• Beranda
  • Artikel
  • Memandu
  • Tinjauan Keamanan iThemes: Apakah Layak Dipasang di Situs WordPress Anda? - MalCare

Tinjauan Keamanan iThemes: Apakah Layak Dipasang di Situs WordPress Anda? - MalCare

Diterbitkan: 2023-04-07

Keamanan iThemes adalah plugin keamanan WordPress yang menawarkan serangkaian fitur yang dirancang untuk melindungi situs WordPress dari berbagai jenis ancaman keamanan. Tetapi apakah itu layak dipasang di situs web Anda?

Saya akan memberikan ulasan mendalam tentang Keamanan iThemes, menilai keefektifannya, kemudahan penggunaan, kompatibilitas dengan plugin WordPress lainnya, dan apakah itu sepadan dengan biayanya. Di akhir artikel ini, Anda akan memiliki pemahaman yang lebih baik tentang apakah Keamanan iThemes adalah pilihan yang tepat untuk kebutuhan keamanan situs web Anda.

Menginstal iThemes hampir sama dengan tidak memiliki keamanan. Bahkan, saya berpendapat itu sebenarnya lebih buruk, karena itu bisa mengunci Anda sama sekali. Jadi, jika Anda mencari plugin keamanan yang benar-benar akan melindungi situs Anda, MalCare adalah cara yang tepat.

Ringkasan

iThemes mungkin terlihat seperti plugin keamanan, tetapi tidak memiliki tiga fitur terpenting. Jangan tertipu oleh semua 'setengah-setengah'; mereka hanya untuk pertunjukan.

Misalnya, pendekatan yang mereka nyatakan adalah memblokir serangan sebelum terjadi, yaitu waspada terhadap kerentanan di situs, tetapi sebenarnya mereka tidak melakukan apa pun untuk memperingatkan pengguna. Membatasi mengirimi mereka email intisari dengan kerentanan yang ditemukan setiap minggu.

Di suatu tempat di funhouse plugin keamanan ini, ada beberapa fitur keamanan kecil yang berguna dan berfungsi.
Dan kemudian, untuk menambah penghinaan, mereka menggunakan plugin keamanan lain untuk mengamankan situs mereka sendiri. Luangkan waktu sebentar untuk memproses fakta bahwa situs plugin keamanan tidak menggunakan produk mereka sendiri.

Fitur keamanan penting dan iThemes

Jika Anda mencari plugin keamanan, ada fitur tertentu yang tidak dapat Anda lakukan tanpanya: pemindai malware, pembersih malware, dan firewall. Ini harus menjadi yang teratas dalam daftar Anda saat memutuskan apakah plugin tersebut cocok.

Fitur-fitur ini tidak dapat dinegosiasikan, dan harus menjadi poin terpenting dari setiap ulasan. Namun iThemes telah mengindikasikan di berbagai tempat di situs mereka bahwa fitur persis ini tidak ada hubungannya dengan keamanan WordPress. Saya sangat tidak setuju.

Pemindai malware

Mari kita mulai dengan dasar-dasarnya. Apakah itu memindai malware? Tidak. Ini memeriksa untuk melihat apakah Google telah memasukkan situs Anda ke dalam daftar hitam. Anda akan melihat informasi ini di bagian data mentah dari hasil pemindaian.

Saat Google melakukan pemindaian malware di situs Anda, iThemes tidak. iThemes membantu Anda mengetahui apakah situs Anda telah masuk ke Laporan Transparansi Google, bahasa sehari-hari disebut daftar hitam Google. Anda sama sekali tidak memerlukan iThemes untuk menjalankan pemindaian ini untuk Anda. Anda dapat membuka situs Google dan mendapatkan infonya sendiri dalam hitungan detik.

Mengingat pemindai tidak memindai malware, pemindaian otomatis adalah poin yang bisa diperdebatkan. Namun, penting untuk diperhatikan bahwa plugin keamanan yang baik harus memindai malware secara otomatis dan teratur.

Ada juga bagian "Lihat Log" yang menunjukkan peristiwa yang terjadi sebelumnya.

Penghapusan malware

iThemes tidak mendeteksi malware dan masuk akal bahwa mereka tidak akan dapat menghapus malware tersebut. Jadi, tidak terlalu mengejutkan bahwa mereka tidak menawarkan penghapusan apa pun: otomatis, manual, atau magis.

Tembok api

Sepertinya iThemes tidak memiliki firewall, tetapi mereka mengklaim mengizinkan daftar hitam IP. Sayang sekali itu tidak benar-benar berfungsi. Fitur perlindungan bot juga cukup lemah, dan yang dilakukannya hanyalah mencegah bot mesin telusur mengindeks situs Anda. Satu hal yang dilakukannya, sangat buruk, itu merugikan situs Anda.

Anda dapat mencekal IP dan agen pengguna, atau menggunakan daftar larangan yang telah diisi sebelumnya dari hackrepair.com. Tapi perintah ini bisa rumit karena mereka mengaturnya di file .htaccess atau nginx.conf, jadi itu tidak ideal. Ini adalah file konfigurasi server dan sangat kuat. Namun tujuan penggunaannya adalah untuk menyesuaikan pengaturan berdasarkan situs tertentu. Salah satunya adalah daftar putih atau daftar hitam IP, tetapi perintah tersebut bisa menjadi sangat berat dan sulit dikelola dalam file konfigurasi.

Oleh karena itu, firewall harus ada di tempat lain.

Anda juga dapat memasukkan alamat IP dalam daftar pengecualian, tetapi penggunaannya terbatas karena IP perangkat selalu berubah. Secara keseluruhan, tidak terkesan.

Fitur keamanan sekunder

Sepertinya iThemes tidak dapat melakukan tindakan keamanan penting dengan sangat baik. Tapi bagaimana dengan tugas-tugas seperti perlindungan brute force dan log aktivitas?

Perlindungan masuk

iThemes besar dalam perlindungan brute force, tetapi buruk dalam hal itu. Siapa sangka?

Untuk menguji fitur ini, saya menyiapkan plugin untuk mengunci kami dari akun saya setelah 10 upaya dengan kata sandi atau nama pengguna yang salah. Saya menjalankan tes ini pada dua jenis situs yang berbeda. Di situs normal, saya dikunci setelah 10 percobaan, namun di situs pengujian yang diretas, saya mendapat hingga 100 percobaan dan tidak diblokir. Upaya yang diblokir dicatat sebagai serangan brute force jaringan, sedangkan yang diizinkan adalah serangan brute force lokal.

Saya bahkan mencoba secara manual memaksa situs normal, tetapi meskipun IP dihapus dari daftar larangan, saya masih tidak diblokir. Seharusnya mengunci saya selama 15 menit, sesuai dengan konfigurasi. Tapi tidak beruntung di sana.

Sangat menarik untuk dicatat bahwa login yang salah dikategorikan sebagai brute force. Fitur perlindungan brute force iThemes cukup temperamental dan tidak dapat diprediksi.

Deteksi kerentanan

Jika Anda merasakan suatu pola, Anda mungkin akan menebak bahwa klaim iThemes untuk mendeteksi plugin yang rentan adalah palsu. Saya telah menginstal beberapa di situs kami dan pemindaian tidak mendeteksi satu pun.

Jadi bagaimana cara memperingatkan Anda tentang kerentanan di situs Anda? iThemes sesekali mengirimi Anda email dengan daftar kerentanan baru yang terdeteksi di plugin dan tema secara keseluruhan, jadi Anda harus mencari tahu mana yang ada di situs Anda dan memperbaruinya. Anda dapat berhenti berlangganan dari email dan sepenuhnya melewatkan kerentanan apa pun. Ini sama sekali bukan pendekatan proaktif dan tanggung jawab ada pada Anda untuk mengidentifikasi kerentanan di situs Anda.

Lebih menggelikan lagi bahwa mereka memiliki fitur manajemen versi yang secara jelas dirancang untuk memperbarui plugin dan tema yang kedaluwarsa, tetapi tampaknya mereka tidak dapat menambahkan mana yang memiliki kerentanan di dasbor.

Otentikasi dua faktor

Autentikasi dua faktor di iThemes berfungsi persis seperti yang diiklankan. Anda dapat menyiapkan autentikasi dua faktor dengan beberapa metode, termasuk aplikasi seluler, email, dan kode cadangan.

Selain itu, dimungkinkan untuk mengatur 2FA berdasarkan peran pengguna, serta kata sandi aplikasi terpisah untuk REST API dan XML-RPC yang tidak dapat digunakan untuk login tradisional. Pengaturan ini dapat ditemukan di profil pengguna, dan dapat diatur dari sana.

Namun, karena masalah keamanan, XML-RPC biasanya dinonaktifkan, sehingga membatasi penggunaan kata sandi terpisah ini.

Log aktivitas

Log aktivitas pengguna diaktifkan untuk admin, tetapi sayangnya tidak semua peristiwa dicatat secara akurat, jadi sangat tidak berguna.

Fitur pengerasan

  • Pemantauan File: Seperti berdiri, ini bukan fitur yang dapat Anda andalkan untuk keamanan. Anda dapat memantau file dan folder untuk perubahan yang tidak terduga, tetapi ada beberapa masalah dengan ini. Anda perlu mengetahui file mana yang harus dipantau dan dapat mengetahui perubahan yang baik dari perubahan yang buruk. Selain itu, peretas dapat mengubah tanggal modifikasi file, jadi saya tidak yakin bagaimana fitur ini akan mengatasinya.

    Daftar pengecualian ekstensi file juga menyertakan jpeg dan ico, yang diketahui membawa malware, yang tidak membantu. Itu juga tidak mendeteksi pemasangan plugin/tema, pembaruan plugin, atau perubahan pada posting dan halaman.
  • Alat pengerasan: Opsi di bagian ini. Misalnya, Anda dapat mengubah awalan basis data, dan mengubah garam WordPress Anda dari sini, itu bagus. Anda biasanya menggunakan generator WordPress untuk melakukan itu, dan kemudian harus mengubah garam secara manual di file wp-config, jadi ini adalah alat yang berguna. 'Periksa izin file' juga membantu jika Anda tidak tahu di mana harus mencari info tersebut. Tetapi Anda tidak dapat mengubah izin di sini dan tidak ada indikasi bagaimana melakukannya. Fitur untuk mengidentifikasi IP server membantu Anda mengetahui IP Anda sehingga Anda dapat menambahkannya ke daftar larangan. Ini adalah embel-embel terbaik, karena dapat dilakukan di tempat lain dengan mudah.

  • Blokir eksekusi PHP di folder unggahan, folder plugin, dan folder tema: Dari uraiannya, sepertinya iThemes memblokir permintaan eksternal ke skrip PHP. Ini berguna untuk satu jenis peretasan, jadi saya sarankan menggunakannya untuk folder unggahan. Tetapi plugin dan tema pasti memiliki skrip, jadi tergantung pada situs apakah masuk akal untuk memblokirnya atau tidak. Jika file tidak dipanggil langsung dari sana, melainkan menggunakan sesuatu seperti admin-ajax, maka tidak apa-apa. Tetapi beberapa plugin memiliki skrip yang perlu diakses langsung, dan ini akan rusak. Sulit bagi pengguna biasa untuk menentukan ini.

Menginstal dan mengkonfigurasi iThemes

Sejauh ini, saya kurang beruntung dengan fitur keamanannya. Tapi bagaimana dengan kegunaan; apakah mudah untuk menginstal dan mengkonfigurasi?

Instalasi

Menginstal versi gratisnya sangat mudah, meskipun ada proses penyiapan yang panjang dan akhirnya tidak perlu. Untuk versi pro, Anda perlu mendaftar lisensi dan mengunduh plugin dari situs mereka.

Kemudahan penggunaan

iThemes sangat membingungkan untuk digunakan. Jargon teknis dan pengaturan yang rumit menyulitkan pengguna sehari-hari untuk memahaminya. Itu juga tampaknya tidak melakukan apa yang diklaimnya. Jempol ke bawah untuk kegunaan.

Notifikasi dan peringatan

Tidak ada peringatan sama sekali. Saya semua untuk menghindari peringatan yang berlebihan, tetapi dengan iThemes apa pun pengaturan yang Anda coba dan ubah, Anda tidak akan mendapatkannya. Bahkan jika Anda menginginkan notifikasi, Anda tidak akan mendapatkannya.

Manajemen pengguna

Tentu, Anda dapat menyetel setelan keamanan berdasarkan peran pengguna, tetapi banyak di antaranya berlebihan. Kata sandi yang kuat, misalnya, harus diberikan untuk semua pengguna. Ada banyak pilihan, yang terlihat mengesankan pada pandangan pertama, tetapi secara realistis, Anda tidak perlu masuk ke detail terperinci. Karena, jika satu akun tingkat pengguna diretas, peretas berpotensi meningkatkan hak istimewanya ke tingkat admin. Intinya adalah fitur ini tidak membantu seperti kelihatannya.

Faktor lain yang perlu dipertimbangkan

iThemes bukanlah plugin keamanan. Namun, selain keamanan, ada beberapa faktor lain yang perlu dipertimbangkan saat memilih iThemes. Di sini, saya akan berbicara tentang pengaruh plugin pada server dan apakah dukungannya bagus.

Dampak pada sumber daya server

Dalam hal sumber daya server, iThemes mendapat skor sempurna. Tidak ada dampak sama sekali: sangat ringan sehingga hampir seperti plugin tidak ada atau melakukan apa pun. Lagu itu.

Bantuan dan dukungan

Adapun bantuan dan dukungan, saya tidak mengujinya sendiri. Namun, melihat ulasan di repositori WordPress menunjukkan bahwa itu tidak bagus.

Harga

Harga untuk iThemes baru-baru ini berubah, dan itu tidak masuk akal. Sebelumnya, mereka memiliki paket tingkat atas untuk situs tak terbatas. Sekarang, paket berkisar dari $99 untuk 1 situs hingga $299 untuk 10 situs. Apakah harga lama atau baru, iThemes jelas membuang-buang uang.

Apa alternatif terbaik untuk iThemes?

Karena saya telah mengecam iThemes dalam ulasan ini, Anda memerlukan opsi. Manakah plugin terbaik untuk keamanan WordPress? Berikut adalah pilihan teratas:

  • MalCare: MalCare adalah plugin keamanan terbaik di luar sana; pemindainya sangat akurat, firewallnya andal, dan pembersih malware otomatis sangat efektif. Setiap paket mencakup penghapusan malware tanpa batas oleh tim ahli keamanan. Terlepas dari autentikasi dua faktor, Anda akan menemukan setiap fitur keamanan WordPress mayor dan minor di MalCare. Anda tidak bisa salah dengan itu.
  • Wordfence : Versi gratis Wordfence menawarkan perlindungan yang cukup bagus, termasuk pemindai dan firewall. Firewall diperbarui secara berkala, tetapi versi gratisnya tertinggal dari versi premium. Jika konten berbahaya ditemukan, diperlukan pemutakhiran ke paket yang lebih mahal untuk menghapusnya dengan aman.
  • Sucuri: Semua paket berbayar Sucuri dilengkapi dengan penghapusan malware tanpa batas. Sisi negatifnya adalah pemindai tidak selalu akurat, jadi Anda harus mengetahui potensi masalah malware sebelum Anda dapat mengaktifkan fitur penghapusan.

Bagaimana cara memilih plugin keamanan untuk WordPress?

Memilih plugin keamanan yang sempurna untuk situs web Anda bisa menjadi suatu tantangan. Dengan begitu banyak solusi di luar sana, sulit untuk mengetahui mana yang tepat untuk kebutuhan Anda. Di bagian ini, saya akan membahas fitur utama yang harus Anda pertimbangkan saat memutuskan plugin keamanan, termasuk alat pemindaian, alat perlindungan malware, firewall, dan banyak lagi.

Fitur keamanan penting

  • Pemindaian malware: Mencoba untuk tetap berada di depan orang jahat bisa terasa seperti permainan kucing dan tikus tanpa akhir. Untungnya, ada cara efektif untuk mendeteksi malware secara otomatis di situs.

    Namun, tidak semua metode yang digunakan plugin keamanan untuk mengidentifikasi malware sama efektifnya. Misalnya, mekanisme pencocokan tanda tangan yang digunakan oleh Wordfence membandingkan kode malware yang dicurigai dengan database tanda tangan malware yang dikenal. Basis data harus diperbarui secara berkala agar ancaman terdeteksi. Seperti yang dapat Anda bayangkan, malware baru dan ancaman zero-day tidak tertangkap. MalCare menggunakan mekanisme pencocokan sinyal yang jauh lebih andal, yang meninjau kode untuk memeriksa apakah ada niat jahat. Dengan cara ini, ancaman terbaru pun dapat ditangkap oleh pemindai.
  • Penghapusan malware: Jika situs Anda terkena malware, mungkin sulit untuk dihilangkan. Dalam beberapa kasus, Anda dapat menghapus file berbahaya dan memperbaiki file situs yang terpengaruh. Namun, untuk kasus yang lebih rumit, Anda mungkin perlu meminta bantuan ahli keamanan yang berpengalaman. Banyak plugin keamanan menawarkan penghapusan malware sebagai fitur premium untuk keahlian mereka. MalCare adalah satu-satunya yang memiliki fitur penghapusan malware otomatis yang andal, dan pembersihan tanpa batas oleh para ahli di setiap paket.
  • Firewall: Tidak ada pengaturan keamanan yang lengkap tanpa firewall yang bagus dan andal. Firewall bertindak sebagai filter untuk lalu lintas masuk dan membantu mencegah kode berbahaya menyusup ke situs web Anda. Firewall harus sering diperbarui, memelihara daftar log yang lengkap, dan memuat sebelum WordPress agar benar-benar efektif.

Fitur keamanan lainnya

  • Deteksi kerentanan: Tidak ada yang ingin mengetahui bahwa situs web mereka telah diretas karena lubang keamanan yang tidak mereka ketahui keberadaannya. Pemindai kerentanan dapat membantu Anda menemukan kerentanan apa pun di inti, plugin, dan tema WordPress Anda, sehingga Anda dapat menambalnya dengan cepat.
  • Autentikasi dua faktor: Untuk membantu menjaga keamanan akun pengguna Anda, ada baiknya mempertimbangkan autentikasi dua faktor (2FA). Ini menambah lapisan keamanan ekstra dengan meminta dua metode autentikasi yang berbeda sebelum mengizinkan pengguna untuk masuk. Dengan 2FA, pengguna memerlukan sesuatu yang mereka ketahui (seperti nama pengguna dan kata sandi) dan sesuatu yang mereka miliki (seperti telepon atau token keamanan) .
  • Perlindungan login: Sangat penting untuk melindungi area admin WordPress Anda dari serangan brute force. Ini adalah upaya otomatis untuk membobol akun Anda dengan menebak nama pengguna dan kata sandi Anda secara acak. Untuk melindungi diri Anda sendiri, Anda harus memasang plugin dengan fitur perlindungan login.
  • Log aktivitas: Jika Anda ingin mengawasi apa yang terjadi di situs web Anda, log aktivitas adalah alat yang hebat untuk dimiliki. Ini akan membantu Anda memantau semua perubahan yang terjadi di situs Anda dan mengidentifikasi peristiwa keamanan apa pun dengan cepat. Ini dapat membantu Anda merespons ancaman dengan cepat dan menjaga situs web Anda tetap aman dan terlindungi.

Potensi masalah plugin keamanan

  • Dampak server: Plugin keamanan dapat membebani sumber daya server Anda, membuat situs Anda lebih lambat dan kurang responsif. Ini karena mereka melakukan pemindaian malware di situs Anda, atau menggunakan sumber daya server situs Anda untuk menyalakan firewall. Wordfence adalah pelanggar terburuk di bagian depan ini. Di sisi lain, MalCare dirancang untuk melakukan pemindaian di servernya sendiri, sehingga tidak akan menggunakan sumber daya Anda sendiri. Cobalah untuk mencari plugin yang tidak memperlambat website Anda.

Pikiran terakhir

iThemes bahkan tidak sebanding dengan sedikit energi yang diperlukan untuk menginstal. Ini memiliki pemindai malware yang buruk, tidak ada alat penghapus malware, dan tidak ada firewall. Sebaiknya Anda melewatkannya dan melihat solusi keamanan yang lebih komprehensif seperti MalCare.

FAQ

Apa saja fitur keamanan iThemes?

Mereka mengklaim memiliki banyak fitur tapi itu semua lonceng dan peluit. Mereka mengklaim memiliki pemindai malware tetapi mereka hanya memeriksa untuk melihat apakah situs Anda masuk daftar hitam. Mereka mengatakan mereka memiliki opsi untuk memblokir IP tetapi tidak benar-benar berfungsi. Mereka memiliki perlindungan masuk yang sangat tidak berguna, log aktivitas yang tidak lengkap, deteksi kerentanan palsu, dan fitur pengerasan yang hampir tidak berguna. Satu-satunya fitur keamanan yang berfungsi adalah autentikasi dua faktor.

Apa perbedaan antara keamanan Wordfence dan keamanan iThemes?

Wordfence adalah plugin keamanan gratis terbaik dan iThemes adalah yang terburuk. Wordfence memiliki firewall terbaru, pemindai paling efektif, dan beberapa opsi penghapusan malware otomatis. iThemes sebenarnya tidak mengidentifikasi malware di situs Anda, tidak memiliki fungsi penghapusan malware, dan tidak ada firewall.

Bagaimana cara mereset keamanan iThemes saya?

Untuk mengatur ulang kata sandi, buka halaman Login Panel Anggota iThemes. Ada bagian untuk mengatur ulang kata sandi. Tambahkan nama pengguna atau email yang terkait dengan akun. Anda kemudian akan menerima email dan tautan untuk mengatur ulang kata sandi yang berlaku selama 30 menit.

Bagaimana cara membatalkan langganan iThemes saya?

Untuk membatalkan langganan iThemes Anda, Anda harus menghubungi tim penjualan mereka. Email mereka di [email protected]