Revisão de segurança do iThemes: vale a pena instalar no seu site WordPress? - MalCare

O iThemes Security é um plug-in de segurança do WordPress que oferece uma variedade de recursos projetados para proteger sites WordPress de vários tipos de ameaças à segurança. Mas vale a pena instalar no seu site?

Fornecerei uma análise aprofundada do iThemes Security, avaliando sua eficácia, facilidade de uso, compatibilidade com outros plugins do WordPress e se vale a pena o custo. Ao final deste artigo, você deve entender melhor se o iThemes Security é a escolha certa para as necessidades de segurança do seu site.

Instalar iThemes é praticamente o mesmo que ter segurança zero. Na verdade, eu diria que é realmente pior, porque pode bloquear você completamente. Portanto, se você está procurando um plug-in de segurança que realmente proteja seu site, o MalCare é definitivamente o caminho a percorrer.

Visão geral

O iThemes pode parecer um plug-in de segurança, mas faltam os três recursos mais importantes. Não se deixe enganar por todas as 'meias medidas; eles são apenas para mostrar.

Por exemplo, sua abordagem declarada é bloquear ataques antes que eles aconteçam, o que significa estar vigilante contra vulnerabilidades no site, mas na verdade eles não fazem nada para alertar o usuário. Exceto o envio de e-mails resumidos com vulnerabilidades encontradas a cada semana.

Em algum lugar nesta casa de diversões de um plug-in de segurança, existem alguns recursos de segurança menores que são úteis e funcionam.
E então, para piorar a situação, eles usam outro plugin de segurança para proteger seu próprio site. Reserve um minuto para processar o fato de que um site de plug-in de segurança não está usando seu próprio produto.

Recursos críticos de segurança e iThemes

Se você está procurando um plug-in de segurança, existem alguns recursos que você não pode prescindir: scanner de malware, limpador de malware e firewall. Estes devem estar no topo da sua lista ao decidir se o plug-in é adequado.

Esses recursos não são negociáveis ​​e devem ser os pontos mais importantes de qualquer revisão. No entanto, o iThemes indicou em vários lugares em seu site que esses recursos exatos são estranhos à segurança do WordPress. Eu discordo fortemente.

Verificador de malware

Vamos começar com o básico. Ele verifica se há malware? Não. Ele verifica se o Google colocou seu site na lista negra. Você verá essas informações na seção de dados brutos dos resultados da verificação.

Enquanto o Google está realizando uma varredura de malware em seu site, o iThemes não está. O iThemes está ajudando você a descobrir se o seu site foi parar no Google Transparency Report, coloquialmente chamado de lista negra do Google. Você absolutamente não precisa do iThemes para executar esta verificação para você. Você pode ir ao site do Google e obter as informações em segundos literais.

Considerando que o scanner não verifica malware, as verificações automatizadas são um ponto discutível. No entanto, é importante observar que um bom plug-in de segurança deve procurar malware de forma automática e regular.

Há também uma seção “Visualizar Logs” que mostra os eventos que ocorreram anteriormente.

Remoção de malware

O iThemes não estava detectando malware e é lógico que eles não seriam capazes de remover o malware. Então, não foi um choque total eles não oferecerem nenhum tipo de remoção: automática, manual ou mágica.

Firewall

Parece que o iThemes não tem um firewall, mas eles afirmam permitir a lista negra de IP. Pena que realmente não funciona. O recurso de proteção contra bots também é bastante fraco e tudo o que ele faz é impedir que os bots dos mecanismos de pesquisa indexem seu site. A única coisa que ele faz, é tão ruim que é prejudicial ao seu site.

Você pode banir IPs e agentes de usuários ou usar uma lista de banimentos pré-preenchida de hackrepair.com. Mas esses comandos podem ser complicados porque eles os gerenciam no arquivo .htaccess ou nginx.conf, então não é o ideal. Estes são arquivos de configuração do servidor e são incrivelmente poderosos. No entanto, seu uso pretendido é personalizar as configurações de acordo com o site específico. Uma dessas coisas é a lista branca ou negra de IP, mas esses comandos podem se tornar muito pesados ​​e difíceis de gerenciar em um arquivo de configuração.

O firewall, portanto, deve estar em outro lugar.

Você também pode inserir endereços IP em uma lista de exceções, mas isso é de uso limitado, pois os IPs dos dispositivos estão sempre mudando. No geral, não fiquei impressionado.

Recursos de segurança secundários

Parece que o iThemes não pode executar as ações de segurança importantes muito bem. Mas e quanto a tarefas como proteção de força bruta e logs de atividades?

proteção de login

O iThemes é ótimo em proteção contra força bruta, mas é péssimo nisso. Quem teria pensado?

Para testar esse recurso, configurei o plug-in para bloquear nossa conta após 10 tentativas com a senha ou nome de usuário incorreto. Eu executei este teste em dois tipos diferentes de sites. Em um site normal, fui bloqueado após 10 tentativas, mas no site de teste hackeado, fiz até 100 tentativas e não fui bloqueado. As tentativas bloqueadas foram registradas como ataques de força bruta de rede, enquanto as permitidas foram ataques de força bruta local.

Eu até tentei forçar manualmente o site normal, mas apesar do IP ter sido removido da lista de proibições, ainda não fui bloqueado. Deveria ter me bloqueado por 15 minutos, de acordo com as configurações. Mas sem sorte lá.

É interessante notar que qualquer login errado é classificado como força bruta. O recurso de proteção contra força bruta do iThemes é bastante temperamental e imprevisível.

Detecção de vulnerabilidade

Se você está sentindo um padrão, provavelmente vai adivinhar que as alegações do iThemes de detectar plugins vulneráveis ​​são falsas. Eu tinha vários instalados em nossos sites e a verificação não detectou nenhum.

Então, como ele avisa sobre vulnerabilidades em seu site? O iThemes envia um e-mail ocasional com uma lista de novas vulnerabilidades detectadas em plugins e temas em geral, então você deve descobrir quais estão em seu site e atualizá-las. Você pode cancelar a assinatura do e-mail e perder completamente qualquer vulnerabilidade. Esta não é uma abordagem proativa e cabe a você identificar as vulnerabilidades em seu site.

É ainda mais ridículo que eles tenham um recurso de gerenciamento de versão projetado expressamente para atualizar plugins e temas desatualizados, mas eles não conseguem adicionar quais têm vulnerabilidades no painel.

Autenticação de dois fatores

A autenticação de dois fatores no iThemes funciona exatamente como anunciado. Você pode configurar a autenticação de dois fatores com vários métodos, incluindo aplicativo móvel, e-mail e códigos de backup.

Além disso, é possível definir 2FA com base nas funções do usuário, bem como senhas de aplicativos separados para REST API e XML-RPC, que não podem ser usados ​​para logins tradicionais. Essa configuração pode ser encontrada no perfil do usuário e pode ser definida a partir dele.

No entanto, devido a questões de segurança, o XML-RPC geralmente é desativado, limitando a utilidade dessas senhas separadas.

Registro de atividade

O log de atividades do usuário está habilitado para administradores, mas infelizmente nem todos os eventos são registrados com precisão, por isso é praticamente inútil.

Recursos de endurecimento

• Monitoramento de arquivos: como está, esse não é um recurso no qual você pode confiar para segurança. Você pode monitorar arquivos e pastas para alterações inesperadas, mas há alguns problemas com isso. Você precisa saber quais arquivos monitorar e ser capaz de diferenciar mudanças boas de mudanças ruins. Além disso, os hackers podem alterar as datas de modificação dos arquivos, então não tenho certeza de como esse recurso lidará com isso.
  
  A lista de exclusão de extensão de arquivo também inclui jpeg e ico, que são conhecidos por conter malware, o que não é útil. Ele também não detecta instalações de plugins/temas, atualizações de plugins, nem alterações em postagens e páginas.

• Ferramentas de endurecimento: As opções nesta seção. Por exemplo, você pode alterar o prefixo do banco de dados e alterar seus sais do WordPress a partir daqui, o que é bom. Normalmente, você usaria o gerador do WordPress para fazer isso e, em seguida, teria que alterar os sais manualmente no arquivo wp-config, portanto, esta é uma ferramenta útil. A opção 'Verificar permissões de arquivo' também é útil se você não souber onde procurar essas informações. Mas você não pode alterar as permissões aqui e não há indicação de como fazer isso. O recurso para identificar os IPs do servidor ajuda você a descobrir qual é o seu IP para que você possa adicioná-lo à lista de proibições. Na melhor das hipóteses, isso é um babado, pois pode ser feito em outro lugar com a mesma facilidade.

• Bloqueie a execução do PHP na pasta de uploads, pastas de plugins e pastas de temas: Pela descrição, parece que o iThemes bloqueia solicitações externas para scripts PHP. É útil para um tipo de hack, então recomendo usá-lo para a pasta de uploads. Mas plugins e temas definitivamente terão scripts, então depende do site se faz sentido ou não bloqueá-los. Se os arquivos não forem chamados diretamente de lá, mas usando algo como admin-ajax, tudo bem. Mas alguns plugins possuem scripts que precisam ser acessados ​​diretamente, e estes irão quebrar. É difícil para um usuário normal determinar isso.

Instalando e configurando iThemes

Até agora, não tive muita sorte com os recursos de segurança. Mas e a usabilidade; é fácil de instalar e configurar?

Instalação

A instalação da versão gratuita é muito fácil, embora haja um processo de configuração demorado e desnecessário. Para a versão pro, você precisa se inscrever para obter uma licença e baixar o plug-in do site.

Fácil de usar

iThemes é realmente confuso de usar. O jargão técnico e as configurações complexas dificultam a compreensão dos usuários comuns. Também não parece fazer o que afirma. Um polegar para baixo para usabilidade.

Notificações e alertas

Nenhum alerta. Sou totalmente a favor de evitar alertas excessivos, mas com iThemes, não importa quais configurações você tente e altere, você não receberá nenhum. Mesmo se você quiser notificações, não as receberá.

gerenciamento de usuários

Claro, você pode definir configurações de segurança com base nas funções do usuário, mas muitas delas são redundantes. Senhas fortes, por exemplo, devem ser fornecidas a todos os usuários. Há uma infinidade de opções, que parecem impressionantes à primeira vista, mas, realisticamente, você não precisa entrar em detalhes granulares. Porque, se uma conta de nível de usuário for invadida, os hackers podem escalar seus privilégios para o nível de administrador. O ponto principal é que esse recurso não é tão útil quanto parece.

Outros fatores a considerar

O iThemes não é muito um plugin de segurança. Mas, além da segurança, existem alguns outros fatores a serem considerados ao escolher iThemes. Aqui, falarei sobre o impacto do plugin no servidor e se o suporte é bom.

Impacto nos recursos do servidor

Quando se trata de recursos do servidor, o iThemes obtém uma pontuação perfeita. Não há nenhum impacto: é tão leve que é quase como se o plug-in nem estivesse lá ou fazendo alguma coisa. Isso rastreia.

Ajuda e suporte

Quanto à ajuda e suporte, não testei por mim mesmo. No entanto, olhar as revisões no repositório do WordPress indica que não é ótimo.

Preços

O preço dos iThemes mudou recentemente e realmente não faz sentido. Anteriormente, eles tinham um plano de nível superior para sites ilimitados. Agora, os planos variam de $ 99 para 1 site a $ 299 para 10 sites. Quer sejam preços antigos ou novos, iThemes é definitivamente um desperdício de dinheiro.

Quais são as melhores alternativas para iThemes?

Como critiquei os iThemes nesta revisão, você precisa de opções. Quais são os melhores plugins para segurança do WordPress? Aqui estão as principais escolhas:

• MalCare: MalCare é o melhor plugin de segurança que existe; o scanner é super preciso, o firewall é confiável e um limpador de malware automatizado é muito eficaz. Cada plano inclui remoção ilimitada de malware por uma equipe de especialistas em segurança. Além da autenticação de dois fatores, você encontrará todos os principais e menores recursos de segurança do WordPress no MalCare. Você não pode errar com isso.
• Wordfence : a versão gratuita do Wordfence oferece uma proteção muito boa, incluindo um scanner e firewall. O firewall é atualizado regularmente, mas a versão gratuita fica atrás do premium. Se for encontrado conteúdo malicioso, será necessário atualizar para um plano mais caro para removê-lo com segurança.
• Sucuri: Todos os planos pagos da Sucuri vêm com remoção ilimitada de malware. A desvantagem é que o scanner nem sempre é preciso, então você precisa estar ciente de quaisquer possíveis problemas de malware antes de fazer o recurso de remoção funcionar.

Como escolher um plugin de segurança para WordPress?

Escolher o plugin de segurança perfeito para o seu site pode ser um desafio. Com tantas soluções disponíveis, pode ser difícil saber qual é a mais adequada para suas necessidades. Nesta seção, examinarei os principais recursos que você deve considerar ao decidir sobre um plug-in de segurança, incluindo ferramentas de verificação, ferramentas de proteção contra malware, firewalls e muito mais.

Recursos de segurança cruciais

• Verificação de malware: tentar ficar à frente dos bandidos pode parecer um jogo interminável de gato e rato. Felizmente, existem maneiras eficazes de detectar automaticamente malware em sites.
  
  No entanto, nem todos os métodos que os plug-ins de segurança usam para identificar malware são igualmente eficazes. Por exemplo, o mecanismo de correspondência de assinatura usado pelo Wordfence compara o código de qualquer malware suspeito com um banco de dados de assinaturas de malware conhecidas. O banco de dados deve ser atualizado regularmente para que as ameaças sejam detectadas. Como você pode imaginar, novos malwares e ameaças de dia zero não são detectados. O MalCare usa um mecanismo de correspondência de sinal muito mais confiável, que revisa o código para verificar se ele tem intenção maliciosa. Dessa forma, até mesmo as ameaças mais recentes são detectadas pelo scanner.

• Remoção de malware: se o seu site foi atingido por malware, pode ser difícil se livrar dele. Em alguns casos, você pode excluir os arquivos maliciosos e reparar os arquivos do site afetados. Para casos mais complicados, porém, pode ser necessário contar com a ajuda de um profissional de segurança experiente. Muitos plugins de segurança oferecem a remoção de malware como um recurso premium por sua experiência. O MalCare é o único com um recurso confiável de remoção automática de malware e limpeza ilimitada por especialistas em todos os planos.

• Firewall: Nenhuma configuração de segurança está completa sem um bom e confiável firewall. Os firewalls atuam como filtros para o tráfego de entrada e ajudam a evitar que códigos maliciosos se infiltrem em seu site. Os firewalls devem ser atualizados com frequência, manter uma lista abrangente de logs e carregar antes do WordPress para serem realmente eficazes.

Outros recursos de segurança

• Detecção de vulnerabilidade: ninguém quer descobrir que seu site foi invadido por causa de uma falha de segurança que não sabia que existia. Um scanner de vulnerabilidade pode ajudá-lo a identificar quaisquer vulnerabilidades em seu núcleo, plugins e temas do WordPress, para que você possa corrigi-los rapidamente.

• Autenticação de dois fatores: para ajudar a manter suas contas de usuário seguras, vale a pena considerar a autenticação de dois fatores (2FA). Isso adiciona uma camada extra de segurança, exigindo dois métodos diferentes de autenticação antes de permitir que um usuário faça login. Com 2FA, os usuários precisam de algo que conheçam (como um nome de usuário e senha) e algo que tenham (como um telefone ou token de segurança) .

• Proteção de login: é essencial proteger sua área de administração do WordPress contra ataques de força bruta. Essas são tentativas automáticas de invadir sua conta, adivinhando aleatoriamente seu nome de usuário e senha. Para se proteger, você deve instalar um plug-in com recursos de proteção de login.

• Registro de atividades: se você quiser ficar de olho no que está acontecendo em seu site, um registro de atividades é uma ótima ferramenta. Isso o ajudará a monitorar todas as mudanças que estão acontecendo em seu site e a identificar quaisquer eventos de segurança rapidamente. Isso pode ajudá-lo a responder a ameaças rapidamente e manter seu site seguro e protegido.

Problemas potenciais de plugins de segurança

• Impacto no servidor: plug-ins de segurança podem sobrecarregar os recursos do servidor, tornando o site mais lento e menos responsivo. Isso ocorre porque eles realizam varreduras de malware em seu site ou usam os recursos do servidor do seu site para alimentar o firewall. Wordfence é o pior infrator nesta frente. Por outro lado, MalCare foi projetado para realizar suas varreduras em seu próprio servidor, portanto não usará nenhum de seus próprios recursos. Tente procurar plug-ins que não deixem seu site lento.

Pensamentos finais

O iThemes nem vale a pena a pouca energia necessária para instalar. Ele tem um scanner de malware ruim, nenhuma ferramenta de remoção de malware e nenhum firewall. É melhor ignorá-lo e procurar soluções de segurança mais abrangentes, como o MalCare.

perguntas frequentes

Quais são os recursos de segurança do iThemes?

Eles afirmam ter muitos recursos, mas são todos sinos e assobios. Eles afirmam ter um scanner de malware, mas estão apenas verificando se o seu site foi colocado na lista negra. Eles dizem que têm a opção de bloquear IPs, mas realmente não funciona. Eles têm uma proteção de login bastante inútil, um log de atividades incompleto, falsa detecção de vulnerabilidade e recursos de proteção pouco úteis. O único recurso de segurança que funciona é a autenticação de dois fatores.

Qual é a diferença entre a segurança do Wordfence e a segurança do iThemes?

O Wordfence é o melhor plug-in de segurança gratuito e o iThemes é o pior. O Wordfence possui o firewall mais atualizado, um scanner mais eficaz e algumas opções automatizadas de remoção de malware. O iThemes não identifica realmente o malware em seu site, não possui uma função de remoção de malware e nenhum firewall.

Como redefinir a segurança do meu iThemes?

Para redefinir a senha, vá para a página de login do painel de membros do iThemes. Há uma seção para redefinir a senha. Adicione o nome de usuário ou e-mail associado à conta. Você receberá um e-mail e um link para redefinir a senha com validade de 30 minutos.

Como cancelo minha assinatura do iThemes?

Para cancelar sua assinatura do iThemes, você terá que entrar em contato com a equipe de vendas. Envie um e-mail para [email protected]