iThemes 보안 검토: WordPress 사이트에 설치할 가치가 있습니까? - MalCare
게시 됨: 2023-04-07iThemes Security는 다양한 유형의 보안 위협으로부터 WordPress 사이트를 보호하도록 설계된 다양한 기능을 제공하는 WordPress 보안 플러그인입니다. 그러나 귀하의 웹 사이트에 설치할 가치가 있습니까?
iThemes Security에 대한 심층적인 리뷰를 제공하여 그 효과, 사용 편의성, 다른 WordPress 플러그인과의 호환성 및 비용 가치가 있는지 평가합니다. 이 기사가 끝날 때까지 iThemes Security가 웹 사이트의 보안 요구 사항에 적합한 선택인지 더 잘 이해해야 합니다.
iThemes를 설치하는 것은 보안이 전혀 없는 것과 거의 같습니다. 사실, 나는 그것이 당신을 완전히 잠글 수 있기 때문에 실제로 더 나쁘다고 주장합니다. 따라서 사이트를 실제로 보호해 줄 보안 플러그인을 찾고 있다면 MalCare가 정답입니다.
개요
iThemes는 보안 플러그인처럼 보일 수 있지만 가장 중요한 세 가지 기능이 없습니다. 모든 '절반 조치'에 속지 마십시오. 그들은 단지 보여주기 위한 것입니다.
예를 들어, 그들이 명시한 접근 방식은 공격이 발생하기 전에 차단하여 사이트의 취약성에 대해 경계하는 것이지만 실제로는 사용자에게 주의를 주기 위한 조치를 취하지 않습니다. 매주 발견된 취약점이 포함된 다이제스트 이메일을 보내는 것을 금지합니다.
이 보안 플러그인의 펀하우스 어딘가에는 유용하고 작동하는 몇 가지 사소한 보안 기능이 있습니다.
그런 다음 부상에 모욕을 더하기 위해 다른 보안 플러그인을 사용하여 자신의 사이트를 보호합니다. 보안 플러그인 사이트가 자체 제품을 사용하지 않는다는 사실을 처리하는 데 잠시 시간을 내십시오.
중요한 보안 기능 및 iThemes
보안 플러그인을 찾고 있다면 맬웨어 스캐너, 맬웨어 클리너 및 방화벽과 같이 없이는 할 수 없는 특정 기능이 있습니다. 플러그인이 적합한지 결정할 때 목록의 맨 위에 있어야 합니다.
이러한 기능은 타협할 수 없으며 모든 검토에서 가장 중요한 포인트가 되어야 합니다. 그러나 iThemes는 사이트의 여러 위치에서 이러한 정확한 기능이 WordPress 보안과 무관하다고 표시했습니다. 동의하지 않습니다.
맬웨어 스캐너
기본부터 시작하겠습니다. 맬웨어를 검사합니까? 아니요. Google이 귀하의 사이트를 블랙리스트에 올렸는지 확인합니다. 스캔 결과의 원시 데이터 섹션에서 이 정보를 볼 수 있습니다.
Google이 귀하의 사이트에서 맬웨어 검사를 수행하는 동안 iThemes는 그렇지 않습니다. iThemes는 귀하의 사이트가 구어체로 Google 블랙리스트라고 하는 Google 투명성 보고서에 포함되었는지 파악하는 데 도움을 줍니다. 이 스캔을 실행하기 위해 iThemes가 절대적으로 필요하지 않습니다. Google 사이트로 이동하여 문자 그대로 몇 초 안에 직접 정보를 얻을 수 있습니다.
스캐너가 맬웨어를 검색하지 않는다는 점을 고려하면 자동 검색은 논점입니다. 그러나 우수한 보안 플러그인은 맬웨어를 정기적으로 자동으로 검색해야 한다는 점에 유의해야 합니다.
이전에 발생한 이벤트를 보여주는 "로그 보기" 섹션도 있습니다.
맬웨어 제거
iThemes는 맬웨어를 감지하지 못했고 맬웨어를 제거할 수 없는 이유가 있습니다. 따라서 자동, 수동 또는 마법과 같은 어떤 종류의 제거도 제공하지 않는다는 것은 완전한 충격이 아니었습니다.
방화벽
iThemes에는 방화벽이 없는 것 같지만 IP 블랙리스트를 허용한다고 주장합니다. 안타깝게도 실제로 작동하지 않습니다. 봇 보호 기능도 매우 약하며 검색 엔진 봇이 귀하의 사이트를 인덱싱하지 못하도록 막는 것뿐입니다. 그것이하는 한 가지는 너무 나쁘게 수행하여 귀하의 사이트에 해를 끼칩니다.
IP 및 사용자 에이전트를 금지하거나 hackrepair.com에서 미리 채워진 금지 목록을 사용할 수 있습니다. 그러나 이러한 명령은 .htaccess 또는 nginx.conf 파일에서 관리하기 때문에 까다로울 수 있으므로 이상적이지 않습니다. 이들은 서버 구성 파일이며 매우 강력합니다. 그러나 용도는 사이트별로 설정을 사용자 지정하는 것입니다. 이러한 것 중 하나는 IP 화이트리스트 또는 블랙리스트이지만 이러한 명령은 매우 다루기 힘들고 구성 파일에서 관리하기 어려울 수 있습니다.
따라서 방화벽은 다른 곳에 있어야 합니다.
예외 목록에 IP 주소를 입력할 수도 있지만 장치 IP가 항상 변경되므로 사용이 제한됩니다. 전반적으로 인상적이지 않습니다.
보조 보안 기능
iThemes가 중요한 보안 조치를 잘 수행하지 못하는 것 같습니다. 그러나 무차별 대입 보호 및 활동 로그와 같은 작업은 어떻습니까?
로그인 보호
iThemes는 무차별 암호 대입 보호에 큰 역할을 하지만 그것에는 형편없습니다. 누가 생각이나 했겠어?
이 기능을 테스트하기 위해 잘못된 비밀번호나 사용자 이름으로 10번 시도하면 계정이 잠기도록 플러그인을 설정했습니다. 저는 이 테스트를 두 가지 유형의 사이트에서 실행했습니다. 일반 사이트에서는 10번 시도 후 잠겼는데, 해킹된 테스트 사이트에서는 100번까지 시도해서 차단되지 않았습니다. 차단된 시도는 네트워크 무차별 대입 공격으로 기록되었고 허용된 시도는 로컬 무차별 대입 공격이었습니다.
일반 사이트에 수동으로 브루트 포싱을 시도하기도 했지만 노밴 목록에서 IP가 삭제되었음에도 불구하고 여전히 차단되지 않았습니다. 구성에 따라 15분 동안 나를 잠갔어야 했습니다. 그러나 운이 없습니다.
잘못된 로그인이 무차별 공격으로 분류된다는 점은 흥미롭습니다. iThemes의 무차별 대입 보호 기능은 매우 변덕스럽고 예측할 수 없습니다.
취약점 감지
패턴을 감지하는 경우 취약한 플러그인을 감지한다는 iThemes의 주장이 가짜라고 생각할 수 있습니다. 우리 사이트에 여러 개를 설치했는데 스캔에서 하나도 감지하지 못했습니다.
그렇다면 사이트의 취약점에 대해 어떻게 경고합니까? iThemes는 플러그인 및 테마 전체에서 감지된 새로운 취약점 목록이 포함된 이메일을 가끔 보내므로 사이트에 어떤 취약점이 있는지 파악하고 업데이트해야 합니다. 이메일 구독을 취소하고 모든 취약점을 완전히 놓칠 수 있습니다. 이것은 사전 예방적 접근 방식이 아니며 사이트의 취약점을 식별하는 것은 귀하의 책임입니다.
오래된 플러그인과 테마를 업데이트하도록 명시적으로 설계된 버전 관리 기능이 있지만 어떤 것이 취약점이 있는지 대시보드에 추가할 수 없는 것은 더욱 우스꽝스럽습니다.
이중 인증
iThemes의 2단계 인증은 광고된 대로 정확하게 작동합니다. 모바일 앱, 이메일 및 백업 코드를 포함한 여러 방법으로 이중 인증을 설정할 수 있습니다.
또한 사용자 역할에 따라 2FA를 설정할 수 있을 뿐만 아니라 기존 로그인에 사용할 수 없는 REST API 및 XML-RPC에 대한 별도의 애플리케이션 암호를 설정할 수 있습니다. 이 설정은 사용자 프로필에서 찾을 수 있으며 거기에서 설정할 수 있습니다.
그러나 보안 문제로 인해 XML-RPC는 일반적으로 비활성화되어 이러한 개별 암호의 유용성을 제한합니다.
활동 로그
사용자 활동 로그는 관리자를 위해 활성화되어 있지만 불행히도 모든 이벤트가 정확하게 기록되는 것은 아니므로 거의 쓸모가 없습니다.
경화 기능
- 파일 모니터링: 현재로서는 보안을 위해 의존할 수 있는 기능이 아닙니다. 예기치 않은 변경 사항이 있는지 파일과 폴더를 모니터링할 수 있지만 여기에는 몇 가지 문제가 있습니다. 어떤 파일을 모니터링해야 하는지 알고 좋은 변경과 나쁜 변경을 구별할 수 있어야 합니다. 또한 해커는 파일의 수정 날짜를 변경할 수 있으므로 이 기능이 이를 어떻게 처리할지 모르겠습니다.
파일 확장자 제외 목록에는 도움이 되지 않는 맬웨어를 운반하는 것으로 알려진 jpeg 및 ico도 포함되어 있습니다. 또한 플러그인/테마 설치, 플러그인 업데이트, 게시물 및 페이지 변경을 감지하지 않습니다.
- 강화 도구: 이 섹션의 옵션입니다. 예를 들어 데이터베이스 접두사를 변경하고 여기에서 WordPress 소금을 변경할 수 있습니다. 일반적으로 WordPress 생성기를 사용하여 이를 수행한 다음 wp-config 파일에서 소금을 수동으로 변경해야 하므로 이것은 편리한 도구입니다. '파일 권한 확인'은 해당 정보를 찾을 위치를 모르는 경우에도 유용합니다. 그러나 여기에서 권한을 변경할 수 없으며 이를 수행하는 방법에 대한 표시가 없습니다. 서버 IP를 식별하는 기능은 귀하의 IP가 무엇인지 파악하여 금지 금지 목록에 추가할 수 있도록 도와줍니다. 이것은 다른 곳에서도 쉽게 할 수 있기 때문에 기껏해야 프릴입니다.
- 업로드 폴더, 플러그인 폴더 및 테마 폴더에서 PHP 실행 차단: 설명에서 iThemes가 PHP 스크립트에 대한 외부 요청을 차단하는 것처럼 보입니다. 한 종류의 해킹에 유용하므로 업로드 폴더에 사용하는 것이 좋습니다. 그러나 플러그인과 테마에는 확실히 스크립트가 있으므로 차단하는 것이 타당한지 여부는 사이트에 따라 다릅니다. 파일이 거기에서 직접 호출되지 않고 대신 admin-ajax와 같은 것을 사용한다면 괜찮습니다. 그러나 일부 플러그인에는 직접 액세스해야 하는 스크립트가 있으며 이러한 스크립트는 중단됩니다. 일반 사용자가 이것을 결정하기는 어렵습니다.
iThemes 설치 및 구성
지금까지 보안 기능에 대해 많은 운이 없었습니다. 그러나 유용성은 어떻습니까? 설치 및 구성이 쉬운가요?
설치
무료 버전을 설치하는 것은 매우 쉽지만, 시간이 오래 걸리고 궁극적으로 불필요한 설정 프로세스가 있습니다. 프로 버전의 경우 라이선스에 가입하고 해당 사이트에서 플러그인을 다운로드해야 합니다.
사용의 용이성
iThemes는 사용하기에 정말 혼란스럽습니다. 기술 용어와 복잡한 설정으로 인해 일반 사용자가 이해하기 어렵습니다. 또한 주장하는 바를 수행하지 않는 것 같습니다. 유용성을 위해 엄지 손가락을 아래로.
알림 및 알림
알림이 전혀 없습니다. 나는 과도한 경고를 피하는 것이 전부이지만, iThemes를 사용하면 어떤 설정을 시도하고 변경하든 아무 것도 얻지 못할 것입니다. 알림을 원해도 받지 않습니다.
사용자 관리
물론 사용자 역할에 따라 보안 설정을 지정할 수 있지만 대부분 중복됩니다. 예를 들어 강력한 암호는 모든 사용자에게 제공되어야 합니다. 옵션이 너무 많아 언뜻 보기에 인상적으로 보이지만 현실적으로 세부적인 세부 사항에 들어갈 필요는 없습니다. 하나의 사용자 수준 계정이 해킹되면 해커가 잠재적으로 관리자 수준으로 권한을 에스컬레이션할 수 있기 때문입니다. 결론은 이 기능이 보기만큼 유용하지 않다는 것입니다.
고려해야 할 기타 요인
iThemes는 보안 플러그인이 아닙니다. 그러나 보안 외에도 iThemes를 선택할 때 고려해야 할 몇 가지 다른 요소가 있습니다. 여기서는 플러그인이 서버에 미치는 영향과 지원 여부에 대해 이야기하겠습니다.
서버 리소스에 미치는 영향
서버 리소스와 관련하여 iThemes는 만점을 얻습니다. 전혀 영향이 없습니다. 너무 가벼워서 마치 플러그인이 없거나 아무것도 하지 않는 것 같습니다. 그 트랙.
도움말 및 지원
도움과 지원에 관해서는 직접 테스트하지 않았습니다. 그러나 WordPress 리포지토리에 대한 리뷰를 살펴보면 좋지 않다는 것을 알 수 있습니다.
가격
iThemes의 가격은 최근에 변경되었으며 실제로 이치에 맞지 않습니다. 이전에는 무제한 사이트에 대한 최상위 계획이 있었습니다. 이제 계획은 1개 사이트의 경우 99달러에서 10개 사이트의 경우 299달러입니다. 이전 가격이든 새 가격이든 iThemes는 확실히 돈 낭비입니다.
iThemes의 가장 좋은 대안은 무엇입니까?
이 리뷰에서 iThemes를 비난했기 때문에 옵션이 필요합니다. WordPress 보안을 위한 최고의 플러그인은 무엇입니까? 최고의 선택은 다음과 같습니다.
- MalCare: MalCare는 최고의 보안 플러그인입니다. 스캐너는 매우 정확하고 방화벽은 안정적이며 자동화된 맬웨어 클리너는 매우 효과적입니다. 각 계획에는 보안 전문가 팀에 의한 무제한 맬웨어 제거가 포함됩니다. 2단계 인증 외에도 MalCare에서 모든 주요 및 사소한 WordPress 보안 기능을 찾을 수 있습니다. 당신은 그것에 잘못 갈 수 없습니다.
- Wordfence : Wordfence의 무료 버전은 스캐너와 방화벽을 포함하여 매우 우수한 보호 기능을 제공합니다. 방화벽은 정기적으로 업데이트되지만 무료 버전은 프리미엄보다 뒤떨어집니다. 악성 콘텐츠가 발견되면 안전하게 제거하려면 더 비싼 계획으로 업그레이드해야 합니다.
- Sucuri: Sucuri의 모든 유료 요금제는 무제한 맬웨어 제거 기능을 제공합니다. 단점은 스캐너가 항상 정확한 것은 아니므로 제거 기능을 작동시키기 전에 잠재적인 맬웨어 문제를 알고 있어야 합니다.
WordPress용 보안 플러그인을 선택하는 방법은 무엇입니까?
웹사이트에 완벽한 보안 플러그인을 선택하는 것은 어려울 수 있습니다. 너무 많은 솔루션이 있기 때문에 어느 것이 귀하의 요구에 가장 적합한지 알기 어려울 수 있습니다. 이 섹션에서는 검색 도구, 맬웨어 보호 도구, 방화벽 등을 포함하여 보안 플러그인을 결정할 때 고려해야 할 주요 기능을 살펴보겠습니다.
중요한 보안 기능
- 맬웨어 스캐닝: 나쁜 사람보다 한발 앞서 나가려고 하면 끝이 없는 고양이와 쥐의 게임처럼 느껴질 수 있습니다. 고맙게도 사이트에서 맬웨어를 자동으로 탐지하는 효과적인 방법이 있습니다.
그러나 보안 플러그인이 맬웨어를 식별하는 데 사용하는 모든 방법이 똑같이 효과적인 것은 아닙니다. 예를 들어 Wordfence에서 사용하는 서명 일치 메커니즘은 의심되는 맬웨어의 코드를 알려진 맬웨어 서명 데이터베이스와 비교합니다. 위협이 감지되도록 데이터베이스를 정기적으로 업데이트해야 합니다. 상상할 수 있듯이 새로운 맬웨어와 제로데이 위협은 포착되지 않습니다. MalCare는 코드를 검토하여 악의적인 의도가 있는지 확인하는 훨씬 더 안정적인 신호 일치 메커니즘을 사용합니다. 이렇게 하면 최신 위협도 스캐너에 포착됩니다.
- 맬웨어 제거: 사이트가 맬웨어에 감염된 경우 제거하기 까다로울 수 있습니다. 경우에 따라 악성 파일을 삭제하고 영향을 받는 사이트 파일을 복구할 수 있습니다. 하지만 더 복잡한 경우에는 숙련된 보안 전문가의 도움을 받아야 할 수도 있습니다. 많은 보안 플러그인은 전문 지식에 대한 프리미엄 기능으로 맬웨어 제거를 제공합니다. MalCare는 신뢰할 수 있는 자동 맬웨어 제거 기능과 모든 계획에서 전문가에 의한 무제한 정리 기능을 갖춘 유일한 제품입니다.
- 방화벽: 양호하고 안정적인 방화벽 없이는 보안 설정이 완료되지 않습니다. 방화벽은 들어오는 트래픽에 대한 필터 역할을 하며 악성 코드가 웹 사이트에 침투하는 것을 방지합니다. 방화벽은 자주 업데이트되어야 하고, 포괄적인 로그 목록을 유지해야 하며, 워드프레스가 실제로 효과적이기 전에 로드해야 합니다.
기타 보안 기능
- 취약성 감지: 존재하는지도 몰랐던 보안 허점으로 인해 자신의 웹사이트가 해킹당한 사실을 알고 싶어하는 사람은 아무도 없습니다. 취약성 스캐너는 WordPress 코어, 플러그인 및 테마의 모든 취약성을 찾아 신속하게 패치할 수 있도록 도와줍니다.
- 2단계 인증: 사용자 계정을 안전하게 유지하려면 2단계 인증(2FA)을 고려하는 것이 좋습니다. 이렇게 하면 사용자가 로그인할 수 있도록 하기 전에 두 가지 다른 인증 방법을 요구하여 추가 보안 계층을 추가합니다. 2FA를 사용하면 사용자는 자신이 알고 있는 것(예: 사용자 이름 및 암호)과 가지고 있는 것(예: 전화 또는 보안 토큰)이 모두 필요합니다. .
- 로그인 보호: 무차별 대입 공격으로부터 WordPress 관리 영역을 보호하는 것이 중요합니다. 사용자 이름과 비밀번호를 무작위로 추측하여 계정에 침입하려는 자동 시도입니다. 자신을 보호하려면 로그인 보호 기능이 있는 플러그인을 설치해야 합니다.
- 활동 로그: 웹 사이트에서 일어나는 일을 계속 주시하고 싶다면 활동 로그가 유용한 도구입니다. 사이트에서 발생하는 모든 변경 사항을 모니터링하고 보안 이벤트를 신속하게 식별하는 데 도움이 됩니다. 이렇게 하면 위협에 신속하게 대응하고 웹 사이트를 안전하게 보호할 수 있습니다.
보안 플러그인의 잠재적 문제
- 서버에 미치는 영향: 보안 플러그인은 서버 리소스에 부담을 주어 사이트를 더 느리게 만들고 응답성을 떨어뜨릴 수 있습니다. 이는 사이트에서 맬웨어 검사를 수행하거나 사이트의 서버 리소스를 사용하여 방화벽을 강화하기 때문입니다. Wordfence는 이 전선에서 최악의 범죄자입니다. 반면 MalCare는 자체 서버에서 검사를 수행하도록 설계되었으므로 자체 리소스를 사용하지 않습니다. 웹 사이트 속도를 저하시키지 않는 플러그인을 찾으십시오.
마지막 생각들
iThemes는 설치하는 데 드는 약간의 에너지도 가치가 없습니다. 맬웨어 스캐너가 불량하고 맬웨어 제거 도구가 없으며 방화벽이 없습니다. 건너뛰고 MalCare와 같은 보다 포괄적인 보안 솔루션을 살펴보는 것이 좋습니다.
FAQ
iThemes 보안의 기능은 무엇입니까?
그들은 많은 기능을 가지고 있다고 주장하지만 그것은 모두 종소리와 휘파람입니다. 그들은 맬웨어 스캐너가 있다고 주장하지만 귀하의 사이트가 블랙리스트에 올랐는지 확인하는 것일 뿐입니다. 그들은 IP를 차단하는 옵션이 있다고 말하지만 실제로는 작동하지 않습니다. 그들은 꽤 쓸모없는 로그인 보호, 불완전한 활동 로그, 가짜 취약점 탐지 및 간신히 유용한 강화 기능을 가지고 있습니다. 작동하는 유일한 보안 기능은 이중 인증입니다.
Wordfence 보안과 iThemes 보안의 차이점은 무엇입니까?
Wordfence는 최고의 무료 보안 플러그인이고 iThemes는 최악입니다. Wordfence에는 최신 업데이트된 방화벽, 대부분 효과적인 스캐너 및 일부 자동화된 맬웨어 제거 옵션이 있습니다. iThemes는 실제로 사이트의 맬웨어를 식별하지 않으며 맬웨어 제거 기능과 방화벽이 없습니다.
iThemes 보안을 어떻게 재설정합니까?
비밀번호를 재설정하려면 iThemes 회원 패널 로그인 페이지로 이동하십시오. 비밀번호를 재설정하는 부분이 있습니다. 계정과 연결된 사용자 이름 또는 이메일을 추가합니다. 그러면 이메일과 30분 동안 유효한 비밀번호를 재설정할 수 있는 링크가 전송됩니다.
iThemes 구독을 어떻게 취소합니까?
iThemes 구독을 취소하려면 해당 판매 팀에 연락해야 합니다. [email protected]으로 이메일을 보내주세요.