Wordfence và Sucuri là 2 plugin bảo mật WordPress tốt nhất và phổ biến nhất ở thời điểm hiện tại.
Chúng có điểm chung là rất hữu dụng cho việc bảo đảm an toàn cho trang WordPress của bạn, tuy nhiên mỗi plugin lại có ưu và nhược điểm khác nhau, vì thế nhiều người rất phân vân khi phải chọn một trong hai.
Hôm nay mình sẽ so sánh để cho các bạn thấy sự vượt trội của một trong hai plugin này trong mắt các chuyên gia bảo mật.
Các hạng mục so sánh
Wordfence và Sucuri là hai plugin bảo mật đỉnh cao nhất cho việc bảo vệ website của bạn trước các mối nguy như brute force attack hay nhiễm malware và đánh cắp thông tin.
Là chủ một website bạn cần phải chọn plugin TỐT NHẤT, tức là bền bỉ, ít cần kiểm tra, ít yêu cầu kiến thức và kỹ năng công nghệ, đặc biệt là luôn hiệu quả trước các mối nguy từ internet, để bạn có thể tập trung vào việc phát triển website.
Vì thế chúng ta sẽ tập trung vào 5 yếu tố:
-Tính dễ dàng khi sử dụng
-Tường lửa website (WAF)
-Kiểm soát bảo mật và tính năng thông báo
-Quét malware định kỳ
-Dọn malware khỏi website đã bị hack truy cập.
Hãy cùng xem ai mới thực sự là plugin tốt hơn thôi!
1.Tính dễ dàng khi sử dụng
Wordfence:
Thiết lập ban đầu của Wordfence rất đơn giản, chỉ cần cung cấp email nhận thông báo bảo mật và đồng ý điều khoản dịch vụ của họ là đủ.
Sau đó bạn sẽ nhìn thấy một hộp điều khiển giúp làm quen với giao diện Wordfence, nó chỉ ra chỗ bạn sẽ nhận thông báo và quét malware.
Plugin sau đó sẽ bật WAF và quét malware ngầm trên WordPress, bạn sẽ nhận thông báo khi plugin hoàn thành nhiệm vụ.
Click vào thông báo sẽ giúp bạn biết nên làm gì tiếp theo, ví dụ như hình dưới, nó cho thấy theme WordPress của bạn có thể được update tới một phiên bản mới hơn.
Tường lửa tự động sẽ không có mấy tác dụng, tuy nhiên nếu bạn tự chỉnh tay ở chế độ nâng cao thì WordFence cho phép bạn có bảo mật tường lửa tốt hơn, chúng ta sẽ bàn vấn đề này sau.
Wordfence có thiết lập tương đối đơn giản và không yêu cầu quá nhiều từ người dùng, tuy vậy giao diện người dùng có hơi lộn xộn nên có thể sẽ có khó khăn cho những người mới dùng WordPress.
Sucuri:
Sucuri có giao diện sử dụng tốt hơn rất nhiều với không nhiều các hộp thoại, tùy chỉnh thừa thãi, ngoài ra còn có quét malware tự động khi khởi động với thông báo hiện trên bảng điều khiển.
Tường lửa WAF của Sucuri chạy hoàn toàn trên cloud chứ không phải trên server của bạn, tức là bạn không biết về kỹ thuật ngoài việc tạo API key và tùy chỉnh DNS 1 lần duy nhất cho tên miền của bạn, cho phép WAF loại bỏ được những truy cập xấu trước khi nó tới được server WordPress của bạn.
Ngoài ra các tùy chỉnh để tăng cường bảo mật cũng khá dễ hiểu với duy nhất 2 lựa chọn là có hoặc không áp dụng hình thức bảo mật!
Giao diện này khá dễ hiểu tuy nhiên vẫn yêu cầu người dùng đào sâu tìm hiểu một tí để tìm được hình thức phù hợp cho server của mình.
Cập nhật nameserver khi đăng ký tên miền là bước bảo mật duy nhất yêu cầu khi thiết lập tường lửa của Sucuri, có lẽ hơi khó hiểu với một số bạn mù công nghệ, tuy nhiên một số web đăng ký tên miền thông dụng như TinoHost, Domain.com, GoDaddy, etc sẽ giúp bạn thiết lập nó.
Winner: Sucuri
2.Tường lửa website WAF
WAF sẽ từ chối truy cập những dòng traffic bị nghi ngờ là một mối đe dọa với bảo mật, mình nghĩ là bảo mật đám mây thì hiệu quả và đáng tin cậy hơn về lâu về dài. Hãy xem ai bảo mật tường lửa tốt hơn nhé.
Wordfence:
Wordfence sử dụng một phần mềm tường lửa chạy trực tiếp trên server của bạn, tức là nó chắc chắn sẽ không hiệu quả bằng tường lửa bảo mật đám mây.
Wordfence bật tường lửa chỉ khi bạn đang sử dụng WordPress, nó làm tốn tài nguyên của bạn, và chắc chắn là không thể bảo mật cho web của bạn suốt 24/24. bạn sẽ cần phải chỉnh tay để thay đổi tùy chọn này, ép nó bảo vệ web của bạn 24/24.
Là một hình thức bảo mật đầu cuối, WAF của Wordfence chỉ có thể chặn traffic khi nó đã tới được server của bạn, tức là nếu bị tấn công DDOS hay brute force, thì dòng traffic khổng lồ đã gây ảnh hưởng đến server bạn, dẫn tới nguy cơ khiến toàn bộ server sập.
Khi bạn kích hoạt plugin, Wordfence còn phải mất một ít thời gian học, nó học xem người dùng website của bạn truy cập ra sao, trước khi chặn các truy cập bất thường.
Sucuri:
Tường lửa của Sucuri là hoạt động bảo mật trên nền tảng đám mây, tức là tất cả traffic đều qua đám mây trước khi chạm được tới server của bạn, tức nó có khả năng ngăn chặn khả năng crash trong khi bị tấn công DDOS ngay tại server của Sucuri, trước khi dòng traffic của các hacker kịp chạm tới server của bạn. Ngoài ra lọc traffic qua đám mây giúp website của bạn không bị ảnh hưởng về tốc độ.
Để dùng WAF của Sucuri, bạn phải đổi tùy chỉnh DNS của tên miền, cho phép traffic của nó đi qua server của Sucuri. Và chỉ cần có thế, khi đã thiết lập DNS xong, bạn hoàn toàn có thể tin vào bảo mật của Sucuri khỏi những mối nguy trên mạng internet.
Winner: Sucuri
3.Kiểm soát bảo mật và thông báo
Bạn luôn phải nắm được tình trạng bảo mật website của mình, đó là điều tối quan trọng trong phát triển website. Điều này yêu cầu bạn phải luôn nhận được thông báo bảo mật sớm nhất.
Bạn phải cho phép WordPress gửi email, bằng cách dùng dịch vụ SMTP để gửi email WordPress
Wordfence:
Wordfence có hệ thống thông báo và cảnh báo tốt. Thông báo bảo mật luôn được làm sáng ngay cạnh menu Wordfence, cạnh thanh công cụ admin.
Màu của thông báo sẽ thể hiện độ cấp bách của vấn đề bảo mật, bấm vào nó để xem chi tiết vấn đề và cách giải quyết.
Wordfence còn cho phép bạn nhận thông báo bảo mật qua email, chỉ cần vào Wordfence >> All options >> Email Alert Preferences và chọn xem bạn có cho phép Wordfence gửi email thông báo bảo mật hay không, hay cấp độ nghiêm trọng nào thì sẽ nhận được email.
Sucuri:
Sucuri cũng hiển thị tương tự các thông báo bảo mật trên thanh công cụ, góc phải trên của màn hình.
Phía dưới là tình trạng site và nhật ký hoạt động của site.
Sucuri Security >> Settings >> Alerts để thêm địa chỉ email bạn muốn nhận thông báo bảo mật.
Bạn có thể chọn loại vấn đề bảo mật bạn muốn nhận thông báo hoặc các tùy chỉnh như thời gian nhận mail.
Plugin winner: Hòa
4.Quét malware:
Cả 2 plugin đều có phần mềm để quét malware, cũng như mã độc hay thay đổi bất thường trong file hệ thống.
Wordfence:
Để tiết kiệm dữ liệu server thì chức năng scan mặc định thường có một số giới hạn, ví dụ như ở bản miễn phí thì Wordfence tự động tạo lịch quét cho web của bạn, phiên bản trả phí thì cho phép bạn tự xếp lịch.
Wordfence còn có khả năng kiểm tra plugin và theme của bạn đã được cập nhật tới bản mới nhất hay chưa.
Sucuri
Sucuri sử dụng phần mềm quét malware dựa trên nền tảng API, API của Sucuri sẽ tự động kiểm tra web của bạn đối chiếu với một vài API web an toàn để chắc rằng web của bạn hoạt động trơn tru và không bị vào danh sách đen của bất kỳ web nào.
Bạn có thể tự chỉnh một số tùy chỉnh trong Sucuri Security >> Settings >> Scanner
Sucuri hoạt động trên những file công khai khả dụng của website chứ không phải một phần mềm quét của WordPress nên nó có khả năng phát hiện malware và mã độc cực kỳ tốt, và tất nhiên nó cũng sẽ ngốn ít dữ liệu server hơn rồi!
Winner: Sucuri
5.Dọn dẹp malware khỏi website đã bị hack truy cập:
Dọn dẹp một web WordPress đã bị hack chắc chẵn là không dễ dàng, không chỉ thả mã độc, nó còn thay đổi thư viện, nội dung file hệ thống của web, một số trường hợp bạn còn chẳng thể truy cập lại web của mình.
Tuy nhiên, may mắn thay cả Wordfence và Sucuri đều cung cấp giải pháp cho tình huống này.
Wordfence
Wordfence không bao gồm việc dọn dẹp web đã bị hack vào cả gói free hay gói trả tiền mà bạn phải mua dịch vụ này riêng, tuy nhiên sau khi mua bạn sẽ được tặng kèm một gói premium cho website của mình.
Quy tắc hoạt động khá đơn giản, Wordfence sẽ quét, tìm ra các mã độc, malware, file lỗi để dọn dẹp và sửa chữa, bên cạnh đó, các chuyên gia của Wordfence sẽ giúp bạn tìm ra con đường hacker đã truy cập vào hệ thống và gợi ý biện pháp phòng chống trong tương lai.
Sucuri
Các gói dịch vụ mất phí của Sucuri đều bao gồm dịch vụ dọn dẹp website đã bị hack, ngoài ra web của bạn sẽ được xóa khỏi danh sách đen của các API web bên ngoài, và được cung cấp gói tường lửa WAF để bảo vệ web khỏi hacker trong tương lai.
Bạn chỉ cần điền form yêu cầu giúp đỡ và các chuyên gia của Sucuri sẽ ngay lập tức bắt đầu toàn bộ quy trình cho bạn, họ sử dụng hệ thống đăng nhập FTP/SSH hoặc cPanel của bạn và giữ lại activity log cho từng file mà họ đụng tới trong quy trình này.
Plugin winner: Hòa
Kết luận
Cả Wordfence và Sucuri đều là những plugin bảo mật WordPress cực tốt. Tuy nhiên với khả năng cung cấp tường lửa WAF trên đám mây thì mình đánh giá cao Sucuri hơn.
Wordfence là một lựa chọn miễn phí khá ổn nếu bạn không sợ tốn dữ liệu server.
Ngoài ra thì Cloudflare cũng là một lựa chọn đáng nhắc tới vì nó cung cấp WAF trên đám mây hoàn toàn miễn phí, dù vậy không thể tốt bằng Sucuri, bạn có thể xem so sánh Sucuri và CloudFlare ở đây.
Mong là bạn có cái nhìn toàn diện hơn về 2 plugins bảo mật trên sau bài viết này, chúc bạn chọn được hình thức bảo mật tốt nhất cho web WordPress của mình.