iThemes Security Review: Merită instalat pe site-ul dvs. WordPress? - MalCare

iThemes Security este un plugin de securitate WordPress care oferă o gamă de caracteristici concepute pentru a proteja site-urile WordPress de diferite tipuri de amenințări de securitate. Dar merită instalat pe site-ul tău?

Voi oferi o revizuire aprofundată a iThemes Security, evaluând eficacitatea, ușurința în utilizare, compatibilitatea cu alte plugin-uri WordPress și dacă merită costul. Până la sfârșitul acestui articol, ar trebui să înțelegeți mai bine dacă iThemes Security este alegerea potrivită pentru nevoile de securitate ale site-ului dvs.

Instalarea iThemes este aproape la fel cu a avea securitate zero. De fapt, aș argumenta că este de fapt mai rău, pentru că te poate bloca complet. Deci, dacă sunteți în căutarea unui plugin de securitate care să vă protejeze de fapt site-ul, MalCare este cu siguranță calea de urmat.

Prezentare generală

iThemes ar putea arăta ca un plugin de securitate, dar îi lipsesc cele mai importante trei caracteristici. Nu vă lăsați păcăliți de toate „jumătățile de măsură; sunt doar pentru spectacol.

De exemplu, abordarea lor declarată este să blocheze atacurile înainte ca acestea să se producă, adică să fie vigilenți împotriva vulnerabilităților de pe site, dar de fapt nu fac nimic pentru a avertiza un utilizator. Cu excepția trimiterii lor de e-mailuri de tip digerat cu vulnerabilități găsite în fiecare săptămână.

Undeva în această distracție a unui plugin de securitate, există câteva caracteristici minore de securitate care sunt atât utile, cât și funcționează.
Și apoi, pentru a adăuga insultă la vătămare, ei folosesc un alt plugin de securitate pentru a-și asigura propriul site. Luați un minut pentru a procesa faptul că un site cu plugin de securitate nu își folosește propriul produs.

Funcții critice de securitate și iThemes

Dacă sunteți în căutarea unui plugin de securitate, există anumite funcții de care nu vă puteți lipsi: scaner de malware, dispozitiv de curățare a malware și firewall. Acestea ar trebui să fie în fruntea listei dvs. atunci când decideți dacă pluginul este potrivit.

Aceste caracteristici nu sunt negociabile și ar trebui să fie cele mai importante puncte ale oricărei revizuiri. Cu toate acestea, iThemes a indicat în diferite locuri de pe site-ul lor că aceste caracteristici exacte sunt străine de securitatea WordPress. Nu sunt puternic de acord.

Scaner de programe malware

Să începem cu elementele de bază. Scanează pentru malware? Nu. Verifică dacă Google a inclus site-ul dvs. pe lista neagră. Veți vedea aceste informații în secțiunea cu date brute a rezultatelor scanării.

În timp ce Google efectuează o scanare de malware pe site-ul dvs., iThemes nu este. iThemes vă ajută să aflați dacă site-ul dvs. a ajuns în Raportul de transparență Google, numit în mod colocvial lista neagră Google. Nu aveți nevoie de iThemes pentru a rula această scanare pentru dvs. Puteți accesa site-ul Google și obțineți singur informațiile în câteva secunde literale.

Având în vedere că scanerul nu scanează pentru malware, scanările automate sunt un punct discutabil. Cu toate acestea, este important să rețineți că un plugin de securitate bun ar trebui să scaneze automat și regulat pentru malware.

Există, de asemenea, o secțiune „Vedeți jurnalele” care arată evenimentele care au avut loc anterior.

Eliminarea programelor malware

iThemes nu a detectat malware și este de la sine înțeles că nu ar putea elimina malware-ul. Deci, nu a fost un șoc complet faptul că nu oferă niciun fel de îndepărtare: automată, manuală sau magică.

Firewall

Se pare că iThemes nu are un firewall, dar pretind că permit includerea pe lista neagră IP. Păcat că nu prea funcționează. Caracteristica de protecție împotriva botului este și ea destul de slabă și tot ceea ce face este să împiedice roboții motoarelor de căutare să indexeze site-ul dvs. Singurul lucru pe care îl face, îl face atât de rău, este dăunător site-ului tău.

Puteți interzice IP-urile și agenții de utilizator sau puteți utiliza o listă de interdicție pre-populată de pe hackrepair.com. Dar aceste comenzi pot deveni dificile deoarece le gestionează în fișierul .htaccess sau nginx.conf, deci nu este ideal. Acestea sunt fișiere de configurare a serverului și sunt incredibil de puternice. Cu toate acestea, scopul lor este de a personaliza setările pe o bază specifică site-ului. Unul dintre aceste lucruri este listarea IP sau lista neagră, dar aceste comenzi pot deveni foarte grele și dificil de gestionat într-un fișier de configurare.

Firewall-ul, prin urmare, ar trebui să fie în altă parte.

De asemenea, puteți introduce adrese IP într-o listă de excepții, dar aceasta este de utilizare limitată, deoarece IP-urile dispozitivului se schimbă mereu. Per total, nu este impresionat.

Caracteristici secundare de securitate

Se pare că iThemes nu poate face acțiunile importante de securitate foarte bine. Dar cum rămâne cu sarcini precum protecția forței brute și jurnalele de activitate?

Protecție de conectare

iThemes este mare în ceea ce privește protecția forței brute, dar este abisal în acest sens. Cine s-ar fi gândit?

Pentru a testa această caracteristică, am configurat pluginul pentru a ne bloca accesul la contul meu după 10 încercări cu parola sau numele de utilizator greșit. Am rulat acest test pe două tipuri diferite de site-uri. Pe un site normal, am fost blocat după 10 încercări, dar pe site-ul de testare piratat, am primit până la 100 de încercări și nu am fost blocat. Încercările blocate au fost înregistrate ca atacuri de forță brută în rețea, în timp ce cele permise au fost atacuri locale de forță brută.

Am încercat chiar și forțarea manuală a site-ului normal, dar, în ciuda faptului că IP-ul a fost eliminat din lista fără interdicție, tot nu am fost blocat. Ar fi trebuit să mă blocheze timp de 15 minute, conform configurațiilor. Dar fără noroc acolo.

Este interesant de observat că orice conectare greșită este clasificată ca forță brută. Funcția de protecție împotriva forței brute a iThemes este destul de temperamentală și imprevizibilă.

Detectarea vulnerabilităților

Dacă simțiți un model, probabil veți ghici că afirmațiile iThemes de a detecta pluginuri vulnerabile sunt false. Aveam mai multe instalate pe site-urile noastre și scanarea nu a detectat niciunul.

Deci, cum vă avertizează despre vulnerabilitățile site-ului dvs.? iThemes vă trimite ocazional un e-mail cu o listă de noi vulnerabilități detectate în pluginuri și teme în general, așa că trebuie să vă dați seama care sunt pe site-ul dvs. și să le actualizați. Puteți să vă dezabonați de la e-mail și să pierdeți complet orice vulnerabilitate. Aceasta nu este deloc o abordare proactivă și vă revine sarcina de a identifica vulnerabilitățile de pe site-ul dvs.

Este și mai ridicol că au o funcție de gestionare a versiunilor care este concepută în mod expres pentru a actualiza plugin-uri și teme învechite, dar nu pot să adauge care dintre ele au vulnerabilități pe tabloul de bord.

Autentificare cu doi factori

Autentificarea cu doi factori pe iThemes funcționează exact așa cum este anunțat. Puteți configura autentificarea cu doi factori cu mai multe metode, inclusiv aplicația mobilă, e-mailul și codurile de rezervă.

În plus, este posibil să setați 2FA pe baza rolurilor de utilizator, precum și parole separate pentru aplicații pentru REST API și XML-RPC, care nu pot fi utilizate pentru autentificarea tradițională. Această setare poate fi găsită în profilul utilizatorului și poate fi setată de acolo.

Cu toate acestea, din cauza problemelor de securitate, XML-RPC este de obicei dezactivat, limitând utilitatea acestor parole separate.

Jurnalul de activitate

Jurnalul de activitate al utilizatorului este activat pentru administratori, dar, din păcate, nu toate evenimentele sunt înregistrate cu acuratețe, așa că este aproape inutil.

Caracteristici de întărire

• Monitorizarea fișierelor: așa cum este, aceasta nu este o funcție pe care să vă puteți baza pentru securitate. Puteți monitoriza fișierele și folderele pentru modificări neașteptate, dar există câteva probleme cu aceasta. Trebuie să știți ce fișiere să monitorizați și să puteți distinge schimbările bune de modificările proaste. În plus, hackerii pot modifica datele de modificare a fișierelor, așa că nu sunt sigur cum se va descurca această funcție.
  
  Lista de excludere a extensiilor de fișiere include și jpeg și ico, despre care se știe că transportă programe malware, ceea ce nu este de ajutor. De asemenea, nu detectează instalări de pluginuri/teme, actualizări de pluginuri și nici modificări ale postărilor și paginilor.

• Instrumente de întărire: opțiunile din această secțiune. De exemplu, puteți schimba prefixul bazei de date și puteți schimba sărurile WordPress de aici, ceea ce este frumos. De obicei, ați folosi generatorul WordPress pentru a face asta și apoi trebuie să schimbați manual sărurile din fișierul wp-config, deci acesta este un instrument la îndemână. „Verificați permisiunile fișierelor” este de asemenea utilă dacă nu știți unde să căutați informațiile respective. Dar nu puteți schimba permisiunile aici și nu există nicio indicație despre cum să faceți asta. Funcția de identificare a IP-urilor serverului vă ajută să vă dați seama care este IP-ul dvs., astfel încât să îl puteți adăuga la lista fără interdicție. Acesta este în cel mai bun caz un bidon, deoarece se poate face în altă parte la fel de ușor.

• Blocați execuția PHP în folderul de încărcări, folderele cu pluginuri și folderele cu teme: Din descriere, se pare că iThemes blochează solicitările externe către scripturile PHP. Este util pentru un tip de hack-uri, așa că recomand să îl folosiți pentru folderul de încărcări. Dar pluginurile și temele vor avea cu siguranță scripturi, așa că depinde de site dacă are sau nu sens să le blochezi. Dacă fișierele nu sunt apelate direct de acolo, ci folosind ceva de genul admin-ajax, atunci este bine. Dar unele plugin-uri au scripturi care trebuie accesate direct, iar acestea se vor rupe. Este dificil pentru un utilizator normal să determine acest lucru.

Instalarea și configurarea iThemes

Până acum, nu am avut prea mult noroc cu funcțiile de securitate. Dar ce zici de utilizare; este ușor de instalat și configurat?

Instalare

Instalarea versiunii gratuite este foarte ușoară, deși există un proces de configurare lung și, în cele din urmă, inutil. Pentru versiunea pro trebuie să vă înscrieți pentru o licență și să descărcați pluginul de pe site-ul lor.

Ușurință în utilizare

iThemes este cu adevărat confuz de utilizat. Jargonul tehnic și setările complexe fac ca utilizatorii obișnuiți să fie greu de înțeles. De asemenea, nu pare să facă ceea ce pretinde. Un degetul mare în jos pentru utilizare.

Notificări și alerte

Fără alerte deloc. Sunt pentru evitarea alertelor excesive, dar cu iThemes, indiferent de setările pe care le încercați și să le modificați, nu veți primi niciuna. Chiar dacă vrei notificări, nu le vei primi.

Managementul utilizatorilor

Sigur, puteți seta setările de securitate pe baza rolurilor de utilizator, dar multe dintre ele sunt redundante. Parolele puternice, de exemplu, ar trebui să fie date pentru toți utilizatorii. Există o multitudine de opțiuni, care arată impresionant la prima vedere, dar în mod realist, nu trebuie să intri în detalii granulare. Deoarece, dacă un cont la nivel de utilizator este piratat, hackerii își pot escalada privilegiile la nivel de administrator. Concluzia este că această caracteristică nu este atât de utilă pe cât pare.

Alți factori de luat în considerare

iThemes nu este prea mult un plugin de securitate. Dar, dincolo de securitate, există câțiva alți factori de care trebuie să luați în considerare atunci când alegeți iThemes. Aici, voi vorbi despre impactul pluginului asupra serverului și dacă suportul este bun.

Impactul asupra resurselor serverului

Când vine vorba de resursele serverului, iThemes obține un scor perfect. Nu are niciun impact: este atât de ușor încât este aproape ca și cum pluginul nici nu ar fi acolo sau nu face nimic. Asta urmărește.

Ajutor si sustinere

Cât despre ajutor și sprijin, nu le-am testat singur. Cu toate acestea, examinarea recenziilor de pe depozitul WordPress indică faptul că nu este grozav.

Prețuri

Prețul pentru iThemes s-a schimbat recent și nu prea are sens. Anterior, aveau un plan de top pentru site-uri nelimitate. Acum, planurile variază de la 99 USD pentru 1 site la 299 USD pentru 10 site-uri. Indiferent dacă prețuri vechi sau noi, iThemes este cu siguranță o risipă de bani.

Care sunt cele mai bune alternative la iThemes?

Deoarece am excoriat iThemes în această recenzie, aveți nevoie de opțiuni. Care sunt cele mai bune plugin-uri pentru securitatea WordPress? Iată cele mai bune alegeri:

• MalCare: MalCare este cel mai bun plugin de securitate disponibil; scanerul este foarte precis, firewall-ul este de încredere și un program automat de curățare a malware este foarte eficient. Fiecare plan include eliminarea nelimitată a programelor malware de către o echipă de experți în securitate. În afară de autentificarea cu doi factori, veți găsi fiecare caracteristică majoră și minoră de securitate WordPress în MalCare. Nu poți greși cu asta.
• Wordfence : Versiunea gratuită a Wordfence oferă o protecție destul de bună, inclusiv un scanner și un firewall. Firewall-ul este actualizat în mod regulat, dar versiunea gratuită este în urmă cu cea premium. Dacă se găsește conținut rău intenționat, va fi necesară actualizarea la un plan mai scump pentru a-l elimina în siguranță.
• Sucuri: Toate planurile plătite ale Sucuri vin cu eliminare nelimitată de malware. Dezavantajul este că scanerul nu este întotdeauna precis, așa că va trebui să fiți conștient de eventualele probleme de malware înainte de a putea face funcționarea funcției de eliminare.

Cum să alegi un plugin de securitate pentru WordPress?

Alegerea pluginului de securitate perfect pentru site-ul dvs. poate fi o provocare. Cu atât de multe soluții disponibile, poate fi dificil să știi care dintre ele este potrivită pentru nevoile tale. În această secțiune, voi trece peste caracteristicile cheie pe care ar trebui să le luați în considerare atunci când vă decideți asupra unui plugin de securitate, inclusiv instrumente de scanare, instrumente de protecție împotriva programelor malware, firewall-uri și multe altele.

Caracteristici esențiale de securitate

• Scanarea programelor malware: Încercarea de a rămâne înaintea băieților răi poate fi un joc fără sfârșit de pisică și șoarece. Din fericire, există modalități eficiente de a detecta automat malware pe site-uri.
  
  Cu toate acestea, nu toate metodele pe care pluginurile de securitate le folosesc pentru a identifica programele malware sunt la fel de eficiente. De exemplu, mecanismul de potrivire a semnăturilor utilizat de Wordfence compară codul oricărui program malware suspectat cu o bază de date cu semnături malware cunoscute. Baza de date trebuie să fie actualizată în mod regulat, astfel încât amenințările să fie detectate. După cum vă puteți imagina, noile programe malware și amenințările zero-day nu sunt prinse. MalCare folosește un mecanism de potrivire a semnalului mult mai fiabil, care examinează codul pentru a verifica dacă are intenții rău intenționate. În acest fel, chiar și cele mai noi amenințări sunt surprinse de scaner.

• Eliminarea programelor malware: dacă site-ul dvs. a fost lovit de programe malware, poate fi dificil de eliminat. În unele cazuri, puteți șterge fișierele rău intenționate și puteți repara fișierele site-ului afectate. Pentru cazuri mai complicate, totuși, poate fi necesar să apelați la ajutorul unui profesionist cu experiență în securitate. Multe pluginuri de securitate oferă eliminarea programelor malware ca o caracteristică premium pentru expertiza lor. MalCare este singurul cu o funcție fiabilă de eliminare automată a programelor malware și curățenie nelimitată de către experți în fiecare plan.

• Firewall: Nicio configurare de securitate nu este completă fără un firewall bun și de încredere. Firewall-urile acționează ca filtre pentru traficul de intrare și ajută la împiedicarea codului rău intenționat să se infiltreze pe site-ul dvs. Firewall-urile ar trebui să fie actualizate frecvent, să mențină o listă cuprinzătoare de jurnale și să se încarce înainte de WordPress pentru a fi cu adevărat eficiente.

Alte caracteristici de securitate

• Detectarea vulnerabilităților: Nimeni nu vrea să afle site-ul său web a fost piratat din cauza unei gauri de securitate despre care nu știau că există. Un scaner de vulnerabilități vă poate ajuta să identificați orice vulnerabilități din nucleul, pluginurile și temele dvs. WordPress, astfel încât să le puteți remedia rapid.

• Autentificare cu doi factori: pentru a vă ajuta să vă păstrați conturile de utilizator în siguranță, merită să luați în considerare autentificarea cu doi factori (2FA). Acest lucru adaugă un nivel suplimentar de securitate prin necesitatea a două metode diferite de autentificare înainte de a permite unui utilizator să se conecteze. Cu 2FA, utilizatorii au nevoie atât de ceva ce știu (cum ar fi un nume de utilizator și o parolă), cât și de ceva ce au (cum ar fi un telefon sau un token de securitate) .

• Protecție de conectare: este esențial să vă protejați zona de administrare WordPress de atacurile cu forță brută. Acestea sunt încercări automate de a pătrunde în contul dvs. prin ghicirea aleatorie a numelui de utilizator și a parolei. Pentru a vă proteja, ar trebui să instalați un plugin cu funcții de protecție a autentificarii.

• Jurnal de activitate: Dacă doriți să urmăriți ce se întâmplă pe site-ul dvs. web, un jurnal de activitate este un instrument grozav. Vă va ajuta să monitorizați toate schimbările care au loc pe site-ul dvs. și să identificați rapid orice evenimente de securitate. Acest lucru vă poate ajuta să răspundeți rapid la amenințări și să vă păstrați site-ul web în siguranță.

Probleme potențiale ale pluginurilor de securitate

• Impactul serverului: pluginurile de securitate pot pune sub presiune resursele serverului dvs., făcând site-ul mai lent și mai puțin receptiv. Acest lucru se datorează faptului că efectuează scanări de malware pe site-ul dvs. sau folosesc resursele serverului site-ului dvs. pentru a alimenta firewall-ul. Wordfence este cel mai grav infractor pe acest front. Pe de altă parte, MalCare este proiectat să-și efectueze scanările pe propriul server, astfel încât să nu folosească resursele proprii. Încercați să căutați pluginuri care nu vă încetinesc site-ul.

Gânduri finale

iThemes nici măcar nu merită puțina energie necesară pentru instalare. Are un scaner slab pentru programe malware, fără instrumente de eliminare a programelor malware și fără firewall. Este mai bine să o săriți peste el și să căutați soluții de securitate mai cuprinzătoare, cum ar fi MalCare.

Întrebări frecvente

Care sunt caracteristicile securității iThemes?

Ei pretind că au o mulțime de caracteristici, dar toate sunt clopote și fluiere. Ei susțin că au un scanner de malware, dar doar verifică dacă site-ul tău a fost inclus pe lista neagră. Ei spun că au o opțiune de a bloca IP-urile, dar nu funcționează cu adevărat. Au o protecție de conectare destul de inutilă, un jurnal de activitate incomplet, detectarea vulnerabilităților false și funcții de întărire abia utile. Singura caracteristică de securitate care funcționează este autentificarea cu doi factori.

Care este diferența dintre securitatea Wordfence și securitatea iThemes?

Wordfence este cel mai bun plugin de securitate gratuit, iar iThemes este cel mai prost. Wordfence are cel mai actualizat firewall, un scanner eficient și câteva opțiuni automate de eliminare a programelor malware. iThemes nu identifică de fapt malware-ul de pe site-ul dvs., nu are o funcție de eliminare a malware-ului și nici un firewall.

Cum îmi resetez securitatea iThemes?

Pentru a reseta parola, accesați pagina de conectare a panoului de membri iThemes. Există o secțiune pentru a reseta parola. Adăugați numele de utilizator sau adresa de e-mail asociată contului. Veți primi apoi un e-mail și un link pentru a reseta parola care este valabilă timp de 30 de minute.

Cum îmi anulez abonamentul iThemes?

Pentru a vă anula abonamentul iThemes, va trebui să contactați echipa de vânzări. Trimiteți-le un e-mail la [email protected]