Przegląd bezpieczeństwa iThemes: czy warto zainstalować na swojej stronie WordPress? - MalCare
Opublikowany: 2023-04-07iThemes Security to wtyczka bezpieczeństwa WordPress, która oferuje szereg funkcji zaprojektowanych w celu ochrony witryn WordPress przed różnymi rodzajami zagrożeń bezpieczeństwa. Ale czy warto zainstalować na swojej stronie internetowej?
Dostarczę dogłębną recenzję iThemes Security, oceniając jego skuteczność, łatwość użycia, kompatybilność z innymi wtyczkami WordPress i czy jest to warte swojej ceny. Pod koniec tego artykułu powinieneś lepiej zrozumieć, czy iThemes Security to właściwy wybór dla potrzeb bezpieczeństwa Twojej witryny.
Instalacja iThemes jest prawie taka sama, jak brak bezpieczeństwa. W rzeczywistości twierdzę, że jest gorszy, ponieważ może cię całkowicie zablokować. Jeśli więc szukasz wtyczki zabezpieczającej, która faktycznie ochroni Twoją witrynę, MalCare jest zdecydowanie najlepszym rozwiązaniem.
Przegląd
iThemes może wyglądać jak wtyczka bezpieczeństwa, ale brakuje jej trzech najważniejszych funkcji. Nie daj się zwieść wszelkim półśrodkom; są tylko na pokaz.
Na przykład deklarowanym podejściem jest blokowanie ataków przed ich wystąpieniem, co oznacza czujność wobec luk w witrynie, ale w rzeczywistości nie robią nic, aby ostrzec użytkownika. Za wyjątkiem wysyłania im cotygodniowych e-maili z podsumowaniem wykrytych luk w zabezpieczeniach.
Gdzieś w tym wesołym miasteczku wtyczki bezpieczeństwa jest kilka drobnych funkcji bezpieczeństwa, które są zarówno przydatne, jak i działają.
A potem, aby dodać zniewagę do obrażeń, używają innej wtyczki bezpieczeństwa, aby zabezpieczyć własną witrynę. Poświęć chwilę na przetworzenie faktu, że witryna z wtyczką bezpieczeństwa nie korzysta z własnego produktu.
Krytyczne funkcje bezpieczeństwa i iThemes
Jeśli szukasz wtyczki zabezpieczającej, są pewne funkcje, bez których nie możesz się obejść: skaner złośliwego oprogramowania, narzędzie do czyszczenia złośliwego oprogramowania i zapora sieciowa. Powinny one znajdować się na szczycie listy przy podejmowaniu decyzji, czy wtyczka jest dobrze dopasowana.
Te cechy nie podlegają negocjacjom i powinny być najważniejszymi punktami każdej recenzji. Jednak iThemes wskazał w różnych miejscach na swojej stronie, że te dokładne funkcje są obce bezpieczeństwu WordPress. Definitywnie się z tym nie zgadzam.
Skaner złośliwego oprogramowania
Zacznijmy od podstaw. Czy skanuje w poszukiwaniu złośliwego oprogramowania? Nie. Sprawdza, czy Google umieściło Twoją witrynę na czarnej liście. Zobaczysz te informacje w sekcji nieprzetworzonych danych wyników skanowania.
Podczas gdy Google przeprowadza skanowanie w poszukiwaniu złośliwego oprogramowania w Twojej witrynie, iThemes tego nie robi. iThemes pomaga dowiedzieć się, czy Twoja witryna znalazła się w raporcie przejrzystości Google, potocznie nazywanym czarną listą Google. Absolutnie nie potrzebujesz iThemes do uruchomienia tego skanowania. Możesz przejść do witryny Google i uzyskać informacje samodzielnie w dosłownie kilka sekund.
Biorąc pod uwagę, że skaner nie skanuje w poszukiwaniu złośliwego oprogramowania, automatyczne skanowanie jest kwestią sporną. Należy jednak pamiętać, że dobra wtyczka bezpieczeństwa powinna automatycznie i regularnie skanować w poszukiwaniu złośliwego oprogramowania.
Istnieje również sekcja „Wyświetl dzienniki”, która pokazuje zdarzenia, które miały miejsce wcześniej.
Usuwanie złośliwego oprogramowania
iThemes nie wykrywał złośliwego oprogramowania i jest zrozumiałe, że nie byliby w stanie usunąć złośliwego oprogramowania. Nie było więc całkowitym szokiem, że nie oferują żadnego rodzaju usuwania: automatycznego, ręcznego lub magicznego.
Zapora ogniowa
Wygląda na to, że iThemes nie ma zapory ogniowej, ale twierdzą, że zezwalają na czarną listę adresów IP. Szkoda, że tak naprawdę nie działa. Funkcja ochrony przed botami jest również dość słaba, a wszystko, co robi, to zapobieganie indeksowaniu witryny przez roboty wyszukiwarek. Jedna rzecz, którą robi, robi tak źle, że jest szkodliwa dla Twojej witryny.
Możesz zablokować adresy IP i agenty użytkownika lub użyć wstępnie wypełnionej listy banów z hackrepair.com. Ale te polecenia mogą być trudne, ponieważ zarządzają nimi w pliku .htaccess lub nginx.conf, więc nie jest to idealne rozwiązanie. Są to pliki konfiguracyjne serwera i są niezwykle wydajne. Jednak ich przeznaczeniem jest dostosowanie ustawień do konkretnych witryn. Jedną z tych rzeczy jest biała lub czarna lista adresów IP, ale te polecenia mogą być bardzo nieporęczne i trudne do zarządzania w pliku konfiguracyjnym.
Dlatego zapora powinna znajdować się gdzie indziej.
Możesz także wprowadzić adresy IP na liście wyjątków, ale ma to ograniczone zastosowanie, ponieważ adresy IP urządzeń zawsze się zmieniają. Ogólnie rzecz biorąc, nie jestem pod wrażeniem.
Dodatkowe funkcje bezpieczeństwa
Wygląda na to, że iThemes nie radzi sobie dobrze z ważnymi działaniami związanymi z bezpieczeństwem. Ale co z zadaniami, takimi jak ochrona przed brutalną siłą i dzienniki aktywności?
Ochrona logowania
iThemes jest duży w ochronie przed brutalną siłą, ale jest w tym fatalny. Kto by pomyślał?
Aby przetestować tę funkcję, skonfigurowałem wtyczkę, która blokuje dostęp do mojego konta po 10 próbach z nieprawidłowym hasłem lub nazwą użytkownika. Przeprowadziłem ten test na dwóch różnych typach witryn. Na normalnej stronie zostałem zablokowany po 10 próbach, ale na zhakowanej stronie testowej uzyskałem do 100 prób i nie zostałem zablokowany. Zablokowane próby były rejestrowane jako sieciowe ataki brute force, podczas gdy dozwolone były lokalnymi atakami brute force.
Próbowałem nawet ręcznie brutalnie wymusić normalną witrynę, ale pomimo usunięcia adresu IP z listy no-ban, nadal nie zostałem zablokowany. Powinien mnie zablokować na 15 minut, zgodnie z konfiguracją. Ale tam nie ma szczęścia.
Warto zauważyć, że każde błędne logowanie jest klasyfikowane jako brutalna siła. Funkcja ochrony przed brutalną siłą w iThemes jest dość kapryśna i nieprzewidywalna.
Wykrywanie luk w zabezpieczeniach
Jeśli wyczuwasz wzorzec, prawdopodobnie zgadniesz, że twierdzenia iThemes o wykrywaniu podatnych na ataki wtyczek są fałszywe. Miałem kilka zainstalowanych na naszych stronach, a skanowanie nie wykryło ani jednego.
Jak więc ostrzega Cię o lukach w zabezpieczeniach Twojej witryny? iThemes wysyła od czasu do czasu wiadomość e-mail z listą nowych luk wykrytych we wtyczkach i motywach, więc musisz dowiedzieć się, które z nich znajdują się w Twojej witrynie i je zaktualizować. Możesz anulować subskrypcję wiadomości e-mail i całkowicie przegapić wszelkie luki w zabezpieczeniach. To wcale nie jest proaktywne podejście i to Ty musisz zidentyfikować luki w zabezpieczeniach swojej witryny.
Jeszcze bardziej absurdalne jest to, że mają funkcję zarządzania wersjami, która została specjalnie zaprojektowana do aktualizowania nieaktualnych wtyczek i motywów, ale nie mogą dodać, które z nich mają luki w kokpicie nawigacyjnym.
Uwierzytelnianie dwuskładnikowe
Uwierzytelnianie dwuskładnikowe w iThemes działa dokładnie tak, jak jest reklamowane. Możesz skonfigurować uwierzytelnianie dwuskładnikowe za pomocą wielu metod, w tym aplikacji mobilnej, poczty e-mail i kodów zapasowych.
Dodatkowo możliwe jest ustawienie 2FA w oparciu o role użytkowników, a także osobne hasła do aplikacji dla REST API i XML-RPC, których nie można używać do tradycyjnych logowań. To ustawienie można znaleźć w profilu użytkownika i można je stamtąd ustawić.
Jednak ze względów bezpieczeństwa protokół XML-RPC jest zwykle wyłączony, co ogranicza użyteczność tych oddzielnych haseł.
Dziennik aktywności
Dziennik aktywności użytkownika jest włączony dla administratorów, ale niestety nie wszystkie zdarzenia są rejestrowane dokładnie, więc jest prawie bezużyteczny.
Właściwości utwardzające
- Monitorowanie plików: w tej chwili nie jest to funkcja, na której można polegać w zakresie bezpieczeństwa. Możesz monitorować pliki i foldery pod kątem nieoczekiwanych zmian, ale jest z tym kilka problemów. Musisz wiedzieć, które pliki monitorować i umieć odróżnić dobre zmiany od złych. Ponadto hakerzy mogą zmieniać daty modyfikacji plików, więc nie jestem pewien, jak ta funkcja sobie z tym poradzi.
Lista wykluczeń rozszerzeń plików obejmuje również jpeg i ico, o których wiadomo, że zawierają złośliwe oprogramowanie, co nie jest pomocne. Nie wykrywa również instalacji wtyczek/motywów, aktualizacji wtyczek ani zmian w postach i stronach.
- Narzędzia do hartowania: Opcje w tej sekcji. Na przykład możesz zmienić prefiks bazy danych i stąd zmienić sole WordPress, co jest miłe. Zwykle używasz do tego generatora WordPress, a następnie musisz ręcznie zmienić sole w pliku wp-config, więc jest to przydatne narzędzie. Opcja „Sprawdź uprawnienia do pliku” jest również przydatna, jeśli nie wiesz, gdzie szukać tych informacji. Ale nie możesz tutaj zmienić uprawnień i nie ma wskazówek, jak to zrobić. Funkcja identyfikowania adresów IP serwerów pomaga dowiedzieć się, jaki jest Twój adres IP, dzięki czemu możesz dodać go do listy no-ban. W najlepszym razie jest to falbanka, ponieważ równie łatwo można to zrobić gdzie indziej.
- Blokuj wykonywanie PHP w folderze przesyłania, folderach wtyczek i folderach motywów: Z opisu wygląda na to, że iThemes blokuje zewnętrzne żądania do skryptów PHP. Przydaje się do jednego typu hacków, więc polecam używać go do folderu uploads. Ale wtyczki i motywy z pewnością będą miały skrypty, więc od strony zależy, czy ich blokowanie ma sens. Jeśli pliki nie są wywoływane bezpośrednio stamtąd, ale zamiast tego używa się czegoś takiego jak admin-ajax, to jest w porządku. Ale niektóre wtyczki mają skrypty, do których należy uzyskać bezpośredni dostęp, a te się zepsują. Zwykłemu użytkownikowi trudno to określić.
Instalowanie i konfigurowanie iThemes
Do tej pory nie miałem szczęścia z funkcjami bezpieczeństwa. Ale co z użytecznością; czy jest łatwy w instalacji i konfiguracji?
Instalacja
Instalacja darmowej wersji jest bardzo łatwa, chociaż proces instalacji jest długi i ostatecznie niepotrzebny. Aby uzyskać wersję pro, musisz zarejestrować się w celu uzyskania licencji i pobrać wtyczkę z ich strony.
Łatwość użycia
Korzystanie z iThemes jest naprawdę mylące. Techniczny żargon i skomplikowane ustawienia utrudniają zrozumienie zwykłym użytkownikom. Wydaje się również, że nie robi tego, co twierdzi. Kciuk w dół za użyteczność.
Powiadomienia i alerty
Brak alertów w ogóle. Jestem za unikaniem nadmiernych alertów, ale z iThemes bez względu na to, jakie ustawienia spróbujesz zmienić, nie dostaniesz żadnych. Nawet jeśli chcesz otrzymywać powiadomienia, nie będziesz ich otrzymywać.
Zarządzanie użytkownikami
Jasne, możesz ustawić ustawienia bezpieczeństwa na podstawie ról użytkowników, ale wiele z nich jest zbędnych. Na przykład silne hasła powinny być dostępne dla wszystkich użytkowników. Istnieje mnóstwo opcji, które na pierwszy rzut oka wyglądają imponująco, ale realistycznie nie trzeba zagłębiać się w szczegóły. Ponieważ jeśli jedno konto na poziomie użytkownika zostanie zhakowane, hakerzy mogą potencjalnie zwiększyć swoje uprawnienia do poziomu administratora. Najważniejsze jest to, że ta funkcja nie jest tak pomocna, jak się wydaje.
Inne czynniki do rozważenia
iThemes nie jest wtyczką bezpieczeństwa. Ale poza bezpieczeństwem, wybierając iThemes, należy wziąć pod uwagę kilka innych czynników. Tutaj omówię wpływ wtyczki na serwer i czy wsparcie jest dobre.
Wpływ na zasoby serwera
Jeśli chodzi o zasoby serwera, iThemes uzyskuje doskonały wynik. Nie ma to żadnego wpływu: jest tak lekki, że prawie wygląda tak, jakby wtyczki tam nie było ani nic nie robiło. To ślady.
Pomoc i wsparcie
Jeśli chodzi o pomoc i wsparcie, nie testowałem tego na sobie. Jednak przeglądanie recenzji w repozytorium WordPress wskazuje, że nie jest super.
cennik
Ceny iThemes niedawno się zmieniły i nie ma to sensu. Wcześniej mieli plan najwyższego poziomu dla nieograniczonej liczby witryn. Teraz plany wahają się od 99 USD za 1 witrynę do 299 USD za 10 witryn. Niezależnie od tego, czy stare ceny, czy nowe, iThemes to zdecydowanie strata pieniędzy.
Jakie są najlepsze alternatywy dla iThemes?
Ponieważ w tej recenzji wyrzuciłem iThemes, potrzebujesz opcji. Jakie są najlepsze wtyczki do bezpieczeństwa WordPress? Oto najlepsze typy:
- MalCare: MalCare to najlepsza dostępna wtyczka zabezpieczająca; skaner jest bardzo dokładny, zapora ogniowa jest niezawodna, a automatyczne narzędzie do usuwania złośliwego oprogramowania jest bardzo skuteczne. Każdy plan obejmuje nieograniczone usuwanie złośliwego oprogramowania przez zespół ekspertów ds. bezpieczeństwa. Oprócz uwierzytelniania dwuskładnikowego, w MalCare znajdziesz wszystkie główne i mniejsze funkcje bezpieczeństwa WordPress. Nie możesz się z tym pomylić.
- Wordfence : Darmowa wersja Wordfence oferuje całkiem dobrą ochronę, w tym skaner i zaporę ogniową. Zapora sieciowa jest regularnie aktualizowana, ale darmowa wersja pozostaje w tyle za wersją premium. Jeśli zostanie wykryta złośliwa zawartość, konieczne będzie przejście na droższy plan w celu jej bezpiecznego usunięcia.
- Sucuri: Wszystkie płatne plany Sucuri obejmują nieograniczone usuwanie złośliwego oprogramowania. Minusem jest to, że skaner nie zawsze jest dokładny, więc musisz być świadomy wszelkich potencjalnych problemów ze złośliwym oprogramowaniem, zanim będziesz mógł uruchomić funkcję usuwania.
Jak wybrać wtyczkę bezpieczeństwa dla WordPressa?
Wybór idealnej wtyczki zabezpieczającej dla Twojej witryny może być wyzwaniem. Przy tak wielu dostępnych rozwiązaniach może być trudno zdecydować, które z nich jest odpowiednie dla Twoich potrzeb. W tej sekcji omówię najważniejsze funkcje, które należy wziąć pod uwagę przy wyborze wtyczki zabezpieczającej, w tym narzędzia do skanowania, narzędzia do ochrony przed złośliwym oprogramowaniem, zapory ogniowe i inne.
Kluczowe funkcje bezpieczeństwa
- Skanowanie złośliwego oprogramowania: próba wyprzedzenia złoczyńców może przypominać niekończącą się zabawę w kotka i myszkę. Na szczęście istnieją skuteczne sposoby automatycznego wykrywania złośliwego oprogramowania w witrynach.
Jednak nie wszystkie metody używane przez wtyczki bezpieczeństwa do identyfikowania złośliwego oprogramowania są równie skuteczne. Na przykład mechanizm dopasowywania sygnatur używany przez Wordfence porównuje kod każdego podejrzanego złośliwego oprogramowania z bazą danych znanych sygnatur złośliwego oprogramowania. Baza danych musi być regularnie aktualizowana, aby wykrywać zagrożenia. Jak możesz sobie wyobrazić, nowe złośliwe oprogramowanie i zagrożenia dnia zerowego nie są wykrywane. MalCare wykorzystuje znacznie bardziej niezawodny mechanizm dopasowywania sygnałów, który przegląda kod w celu sprawdzenia, czy nie ma on złośliwych zamiarów. W ten sposób skaner przechwytuje nawet najnowsze zagrożenia.
- Usuwanie złośliwego oprogramowania: jeśli Twoja witryna została zainfekowana złośliwym oprogramowaniem, pozbycie się go może być trudne. W niektórych przypadkach możesz usunąć złośliwe pliki i naprawić pliki witryny, których dotyczy problem. Jednak w bardziej skomplikowanych przypadkach może być konieczne skorzystanie z pomocy doświadczonego specjalisty ds. Bezpieczeństwa. Wiele wtyczek zabezpieczających oferuje usuwanie złośliwego oprogramowania jako funkcję premium ze względu na ich wiedzę. MalCare jako jedyny ma niezawodną funkcję automatycznego usuwania złośliwego oprogramowania i nieograniczone czyszczenie przez ekspertów w każdym planie.
- Zapora ogniowa: żadna konfiguracja zabezpieczeń nie jest kompletna bez dobrej, niezawodnej zapory sieciowej. Zapory ogniowe działają jak filtry ruchu przychodzącego i pomagają zapobiegać infiltracji złośliwego kodu w Twojej witrynie. Zapory ogniowe powinny być często aktualizowane, utrzymywać obszerną listę dzienników i ładować się przed WordPressem, aby były naprawdę skuteczne.
Inne funkcje bezpieczeństwa
- Wykrywanie luk w zabezpieczeniach: nikt nie chce się dowiedzieć, że jego witryna została zaatakowana z powodu luki w zabezpieczeniach, o której istnieniu nie wiedział. Skaner luk w zabezpieczeniach może pomóc Ci wykryć wszelkie luki w rdzeniu WordPress, wtyczkach i motywach, dzięki czemu możesz je szybko załatać.
- Uwierzytelnianie dwuskładnikowe: Aby zapewnić bezpieczeństwo kont użytkowników, warto rozważyć uwierzytelnianie dwuskładnikowe (2FA). Dodaje to dodatkową warstwę bezpieczeństwa, wymagając dwóch różnych metod uwierzytelniania przed zezwoleniem użytkownikowi na zalogowanie. W przypadku 2FA użytkownicy potrzebują zarówno czegoś, co znają (np. nazwy użytkownika i hasła), jak i czegoś, co mają (np. telefonu lub tokena zabezpieczającego). .
- Ochrona logowania: Niezbędna jest ochrona obszaru administracyjnego WordPress przed atakami siłowymi. Są to automatyczne próby włamania się na Twoje konto poprzez losowe odgadnięcie Twojej nazwy użytkownika i hasła. Aby się zabezpieczyć, powinieneś zainstalować wtyczkę z funkcjami ochrony logowania.
- Dziennik aktywności: jeśli chcesz mieć oko na to, co dzieje się w Twojej witrynie, dziennik aktywności to świetne narzędzie. Pomoże Ci monitorować wszystkie zmiany zachodzące w Twojej witrynie i szybko identyfikować wszelkie zdarzenia związane z bezpieczeństwem. Może to pomóc w szybkim reagowaniu na zagrożenia i zapewnieniu bezpieczeństwa witryny.
Potencjalne problemy z wtyczkami bezpieczeństwa
- Wpływ na serwer: wtyczki bezpieczeństwa mogą obciążać zasoby serwera, powodując, że witryna jest wolniejsza i mniej responsywna. Dzieje się tak, ponieważ przeprowadzają skanowanie w poszukiwaniu złośliwego oprogramowania w Twojej witrynie lub wykorzystują zasoby serwera Twojej witryny do zasilania zapory. Wordfence jest najgorszym przestępcą na tym froncie. Z drugiej strony MalCare jest przeznaczony do przeprowadzania skanów na własnym serwerze, więc nie będzie korzystał z żadnych własnych zasobów. Spróbuj poszukać wtyczek, które nie spowalniają Twojej witryny.
Końcowe przemyślenia
iThemes nie jest nawet wart niewielkiej ilości energii potrzebnej do instalacji. Ma słaby skaner złośliwego oprogramowania, nie ma narzędzi do usuwania złośliwego oprogramowania ani zapory ogniowej. Lepiej pomiń to i przyjrzyj się bardziej kompleksowym rozwiązaniom bezpieczeństwa, takim jak MalCare.
Często zadawane pytania
Jakie są funkcje bezpieczeństwa iThemes?
Twierdzą, że mają wiele funkcji, ale to wszystko dzwonki i gwizdy. Twierdzą, że mają skaner złośliwego oprogramowania, ale sprawdzają tylko, czy Twoja witryna nie została umieszczona na czarnej liście. Mówią, że mają opcję blokowania adresów IP, ale to tak naprawdę nie działa. Mają całkiem bezużyteczną ochronę logowania, niekompletny dziennik aktywności, fałszywe wykrywanie luk w zabezpieczeniach i mało przydatne funkcje utwardzania. Jedyną działającą funkcją bezpieczeństwa jest uwierzytelnianie dwuskładnikowe.
Jaka jest różnica między bezpieczeństwem Wordfence a bezpieczeństwem iThemes?
Wordfence to najlepsza darmowa wtyczka zabezpieczająca, a iThemes jest najgorsza. Wordfence ma najnowszą zaporę ogniową, najbardziej skuteczny skaner i kilka automatycznych opcji usuwania złośliwego oprogramowania. iThemes w rzeczywistości nie identyfikuje złośliwego oprogramowania w Twojej witrynie, nie ma funkcji usuwania złośliwego oprogramowania ani zapory sieciowej.
Jak zresetować zabezpieczenia iThemes?
Aby zresetować hasło, przejdź do strony logowania do panelu użytkownika iThemes. Istnieje sekcja resetowania hasła. Dodaj nazwę użytkownika lub adres e-mail powiązany z kontem. Następnie otrzymasz wiadomość e-mail oraz link do zresetowania hasła, które jest ważne przez 30 minut.
Jak anulować subskrypcję iThemes?
Aby anulować subskrypcję iThemes, musisz skontaktować się z ich zespołem sprzedaży. Wyślij je e-mailem na adres [email protected]