Обзор безопасности iThemes: стоит ли устанавливать на ваш сайт WordPress? - Злоупотребление

iThemes Security — это плагин безопасности WordPress, который предлагает ряд функций, предназначенных для защиты сайтов WordPress от различных типов угроз безопасности. Но стоит ли устанавливать его на свой сайт?

Я предоставлю подробный обзор iThemes Security, оценив его эффективность, простоту использования, совместимость с другими плагинами WordPress и его стоимость. К концу этой статьи вы должны лучше понять, является ли iThemes Security правильным выбором для обеспечения безопасности вашего веб-сайта.

Установка iThemes почти ничем не отличается от безопасности. На самом деле, я бы сказал, что это на самом деле хуже, потому что это может полностью вас заблокировать. Итак, если вы ищете плагин безопасности, который действительно защитит ваш сайт, MalCare, безусловно, то, что вам нужно.

Обзор

iThemes может выглядеть как плагин безопасности, но в нем отсутствуют три самые важные функции. Не обманывайтесь всеми полумерами; они просто для шоу.

Например, их заявленный подход заключается в блокировании атак до того, как они произойдут, что означает бдительность в отношении уязвимостей на сайте, но на самом деле они не делают ничего, чтобы предупредить пользователя. Запрет еженедельно отправлять им дайджесты электронных писем с найденными уязвимостями.

Где-то в этом веселом плагине безопасности есть несколько второстепенных функций безопасности, которые одновременно полезны и работают.
И затем, чтобы добавить оскорбление к травме, они используют другой плагин безопасности для защиты своего собственного сайта. Потратьте минуту, чтобы обдумать тот факт, что сайт плагина безопасности не использует свой собственный продукт.

Критические функции безопасности и iThemes

Если вы ищете плагин безопасности, есть определенные функции, без которых вы не сможете обойтись: сканер вредоносных программ, средство очистки от вредоносных программ и брандмауэр. Они должны быть первыми в вашем списке, когда вы решаете, подходит ли плагин.

Эти функции не подлежат обсуждению, и они должны быть наиболее важными моментами любого обзора. Однако iThemes указали в разных местах на своем сайте, что именно эти функции не связаны с безопасностью WordPress. Я категорически не согласен.

Сканер вредоносных программ

Начнем с основ. Сканирует ли он на наличие вредоносных программ? Нет. Он проверяет, не внес ли Google ваш сайт в черный список. Вы увидите эту информацию в разделе необработанных данных результатов сканирования.

Пока Google проводит сканирование вашего сайта на наличие вредоносных программ, iThemes этого не делает. iThemes помогает вам выяснить, попал ли ваш сайт в отчет о прозрачности Google, который в просторечии называется черным списком Google. Вам абсолютно не нужны iThemes для запуска этого сканирования. Вы можете зайти на сайт Google и получить информацию буквально за секунды.

Учитывая, что сканер не сканирует на наличие вредоносных программ, автоматическое сканирование является спорным вопросом. Однако важно отметить, что хороший плагин безопасности должен автоматически и регулярно сканировать на наличие вредоносных программ.

Существует также раздел «Просмотр журналов», в котором отображаются события, которые произошли ранее.

Удаление вредоносных программ

iThemes не обнаруживала вредоносное ПО, и само собой разумеется, что они не смогут удалить вредоносное ПО. Так что не было полным шоком, что они не предлагают никакого удаления: автоматического, ручного или магического.

Брандмауэр

Похоже, у iThemes нет брандмауэра, но они утверждают, что разрешают занесение IP-адресов в черный список. Жаль, что это действительно не работает. Функция защиты от ботов также довольно слаба, и все, что она делает, — это предотвращает индексацию вашего сайта ботами поисковых систем. Единственное, что он делает, он делает так плохо, что наносит ущерб вашему сайту.

Вы можете заблокировать IP-адреса и пользовательские агенты или использовать предварительно заполненный список запретов на сайте hackrepair.com. Но эти команды могут оказаться сложными, потому что они управляют ими в файле .htaccess или nginx.conf, так что это не идеально. Это файлы конфигурации сервера, и они невероятно мощные. Однако их предполагаемое использование заключается в настройке параметров для конкретного сайта. Одной из таких вещей является белый или черный список IP-адресов, но эти команды могут стать очень громоздкими и сложными для управления в файле конфигурации.

Следовательно, брандмауэр должен быть в другом месте.

Вы также можете ввести IP-адреса в список исключений, но это имеет ограниченное применение, поскольку IP-адреса устройств постоянно меняются. В общем, не впечатлил.

Второстепенные функции безопасности

Похоже, iThemes не очень хорошо выполняет важные действия по обеспечению безопасности. Но как насчет таких задач, как защита от перебора и журналы активности?

Защита входа

iThemes отлично справляется с защитой от грубой силы, но в этом она ужасна. Кто бы мог подумать?

Чтобы протестировать эту функцию, я настроил плагин, чтобы заблокировать нас от моей учетной записи после 10 попыток с неправильным паролем или именем пользователя. Я провел этот тест на двух разных типах сайтов. На обычном сайте я был заблокирован после 10 попыток, но на взломанном тестовом сайте я получил до 100 попыток и не был заблокирован. Заблокированные попытки регистрировались как сетевые атаки методом перебора, а разрешенные — как локальные атаки с полным перебором.

Я даже пытался вручную брутфорсить нормальный сайт, но, несмотря на то, что IP-адрес был удален из списка запрещенных, я все еще не был заблокирован. Согласно настройкам, он должен был заблокировать меня на 15 минут. Но тут не повезло.

Интересно отметить, что любой ошибочный вход в систему классифицируется как грубая сила. Функция защиты от перебора iThemes довольно темпераментна и непредсказуема.

Обнаружение уязвимостей

Если вы чувствуете закономерность, вы, вероятно, догадаетесь, что заявления iThemes об обнаружении уязвимых плагинов являются фиктивными. У меня было несколько установленных на наших сайтах, и сканирование не обнаружило ни одного.

Так как же он предупреждает вас об уязвимостях на вашем сайте? iThemes время от времени отправляет вам электронное письмо со списком новых уязвимостей, обнаруженных в плагинах и темах в целом, поэтому вам нужно выяснить, какие из них есть на вашем сайте, и обновить их. Вы можете отписаться от электронной почты и полностью пропустить любые уязвимости. Это вовсе не упреждающий подход, и вы должны определить уязвимости на своем сайте.

Еще более нелепо, что у них есть функция управления версиями, которая специально предназначена для обновления устаревших плагинов и тем, но они не могут добавить, какие из них имеют уязвимости на панели инструментов.

Двухфакторная аутентификация

Двухфакторная аутентификация в iThemes работает именно так, как рекламируется. Вы можете настроить двухфакторную аутентификацию несколькими способами, включая мобильное приложение, электронную почту и резервные коды.

Кроме того, можно установить 2FA на основе ролей пользователей, а также отдельные пароли приложений для REST API и XML-RPC, которые нельзя использовать для традиционных входов в систему. Этот параметр можно найти в профиле пользователя и установить оттуда.

Однако из соображений безопасности XML-RPC обычно отключается, что ограничивает полезность этих отдельных паролей.

Журнал активности

Журнал активности пользователей включен для администраторов, но, к сожалению, не все события регистрируются точно, поэтому он практически бесполезен.

Особенности закалки

• Мониторинг файлов. В настоящее время это не та функция, на которую можно положиться в плане безопасности. Вы можете отслеживать файлы и папки на наличие неожиданных изменений, но с этим есть несколько проблем. Вам нужно знать, какие файлы отслеживать, и уметь отличать хорошие изменения от плохих. Кроме того, хакеры могут изменять даты модификации файлов, поэтому я не уверен, как эта функция справится с этим.
  
  В список исключенных расширений файлов также входят jpeg и ico, которые, как известно, содержат вредоносное ПО, что бесполезно. Он также не обнаруживает установки плагинов/тем, обновления плагинов и изменения сообщений и страниц.

• Инструменты повышения прочности: параметры в этом разделе. Например, вы можете изменить префикс базы данных и изменить свои соли WordPress отсюда, что приятно. Обычно для этого вы используете генератор WordPress, а затем вручную меняете соли в файле wp-config, так что это удобный инструмент. Функция «Проверить права доступа к файлам» также полезна, если вы не знаете, где искать эту информацию. Но вы не можете изменить разрешения здесь, и нет никаких указаний, как это сделать. Функция идентификации IP-адресов серверов поможет вам выяснить, какой у вас IP-адрес, чтобы вы могли добавить его в список запрещенных. Это в лучшем случае оборка, так как это можно сделать в другом месте так же легко.

• Блокировать выполнение PHP в папке загрузки, папках плагинов и папках тем: Судя по описанию, iThemes блокирует внешние запросы к PHP-скриптам. Это полезно для одного типа хаков, поэтому я рекомендую использовать его для папки загрузок. А вот в плагинах и темах обязательно будут скрипты, так что от сайта зависит, есть ли смысл их блокировать. Если файлы не вызываются напрямую оттуда, а вместо этого используется что-то вроде admin-ajax, то все в порядке. Но у некоторых плагинов есть скрипты, к которым нужно обращаться напрямую, и они сломаются. Обычному пользователю сложно это определить.

Установка и настройка iThemes

До сих пор мне не очень везло с функциями безопасности. Но как насчет удобства использования; легко ли установить и настроить?

Монтаж

Установить бесплатную версию очень просто, хотя процесс установки является длительным и, в конечном счете, ненужным. Для профессиональной версии вам необходимо подписаться на лицензию и скачать плагин с их сайта.

Простота использования

iThemes действительно сбивает с толку. Технический жаргон и сложные настройки затрудняют понимание для обычных пользователей. Он также, похоже, не делает то, что заявляет. Недурно за удобство использования.

Уведомления и оповещения

Никаких оповещений вообще. Я за то, чтобы избегать чрезмерных предупреждений, но с iThemes, независимо от того, какие настройки вы пытаетесь изменить, вы ничего не получите. Даже если вы хотите получать уведомления, вы их не получите.

Управление пользователями

Конечно, вы можете установить параметры безопасности на основе ролей пользователей, но многие из них являются избыточными. Например, надежные пароли должны быть предоставлены всем пользователям. Существует множество вариантов, которые на первый взгляд выглядят впечатляюще, но на самом деле вам не нужно вдаваться в детализированные детали. Потому что, если одна учетная запись уровня пользователя будет взломана, хакеры потенциально могут повысить свои привилегии до уровня администратора. Суть в том, что эта функция не так полезна, как кажется.

Другие факторы, которые следует учитывать

iThemes не очень похож на плагин безопасности. Но помимо безопасности есть еще несколько факторов, которые следует учитывать при выборе iThemes. Здесь я расскажу о влиянии плагина на сервер и о хорошей поддержке.

Влияние на ресурсы сервера

Когда дело доходит до серверных ресурсов, iThemes получает высший балл. Никакого воздействия: он настолько легкий, что кажется, что плагина вообще нет или он вообще ничего не делает. Это отслеживает.

Помощь и поддержка

Что касается помощи и поддержки, я не проверял это на себе. Однако просмотр обзоров в репозитории WordPress показывает, что это не очень хорошо.

Цены

Цены на iThemes недавно изменились, и это не имеет особого смысла. Раньше у них был план высшего уровня для неограниченного количества сайтов. Теперь планы варьируются от 99 долларов за 1 сайт до 299 долларов за 10 сайтов. Будь то старая цена или новая, iThemes определенно является пустой тратой денег.

Каковы лучшие альтернативы iThemes?

Поскольку в этом обзоре я раскритиковал iThemes, вам нужны варианты. Какие лучшие плагины для безопасности WordPress? Вот лучшие варианты:

• MalCare: MalCare — лучший плагин безопасности; сканер очень точен, брандмауэр надежен, а автоматическое средство очистки от вредоносных программ очень эффективно. Каждый план включает неограниченное удаление вредоносных программ командой экспертов по безопасности. Помимо двухфакторной аутентификации, в MalCare вы найдете все основные и второстепенные функции безопасности WordPress. Вы не ошибетесь.
• Wordfence : бесплатная версия Wordfence предлагает довольно хорошую защиту, включая сканер и брандмауэр. Брандмауэр регулярно обновляется, но бесплатная версия отстает от премиум-версии. Если вредоносный контент будет обнаружен, для его безопасного удаления потребуется перейти на более дорогой тарифный план.
• Sucuri: все платные планы Sucuri включают неограниченное удаление вредоносных программ. Недостатком является то, что сканер не всегда точен, поэтому вам необходимо знать о любых потенциальных проблемах с вредоносными программами, прежде чем вы сможете заставить работать функцию удаления.

Как выбрать плагин безопасности для WordPress?

Выбор идеального плагина безопасности для вашего сайта может быть сложной задачей. С таким количеством решений может быть трудно понять, какое из них подходит для ваших нужд. В этом разделе я расскажу об основных функциях, которые следует учитывать при выборе подключаемого модуля безопасности, включая инструменты сканирования, средства защиты от вредоносных программ, брандмауэры и многое другое.

Важнейшие функции безопасности

• Сканирование вредоносных программ: попытка опередить злоумышленников может показаться бесконечной игрой в кошки-мышки. К счастью, существуют эффективные способы автоматического обнаружения вредоносных программ на сайтах.
  
  Однако не все методы, которые плагины безопасности используют для выявления вредоносного ПО, одинаково эффективны. Например, механизм сопоставления сигнатур, используемый Wordfence, сравнивает код любого подозреваемого вредоносного ПО с базой данных известных сигнатур вредоносных программ. База данных должна регулярно обновляться, чтобы обнаруживать угрозы. Как вы понимаете, новые вредоносные программы и угрозы нулевого дня не обнаруживаются. MalCare использует гораздо более надежный механизм сопоставления сигналов, который проверяет код на наличие злонамеренных намерений. Таким образом, даже самые новые угрозы обнаруживаются сканером.

• Удаление вредоносных программ. Если ваш сайт заражен вредоносными программами, избавиться от них может быть сложно. В некоторых случаях вы можете удалить вредоносные файлы и восстановить поврежденные файлы сайта. Однако в более сложных случаях вам может понадобиться помощь опытного специалиста по безопасности. Многие плагины безопасности предлагают удаление вредоносных программ в качестве дополнительной функции за свой опыт. MalCare — единственная программа с надежной функцией автоматического удаления вредоносных программ и неограниченной очисткой экспертами в каждом плане.

• Брандмауэр. Ни одна настройка безопасности не будет полной без хорошего и надежного брандмауэра. Брандмауэры действуют как фильтры для входящего трафика и помогают предотвратить проникновение вредоносного кода на ваш сайт. Брандмауэры должны часто обновляться, поддерживать полный список журналов и загружаться до WordPress, чтобы быть действительно эффективными.

Другие функции безопасности

• Обнаружение уязвимостей: никто не хочет узнать, что их веб-сайт был взломан из-за дыры в системе безопасности, о существовании которой они не знали. Сканер уязвимостей может помочь вам обнаружить любые уязвимости в вашем ядре WordPress, плагинах и темах, чтобы вы могли быстро их исправить.

• Двухфакторная аутентификация. Чтобы защитить ваши учетные записи пользователей, стоит рассмотреть возможность двухфакторной аутентификации (2FA). Это добавляет дополнительный уровень безопасности, требуя два разных метода аутентификации, прежде чем разрешить пользователю войти в систему. С 2FA пользователям нужно как то, что они знают (например, имя пользователя и пароль), так и то, что у них есть (например, телефон или токен безопасности). .

• Защита входа: очень важно защитить вашу административную область WordPress от атак грубой силы. Это автоматические попытки взлома вашей учетной записи путем случайного подбора имени пользователя и пароля. Чтобы защитить себя, вам следует установить плагин с функциями защиты входа в систему.

• Журнал активности. Если вы хотите следить за тем, что происходит на вашем веб-сайте, журнал активности — отличный инструмент. Это поможет вам отслеживать все изменения, происходящие на вашем сайте, и быстро выявлять любые события безопасности. Это может помочь вам быстро реагировать на угрозы и обеспечивать безопасность вашего веб-сайта.

Возможные проблемы плагинов безопасности

• Воздействие на сервер: подключаемые модули безопасности могут создавать нагрузку на ресурсы вашего сервера, делая ваш сайт медленнее и менее отзывчивым. Это связано с тем, что они проводят сканирование вашего сайта на наличие вредоносных программ или используют ресурсы сервера вашего сайта для питания брандмауэра. Wordfence — худший преступник на этом фронте. С другой стороны, MalCare предназначен для выполнения сканирования на собственном сервере, поэтому он не будет использовать какие-либо ваши собственные ресурсы. Попробуйте найти плагины, которые не замедляют работу вашего сайта.

Последние мысли

iThemes не стоит даже тех небольших затрат энергии, которые потребуются для установки. У него плохой сканер вредоносных программ, нет инструментов для удаления вредоносных программ и нет брандмауэра. Вам лучше пропустить его и посмотреть на более комплексные решения безопасности, такие как MalCare.

Часто задаваемые вопросы

Каковы особенности безопасности iThemes?

Они утверждают, что имеют много функций, но это все прибамбасы. Они утверждают, что у них есть сканер вредоносных программ, но они просто проверяют, не попал ли ваш сайт в черный список. Они говорят, что у них есть возможность заблокировать IP-адреса, но на самом деле это не работает. У них довольно бесполезная защита входа в систему, неполный журнал активности, фиктивное обнаружение уязвимостей и малополезные функции защиты. Единственная работающая функция безопасности — двухфакторная аутентификация.

В чем разница между безопасностью Wordfence и безопасностью iThemes?

Wordfence — лучший бесплатный плагин безопасности, а iThemes — худший. Wordfence имеет самый обновленный брандмауэр, наиболее эффективный сканер и некоторые параметры автоматического удаления вредоносных программ. iThemes на самом деле не идентифицирует вредоносные программы на вашем сайте, не имеет функции удаления вредоносных программ и брандмауэра.

Как сбросить настройки безопасности iThemes?

Чтобы сбросить пароль, перейдите на страницу входа в iThemes Member Panel. Есть раздел для сброса пароля. Добавьте имя пользователя или адрес электронной почты, связанный с учетной записью. Затем вы получите электронное письмо и ссылку для сброса пароля, действительного в течение 30 минут.

Как отменить подписку на iThemes?

Чтобы отменить подписку на iThemes, вам нужно будет связаться с их отделом продаж. Напишите им на [email protected]