iThemes Security는 무제한 웹사이트에 대해 단 199달러에 매우 저렴해 보이며, 탁월한 가격으로 인해 WordPress 보안 플러그인 경쟁에서 심각한 경쟁자였습니다.
다른 코너에는 이 카테고리에서 확실한 헤비급인 Wordfence가 있습니다. Wordfence는 기능이 많은 무료 플러그인과 보안 연구 및 리소스로 유명합니다. 프리미엄 버전의 경우 각 사이트는 연간 최소 $99를 돌려드립니다. 여전히 좋은 거래입니다.
이 단계에서도 둘 사이의 실제 비교는 없습니다. 그러나 우리는 배터리 테스트를 통해 둘 다 실행했습니다.
이 시리즈에서 상위 5개 보안 플러그인은 맬웨어, 공격 및 취약성과 함께 검투사 스타일의 전투를 거쳤습니다. 누가 승자가 되었습니까? 계속 읽으십시오.
평점 iThemes 보안 대 Wordfence 불평등한 경쟁이다. Wordfence의 무료 플러그인은 iThemes Security의 프리미엄 플러그인보다 훨씬 낫습니다. Wordfence에는 단점이 있지만 적어도 웹 사이트를 어느 정도 보호합니다. ithemes, 그렇게 많지 않습니다.
우리의 선택
이 시리즈에서는 어떤 것이 실제로 작동하는지 알아보기 위해 최고의 WordPress 보안 플러그인을 테스트하고 싶었습니다. 이를 위해 우리는 3개의 웹사이트를 만들었습니다. 하나는 컨트롤로 몇 가지 플러그인과 테마가 있는 간단한 블로그였습니다. 두 번째 웹사이트에는 취약점이 있는 3개의 오래된 플러그인이 있습니다. 우리는 인기 있는 것부터 잘 알려지지 않은 것까지 다양하고 일련의 취약점이 있는 플러그인을 선택했습니다. 그리고 마침내 우리는 맬웨어로 가득한 웹사이트를 갖게 되었습니다.
3개의 웹사이트, 5개의 플러그인, 45일. 플러그인 스캐너, 클리너, 방화벽, 봇 보호, 방화벽, 활동 로그 등을 테스트했습니다. 우리는 새로운 맬웨어, 오래된 맬웨어, 파일 기반 맬웨어, 데이터베이스 맬웨어, 리디렉션 해킹, 제약 해킹, SQL 주입, 무차별 대입 공격 등을 설명했습니다.
결과는 명확했습니다. MalCare만이 테스트 웹사이트를 스캔, 정리 및 보호할 수 있었습니다. WordPress 보안으로 마음의 평화를 찾고 있다면 MalCare가 정답입니다.
iThemes 보안과 Wordfence 비교 요약
iThemes 보안 대 Wordfence는 생각할 필요가 없습니다.
WordPress 보안을 두 가지 극단 사이의 스펙트럼으로 간주해 보겠습니다. 한쪽에는 보호 기능이 없고 잘못된 보안 감각이 있고 다른 한쪽에는 오탐과 무서운 경고가 있습니다. iThemes Security는 잘못된 보안 감각을 제공하며 Wordfence는 거의 끊임없는 두려움에 빠지게 하는 것입니다.
우리의 고려된 의견으로는 둘 다 좋은 선택이 아닙니다. 그러나 Wordfence에는 웹 사이트를 크게 보호하는 우수한 무료 버전이 있지만 iThemes Security의 프리미엄 버전이라도 웹 사이트를 보호하기 위해 아무 것도 하지 않습니다. 양 극단을 모두 피하고 좋은 보안 플러그인을 사용하라는 조언입니다.
iThemes 보안 요약
ithemes Security는 지금까지 우리가 본 최악의 WordPress 보안 플러그인입니다. 이중 인증 및 강력한 암호 지원과 같은 몇 가지 좋은 기능이 있지만 그게 전부입니다. 맬웨어 스캐너가 없고 맬웨어를 치료할 수 없으며 방화벽에 대해 논의할 가치가 없습니다. 사실, 지금 iThemes를 사용하고 있다면 즉시 웹사이트를 스캔하세요.
재미있는 사실:iThemes는 우리가 테스트한 최초의 보안 플러그인이었습니다. 웹 사이트와 전체 설정 프로세스는 그렇습니다. 이 사람들은 WordPress 보안이 무엇인지 알고 있다는 인상을 받았습니다. 불행히도 그 노하우 중 어느 것도 실제 플러그인에 적용되지 않은 것 같습니다.
iThemes Security는 맬웨어를 치료하는 메커니즘이 없기 때문에 사실상 맬웨어 스캐너입니다. 웹 사이트에는 방화벽이 있다고 말하지도 않습니다. 스캔은 WordPress 보안의 기둥 중 하나이지만 유일한 것은 아니기 때문에 이것은 좋지 않습니다. 그러나 처음부터 괜찮은 스캐너가 있다면 다양한 플러그인을 조합하여 해당 기능을 제공할 수 있습니다.
아, 하지만 그게 문제였습니다. ithemes는 맬웨어 스캐너가 아닙니다. 취약점 스캐너가 아닙니다. 그것은 귀하의 웹 사이트에 대한 Google 블랙리스트를 스캔합니다. 플러그인을 설치할 필요 없이 투명성 보고서 페이지에서 동일한 작업을 수행할 수 있습니다. 가장 큰 선물은 스캔이 몇 초 동안 지속되었다는 것입니다. 스캐너가 모든 웹 사이트 파일과 폴더를 문자 그대로 몇 초 안에 통과할 수 있는 방법은 없습니다.
로그인 페이지에 대한 무차별 대입 보호는 고르지 않고 일관성이 없었으며 활동 로그는 쓸모가 없었습니다. 나중에 자세히 설명합니다.
플러스 측면에서 iThemes Security에는 우수한 이중 인증 기능이 있습니다. 우리는 또한 wp-login에서 reCAPTCHA를 구현하는 것이 얼마나 쉬운지를 좋아했습니다. 마지막으로 사용자 비밀번호 관리 설정이 정말 세분화되고 상세했습니다. 또한 폴더에서 PHP 실행을 차단하는 것과 같은 몇 가지 괜찮은 WordPress 강화 기능이 있습니다.
전반적으로 iThemes Security 테스트는 놀라운 경험이었습니다. 우리는 보안을 매우 중요하게 생각하며, 얼마나 영리한 표현과 오해의 소지가 있는 기능 세트가 관리자가 자신의 사이트가 보호되고 있다고 생각하도록 속일 수 있는지 보고 충격을 받았습니다. 사실, 우리는 모든 iThemes 사용자가 보안을 완전히 재고하고 웹사이트를 즉시 스캔할 것을 강력히 권장합니다.
Wordfence 요약
Wordfence는 MalCare 이후에 발견한 최고의 무료 보안 플러그인입니다. 보안 예산이 전혀 없는 웹사이트에 적극 권장합니다. 방화벽은 대부분의 공격을 차단하고 스캐너는 대부분의 파일 기반 맬웨어를 탐지하며 맬웨어 복구 기능은 대부분의 공격을 제거하는 데 도움이 됩니다. 단점은 수많은 오탐(false positive), 일부 누락된 맬웨어 및 비상 해킹 정리 서비스가 엄청나게 많다는 것입니다.
가장 널리 사용되는 보안 플러그인이기 때문에 Wordfence를 사용하게 되어 기쁩니다. 그리고 몇 가지 끔찍한 경험(읽기:iThemes) 후에 플러그인이 WordPress 보안을 어떻게 처리했는지 보는 것이 좋을 것입니다.
이후 섹션에서 더 자세히 다루겠지만 여기서는 먼저 보안의 주요 측면에 대해 이야기하고 싶습니다.
Wordfence에는 무료 플러그인 및 테마에 있는 모든 파일 기반 맬웨어를 찾아내는 괜찮은 스캐너가 있습니다. 그러나 그 효과에 대해 몇 가지 큰 주의 사항이 있습니다. 스캐너는 데이터베이스 기반 맬웨어나 프리미엄 플러그인 및 테마의 맬웨어를 감지할 수 없습니다. 또한 웹 사이트에서 스캔을 실행하는 데에도 상당한 비용이 소요되었습니다.
다음으로 악성코드 자동 복구를 시도했습니다. 다행스럽게도 웹 사이트의 모든 파일 기반 맬웨어를 거의 즉시 복구했습니다. 데이터베이스 기반 멀웨어는 아닙니다. 생각해보면, 이것은 청소기로서는 대단한 성능은 아니지만, 이 테스트 시리즈의 다른 제품들보다 분명히 더 나은 성능을 보여 우리가 진정으로 그 차이를 보고 기뻤습니다.
방화벽은 웹사이트를 괴롭히는 대부분의 주요하고 일반적인 WordPress 공격을 차단하는 매우 효과적이었습니다. 여기서 우리가 가지고 있는 한 가지 문제는 방화벽이 우리를 위해 수많은 경고를 생성한다는 것입니다. 독일에서 온 누군가가 20개의 개별 알림에서 지난 5분 동안 20번의 웹사이트 해킹을 시도했다는 사실을 알아야 합니까? 아니, 우리는하지 않습니다. 우리의 받은 편지함은 며칠 만에 Wordfence 경고에 빠져버렸고 겨에서 밀을 분류하는 것이 불가능했습니다. 또한 무료 사용자는 프리미엄 사용자보다 늦게 방화벽 업데이트를 받으므로 해커가 보호되지 않은 웹 사이트에 침입할 기회가 있습니다.
그렇지 않은 경우에도 보안 기능이 거의 없습니다. Wordfence는 린 선박을 실행하고 취약점이 감지될 때 플러그인 업데이트와 같은 다른 모든 기능은 wp-admin에 맡겨집니다. 동일한 대시보드에 복제하는 이유는 무엇입니까? 무차별 대입 방지 기능이 매우 우수하며 이중 인증이 강력합니다.
우리는 플러그인의 엄청난 유용성에 매료되었습니다. 언어는 과도한 전문용어를 사용하지 않고 접근하기 쉽고 간단합니다. 고급 사용자를 위한 고급 기능도 설정에 숨겨져 있습니다.
그러나 Wordfence 개발자를 위한 가장 읽을 수 없는 목록을 제외하고 활동 로그가 없다는 사실에 놀랐습니다. 또한 웹 사이트에 대한 봇 보호 기능이 전혀 없습니다. 마지막으로 이 플러그인이 작동하려면 엄청난 양의 서버 리소스가 필요합니다. 웹 호스트가 Wordfence의 사용을 완전히 금지할 정도로 말입니다.
대체로 Wordfence는 우수한 보안 플러그인이지만 웹사이트에 가장 적합한 플러그인은 아닙니다. MalCare는 뛰어난 스캐너, 효과적인 맬웨어 제거 및 실시간 업데이트가 포함된 고급 방화벽과 함께 사용할 수 있는 방법입니다.
보안 플러그인에서 찾아야 할 사항
WordPress 보안은 특히 온라인에서 사용할 수 있는 상당한 잘못된 정보를 처리해야 하는 혼란스러운 짐승이 될 수 있습니다. 한 가지 확실한 점은 해커가 수익, 비즈니스, 소송, 현금 지출, 브랜딩, 유기적 트래픽 등을 손실할 수 있다는 것입니다. 올바른 보안 플러그인은 비즈니스의 다른 영역에 투자하기 위해 시간과 돈을 절약할 뿐만 아니라 이 모든 것에 대응합니다.
WordPress 웹사이트에 적합한 보안 플러그인을 선택하는 방법은 무엇입니까?
대답은 일반적으로 기능의 세탁 목록입니다. 일부는 중요하고 일부는 그다지 중요하지 않습니다. 그러나 모든 플러그인은 100개 이상의 기능을 판매하기를 원하며 대부분은 웹사이트 보안에 거의 또는 전혀 영향을 미치지 않습니다. 그러나 목록은 WordPress 보안을 다시 골치거리로 만들 만큼 충분히 오랫동안 문제를 혼동할 것입니다.
그래서 우리는 이 필수적이고 짧은 보안 기능 목록을 작성했습니다. 이 목록에 있는 대부분을 체크하는 보안 플러그인을 찾고 여기에 없는 기능에 대한 다른 솔루션을 찾아야 합니다.
- 필수 보안 기능
- 맬웨어 검사
- 맬웨어 제거
- 방화벽
- 좋은 보안 기능
- 취약점 감지
- 무차별 대입 로그인 보호
- 활동 기록
- 이중 인증
- 잠재적 문제
- 서버 리소스에 미치는 영향
모든 상자를 치는 유일한 플러그인은 MalCare입니다. MalCare를 선택하면 웹사이트가 해커와 악성코드로부터 최상의 보안을 얻을 수 있습니다.
iThemes 보안 대 Wordfence:기능의 일대일 비교
이 섹션에서는 특정 기능에 대해 더 자세히 알고 싶은 경우를 위해 조사 결과를 자세히 설명했습니다. 45일 간의 테스트 후에 우리는 수많은 정보와 많은 결과를 얻었습니다. 당신의 독서의 즐거움을 위해 여기에 모든 것이 요약되어 있습니다.
기능은 가장 중요한 것에서 가장 덜 중요한 순서로 정렬되며 각 요소에 대해 두 플러그인을 모두 평가합니다. 우리의 목표는 우리가 찾은 모든 것을 가능한 한 공평하게 제시하는 것이었기 때문에 어느 곳에서도 주저하지 않았습니다.
하지만 이 연습의 핵심만 알고 싶다면 MalCare를 설치하면 우리가 발견한 공포에 대해 들을 필요가 없습니다.
맬웨어 검사
Wordfence의 스캐너는 테스트 웹사이트에서 파일 기반 맬웨어를 감지했지만 데이터베이스에서는 맬웨어를 감지하지 못했습니다. 또한 프리미엄 플러그인 및 테마에서 맬웨어를 놓쳤습니다. iThemes Security는 처음부터 우리 웹사이트를 검사하지 않았으므로 분명히 악성코드를 찾지 못할 것입니다.
Wordfence를 설치한 후 첫 번째 스캔을 자동으로 설정합니다. 지금까지는 너무 좋았습니다. 스캐너를 끝내고 몇 시간 동안 다른 기능을 탐색했습니다. 여전히 60%에 머물러 있음을 알 수 있습니다. 사이트가 꽤 작은 것을 고려하면 무엇을 제공합니까?
60%는 진행률 표시줄이 아니라 무료 스캐너의 효율성을 나타내는 백분율입니다. 전체 100%를 얻으려면 플러그인의 프로 버전으로 업그레이드해야 합니다. 충분히 공정했지만 대시보드에 표시되는 방식이 매우 혼란스러웠습니다.
우리는 스캔을 다시 시작했고 매우 빠르게 완료되어 기뻤습니다. 스캐너는 전부는 아니지만 대부분의 맬웨어에 플래그를 지정했습니다. 쉽게 탐지할 수 있는 악성코드는 핵심 WordPress 파일과 무료 플러그인 및 테마의 파일 및 폴더에 있었습니다. 데이터베이스의 해킹된 리디렉션 멀웨어와 프리미엄 플러그인 및 테마에 있던 모든 파일을 놓쳤습니다.
우리는 Wordfence에 많은 파일 기반 맬웨어를 던졌고 거의 모든 것을 탐지했습니다. 시그니처 매칭 알고리즘을 위한 광범위한 악성코드 데이터베이스를 보유하고 있어 악성코드의 약 70~80%를 탐지할 것으로 예상된다. MalCare와 같이 95%만큼 좋지는 않지만 다른 모든 보안 플러그인보다 훨씬 낫습니다. 결국 탐지는 전투의 절반입니다.
Wordfence에 대한 주의 사항은 수많은 경고와 많은 오탐지가 있다는 것입니다. 이 두 가지 요인 모두 시간이 지남에 따라 경고가 효과를 잃게 될 수 있으며 진정한 경고가 아무 주의 없이 지나갈 수 있는 실제 위험이 있습니다. 또한 스캔을 실행하는 데 많은 서버 리소스가 필요합니다. 이후 섹션에서 더 자세히 이야기하겠습니다.
iThemes 스캐너는 맬웨어를 전혀 검색하지 않습니다. 귀하의 웹사이트가 블랙리스트에 있는지, 그것도 하나의 블랙리스트에 있는지 확인합니다. Sucuri도 이 수표를 가지고 있지만 첫째, 스캐너로 라벨을 붙이지 않고 둘째, Google의 블랙리스트 이상을 확인하는 품위가 있습니다. 우리 테스트 사이트는 색인이 생성되지 않았기 때문에 분명히 블랙리스트에 없었습니다. 그렇다면 iThemes의 맬웨어 검사 보고서가 맬웨어로 가득 찬 사이트에 대한 깨끗한 정보를 제공한 때는 언제였습니까? 감동하지 않습니다.
맬웨어 제거
ithemes Security에는 자동 또는 기타 맬웨어 제거 기능이 없습니다. Wordfence는 맬웨어 파일을 복구할 수 있지만 효과는 탐지된 맬웨어에 따라 다릅니다. Wordfence에는 사이트당 막대한 비용이 490달러에 달하는 프리미엄 맬웨어 제거 서비스가 있습니다.
검사가 완료되면 Wordfence는 해킹된 파일을 처리하기 위한 2가지 옵션을 나열합니다. CTA를 통해 전문적인 도움을 받는 것 외에 삭제 가능한 모든 파일을 삭제하고 복구 가능한 모든 파일을 복구합니다.
삭제 옵션은 파일을 삭제하면 웹사이트가 손상될 수 있다는 무서운 메시지를 표시한 후 오류 없이 1개의 파일을 성공적으로 제거했습니다. 사실이지만 멀웨어도 무섭습니다! 어쨌든, 옵션은 축축한 스퀴브의 무언가였으므로 대신 수리 옵션으로 넘어갔습니다. 복구 옵션에도 비슷한 경고가 있었지만 전원을 켜서 대부분의 파일을 복구할 수 있었습니다. MalCare의 스캐너를 통해 사이트를 실행했을 때 사이트에는 맬웨어가 없었습니다.
다른 대부분의 보안 플러그인은 이 시점에서 실패했기 때문에 더 이상 테스트할 필요가 없었습니다. 결과를 얻었습니다. 그러나 Wordfence의 맬웨어 시그니처 데이터베이스는 포괄적이므로 네트워크를 확장했습니다.
우리는 해킹된 리디렉션 맬웨어를 웹사이트 데이터베이스에 추가했으며, 일본어 키워드 해킹의 몇 가지 사례가 있습니다. 또한 우리는 프리미엄 플러그인과 테마에 멀웨어 덩어리를 숨겼습니다. 그리고 그들은 그렇게 했습니다.
나온 결론은 Wordfence 팀이 맬웨어를 본 경우 파일 복구가 작동한다는 것입니다. 그렇지 않으면 그렇지 않습니다. 데이터베이스에 맬웨어가 있으면 Wordfence도 실패합니다. 따라서 리디렉션 해킹과 같은 맬웨어 또는 최신 맬웨어는 확실히 놓칠 수 있습니다. 또한 비핵심 WordPress 파일 또는 비공개 플러그인 및 테마의 맬웨어를 놓치게 됩니다. Wordfence는 프리미엄 플러그인 및 테마에서 맬웨어를 찾을 수 없습니다.
자동 복구가 작동하지 않는 경우 Wordfence의 맬웨어 제거 서비스를 선택할 수 있습니다. 이 서비스는 맬웨어, 백도어를 제거하고 사이트의 취약점을 평가합니다. 또한 Wordfence는 맬웨어가 많은 사이트를 차단 목록에서 제거하는 데 도움이 됩니다. 사이트 관리자가 해킹 후 지침을 편지에 따를 경우에만 사이트 정리가 1년 동안 보장됩니다. 맬웨어 제거 서비스의 효과에 대해서는 사용해보지 않았기 때문에 언급할 수 없습니다.
이전에 말했듯이 iThemes Security는 맬웨어를 치료할 수 없으므로 이에 대해 더 이상 할 말이 없습니다.
경험상 맬웨어 제거는 WordPress 보안의 가장 중요한 측면입니다. 일이 끔찍하게 잘못될 가능성이 크므로 보안 전문가만 수행해야 합니다. MalCare는 맬웨어를 자동으로 제거하고 보안 전문가에게 문의하여 발생할 수 있는 문제를 해결하는 옵션을 제공합니다.
방화벽
iThemes Security에는 방화벽이 없습니다. Wordfence에는 대부분의 주요 및 일반적인 위협으로부터 효과적으로 보호하는 웹 응용 프로그램 방화벽이 있습니다. 그러나 무료 버전은 프리미엄 버전보다 늦게 업데이트됩니다.
WordPress 방화벽은 규칙을 사용하여 공격과 악의적인 트래픽을 차단하므로 보안 무기고의 중요한 부분입니다. 우리가 검토한 대부분의 보안 플러그인에서 방화벽이 끔찍하거나 존재하지 않기 때문에 의미가 없었기 때문에 더 기술적인 세부 사항을 설명하는 것을 피했습니다. 그러나 Wordfence를 사용하면 상황이 조금 더 복잡해졌습니다.
Wordfence를 설치했을 때 방화벽은 바로 학습 모드로 들어갔습니다. 이는 방화벽이 사이트의 정상적인 트래픽을 파악하여 위협을 보다 효과적으로 차단할 수 있도록 하는 필수 단계입니다. 웹사이트에 트래픽이 발생하지 않기 때문에 학습 모드를 한 번에 껐습니다. 하지만 최소 일주일 동안은 계속 켜두는 것이 좋습니다.
Wordfence 방화벽을 관리하는 별도의 섹션이 있으므로 다음에 살펴보겠습니다. 처음 봤을 때 방화벽이 무엇이고 웹사이트를 보호하기 위해 무엇을 하는지 설명합니다. 여기에 짧은 설명과 함께 '웹 애플리케이션 방화벽'이라는 용어도 소개합니다.
무료 및 프리미엄 방화벽을 모두 테스트한 후 Wordfence는 두 버전 모두에서 우수한 방화벽을 가지고 있음이 분명합니다. 둘 다 일련의 SQL 주입 공격, 사이트 간 요청 위조, 원격 코드 주입 및 사이트 간 스크립팅 공격을 차단했습니다. 플러그인 및 테마 취약점을 악용할 수 없습니다.
그 때 우리는 더 깊이 파고들어야 한다고 생각했습니다. 무료 버전과 프리미엄 버전의 차이점은 무엇입니까?
방화벽 옵션에서 Wordfence는 차이점을 설명합니다. 무료 버전은 WordPress가 로드된 후 일반 플러그인으로 로드됩니다. 또한 프리미엄 버전은 실시간 규칙 업데이트를 받는 반면 무료 버전은 지정되지 않은 시간 후에 업데이트를 받습니다.
이 두 가지가 우리를 잠시 멈추게 했습니다.
첫째, 최상의 보호를 위해 방화벽이 먼저 로드되어야 하지만 방화벽이 있는 대부분의 보안 플러그인은 일반 플러그인처럼 WordPress 다음에 로드되는 경우가 많습니다. 이 경우 Wordfence 방화벽은 대부분의 악성 트래픽을 차단할 수 있지만 전부는 아닙니다.
둘째, Wordfence에는 가장 업데이트된 방화벽이 있지만 프리미엄이 아닌 사용자는 나중에 업데이트를 받습니다. 그 창조차도 해커가 그 동안 공격할 수 있기 때문에 문제가 됩니다. 무료 방화벽은 언제 규칙 업데이트를 받습니까? 며칠, 몇 주 또는 몇 달 후? 누가 알아.
당연히 iThemes에는 방화벽이 없습니다.
취약점 감지
ithemes Security는 취약점을 감지할 수 없으며 문제 해결에 도움이 되지 않습니다. Wordfence는 우리가 웹사이트에 삽입한 모든 취약점이 인기가 있든 잘 알려지지 않았든 상관없이 찾아냈습니다.
Wordfence는 발견된 취약점이 있는 모든 오래된 플러그인을 중요한 위협으로 올바르게 표시했습니다. 우리는 목록에 불분명한 플러그인을 많이 포함했으며 일부는 사용자가 200명 미만이었습니다. 다른 플러그인은 이러한 취약점을 발견할 수 없었기 때문에 Wordfence가 발견한 것은 신선합니다. 스캐너는 오래된 플러그인을 중간 위협으로 표시하기까지 했습니다. 이는 모든 것을 항상 최신 상태로 유지하는 것이 좋기 때문에 탁월합니다.
Wordfence 대시보드에서 직접 취약점을 수정할 수는 없습니다. Jetpack 및 Sucuri와 같은 대부분의 다른 플러그인은 업데이트를 권장하고 동일한 패널에서 업데이트를 수행할 수 있도록 했습니다. 그러나 Wordfence를 둘러보면 그렇게 할 수 있는 방법이 없습니다. 그래도 업데이트 대시보드로 이동하므로 충분합니다. wp-admin에 이미 존재하는 기존 기능을 복제할 논리적 이유가 없습니다.
흥미롭게도 스캐너는 테스트 사이트 중 하나에 설치한 iThemes 및 BackupBuddy 플러그인의 오류도 보여주었습니다. 플러그인에 코딩 오류가 있는 것 같습니다.
우리는 iThemes 스캐너가 맬웨어 스캐너로서의 비참한 실패를 고려하여 최소한 취약점을 확인하기를 바랐습니다. 예, 아닙니다.
또한 iThemes 대시보드에는 플러그인이 설치된 이후 업데이트된 횟수를 나타내는 카운터가 있습니다. 메트릭에 대한 이 빈약한 변명은 플러그인 및 테마 업데이트를 추적하는 데 도움이 된다고 생각합니다. 하지만 실제로는 그렇지 않습니다.
무차별 대입 로그인 보호
iThemes는 때때로 무차별 대입 공격을 차단하지만 때로는 차단하지 않습니다. Wordfence는 모든 무차별 대입 공격을 오류 없이 차단합니다.
iThemes를 사용하여 일관성 없는 무차별 대입 차단을 보았습니다. 로그인 페이지에서 일련의 잘못된 자격 증명을 입력하려고 시도했을 때 iThemes는 한 사이트에서만 시도를 차단했지만 다른 사이트에서는 차단하지 않았습니다. 두 사이트의 유일한 차이점은 첫 번째 사이트에는 멀웨어가 있고 두 번째 사이트에는 멀웨어가 있다는 것입니다. 맬웨어는 일반적으로 성공적인 로그인 공격의 결과이므로 이러한 차이가 원인이 되지는 않습니다. 몇 시간 동안 반복적으로 테스트를 시도했지만 결과는 결정적이지 않았습니다. 우리는 마침내 무엇이 버그로 보이는지 알아내려고 하는 것을 포기했습니다.
깊은 좌절 속에서 이 연습을 마친 후에 우리는 iThemes 로그를 확인했습니다. 각 잘못된 로그인 시도는 암호를 잊어버린 경우에도 무차별 대입 공격으로 등록되었습니다. 그러나 플러그인이 모두 차단하지는 않았습니다. 매우 이상하고 따라서 신뢰할 수 없습니다.
Wordfence를 사용하여 먼저 설정을 살펴보았습니다. 무차별 대입 보호는 기본적으로 활성화되어 있으며 방화벽 섹션으로 이동하여 옵션을 사용자 지정할 수 있습니다.
잘못된 로그인 시도에 대한 잠금과 사용자가 특정 횟수의 잘못된 로그인 시도 후 잠금을 경험하는 시간까지 설정할 수 있습니다. 특히 훌륭한 점은 훌륭한 문서에서 각 옵션이 수행하는 작업과 사이트를 보호하기 위해 가장 효과적으로 사용하는 방법을 설명한다는 것입니다.
방화벽에서 테스트하지 않을 IP에 대한 허용 목록을 설정할 수 있습니다. 많은 플러그인에서 이 기능을 보았지만 장치 IP를 변경하면 의미가 없습니다.
강력한 암호 옵션도 여기에 있습니다. 강력한 암호를 적용하고 데이터 유출에서 발견된 암호의 사용을 방지하는 등의 작업을 수행할 수 있습니다.
마지막으로 테스트에 착수했고 무차별 대입 보호는 우리가 선택한 설정에 따라 정확히 작동합니다. 매번 완벽합니다.
활동 기록
ithemes 활동 로그는 모든 이벤트를 기록하지 않으므로 쓸모가 없습니다. Wordfence에는 활동 로그가 전혀 없습니다.
우리는 겸손한 활동 로그의 열렬한 지지자입니다. 해커가 불충분한 로깅을 악용하여 사이트를 공격하기 때문에 꼭 필요한 보안 도구입니다. 이상적으로는 웹사이트의 진행 상황에 대한 정확한 정보가 포함된 신뢰할 수 있는 로그가 필요합니다.
따라서 iThemes가 가지고 있는 것과는 다릅니다. iThemes 활동 로그는 사용자 활동, 버전 관리, 사이트 스캔 및 무차별 대입 공격과 같은 좋은 정보를 약속합니다. 그러나 이것들은 정확하게 기록되지 않았기 때문에 정확한 그림을 제시한다고 믿을 수 없습니다. 그 외에 플러그인이나 테마에 대한 것은 없습니다.
놀랍게도 Wordfence에는 활동 로그가 없습니다. 도구 아래의 진단 섹션에서 디버깅을 활성화하는 옵션이 있어 방화벽 로그가 더 상세해질 수 있습니다. 스캔 섹션에만 Wordfence 이벤트에 대한 전체 활동 로그가 있지만 활동 로그와 동일한 것은 아닙니다. 게다가 Wordfence 개발자만을 위한 원시 로그입니다. 디버깅 모드를 활성화하면 더 많은 서버 리소스도 소비하게 됩니다. 해당 섹션에 매우 명확하게 명시되어 있습니다.
이중 인증
iThemes는 즉시 사용할 수 있는 뛰어난 이중 인증 기능을 제공합니다. 워드펜스도 마찬가지입니다.
2단계 인증은 두 플러그인 모두에서 완벽하게 작동합니다. 둘 다 훌륭한 옵션 세트와 최소한의 설정이 있습니다. Wordfence를 사용하면 2단계 인증이 프리미엄 기능이 되어 이제 무료 사용자도 사용할 수 있게 되었습니다.
iThemes pro 버전에 대한 작은 관찰은 단 하나입니다. Pro 버전에는 암호 없는 로그인, 신뢰할 수 있는 장치, 매직 링크 등 로그인 토큰을 제거하는 설정이 많이 있습니다. 우리의 의견으로는 로그인 과정을 쉽게 만들어 이중 인증 원칙에 정면으로 반대합니다.
서버 리소스 사용량
ithemes는 아무 것도 하지 않기 때문에 서버 리소스에 매우 친절합니다. Wordfence는 서버 리소스에 대한 막대한 비용 때문에 실제로 특정 웹 호스트에서 금지되었습니다.
우리는 Wordfence를 속도를 통해 도입하게 되어 매우 기쁩니다. 그러나 웹 사이트의 성능을 확인했을 때 정말 놀랐습니다. Wordfence 스캔이 수행되면서 스캔이 두 배, 경우에 따라 세 배로 웹 사이트의 디스크 사용량이 증가했습니다. 우리는 테스트 사이트가 매우 작기 때문에 시작하기에 너무 많은 리소스를 소비하지 않는다는 것을 알고 있지만 그럼에도 불구하고 상당한 도약입니다. 더 큰 사이트에서는 패널티가 상당할 것입니다.
실제로 기본 설정을 변경하면 더 많은 서버 리소스가 사용된다는 경고가 표시됩니다. 그러면 Wordfence가 사이트 서버 리소스를 사용하여 모든 작업을 수행한다고 가정하는 것이 안전합니다.
이것은 충분히 나쁘지만 방화벽으로 인해 훨씬 더 나빠질 것입니다. 이러한 공격으로부터 보호되더라도 지속적인 공격은 웹사이트를 압도합니다.
서버 리소스 사용량은 웹사이트 보안에서 거의 언급되지 않지만 보안 플러그인은 웹사이트 성능에 상당한 타격을 주는 경우가 많습니다. 관리자가 보안과 사용성 사이에서 절충안을 만들어야 하기 때문입니다. 우리는 이것이 사실이 되어서는 안 된다고 생각하며, MalCare와 함께 케이크를 가지고 그것을 먹을 수도 있습니다.
ithemes는 서버 리소스에 적합합니다. 귀하의 사이트 보안에 대해서도 같은 말을 할 수 없습니다.
경고
ithemes는 알림을 보내지 않습니다. Wordfence는 너무 많이 보냅니다.
경고는 없음과 너무 많음 사이의 최적의 지점에 도달해야 합니다. 결과적으로 웹 사이트의 보안이 실제로 무엇인지 전혀 알 수 없기 때문에 둘 다 똑같이 나쁜 극단입니다.
Wordfence의 스캐너는 많은 오탐지를 생성할 수 있으므로 웹사이트가 실제로 해킹된 시점을 알 수 없습니다. 시간이 지나면 늑대를 우는 소년처럼 될 수 있습니다. 방화벽도 마찬가지입니다. 방화벽은 목적에 부합하지 않으므로 매번 경보를 울리지 않고 공격을 차단해야 합니다. 따라서 Wordfence는 너무 많은 경보를 생성하여 전혀 유용하지 않다고 생각합니다.
iThemes는 파일 변경 알림 보고서, 데이터베이스 백업 및 기타 설정 확인과 같은 완전히 진부하고 쓸모없는 이메일을 보냅니다. 웹사이트에 대한 일일 보안 요약과 주간 취약점 보고서도 있습니다. 우리는 이것이 우리의 지식을 위한 것이라고 생각하므로 하나 이상의 웹 사이트에서 문제가 되는 플러그인과 테마를 수동으로 업데이트할 수 있습니다.
설치, 구성 및 사용성
Wordfence는 매력처럼 설치됩니다. 복잡한 설정과 모호한 구성이 없습니다. 반면에 ithemes는 정말 어려웠습니다.
ithemes는 믿을 수 없을 정도로 시작하기 쉬우며 점차 많은 쓸모없는 설정으로 발전합니다. 대시보드가 생성되기 전에 거쳐야 할 긴 구성이 있습니다. 솔직히 말해서, 우리는 표지판을 읽고 이것을 잃어버린 원인으로 포기해야했습니다. 그러나 우리는 더 큰 선을 위해 권력을 통해 형벌을 탐식합니다.
Wordfence 설치는 매우 쉬웠으며 사전에 구성 옵션이 없었습니다. 팝업되는 첫 번째 화면은 이메일 구독으로, 받은 편지함에서 보안 뉴스를 받는다고 명확하게 명시합니다. 다음 화면은 프리미엄으로 업그레이드하라는 메시지입니다. 이 시점에서 우리는 무료 플러그인에 어떤 기능이 있는지 몰랐기 때문에 즉시 프리미엄 라이선스를 넣지 않았습니다.
wp-admin의 대시보드를 처음 방문할 때 3가지 도구 설명 연습이 있습니다. 사용성과 언어는 Wordfence에서 훌륭합니다. 기능에 대한 명확한 설명과 보안에 미치는 영향이 있습니다. 압도적이지도 않고, 물건을 멍청하게 만들지도 않습니다.
대시보드 디자인은 매우 직관적이며 웹 사이트와 관련된 보안의 모든 중요한 측면을 한 눈에 볼 수 있습니다. 전반적으로 Wordfence에 대한 우리의 첫인상은 훌륭했습니다.
또한 Wordfence는 구성에 대한 유용한 권장 사항을 제공합니다. 대시보드의 도구 설명에서 액세스할 수 있는 설명서는 매우 상황에 맞는 것입니다. 웹 사이트에서 최적으로 작동하도록 설정하는 방법 외에도 각 기능이 수행하는 작업과 이유를 명확하게 설명합니다. 다시 말하지만, 사용된 언어가 어떻게 접근하기 쉬운지 주목할 만합니다.
iThemes:추가 기능
보안의 중요한 측면을 검토하고 iThemes가 심각하게 부족한 것을 발견한 후 이 섹션은 거의 웃기게 보입니다.
iThemes는 보안에 거의 또는 전혀 영향을 미치지 않는 많은 기능으로 플러그인을 채웠습니다. 사례:화이트리스트 IP 기능. 우리의 장치 IP는 항상 변경되므로 특정 사람들이 사이트를 통과하게 될 것이라는 보장은 없으며 아마도 요점일 것입니다.
24시간마다 이메일 주소로 보고서를 보내는 파일 변경 모니터도 있습니다. 보고서에는 변경된 모든 파일 목록이 포함됩니다. 변경 사항이 무엇인지, 누가 변경했는지, 정확히 언제 발생했는지가 아닙니다. 아니요. "안녕하세요! 귀하의 사이트에 있는 이 모든 것이 이제 어제와 다릅니다. 안녕히 계세요!"
짜증을 이겨내고 iThemes에 좋은 암호 관리 시스템이 있다는 것을 인정하고 싶었습니다. 강력한 암호를 적용하고 손상된 암호가 사이트에서 사용되는 것을 거부할 수 있습니다. 우리는 이것을 결정적으로 테스트할 수 없었지만 다시 결과는 고르지 못했습니다.
한 가지 유용한 강화 기능이 있습니다. 바로 업로드 폴더에서 PHP 실행을 차단하는 것입니다. 나머지는 말도 안되는 소리입니다.
Wordfence:추가 기능
Wordfence 추가 기능은 모두 엄격하게 보안과 관련되어 있습니다. No adjacent helpful features, like updates or user management options. Having said that, there are a lot of extras.
After the initial installation, we saw a notifications section for site updates. On our test site, it showed us that 5 plugins needed to be updated.
There is a Wordfence Central status which allows you to manage multiple sites from the wp-admin of each site. This makes sense if you have a few sites on the same account, but the space is limited and won’t work for agencies with hundreds of sites. Good thing there is an external dashboard. You have to create an account on the Wordfence website to access Wordfence Central. In our opinion, it doesn’t make sense in having the central box on the site dashboard.
We added all the test sites to Wordfence Central and got a bird’s eye view of all them. It isn’t the best layout for anything more than 20 sites. The idea is good, the execution is lacking.
Next we checked out the Tools section. There is a panel for live traffic, which at first glance, seemed like a version of Google Analytics, but turned out to be more than that. You can set the traffic logs to include all traffic or just security related traffic. The logs are great, because there is a clear legend to indicate what kind of traffic the website is getting:human, bot, warning, blocked.
There is also a Whois lookup, in case you want to see who is attacking your website. This is a frill at best, because this feature is easily available online too.
The Diagnostics one is an interesting feature. It contains a whole bunch of information about the website, right from process owners to database tables and more besides. It is like a spec of the website in one place, along with the status of each of those things. Hard to imagine how an ordinary user (non-dev) would use any of this info, but definitely useful for a developer.
What’s missing from iThemes Security and Wordfence
iThemes is missing a scanner, cleaner and firewall. Also, it would be nice if it had functional brute force protection and activity log, and detected a vulnerability on occasion. 희망할 수 있습니다.
Wordfence doesn’t have bot protection nor an activity log. Other than that, it is a comprehensive and well-rounded security plugin.
Wordfence vs iThemes Security:Pricing
It is not worth buying iThemes Security, because its only worthwhile feature is two-factor authentication, which is available for free. Wordfence premium is available for $99 for the year, but the free version is strong enough on its own.
Wordfence’s free plugin is really great, considering it is free. The premium licenses are at a max of $99 per site, and get progressively lower with the more licenses you purchase.
The real kicker is the site cleaning service which is a hefty $490 per site, and although they say unlimited pages in the features, additional charges may apply for sites above 10 GB—which, fair enough. They do have a malware removal guarantee for 1 year, but there are caveats in the small print. So read those carefully.
After reading this article, you know that iThemes isn’t worth your money. Use it for two-factor authentication or get a dedicated plugin for that feature.
Better alternative to iThemes Security and Wordfence:MalCare
The best thing you can do for your website is to invest in a good security plugin. The plugin should scan, clean and protect your website from all manner of threats. During our testing series, only one plugin stood out:MalCare. It outshines iThemes in every way, and has a much better scanning, auto-cleaning, firewall, and notifications compared to Wordfence. It is a no-brainer.
MalCare’s $99 Basic plan includes unlimited cleanups, which is equivalent to Wordfence’s $99 plan and $490 per cleanup needed thereafter.
결론
We hope this article helped you decide on a way forward for your website security. If you have any questions or thoughts, do drop us a line. We would love to hear from you!