iThemes Security Review : Vaut-il la peine de l'installer sur votre site WordPress ? - MalCare

iThemes Security est un plugin de sécurité WordPress qui offre une gamme de fonctionnalités conçues pour protéger les sites WordPress contre divers types de menaces de sécurité. Mais vaut-il la peine d'être installé sur votre site Web ?

Je fournirai un examen approfondi d'iThemes Security, en évaluant son efficacité, sa facilité d'utilisation, sa compatibilité avec d'autres plugins WordPress et si cela en vaut la peine. À la fin de cet article, vous devriez mieux comprendre si iThemes Security est le bon choix pour les besoins de sécurité de votre site Web.

L'installation d'iThemes revient à peu près à n'avoir aucune sécurité. En fait, je dirais que c'est en fait pire, car cela peut vous bloquer complètement. Donc, si vous recherchez un plugin de sécurité qui protégera réellement votre site, MalCare est définitivement la voie à suivre.

Aperçu

iThemes peut ressembler à un plugin de sécurité, mais il manque les trois fonctionnalités les plus importantes. Ne vous laissez pas berner par toutes les "demi-mesures ; ils sont juste pour le spectacle.

Par exemple, leur approche déclarée consiste à bloquer les attaques avant qu'elles ne se produisent, ce qui consiste à être vigilant contre les vulnérabilités du site, mais ils ne font en réalité rien pour avertir un utilisateur. À moins de leur envoyer des e-mails récapitulatifs avec les vulnérabilités trouvées chaque semaine.

Quelque part dans ce funhouse d'un plugin de sécurité, il y a quelques fonctionnalités de sécurité mineures qui sont à la fois utiles et qui fonctionnent.
Et puis, pour ajouter l'insulte à l'injure, ils utilisent un autre plugin de sécurité pour sécuriser leur propre site. Prenez une minute pour traiter le fait qu'un site de plug-in de sécurité n'utilise pas son propre produit.

Fonctionnalités de sécurité critiques et iThemes

Si vous recherchez un plug-in de sécurité, il existe certaines fonctionnalités dont vous ne pouvez pas vous passer : le scanner de logiciels malveillants, le nettoyeur de logiciels malveillants et le pare-feu. Celles-ci devraient figurer en tête de votre liste lorsque vous décidez si le plugin vous convient.

Ces caractéristiques ne sont pas négociables et devraient être les points les plus importants de tout examen. Cependant, iThemes a indiqué à divers endroits sur son site que ces fonctionnalités exactes sont étrangères à la sécurité de WordPress. Je suis fortement en désaccord.

Analyseur de logiciels malveillants

Commençons par les bases. Analyse-t-il les logiciels malveillants ? Non. Il vérifie si Google a mis votre site sur liste noire. Vous verrez ces informations dans la section des données brutes des résultats de l'analyse.

Alors que Google effectue une analyse des logiciels malveillants sur votre site, iThemes ne le fait pas. iThemes vous aide à déterminer si votre site a atterri sur le rapport de transparence de Google, familièrement appelé la liste noire de Google. Vous n'avez absolument pas besoin d'iThemes pour exécuter cette analyse pour vous. Vous pouvez aller sur le site de Google et obtenir vous-même les informations en quelques secondes.

Étant donné que le scanner ne recherche pas les logiciels malveillants, les analyses automatisées sont un point discutable. Cependant, il est important de noter qu'un bon plugin de sécurité doit rechercher les logiciels malveillants automatiquement et régulièrement.

Il existe également une section "Afficher les journaux" qui affiche les événements qui ont eu lieu précédemment.

Suppression des logiciels malveillants

iThemes ne détectait pas les logiciels malveillants et il va de soi qu'ils ne seraient pas en mesure de supprimer les logiciels malveillants. Donc, ce n'était pas un choc complet qu'ils n'offrent aucun type de suppression : automatique, manuelle ou magique.

Pare-feu

On dirait qu'iThemes n'a pas de pare-feu, mais ils prétendent autoriser la liste noire IP. Dommage que ça ne marche pas vraiment. La fonction de protection contre les bots est également assez faible, et tout ce qu'elle fait est d'empêcher les robots des moteurs de recherche d'indexer votre site. La seule chose qu'il fait, il le fait si mal, c'est qu'il nuit à votre site.

Vous pouvez interdire les adresses IP et les agents utilisateurs, ou utiliser une liste d'interdiction pré-remplie de hackrepair.com. Mais ces commandes peuvent devenir délicates car elles les gèrent dans le fichier .htaccess ou nginx.conf, donc ce n'est pas idéal. Ce sont des fichiers de configuration de serveur et sont incroyablement puissants. Cependant, leur utilisation prévue est de personnaliser les paramètres sur une base spécifique au site. L'une de ces choses est la liste blanche IP ou la liste noire, mais ces commandes peuvent devenir très lourdes et difficiles à gérer dans un fichier de configuration.

Le pare-feu devrait donc être ailleurs.

Vous pouvez également entrer des adresses IP dans une liste d'exceptions, mais cela est d'une utilité limitée car les adresses IP des appareils changent constamment. Dans l'ensemble, pas impressionné.

Caractéristiques de sécurité secondaires

Il semble qu'iThemes ne puisse pas très bien effectuer les actions de sécurité importantes. Mais qu'en est-il des tâches telles que la protection contre la force brute et les journaux d'activité ?

Protection de connexion

iThemes est grand sur la protection contre la force brute, mais il est catastrophique. Qui aurait pensé ?

Pour tester cette fonctionnalité, j'ai configuré le plugin pour nous empêcher d'accéder à mon compte après 10 tentatives avec le mauvais mot de passe ou nom d'utilisateur. J'ai effectué ce test sur deux types de sites différents. Sur un site normal, j'ai été bloqué après 10 tentatives, mais sur le site de test piraté, j'ai eu jusqu'à 100 tentatives et je n'ai pas été bloqué. Les tentatives bloquées ont été enregistrées comme des attaques par force brute du réseau, tandis que celles autorisées étaient des attaques par force brute locales.

J'ai même essayé de forcer manuellement le site normal, mais malgré la suppression de l'adresse IP de la liste de non-interdiction, je n'étais toujours pas bloqué. Il aurait dû m'enfermer pendant 15 minutes, selon les configurations. Mais pas de chance là-bas.

Il est intéressant de noter que toute connexion erronée est classée comme une force brute. La fonction de protection contre la force brute d'iThemes est assez capricieuse et imprévisible.

Détection de vulnérabilité

Si vous détectez un modèle, vous devinerez probablement que les affirmations d'iThemes concernant la détection des plugins vulnérables sont fausses. J'en avais plusieurs installés sur nos sites et le scan n'en a pas détecté un seul.

Alors, comment vous avertit-il des vulnérabilités de votre site ? iThemes vous envoie occasionnellement un e-mail avec une liste des nouvelles vulnérabilités détectées dans les plugins et les thèmes en général, vous devez donc déterminer lesquels se trouvent sur votre site et les mettre à jour. Vous pouvez vous désabonner de l'e-mail et passer complètement à côté de toutes les vulnérabilités. Il ne s'agit pas du tout d'une approche proactive et il vous incombe d'identifier les vulnérabilités de votre site.

Il est encore plus ridicule qu'ils disposent d'une fonction de gestion des versions expressément conçue pour mettre à jour les plugins et les thèmes obsolètes, mais ils ne semblent pas pouvoir ajouter ceux qui présentent des vulnérabilités sur le tableau de bord.

Authentification à deux facteurs

L'authentification à deux facteurs sur iThemes fonctionne exactement comme annoncé. Vous pouvez configurer l'authentification à deux facteurs avec plusieurs méthodes, y compris l'application mobile, l'e-mail et les codes de secours.

De plus, il est possible de définir 2FA en fonction des rôles d'utilisateur, ainsi que des mots de passe d'application distincts pour l'API REST et XML-RPC qui ne peuvent pas être utilisés pour les connexions traditionnelles. Ce paramètre se trouve dans le profil utilisateur et peut être défini à partir de là.

Cependant, pour des raisons de sécurité, XML-RPC est généralement désactivé, ce qui limite l'utilité de ces mots de passe distincts.

Journal d'activité

Le journal d'activité de l'utilisateur est activé pour les administrateurs, mais malheureusement, tous les événements ne sont pas enregistrés avec précision, il est donc pratiquement inutile.

Caractéristiques de durcissement

• Surveillance des fichiers : dans l'état actuel des choses, ce n'est pas une fonctionnalité sur laquelle vous pouvez compter pour la sécurité. Vous pouvez surveiller les fichiers et les dossiers pour les changements inattendus, mais il y a quelques problèmes avec cela. Vous devez savoir quels fichiers surveiller et être capable de distinguer les bons changements des mauvais. De plus, les pirates peuvent modifier les dates de modification des fichiers, donc je ne sais pas comment cette fonctionnalité va gérer cela.
  
  La liste d'exclusion d'extensions de fichiers comprend également jpeg et ico, connus pour contenir des logiciels malveillants, ce qui n'est pas utile. Il ne détecte pas non plus les installations de plugins/thèmes, les mises à jour de plugins, ni les modifications apportées aux publications et aux pages.

• Outils de trempe : Les options de cette section. Par exemple, vous pouvez changer le préfixe de la base de données et changer vos sels WordPress à partir d'ici, ce qui est bien. Vous utiliserez généralement le générateur WordPress pour le faire, puis vous devrez modifier les sels manuellement dans le fichier wp-config, c'est donc un outil pratique. La fonction "Vérifier les autorisations des fichiers" est également utile si vous ne savez pas où chercher ces informations. Mais vous ne pouvez pas modifier les autorisations ici et rien n'indique comment procéder. La fonction d'identification des adresses IP des serveurs vous aide à déterminer quelle est votre adresse IP afin que vous puissiez l'ajouter à la liste de non-interdiction. C'est au mieux une fioriture, car cela peut être fait ailleurs tout aussi facilement.

• Bloquer l'exécution de PHP dans le dossier de téléchargement, les dossiers de plug-in et les dossiers de thème : D'après la description, il semble qu'iThemes bloque les requêtes externes aux scripts PHP. C'est utile pour un type de hacks, je recommande donc de l'utiliser pour le dossier de téléchargement. Mais les plugins et les thèmes auront certainement des scripts, donc cela dépend du site s'il est logique ou non de les bloquer. Si les fichiers ne sont pas appelés directement à partir de là, mais à la place en utilisant quelque chose comme admin-ajax, alors ça va. Mais certains plugins ont des scripts auxquels il faut accéder directement, et ceux-ci se cassent. Il est difficile pour un utilisateur normal de déterminer cela.

Installation et configuration d'iThemes

Jusqu'à présent, je n'ai pas eu beaucoup de chance avec les fonctions de sécurité. Mais qu'en est-il de la convivialité ; est-ce facile à installer et à configurer ?

Installation

L'installation de la version gratuite est très simple, bien qu'il y ait un processus d'installation long et finalement inutile. Pour la version pro, vous devez vous inscrire pour une licence et télécharger le plugin depuis leur site.

Facilité d'utilisation

iThemes est vraiment déroutant à utiliser. Le jargon technique et les paramètres complexes rendent la compréhension difficile pour les utilisateurs quotidiens. Il ne semble pas non plus faire ce qu'il prétend. Un coup de pouce pour la convivialité.

Notifications et alertes

Aucune alerte du tout. Je suis tout à fait pour éviter les alertes excessives, mais avec iThemes, quels que soient les paramètres que vous essayez de modifier, vous n'en obtiendrez aucun. Même si vous voulez des notifications, vous ne les recevrez pas.

Gestion des utilisateurs

Bien sûr, vous pouvez définir des paramètres de sécurité en fonction des rôles d'utilisateur, mais nombre d'entre eux sont redondants. Les mots de passe forts, par exemple, devraient être une donnée pour tous les utilisateurs. Il existe une pléthore d'options, qui semblent impressionnantes à première vue, mais de manière réaliste, vous n'avez pas besoin d'entrer dans les détails. Parce que, si un compte de niveau utilisateur est piraté, les pirates peuvent potentiellement élever leurs privilèges au niveau administrateur. En bout de ligne, cette fonctionnalité n'est pas aussi utile qu'il n'y paraît.

Autres facteurs à considérer

iThemes n'est pas vraiment un plugin de sécurité. Mais, au-delà de la sécurité, il y a quelques autres facteurs à prendre en compte lors du choix d'iThemes. Ici, je parlerai de l'impact du plugin sur le serveur et si le support est bon.

Impact sur les ressources du serveur

En ce qui concerne les ressources du serveur, iThemes obtient un score parfait. Il n'y a aucun impact : c'est si léger que c'est presque comme si le plugin n'était même pas là ou ne faisait rien. Cela suit.

Aide et soutien

Quant à l'aide et au soutien, je ne l'ai pas testé par moi-même. Cependant, en parcourant les avis sur le référentiel WordPress, cela indique que ce n'est pas génial.

Tarification

Le prix des iThemes a récemment changé, et cela n'a pas vraiment de sens. Auparavant, ils avaient un plan de premier plan pour des sites illimités. Désormais, les forfaits vont de 99 $ pour 1 site à 299 $ pour 10 sites. Qu'il s'agisse d'anciens prix ou de nouveaux, iThemes est définitivement un gaspillage d'argent.

Quelles sont les meilleures alternatives aux iThemes ?

Depuis que j'ai excorié iThemes dans cette revue, vous avez besoin d'options. Quels sont les meilleurs plugins pour la sécurité WordPress ? Voici les meilleurs choix :

• MalCare : MalCare est le meilleur plugin de sécurité qui existe ; le scanner est super précis, le pare-feu est fiable et un nettoyeur de logiciels malveillants automatisé est très efficace. Chaque plan comprend la suppression illimitée des logiciels malveillants par une équipe d'experts en sécurité. Outre l'authentification à deux facteurs, vous trouverez toutes les fonctionnalités de sécurité majeures et mineures de WordPress dans MalCare. Vous ne pouvez pas vous tromper.
• Wordfence : La version gratuite de Wordfence offre une assez bonne protection, notamment un scanner et un pare-feu. Le pare-feu est régulièrement mis à jour, mais la version gratuite est en retard sur la prime. Si un contenu malveillant est trouvé, il faudra passer à un plan plus coûteux pour le supprimer en toute sécurité.
• Sucuri : Tous les plans payants de Sucuri sont livrés avec une suppression illimitée des logiciels malveillants. L'inconvénient est que le scanner n'est pas toujours précis, vous devrez donc être conscient de tout problème de logiciel malveillant potentiel avant de pouvoir faire fonctionner la fonction de suppression.

Comment choisir un plugin de sécurité pour WordPress ?

Choisir le plugin de sécurité parfait pour votre site Web peut être un défi. Avec autant de solutions disponibles, il peut être difficile de savoir laquelle correspond le mieux à vos besoins. Dans cette section, je passerai en revue les principales fonctionnalités à prendre en compte lors du choix d'un plug-in de sécurité, notamment les outils d'analyse, les outils de protection contre les logiciels malveillants, les pare-feu, etc.

Caractéristiques de sécurité cruciales

• Analyse des logiciels malveillants : Essayer de garder une longueur d'avance sur les méchants peut ressembler à un jeu sans fin du chat et de la souris. Heureusement, il existe des moyens efficaces de détecter automatiquement les logiciels malveillants sur les sites.
  
  Cependant, toutes les méthodes utilisées par les plugins de sécurité pour identifier les logiciels malveillants ne sont pas aussi efficaces. Par exemple, le mécanisme de correspondance des signatures utilisé par Wordfence compare le code de tout logiciel malveillant suspecté à une base de données de signatures de logiciels malveillants connus. La base de données doit être régulièrement mise à jour afin que les menaces soient détectées. Comme vous pouvez l'imaginer, les nouveaux logiciels malveillants et les menaces zero-day ne sont pas détectés. MalCare utilise un mécanisme de correspondance des signaux beaucoup plus fiable, qui examine le code pour vérifier s'il a une intention malveillante. De cette façon, même les menaces les plus récentes sont détectées par le scanner.

• Suppression des logiciels malveillants : si votre site a été touché par des logiciels malveillants, il peut être difficile de s'en débarrasser. Dans certains cas, vous pouvez supprimer les fichiers malveillants et réparer les fichiers du site concernés. Pour les cas plus compliqués, cependant, vous devrez peut-être faire appel à un professionnel de la sécurité expérimenté. De nombreux plugins de sécurité proposent la suppression des logiciels malveillants en tant que fonctionnalité premium pour leur expertise. MalCare est le seul à proposer une fonction fiable de suppression automatique des logiciels malveillants et un nettoyage illimité par des experts dans chaque plan.

• Pare-feu : Aucune configuration de sécurité n'est complète sans un bon pare-feu fiable. Les pare-feu agissent comme des filtres pour le trafic entrant et aident à empêcher les codes malveillants d'infiltrer votre site Web. Les pare-feu doivent être fréquemment mis à jour, conserver une liste complète des journaux et se charger avant WordPress pour être vraiment efficaces.

Autres fonctions de sécurité

• Détection de vulnérabilité : Personne ne veut découvrir que son site Web a été piraté à cause d'une faille de sécurité dont il ignorait l'existence. Un scanner de vulnérabilité peut vous aider à repérer toutes les vulnérabilités dans votre noyau WordPress, vos plugins et vos thèmes, afin que vous puissiez les corriger rapidement.

• Authentification à deux facteurs : pour vous aider à sécuriser vos comptes d'utilisateurs, il vaut la peine d'envisager l'authentification à deux facteurs (2FA). Cela ajoute une couche de sécurité supplémentaire en exigeant deux méthodes d'authentification différentes avant d'autoriser un utilisateur à se connecter. Avec 2FA, les utilisateurs ont besoin à la fois de quelque chose qu'ils connaissent (comme un nom d'utilisateur et un mot de passe) et de quelque chose qu'ils possèdent (comme un téléphone ou un jeton de sécurité) .

• Protection de connexion : Il est essentiel de protéger votre zone d'administration WordPress contre les attaques par force brute. Il s'agit de tentatives automatisées d'accès par effraction à votre compte en devinant au hasard votre nom d'utilisateur et votre mot de passe. Pour vous protéger, vous devez installer un plugin avec des fonctionnalités de protection de connexion.

• Journal d'activité : si vous souhaitez garder un œil sur ce qui se passe sur votre site Web, un journal d'activité est un excellent outil à avoir. Cela vous aidera à surveiller tous les changements qui se produisent sur votre site et à identifier rapidement tout événement de sécurité. Cela peut vous aider à réagir rapidement aux menaces et à assurer la sécurité de votre site Web.

Problèmes potentiels des plugins de sécurité

• Impact sur le serveur : les plugins de sécurité peuvent mettre à rude épreuve les ressources de votre serveur, rendant votre site plus lent et moins réactif. En effet, ils effectuent des analyses de logiciels malveillants sur votre site ou utilisent les ressources du serveur de votre site pour alimenter le pare-feu. Wordfence est le pire contrevenant sur ce front. D'autre part, MalCare est conçu pour effectuer ses analyses sur son propre serveur, il n'utilisera donc aucune de vos propres ressources. Essayez de rechercher des plugins qui ne ralentissent pas votre site Web.

Dernières pensées

iThemes ne vaut même pas le peu d'énergie qu'il faut pour l'installer. Il dispose d'un scanner de logiciels malveillants médiocre, d'aucun outil de suppression de logiciels malveillants et d'aucun pare-feu. Vous feriez mieux de l'ignorer et de rechercher des solutions de sécurité plus complètes comme MalCare.

FAQ

Quelles sont les fonctionnalités de la sécurité iThemes ?

Ils prétendent avoir beaucoup de fonctionnalités, mais ce ne sont que des cloches et des sifflets. Ils prétendent avoir un scanner de logiciels malveillants, mais ils vérifient simplement si votre site a été mis sur liste noire. Ils disent qu'ils ont la possibilité de bloquer les adresses IP, mais cela ne fonctionne pas vraiment. Ils ont une protection de connexion assez inutile, un journal d'activité incomplet, une fausse détection de vulnérabilité et des fonctionnalités de renforcement à peine utiles. La seule fonctionnalité de sécurité qui fonctionne est l'authentification à deux facteurs.

Quelle est la différence entre la sécurité Wordfence et la sécurité iThemes ?

Wordfence est le meilleur plugin de sécurité gratuit et iThemes est le pire. Wordfence dispose du pare-feu le plus à jour, d'un scanner généralement efficace et de certaines options de suppression automatisée des logiciels malveillants. iThemes n'identifie pas réellement les logiciels malveillants sur votre site, n'a pas de fonction de suppression de logiciels malveillants et pas de pare-feu.

Comment réinitialiser la sécurité de mon iThemes ?

Pour réinitialiser le mot de passe, accédez à la page de connexion au panneau des membres iThemes. Il y a une section pour réinitialiser le mot de passe. Ajoutez le nom d'utilisateur ou l'e-mail associé au compte. Vous recevrez alors un email et un lien pour réinitialiser le mot de passe valable 30 minutes.

Comment résilier mon abonnement iThemes ?

Pour annuler votre abonnement iThemes, vous devrez contacter leur équipe commerciale. Envoyez-leur un e-mail à [email protected]