iThemes セキュリティ レビュー: WordPress サイトにインストールする価値はありますか? - マルケア

iThemes Security は、WordPress サイトをさまざまな種類のセキュリティ脅威から保護するために設計されたさまざまな機能を提供する WordPress セキュリティ プラグインです。 しかし、あなたのウェブサイトにインストールする価値はありますか?

iThemes Security の詳細なレビューを提供し、その有効性、使いやすさ、他の WordPress プラグインとの互換性、およびコストに見合うかどうかを評価します. この記事の終わりまでに、iThemes Security が Web サイトのセキュリティ ニーズにとって正しい選択であるかどうかをよりよく理解できるはずです。

iThemes をインストールすることは、セキュリティがゼロであることとほとんど同じです。 実際、完全にロックアウトされる可能性があるため、実際にはもっと悪いと思います。 そのため、実際にサイトを保護するセキュリティ プラグインを探している場合は、MalCare が最適です。

概要

iThemes はセキュリティ プラグインのように見えるかもしれませんが、最も重要な 3 つの機能が欠けています。 すべての「中途半端な対策」に惑わされないでください。 彼らはただのショーです。

たとえば、攻撃が発生する前にブロックするというアプローチを表明していますが、これはサイトの脆弱性に対して警戒することですが、実際にはユーザーに警告することは何もしていません. 脆弱性が毎週発見されたダイジェスト メールを送信することを禁止します。

このセキュリティ プラグインのファンハウスのどこかに、便利で機能するマイナーなセキュリティ機能がいくつかあります。
さらに、さらに侮辱的なことに、別のセキュリティ プラグインを使用して自分のサイトを保護しています。 セキュリティ プラグイン サイトが独自の製品を使用していないという事実を処理するために、少し時間を取ってください。

重要なセキュリティ機能と iThemes

セキュリティ プラグインを探している場合は、マルウェア スキャナー、マルウェア クリーナー、ファイアウォールなどの特定の機能が必要です。 プラグインが適切かどうかを判断する際には、これらをリストの一番上に置く必要があります。

これらの機能は交渉の余地がなく、レビューの最も重要なポイントになるはずです。 ただし、iThemes はサイトのさまざまな場所で、これらの正確な機能が WordPress のセキュリティと無関係であることを示しています. 私は強く反対します。

マルウェア スキャナー

基本から始めましょう。 マルウェアをスキャンしますか? いいえ。Google がサイトをブラックリストに登録しているかどうかを確認します。 この情報は、スキャン結果の生データ セクションに表示されます。

Google はサイトでマルウェア スキャンを実行していますが、iThemes はそうではありません。 iThemes は、Google ブラックリストと呼ばれる Google 透明性レポートにサイトが掲載されているかどうかを確認するのに役立ちます。 このスキャンを実行するのに iThemes は絶対に必要ありません。 Google のサイトにアクセスして、文字通り数秒で情報を入手できます。

スキャナーがマルウェアをスキャンしないことを考えると、自動スキャンは議論の余地があります. ただし、優れたセキュリティ プラグインはマルウェアを自動的かつ定期的にスキャンする必要があることに注意することが重要です。

以前に発生したイベントを表示する「View Logs」セクションもあります。

マルウェアの除去

iThemes はマルウェアを検出していませんでした。マルウェアを削除できないのは当然のことです。 したがって、自動、手動、魔法のいずれの種類の削除も提供していないことは、完全なショックではありませんでした.

ファイアウォール

iThemes にはファイアウォールがないように見えますが、IP ブラックリストを許可すると主張しています。 残念ながら、実際には機能しません。 ボット保護機能もかなり弱く、検索エンジン ボットによるサイトのインデックス登録を阻止するだけです。 それが行うことの 1 つは、非常に悪いことであり、サイトに有害です。

IP とユーザー エージェントを禁止するか、hackrepair.com から事前入力された禁止リストを使用できます。 しかし、これらのコマンドは .htaccess または nginx.conf ファイルで管理されているため、扱いにくくなる可能性があるため、理想的ではありません。 これらはサーバー構成ファイルであり、信じられないほど強力です。 ただし、その使用目的は、サイト固有の設定をカスタマイズすることです。 その 1 つに IP ホワイトリストまたはブラックリストがありますが、これらのコマンドは非常に扱いにくく、構成ファイルでの管理が困難になる可能性があります。

したがって、ファイアウォールは別の場所に配置する必要があります。

例外リストに IP アドレスを入力することもできますが、デバイスの IP は常に変化するため、その用途は限られています。 全体的に、印象的ではありません。

二次セキュリティ機能

iThemes は重要なセキュリティ アクションをうまく実行できないようです。 しかし、ブルート フォース保護やアクティビティ ログなどのタスクはどうでしょうか?

ログイン保護

iThemes はブルート フォース保護に優れていますが、ひどいものです。 誰が考えたでしょうか？

この機能をテストするために、間違ったパスワードまたはユーザー名で 10 回試行すると、アカウントからロックアウトされるようにプラグインを設定しました。 このテストを 2 種類のサイトで実行しました。 通常のサイトでは 10 回試行するとロックアウトされましたが、ハッキングされたテスト サイトでは 100 回試行してもブロックされませんでした。 ブロックされた試行はネットワーク ブルート フォース攻撃として記録されましたが、許可された試行はローカル ブルート フォース攻撃でした。

通常のサイトを手動でブルート フォースしてみましたが、IP が禁止リストから削除されたにもかかわらず、ブロックされませんでした。 設定によれば、15 分間ロックアウトされていたはずです。 しかし、そこには運がありません。

誤ったログインはブルート フォースとして分類されることに注意してください。 iThemes のブルート フォース保護機能はかなり気まぐれで予測不可能です。

脆弱性の検出

パターンを感知している場合は、脆弱なプラグインを検出するという iThemes の主張が偽物であると推測するでしょう。 サイトにいくつかインストールしましたが、スキャンで 1 つも検出されませんでした。

では、サイトの脆弱性をどのように警告するのでしょうか? iThemes は、プラグインとテーマ全体で検出された新しい脆弱性のリストを記載したメールを不定期に送信するため、サイトにある脆弱性を特定して更新する必要があります。 電子メールの購読を解除して、脆弱性を完全に逃すことができます。 これはまったく積極的なアプローチではなく、サイトの脆弱性を特定する責任はユーザーにあります。

古いプラグインとテーマを更新するように明示的に設計されたバージョン管理機能があることはさらにばかげていますが、ダッシュボードに脆弱性があるものを追加できないようです.

二要素認証

iThemes の 2 要素認証は、宣伝どおりに機能します。 モバイル アプリ、メール、バックアップ コードなど、複数の方法で 2 要素認証を設定できます。

さらに、ユーザー ロールに基づいて 2FA を設定したり、従来のログインでは使用できない REST API と XML-RPC の個別のアプリケーション パスワードを設定したりできます。 この設定はユーザー プロファイルにあり、そこから設定できます。

ただし、セキュリティ上の懸念から、XML-RPC は通常無効になっており、これらの個別のパスワードの有用性が制限されています。

活動記録

ユーザー アクティビティ ログは管理者向けに有効になっていますが、残念ながらすべてのイベントが正確に記録されるわけではないため、ほとんど役に立ちません。

硬化機能

• ファイル監視:現状では、これはセキュリティのために信頼できる機能ではありません. 予期しない変更についてファイルとフォルダーを監視できますが、これにはいくつかの問題があります。 監視するファイルを把握し、良い変更と悪い変更を区別できる必要があります。 さらに、ハッカーはファイルの変更日を変更できるため、この機能がそれをどのように処理するかはわかりません.
  
  ファイル拡張子の除外リストには、マルウェアを運ぶことが知られている jpeg と ico も含まれていますが、これは役に立ちません。 また、プラグイン/テーマのインストール、プラグインの更新、投稿やページの変更も検出しません。

• 硬化ツール:このセクションのオプション。 たとえば、データベースのプレフィックスを変更したり、ここから WordPress のソルトを変更したりできます。 通常、WordPress ジェネレーターを使用してそれを行い、wp-config ファイルでソルトを手動で変更する必要があるため、これは便利なツールです。 その情報を探す場所がわからない場合は、「ファイルのアクセス許可を確認する」も役立ちます。 ただし、ここでアクセス許可を変更することはできず、その方法も示されていません。 サーバーIPを識別する機能は、IPが何であるかを把握して、禁止リストに追加できるようにするのに役立ちます. これは、他の場所でも同じように簡単に実行できるため、せいぜいフリルです。

• アップロード フォルダー、プラグイン フォルダー、およびテーマ フォルダーでの PHP の実行をブロックする:説明から、iThemes が PHP スクリプトへの外部要求をブロックしているように見えます。 ある種のハッキングに役立つので、アップロード フォルダーに使用することをお勧めします。 ただし、プラグインとテーマには間違いなくスクリプトが含まれているため、それらをブロックする意味があるかどうかはサイトによって異なります。 ファイルがそこから直接呼び出されるのではなく、代わりに admin-ajax などを使用する場合は問題ありません。 ただし、一部のプラグインには、直接アクセスする必要があるスクリプトがあり、これらは壊れます。 通常のユーザーがこれを判断するのは困難です。

iThemes のインストールと構成

これまでのところ、セキュリティ機能についてはあまりうまくいきませんでした。 しかし、使いやすさはどうですか。 インストールと設定は簡単ですか？

インストール

無料版のインストールは非常に簡単ですが、長くて最終的に不要なセットアップ プロセスがあります。 プロ版の場合は、ライセンスにサインアップし、サイトからプラグインをダウンロードする必要があります.

使いやすさ

iThemes は本当に使いにくいです。 専門用語と複雑な設定により、日常のユーザーが理解するのは困難です. また、それが主張することをしていないようです。 使いやすさの点でマイナスです。

通知とアラート

アラートはまったくありません。 私は過度のアラートを回避することに賛成ですが、iThemes では、どのような設定を試して変更しても、何も得られません。 通知が欲しくても届かない。

ユーザー管理

確かに、ユーザーの役割に基づいてセキュリティ設定を設定できますが、それらの多くは冗長です。 たとえば、強力なパスワードをすべてのユーザーに与える必要があります。 多くのオプションがあり、一見すると印象的ですが、現実的には詳細に入る必要はありません。 1 つのユーザー レベルのアカウントがハッキングされた場合、ハッカーは特権を管理者レベルにエスカレートする可能性があるためです。 要するに、この機能は見た目ほど役に立たないということです。

考慮すべきその他の要因

iThemes はあまりセキュリティ プラグインではありません。 ただし、セキュリティ以外にも、iThemes を選択する際に考慮すべき要素がいくつかあります。 ここでは、サーバーに対するプラグインの影響と、サポートが良好かどうかについて説明します。

サーバー リソースへの影響

サーバーリソースに関しては、iThemes は満点です。 まったく影響はありません。プラグインが存在しないか、何もしていないかのように、非常に軽いです。 それは追跡します。

ヘルプとサポート

ヘルプとサポートについては、自分でテストしていません。 ただし、WordPress リポジトリのレビューを見ると、あまり良くないことがわかります。

価格

iThemes の価格が最近変更されましたが、あまり意味がありません。 以前は、無制限のサイト向けのトップ ティア プランがありました。 現在、プランは 1 サイトで 99 ドルから 10 サイトで 299 ドルです。 古い価格設定であろうと新しい価格設定であろうと、iThemes は間違いなくお金の無駄です。

iThemes に代わる最良の方法は何ですか?

このレビューで iThemes を非難したので、オプションが必要です。 WordPressのセキュリティに最適なプラグインはどれですか? トップピックは次のとおりです。

• MalCare: MalCare は最高のセキュリティ プラグインです。 スキャナーは非常に正確で、ファイアウォールは信頼性が高く、自動化されたマルウェア クリーナーは非常に効果的です。 各プランには、セキュリティ専門家チームによる無制限のマルウェア除去が含まれています。 MalCare には、2 要素認証以外にも、WordPress の主要なセキュリティ機能とマイナーなセキュリティ機能がすべて含まれています。 あなたはそれを間違えることはありません。
• Wordfence : Wordfence の無料版は、スキャナーやファイアウォールなど、かなり優れた保護を提供します。 ファイアウォールは定期的に更新されますが、無料版はプレミアム版に遅れをとっています. 悪意のあるコンテンツが見つかった場合、安全に削除するには、より高価なプランにアップグレードする必要があります。
• Sucuri: Sucuri のすべての有料プランには、無制限のマルウェア除去が付属しています。 欠点は、スキャナーが常に正確であるとは限らないことです。そのため、削除機能を機能させる前に、潜在的なマルウェアの問題に注意する必要があります.

WordPress のセキュリティ プラグインの選び方

Web サイトに最適なセキュリティ プラグインを選択するのは難しい場合があります。 非常に多くのソリューションがあるため、どれがニーズに適しているかを判断するのは難しい場合があります. このセクションでは、スキャン ツール、マルウェア保護ツール、ファイアウォールなど、セキュリティ プラグインを決定する際に考慮すべき主要な機能について説明します。

重要なセキュリティ機能

• マルウェア スキャン:悪者の一歩先を行こうとすることは、終わりのないいたちごっこのように感じることがあります。 ありがたいことに、サイト上のマルウェアを自動的に検出する効果的な方法があります。
  
  ただし、セキュリティ プラグインがマルウェアを識別するために使用するすべての方法が同じように効果的であるとは限りません。 たとえば、Wordfence が使用するシグネチャ マッチング メカニズムは、疑わしいマルウェアのコードを既知のマルウェア シグネチャのデータベースと比較します。 脅威が検出されるように、データベースを定期的に更新する必要があります。 ご想像のとおり、新しいマルウェアやゼロデイ脅威は捕捉されません。 MalCare は、はるかに信頼性の高いシグナル マッチング メカニズムを使用し、コードをレビューして悪意があるかどうかを確認します。 このようにして、最新の脅威でさえスキャナーによって捕捉されます。

• マルウェアの除去:サイトがマルウェアに感染した場合、除去するのが難しい場合があります。 場合によっては、悪意のあるファイルを削除し、影響を受けたサイト ファイルを修復できます。 ただし、より複雑なケースでは、経験豊富なセキュリティの専門家の助けを借りる必要がある場合があります。 多くのセキュリティ プラグインは、その専門知識のプレミアム機能としてマルウェアの削除を提供しています。 MalCare は、信頼性の高い自動マルウェア削除機能と、すべてのプランで専門家による無制限のクリーンアップを備えた唯一の企業です。

• ファイアウォール:優れた信頼性の高いファイアウォールがなければ、セキュリティのセットアップは完了しません。 ファイアウォールは、着信トラフィックのフィルターとして機能し、悪意のあるコードが Web サイトに侵入するのを防ぎます。 ファイアウォールは頻繁に更新し、ログの包括的なリストを維持し、WordPress が実際に効果を発揮する前にロードする必要があります。

その他のセキュリティ機能

• 脆弱性の検出:存在を知らなかったセキュリティ ホールが原因で Web サイトがハッキングされたことを誰も知りたくありません。 脆弱性スキャナーは、WordPress コア、プラグイン、およびテーマの脆弱性を発見するのに役立つため、迅速にパッチを適用できます.

• 2 要素認証:ユーザー アカウントを安全に保つには、2 要素認証 (2FA) を検討する価値があります。 これにより、ユーザーのログインを許可する前に 2 つの異なる認証方法を要求することで、セキュリティがさらに強化されます。 .

• ログイン保護: WordPress の管理領域をブルート フォース攻撃から保護することは不可欠です。 これらは、ユーザー名とパスワードをランダムに推測して、アカウントに侵入しようとする自動化された試みです。 自分自身を保護するには、ログイン保護機能を備えたプラグインをインストールする必要があります。

• アクティビティ ログ: Web サイトで何が起こっているかを監視したい場合、アクティビティ ログは優れたツールです。 サイトで起こっているすべての変更を監視し、セキュリティ イベントをすばやく特定するのに役立ちます。 これにより、脅威に迅速に対応し、Web サイトを安全に保つことができます。

セキュリティプラグインの潜在的な問題

• サーバーへの影響:セキュリティ プラグインはサーバー リソースに負担をかけ、サイトを遅くし、応答性を低下させる可能性があります。 これは、サイトでマルウェア スキャンを実行したり、サイトのサーバー リソースを使用してファイアウォールを強化したりするためです。 Wordfence は、この面で最悪の犯罪者です。 一方、MalCare は独自のサーバーでスキャンを実行するように設計されているため、独自のリソースを使用することはありません。 ウェブサイトの速度を落とさないプラグインを探してみてください。

最終的な考え

iThemes は、インストールに必要なわずかな労力を費やす価値さえありません。 マルウェア スキャナーは貧弱で、マルウェア除去ツールもファイアウォールもありません。 それを飛ばして、MalCare のようなより包括的なセキュリティ ソリューションに目を向けたほうがよいでしょう。

よくある質問

iThemes セキュリティの機能は何ですか?

彼らは多くの機能を持っていると主張していますが、それはすべて付加機能です。 彼らはマルウェア スキャナーを持っていると主張していますが、サイトがブラックリストに登録されているかどうかを確認しているだけです。 彼らは、IP をブロックするオプションがあると言っていますが、実際には機能しません。 それらには、かなり役に立たないログイン保護、不完全なアクティビティ ログ、偽の脆弱性検出、ほとんど役に立たない強化機能があります。 機能する唯一のセキュリティ機能は、2 要素認証です。

Wordfence セキュリティと iThemes セキュリティの違いは何ですか?

Wordfence は最高の無料セキュリティ プラグインで、iThemes は最低です。 Wordfence には、最新のファイアウォール、最も効果的なスキャナー、およびいくつかの自動化されたマルウェア除去オプションがあります。 iThemes は、サイト上のマルウェアを実際に識別するわけではなく、マルウェアの削除機能もファイアウォールもありません。

iThemes のセキュリティをリセットするにはどうすればよいですか?

パスワードをリセットするには、iThemes メンバー パネルのログイン ページに移動します。 パスワードをリセットするセクションがあります。 アカウントに関連付けられているユーザー名または電子メールを追加します。 その後、30 分間有効なパスワードをリセットするためのメールとリンクが送信されます。

iThemes サブスクリプションをキャンセルするにはどうすればよいですか?

iThemes のサブスクリプションをキャンセルするには、販売チームに連絡する必要があります。 [email protected] までメールでお問い合わせください。