Sucuri vs Wordfence: Plugin nào bảo mật WordPress tốt hơn

Bảo mật WordPress giống như một quả bom hẹn giờ. Bạn không bao giờ có thể biết khi nào nó sẽ tắt. Hàng ngàn trang web WordPress bị hack mỗi ngày. Đây là một vấn đề nghiêm trọng cần được xử lý trong chồi trước khi nó trở thành mối đe dọa đáng sợ!

Có hai cách chính để bảo vệ trang web WordPress của bạn: đầu tiên, chọn sử dụng dịch vụ lưu trữ an toàn với hồ sơ theo dõi đã được chứng minh về các hoạt động tốt nhất trong ngành. Thứ hai, tăng cường bảo mật trang web của bạn với dịch vụ bảo mật dành riêng cho bên thứ ba.

Với bảo mật WordPress, Wordfence và Sucuri là hai trong số các tùy chọn phổ biến nhất. Cả hai đều đi kèm với một bộ tính năng bảo mật mạnh mẽ để giữ cho trang web của bạn an toàn. Theo nhiều cách, chúng giống nhau, nhưng khác nhau .

Wordfence hay Sucuri? Nếu bạn đang tự hỏi cái nào trong hai cái này sẽ phù hợp với trang web của bạn, bài viết này sẽ giúp bạn quyết định một cách quyết đoán. Tôi đã sử dụng cả hai để so sánh chúng trực tiếp với nhau về các tính năng, hiệu suất, giá cả và tổng giá trị mà chúng cung cấp.

Bạn có thể sử dụng thông tin này để chọn tùy chọn phù hợp nhất cho bạn.

Nghe có vẻ hay? Bắt đầu nào!

Giới thiệu về bảo mật WordPress

WordPress đang bị đe dọa liên tục bởi tin tặc. Theo báo cáo của GoDaddy Security, 90% tất cả các nền tảng CMS bị hack trong năm 2018 là các trang web WordPress. Google một mình liệt kê 10.000 trang web mỗi ngày để lưu trữ và phát tán phần mềm độc hại và các trang web trong danh sách đen này có thể mất tới 95% lưu lượng truy cập không phải trả tiền .

Infograpgh của Thống kê bảo mật WordPress

Thống kê bảo mật WordPress

41% các trang web WordPress bị tấn công là do lỗ hổng trong nền tảng lưu trữ . Do đó, bạn có thể tránh được nhiều rắc rối với nền tảng lưu trữ WordPress an toàn ngay từ đầu.

Thậm chí nhiều hơn đáng kinh ngạc là 60% của các doanh nghiệp nhỏ đóng cửa trong vòng 6 tháng của một cuộc tấn công không gian mạng. Vì phần lớn các nỗ lực hack xảy ra đối với các doanh nghiệp vừa và nhỏ, việc đảm bảo trang web của bạn là điều quan trọng hơn nhiều.

Làm thế nào tin tặc xâm phạm các trang web WordPress

Chỉ có 36,7% các trang web WordPress bị tấn công  là do các phiên bản dễ bị lỗi thời của WordPress. Các cuộc tấn công chính cho các trang web WordPress là các thành phần mở rộng của nó, cụ thể là các plugin và chủ đề .

Biểu đồ về cách WordPress bị hack

Cách WordPress bị xâm phạm (Nguồn hình ảnh: Wordfence)

Các cuộc tấn công bằng vũ lực để đoán mật khẩu yếu là vectơ tấn công lớn tiếp theo, chiếm 16,1% tổng số lần hack. Nghiên cứu tương tự cho thấy một thống kê gây sốc khác: 61,5% chủ sở hữu trang web bị tấn công thậm chí không biết rằng trang web của họ bị xâm phạm.

Cách bảo mật trang web WordPress của bạn

Có ba bước chính để giữ cho trang web WordPress của bạn an toàn trước các cuộc tấn công mạng:

Bộ ba bảo mật web: Ngăn chặn, phát hiện, phản hồi và phục hồi

3 trụ cột của bảo mật web

Phòng ngừa

Cho dù đó là bệnh sinh học hay phần mềm độc hại kỹ thuật số, phòng ngừa luôn tốt hơn chữa bệnh!

Mặc dù WordPress là miễn phí , nhưng chi phí xây dựng một trang web WordPress , sau đó bảo mật và duy trì nó, thì không. Nhưng thật đáng buồn, bảo mật thường nằm ở dưới cùng của các ưu tiên khi xây dựng một trang web.

Phòng ngừa tập trung vào việc giữ mã độc ra khỏi các trang web WordPress của bạn. Nó thường được thực hiện thông qua tường lửa, chương trình chống vi-rút, giải pháp lọc email, bảo vệ chống lại các cuộc tấn công DDoS và các bot xấu, v.v.

Phát hiện

Phát hiện tập trung vào việc nhận thức được các sự cố bảo mật ngay khi chúng xảy ra, do đó bạn có thể hành động ngay lập tức và bảo mật trang web của mình trước khi có bất kỳ thiệt hại đáng kể nào được thực hiện.

Nó bao gồm các công cụ như hệ thống phát hiện xâm nhập, quét mạng, giám sát toàn vẹn , v.v.

Nhiều chủ sở hữu các trang web WordPress bị tấn công thậm chí không biết rằng bảo mật trang web của họ bị xâm phạm. Do đó, điều quan trọng là phải có các hệ thống phát hiện mạnh mẽ, đặc biệt là ở cấp độ lưu trữ. Các plugin bảo mật như Sucuri hoặc Wordfence là những addon tuyệt vời.

Phản hồi và phục hồi

Hy vọng cho điều tốt nhất, nhưng luôn luôn chuẩn bị cho điều tồi tệ nhất! Phản hồi và Phục hồi tập trung vào việc giải quyết các sự cố bảo mật nhanh chóng và hiệu quả.

Một quá trình phục hồi tốt không chỉ cần dọn dẹp sau một cuộc tấn công, mà còn bao gồm các tính năng sao lưu và pháp y. Điều này đảm bảo rằng bạn dừng các sự cố tương tự trong các bài hát của họ trước khi chúng xảy ra.

Các dịch vụ bảo mật như Sucuri hoặc Wordfence cung cấp dịch vụ ứng phó sự cố như là một phần của gói chuyên nghiệp của họ.

Sucuri vs Wordfence

Cả Sucuri và Wordfence đều giúp bạn bảo mật trang web WordPress của mình, nhưng cách tiếp cận của họ thì khác. Đây là một cuộc đấu nhanh giữa họ:


SucuriLời nói
Giá tường lửa (WAF)Bắt đầu ở mức 9,99 đô la / thángBắt đầu ở mức 99 đô la / năm
Giá loại bỏ phần mềm độc hạiBắt đầu với $ 199,99 / năm – dọn dẹp không giới hạn$ 179 mỗi lần dọn dẹp
Plugin miễn phí có sẵnĐúngĐúng
Tường lửa ứng dụng web (WAF)Có, nhưng chỉ dành cho khách hàng PremiumVâng, nó miễn phí
Quét toàn vẹn trang webĐúngĐúng
Hỗ trợ chứng chỉ SSL (trên WAF)ĐúngKhông
Bảo vệ tấn công DDoSĐúngKhông
Phòng chống khai thác không ngàyĐúngKhông
CDN cho hiệu suất được cải thiệnĐúngKhông
Nền tảng dựa trên đám mâyCó, Quét từ xaKhông
Nền tảng tự lưu trữKhôngCó, Quét cục bộ
Tinh chỉnh hệ thốngKhôngĐúng

Bảng trên bao gồm những khác biệt chính giữa Sucuri và Wordfence. Bây giờ, hãy đào sâu hơn!

Đánh giá Sucuri

Plugin bảo mật Sucuri trên WordPress.org

Sucuri Security là một plugin bảo mật miễn phí cho WordPress

Giới thiệu về Sucuri

Sucuri là một công cụ bảo mật trang web dựa trên đám mây để bảo mật các trang web. Nó lọc tất cả lưu lượng truy cập vào trang web của bạn trước khi nó đến máy chủ lưu trữ của bạn.

Các tính năng cốt lõi của nó bao gồm phát hiện phần mềm độc hại, giám sát toàn vẹn và tăng cường bảo mật. Sucuri quét mọi thứ từ xa, do đó nó không thực hiện bất kỳ quét sâu nào ở cấp máy chủ.

Sucuri hứa hẹn sẽ bảo vệ các trang web, cải thiện hiệu suất, theo dõi các chỉ số về hack và cung cấp hỗ trợ không giới hạn cho các sự cố bảo mật (chỉ dành cho người dùng cao cấp).

Xếp hạng 4 sao của plugin Sucuri Security trên kho lưu trữ WordPress

Sucuri Security có xếp hạng 4,4 sao với hơn 600.000 lượt cài đặt hoạt động

Bạn nên lưu ý rằng Sucuri không phải là viên đạn bạc cho tất cả các nhu cầu bảo mật trang web của bạn. Nó được thiết kế để bổ sung cho bảo mật web hiện tại của bạn. Tuy nhiên, Sucuri cung cấp cho bạn nhiều công cụ để giảm thiểu rủi ro, giúp bạn yên tâm hơn và nhận thức về bảo mật tốt hơn.

Sucuri hoạt động như thế nào

Khi nói về cách Sucuri hoạt động, tốt nhất nên phân biệt giữa ba tầng của nó:

  1. Sucuri Security là một plugin miễn phí đi kèm với các tính năng tăng cường bảo mật WordPress tiêu chuẩn. Phiên bản miễn phí của plugin không bao gồm tường lửa.
  2. Sucuri Firewall (WAF) là một dịch vụ trả phí mà bạn có thể tích hợp với plugin Sucuri Security miễn phí. Bạn cũng có thể sử dụng tường lửa mà không cần plugin. Nó bao gồm các tính năng bảo vệ trang web như Tường lửa ứng dụng trang web (WAF), CDN để tối ưu hóa hiệu suất, cân bằng tải cho tính sẵn sàng cao, Hệ thống phát hiện xâm nhập (IDS), giảm thiểu DDoS và một loạt các công cụ khác.
  3. Sucuri Platform là bộ dịch vụ bảo mật dựa trên đám mây cao cấp. Nó bao gồm mọi thứ được bao gồm với Sucuri Firewall, cộng với các tính năng quan trọng khác như theo dõi, phát hiện và ứng phó sự cố. Bằng cách đăng ký Nền tảng Sucuri, bạn có thể yêu cầu nhóm Sucuri loại bỏ tất cả các cảnh báo về phần mềm độc hại và danh sách đen cho trang web của bạn.
Một thông tin về cách Mạng Securi bảo vệ các trang web khỏi các cuộc tấn công độc hại

Tường lửa ứng dụng web Sucuri (WAF) hoạt động như thế nào

Để hiểu rõ hơn, đây là một đoạn video ngắn về Sucuri tại nơi làm việc:

Sucuri theo dõi mọi thay đổi trong trang web của bạn và lưu nhật ký vào các máy chủ đám mây của riêng nó. Điều này giúp khắc phục các vấn đề bảo mật nhanh chóng và hiệu quả.

Cài đặt bảo mật và tính năng khả dụng

Bạn có thể chia các dịch vụ WordPress của Sucuri thành hai sản phẩm chính: plugin miễn phí có tên Sucuri Security và Tường lửa Sucuri dựa trên đám mây cao cấp (WAF) .

Trước tiên hãy xem plugin miễn phí.

Các Sucuri an bảng điều khiển có giao diện đơn giản cung cấp cho bạn một cái nhìn đại bàng mắt của kiểm tra an ninh của nó.

Nhiệm vụ chính của nó là thông báo cho bạn về tính toàn vẹn của các tệp WordPress cốt lõi của bạn. Nó sẽ hiển thị cho bạn một cảnh báo nếu nó tìm thấy bất kỳ tệp lõi bị xâm nhập nào. Sau đó, bạn có thể thực hiện một hành động thích hợp: thay thế các tệp bị nhiễm bằng tệp gốc hoặc đánh dấu chúng là dương tính giả.

Trong tab Nhật ký kiểm toán tại đây, bạn sẽ tìm thấy mọi thay đổi đã xảy ra trên trang web của mình. Tương tự, trong các tab iFrames , Liên kết và Tập lệnh , bạn có thể tìm thấy mọi phiên bản tập lệnh và liên kết trên trang web của mình.

Bảng điều khiển plugin Sucuri Security

Bảng điều khiển an ninh Sucuri. Lưu ý cảnh báo ở trên cùng bên phải

Trong trường hợp của tôi, cảnh báo là một dương tính giả. Vì vậy, tôi đánh dấu nó là cố định bằng tay. Sucuri sẽ nhớ bản sửa lỗi này vào lần tiếp theo khi thực hiện quét.

Bảng điều khiển Sucuri sau khi dập tắt dương tính giả

Bạn có thể dạy Sucuri bỏ qua những cảnh báo tích cực sai

Các Cài đặt bảng điều khiển có nhiều tab để tùy chỉnh cách Sucuri bảo vệ website của bạn. Trong tab Cài đặt chung , bạn có thể tìm thấy Khóa API , thư mục Lưu trữ dữ liệu và các cài đặt khác như Trình xuất nhật ký , Proxy ngược , Trình khám phá địa chỉ IP và Ghi đè múi giờ .

Bạn cũng có thể nhập hoặc xuất các cài đặt chung của Sucuri từ đây.

Bảng cài đặt chung Sucuri

Tab Cài đặt chung trong Bảo mật Sucuri

Tiếp theo, hãy chuyển sang tab Scanner . Tại đây, bạn có thể xem Tác vụ theo lịch trình của Sucuri , cài đặt Tiện ích khác biệt toàn vẹn của WordPress (để so sánh các tệp trên máy chủ của bạn với bản gốc) và danh sách các vị trí sai .

Nếu bạn muốn bỏ qua các tệp và thư mục nhất định trên máy chủ của mình khỏi quá trình quét của Sucuri, bạn có thể đặt chúng ở đây. Công cụ này hữu ích để bỏ qua các tệp và thư mục không liên quan đến mã có thể quá nặng để quét, chẳng hạn như các thư mục có nhiều tệp phương tiện , sao lưu , v.v.

Bảng điều khiển cài đặt máy quét an ninh Sucuri

Đặt cài đặt máy quét của bạn từ đây

Các Hardening tab cho phép bạn áp dụng một tập hợp các tiêu chuẩn WordPress và PHP phương pháp an ninh cứng. Nhưng bạn có thể sử dụng các cài đặt Tệp PHP bị chặn Whitelist để bỏ qua các tệp PHP nhất định khỏi các hạn chế cứng nhắc này.

Bảng điều khiển cài đặt bảo mật Sucuri

Áp dụng quy tắc tăng cường bảo mật tiêu chuẩn

Trong trường hợp bị tấn công hoặc vi phạm, tab Post-Hack sẽ rất tiện dụng. Ở đây, bạn có thể cập nhật Khóa bí mật , Đặt lại mật khẩu người dùng , Đặt lại plugin đã cài đặt và áp dụng mọi Cập nhật chủ đề và plugin có sẵn .

Bảng điều khiển cài đặt Hack bài bảo mật Sucuri

Công cụ nhanh chóng tăng cường bảo mật nếu bạn bị hack

Các Alerts tab cho phép bạn thiết lập cảnh báo người nhận , địa chỉ IP tin cậy , Alert Chủ đề , Cảnh báo mỗi giờ . Bạn có thể đặt loại Cảnh báo bảo mật nào sẽ kích hoạt cơ chế cảnh báo và loại cảnh báo nào sẽ bỏ qua (thường là các loại của plugin bên thứ 3). Đây là một tính năng phát hiện tuyệt vời để có.

Bảng cài đặt cảnh báo bảo mật Sucuri

Sucuri Security cho phép bạn tùy chỉnh cảnh báo

Các API Dịch vụ Thông tab là đơn giản và dễ hiểu. Chủ yếu dành cho các nhà phát triển truy cập dịch vụ API từ xa của Sucuri.

Bảng điều khiển cài đặt dịch vụ API bảo mật Sucuri

Giao tiếp với dịch vụ API từ xa của Sucuri từ đây

Cuối cùng, tab Thông tin trang web liệt kê hầu hết mọi thứ bạn muốn biết về trang web của bạn và máy chủ web được lưu trữ trên đó. Tại đây, trong phần Toàn vẹn tệp truy cập , bạn có thể kiểm tra tính toàn vẹn của tệp .htaccess của mình .

Thông tin

Tab Thông tin trang web bảo mật Sucuri

Tab Thông tin trang web liệt kê thông số kỹ thuật của trang web và máy chủ của bạn

Tường lửa dựa trên đám mây của Sucuri là một dịch vụ cao cấp. Thật tuyệt vời khi lọc lưu lượng rác, các cuộc tấn công DDoS và các bot xấu.

Nó có thể làm việc kỳ diệu ngay cả khi không có plugin (đó là cách được khuyến nghị). Bạn chỉ cần trỏ DNS của máy chủ của mình về phía máy chủ tên của nó.

Bảng điều khiển cài đặt bảo mật Sucuri Cloud Firewall WAF

Sucuri WAF bảo vệ trang web của bạn khỏi các cuộc tấn công độc hại

Tuy nhiên, một dịch vụ WAF chuyên nghiệp như Sucuri, có mô hình kinh doanh tập trung chủ yếu vào việc loại bỏ lưu lượng truy cập xấu , sẽ cung cấp một kiểm soát chi tiết hơn.

Không có gì lạ khi người dùng đăng ký tường lửa dựa trên đám mây của Sucuri như một bản sao lưu và chỉ chuyển sang sử dụng trong trường hợp bị tấn công. Sucuri làm cho nó siêu dễ dàng để làm điều đó.

Infographic bản đồ của Sucuri CDN POP

Các POP CDN của Sucuri được đặt trên khắp thế giới (Nguồn ảnh: Sucuri)

Tất cả mọi thứ được xem xét, Sucuri không chỉ là một plugin bảo mật hoặc tường lửa. Đây là một giải pháp bảo mật web hoàn chỉnh để giữ cho các trang web của bạn được bảo vệ khỏi hầu như mọi cuộc tấn công độc hại.

Dễ sử dụng

Sucuri là đơn giản để sử dụng. Giao diện người dùng là điểm chính. Nếu Sucuri khuyên bạn nên áp dụng bất kỳ cài đặt tăng cường bảo mật nào, chỉ cần một cú nhấp chuột để kích hoạt chúng.

Khi bạn cài đặt plugin, bạn cần tạo khóa API miễn phí, bạn có thể thực hiện trực tiếp từ bảng điều khiển WordPress của mình.

Sucuri tự động hóa hầu hết các tính năng bảo mật của nó, vì vậy bạn có thể đặt chúng một lần và quên mãi mãi . Bạn không phải lo lắng về việc cập nhật hoặc duy trì plugin.

Sucuri sẽ cảnh báo bạn nếu phát hiện vi phạm. Nhưng trong trường hợp bạn muốn kiểm soát bằng tay, nó cung cấp cho bạn nhiều tùy chọn. Và vì WAF của Sucuri dựa trên đám mây, nên nó không yêu cầu bất kỳ sự bảo trì kỹ thuật nào từ phía bạn.

Nhìn chung, tôi thấy Sucuri dễ dàng thiết lập và sử dụng.

Làm thế nào Sucuri giá vé trên bộ ba bảo mật web

Phòng ngừa

Plugin Sucuri Security miễn phí đủ tốt để giữ một tab trên trang web WordPress của bạn và áp dụng một số biện pháp bảo mật tiêu chuẩn. Nhưng nó không được xây dựng để ngăn chặn bất kỳ cuộc tấn công lớn nào vào trang web của bạn.

Nếu bạn đang tìm kiếm một giải pháp bảo mật WordPress miễn phí, tôi sẽ không đề xuất Sucuri Security. Đừng dựa vào nó để bảo mật trang web của bạn.

Mặt khác, Sucuri Firewall thực hiện một công việc tuyệt vời để chống lại các cuộc tấn công DDoS, các bot lạm dụng và thỏa hiệp dữ liệu của khách hàng. Các Bảo mật nền tảng Sucuri đi một bước xa hơn và thêm các biện pháp phòng ngừa thậm chí nhiều hơn nữa.

Phát hiện

Plugin miễn phí của Sucuri thực hiện công việc tuyệt vời trong việc phát hiện ngay cả những thay đổi nhỏ nhất trên trang web của bạn. Nếu nó tìm thấy bất kỳ sự bất thường nào, nó sẽ cảnh báo bạn kịp thời để bạn có thể có hành động thích hợp.

Ngay cả khi tin tặc đã khóa bạn khỏi trang web của bạn , bạn có thể kiểm tra nhật ký được lưu trên máy chủ đám mây của Sucuri để tìm hiểu điều gì đã xảy ra và làm thế nào bạn có thể lấy lại quyền kiểm soát.

Tuy nhiên, đó là Nền tảng bảo mật Sucuri cao cấp thực sự tỏa sáng với sự giám sát và phát hiện. Nó đi kèm với các tính năng bổ sung khác nhau như quét bảo mật phía máy chủ thông thường, giám sát danh sách đen , giám sát SSL, thông báo tức thời và Tích hợp tương quan nhật ký ( SIEM ).

Giá Sucuri

Bây giờ, đến với bit quan trọng nhất, giá cả.

Bảng giá Sucuri Website Tường lửa WAF

Giá cả và tính năng tường lửa Sucuri

Tường lửa Sucuri (WAF) bắt đầu từ 9,99 đô la / tháng, trong khi Nền tảng Sucuri bắt đầu từ 199,99 đô la / năm. Đăng ký Nền tảng Sucuri cũng cho phép bạn truy cập không giới hạn để loại bỏ phần mềm độc hại và dọn dẹp hack.

Tất cả các gói cao cấp của Sucuri đều được bảo hành hoàn tiền trong 30 ngày.

Sucuri không loại trừ bất kỳ tính năng bảo mật nào khỏi các gói cấp thấp hơn ngoại trừ hỗ trợ chứng chỉ SSL trên máy chủ gốc của bạn (dành riêng cho gói rẻ thứ hai).

Thay vào đó, Sucuri sử dụng quét và ưu tiên phản hồi như một động lực để bạn đăng ký các kế hoạch cao hơn của họ.

Màn hình bảng kế hoạch giá nền tảng

Giá cả và tính năng của nền tảng Sucuri

Chiến lược giá này cung cấp cho mọi khách hàng Sucuri các tính năng phát hiện và phòng ngừa giống nhau, nhưng để quét và loại bỏ phần mềm độc hại, những khách hàng đã đăng ký gói cao hơn được ưu tiên cao nhất.

Mọi người sẽ nhận được vé của họ được giải quyết đúng hạn, nhưng nếu bạn ở tầng thấp nhất, trong hầu hết các trường hợp, câu trả lời sẽ không được thực hiện ngay lập tức. Nếu bạn cần một giải pháp nhanh hơn, bạn có tùy chọn cho các kế hoạch cao hơn của họ. Để so sánh, giải pháp bảo mật tương đương của Cloudflare có giá 200 đô la / tháng.

Tôi có thể hiểu tại sao phương pháp này có thể làm nản lòng một số người dùng, đặc biệt là khi họ đang xử lý một trang web bị tấn công và đang tìm cách khắc phục nhanh. Nhưng xem xét tổng giá trị bạn nhận được từ nó, nó hoạt động tốt hơn cho phần lớn người dùng Sucuri trong thời gian dài.

Bây giờ chúng tôi đã giới thiệu Sucuri, hãy chuyển sang Wordfence và xem nó so sánh với nó như thế nào.

Đánh giá từ

Plugin bảo mật Wordfence trên WordPress.org

Wordfence Security là một plugin bảo mật miễn phí cho WordPress

Giới thiệu về Wordfence

Wordfence là một plugin bảo mật WordPress miễn phí bao gồm tường lửa điểm cuối (WAF) và trình quét phần mềm độc hại.

Nó có các biện pháp bảo mật khác như bảo mật đăng nhập ( 2FA , trang đăng nhập CAPTCHA , giới hạn số lần đăng nhập), Lưu lượng truy cập trực tiếp và chặn dựa trên quy tắc nâng cao.

Plugin Wordfence Security được xếp hạng 4,8 sao trên WordPress.org

Wordfence có xếp hạng 4,8 sao với hơn 3 triệu lượt cài đặt hoạt động

Không giống như Sucuri, Wordfence là một tường lửa cục bộ. Nó vẫn ở trên máy chủ web của bạn và không phải là một dịch vụ đám mây. Do đó, nó có thể thực hiện quét phía máy chủ ở mức sâu hơn và cung cấp mã hóa đầu cuối đầy đủ.

Tại sao? Bởi vì tài nguyên của máy chủ của bạn sẽ phân tích lưu lượng, kiểm tra xem có mục đích xấu nào không và nếu cần, hãy loại bỏ lưu lượng. Nếu bạn lưu trữ trang web của mình trên một máy chủ có ít tài nguyên hơn (ví dụ: lưu trữ chia sẻ và gói lưu trữ được quản lý giá rẻ), trang web của bạn có thể thu thập dữ liệu nhanh.

Trong trường hợp bị tấn công DDoS , lũ lưu lượng độc hại có thể tràn ngập tài nguyên máy chủ của bạn. Không có plugin bảo mật cục bộ nào có thể đứng vững được điều đó. Đây là điểm yếu lớn nhất của Wordfence khi so sánh với Sucuri.

Ngược lại, nếu bạn đã bật WAF của Sucuri, mọi lưu lượng độc hại đến trang web của bạn sẽ được lọc ra khỏi đám mây trước khi nó đến máy chủ của bạn.

Nhưng WAF được bản địa hóa của Wordfence là một tính năng được xây dựng miễn phí, trong khi WAF trên đám mây của Sucuri là một ưu đãi cao cấp.

Wordfence hoạt động như thế nào

Tường lửa của Wordfence được cung cấp bởi Threat Defense Feed , đây là một thuật ngữ thú vị cho bộ sưu tập các quy tắc tường lửa, địa chỉ IP độc hại và chữ ký phần mềm độc hại.

Các Threat Defense nguồn cấp dữ liệu được tích hợp với Wordfence Plugin cài đặt trên trang web WordPress của bạn. Nó được cung cấp bởi máy chủ của bạn.

Infographic về cách hoạt động của Tường lửa Wordfence

Cách tường lửa Wordfence (WAF) hoạt động

Với Wordfence Premium, bạn sẽ nhận được các bản cập nhật theo thời gian thực cho Nguồn cấp dữ liệu Threat Defense . Nó bao gồm các tính năng như:

  • Danh sách đen IP thời gian thực, Quy tắc tường lửa và Cập nhật chữ ký phần mềm độc hại.
  • Hỗ trợ cao cấp.
  • Kiểm tra danh tiếng trang web / IP.
  • Chặn cấp quốc gia.

Người dùng miễn phí nhận được các bản cập nhật quan trọng chỉ sau 30 ngày ra mắt. Họ cũng không nhận được danh sách đen IP thời gian thực. Mặc dù đây có vẻ là một lựa chọn tốt cho các trang web cá nhân, nhưng nó có thể là một sự phá vỡ thỏa thuận nếu bạn đang lưu trữ một doanh nghiệp hoặc một trang web thương mại điện tử.

Có một lợi thế là tường lửa điểm cuối có tường lửa trên đám mây. Vì nó được cung cấp hoàn toàn bởi máy chủ của bạn, về mặt lý thuyết, nó không thể rò rỉ bất kỳ dữ liệu nào và cũng không thể bỏ qua. Ngược lại, tường lửa đám mây có thể rò rỉ dữ liệu hoặc bị bỏ qua nếu kẻ tấn công biết địa chỉ IP của máy chủ của bạn.

Một infographic của Wordfence Endpoint Firewall vs Sucuri Cloud Firewall

Tường lửa đám mây và Tường lửa điểm cuối (Nguồn hình ảnh: Wordfence)

Cài đặt bảo mật và tính năng khả dụng

Wordfence sống trên máy chủ web của bạn. Do đó, bạn có thể tìm thấy tất cả các cài đặt của nó trong bảng điều khiển WordPress của bạn .

Bảng điều khiển là sạch sẽ và nhiều thông tin. Nó cung cấp cho bạn thông tin quan trọng và cảnh báo trong nháy mắt.

Màn hình bảng điều khiển plugin Wordfence

Bảng điều khiển Wordfence

Trình quét của Wordfence thực hiện kiểm tra tính toàn vẹn của mọi tệp trên máy chủ của bạn. Nó sẽ thông báo cho bạn nếu đó không phải là tệp WordPress cốt lõi hoặc chủ đề / plugin chính thức.

Nó sẽ khớp văn bản trong các tệp của máy chủ của bạn với phần mềm độc hại đã biết. Nếu nó tìm thấy bất cứ điều gì tương tự, ngay cả khi đó là một hoặc hai dòng, nó sẽ cảnh báo bạn bằng một cảnh báo. Bạn cũng sẽ nhận được thông báo nếu bất kỳ chủ đề hoặc plugin nào của bạn có bản cập nhật khả dụng.

Bây giờ, hãy chuyển sang bảng Tường lửa của Wordfence . Tại đây, bạn có thể quản lý cài đặt WAF của Wordfence và tối ưu hóa cấu hình của nó.

Bảng cài đặt Tường lửa Wordfence

Cài đặt tường lửa của Wordfence chủ yếu là tự động

Khi bạn cài đặt Wordfence lần đầu tiên, WAF của nó sẽ ở Chế độ học tập trong một tuần theo mặc định. Điều này cho phép nó nghiên cứu trang web của bạn và khách truy cập một cách kỹ lưỡng, vì vậy nó hiểu những quy tắc nào được áp dụng để chỉ cho phép lưu lượng truy cập hợp pháp thông qua tường lửa.

Các Real-Time IP Blacklist tính năng chỉ có sẵn cho người dùng cao cấp.

Với tính năng Bảo vệ lực lượng Brute được bật, Wordfence bảo vệ bạn khỏi những kẻ tấn công bằng cách khóa tài khoản của họ sau một vài lần thử mật khẩu không thành công. Nó cũng buộc bạn phải thay đổi mật khẩu nếu nó nghĩ rằng nó quá yếu để có thể đoán dễ dàng.

Tab cài đặt chặn tường lửa Wordfence

Quản lý quy tắc chặn cho trang web của bạn từ tab Chặn

Trong tab Chặn , bạn có thể chặn lưu lượng dựa trên địa chỉ IP, dải IP, trình duyệt, tên máy chủ và người giới thiệu. Tuy nhiên, chặn cấp quốc gia là một tính năng chỉ dành cho cao cấp. Bạn có thể kết hợp tất cả các quy tắc chặn khác nhau và lưu nó dưới dạng Loại khối .

Tùy chọn Tường lửa Wordfence Cài đặt giới hạn tỷ lệ

Kích hoạt giới hạn tốc độ và quy tắc chặn nâng cao từ đây

Trong phần Tùy chọn tường lửa , bạn có thể liệt kê các địa chỉ IP và dịch vụ, đặt địa chỉ IP thành bỏ qua cho các cảnh báo WAF, định cấu hình giới hạn tốc độ và URL danh sách trắng.

Wordfence cũng cho phép bạn chặn các IP truy cập một số URL nhất định. Điều này rất hữu ích nếu ai đó liên tục thăm dò trang web của bạn để biết các lỗ hổng đã biết.

Tiếp theo, hãy chuyển sang tab Cài đặt máy quét .

Bảng cài đặt Wordfence Scan

Quản lý cài đặt quét Wordfence của bạn từ đây

Tại đây, bạn sẽ tìm thấy các tác vụ quét của Wordfence. Ba thử nghiệm đầu tiên là kiểm tra thư rác và danh sách đen và chúng chỉ dành riêng cho người dùng cao cấp.

Nếu quá trình quét phát hiện bất cứ điều gì khác thường, nó sẽ đưa ra cảnh báo cho bạn.

Trong phần Tùy chọn quét và Lập lịch , bạn có thể đặt độ nhạy quét, tần số quét và các tệp danh sách trắng. Bạn cũng có thể tối ưu hóa quét cho hiệu suất trên thiết lập của bạn.

Bảng điều khiển tùy chọn quét và lập lịch

Wordfence có nhiều tùy chọn quét và lên lịch

Wordfence đi kèm với một loạt các Công cụ tiện dụng khác .

Công cụ Live Traffic giúp bạn xem những gì đang xảy ra trên trang web của bạn trong thời gian thực. Bạn có thể lọc nó chỉ bằng lưu lượng liên quan đến bảo mật. Điều này sẽ hiển thị cho bạn tất cả thông tin đăng nhập của người dùng, các nỗ lực hack và các yêu cầu độc hại.

Bảng điều khiển giao thông trực tiếp của Wordfence Tools

Lưu lượng truy cập trực tiếp là tính năng tuyệt vời nhất về tài nguyên

Mặc dù đây là một tính năng thú vị, Live Traffic sử dụng rất nhiều tài nguyên của máy chủ của bạn. Tôi khuyên bạn nên tắt nó khi không sử dụng.

Các công cụ khác bao gồm Tra cứu Whois , Tùy chọn Nhập / Xuất và Chẩn đoán .

Bạn cũng có thể bật Xác thực hai yếu tố (2FA) cho tất cả các lần đăng nhập trên trang web WordPress của mình bằng mô-đun Bảo mật đăng nhập của Wordfence . Nó trước đây là một tính năng chỉ dành cho cao cấp, nhưng bây giờ nó có sẵn miễn phí.

Bảng bảo mật đăng nhập Wordfence Two-Factor-xác thực

Kích hoạt xác thực hai yếu tố trên trang web của bạn một cách dễ dàng

Bạn có thể sử dụng các ứng dụng di động miễn phí như Google Authenticator, FreeOTP hoặc Authy (đề xuất cá nhân của tôi) để thiết lập 2FA.

Tab Cài đặt bảo mật đăng nhập Wordfence

Tab Cài đặt bảo mật đăng nhập của Wordfence

Bạn có thể kích hoạt 2FA cho tất cả các vai trò người dùng. Đó là một cách tuyệt vời để bảo vệ bản thân và người dùng của bạn khỏi các cuộc tấn công vũ phu như đoán mật khẩu và nhồi thông tin xác thực.

Bạn có thể đặt danh sách trắng IP cho 2FA, để một số IP nhất định không phải trải qua kiểm tra bảo mật bổ sung trong khi đăng nhập. Nếu bạn chủ yếu làm việc từ một vị trí, tính năng này giúp bạn tránh đi qua 2FA mỗi khi bạn đăng nhập trong.

Các tính năng bảo mật đăng nhập khác để ngăn chặn các cuộc tấn công vũ phu bao gồm:

  • Giới hạn số lượng mật khẩu quên mật khẩu Các lần thử và thất bại đăng nhập. Sau một số lần thử, người dùng sẽ bị khóa.
  • Thực thi mật khẩu mạnh trên toàn trang web.
  • Ngăn chặn đăng ký người dùng với một số tên người dùng nhất định (ví dụ: quản trị viên)
  • Chặn mọi người đang cố gắng đăng nhập bằng tên người dùng cụ thể ngay lập tức (ví dụ: admin, yoursite_admin, v.v.).
  • Vô hiệu hóa xác thực XML-RPC, một vectơ tấn công phổ biến được sử dụng để tiêm phần mềm độc hại.

Cuối cùng, Wordfence bao gồm bảng điều khiển Tất cả tùy chọn nơi bạn có thể tìm thấy từng cài đặt Wordfence. Xem xét các tùy chọn mở rộng có sẵn trong Wordfence, điều này là siêu hữu ích.

Bảng điều khiển Wordfence All Options

Xem tất cả các tùy chọn của Wordfence từ bảng Tất cả tùy chọn

Dễ sử dụng

Về tính thân thiện với người dùng, Wordfence có thể so sánh với Sucuri Security và cực kỳ đơn giản để sử dụng. Sau khi cài đặt và kích hoạt plugin, Wordfence sẽ ngay lập tức chuyển sang Chế độ học tập trong một tuần.

Dựa trên thiết lập và lưu lượng máy chủ của bạn, nó sẽ tự động áp dụng các cài đặt quét và tường lửa được đề xuất. Theo kinh nghiệm của tôi, những cài đặt này là quá đủ để bảo vệ bạn trước hầu hết các cuộc tấn công.

Các tính năng bảo mật đăng nhập rất dễ thiết lập và thực thi.

Nếu trang web của bạn đang bị tấn công DDoS, Wordfence có thể đưa máy chủ của bạn thu thập dữ liệu. Trong những trường hợp cực đoan nhất, máy chủ có thể bị quá tải đến nỗi nó sẽ khóa bạn khỏi việc truy cập bảng điều khiển quản trị viên WordPress của bạn.

Vì Wordfence là một giải pháp được bản địa hóa, bạn hoàn toàn kiểm soát các cài đặt của nó. Mặc dù điều này có thể hữu ích nếu bạn thành thạo về mặt kỹ thuật, nhưng đối với hầu hết người dùng WordPress, điều này có thể gây rắc rối.

Nhìn chung, tôi thấy Wordfence dễ như chiếc bánh, miễn là nó hoạt động như dự định.

Wordfence Fares trên Web Security Triad như thế nào

Phòng ngừa

Không giống như giải pháp miễn phí của Sucuri không bao gồm tường lửa, Wordfence có một số răng để ngăn chặn hầu hết các cuộc tấn công. Nó không chỉ áp dụng các biện pháp tăng cường bảo mật tiêu chuẩn mà còn đi kèm với WAF phía máy chủ.

Nhưng các bản cập nhật mối đe dọa mới nhất chỉ dành cho người dùng cao cấp. Người dùng miễn phí được cập nhật 30 ngày sau khi phát trực tiếp. Và vì máy chủ web của bạn hỗ trợ Wordfence (chứ không phải đám mây), ngay cả với lựa chọn cao cấp, bạn vẫn có thể tự bảo vệ mình trước một cuộc tấn công DDoS.

Tôi có thể hiểu nhu cầu kinh doanh đằng sau quyết định này, nhưng để bảo mật, tôi nghĩ cách tiếp cận toàn diện hoặc không có gì của Sucuri là tốt hơn. Ít nhất bạn không còn để nghĩ rằng bạn được bảo vệ trước các mối đe dọa phổ biến nhất trong khi bạn không.

Như đã nói, phiên bản cao cấp của Wordfence thực hiện công việc tốt trong việc ngăn chặn hầu hết các cuộc tấn công bảo mật. Blogkênh YouTube của họ là những tài nguyên tuyệt vời để giúp bạn cập nhật các mối đe dọa bảo mật mới nhất của WordPress.

Phát hiện

Plugin Wordfence miễn phí thực hiện khá tốt để phát hiện hầu hết các vấn đề bảo mật. Nhưng bạn cần gói cao cấp của nó để đánh hơi các mối đe dọa mới nhất.

Nếu một hacker đã khóa bạn thành công khỏi trang web của bạn, thì không có cách nào để kiểm tra nhật ký như ở Sucuri. Vì vậy, điều tra hack khó hơn nhiều.

Bạn sẽ không có bất kỳ sự truy đòi nào khác ngoài việc liên hệ với nhà cung cấp dịch vụ lưu trữ của bạn hoặc dịch vụ bảo mật của bên thứ ba, điều trớ trêu thay cũng bao gồm Wordfence.

So với Sucuri, Wordfence có tính năng tùy chỉnh cảnh báo cơ bản và nó hoạt động rất tốt. Nó sẽ thông báo cho bạn kịp thời trong trường hợp tìm thấy sự bất thường về bảo mật.

Phản hồi và phục hồi

Như đã lưu ý trước đó, bạn còn lại để tự chăm sóc bản thân với phiên bản Wordfence miễn phí. Nhưng ngay cả với gói cao cấp, Wordfence không cung cấp bất kỳ dịch vụ phản hồi và phục hồi nào.

Đây là một trích dẫn được lấy trực tiếp từ các điều khoản sử dụng của Wordfence :

Hỗ trợ của chúng tôi dành cho Wordfence Premium được giới hạn trong 2 giờ hỗ trợ cho mỗi sự cố. Chúng tôi có quyền từ chối hỗ trợ thêm hoặc tính phí cho hỗ trợ bổ sung sau 2 giờ hỗ trợ.

Để có độ phân giải đầy đủ, bạn phải sử dụng dịch vụ riêng biệt của họ được gọi là WordPress Site Cleaning . Nó có giá $ 179 mỗi lần (cộng với phí tăng dựa trên nhu cầu).

Dịch vụ dọn dẹp trang web Wordfence đi kèm với giá Surge

Dịch vụ dọn dẹp trang web Wordfence WordPress

Dịch vụ dọn dẹp trang WordPress của họ bao gồm:

  • Làm sạch trang bị nhiễm bằng cách xóa tất cả các mã và liên kết độc hại.
  • Điều tra làm thế nào các trang web đã bị nhiễm bệnh.
  • Cung cấp một báo cáo chuyên sâu về điều tra và loại bỏ nhiễm trùng.
  • Áp dụng trang web để xóa khỏi danh sách đen chống phần mềm độc hại và chống thư rác.
  • Cung cấp một danh sách kiểm tra để tránh các cuộc tấn công trong tương lai.

Tôi chưa sử dụng dịch vụ dọn dẹp trang web của họ, nhưng có vẻ đủ toàn diện. Dưới đây là một vài đánh giá tốt tôi tìm thấy trên Twitter:

Đánh giá của Tiến sĩ David Mile về Dịch vụ Dọn dẹp Trang web Wordfence trên Twitter

Tiến sĩ David Miles, Tổng biên tập, Chính trị toàn cầu

Đánh giá của Rachel Bustin về Dịch vụ dọn dẹp trang web Wordfence trên Twitter

Rachel Bustin, Blogger Phong cách sống gia đình

So với việc loại bỏ phần mềm độc hại và hack dịch vụ dọn dẹp của Sucuri, được bao gồm trong Nền tảng Sucuri cao cấp, dịch vụ dọn dẹp trang web của Wordfence có vẻ tốn kém hơn.

Và với Sucuri, bạn có thể loại bỏ phần mềm độc hại không giới hạn trong thời gian đăng ký, trong khi dịch vụ loại bỏ phần mềm độc hại của Wordfence chỉ dành cho một công việc. Nếu trang web của bạn bị nhiễm phần mềm độc hại một lần nữa sau vài tháng, bạn cần phải trả lại phí tương tự để xóa.

Thông tin

Giá Wordfence

Bạn có thể tải xuống plugin bảo mật của Wordfence miễn phí. Đến bây giờ, đây là plugin bảo mật được đánh giá cao nhất và được cài đặt nhiều nhất trên kho lưu trữ plugin WordPress.

Wordfence Premium có giá khởi điểm $ 99 / năm cho 1 trang web. Bạn được giảm giá nếu bạn giải quyết các trang web bổ sung cho đơn đặt hàng của bạn. Bạn càng thêm nhiều trang web, giảm giá càng lớn!

Bảng giá Wordfence Premium

Giá cao cấp Wordfence

Các plugin bảo mật ảnh hưởng đến hiệu suất trang web như thế nào

Các plugin WordPress không chỉ là rủi ro bảo mật lớn nhất mà còn là một trong những kẻ âm thầm làm giảm hiệu suất. Các plugin bảo mật đặc biệt là thủ phạm hàng đầu, dựa vào các tính năng quét.

Tuy nhiên, các giải pháp bảo mật dựa trên đám mây như Sucuri Firewall hoặc Cloudflare rất gọn gàng nếu bạn cần bảo vệ thêm, đặc biệt là nếu bạn chống lại bot và lưu lượng proxy.

Tóm lược

Sucuri vs Wordfence. Lựa chọn tốt nhất là gì?

Một mặt, Sucuri là giải pháp tốt hơn của cả hai về bảo mật và hiệu suất web, đặc biệt nếu bạn đang điều hành một trang web kinh doanh hoặc thương mại điện tử quan trọng.

Nhưng nếu bạn đang tìm kiếm một tường lửa web miễn phí, Wordfence là một giải pháp chắc chắn hơn. Nếu đó là lựa chọn của bạn, tôi khuyên bạn nên kết hợp nó với CDN miễn phí đáng tin cậy, như Cloudflare .

Vào cuối ngày, tất cả đi xuống lưu trữ của bạn. Một nhà cung cấp dịch vụ lưu trữ tuyệt vời sẽ chăm sóc hầu hết các biện pháp bảo mật cho bạn . Họ hiểu rằng hiệu suất đạt được đối với máy chủ và dịch vụ của họ do các plugin của bên thứ ba mang lại không đáng để bận tâm.

Tốt nhất, máy chủ của bạn nên khóa mã để chỉ có thể thực thi được trong các vị trí và trường hợp giới hạn. Và họ sẽ hạn chế viết tải lên chỉ thư mục tương ứng của nó. Với một vài biện pháp tăng cường bảo mật được thêm vào ở cấp độ máy chủ, điều này sẽ khiến các plugin bảo mật WordPress trở nên dư thừa.

Cuối cùng, bảo mật trang web là một hành trình và không phải là một điểm đến. Tôi khuyên bạn nên đi con đường tốt nhất phía trước!

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.