Da jeg holdt mit oplæg på WordCamp 2015 Danmark, blev jeg flere gange spurgt om hvorfor jeg anbefaler Sucuri Security som mit foretrukne valg blandt plugins til, at øge din sikkerhed på din WordPress hjemmeside.
Årsagen er i bund og grund meget enkel.
Hvis du skal bygge et hus, vælger du ikke en nedrivningsekspert
A-hva-for-noget? Jo, ser du hvis vi sammenligner de tre store spillere på markedet for sikkerheds plugins til WordPress (Og bevares, der er også andre – Men de når dem ikke til sokkeholderne)
- iThemes Security
- WordFence
- Sucuri Security
De har alle 3 rigtig godt styr på sikkerhed – og derfor er det ikke deres kompetencer indenfor sikkerhed jeg primært laver min vurdering ud fra, men nogle andre omkringliggende faktorer.
De faktorer jeg kigger på er (på en skala fra 1-5)
Antal rapporterede (bekræftede) sikkerhedsproblemer med eget plugin
Det er i min verden, ret vigtigt at et sikkerhedsplugin ikke laver huller i sikkerheden. Til vurdering af dette anvender jeg WPScan Vulnerability Database.
Den bruger jeg forresten ofte til, at vurdere om jeg tør anvende et plugin. Tesen er, at hvis der er mange tilfælde af sikkerhedsfejl, så kommer der nok også flere. Det er et tegn på noget er galt.
Brugervenlighed i kontrolpanelet
Det er vigtigt, at brugerne kan finde ud af, at anvende det.
Forretningsmodel
Fordi jeg kigger efter noget som løser ét problem og ikke en schweizer-kniv.
WordFence – https://www.wordfence.com/
Laver eksklusivt et sikkerheds plugin til WordPress, det er hvad de beskæftiger sig med. Med andre ord ét fokus på ét område. Det er en rigtig god ting.
Dog forvirer det mig, at de også laver en indbygget caching mekanisme, Falcon Engine, i deres plugin. Jeg er lidt usikker på hvorfor de har valgt, at gøre dette – Man kan heldigvis lade være med, at slå den til.
De laver et solidt produkt, men personligt synes jeg, at de falder lidt fra et på par punkter.
De har haft flere rapporterede sikkerhedsproblemer (Altså sikkerheds problemer med et sikkerhedsplugin end nogle af de andre)
Ud over det, så får jeg næsten ondt i øjnene hver gang jeg kigger på deres kontrolpanel. Brugervenlighed er noget de godt kunne lære.
Karakterer
Sikkerhedsproblemer: 3 ud af 5
Brugervenlighed: 2 ud af 5
Forretningsmodel: 4.5 ud af 5 (pga. Falcon Engine)
Gennemsnit: 3,17 ud af 5
iThemes Security – https://ithemes.com/security/
iThemes laver mange ting. Rigtig mange ting. Alt fra plugins til Backups (hvor de dog er en af de bedste på markedet) til deres sikkerheds plugin, til en masse andet.
Med andre ord er sikkerhed ikke noget de udelukkende fokuserer på. De har dog tidligere haft ansat Chris Wiegman tilbage i 2013, som byggede det oprindelige Better WP Security (som iThemes Security er bygget på). Han er temmelig skrap til dét der med sikkerhed. Desværre forlod han iThemes i marts 2015.
Det betyder i praksis at selvom iThemes har dygtige medarbejdere, har de ikke den samme stærke kernekompetence som de havde før, til at videreudvikle produktet.
Der har dog været meget få, faktisk kun ét rapporteret, tilfælde af problemer med iThemes Security – Hvilket er virkelig godt.
Når det kommer til brugervenligheden, så har iThemes som med alle deres andre plugins, ramt hovedet på sømmet. Det er super brugervenligt og nemt, at gå til. De har faktisk gjort et meget, meget solidt stykke arbejde med det.
Karakterer
Sikkerhedsproblemer: 4.5 ud af 5
Brugervenlighed: 5 ud af 5
Forretningsmodel: 3 ud af 5 (Fordi de laver et hav af ting)
Gennemsnit: 4,17 ud af 5
Sucuri Security – https://sucuri.net/
Sucuri kunne nok beskyldes for, at være meget ensporet. Meget, meget ensporet. De beskæftiger sig med cirka alt hvad der relaterer sig til IT og websikkerhed – og kun dét. Hvilket er en god ting. Forretningsmodellen er solid pga. dette. Og så er Tony Perez, en af ejerne af Sucuri, uden tvivl et af de mest passioneret mennesker når det kommer til IT og websikkerhed, jeg kender til.
Jeg er ikke i tvivl om, at de har styr på deres ting. Jeg snakkede med Valentin Vesa under WordCamp 2015 som fortalte mig noget jeg ikke vidste i forvejen. Hver gang de sender et stykke kode ud, går det gennem mindst 3 reviews – uanset hvor dygtig udvikleren er.
3 Reviews er ikke bare mange – Det er rigtig mange. De fleste stykker kode jeg har skrevet til store firmaer som Danmarks Radio, Udenrigs Ministeriet, o.l. har maksimalt gået gennem 1 review.
Ud over det, så har de ikke et eneste rapporteret sikkerhedsproblem med deres plugin.
Brugervenligheden i Sucuri Security kunne dog godt trænge til, at blive løftet en del. Bevares, det er ikke så slemt som med WordFence, men det er bestemt heller ikke iThemes-niveau. Det skal dog tilføjes ifht. brugervenlighed, at man kan få fat i en Live Chat med en af deres medarbejdere 24 timer i døgnet. Det er et stort plus i mine øjne og deres motto lyder da også ‘Real Security by Real People’.
Karakterer
Sikkerhedsproblemer: 5 ud af 5
Brugervenlighed: 4 ud af 5
Forretningsmodel: 5 ud af 5 (Fordi de laver et hav af ting)
Gennemsnit: 4,67 ud af 5
Konklussion
Med andre ord er det klart for mig, at Sucuri ligger over iThemes Security, da jeg godt kan leve med, at brugervenligheden ikke er helt i top hvis det jeg får er en solid forretningsmodel, fokus og en total udeblivelse af sikkerhedsproblemer.
Husk dog, at mine anbefalinger primært går på de ting jeg ser ligger uden om selve de 3 plugins. De leverer alle 3 solid sikkerhed til din WordPress hjemmside, så gå ikke i panik bare fordi du har valgt et andet end Sucuri.
2 kommentarer til “Hvorfor jeg anbefaler Sucuri Security”
Tak for gode og konkrete forklaringer på, hvorfor du anbefaler som du gør i forhold til sikkerhedsplugins til WordPress. Som det også tydeligt kom til udtryk på WordCamp 2015, så er det et evigt aktuelt emne, men så meget desto federe er det også at du netop skærer det ud i pap for os andre 🙂
Ligesom dig har jeg også RIGTIG GODE erfaringer med Sucuri – ikke kun deres premiumløsninger men i lige så høj grad også deres gratis plugin. Det er standard på alle de websites jeg udvikler. På det seneste er jeg dog begyndt at supplere med netop iThemes Security. Selvom de på mange måder har de samme features (og iThemes bruger endda også helt åbentlyst Sucuris ressourcer til dele af det), så synes jeg de supplerer hinanden godt. Men vil du sige at det er overkill eller måske ligefrem uhensigtsmæssigt?
Endnu engang tak 🙂
Hej Torben,
Tak for dit indspark – Jeg har også rigtig gode erfaringer med Sucuris gratis version. Den leverer en værdi som er langt, langt over hvad man nærmest kan forvente af noget som er gratis 🙂
Ifht. at køre iThemes Security og Sucuri parallelt med hinanden så har jeg eksperimenteret med det på nogle installationer, for at se om der i praksis opstod problemer mellem de to. Umiddelbart er deres feature set overlappende med 80-90% hvor de hver især har deres egne små “nice-to-have” features.
Indtil videre har jeg ikke stødt på nogle praktiske problemer med dem, men jeg kan forestille mig scenarier hvor der kunne opstå problemer, så som f.eks. ved brute-force protection.
De tjekker begge på antal logins, så en af dem “banner en bruger først” og da de overlapper kunne der potentielt opstå race-conditions som gør det svært, at gennemskue “hvem der gør hvad” af de to.
Ud over det kunne der også opstå problemer med memory forbrug på mindre installationer, men det er nok mest et niche-problem, for hvis der køres med en ordentlig hosting udbyder og tilpas resourcer burde dette aldrig blive et reelt problem.