언뜻보기에 iThemes Security는 WordPress 웹 사이트를 위한 훌륭하고 저렴한 보안 플러그인처럼 보입니다. 특히 단 199달러로 무제한 웹사이트를 보호할 수 있다고 생각한다면 더욱 그렇습니다.
반면에 Sucuri는 사용 가능한 가장 인기 있는 WordPress 보안 플러그인 중 하나입니다. 스캐너와 방화벽으로 펀치를 포장하고 맬웨어 제거도 제공합니다. 그래서 이미 이 대결에서 iThemes의 행진을 훔쳤습니다.
그러나 실제로 어떤 보안 플러그인이 해커와 맬웨어로부터 최상의 보호를 제공하는지에 따라 달라집니다. 3개의 웹사이트에서 WordPress용 5가지 최고의 보안 플러그인을 테스트했습니다. 웹사이트는 맬웨어와 취약점으로 가득 차 있었고 우리는 플러그인을 그 속도에 맞춰 넣었습니다. 계속해서 테스트 결과를 확인하고 WordPress 웹사이트를 실제로 보호할 플러그인을 알아보세요.
평점 iThemes 보안 대 Sucuri:iThemes는 경쟁에서 완전히 밀려났습니다. 이 대회에서 Sucuri는 의심할 여지 없이 승자였습니다. 그럼에도 불구하고 우리는 여전히 Sucuri가 웹 사이트를 보호하는 것을 신뢰하지 않을 것입니다. 아래에서 테스트에 대한 자세한 내용을 확인하세요.
우리의 선택
보안 플러그인을 테스트하기 위해 3개의 WordPress 웹사이트를 만들었습니다. 하나는 테스트 컨트롤로 일반 블로그였습니다. 다음으로 두 번째 웹사이트에 취약점이 게시된 오래된 플러그인 3개를 설치했습니다. 마지막으로, 우리는 파일과 데이터베이스 모두에 멀웨어와 백도어로 가득 찬 세 번째 웹사이트를 채웠습니다. 우리는 쭉정이에서 밀을 분류하기 위해 마지막 웹 사이트에서 계산했습니다. 그리고 소년, 해냈어.
각 플러그인은 45일 동안 진행되었습니다. 우리는 스캐너, 클리너, 방화벽, 무차별 대입 방지 기능을 테스트했습니다. 결국 결론은 모호하지 않았고 MalCare가 모든 면에서 승리했습니다.
이 기사 시리즈에 대한 우리의 질문은 간단했습니다. 해커로부터 WordPress 웹사이트를 보호하는 보안 플러그인은 무엇입니까? 정답은 분명합니다. MalCare입니다.
iThemes Security와 Sucuri 비교 요약
iThemes Security는 WordPress 보안 플러그인의 플라시보입니다. 웹사이트가 해커로부터 안전하다고 생각하지만 실제로는 희망적인 생각과 긍정적인 분위기를 보호하고 있습니다. Sucuri는 의심할 여지 없이 더 좋지만 더 낫다는 것은 결국 상대적인 용어입니다. 훌륭한 보안 플러그인이 아닙니다.
iThemes 보안 요약
결론은 iThemes가 귀하의 웹사이트를 보호하지 않는다는 것입니다. WordPress 보안을 위해 iThemes를 고려하는 경우 iThemes를 건너뛰는 것이 좋습니다. 그리고 이미 설치되어 있다면 즉시 웹사이트를 스캔하십시오. 귀하의 웹사이트에는 보안이 없습니다.
iThemes에 대한 우리의 첫인상은 실제로 호의적이었습니다. 웹 사이트는 훌륭한 게임에 대해 이야기하고 WordPress 보안에 대해 말하는 권위 있는 방식으로 인해 자신감을 심어줍니다. 우리가 볼 수 있는 유일한 결함은 플러그인을 사용하여 멀웨어를 치료할 수 없다는 것입니다. 이상적이지는 않지만 여전히 스캐너로 작동할 수 있습니다.
또는 그렇게 생각했습니다.
iThemes 스캐너는 맬웨어를 감지하지 않습니다. 조금도. 스캔이 몇 초 만에 끝나기 때문에 파일과 데이터도 스캔하지 않는다고 추측할 위험이 있습니다. iThemes '스캐너'가 하는 일은 Google의 투명성 보고서를 확인하여 귀하의 웹사이트가 해당 목록에 있는지 확인하는 것입니다. 이를 위해 보안 플러그인이 필요하지 않습니다. 우리는 웹사이트를 확인하기 위해 다시 갔고 기능에 맬웨어 검사가 명시적으로 표시되어 있지 않다는 사실에 놀랐습니다. 맬웨어 감지는 WordPress 보안의 핵심 단계 중 하나라고 합니다. 우리가 그것을 본 적이 있다면 그것은 이중적 인 말입니다.
우리는 ithemes 테스트를 쓸모없는 것으로 무시하고 싶었지만 공정성을 위해 계속했습니다.
플러그인에는 로그인 페이지에서 활성화할 수 있는 견고한 2단계 인증 기능이 있습니다. 또한 폴더에서 PHP 실행을 차단하는 것과 같은 몇 가지 괜찮은 강화 기능이 있습니다. 즉, 무차별 대입 로그인 보호는 일부 시간에만 작동합니다. 플러그인에 대한 또 다른 블랙 마크.
iThemes를 사용하여 얻은 결론은 보안 가치의 유일한 기능은 2단계 인증과 wp-login에서 reCAPTCHA를 쉽게 구현한다는 것입니다. 그러나 이 두 기능은 199달러를 보증하지 않습니다. 왜냐하면 실제 보안 외에도 동일한 기능을 제공하는 더 나은 보안 플러그인이 있기 때문입니다.
iThemes 테스트는 존재하지 않는 보안으로 보호되고 있다고 믿는 웹사이트의 수를 상상할 수 없기 때문에 끔찍한 경험이었습니다. 사실, iThemes 사용자는 지금 바로 웹사이트를 스캔해야 합니다.
간단히 말해 수쿠리
Sucuri는 괜찮은 방화벽과 훌륭한 맬웨어 제거 서비스를 제공하지만 맬웨어 스캐너로서는 눈에 띄게 실패했습니다. 웹 사이트에 맬웨어가 있다는 것을 모르는 경우 제거할 방법이 없습니다. 이것은 보안 플러그인의 타협할 수 없는 부분입니다.
우리가 Sucuri를 테스트하기 시작했을 때 우리는 많은 것을 기대했습니다. 그것은 WordPress용으로 가장 인기 있는 보안 플러그인 중 하나이며 스캐너가 해킹된 테스트 사이트에서 맬웨어를 감지하지 못하는 것을 보고 놀랐습니다. 이후 섹션에서 더 자세히 다루겠지만 이것이 전체 테스트 프로세스의 분위기를 조성합니다.
실패 외에도 스캔 자체는 완료하는 데 오랜 시간이 걸리고 이를 수행하는 데 서버 리소스를 사용합니다. Sucuri 자체는 웹 사이트 성능에 영향을 미치기 때문에 너무 많은 스캔을 권장하지 않습니다. 성능과 보안 사이에 끔찍한 절충안이 있으며, 그렇게 되어서는 안 됩니다.
방화벽 및 맬웨어 제거 서비스로 이동하여 Sucuri는 잘했습니다. 방화벽은 구성하기가 매우 어려웠고 그렇게 하는 데 너무 많은 시간이 걸렸습니다. 하지만 우리가 시도한 공격을 차단했고 취약점을 악용할 수 없었습니다.
맬웨어 제거 서비스는 테스트 경험의 하이라이트였습니다. 스캐너가 해킹된 웹사이트에 깨끗한 상태의 건강 계산서를 제공했지만 우리는 그것이 맬웨어로 가득 차 있다는 것을 알고 있었습니다. 우선, 우리는 거기에 맬웨어를 넣었고, 두 번째로 MalCare 검사에서 이 진단을 확인했습니다. Sucuri 팀은 우리 사이트에서 모든 맬웨어 흔적을 제거했으며 결과적으로 매우 깨끗했습니다. 환상적이야! 이 케이크의 핵심은 계획의 일부로 맬웨어 제거 요청을 무제한으로 할 수 있다는 것입니다.
방화벽을 제외하고 설정은 매우 모호합니다. 우리는 사용된 많은 전문 용어에 대해 의아해하는 자신을 발견했으며 이는 WordPress 보안에 대한 전문 지식입니다. 인터페이스는 사용자 친화적이지 않으며 많은 사람들이 불필요하게 놀라움을 금치 못할 것입니다. 거기에 Sucuri의 마이너스 포인트.
대체로 Sucuri가 WordPress 웹 사이트를 위한 최고의 보안 솔루션이라고 생각하지 않습니다. 매번 작동하는 스캐너 덕분에 MalCare가 그 영예를 안았습니다. MalCare는 또한 우리가 둔감해지지 않도록 보너스 포인트를 받습니다.
WordPress 웹사이트에 적합한 보안 플러그인을 선택하는 방법
WordPress 웹사이트의 보안은 타협할 수 없습니다. 맬웨어는 수익 손실, 소송, 정리 비용, 브랜딩에 대한 영향, 유기적 트래픽 손실 등 기업에 수많은 손실을 초래할 수 있습니다. 올바른 플러그인에 투자하면 해커와 맬웨어, 그리고 맬웨어가 그 여파로 남기는 문제로부터 당신을 구할 수 있습니다.
하지만 문제는 웹사이트에 효과적인 보안 플러그인을 선택하는 방법입니다.
테스트를 설정할 때 고려해야 할 몇 가지 요소가 있었습니다. 보안은 물론 사용 편의성과 비용 대비 가치도 마찬가지였습니다. 그러나 플러그인이 보안에 얼마나 효과적인지 고려해야 하기 때문에 보안을 제외한 모든 요소가 의미가 없다는 것을 곧 깨달았습니다.
따라서 보안 플러그인을 선택할 때 고려해야 할 요소는 다음과 같습니다.
- 필수 보안 기능
- 맬웨어 검사
- 맬웨어 제거
- 방화벽
- 좋은 보안 기능
- 취약점 감지
- 무차별 대입 로그인 보호
- 활동 기록
- 이중 인증
- 잠재적 문제
- 서버 리소스에 미치는 영향
목록에서 볼 수 있듯이 3가지 요소만 완전히 필수입니다. MalCare는 3가지 모두에서 에이스:다른 플러그인이 놓칠 수 있는 맬웨어를 검사 및 치료하고 강력한 방화벽으로 악성 트래픽으로부터 웹사이트를 보호합니다. 또한 MalCare는 현재 사용 가능한 다른 보안 플러그인보다 더 잘 수행합니다.
iThemes Security 대 Sucuri:기능의 일대일 비교
우리가 이 비교를 배치한 방법은 가장 중요한 기능을 먼저 취한 다음 테스트 중에 발생한 다른 관찰에 대해 논의하는 것입니다. 우리는 거의 아무 것도 하지 않는 기능과 설정(iThemes에 대해 이야기하고 있음)을 보았지만 보안에 대한 정교한 환상을 그렸습니다.
겨를 자르고 밀까지 가는 것은 쉽지 않았지만 모든 데이터를 가능한 한 명확하고 공정하게 제시할 것입니다.
이 분해를 건너뛰려면 MalCare를 설치하는 것이 좋습니다.
맬웨어 검사
Sucuri의 스캐너는 웹사이트에서 악성코드를 탐지하지 못했습니다. 검사를 얼마나 빨리 완료했는지 판단하면 iThemes는 웹 사이트에서 맬웨어를 검사하지도 않았습니다.
Sucuri의 무료 및 유료 버전에는 모두 스캐너가 있으므로 성능이 다른지 살펴보고 싶었습니다. 무료 버전은 웹사이트에서 공개적으로 보이는 부분에 멀웨어가 있는지 검사하는 온라인 유틸리티인 Sucuri SiteCheck에서 제공합니다. 물론 여기에는 한계가 있으므로 SiteCheck의 깨끗한 정보가 맬웨어 없는 웹 사이트를 보장하지 않습니다.
유료 플랜에는 웹 서버에 설치해야 하는 서버 수준 스캐너가 포함되어 있습니다. 수동으로 수행하거나 FTP 세부 정보를 Sucuri 대시보드에 입력하여 자동으로 설치할 수 있습니다. 비교적 고통스럽지 않은 과정이었습니다.
스캐너는 매일 실행되도록 설정되어 있지만 어느 정도는 필요할 때 스캔할 수 있습니다. 추가 스캔 요청은 대기열에 넣은 다음 실행됩니다. 스캔이 서버 리소스를 사용하기 때문에 Sucuri는 스캔을 너무 많이 사용하지 않도록 경고합니다.
Sucuri가 웹 사이트의 리소스를 사용하여 스캔을 실행한다는 것을 깨달았기 때문에 잠시 멈췄습니다. 테스트 사이트의 경우 사이트가 작고 외부 트래픽이 없기 때문에 배수가 너무 심하지 않았습니다. 그러나 우리는 확실히 CPU 사용량이 감소하는 것을 보았습니다. 이에 대한 자세한 내용은 이후 섹션에서 설명합니다.
또한 프로 버전은 해킹된 웹사이트에서 악성코드를 감지하지 못했습니다. MalCare 검사 결과가 멀웨어를 명확하게 찾아냈기 때문에 이는 놀라운 일이었습니다. 그래서 수동 제거 요청을 제기했습니다. Sucuri 팀에서 요청을 처리한 후 MalCare에 사이트가 깔끔하게 표시되었습니다. 그러나 그때는 Sucuri 스캐너가 웹사이트에서 맬웨어를 표시한 때입니다. 그것은 매우 이상했다.
운 좋게도 iThemes 스캐너에는 문제가 없었습니다. 순수하고 단순한 맬웨어를 검색하지 않습니다. iThemes 스캐너는 귀하의 웹사이트가 Google의 블랙리스트에 있는지 여부만 확인합니다. 그게 다야 우리 사이트가 인덱싱되지 않았기 때문에 블랙리스트에 실제로 포함되지 않은 것을 보고 놀라지 않았습니다.
맬웨어 제거
맬웨어 치료는 imes 기능 목록에 없으므로 분명히 맬웨어를 치료할 수 없습니다. Sucuri는 유료 계획의 일부로 무제한 맬웨어 제거 서비스를 제공합니다. 귀하의 계획에 따라 귀하의 웹사이트는 6시간에서 30시간 사이에 정리될 것입니다.
Sucuri의 스캔 결과에 우리 웹사이트에 멀웨어가 없다고 나와 있었지만 그렇지 않다는 것을 분명히 알고 있었습니다. 파일과 데이터베이스 등 모든 곳에 멀웨어가 있었습니다. 우리는 또한 좋은 측정을 위해 거기에 많은 백도어를 가지고 있었습니다. MalCare 스캐너는 테스트 사이트가 실제로 맬웨어에 감염되었음을 확인했습니다.
그래서 저희는 Sucuri에 악성코드 제거 요청을 제기하여 사이트에 악성코드가 있다는 의심을 분명히 했습니다. 요청을 제기하려면 양식을 작성하고 청소를 위한 FTP 세부 정보를 제공해야 합니다. 그런 다음 결과를 기다리십시오.
참고 사항:제거 요청 양식에 잠재적인 증상을 나열하는 흥미로운 드롭다운이 있었습니다. 또한 우리의 즐거움을 위해 귀하의 기술 숙련도를 표시해야 했기 때문에 다음과 같이 선택했습니다. "숙련이 없습니다. 모든 것을 명확하게 설명하십시오. "
Sucuri 덕분에 팀은 우리 사이트에서 모든 맬웨어를 제거했습니다. 또한 계획 조건에 30시간 이내에 해결될 것으로 예상했지만 10시간 이내에 답변을 받았습니다. 그래서 Sucuri의 맬웨어 제거 서비스에 대한 큰 엄지손가락이었습니다.
우리는 MalCare에서 모든 맬웨어가 제거되었음을 확인한 다음 Sucuri의 스캐너가 팀이 정리한 후 사이트를 감염된 것으로 표시한 것을 보고 놀랐습니다. 이상했습니다.
반면에 iThemes는 악성코드를 치료할 수 없으므로 테스트할 항목이 없습니다. 고맙게도 그들은 웹사이트에서 그렇게 한다고 주장하지 않습니다.
솔직히 말해서 맬웨어 치료는 WordPress 보안에서 가장 어려운 부분이며 종종 가장 값비싼 부분입니다. Sucuri의 유료 플랜에는 무제한 클린업이 있는데, 취약점이 해결되지 않으면 맬웨어가 다시 발생할 수 있기 때문에 매우 좋습니다. 청소 서비스에서 발견한 결함이 있는 경우 해결을 위해 잠시 기다려야 합니다. 맬웨어의 경우 감염이 짧은 시간에 기하급수적으로 증가하는 것을 보았으므로 이것이 우려의 원인입니다.
MalCare를 사용하면 자동 정리 기능을 사용하여 몇 분 안에 맬웨어를 제거할 수 있습니다. Sucuri가 다시 연락하기를 기다리는 동안 우리는 비즈니스 크리티컬 웹사이트에서 빠른 정리가 갖는 엄청난 가치를 깨달았습니다.
방화벽
Sucuri의 방화벽은 작동하며 가장 일반적인 공격을 유지합니다. iThemes에는 방화벽이 없습니다.
방화벽은 악성 트래픽을 차단하고 악용을 방지하기 때문에 웹 사이트 보안의 중요한 구성 요소입니다. 기사의 이 시점에서 iThemes에 방화벽이 없다는 소식을 듣고 놀라지 않을 것입니다. 왜 그럴까요? 보안 플러그인으로서 다른 모든 면에서 실패합니다.
반면 Sucuri는 워드프레스 공격으로부터 웹사이트를 보호했습니다. 무제한 파일 업로드, XSS 및 SQL 삽입과 같은 취약점에 대해 테스트했습니다. 방화벽은 이러한 취약점을 악용하고 웹사이트에 맬웨어를 업로드하려는 모든 시도를 차단했습니다. 우리는 모든 투명성에서 더 복잡한 공격을 테스트할 수 없었습니다.
따라서 Sucuri의 방화벽은 작동하지만 방화벽을 구성하는 것이 얼마나 답답했는지 언급해야 합니다. 방화벽이 작동하는 방식은 들어오는 트래픽과 웹 사이트 사이의 계층처럼 작동한다는 것입니다. 따라서 모든 트래픽은 먼저 Sucuri의 방화벽에 도달한 다음 웹사이트로 리디렉션됩니다.
상상할 수 있듯이 이 작업에는 몇 가지 구성이 필요합니다. 웹사이트에 사용하는 도메인은 먼저 Sucuri를 가리켜야 하며 트래픽이 분석된 다음 허용된 트래픽이 웹사이트로 전달됩니다. 훌륭하지만 네임서버 및 DNS 구성에 대한 전문 지식이 없으면 방화벽을 설정하기가 어렵습니다.
전반적으로 즉시 사용할 수 있는 보안 솔루션을 보유하는 것이 훨씬 더 좋습니다. 웹사이트를 보호하기 위한 복잡한 구성이 없습니다. MalCare에서 얻을 수 있는 것과 같습니다.
취약점 감지
Sucuri는 우리 웹사이트에서 대부분의 취약점을 탐지했지만 전부는 아닙니다. iThemes를 찾지 못했습니다.
서버 측 스캐너를 활성화한 후 Sucuri는 웹 사이트에 몇 가지 취약한 플러그인이 설치되어 있음을 감지했습니다. 모두 감지하지 못했고 단순히 업데이트하는 것이 좋습니다.
또한 현재 설치된 플러그인 및 테마, 설치된 버전 및 사용 가능한 최신 버전을 나열하는 해킹 후 보기가 wp-admin에 있습니다. 이 섹션에 대한 설명에서 Sucuri는 취약점이 웹사이트 보안과 연결되어 있으며 모든 것을 최신 상태로 유지하는 것이 좋습니다. 플러그인을 통해 일상적으로 눈에 띄는 사람은 없을 것이므로 배치가 유용한지 확신할 수 없습니다.
맬웨어 제거 요청의 일부로 Sucuri는 강화 조치를 적용하고 취약한 플러그인(2/3)을 업데이트할 것을 권장하는 메시지도 보냈습니다. 이것은 해킹 후 체크리스트의 일부입니다.
ithemes는 취약점에 플래그를 지정하지 않습니다. 그러나 대시보드에 매우 쓸모없는 카운터가 있어 플러그인이 설치된 시간부터 수행된 업데이트 수를 나타냅니다. 이 정보가 어떻게 유용할 수 있는지 저희는 짐작할 수 없습니다.
무차별 대입 로그인 보호
Sucuri는 무차별 대입 공격을 차단하고 경고를 표시해야 하지만 그렇지 않습니다. ithemes는 때때로 작동하고 때로는 작동하지 않습니다. 어느 것이 더 나쁘다고 말하기 어렵습니다.
iThemes는 각 잘못된 로그인 시도를 무차별 대입 공격으로 기록합니다. 이는 솔직히 사용자가 보기에 끔찍합니다. 한 경우에는 비밀번호를 정말 잊어버렸습니다.
로그인 페이지에 무차별 대입을 시도했을 때 고르지 않은 결과가 나타났습니다. iThemes는 한 사이트에서 시도를 차단했지만 다른 사이트에서는 차단하지 않았습니다. 우리는 이러한 불일치의 원인을 알아내려고 노력했지만 유일한 차이점은 웹사이트의 맬웨어였습니다. 맬웨어는 일반적으로 성공적인 무차별 대입 공격의 결과이므로 이것이 이유라고 생각하지 않습니다. 기능이 산발적으로 작동하도록 하는 버그가 있는 것으로 보입니다. 사실상 무의미합니다.
무차별 대입 공격에 대한 세부적인 옵션이 있기 때문에 Sucuri는 우리에게 희망을 주었습니다. 무차별 대입 공격으로 간주되는 실패한 시도 횟수를 설정할 수 있습니다. 로그인 공격이 일반적으로 분당 100회 시도임에도 불구하고 시간당 30회 시도로 매우 적절하게 설정했습니다.
잠금에 대한 모든 설정을 본 후, 우리는 사이트에서 잠기는 것에 대해 약간 걱정했습니다. MalCare의 로그인 보호가 시도를 차단하지 않도록 MalCare를 껐습니다. 그러나 아무 일도 일어나지 않았습니다. 3분 동안 40개 이상의 잘못된 로그인을 시도했지만 Sucuri는 경고를 표시하지 않았습니다. 감사 로그를 확인해보니 실패한 인증이 모두 정상적으로 나옵니다. 그러나 경고가 없습니다. 잠금이 없습니다. 아무것도 없습니다.
활동 기록
iThemes에는 불완전한 활동 로그 기능이 있습니다. Sucuri에는 좋은 것이 있지만 모호할 수 있습니다.
Sucuri에는 사용자, 플러그인 및 테마의 모든 작업을 추적하는 감사 로그라는 기능이 있습니다. 기능은 예상대로 작동하지만 설정 중 하나가 일시 중지되었습니다. "공격자가 로그를 삭제하는 것을 방지"하려면 API 키가 필요합니다. 이것은 기본적으로 Sucuri가 웹 사이트 외부에 대한 데이터를 수집하고 저장할 수 있는 권한을 부여합니다. 사용성 섹션에서 자세히 알아보십시오.
로그는 로그처럼 작동하고 타임스탬프, 사용자 및 작업을 수집하지만 매우 모호할 수 있습니다. 예를 들어, 활성화된 플러그인으로 표시되는 새 플러그인을 설치했습니다. 여태까지는 그런대로 잘됐다. 그리고 설치가 영향을 미친 것을 보여주는 로그에 7개의 항목이 더 있습니다. 그러나 이러한 항목이 의미하는 바에 대한 설명은 거의 없습니다. 변경된 파일 또는 폴더입니까? 아니요, 갤러리 플러그인인 이 특정 플러그인이 게시물의 템플릿을 변경했다는 것을 나중에 깨달았습니다. 그것은 말이되지만 계시는 Sucuri에서 온 것이 아닙니다.
활동 로그는 웹사이트 보안 툴킷의 중요한 부분입니다. 해커는 사이트를 공격하기 위해 불충분한 로깅을 이용하므로 웹사이트에 대한 정확한 정보를 공유하기 위해 신뢰할 수 있는 신뢰할 수 있는 로그를 기다려야 합니다.
기본적으로 iThemes가 가지고 있는 것과는 다릅니다. 여기에 있는 활동 로그에는 사용자 활동, 버전 관리, 사이트 스캔 및 무차별 대입 공격과 같은 몇 가지 유용한 정보가 있습니다. 플러그인이나 테마에 대해서는 아무 것도 없습니다. 파일 변경 보고서를 매일 이메일로 보내는 별도의 기능도 있습니다. 전반적으로 로그는 웹사이트의 정확한 그림을 그리지 않기 때문에 부적절합니다.
이중 인증
iThemes에는 즉시 사용할 수 있는 훌륭한 이중 인증 기능이 있습니다. 수쿠리는 그렇지 않습니다.
이 시리즈의 iThemes 및 기타 유사한 기사를 폐기한 후, 이것이 iThemes에서 실제로 작동하는 유일한 보안 기능 중 하나이며 오히려 잘 작동함을 보고하게 되어 기쁩니다.
ithemes의 이중 인증 기능은 매우 강력합니다. 수많은 사용자 정의 기능이 있으며 번거로움 없이 바로 사용할 수 있습니다. 플러그인은 또한 우리가 강력하게 옹호하는 강력한 암호를 적용하는 데 도움이 됩니다.
여기서 우리의 유일한 관심사는 iThemes pro 버전에 암호 없는 로그인, 신뢰할 수 있는 장치, 매직 링크 등 사용 편의성을 위해 로그인 토큰을 제거하는 수많은 설정이 있다는 것입니다. 이들은 로그인 프로세스를 원활하게 하는 데 유용하지만 2단계 인증의 목적을 무효화합니다.
우리는 Sucuri를 테스트할 때 이중 인증을 찾았습니다. 우리는 그것이 Sucuri 대시보드에 있다는 것을 발견했습니다. 그러나 WordPress 웹 사이트가 아닌 Sucuri 계정에 이중 인증을 사용할 수 있다는 사실에 우리는 즐겁고 당황했습니다.
서버 리소스 사용량
ithemes는 아무 것도 하지 않기 때문에 서버 리소스를 전혀 소모하지 않습니다. Sucuri는 스캔으로 웹사이트 성능을 저하시킵니다.
흥미롭게도 사람들은 보안과 관련하여 서버 리소스에 대해 자주 묻지 않습니다. 그러나 이상적으로는 웹 사이트가 보호되고 그 과정에서 크롤링 속도가 느려지지 않기를 바랍니다. Sucuri의 스캐너는 귀하의 사이트에서 그렇게 할 것입니다.
Sucuri 스캔은 웹사이트의 서버 리소스를 완전히 사용한다고 주장합니다. 사실, 그들은 그러한 이유로 빈번한 스캔을 권장하지 않는 것 같습니다. 솔직히 이것은 끔찍합니다. 왜 누군가는 성능과 합리적인 서버 요금 사이에서 선택해야 하고 다른 한편에서는 보안을 선택해야 합니까? 그들은 농담하지 않았습니다. Sucuri를 설치하고 두 번째 스캔을 실행하자마자 서버 리소스가 엄청나게 급증했습니다. 작은 사이트에서 차이가 그렇게 눈에 띄면 큰 사이트에서는 훨씬 더 많을 것입니다.
또한 대시보드의 일반 설정에는 Sucuri가 웹사이트 자체에 많은 양의 데이터(대부분은 모양으로 로그)를 저장한다는 것을 나타내는 Data Storage에 대한 설정이 있습니다. 이것이 API 키가 필요한 이유일 것입니다. 공개적으로 액세스할 수 있는 폴더인 업로드 폴더에 기본적으로 모두 있기 때문입니다. 저장소를 공개적으로 액세스할 수 없는 폴더로 변경할 수 있는 옵션이 있지만 처음에는 이것이 기본값이어야 합니다.
ithemes는 서버 리소스를 소모하지 않습니다. 아무것도 하지 않을 때 어떻게 그럴 수 있나요?
경고
ithemes는 아무 것도 알려주지 않습니다. Sucuri는 하지만 어떤 알림을 받고 싶은지 주의해야 합니다. 받은 편지함이 몇 시간 안에 가득 찰 수 있습니다.
Sucuri를 사용하면 특정 사람에게 보낼 알림을 설정하고 알림 형식 등을 사용자 지정할 수 있습니다. IP 주소 범위를 추가하여 해당 주소에 경고 플래그가 지정되지 않도록 할 수도 있습니다. 그러나 전문 용어로 가득 찬 설명에 대해 경고하십시오. '클래스 없는 도메인 간 라우팅이란? '? 우리는 알고 싶지 않고 웹 사이트를 보호하고 싶었습니다.
경보에 대한 세분화된 설정으로 판단하면 Sucuri는 잠재적으로 너무 많은 경보를 보낼 수 있음을 잘 알고 있는 것 같습니다. 최대 5개의 이메일과 같이 한 시간에 수신되는 최대 알림을 구성하는 설정이 있습니다. 이것의 문제는 다음과 같습니다. 처음 5개는 거짓 긍정이고 6개는 그렇지 않다고 가정합니까? 거기에는 면책 조항이 있지만 다시 말하지만 실제 정보가 있는 것보다 쓸모 없는 기능이 더 좋습니다. 여기서 우리의 요점은 어떤 관리자도 나무를 위해 숲을 보지 않을 것이라는 것입니다. 소음이 너무 많습니다.
놀랍게도, 우리는 여전히 iThemes를 검토하고 있으며 잃어버린 이유 때문에 포기하지 않습니다. ithemes는 파일 변경 알림 보고서, 데이터베이스 백업 및 기타 설정 확인을 보냈습니다. 우리는 또한 웹사이트에 대한 일일 보안 다이제스트와 일주일에 한 번 취약점 보고서를 구독했습니다. 아마도 우리 웹사이트에서 이를 확인할 수 있을 것입니다. 하나의 사이트로는 충분하지 않았으며 더 많은 사이트에서는 완전히 손을 뗄 수 없었습니다.
설치, 구성 및 사용성
ithemes 설치는 혼란스러운 구성 옵션 때문에 놀라울 정도로 어려웠습니다. Sucuri는 매우 간단했지만 플러그인의 구성 옵션은 끔찍할 정도로 어려웠습니다.
iThemes는 우리가 테스트한 첫 번째 플러그인이었기 때문에 처음에는 쉬워 보였습니다. 또한 가장 쓸모없는 설정에 대한 기준도 설정했습니다. 보안 대시보드를 생성하려면 구성을 거쳐야 합니다. 우리는 각각의 설정을 살펴보았지만 보안에 실질적인 영향을 미치지 않았기 때문에 무작위로 설정하고 그대로 두었습니다.
Sucuri는 소란없이 설치되고 플러그인은 대부분 자체적으로 설정됩니다. 유료 기능에 액세스하려면 Sucuri에 계정을 만들어야 했습니다. 또한 서버 측 스캐너를 설치하려면 Sucuri 외부 대시보드를 사용해야 한다는 점을 지적할 가치가 있습니다. FTP 세부 정보를 쉽게 사용할 수 있다면 하는 것이 어렵지 않습니다. 비록 악성코드를 탐지하지 않았기 때문에 별 의미는 없지만 말입니다.
wp-admin의 iThemes 대시보드는 소음입니다. 관련 보안 관련 정보가 없습니다.
Sucuri의 대시보드와 설정은 엄청나게 복잡합니다. 우리는 그들이 사용하는 기술 용어가 의미하는 바를 파악하기 위해 몇 시간을 보냈습니다. 어떤 경우에는 플러그인이 권장 설정을 알려주므로 사용자는 기본적으로 맹목적으로 작업합니다. 유일한 문제는 Sucuri가 그들의 맬웨어 스캐너가 작동하지 않기 때문에 맹신을 불러일으키지 않는다는 것입니다!
이 플러그인이 이해하기 쉬웠으면 합니다. 매우 복잡해 보이고 많은 일을 하는 것처럼 보이지만 무차별 대입 보호와 같이 우리가 중요하다고 알고 있는 일부 기능이 작동하지 않는 것 같아서 확신할 수 없습니다.
방화벽과 서버 측 스캐너는 별도로 활성화해야 합니다. 3개의 웹사이트가 있는 이 플러그인을 파악하는 데 일주일 이상이 걸렸습니다. 더 많은 것을 다루는 사람에게 무슨 일이 일어날지 생각하면 우리는 몸서리를 칩니다. 설정하는 것이 너무 지루합니다.
기술 사용자가 아닌 사용자가 설정을 이해하기 어렵다는 점을 다시 한 번 말씀드립니다. 로그 분석 소프트웨어라는 것이 있는지 몰랐습니다. 우리는 또한 Sucuri가 우리가 그것이 무엇인지 알지 못하는 한 이 옵션에 대해 걱정하지 말라고 유용한 역 프록시에 대한 흥미로운 메시지를 보았습니다. 비꼬는 면으로 혼란을 줘서 감사합니다.
iThemes:추가 기능
iThemes에는 매우 정교한 화이트리스트 기능이 있습니다. 이는 우리가 보아온 사이트 잠금 불만이 너무 많다는 것을 깨달을 때까지 놀라웠습니다. 여기에는 두 가지 문제가 있습니다. 하나는 장치 IP가 변경되므로 IP를 허용 목록에 추가하는 것이 생각만큼 안전하지 않다는 것입니다. 둘째, 우리는 잠금을 유발하기 위해 가능한 모든 것을 시도했습니다. 그러나 그것은 일어나지 않았다.
파일 변경 모니터는 보안에 대해 아는 것이 없는 한 좋은 생각처럼 들리는 또 다른 기능입니다. 해커는 파일이 수년 동안 편집되지 않은 것처럼 보이게 하는 정도까지 파일 타임스탬프를 변경할 수 있습니다. 또한 이 모니터에 대한 파일 형식 제외 목록이 있습니다. 솔직히 말해서 이것은 맬웨어에 대한 이해가 부족함을 보여줍니다. 맬웨어는 예를 들어 .ico 파일을 비롯한 모든 파일에 숨길 수 있습니다.
ithemes에는 좋은 암호 관리 시스템이 있습니다. 강력한 암호를 적용하고 손상된 암호 허용을 거부할 수 있습니다. 원하는 경우 XML-RPC에 대한 응용 프로그램 암호를 설정할 수도 있습니다.
마지막으로 iThemes에는 몇 가지 강화 기능이 있으며 대부분은 권장하지 않습니다. 의미가 있는 유일한 것은 업로드 폴더에서 PHP 실행을 차단하는 것입니다. 이것은 특정 유형의 맬웨어 공격을 방지합니다. 다른 사람들은 완전히 무시하는 것이 좋습니다.
수쿠리:엑스트라
wp-admin에 있는 Sucuri의 대시보드는 꽤 인상적이지만, 가장 큰 정보 상자는 WordPress 무결성이라는 것을 바로 알 수 있었습니다. 이것은 기본적으로 WordPress 코어 파일에 대한 파일 변경 모니터의 정식 버전이기 때문에 현재 사용 중인 무료 버전에만 해당되기를 바랍니다.
경우에 따라 많은 맬웨어가 코어 파일에 들어가는 것을 고려할 때 유용하다는 것을 알 수 있습니다. 반대로, 경험이 없는 사람들은 그것이 무서운 생각인 멀웨어의 정도라고 생각할 수 있기 때문에 그것이 sinecure일 수 있다는 것도 알 수 있습니다. 재미있게도 플래그가 지정된 3개의 워드프레스 무결성 파일 중 2개는 MalCare에서 가져온 것입니다. 비상 커넥터와 방화벽입니다.
더 깊은 설정에는 코어 파일을 비교하고 차이점을 찾기 위한 무결성 diff 유틸리티가 있습니다. 이것은 온라인 diffchecker 유틸리티보다 사용하기 쉬울 수 있습니다.
상당한 수의 강화 옵션이 있었습니다. 일부는 유용하고 나머지는 그다지 많지 않습니다. 우리는 업로드 폴더, 방화벽에서 PHP를 차단하고 wordpress 솔트를 변경하는 자동 비밀 키 업데이트를 활성화할 수 있어 좋았습니다.
However, verifying WordPress version, removing WordPress version, avoiding information leakage (removes readme file which WordPress just recreates), and verifying default admin account are all silly features with miniscule security impact. Frankly, the whole security industry has moved on from these tricks.
If you choose to disable the plugin and theme editor, you will find updating tricky. It includes a caveat about some plugins and themes needing access to PHP files in these folders. This is inadequate. Case in point:Sucuri themselves save PHP files in the uploads folder. Do they not want access to their own files from their external dashboard? Or is that an exception to the rule? In which case, the rule seems flexible in ways that are hidden from the user.
We were interested to check out the post-hack feature on the wp-admin dashboard. After cleaning, you want to make sure you do everything to protect your website from future hacks. We liked the idea, until we looked a little further.
You can update secret keys—change wordpress salts—from the dashboard. The only problem with this is that it is in plaintext, visible to every admin logged into wp-admin. If a hacker has an account with admin access, this is ridiculously dangerous. This feature only makes sense if a user has verified that none of the admin accounts are compromised, and then changes the salts. A point which is not mentioned anywhere.
You can reset user passwords. Again, a seemingly good feature until you read the fine print:“Select users from the list in order to change their passwords, terminate their sessions and email them a password reset link. Please be aware that the plugin will change the passwords before sending the emails, meaning that if your web server is unable to send emails, your users will be locked out of the site.”
There is a place to see available plugin and theme updates, which is basic version management. It doesn’t add anything to the existing admin dashboard functionality. However, it may serve to educate people that outdated plugins and themes are connected to security.
What’s missing from iThemes Security and Sucuri
iThemes doesn’t have a firewall, which is a serious lacuna for your WordPress security. Firewalls protect sites from certain types of attacks, and are invaluable if your website has vulnerabilities.
Sucuri’s malware scanner is not adequate. So, even though the malware removal service is great, you have to guess that there is malware on your website because the scanner is not going to flag it.
iThemes Security vs Sucuri:Pricing
Sucuri’s Basic Platform plan at $199.99 a year per site is a good deal for unlimited malware removal services. However, considering it is supposed to have a working scanner as well, that’s all your sub will get for you. iThemes is not worth anything. Just don’t bother.
We’ve made our opinion about iThemes abundantly clear in this article. The only feature worth mentioning in iThemes is the two-factor authentication, which is available on the free plan. We definitely do not recommend the Pro plan.
Sucuri’s pricing is a steal for a malware removal service, but the fly in the ointment is the scanner. If you don’t know you have malware, you can’t submit a request for removal.
Better alternative to iThemes Security and Sucuri:MalCare
Invest in a good security plugin that will scan, clean and protect your website from hackers. Of all the plugins we tested for this series, MalCare stands out as the best option. MalCare trumps iThemes in, well, everything, and scans for malware better than Sucuri.
In fact MalCare’s $99 Basic plan is better than Sucuri’s $199.99 Basic Platform plan, with instant malware removal as well. It also includes unlimited cleanups
결론
The security of your website is of paramount importance. We’ve seen many customers skimp out on a security plugin, only to face devastating losses after a hack. One customer gave up after a point, and decided to rebuild his website from scratch. Malware is expensive, MalCare is not.
Did the article help you make a decision? We’d love to know! Do drop us a line.