• Homepage
  • Articoli
  • Guida
  • iThemes Security Review: vale la pena installarlo sul tuo sito WordPress? - MalCare

iThemes Security Review: vale la pena installarlo sul tuo sito WordPress? - MalCare

Pubblicato: 2023-04-07

iThemes Security è un plug-in di sicurezza di WordPress che offre una gamma di funzionalità progettate per proteggere i siti WordPress da vari tipi di minacce alla sicurezza. Ma vale la pena installarlo sul tuo sito web?

Fornirò una revisione approfondita di iThemes Security, valutandone l'efficacia, la facilità d'uso, la compatibilità con altri plugin di WordPress e se ne vale la pena. Alla fine di questo articolo, dovresti capire meglio se iThemes Security è la scelta giusta per le esigenze di sicurezza del tuo sito web.

Installare iThemes è praticamente come avere zero sicurezza. In effetti, direi che in realtà è peggio, perché può bloccarti del tutto. Quindi, se stai cercando un plug-in di sicurezza che protegga effettivamente il tuo sito, MalCare è sicuramente la strada da percorrere.

Panoramica

iThemes potrebbe sembrare un plug-in di sicurezza, ma mancano le tre funzionalità più importanti. Non lasciarti ingannare da tutte le 'mezze misure; sono solo per spettacolo.

Ad esempio, il loro approccio dichiarato è quello di bloccare gli attacchi prima che si verifichino, il che significa essere vigili contro le vulnerabilità sul sito, ma in realtà non fanno nulla per mettere in guardia un utente. Impedendo l'invio di e-mail di sintesi con vulnerabilità rilevate ogni settimana.

Da qualche parte in questo funhouse di un plug-in di sicurezza, ci sono alcune funzionalità di sicurezza minori che sono sia utili che funzionanti.
E poi, per aggiungere la beffa al danno, usano un altro plug-in di sicurezza per proteggere il proprio sito. Prenditi un minuto per elaborare il fatto che un sito di plug-in di sicurezza non utilizza il proprio prodotto.

Funzionalità di sicurezza critiche e iThemes

Se stai cercando un plug-in di sicurezza, ci sono alcune funzionalità di cui non puoi fare a meno: scanner di malware, pulizia del malware e firewall. Questi dovrebbero essere in cima alla tua lista quando decidi se il plugin è adatto.

Queste caratteristiche non sono negoziabili e dovrebbero essere i punti più importanti di qualsiasi recensione. Tuttavia iThemes ha indicato in vari punti del proprio sito che queste caratteristiche esatte sono estranee alla sicurezza di WordPress. Sono fortemente in disaccordo.

Scanner di malware

Iniziamo con le basi. Cerca malware? No. Verifica se Google ha inserito nella lista nera il tuo sito. Vedrai queste informazioni nella sezione dei dati grezzi dei risultati della scansione.

Mentre Google sta conducendo una scansione del malware sul tuo sito, iThemes no. iThemes ti aiuta a capire se il tuo sito è arrivato nel Rapporto sulla trasparenza di Google, chiamato colloquialmente la lista nera di Google. Non hai assolutamente bisogno di iThemes per eseguire questa scansione per te. Puoi andare sul sito di Google e ottenere tu stesso le informazioni in pochi secondi.

Considerando che lo scanner non esegue la scansione alla ricerca di malware, le scansioni automatiche sono un punto controverso. Tuttavia, è importante notare che un buon plug-in di sicurezza dovrebbe cercare malware automaticamente e regolarmente.

C'è anche una sezione "Visualizza registri" che mostra gli eventi che si sono svolti in precedenza.

Rimozione malware

iThemes non stava rilevando malware ed è ovvio che non sarebbero stati in grado di rimuovere il malware. Quindi, non è stato uno shock completo che non offrano alcun tipo di rimozione: automatica, manuale o magica.

Firewall

Sembra che iThemes non abbia un firewall, ma affermano di consentire l'inserimento nella lista nera degli IP. Peccato che non funzioni davvero. Anche la funzione di protezione dai bot è piuttosto debole e tutto ciò che fa è impedire ai robot dei motori di ricerca di indicizzare il tuo sito. L'unica cosa che fa, lo fa così male, è dannoso per il tuo sito.

Puoi vietare IP e user-agent o utilizzare un elenco di ban precompilato da hackrepair.com. Ma questi comandi possono diventare complicati perché li gestiscono nel file .htaccess o nginx.conf, quindi non è l'ideale. Questi sono file di configurazione del server e sono incredibilmente potenti. Tuttavia, il loro uso previsto è quello di personalizzare le impostazioni su base specifica del sito. Una di queste cose è la whitelist o la blacklist IP, ma questi comandi possono diventare molto ingombranti e difficili da gestire in un file di configurazione.

Il firewall, quindi, dovrebbe essere altrove.

Puoi anche inserire gli indirizzi IP in un elenco di eccezioni, ma è di utilità limitata poiché gli IP dei dispositivi cambiano continuamente. Nel complesso, non mi ha colpito.

Funzioni di sicurezza secondarie

Sembra che iThemes non possa eseguire molto bene le importanti azioni di sicurezza. Ma per quanto riguarda attività come la protezione dalla forza bruta e i registri delle attività?

Protezione dell'accesso

iThemes è grande sulla protezione della forza bruta, ma è spaventoso. Chi l'avrebbe mai detto?

Per testare questa funzione, ho impostato il plug-in per bloccarci dal mio account dopo 10 tentativi con password o nome utente errati. Ho eseguito questo test su due diversi tipi di siti. Su un sito normale, sono stato bloccato dopo 10 tentativi, ma sul sito di test compromesso, ho ricevuto fino a 100 tentativi e non sono stato bloccato. I tentativi bloccati sono stati registrati come attacchi di forza bruta di rete, mentre quelli consentiti erano attacchi di forza bruta locali.

Ho anche provato manualmente a forzare brutamente il sito normale, ma nonostante l'IP fosse stato rimosso dall'elenco dei no-ban, non ero ancora bloccato. Avrebbe dovuto bloccarmi per 15 minuti, secondo le configurazioni. Ma nessuna fortuna lì.

È interessante notare che qualsiasi accesso errato è classificato come forza bruta. La funzione di protezione dalla forza bruta di iThemes è piuttosto capricciosa e imprevedibile.

Rilevamento vulnerabilità

Se stai rilevando uno schema, probabilmente indovinerai che le affermazioni di iThemes di rilevare plug-in vulnerabili sono fasulle. Ne avevo installati diversi sui nostri siti e la scansione non ne ha rilevato neanche uno.

Quindi, come ti avverte delle vulnerabilità sul tuo sito? iThemes ti invia un'e-mail occasionale con un elenco di nuove vulnerabilità rilevate nei plug-in e nei temi in generale, quindi devi capire quali sono sul tuo sito e aggiornarli. Puoi annullare l'iscrizione all'e-mail e perdere completamente qualsiasi vulnerabilità. Questo non è affatto un approccio proattivo e spetta a te identificare le vulnerabilità sul tuo sito.

È ancora più ridicolo che abbiano una funzione di gestione delle versioni espressamente progettata per aggiornare plugin e temi obsoleti, ma sembra che non riescano ad aggiungere quali hanno vulnerabilità sulla dashboard.

Autenticazione a due fattori

L'autenticazione a due fattori su iThemes funziona esattamente come pubblicizzato. Puoi configurare l'autenticazione a due fattori con più metodi, tra cui app per dispositivi mobili, e-mail e codici di backup.

Inoltre, è possibile impostare 2FA in base ai ruoli utente, nonché password dell'applicazione separate per API REST e XML-RPC che non possono essere utilizzate per gli accessi tradizionali. Questa impostazione si trova nel profilo utente e può essere impostata da lì.

Tuttavia, per motivi di sicurezza, XML-RPC è solitamente disabilitato, limitando l'utilità di queste password separate.

Registro delle attività

Il registro delle attività dell'utente è abilitato per gli amministratori, ma sfortunatamente non tutti gli eventi vengono registrati in modo accurato, quindi è praticamente inutile.

Caratteristiche di indurimento

  • Monitoraggio dei file: allo stato attuale, questa non è una funzionalità su cui fare affidamento per la sicurezza. Puoi monitorare file e cartelle per modifiche impreviste, ma ci sono alcuni problemi con questo. Devi sapere quali file monitorare ed essere in grado di distinguere i cambiamenti positivi da quelli negativi. Inoltre, gli hacker possono alterare le date di modifica dei file, quindi non sono sicuro di come questa funzione lo gestirà.

    L'elenco di esclusione delle estensioni di file include anche jpeg e ico, che sono noti per contenere malware, il che non è utile. Inoltre, non rileva installazioni di plug-in/temi, aggiornamenti di plug-in o modifiche a post e pagine.
  • Strumenti di rafforzamento: le opzioni in questa sezione. Ad esempio, puoi modificare il prefisso del database e modificare i sali di WordPress da qui, il che è carino. Di solito usi il generatore di WordPress per farlo, e poi devi cambiare manualmente i sali nel file wp-config, quindi questo è uno strumento utile. Il 'Controlla i permessi dei file' è utile anche se non sai dove cercare quelle informazioni. Ma non puoi modificare le autorizzazioni qui e non c'è alcuna indicazione su come farlo. La funzione per identificare gli IP del server ti aiuta a capire qual è il tuo IP in modo da poterlo aggiungere all'elenco dei no-ban. Questo è nel migliore dei casi un fronzolo, poiché può essere fatto altrettanto facilmente altrove.

  • Blocca l'esecuzione di PHP nella cartella dei caricamenti, nelle cartelle dei plug-in e nelle cartelle dei temi: dalla descrizione, sembra che iThemes blocchi le richieste esterne agli script PHP. È utile per un tipo di hack, quindi consiglio di usarlo per la cartella dei caricamenti. Ma plugin e temi avranno sicuramente script, quindi dipende dal sito se ha senso o meno bloccarli. Se i file non vengono chiamati direttamente da lì, ma usano invece qualcosa come admin-ajax, allora va bene. Ma alcuni plugin hanno script a cui è necessario accedere direttamente e questi si interromperanno. È difficile per un utente normale determinarlo.

Installazione e configurazione di iThemes

Finora non ho avuto molta fortuna con le funzionalità di sicurezza. Ma per quanto riguarda l'usabilità; è facile da installare e configurare?

Installazione

Installare la versione gratuita è molto semplice, anche se c'è un processo di installazione lungo e in definitiva non necessario. Per la versione pro è necessario registrarsi per una licenza e scaricare il plug-in dal loro sito.

Facilità d'uso

iThemes è davvero confuso da usare. Il gergo tecnico e le impostazioni complesse rendono difficile la comprensione per gli utenti di tutti i giorni. Inoltre non sembra fare ciò che afferma. Un pollice in giù per l'usabilità.

Notifiche e avvisi

Nessun avviso. Sono tutto per evitare avvisi eccessivi, ma con iThemes, indipendentemente dalle impostazioni che provi a modificare, non ne riceverai. Anche se vuoi le notifiche, non le riceverai.

Gestione utenti

Certo, puoi configurare le impostazioni di sicurezza in base ai ruoli utente, ma molte di esse sono ridondanti. Le password complesse, ad esempio, dovrebbero essere fornite a tutti gli utenti. Ci sono una miriade di opzioni, che a prima vista sembrano impressionanti, ma realisticamente non è necessario entrare nei dettagli granulari. Perché, se un account a livello utente viene violato, gli hacker possono potenzialmente aumentare i propri privilegi a livello di amministratore. La conclusione è che questa funzione non è così utile come sembra.

Altri fattori da considerare

iThemes non è molto un plugin di sicurezza. Ma, oltre alla sicurezza, ci sono alcuni altri fattori da considerare quando si sceglie iThemes. Qui parlerò dell'impatto del plugin sul server e se il supporto è buono.

Impatto sulle risorse del server

Quando si tratta di risorse del server, iThemes ottiene un punteggio perfetto. Non c'è alcun impatto: è così leggero che è quasi come se il plugin non fosse nemmeno lì o non stesse facendo nulla. Quelle tracce.

Aiuto e supporto

Per quanto riguarda l'aiuto e il supporto, non l'ho testato da solo. Tuttavia, esaminare le recensioni sul repository di WordPress indica che non è eccezionale.

Prezzi

Il prezzo di iThemes è cambiato di recente e non ha molto senso. In precedenza, avevano un piano di livello superiore per siti illimitati. Ora, i piani vanno da $ 99 per 1 sito a $ 299 per 10 siti. Che si tratti di prezzi vecchi o nuovi, iThemes è sicuramente uno spreco di denaro.

Quali sono le migliori alternative a iThemes?

Dato che ho criticato iThemes in questa recensione, hai bisogno di opzioni. Quali sono i migliori plugin per la sicurezza di WordPress? Ecco le scelte migliori:

  • MalCare: MalCare è il miglior plug-in di sicurezza in circolazione; lo scanner è estremamente preciso, il firewall è affidabile e un programma di pulizia malware automatico è molto efficace. Ogni piano include la rimozione illimitata del malware da parte di un team di esperti di sicurezza. Oltre all'autenticazione a due fattori, in MalCare troverai tutte le principali e minori funzionalità di sicurezza di WordPress. Non puoi sbagliare.
  • Wordfence : la versione gratuita di Wordfence offre una protezione piuttosto buona, inclusi uno scanner e un firewall. Il firewall viene aggiornato regolarmente, ma la versione gratuita è in ritardo rispetto a quella premium. Se viene rilevato contenuto dannoso, sarà necessario l'aggiornamento a un piano più costoso per rimuoverlo in modo sicuro.
  • Sucuri: tutti i piani a pagamento di Sucuri sono dotati di rimozione illimitata del malware. Lo svantaggio è che lo scanner non è sempre accurato, quindi dovrai essere a conoscenza di eventuali potenziali problemi di malware prima di poter far funzionare la funzione di rimozione.

Come scegliere un plugin di sicurezza per WordPress?

Scegliere il plug-in di sicurezza perfetto per il tuo sito Web può essere una sfida. Con così tante soluzioni là fuori, può essere difficile sapere quale sia la soluzione giusta per le tue esigenze. In questa sezione, esaminerò le funzionalità chiave da considerare quando si decide su un plug-in di sicurezza, inclusi strumenti di scansione, strumenti di protezione da malware, firewall e altro.

Funzionalità di sicurezza fondamentali

  • Scansione di malware: cercare di stare al passo con i cattivi può sembrare un gioco senza fine al gatto col topo. Per fortuna, esistono modi efficaci per rilevare automaticamente il malware sui siti.

    Tuttavia, non tutti i metodi utilizzati dai plug-in di sicurezza per identificare il malware sono ugualmente efficaci. Ad esempio, il meccanismo di corrispondenza delle firme utilizzato da Wordfence confronta il codice di qualsiasi malware sospetto con un database di firme di malware note. Il database deve essere aggiornato regolarmente in modo da rilevare le minacce. Come puoi immaginare, i nuovi malware e le minacce zero-day non vengono rilevati. MalCare utilizza un meccanismo di corrispondenza del segnale molto più affidabile, che esamina il codice per verificare se ha intenti dannosi. In questo modo, anche le minacce più recenti vengono rilevate dallo scanner.
  • Rimozione di malware: se il tuo sito è stato colpito da malware, può essere difficile eliminarlo. In alcuni casi, è possibile eliminare i file dannosi e riparare i file del sito interessato. Per i casi più complicati, tuttavia, potrebbe essere necessario avvalersi dell'aiuto di un professionista della sicurezza esperto. Molti plug-in di sicurezza offrono la rimozione del malware come funzionalità premium per la loro esperienza. MalCare è l'unico con un'affidabile funzione di rimozione automatica del malware e una pulizia illimitata da parte di esperti in ogni piano.
  • Firewall: nessuna configurazione di sicurezza è completa senza un firewall valido e affidabile. I firewall fungono da filtri per il traffico in entrata e aiutano a impedire che il codice dannoso si infiltri nel tuo sito web. I firewall dovrebbero essere aggiornati frequentemente, mantenere un elenco completo di registri e caricarsi prima di WordPress per essere davvero efficaci.

Altre caratteristiche di sicurezza

  • Rilevamento vulnerabilità: nessuno vuole scoprire che il proprio sito Web è stato violato a causa di una falla di sicurezza di cui non sapeva l'esistenza. Uno scanner di vulnerabilità può aiutarti a individuare eventuali vulnerabilità nel core, nei plug-in e nei temi di WordPress, in modo da poterli correggere rapidamente.
  • Autenticazione a due fattori: per proteggere i tuoi account utente, vale la pena considerare l'autenticazione a due fattori (2FA). Ciò aggiunge un ulteriore livello di sicurezza richiedendo due diversi metodi di autenticazione prima di consentire a un utente di accedere. Con 2FA, gli utenti hanno bisogno sia di qualcosa che conoscono (come un nome utente e una password) sia di qualcosa che hanno (come un telefono o un token di sicurezza) .
  • Protezione dell'accesso: è essenziale proteggere la tua area di amministrazione di WordPress dagli attacchi di forza bruta. Questi sono tentativi automatici di entrare nel tuo account indovinando in modo casuale il tuo nome utente e password. Per proteggerti, dovresti installare un plug-in con funzionalità di protezione dell'accesso.
  • Registro delle attività: se vuoi tenere d'occhio ciò che accade sul tuo sito web, un registro delle attività è un ottimo strumento da avere. Ti aiuterà a monitorare tutte le modifiche che si verificano sul tuo sito e identificare rapidamente eventuali eventi di sicurezza. Questo può aiutarti a rispondere rapidamente alle minacce e a mantenere il tuo sito web sicuro e protetto.

Potenziali problemi dei plugin di sicurezza

  • Impatto sul server: i plug-in di sicurezza possono mettere a dura prova le risorse del server, rendendo il tuo sito più lento e meno reattivo. Questo perché eseguono scansioni di malware sul tuo sito o utilizzano le risorse del server del tuo sito per alimentare il firewall. Wordfence è il peggior trasgressore su questo fronte. D'altra parte, MalCare è progettato per eseguire le sue scansioni sul proprio server, quindi non utilizzerà nessuna delle tue risorse. Prova a cercare plugin che non rallentino il tuo sito web.

Pensieri finali

iThemes non vale nemmeno la poca energia necessaria per l'installazione. Ha uno scanner di malware scadente, nessuno strumento di rimozione del malware e nessun firewall. Faresti meglio a saltarlo e cercare soluzioni di sicurezza più complete come MalCare.

Domande frequenti

Quali sono le caratteristiche della sicurezza di iThemes?

Sostengono di avere molte funzionalità, ma sono tutte campane e fischietti. Sostengono di avere uno scanner di malware ma stanno solo controllando se il tuo sito è stato inserito nella lista nera. Dicono di avere un'opzione per bloccare gli IP ma in realtà non funziona. Hanno una protezione di accesso piuttosto inutile, un registro delle attività incompleto, un falso rilevamento delle vulnerabilità e funzionalità di rafforzamento a malapena utili. L'unica funzione di sicurezza che funziona è l'autenticazione a due fattori.

Qual è la differenza tra la sicurezza di Wordfence e la sicurezza di iThemes?

Wordfence è il miglior plugin di sicurezza gratuito e iThemes è il peggiore. Wordfence ha il firewall più aggiornato, uno scanner per lo più efficace e alcune opzioni di rimozione automatica del malware. iThemes in realtà non identifica il malware sul tuo sito, non ha una funzione di rimozione del malware e nessun firewall.

Come resetto la sicurezza di iThemes?

Per reimpostare la password, vai alla pagina di accesso al pannello membri di iThemes. C'è una sezione per reimpostare la password. Aggiungi il nome utente o l'indirizzo email associato all'account. Riceverai quindi un'e-mail e un link per reimpostare la password che è valida per 30 minuti.

Come posso cancellare il mio abbonamento a iThemes?

Per annullare l'abbonamento a iThemes, dovrai contattare il loro team di vendita. Inviali via email a [email protected]