマルウェアによって異なります。 Wordfence にはプレミアム マルウェア除去サービスがあり、1 サイトあたり 490 ドルと高額です。

スキャンが完了すると、Wordfence はハッキングされたファイルを処理するための 2 つのオプションを一覧表示します。専門家の助けを得る CTA とは別に、削除可能なファイルをすべて削除し、修復可能なファイルをすべて修復します。

ファイルを削除するとウェブサイトが壊れる可能性があるという恐ろしいメッセージが表示された後、削除オプションはエラーなしで 1 つのファイルを正常に削除しました。確かにそうですが、マルウェアも怖い！とにかく、オプションは湿ったスクイブのようなものだったので、代わりに修理オプションに移りました.修復オプションにも同様の警告がありましたが、電源を入れてほとんどのファイルを修復できました. MalCare のスキャナーでサイトを実行したところ、サイトにはマルウェアが含まれていませんでした。

他のセキュリティ プラグインのほとんどはこの時点で失敗したため、これ以上テストする必要はありませんでした。結果が得られました。ただし、Wordfence のマルウェア シグネチャ データベースは包括的であるため、ネットを広げました。

ハッキングされたリダイレクト マルウェアを Web サイト データベースに追加しました。適切な対策として、日本語のキーワード ハッキングのインスタンスがいくつかありました。また、マルウェアのチャンクをプレミアム プラグインとテーマに隠し、これらがスキャナーとクリーナーをつまずかせるのではないかと疑っています。

出てきた結論は、Wordfence チームがマルウェアを確認した場合、ファイルの修復は機能するというものでした。そうでなければ、そうではありません。データベースにマルウェアがある場合も、Wordfence は失敗します。そのため、リダイレクト ハッキングのようなマルウェアや、新しいマルウェアでさえ、確実に見逃されます。また、コア以外の WordPress ファイルや非公開のプラグインやテーマに含まれるマルウェアも見逃されます。 Wordfence は、プレミアム プラグインとテーマでマルウェアを検出できません。

自動修復が機能しない場合は、Wordfence のマルウェア除去サービスを選択できます。このサービスは、マルウェアやバックドアを削除し、サイトの脆弱性を評価します。 Wordfence は、マルウェアに感染したサイトをブラックリストから削除するのにも役立ちます。サイトのクリーンアップは、サイト管理者がハッキング後の指示に従っている場合にのみ、1 年間保証されます。 試していないため、マルウェア削除サービスの有効性についてはコメントできません。

前に述べたように、iThemes Security はマルウェアを駆除できないため、これ以上言うことはありません。

私たちの経験では、マルウェアのクリーニングは WordPress セキュリティの最も重要な側面です。恐ろしい事態に陥る可能性が非常に高いため、これは絶対にセキュリティの専門家だけが行うべきです。 MalCare は、マルウェアを自動的にクリアし、セキュリティの専門家にアクセスして、発生する可能性のある問題を解決するオプションを提供します。

ファイアウォール

iThemes Security にはファイアウォールがありません。 Wordfence には、ほとんどの主要な一般的な脅威から効果的に保護する Web アプリケーション ファイアウォールがあります。ただし、無料版はプレミアム版よりも後で更新されます。

WordPress ファイアウォールは、ルールを使用して攻撃や悪意のあるトラフィックを遮断するため、セキュリティ アーセナルの重要な部分です。私たちがレビューしたほとんどのセキュリティ プラグインでは、技術的な詳細については説明を避けました。これは、ファイアウォールがひどいか存在しないため意味がなかったからです。しかし、Wordfence を使用すると、状況が少し複雑になります。

Wordfence をインストールすると、ファイアウォールは直接学習モードになりました。これは、ファイアウォールがサイトの通常のトラフィックを理解し、脅威をより効果的にブロックできるようにするために必要な手順です。ウェブサイトへのトラフィックがないため、学習モードをすぐにオフにしましたが、少なくとも 1 週間はオンにしておくことをお勧めします。

Wordfence ファイアウォールを管理する別のセクションがあるため、次にそれを調べました。初めて見ると、ファイアウォールとは何か、Web サイトを保護するために何をするのかが説明されています。また、ここでは「Web アプリケーション ファイアウォール」という用語を簡単な説明とともに紹介します。

無料とプレミアムの両方のファイアウォールをテストした結果、Wordfence が両方のバージョンで優れたファイアウォールを備えていることは明らかです。どちらも、一連の SQL インジェクション攻撃、クロスサイト リクエスト フォージェリ、リモート コード インジェクション、およびクロスサイト スクリプティング攻撃を阻止しました。プラグインとテーマの脆弱性を悪用できませんでした。

無料版とプレミアム版の違いは何ですか?

ファイアウォール オプションでは、Wordfence が違いを説明しています。無料バージョンは、WordPress が読み込まれた後に通常のプラグインとして読み込まれます。さらに、プレミアム バージョンはリアルタイムでルールの更新を受け取りますが、無料バージョンは指定されていない時間の経過後に更新を受け取ります。

これらのことは両方とも私たちに一時停止を与えました.

まず、最善の保護のためにファイアウォールを最初にロードする必要がありますが、ファイアウォールを備えたほとんどのセキュリティ プラグインは、通常のプラグインのように WordPress の後にロードされることがよくあります。この場合、Wordfence ファイアウォールは悪意のあるトラフィックのほとんどを遮断できますが、すべてを遮断することはできません.

次に、Wordfence には最新のファイアウォールがありますが、非プレミアム ユーザーは後で更新されます。ハッカーはその間に攻撃できるため、そのウィンドウでさえ問題があります。無料のファイアウォールはいつルールの更新を取得しますか:数日後、数週間後、または数か月後?知るか。

当然のことながら、iThemes にはファイアウォールがありません。

脆弱性の検出

iThemes Security は脆弱性を検出することはできず、ましてや脆弱性を解決することはできません。 Wordfence は、人気があるかどうかに関係なく、Web サイトに埋め込まれたすべての脆弱性を検出しました。

Wordfence は、脆弱性が発見されたすべての古いプラグインを重大な脅威として正しくフラグ付けしました。リストには、ユーザーが 200 人未満のあいまいなプラグインも多数含まれています。他のプラグインはこれらの脆弱性を検出できませんでしたが、Wordfence が検出したことは新鮮です.スキャナーは、古いプラグインに中程度の脅威としてフラグを付けることさえしました。これは、常にすべてを最新の状態に保つのに適しているため、優れています.

Wordfence ダッシュボードから脆弱性を直接修正することはできません。 Jetpack や Sucuri などの他のプラグインのほとんどは、更新を推奨し、同じパネルからそれらを実行できるようにしました。しかし、Wordfence を見回すと、それを行う方法はありません。ただし、更新ダッシュボードに移動しますが、これで十分です. wp-admin に既に存在する既存の機能を複製する論理的な理由はありません。

興味深いことに、スキャナーは、テスト サイトの 1 つにインストールした iThemes および BackupBuddy プラグインのエラーも示しました。プラグインにコーディングの異常があるようです。

iThemes スキャナーが少なくとも脆弱性をチェックすることを期待していましたが、マルウェア スキャナーとしての悲惨な失敗を考慮しています。ええ、いいえ。

さらに、iThemes ダッシュボードには、プラグインがインストールされてから行われた更新の数を示すカウンターがあります。メトリクスのこの貧弱な言い訳は、プラグインとテーマの更新を追跡するのに役立つと思われます.しかし、そうではありません。

ブルート フォース ログイン保護

iThemes はブルート フォース攻撃をブロックする場合とブロックしない場合があります。 Wordfence は、すべてのブルート フォース攻撃を確実にブロックします。

iThemes では、一貫性のないブルート フォース ブロックが見られました。ログインページに一連の不正な資格情報を入力しようとしたところ、iThemes は 1 つのサイトでの試行のみをブロックし、他のサイトではブロックしませんでした.両方のサイトの唯一の違いは、最初のサイトにはマルウェアがあり、2 番目のサイトにはなかったということです。マルウェアは通常、ログイン攻撃が成功した結果であるため、この違いが原因であるとは考えにくい.テストを数時間繰り返した後、結果は決定的ではありませんでした。最終的に、何がバグのように見えるかを突き止めることを断念しました。

深いフラストレーションの中でこの演習を行った後、iThemes のログを確認しました。パスワードを本当に忘れたときでさえ、不正なログイン試行はすべてブルート フォース攻撃として登録されました。それでも、プラグインはそれらすべてをブロックしませんでした.非常に奇妙であり、したがって信頼できません。

Wordfence では、最初に設定を確認しました。ブルートフォース保護はデフォルトで有効になっており、ファイアウォールセクションに移動してオプションをカスタマイズできます.

不正なログイン試行に対するロックアウトを設定できます。また、一定回数の不正なログイン試行後にユーザーがロックアウトを経験する時間も設定できます。特に優れているのは、各オプションが何をするのか、サイトを保護するために最も効果的に使用する方法が優れたドキュメントで説明されていることです.

ファイアウォールによってテストされない IP の許可リストを設定できます。この機能は多くのプラグインで見られますが、デバイスの IP を変更するとあまり意味がありません.

強力なパスワード オプションもここにあります。強力なパスワードを強制したり、データ侵害で見つかったパスワードの使用を防止したりできます。

最後に、テストに取り掛かりました。ブルート フォース保護は、選択した設定とまったく同じように機能します。毎回パーフェクト。

活動記録

iThemes アクティビティ ログはすべてのイベントを記録するわけではないため、役に立ちません。 Wordfence にはアクティビティ ログがまったくありません。

私たちは控えめなアクティビティ ログを大いに支持しています。ハッカーは不十分なロギングを利用してサイトを攻撃するため、必要なセキュリティ ツールです。理想的には、Web サイトの進行状況に関する正しい情報を含む信頼できるログが必要です。

したがって、iThemes のものとは異なります。 iThemes アクティビティ ログには、ユーザー アクティビティ、バージョン管理、サイト スキャン、ブルート フォース攻撃などの有益な情報が記録されています。しかし、これらは正確に記録されていないため、正しい画像を表示することは信頼できません。それとは別に、プラグインやテーマについては何もありません。

驚いたことに、Wordfence にはアクティビティ ログがありません。 [ツール] の下の [診断] セクションからデバッグを有効にするオプションがあり、ファイアウォール ログをより詳細にすることができます。スキャン セクションにのみ Wordfence イベントの完全なアクティビティ ログがありますが、これはアクティビティ ログとは異なります。さらに、これは Wordfence 開発者のみを対象とした生のログです。デバッグ モードを有効にすると、より多くのサーバー リソースも消費します。そのセクションで非常に明確に述べられています。

二要素認証

iThemes には、箱から出してすぐにシームレスに機能する優れた 2 要素認証があります。 Wordfence と同じです。

2 要素認証は、両方のプラグインで完全に機能します。どちらも優れたオプション セットと最小限のセットアップを備えています。 Wordfence では、2 要素認証はプレミアム機能でしたが、現在は無料ユーザーにも有効になっています.

iThemes のプロ版については、小さな観察結果が 1 つだけあります。プロ バージョンには、ログイン トークンを削除する多くの設定があります。パスワードなしのログイン、信頼できるデバイス、マジック リンクなどです。私たちの意見では、彼らはログイン プロセスを簡単にすることで、2 要素認証の原則に真っ向から反対しています。

サーバー リソースの使用量

iThemes はサーバー リソースに非常に優しく、何もしません。 Wordfence は、サーバー リソースに莫大なコストがかかるため、特定の Web ホストによって実際に禁止されています。

Wordfence を実際に試してみることができて、とても興奮しました。しかし、Web サイトのパフォーマンスを確認したところ、本当に驚きました。 Wordfence のスキャンが行われたため、スキャンによって Web サイトのディスク使用量が 2 倍、場合によっては 3 倍になりました。私たちのテストサイトは非常に小さいため、最初からあまり多くのリソースを消費しないことを認識していますが、それでも大幅な飛躍です.大規模なサイトでは、ペナルティはかなりのものになります。

実際、デフォルト設定を変更すると、より多くのサーバー リソースが消費されるという警告が表示されます。その場合、Wordfence はサイト サーバーのリソースを使用してすべてのタスクを実行すると想定しても問題ありません。

これは十分に悪いことですが、ファイアウォールを使用するとさらに悪化します。これらのエクスプロイトから保護されていても、継続的な攻撃は Web サイトを圧倒します。

サーバー リソースの使用量が Web サイト セキュリティの話題として取り上げられることはめったにありませんが、多くの場合、セキュリティ プラグインは Web サイトのパフォーマンスに顕著な影響を及ぼします。管理者がセキュリティと使いやすさの間でトレードオフを行う必要があるほどです。これは決してあってはならないことだと思います.MalCareでケーキを食べて食べることもできます.

iThemes はサーバー リソースに最適です。サイトのセキュリティについても同じことは言えません。

アラート

iThemes はアラートを送信しません。 Wordfence の送信数が多すぎます。

アラートは、ゼロと多すぎる間のスイート スポットを設定する必要があります。最終的な結果として、Web サイトの実際のセキュリティがどのようなものなのか見当がつかないため、どちらも同様に悪い極端です。

Wordfence のスキャナーは多くの誤検知を生成する可能性があるため、Web サイトがいつ実際にハッキングされているかはわかりません.ある時点で、オオカミ少年のようになることができます。ファイアウォールと同じです。ファイアウォールは、目的を果たさないため、毎回アラームを発生させずに攻撃をブロックする必要があります.したがって、私たちの意見では、Wordfence が生成するアラームが多すぎてまったく役に立ちません。

iThemes は、ファイルの変更通知レポート、データベースのバックアップ、およびその他の設定の確認など、まったく平凡で役に立たない電子メールを大量に送信します。また、当社の Web サイトに関する毎日のセキュリティ ダイジェストと、毎週の脆弱性レポートもあります。これは私たちの知識のためであると考えているため、1 つまたは複数の Web サイトで問題のあるプラグインとテーマを手動で更新できます。

インストール、構成、使いやすさ

Wordfence は魔法のようにインストールされます。複雑な設定やあいまいな構成はありません。一方、iThemes は本当に大変でした。

iThemes は一見簡単に始めることができますが、徐々に多くの役に立たない設定に発展します。ダッシュボードを作成する前に、長い構成を行う必要があります。正直なところ、兆候を読んで、これを失われた原因としてあきらめるべきでした.しかし、私たちは、より大きな利益のために力を発揮する罰に対して大食いです。

Wordfence のインストールは非常に簡単で、事前に構成オプションはありません。ポップアップする最初の画面は電子メールのサブスクリプションで、受信トレイにセキュリティ ニュースが届くことが明確に示されています。次の画面は、プレミアムへのアップグレードを促すプロンプトです。この時点では、無料のプラグインにどのような機能があるかわからなかったため、すぐにプレミアム ライセンスを導入しませんでした。

初めて wp-admin のダッシュボードにアクセスすると、3 つのツールチップのウォークスルーがあります。 Wordfence の使いやすさと言語は素晴らしいです。機能と、それらがセキュリティに与える影響について明確な説明があります。それは圧倒されることも、馬鹿げたこともありません。

ダッシュボードのデザインは非常に直感的で、Web サイトに関連するセキュリティの重要な側面をすべて一目で確認できます。全体として、Wordfence の第一印象は素晴らしいものでした。

さらに、Wordfence は構成に関する有用な推奨事項を提供します。ダッシュボードのツールチップからアクセスできるドキュメンテーションは、非常にコンテキストに依存しています。各機能の機能とその理由、および Web サイトで機能するように最適に設定する方法を明確に説明しています。繰り返しになりますが、使用されている言語がいかに親しみやすいものであるかは注目に値します。

iThemes:エクストラ

セキュリティの重要な側面を見直し、iThemes が著しく欠けていることを発見した後、このセクションはほとんどばかげているように思えます。

iThemes has stuffed the plugin with a great deal of features, which have little to no impact on security. Case in point:the whitelist IP feature. Our device IPs change all the time, so this is no guarantee that certain people will be let through to the site, which is presumably the point.

There is also a file change monitor, which sends a report to your email address every 24 hours. The report contains a list of all the changed files. Not what the change was, who did it, or when exactly it happened. Nope, just an email saying:“Hello! All this on your site is now different from what it was yesterday.さよなら！"

Once we got over our irritation, we wanted to acknowledge that iThemes has a good password management system. You can enforce strong passwords, and refuse to allow compromised passwords to be used on the site. We weren’t able to test this conclusively, but again the results were patchy.

There is one useful hardening feature:blocking PHP execution in the uploads folder. The others are nonsense.

Wordfence:Extras

Wordfence extras are all strictly security-related. No adjacent helpful features, like updates or user management options. Having said that, there are a lot of extras.

After the initial installation, we saw a notifications section for site updates. On our test site, it showed us that 5 plugins needed to be updated.

There is a Wordfence Central status which allows you to manage multiple sites from the wp-admin of each site. This makes sense if you have a few sites on the same account, but the space is limited and won’t work for agencies with hundreds of sites. Good thing there is an external dashboard. You have to create an account on the Wordfence website to access Wordfence Central. In our opinion, it doesn’t make sense in having the central box on the site dashboard.

We added all the test sites to Wordfence Central and got a bird’s eye view of all them. It isn’t the best layout for anything more than 20 sites. The idea is good, the execution is lacking.

Next we checked out the Tools section. There is a panel for live traffic, which at first glance, seemed like a version of Google Analytics, but turned out to be more than that. You can set the traffic logs to include all traffic or just security related traffic. The logs are great, because there is a clear legend to indicate what kind of traffic the website is getting:human, bot, warning, blocked.

There is also a Whois lookup, in case you want to see who is attacking your website. This is a frill at best, because this feature is easily available online too.

The Diagnostics one is an interesting feature. It contains a whole bunch of information about the website, right from process owners to database tables and more besides. It is like a spec of the website in one place, along with the status of each of those things. Hard to imagine how an ordinary user (non-dev) would use any of this info, but definitely useful for a developer.

What’s missing from iThemes Security and Wordfence

iThemes is missing a scanner, cleaner and firewall. Also, it would be nice if it had functional brute force protection and activity log, and detected a vulnerability on occasion.期待できます。

Wordfence doesn’t have bot protection nor an activity log. Other than that, it is a comprehensive and well-rounded security plugin.

Wordfence vs iThemes Security:Pricing

It is not worth buying iThemes Security, because its only worthwhile feature is two-factor authentication, which is available for free. Wordfence premium is available for $99 for the year, but the free version is strong enough on its own.

Wordfence’s free plugin is really great, considering it is free. The premium licenses are at a max of $99 per site, and get progressively lower with the more licenses you purchase.

The real kicker is the site cleaning service which is a hefty $490 per site, and although they say unlimited pages in the features, additional charges may apply for sites above 10 GB—which, fair enough. They do have a malware removal guarantee for 1 year, but there are caveats in the small print. So read those carefully.

After reading this article, you know that iThemes isn’t worth your money. Use it for two-factor authentication or get a dedicated plugin for that feature.

Better alternative to iThemes Security and Wordfence:MalCare

The best thing you can do for your website is to invest in a good security plugin. The plugin should scan, clean and protect your website from all manner of threats. During our testing series, only one plugin stood out:MalCare. It outshines iThemes in every way, and has a much better scanning, auto-cleaning, firewall, and notifications compared to Wordfence. It is a no-brainer.

MalCare’s $99 Basic plan includes unlimited cleanups, which is equivalent to Wordfence’s $99 plan and $490 per cleanup needed thereafter.

結論

We hope this article helped you decide on a way forward for your website security. If you have any questions or thoughts, do drop us a line.ご連絡をお待ちしております。