iThemes Security Review: Lohnt sich die Installation auf Ihrer WordPress-Site? - MalCare

iThemes Security ist ein WordPress-Sicherheits-Plugin, das eine Reihe von Funktionen bietet, die entwickelt wurden, um WordPress-Sites vor verschiedenen Arten von Sicherheitsbedrohungen zu schützen. Aber lohnt es sich, es auf Ihrer Website zu installieren?

Ich werde einen ausführlichen Überblick über iThemes Security geben und seine Effektivität, Benutzerfreundlichkeit, Kompatibilität mit anderen WordPress-Plugins und die Frage, ob es die Kosten wert ist, bewerten. Am Ende dieses Artikels sollten Sie besser verstehen, ob iThemes Security die richtige Wahl für die Sicherheitsanforderungen Ihrer Website ist.

Die Installation von iThemes ist so ziemlich dasselbe wie Nullsicherheit. Tatsächlich würde ich argumentieren, dass es tatsächlich schlimmer ist, weil es Sie vollständig aussperren kann. Wenn Sie also nach einem Sicherheits-Plugin suchen, das Ihre Website tatsächlich schützt, ist MalCare definitiv der richtige Weg.

Überblick

iThemes mag wie ein Sicherheits-Plugin aussehen, aber es fehlen die drei wichtigsten Funktionen. Lassen Sie sich nicht von all den halben Sachen täuschen; Sie sind nur für die Show.

Zum Beispiel besteht ihr erklärter Ansatz darin, Angriffe zu blockieren, bevor sie stattfinden, was darin besteht, gegenüber Schwachstellen auf der Website wachsam zu sein, aber sie tun tatsächlich nichts, um einen Benutzer zu warnen. Abgesehen davon, dass sie ihnen jede Woche Digest-E-Mails mit gefundenen Schwachstellen senden.

Irgendwo in diesem Funhouse eines Sicherheits-Plugins gibt es ein paar kleinere Sicherheitsfunktionen, die sowohl nützlich sind als auch funktionieren.
Und dann, um das Ganze noch schlimmer zu machen, verwenden sie ein weiteres Sicherheits-Plugin, um ihre eigene Website zu sichern. Nehmen Sie sich eine Minute Zeit, um die Tatsache zu verarbeiten, dass eine Sicherheits-Plug-in-Site nicht ihr eigenes Produkt verwendet.

Kritische Sicherheitsfunktionen und iThemes

Wenn Sie nach einem Sicherheits-Plugin suchen, gibt es bestimmte Funktionen, auf die Sie nicht verzichten können: Malware-Scanner, Malware-Cleaner und Firewall. Diese sollten ganz oben auf Ihrer Liste stehen, wenn Sie entscheiden, ob das Plugin gut passt.

Diese Funktionen sind nicht verhandelbar und sollten die wichtigsten Punkte jeder Überprüfung sein. iThemes hat jedoch an verschiedenen Stellen auf ihrer Website darauf hingewiesen, dass genau diese Funktionen für die WordPress-Sicherheit irrelevant sind. Ich widerspreche stark.

Malware-Scanner

Beginnen wir mit den Grundlagen. Scannt es nach Malware? Nein. Es prüft, ob Google Ihre Website auf die schwarze Liste gesetzt hat. Diese Informationen werden im Rohdatenabschnitt der Scanergebnisse angezeigt.

Während Google einen Malware-Scan auf Ihrer Website durchführt, tut iThemes dies nicht. iThemes hilft Ihnen herauszufinden, ob Ihre Website auf dem Google-Transparenzbericht, umgangssprachlich als Google-Blacklist bezeichnet, gelandet ist. Sie benötigen absolut keine iThemes, um diesen Scan für Sie auszuführen. Sie können auf die Website von Google gehen und die Informationen in buchstäblichen Sekunden selbst abrufen.

Da der Scanner nicht nach Malware scannt, sind automatisierte Scans ein strittiger Punkt. Es ist jedoch wichtig zu beachten, dass ein gutes Sicherheits-Plugin automatisch und regelmäßig nach Malware scannen sollte.

Es gibt auch einen Abschnitt „Protokolle anzeigen“, der die Ereignisse anzeigt, die zuvor stattgefunden haben.

Virus-Entfernung

iThemes hat keine Malware erkannt und es liegt nahe, dass sie die Malware nicht entfernen können. Es war also kein völliger Schock, dass sie keinerlei Entfernung anbieten: automatisch, manuell oder magisch.

Firewall

Sieht so aus, als hätte iThemes keine Firewall, aber sie behaupten, IP-Blacklisting zuzulassen. Schade, dass es nicht wirklich funktioniert. Die Bot-Schutzfunktion ist auch ziemlich schwach und verhindert lediglich, dass Suchmaschinen-Bots Ihre Website indizieren. Das einzige, was es tut, es tut so schlecht, es ist schädlich für Ihre Website.

Sie können IPs und User-Agents sperren oder eine vorab ausgefüllte Sperrliste von hackrepair.com verwenden. Aber diese Befehle können knifflig werden, weil sie sie in der .htaccess- oder nginx.conf-Datei verwalten, also ist es nicht ideal. Dies sind Serverkonfigurationsdateien und unglaublich leistungsfähig. Ihre beabsichtigte Verwendung besteht jedoch darin, Einstellungen standortspezifisch anzupassen. Eines dieser Dinge ist IP-Whitelisting oder -Blacklisting, aber diese Befehle können sehr unhandlich und schwierig in einer Konfigurationsdatei zu verwalten sein.

Die Firewall sollte daher woanders sein.

Sie können auch IP-Adressen in eine Ausnahmeliste eintragen, aber das ist von begrenztem Nutzen, da sich Geräte-IPs ständig ändern. Insgesamt nicht beeindruckt.

Sekundäre Sicherheitsmerkmale

Es sieht so aus, als ob iThemes die wichtigen Sicherheitsaktionen nicht sehr gut ausführen kann. Aber was ist mit Aufgaben wie Brute-Force-Schutz und Aktivitätsprotokollen?

Anmeldeschutz

iThemes legt großen Wert auf Brute-Force-Schutz, ist aber miserabel darin. Wer hätte das gedacht?

Um diese Funktion zu testen, habe ich das Plugin so eingerichtet, dass es uns nach 10 Versuchen mit dem falschen Passwort oder Benutzernamen aus meinem Konto aussperrt. Ich habe diesen Test auf zwei verschiedenen Arten von Websites durchgeführt. Auf einer normalen Seite wurde ich nach 10 Versuchen gesperrt, aber auf der gehackten Testseite bekam ich bis zu 100 Versuche und wurde nicht gesperrt. Die blockierten Versuche wurden als Netzwerk-Brute-Force-Angriffe protokolliert, während die zugelassenen Versuche lokale Brute-Force-Angriffe waren.

Ich habe sogar versucht, die normale Seite manuell per Brute Force zu erzwingen, aber obwohl die IP von der No-Ban-Liste entfernt wurde, wurde ich immer noch nicht blockiert. Laut Konfiguration hätte es mich für 15 Minuten aussperren sollen. Aber dort kein Glück.

Es ist interessant festzustellen, dass jede fehlerhafte Anmeldung als Brute Force kategorisiert wird. Die Brute-Force-Schutzfunktion von iThemes ist ziemlich temperamentvoll und unberechenbar.

Schwachstellenerkennung

Wenn Sie ein Muster erkennen, werden Sie wahrscheinlich vermuten, dass die Behauptungen von iThemes, anfällige Plugins zu erkennen, falsch sind. Ich hatte mehrere auf unseren Seiten installiert und der Scan hat keinen einzigen gefunden.

Wie warnt es Sie also vor Schwachstellen auf Ihrer Website? iThemes sendet Ihnen gelegentlich eine E-Mail mit einer Liste neuer Sicherheitslücken, die in Plugins und Themen insgesamt entdeckt wurden, sodass Sie herausfinden müssen, welche auf Ihrer Website vorhanden sind, und sie aktualisieren. Sie können sich von der E-Mail abmelden und alle Schwachstellen komplett verpassen. Dies ist überhaupt kein proaktiver Ansatz, und es liegt an Ihnen, die Schwachstellen auf Ihrer Website zu identifizieren.

Noch lächerlicher ist, dass sie eine Versionsverwaltungsfunktion haben, die ausdrücklich darauf ausgelegt ist, veraltete Plugins und Themes zu aktualisieren, aber sie scheinen nicht hinzufügen zu können, welche Schwachstellen auf dem Dashboard haben.

Zwei-Faktor-Authentifizierung

Die Zwei-Faktor-Authentifizierung auf iThemes funktioniert genau wie angekündigt. Sie können die Zwei-Faktor-Authentifizierung mit mehreren Methoden einrichten, darunter mobile App, E-Mail und Backup-Codes.

Darüber hinaus ist es möglich, 2FA basierend auf Benutzerrollen sowie separate Anwendungskennwörter für REST-API und XML-RPC festzulegen, die für herkömmliche Anmeldungen nicht verwendet werden können. Diese Einstellung ist im Benutzerprofil zu finden und kann dort eingestellt werden.

Aus Sicherheitsgründen ist XML-RPC jedoch normalerweise deaktiviert, was die Nützlichkeit dieser separaten Passwörter einschränkt.

Aktivitätsprotokoll

Das Benutzeraktivitätsprotokoll ist für Administratoren aktiviert, aber leider werden nicht alle Ereignisse genau protokolliert, sodass es ziemlich nutzlos ist.

Härtungsmerkmale

• Dateiüberwachung: So wie es aussieht, ist dies keine Funktion, auf die Sie sich aus Sicherheitsgründen verlassen können. Sie können Dateien und Ordner auf unerwartete Änderungen überwachen, aber dabei treten einige Probleme auf. Sie müssen wissen, welche Dateien überwacht werden müssen, und in der Lage sein, gute Änderungen von schlechten Änderungen zu unterscheiden. Außerdem können Hacker die Änderungsdaten von Dateien ändern, daher bin ich mir nicht sicher, wie diese Funktion damit umgehen wird.
  
  Die Ausschlussliste für Dateierweiterungen enthält auch jpeg und ico, von denen bekannt ist, dass sie Malware enthalten, was nicht hilfreich ist. Es erkennt auch keine Plugin-/Theme-Installationen, Plugin-Updates oder Änderungen an Beiträgen und Seiten.

• Härtungswerkzeuge: Die Optionen in diesem Abschnitt. Zum Beispiel können Sie das Datenbankpräfix ändern und Ihre WordPress-Salze von hier aus ändern, was nett ist. Normalerweise würdest du dafür den WordPress-Generator verwenden und musst dann die Salts manuell in der wp-config-Datei ändern, also ist dies ein praktisches Tool. Die Option „Dateiberechtigungen prüfen“ ist auch hilfreich, wenn Sie nicht wissen, wo Sie nach diesen Informationen suchen müssen. Aber Sie können hier keine Berechtigungen ändern und es gibt keinen Hinweis darauf, wie das geht. Die Funktion zum Identifizieren von Server-IPs hilft Ihnen herauszufinden, was Ihre IP ist, damit Sie sie zur No-Ban-Liste hinzufügen können. Dies ist bestenfalls ein Schnickschnack, da es an anderer Stelle genauso einfach gemacht werden kann.

• PHP-Ausführung in Upload-Ordnern, Plugin-Ordnern und Themenordnern blockieren: Aus der Beschreibung geht hervor, dass iThemes externe Anfragen an PHP-Skripte blockiert. Es ist für eine Art von Hacks nützlich, daher empfehle ich, es für den Uploads-Ordner zu verwenden. Aber Plugins und Themes werden definitiv Skripte haben, also hängt es von der Seite ab, ob es sinnvoll ist, sie zu blockieren oder nicht. Wenn Dateien nicht direkt von dort aufgerufen werden, sondern stattdessen etwas wie admin-ajax verwenden, dann ist es in Ordnung. Einige Plugins haben jedoch Skripte, auf die direkt zugegriffen werden muss, und diese werden brechen. Für einen normalen Benutzer ist es schwierig, dies festzustellen.

Installieren und Konfigurieren von iThemes

Bisher hatte ich mit den Sicherheitsfeatures nicht viel Glück. Aber was ist mit der Benutzerfreundlichkeit? ist es einfach zu installieren und zu konfigurieren?

Installation

Die Installation der kostenlosen Version ist sehr einfach, obwohl es einen langwierigen und letztendlich unnötigen Einrichtungsprozess gibt. Für die Pro-Version müssen Sie sich für eine Lizenz anmelden und das Plugin von ihrer Website herunterladen.

Benutzerfreundlichkeit

iThemes ist wirklich verwirrend zu bedienen. Der Fachjargon und die komplexen Einstellungen erschweren dem Alltagsnutzer das Verständnis. Es scheint auch nicht zu halten, was es verspricht. Ein Daumen nach unten für die Benutzerfreundlichkeit.

Benachrichtigungen und Warnungen

Überhaupt keine Warnungen. Ich bin dafür, übermäßige Warnungen zu vermeiden, aber mit iThemes, egal welche Einstellungen Sie versuchen und ändern, werden Sie keine bekommen. Selbst wenn Sie Benachrichtigungen wünschen, erhalten Sie sie nicht.

Benutzerverwaltung

Sicher, Sie können Sicherheitseinstellungen basierend auf Benutzerrollen festlegen, aber viele davon sind redundant. Starke Passwörter sollten beispielsweise für alle Benutzer selbstverständlich sein. Es gibt eine Fülle von Optionen, die auf den ersten Blick beeindruckend aussehen, aber realistischerweise müssen Sie nicht ins Detail gehen. Denn wenn ein Konto auf Benutzerebene gehackt wird, können die Hacker ihre Berechtigungen möglicherweise auf die Administratorebene eskalieren. Fazit ist, dass diese Funktion nicht so hilfreich ist, wie es scheint.

Andere zu berücksichtigende Faktoren

iThemes ist kein großes Sicherheits-Plugin. Aber neben der Sicherheit gibt es noch ein paar andere Faktoren, die bei der Auswahl von iThemes zu berücksichtigen sind. Hier werde ich über die Auswirkungen des Plugins auf den Server sprechen und ob der Support gut ist.

Auswirkungen auf Serverressourcen

Wenn es um Serverressourcen geht, erhält iThemes eine perfekte Punktzahl. Es gibt überhaupt keine Auswirkungen: Es ist so leicht, dass es fast so ist, als wäre das Plugin nicht einmal da oder würde irgendetwas tun. Das verfolgt.

Hilfe und Unterstützung

Was Hilfe und Unterstützung betrifft, habe ich es nicht selbst getestet. Das Durchsehen der Bewertungen im WordPress-Repository zeigt jedoch, dass es nicht großartig ist.

Preisgestaltung

Die Preise für iThemes haben sich kürzlich geändert, und es macht keinen Sinn. Zuvor hatten sie einen Top-Tier-Plan für unbegrenzte Websites. Jetzt reichen die Pläne von 99 $ für 1 Site bis 299 $ für 10 Sites. Ob alte oder neue Preise, iThemes ist definitiv Geldverschwendung.

Was sind die besten Alternativen zu iThemes?

Da ich iThemes in dieser Rezension verärgert habe, benötigen Sie Optionen. Welches sind die besten Plugins für WordPress-Sicherheit? Hier sind die Top-Picks:

• MalCare: MalCare ist das beste Sicherheits-Plugin, das es gibt; Der Scanner ist supergenau, die Firewall ist zuverlässig und ein automatisierter Malware-Reiniger ist sehr effektiv. Jeder Plan beinhaltet die unbegrenzte Malware-Entfernung durch ein Team von Sicherheitsexperten. Abgesehen von der Zwei-Faktor-Authentifizierung finden Sie alle größeren und kleineren WordPress-Sicherheitsfunktionen in MalCare. Sie können damit nichts falsch machen.
• Wordfence : Die kostenlose Version von Wordfence bietet ziemlich guten Schutz, einschließlich Scanner und Firewall. Die Firewall wird regelmäßig aktualisiert, aber die kostenlose Version hinkt der Premium-Version hinterher. Wenn schädliche Inhalte gefunden werden, ist ein Upgrade auf einen teureren Plan erforderlich, um sie sicher zu entfernen.
• Sucuri: Alle kostenpflichtigen Pläne von Sucuri beinhalten unbegrenzte Malware-Entfernung. Der Nachteil ist, dass der Scanner nicht immer genau ist, Sie müssen sich also aller potenziellen Malware-Probleme bewusst sein, bevor Sie die Entfernungsfunktion zum Laufen bringen können.

Wie wähle ich ein Sicherheits-Plugin für WordPress aus?

Die Auswahl des perfekten Sicherheits-Plugins für Ihre Website kann eine Herausforderung sein. Bei so vielen Lösungen da draußen kann es schwierig sein zu wissen, welche die richtige für Ihre Bedürfnisse ist. In diesem Abschnitt gehe ich auf die wichtigsten Funktionen ein, die Sie berücksichtigen sollten, wenn Sie sich für ein Sicherheits-Plugin entscheiden, einschließlich Scan-Tools, Malware-Schutz-Tools, Firewalls und mehr.

Entscheidende Sicherheitsmerkmale

• Malware-Scanning: Der Versuch, den Bösewichten immer einen Schritt voraus zu sein, kann sich wie ein endloses Katz-und-Maus-Spiel anfühlen. Glücklicherweise gibt es effektive Möglichkeiten, Malware auf Websites automatisch zu erkennen.
  
  Allerdings sind nicht alle Methoden, die Sicherheits-Plug-ins verwenden, um Malware zu identifizieren, gleich effektiv. Beispielsweise vergleicht der von Wordfence verwendete Signaturabgleichsmechanismus den Code jeder vermuteten Malware mit einer Datenbank bekannter Malware-Signaturen. Die Datenbank muss regelmäßig aktualisiert werden, damit Bedrohungen erkannt werden. Wie Sie sich vorstellen können, werden neue Malware und Zero-Day-Bedrohungen nicht abgefangen. MalCare verwendet einen weitaus zuverlässigeren Signalabgleichsmechanismus, der Code überprüft, um zu prüfen, ob er böswillige Absichten hat. Auf diese Weise werden selbst die neuesten Bedrohungen vom Scanner erfasst.

• Malware-Entfernung: Wenn Ihre Website von Malware heimgesucht wurde, kann es schwierig sein, sie wieder loszuwerden. In einigen Fällen können Sie die schädlichen Dateien löschen und die betroffenen Site-Dateien reparieren. Bei komplizierteren Fällen müssen Sie jedoch möglicherweise die Hilfe eines erfahrenen Sicherheitsexperten in Anspruch nehmen. Viele Sicherheits-Plugins bieten Malware-Entfernung als Premium-Funktion für ihr Fachwissen an. MalCare ist der einzige Anbieter mit einer zuverlässigen automatischen Malware-Entfernungsfunktion und unbegrenzter Bereinigung durch Experten in jedem Plan.

• Firewall: Keine Sicherheitseinrichtung ist ohne eine gute, zuverlässige Firewall vollständig. Firewalls fungieren als Filter für eingehenden Datenverkehr und verhindern, dass bösartiger Code Ihre Website infiltriert. Firewalls sollten häufig aktualisiert werden, eine umfassende Liste von Protokollen führen und vor WordPress geladen werden, um wirklich effektiv zu sein.

Andere Sicherheitsfunktionen

• Erkennung von Sicherheitslücken: Niemand möchte herausfinden, dass seine Website wegen einer Sicherheitslücke gehackt wurde, von der er nicht wusste, dass sie existiert. Ein Schwachstellen-Scanner kann Ihnen helfen, Schwachstellen in Ihrem WordPress-Kern, Ihren Plugins und Designs zu erkennen, damit Sie sie schnell beheben können.

• Zwei-Faktor-Authentifizierung: Um Ihre Benutzerkonten zu schützen, lohnt es sich, die Zwei-Faktor-Authentifizierung (2FA) in Betracht zu ziehen. Dies fügt eine zusätzliche Sicherheitsebene hinzu, indem zwei verschiedene Authentifizierungsmethoden erforderlich sind, bevor sich ein Benutzer anmelden kann. Mit 2FA benötigen Benutzer sowohl etwas, das sie wissen (wie einen Benutzernamen und ein Passwort), als auch etwas, das sie haben (wie ein Telefon oder ein Sicherheitstoken). .

• Anmeldeschutz: Es ist wichtig, Ihren WordPress-Adminbereich vor Brute-Force-Angriffen zu schützen. Dies sind automatisierte Versuche, in Ihr Konto einzudringen, indem Sie zufällig Ihren Benutzernamen und Ihr Passwort erraten. Um sich zu schützen, sollten Sie ein Plugin mit Anmeldeschutzfunktionen installieren.

• Aktivitätsprotokoll: Wenn Sie im Auge behalten möchten, was auf Ihrer Website passiert, ist ein Aktivitätsprotokoll ein großartiges Werkzeug. Es hilft Ihnen, alle Änderungen zu überwachen, die auf Ihrer Website stattfinden, und alle Sicherheitsereignisse schnell zu identifizieren. Dies kann Ihnen helfen, schnell auf Bedrohungen zu reagieren und Ihre Website sicher und geschützt zu halten.

Mögliche Probleme von Sicherheits-Plugins

• Auswirkungen auf den Server: Sicherheits-Plug-ins können Ihre Serverressourcen belasten und Ihre Website langsamer und weniger reaktionsschnell machen. Dies liegt daran, dass sie Malware-Scans auf Ihrer Website durchführen oder die Serverressourcen Ihrer Website verwenden, um die Firewall zu betreiben. Wordfence ist der schlimmste Übeltäter an dieser Front. Andererseits ist MalCare so konzipiert, dass es seine Scans auf seinem eigenen Server durchführt, sodass es keine Ihrer eigenen Ressourcen verwendet. Versuchen Sie, nach Plugins zu suchen, die Ihre Website nicht verlangsamen.

Abschließende Gedanken

iThemes ist nicht einmal die geringe Energie wert, die für die Installation benötigt wird. Es hat einen schlechten Malware-Scanner, keine Tools zum Entfernen von Malware und keine Firewall. Sie sind besser dran, es zu überspringen und sich umfassendere Sicherheitslösungen wie MalCare anzusehen.

Häufig gestellte Fragen

Was sind die Funktionen der iThemes-Sicherheit?

Sie behaupten, viele Funktionen zu haben, aber es ist alles Schnickschnack. Sie behaupten, einen Malware-Scanner zu haben, aber sie prüfen nur, ob Ihre Website auf der schwarzen Liste steht. Sie sagen, sie haben eine Option zum Blockieren von IPs, aber es funktioniert nicht wirklich. Sie haben einen ziemlich nutzlosen Anmeldeschutz, ein unvollständiges Aktivitätsprotokoll, eine gefälschte Schwachstellenerkennung und kaum nützliche Härtungsfunktionen. Die einzige funktionierende Sicherheitsfunktion ist die Zwei-Faktor-Authentifizierung.

Was ist der Unterschied zwischen Wordfence-Sicherheit und iThemes-Sicherheit?

Wordfence ist das beste kostenlose Sicherheits-Plugin und iThemes ist das schlechteste. Wordfence hat die aktuellste Firewall, einen höchst effektiven Scanner und einige automatische Malware-Entfernungsoptionen. iThemes identifiziert die Malware auf Ihrer Website nicht wirklich, hat keine Malware-Entfernungsfunktion und keine Firewall.

Wie setze ich meine iThemes-Sicherheit zurück?

Um das Passwort zurückzusetzen, gehen Sie zur Anmeldeseite des iThemes Member Panel. Es gibt einen Abschnitt zum Zurücksetzen des Passworts. Fügen Sie den Benutzernamen oder die E-Mail-Adresse hinzu, die dem Konto zugeordnet ist. Sie erhalten dann eine E-Mail und einen Link zum Zurücksetzen des Passworts, das 30 Minuten gültig ist.

Wie kündige ich mein iThemes-Abonnement?

Um Ihr iThemes-Abonnement zu kündigen, müssen Sie sich an das Verkaufsteam wenden. E-Mail an [email protected]