Theo báo cáo từ CyStack (một công ty về an ninh mạng), trong quý III/2019, có hơn 100.000 cuộc tấn công nhắm vào các website WordPress trên toàn cầu. Trong đó, Việt Nam thuộc top 10 các quốc gia bị hack website nhiều nhất với tổng số 2.523 website bị tấn công.

Trước thực trạng đáng báo động này, iThemes Security và Wordfence là hai plugin hàng đầu được rất nhiều người lựa chọn để hỗ trợ bảo mật cho website WordPress của mình.

Nhưng giữa iThemes Security và Wordfence – nên chọn plugin nào? Công cụ nào sẽ lý tưởng nhất cho website của bạn? Trong bài viết này, chúng tôi sẽ đưa ra các so sánh chi tiết về cả 2 plugin này để bạn lựa chọn dễ dàng hơn.

1. Giới thiệu tổng quan

1.1. iThemes Security

Plugin bảo mật Better WP Security sau khi tiến hành sáp nhập vào iThemes đã đổi tên thành iThemes Security. Đây là một plugin khá thân thiện và rất phù hợp cho người mới bắt đầu. Bạn có thể xem đánh giá chi tiết về iTheme Security.

Không chỉ sở hữu các tính năng bảo mật, quét phần mềm độc hại mạnh mẽ, plugin này còn có thể phát hiện lỗi 404, tạo mật khẩu mạnh và sao lưu cơ sở dữ liệu cho website của bạn.

Các tính năng chính của iThemes Security bao gồm:

• Lên lịch quét mã độc.
• Google recaptcha để bảo vệ trang web.
• Nhật ký hoạt động của người dùng.
• Khóa bảo mật WordPress.
• Tạo mật khẩu mạnh.
• Xác thực 2 bước khi đăng nhập.
• Gửi báo cáo về bảo mật.
• Khóa người dùng có quá nhiều lần đăng nhập không thành công hoặc có lỗi 404.
• Theo dõi người dùng khi họ chỉnh sửa nội dung, đăng nhập hoặc đăng xuất khỏi trang web.

1.2. Wordfence

Wordfence hiện là một trong những plugin bảo mật nổi tiếng nhất với hơn 3 triệu lượt tải về trên toàn cầu. Plugin này có khả năng giúp trang web của bạn chống lại spam, mã độc và các nguy cơ mất an toàn bảo mật khác theo thời gian thực.

Các tính năng chính của Wordfence gồm có:

• Quét các cấu hình chung, data của trang web.
• Gửi báo cáo về email.
• Hệ thống tường lửa với nhiều tùy chỉnh.
• Wordfence Live Traffic: công cụ kiểm soát cho phép bạn phân tích hoạt động trên website của mình trong thời gian thực, bao gồm cả lưu lượng truy cập không được hiển thị bởi Google Analytics và các trình ghi nhật ký Javascript khác.
• Xác thực đăng nhập 2 bước.

2. So sánh iThemes Security và Wordfence

Để chọn được plugin bảo mật phù hợp nhất với website của mình, chúng ta hãy cùng so sánh iThemes Security và Wordfence thông qua các yếu tố sau:  khả năng giám sát và báo cáo, khả năng bảo vệ website khỏi những mối đe dọa mới, sao lưu và phục hồi sau khi bị tấn công, tính đơn giản/dễ sử dụng và giá cả.

2.1. Khả năng giám sát và báo cáo

iThemes Security

Plugin bảo mật iThemes Security sử dụng Malware Scanner (trình quét mã độc) do Sucuri cung cấp, trong đó bao gồm một danh sách gồm 10 yếu tố kiểm tra, đánh giá toàn diện website. Plugin bảo mật này không chỉ giúp tìm kiếm phần mềm độc hại mà còn phát hiện được các lỗi của website, phần mềm quá cũ cần cập nhật, tình trạng blacklist status,…

iThemes Security cũng có thể phát hiện các tệp đã được thay đổi và theo dõi lỗi 404 bất thường trên website. Trong trường hợp có bất kỳ hoạt động đáng ngờ nào, iThemes Security sẽ lập tức gửi cảnh báo cho bạn qua email.

Ngoài ra, nếu các phiên bản phần mềm trên website đã lỗi thời, gây mất an toàn bảo mật, plugin sẽ phát đi thông báo, đưa ra các biện pháp bảo mật nghiêm ngặt hơn hoặc tự động cập nhật để bảo vệ website.

Wordfence

Plugin Wordfence đi kèm với một chương trình Security Scanner giúp kiểm tra toàn diện các tệp cốt lõi (core file), theme, plugin, phát hiện được cả backdoor và SEO spam. Trình quét bảo mật này có thể cập nhật malware (malware signature) để loại bỏ các virus, phần mềm độc hại mới nhất.

Bên cạnh đó, Wordfence cũng thực hiện kiểm tra toàn bộ nội dung, bài đăng, file, nhận xét trên website để tìm kiếm các URL đáng ngờ. Plugin bảo mật này còn có thể đối chiếu các file với tệp gốc để xem có thay đổi hay không và tự động sửa chữa nếu cần.

Ngoài ra, Wordfence cho phép bạn theo dõi, giám sát các truy cập trên website và gửi cảnh báo qua email cho quản trị viên khi xuất hiện các mối nguy hiểm.

Như vậy, xét về khả năng giám sát và báo cáo, cả iThemes Security lẫn Wordfence đều có những điểm nổi trội riêng. Dưới đây là bảng so sánh chi tiết:

2.2. Khả năng bảo vệ website khỏi những mối đe dọa mới

iThemes Security

iThemes Security bảo vệ website của bạn khỏi các cuộc tấn công Brute Force (hình thức thử mật khẩu đúng sai. Hacker sẽ dùng phần mềm tự động thử tất cả các chuỗi mật khẩu có thể để tìm ra mật khẩu chính xác) bằng cách giới hạn số lần đăng nhập thất bại.

Ngoài ra, plugin cũng giúp tăng cường bảo mật bằng cách hỗ trợ tạo mật khẩu mạnh, cung cấp xác thực 2 bước, cho phép người dùng ẩn URL mặc định khu vực đăng nhập của mình để hacker khó truy lùng hơn.

Đặc biệt, iThemes Security có hai tính năng khá thú vị là: Chế độ vắng mặt (Away Mode) và Bảo mật cấp độ người dùng (User-Level Security). Trong đó:

• Chế độ vắng mặt: Tính năng này sẽ khóa website vào những thời điểm cụ thể, khi bạn không thực hiện bất kỳ thay đổi nào trên trang.
• Bảo mật cấp độ người dùng: Tính năng này giúp bảo vệ bạn khỏi các đối tượng xấu khi chúng cố truy cập vào website bằng tài khoản người dùng WordPress. Bạn có thể thêm, xóa, thay đổi quyền hoặc thậm chí đăng xuất người dùng nếu cần.

iThemes Security còn cung cấp tính năng “Tùy chọn thiết bị đáng tin cậy” (trusted devices option) để hạn chế đăng nhập từ các thiết bị không xác định, gửi cảnh báo qua email cho bạn khi xuất hiện các đăng nhập khả nghi,… Điều này cũng giúp bạn được bảo vệ khỏi bị session hijacking.

Wordfence

Wordfence sử dụng Endpoint Firewall, chạy ngay tại máy chủ của bạn nên cung cấp khả năng bảo mật tốt hơn cho WordPress và giúp ngăn chặn rò rỉ dữ liệu. Với Endpoint Firewall, bạn có thể thiết lập các quy tắc bảo mật dựa trên danh tính người dùng (đây là điều mà bạn không thể làm khi dùng tường lửa trên đám mây – Cloud Firewall). Bạn có thể tùy chỉnh hệ thống tường lửa, cho phép chặn theo quốc gia, chặn IP thủ công hoặc chặn các tài khoản có mật khẩu bị xâm phạm,…

Ngoài ra, Wordfence cũng cung cấp tính năng xác thực 2 bước, chặn người dùng sau một số lần đăng nhập để ngăn các cuộc tấn công Brute Force. Đặc biệt, Wordfence có thể cảnh báo người dùng khỏi những mối đe dọa theo thời gian thực.

Nhìn chung, xét về khả năng bảo vệ website khỏi các mối đe dọa, Wordfence có phần nhỉnh hơn so với iThemes Security nhờ được trang bị tường lửa và có thể ngăn chặn cuộc tấn công theo thời gian thực. Dưới đây là bảng so sánh của 2 plugin bảo mật này:

2.3. Khả năng sao lưu và hồi phục trang web sau khi bị tấn công

iThemes Security

Plugin bảo mật iThemes thường xuyên lên lịch sao lưu cơ sở dữ liệu trên website và gửi chúng qua email cho bạn. Điều này là tốt, nhưng để có một giải pháp sao lưu và phục hồi hoàn chỉnh, bạn có thể cần sử dụng thêm plugin BackupBuddy của iThemes.

BackupBuddy sẽ cho phép bạn lên lịch sao lưu và lưu trữ các bản backup offsite. Trong trường hợp có vấn đề về bảo mật, bạn có thể dễ dàng khôi phục website của mình về trạng thái ban đầu.

Wordfence

Nếu website của bạn bị tấn công, Wordfence cung cấp dịch vụ dọn dẹp website cũng như kiểm tra bảo mật. Nếu dùng Wordfence phiên bản cao cấp, bạn sẽ có thể sử dụng được dịch vụ này miễn phí.

Nhưng plugin bảo mật website này không có tính năng sao lưu dữ liệu. Do đó, bạn chắc chắn sẽ cần thêm một plugin backup để hỗ trợ cho Wordfence. Một số gợi ý dành cho bạn là: UpdraftPlus, VaultPress, BackupBuddy. Nếu sao lưu thường xuyên, bạn sẽ không cần phải sử dụng dịch vụ dọn dẹp nữa khi website bị tấn công.

Như vậy, có thể thấy trong “trận chiến” về sao lưu, hồi phục website sau tấn công, iThemes Security đã dành được chiến thắng thuyết phục.

2.4. Tính đơn giản/dễ sử dụng

iThemes Security

iThemes Security cài đặt đơn giản và có giao diện thu hút, trực quan. Người dùng có thể dễ dàng điều chỉnh hệ thống bảo mật chỉ thông qua các thao tác tắt/bật rất đơn giản. Dù không phải là một chuyên gia về bảo mật, bạn vẫn có thể sử dụng plugin này một cách dễ dàng.

Wordfence

Wordfence cung cấp một bảng điều khiển bảo mật hoàn chỉnh với rất nhiều tính năng, thông số trên đó. Bảng điều khiển này cho phép bạn theo dõi thống kê về bảo mật website của mình. Tuy nhiên, giao diện người dùng của nó khá khó hiểu. Cấu hình và cách sử dụng cũng phức tạp hơn so với iThemes Security.

Qua so sánh trên, có thể kết luận rằng iThemes đơn giản và dễ sử dụng hơn so với Wordfence.

2.5. Giá cả

iThemes Security

iThemes Security có cả phiên bản miễn phí và trả phí. Tuy nhiên, với bản free, các tính năng được đánh giá là khá yếu. Do đó, chúng tôi khuyên bạn chỉ nên dùng plugin này khi có ý định mua một gói cao cấp.

Với bản trả phí, hiện iThemes đang có các mức giá như sau:

• 80 USD/năm: 1 site
• 127 USD/năm: 10 site
• 199 USD/năm: không giới hạn số site

Wordfence

Wordfence cũng có phiên bản miễn phí và trả phí. Bản miễn phí của Wordfence có nhiều tính năng hơn so với bản miễn phí của iThemes Security. Tuy nhiên, nếu dùng bản miễn phí, bạn sẽ phải đợi 30 ngày để được cập nhật malware thay vì update theo thời gian thực.

Cách tính giá của Wordfence có một chút khác biệt so với iThemes Security. Giấy phép 1 site có giá 99 USD/năm. Tuy nhiên, nếu mua càng nhiều giấy phép cho site, bạn sẽ nhận được chiết khấu càng lớn. Ví dụ: nếu mua license cho 10 website, bạn sẽ được giảm giá 20% (tương đương với mức giá 79 USD/năm/site). Nhưng ngay cả khi đã giảm giá, mức giá tổng cộng cuối cùng của Wordfence vẫn khá cao.

Nếu chỉ sử dụng plugin bảo mật cho một website thì mức giá sẽ không chênh lệch nhau nhiều, bạn có thể mua bất kỳ plugin nào bạn thích. Nhưng nếu có ý định mua nhiều hơn một giấy phép, plugin bảo mật iThemes rõ ràng là sự lựa chọn khả thi và tiết kiệm hơn.

3. Ưu/ nhược điểm của iThemes Security và Wordfence

Trước khi đưa ra kết luận cuối cùng nên sử dụng plugin bảo mật nào, chúng tôi sẽ cung cấp một bảng đánh giá ưu, nhược điểm của từng plugin để giúp bạn có sự lựa chọn chính xác hơn:

4. iThemes Security và Wordfence – Nên lựa chọn plugin nào?

Cả iThemes Security và Wordfence đều là những plugin bảo mật hàng đầu. Rất khó để nói plugin nào tốt hơn. Việc lựa chọn giải pháp bảo mật sẽ phụ thuộc vào nhu cầu và tình hình thực tế website của bạn.

Khi nào chọn iThemes Security?

Plugin iThemes Security cung cấp các tính năng bảo mật tốt, tương đối dễ sử dụng và có giao diện thân thiện hơn. Vì vậy, nếu bạn là người dùng mới hoặc không phải chuyên gia trong bảo mật web thì plugin này có thể là sự lựa chọn phù hợp. Đây sẽ là plugin bảo mật tốt cho các blog cá nhân hoặc trang web vừa và nhỏ không yêu cầu quá nhiều về an toàn dữ liệu mạng.

Khi nào chọn Wordfence?

Wordfence sở hữu nhiều tính năng bảo mật hàng đầu như tường lửa cho website, hệ thống phòng thủ, tự động xóa mã độc, giám sát hoạt động website theo thời gian thực,… Do đó, đây sẽ là sự lựa chọn lý tưởng cho các trang đòi hỏi bảo mật cao như website kinh doanh quy mô trung bình trở lên hoặc các website chứa dữ liệu nhạy cảm,…

Sau khi đọc xong bài viết trên, bạn quyết định sẽ sử dụng plugin nào cho website của mình? Bạn đã sử dụng một trong hai plugin này trước đây chưa? Kinh nghiệm của bạn như thế nào? Hãy cho chúng tôi biết trong phần bình luận bên dưới nhé!