iThemes 安全审查：值得在您的 WordPress 网站上安装吗？ - 医疗保健

已发表: 2023-04-07

iThemes Security 是一个 WordPress 安全插件，提供一系列旨在保护 WordPress 网站免受各种类型安全威胁的功能。但是值得在您的网站上安装吗？

我将对 iThemes Security 进行深入审查，评估其有效性、易用性、与其他 WordPress 插件的兼容性以及是否物有所值。到本文结束时，您应该更好地了解 iThemes Security 是否是满足您网站安全需求的正确选择。

安装 iThemes 几乎与零安全性相同。 事实上，我认为它实际上更糟，因为它可以把你完全锁在外面。 因此，如果您正在寻找能够真正保护您网站的安全插件，MalCare 绝对是您的不二之选。

概述

iThemes 可能看起来像一个安全插件，但它缺少三个最重要的功能。不要被所有的“折衷措施”所迷惑；他们只是为了表演。

例如，他们声称的方法是防患于未然，这是对网站漏洞的警惕，但他们实际上并没有采取任何措施来警告用户。禁止向他们发送包含每周发现的漏洞的摘要电子邮件。

在这个安全插件的娱乐场所的某个地方，有一些既有用又有效的次要安全功能。
然后，雪上加霜的是，他们使用另一个安全插件来保护自己的网站。花一点时间来处理一个安全插件站点没有使用他们自己的产品的事实。

关键安全功能和 iThemes

如果您正在寻找安全插件，有些功能是您必不可少的：恶意软件扫描程序、恶意软件清除程序和防火墙。在决定插件是否合适时，这些应该是您的首选。

这些功能是没有商量余地的，它们应该是任何评论中最重要的要点。然而，iThemes 在其网站的多个地方指出，这些确切的功能与 WordPress 安全性无关。我坚决不同意。

恶意软件扫描器

让我们从基础开始。它会扫描恶意软件吗？否。它会检查 Google 是否已将您的网站列入黑名单。您将在扫描结果的原始数据部分看到此信息。

当 Google 对您的网站进行恶意软件扫描时，iThemes 不会。 iThemes 正在帮助您确定您的网站是否已列入 Google 透明度报告，俗称 Google 黑名单。您绝对不需要 iThemes 来为您运行此扫描。您可以访问 Google 的网站并在几秒钟内自行获取信息。

考虑到扫描器不扫描恶意软件，自动扫描是一个有争议的问题。但是，重要的是要注意，一个好的安全插件应该自动并定期扫描恶意软件。

还有一个“查看日志”部分，其中显示了之前发生的事件。

恶意软件清除

iThemes 没有检测到恶意软件，因此他们无法删除恶意软件是理所当然的。因此，他们不提供任何类型的删除功能并不令人震惊：自动、手动或魔法。

防火墙

看起来 iThemes 没有防火墙，但他们声称允许 IP 黑名单。太糟糕了，它并没有真正起作用。机器人保护功能也很弱，它所做的只是防止搜索引擎机器人为您的网站编制索引。它所做的一件事是，它做得很糟糕，对您的网站有害。

您可以禁止 IP 和用户代理，或使用来自 hackrepair.com 的预先填充的禁止列表。但是这些命令可能会变得棘手，因为它们在 .htaccess 或 nginx.conf 文件中管理它们，所以它并不理想。这些是服务器配置文件，非常强大。但是，它们的预期用途是在特定站点的基础上自定义设置。其中之一是 IP 白名单或黑名单，但这些命令可能会变得非常笨重且难以在配置文件中管理。

因此，防火墙应该在别处。

您还可以在例外列表中输入 IP 地址，但由于设备 IP 总是在变化，因此用途有限。总的来说，没有留下深刻印象。

二级安全功能

看起来 iThemes 不能很好地执行重要的安全操作。但是像暴力保护和活动日志这样的任务呢？

登录保护

iThemes 在暴力保护方面很重要，但在这方面却很糟糕。谁会想到？

为了测试此功能，我将插件设置为在使用错误的密码或用户名尝试 10 次后将我们锁定在我的帐户之外。我在两种不同类型的网站上运行了这个测试。在普通网站上，我在尝试 10 次后被锁定，但在被黑的测试网站上，我尝试了 100 次并且没有被阻止。被阻止的尝试被记录为网络暴力攻击，而被允许的尝试被记录为本地暴力攻击。

我什至尝试手动暴力破解正常站点，但尽管 IP 已从禁止列表中删除，但我仍然没有被阻止。根据配置，它应该将我锁定 15 分钟。但那里没有运气。

有趣的是，任何错误的登录都被归类为暴力破解。 iThemes 的强力保护功能非常喜怒无常且不可预测。

漏洞检测

如果您感觉到一种模式，您可能会猜测 iThemes 声称检测易受攻击的插件是假的。我在我们的站点上安装了多个，但扫描没有检测到一个。

那么它如何警告您网站上的漏洞呢？ iThemes 偶尔会向您发送一封电子邮件，其中包含在插件和主题中检测到的新漏洞列表，因此您必须找出您网站上的漏洞并进行更新。您可以取消订阅电子邮件并完全错过任何漏洞。这根本不是一种主动的方法，您有责任识别您网站上的漏洞。

更可笑的是，他们有一个版本管理功能，专门用于更新过时的插件和主题，但他们似乎无法在仪表板上添加哪些有漏洞。

双因素身份验证

iThemes 上的双因素身份验证与宣传的完全一样。您可以使用多种方法设置双因素身份验证，包括移动应用程序、电子邮件和备份代码。

此外，还可以根据用户角色设置 2FA，以及 REST API 和 XML-RPC 的单独应用程序密码，这些密码不能用于传统登录。此设置可以在用户配置文件中找到，并可以从那里进行设置。

但是，出于安全考虑，XML-RPC 通常被禁用，从而限制了这些单独密码的实用性。

活动日志

为管理员启用了用户活动日志，但不幸的是，并非所有事件都被准确记录，因此它几乎没有用。

强化功能

文件监控：就目前而言，这不是您可以依赖的安全功能。您可以监视文件和文件夹的意外更改，但这样做有一些问题。您需要知道要监视哪些文件，并能够区分好的更改和坏的更改。另外，黑客可以更改文件的修改日期，所以我不确定此功能将如何处理。

文件扩展名排除列表还包括已知会携带恶意软件的 jpeg 和 ico，这无济于事。它还不会检测插件/主题安装、插件更新或帖子和页面的更改。

强化工具：本节中的选项。例如，您可以更改数据库前缀，并从这里更改您的 WordPress 盐，这很好。您通常会使用 WordPress 生成器来执行此操作，然后必须在 wp-config 文件中手动更改盐，因此这是一个方便的工具。如果您不知道在哪里查找该信息，“检查文件权限”也很有用。但是您不能在此处更改权限，也没有说明如何操作。识别服务器 IP 的功能可帮助您确定您的 IP 是什么，以便您可以将其添加到禁止列表中。这充其量只是一种装饰，因为它可以在其他地方轻松完成。

在上传文件夹、插件文件夹和主题文件夹中阻止 PHP 执行：从描述来看，iThemes 似乎阻止了对 PHP 脚本的外部请求。它对一种类型的 hack 很有用，所以我建议将它用于上传文件夹。但是插件和主题肯定会有脚本，所以屏蔽它们是否有意义取决于站点。如果文件不是直接从那里调用，而是使用诸如 admin-ajax 之类的东西，那就没问题了。但是有些插件有需要直接访问的脚本，这些会中断。普通用户很难确定这一点。

安装和配置 iThemes

到目前为止，我在安全功能方面运气不佳。但是可用性呢？安装和配置容易吗？

安装

安装免费版本非常简单，尽管有一个漫长且最终不必要的安装过程。对于专业版，您需要注册许可证并从他们的网站下载插件。

使用方便

iThemes 使用起来真的很混乱。技术术语和复杂的设置让日常用户难以理解。它似乎也没有做它声称的事情。对可用性表示不满。

通知和警报

根本没有警报。我完全赞成避免过多的警报，但是对于 iThemes，无论您尝试和更改什么设置，您都不会得到任何警报。即使您想要通知，也不会收到通知。

用户管理

当然，您可以根据用户角色设置安全设置，但其中很多都是多余的。例如，应该为所有用户提供强密码。有很多选项，乍一看令人印象深刻，但实际上，您不需要深入细节。因为，如果一个用户级别的帐户被黑客入侵，黑客可能会将他们的权限提升到管理员级别。底线是此功能并不像看起来那么有用。

其他需要考虑的因素

iThemes 算不上安全插件。但是，除了安全性之外，在选择 iThemes 时还需要考虑其他一些因素。在这里，我就说说插件对服务器的影响，支持的好不好。

对服务器资源的影响

在服务器资源方面，iThemes 获得满分。完全没有影响：它太轻了，几乎就像插件不存在或做任何事情一样。那轨道。

帮助和支持

至于帮助和支持，我没有亲自测试过。但是，查看 WordPress 存储库上的评论表明它不是很好。

价钱

iThemes 的定价最近发生了变化，这并没有什么意义。以前，他们有一个无限站点的顶级计划。现在，计划范围从 1 个站点 99 美元到 10 个站点 299 美元不等。无论是旧定价还是新定价，iThemes 绝对是浪费金钱。

iThemes 的最佳替代品是什么？

由于我在这篇评论中严厉批评了 iThemes，因此您需要选择。哪些是 WordPress 安全的最佳插件？以下是首选：

MalCare： MalCare 是最好的安全插件；扫描仪超级准确，防火墙可靠，自动恶意软件清除器非常有效。每个计划都包括由安全专家团队进行的无限制恶意软件清除。除了双因素身份验证外，您还可以在 MalCare 中找到所有主要和次要的 WordPress 安全功能。你不会错的。
Wordfence ：Wordfence 的免费版本提供了很好的保护，包括扫描程序和防火墙。防火墙会定期更新，但免费版落后于高级版。如果发现恶意内容，则需要升级到更昂贵的计划才能安全删除它。
Sucuri： Sucuri 的所有付费计划都附带无限制的恶意软件清除。缺点是扫描器并不总是准确的，因此您需要先了解任何潜在的恶意软件问题，然后才能使用删除功能。

如何为 WordPress 选择安全插件？

为您的网站选择完美的安全插件可能是一个挑战。有这么多的解决方案，可能很难知道哪一个最适合您的需求。在本节中，我将介绍在决定安全插件时应考虑的主要功能，包括扫描工具、恶意软件防护工具、防火墙等。

重要的安全功能

恶意软件扫描：试图领先于坏人可能感觉像是一场永无止境的猫捉老鼠游戏。值得庆幸的是，有一些有效的方法可以自动检测网站上的恶意软件。

但是，并非安全插件用于识别恶意软件的所有方法都同样有效。例如，Wordfence 使用的签名匹配机制将任何可疑恶意软件的代码与已知恶意软件签名的数据库进行比较。数据库必须定期更新，以便检测到威胁。可以想象，新的恶意软件和零日威胁不会被捕获。 MalCare 使用可靠得多的信号匹配机制，该机制审查代码以检查其是否具有恶意意图。这样，即使是最新的威胁也能被扫描器捕获。

恶意软件清除：如果您的网站受到恶意软件攻击，则很难清除。在某些情况下，您可以删除恶意文件并修复受影响的站点文件。但是，对于更复杂的情况，您可能需要寻求经验丰富的安全专家的帮助。许多安全插件提供恶意软件删除作为其专业知识的高级功能。 MalCare 是唯一一款具有可靠的自动恶意软件删除功能，并且在每个计划中都由专家进行无限制清理的产品。

防火墙：没有良好、可靠的防火墙，任何安全设置都是不完整的。防火墙充当传入流量的过滤器，有助于防止恶意代码渗入您的网站。防火墙应该经常更新，维护完整的日志列表，并在 WordPress 之前加载才能真正有效。

其他安全功能

漏洞检测：没有人愿意发现他们的网站因为他们不知道存在的安全漏洞而被黑客入侵。漏洞扫描器可以帮助您发现 WordPress 核心、插件和主题中的任何漏洞，因此您可以快速修补它们。

双因素身份验证：为了帮助确保您的用户帐户安全，值得考虑双因素身份验证 (2FA)。这通过在允许用户登录之前要求两种不同的身份验证方法来增加额外的安全层。使用 2FA，用户需要他们知道的东西（如用户名和密码）和他们拥有的东西（如电话或安全令牌） .

登录保护：保护您的 WordPress 管理区域免受暴力攻击至关重要。这些是通过随机猜测您的用户名和密码自动尝试侵入您的帐户。为了保护自己，您应该安装具有登录保护功能的插件。

活动日志：如果您想密切关注网站上发生的事情，活动日志是一个很好的工具。它将帮助您监控站点上发生的所有更改并快速识别任何安全事件。这可以帮助您快速响应威胁并确保您的网站安全无虞。

安全插件的潜在问题

服务器影响：安全插件会对您的服务器资源造成压力，使您的网站速度变慢且响应速度变慢。这是因为他们对您的网站进行恶意软件扫描，或使用您网站的服务器资源来支持防火墙。 Wordfence 是这方面最严重的违规者。另一方面，MalCare 设计为在自己的服务器上执行扫描，因此它不会使用您自己的任何资源。尝试寻找不会减慢您网站速度的插件。

最后的想法

iThemes 甚至不值得安装它所花费的一点精力。它的恶意软件扫描程序很差，没有恶意软件清除工具，也没有防火墙。您最好跳过它并查看更全面的安全解决方案，例如 MalCare。

常见问题

iThemes 安全性有哪些特点？

他们声称有很多功能，但都是花里胡哨的东西。他们声称拥有恶意软件扫描程序，但他们只是在检查您的网站是否被列入黑名单。他们说他们可以选择阻止 IP，但实际上并没有用。他们有一个非常无用的登录保护、一个不完整的活动日志、虚假的漏洞检测和几乎没有用的强化功能。唯一有效的安全功能是双因素身份验证。

Wordfence 安全性和 iThemes 安全性有什么区别？

Wordfence 是最好的免费安全插件，而 iThemes 是最差的。 Wordfence 拥有最新的防火墙、最有效的扫描仪和一些自动删除恶意软件的选项。 iThemes 实际上并没有识别您网站上的恶意软件，没有恶意软件删除功能，也没有防火墙。

如何重置我的 iThemes 安全性？

要重置密码，请转到 iThemes 会员面板登录页面。有一个部分可以重置密码。添加与帐户关联的用户名或电子邮件。然后，您将收到一封电子邮件和一个链接，用于重置密码，有效期为 30 分钟。

如何取消我的 iThemes 订阅？

要取消您的 iThemes 订阅，您必须联系他们的销售团队。发送电子邮件至 [email protected]