iThemes 安全審查：值得在您的 WordPress 網站上安裝嗎？ - 醫療保健

已發表: 2023-04-07

iThemes Security 是一個 WordPress 安全插件，提供一系列旨在保護 WordPress 網站免受各種類型安全威脅的功能。但是值得在您的網站上安裝嗎？

我將對 iThemes Security 進行深入審查，評估其有效性、易用性、與其他 WordPress 插件的兼容性以及是否物有所值。到本文結束時，您應該更好地了解 iThemes Security 是否是滿足您網站安全需求的正確選擇。

安裝 iThemes 幾乎與零安全性相同。 事實上，我認為它實際上更糟，因為它可以把你完全鎖在外面。 因此，如果您正在尋找能夠真正保護您網站的安全插件，MalCare 絕對是您的不二之選。

概述

iThemes 可能看起來像一個安全插件，但它缺少三個最重要的功能。不要被所有的“折衷措施”所迷惑；他們只是為了表演。

例如，他們聲稱的方法是防患於未然，這是對網站漏洞的警惕，但他們實際上並沒有採取任何措施來警告用戶。禁止向他們發送包含每週發現的漏洞的摘要電子郵件。

在這個安全插件的娛樂場所的某個地方，有一些既有用又有效的次要安全功能。
然後，雪上加霜的是，他們使用另一個安全插件來保護自己的網站。花一點時間來處理一個安全插件站點沒有使用他們自己的產品的事實。

關鍵安全功能和 iThemes

如果您正在尋找安全插件，有些功能是您必不可少的：惡意軟件掃描程序、惡意軟件清除程序和防火牆。在決定插件是否合適時，這些應該是您的首選。

這些功能是沒有商量餘地的，它們應該是任何評論中最重要的要點。然而，iThemes 在其網站的多個地方指出，這些確切的功能與 WordPress 安全性無關。我堅決不同意。

惡意軟件掃描器

讓我們從基礎開始。它會掃描惡意軟件嗎？否。它會檢查 Google 是否已將您的網站列入黑名單。您將在掃描結果的原始數據部分看到此信息。

當 Google 對您的網站進行惡意軟件掃描時，iThemes 不會。 iThemes 正在幫助您確定您的網站是否已列入 Google 透明度報告，俗稱 Google 黑名單。您絕對不需要 iThemes 來為您運行此掃描。您可以訪問 Google 的網站並在幾秒鐘內自行獲取信息。

考慮到掃描器不掃描惡意軟件，自動掃描是一個有爭議的問題。但是，重要的是要注意，一個好的安全插件應該自動並定期掃描惡意軟件。

還有一個“查看日誌”部分，其中顯示了之前發生的事件。

惡意軟件清除

iThemes 沒有檢測到惡意軟件，因此他們無法刪除惡意軟件是理所當然的。因此，他們不提供任何類型的刪除功能並不令人震驚：自動、手動或魔法。

防火牆

看起來 iThemes 沒有防火牆，但他們聲稱允許 IP 黑名單。太糟糕了，它並沒有真正起作用。機器人保護功能也很弱，它所做的只是防止搜索引擎機器人為您的網站編制索引。它所做的一件事是，它做得很糟糕，對您的網站有害。

您可以禁止 IP 和用戶代理，或使用來自 hackrepair.com 的預先填充的禁止列表。但是這些命令可能會變得棘手，因為它們在 .htaccess 或 nginx.conf 文件中管理它們，所以它並不理想。這些是服務器配置文件，非常強大。但是，它們的預期用途是在特定站點的基礎上自定義設置。其中之一是 IP 白名單或黑名單，但這些命令可能會變得非常笨重且難以在配置文件中管理。

因此，防火牆應該在別處。

您還可以在例外列表中輸入 IP 地址，但由於設備 IP 總是在變化，因此用途有限。總的來說，沒有留下深刻印象。

二級安全功能

看起來 iThemes 不能很好地執行重要的安全操作。但是像暴力保護和活動日誌這樣的任務呢？

登錄保護

iThemes 在暴力保護方面很重要，但在這方面卻很糟糕。誰會想到？

為了測試此功能，我將插件設置為在使用錯誤的密碼或用戶名嘗試 10 次後將我們鎖定在我的帳戶之外。我在兩種不同類型的網站上運行了這個測試。在普通網站上，我在嘗試 10 次後被鎖定，但在被黑的測試網站上，我嘗試了 100 次並且沒有被阻止。被阻止的嘗試被記錄為網絡暴力攻擊，而被允許的嘗試被記錄為本地暴力攻擊。

我什至嘗試手動暴力破解正常站點，但儘管 IP 已從禁止列表中刪除，但我仍然沒有被阻止。根據配置，它應該將我鎖定 15 分鐘。但那裡沒有運氣。

有趣的是，任何錯誤的登錄都被歸類為暴力破解。 iThemes 的強力保護功能非常喜怒無常且不可預測。

漏洞檢測

如果您感覺到一種模式，您可能會猜測 iThemes 聲稱檢測易受攻擊的插件是假的。我在我們的站點上安裝了多個，但掃描沒有檢測到一個。

那麼它如何警告您網站上的漏洞呢？ iThemes 偶爾會向您發送一封電子郵件，其中包含在插件和主題中檢測到的新漏洞列表，因此您必須找出您網站上的漏洞並進行更新。您可以取消訂閱電子郵件並完全錯過任何漏洞。這根本不是一種主動的方法，您有責任識別您網站上的漏洞。

更可笑的是，他們有一個版本管理功能，專門用於更新過時的插件和主題，但他們似乎無法在儀表板上添加哪些有漏洞。

雙因素身份驗證

iThemes 上的雙因素身份驗證與宣傳的完全一樣。您可以使用多種方法設置雙因素身份驗證，包括移動應用程序、電子郵件和備份代碼。

此外，還可以根據用戶角色設置 2FA，以及 REST API 和 XML-RPC 的單獨應用程序密碼，這些密碼不能用於傳統登錄。此設置可以在用戶配置文件中找到，並可以從那裡進行設置。

但是，出於安全考慮，XML-RPC 通常被禁用，從而限制了這些單獨密碼的實用性。

活動日誌

為管理員啟用了用戶活動日誌，但不幸的是，並非所有事件都被準確記錄，因此它幾乎沒有用。

強化功能

文件監控：就目前而言，這不是您可以依賴的安全功能。您可以監視文件和文件夾的意外更改，但這樣做有一些問題。您需要知道要監視哪些文件，並能夠區分好的更改和壞的更改。另外，黑客可以更改文件的修改日期，所以我不確定此功能將如何處理。

文件擴展名排除列表還包括已知會攜帶惡意軟件的 jpeg 和 ico，這無濟於事。它還不會檢測插件/主題安裝、插件更新或帖子和頁面的更改。

強化工具：本節中的選項。例如，您可以更改數據庫前綴，並從這裡更改您的 WordPress 鹽，這很好。您通常會使用 WordPress 生成器來執行此操作，然後必須在 wp-config 文件中手動更改鹽，因此這是一個方便的工具。如果您不知道在哪裡查找該信息，“檢查文件權限”也很有用。但是您不能在此處更改權限，也沒有說明如何操作。識別服務器 IP 的功能可幫助您確定您的 IP 是什麼，以便您可以將其添加到禁止列表中。這充其量只是一種裝飾，因為它可以在其他地方輕鬆完成。

在上傳文件夾、插件文件夾和主題文件夾中阻止 PHP 執行：從描述來看，iThemes 似乎阻止了對 PHP 腳本的外部請求。它對一種類型的 hack 很有用，所以我建議將它用於上傳文件夾。但是插件和主題肯定會有腳本，所以屏蔽它們是否有意義取決於站點。如果文件不是直接從那裡調用，而是使用諸如 admin-ajax 之類的東西，那就沒問題了。但是有些插件有需要直接訪問的腳本，這些會中斷。普通用戶很難確定這一點。

安裝和配置 iThemes

到目前為止，我在安全功能方面運氣不佳。但是可用性呢？安裝和配置容易嗎？

安裝

安裝免費版本非常簡單，儘管有一個漫長且最終不必要的安裝過程。對於專業版，您需要註冊許可證並從他們的網站下載插件。

使用方便

iThemes 使用起來真的很混亂。技術術語和復雜的設置讓日常用戶難以理解。它似乎也沒有做它聲稱的事情。對可用性表示不滿。

通知和警報

根本沒有警報。我完全贊成避免過多的警報，但是對於 iThemes，無論您嘗試和更改什麼設置，您都不會得到任何警報。即使您想要通知，也不會收到通知。

用戶管理

當然，您可以根據用戶角色設置安全設置，但其中很多都是多餘的。例如，應該為所有用戶提供強密碼。有很多選項，乍一看令人印象深刻，但實際上，您不需要深入細節。因為，如果一個用戶級別的帳戶被黑客入侵，黑客可能會將他們的權限提升到管理員級別。底線是此功能並不像看起來那麼有用。

其他需要考慮的因素

iThemes 算不上安全插件。但是，除了安全性之外，在選擇 iThemes 時還需要考慮其他一些因素。在這裡，我就說說插件對服務器的影響，支持的好不好。

對服務器資源的影響

在服務器資源方面，iThemes 獲得滿分。完全沒有影響：它太輕了，幾乎就像插件不存在或做任何事情一樣。那軌道。

幫助和支持

至於幫助和支持，我沒有親自測試過。但是，查看 WordPress 存儲庫上的評論表明它不是很好。

價錢

iThemes 的定價最近發生了變化，這並沒有什麼意義。以前，他們有一個無限站點的頂級計劃。現在，計劃範圍從 1 個站點 99 美元到 10 個站點 299 美元不等。無論是舊定價還是新定價，iThemes 絕對是浪費金錢。

iThemes 的最佳替代品是什麼？

由於我在這篇評論中嚴厲批評了 iThemes，因此您需要選擇。哪些是 WordPress 安全的最佳插件？以下是首選：

MalCare： MalCare 是最好的安全插件；掃描儀超級準確，防火牆可靠，自動惡意軟件清除器非常有效。每個計劃都包括由安全專家團隊進行的無限制惡意軟件清除。除了雙因素身份驗證外，您還可以在 MalCare 中找到所有主要和次要的 WordPress 安全功能。你不會錯的。
Wordfence ：Wordfence 的免費版本提供了很好的保護，包括掃描程序和防火牆。防火牆會定期更新，但免費版落後於高級版。如果發現惡意內容，則需要升級到更昂貴的計劃才能安全刪除它。
Sucuri： Sucuri 的所有付費計劃都附帶無限制的惡意軟件清除。缺點是掃描器並不總是準確的，因此您需要先了解任何潛在的惡意軟件問題，然後才能使用刪除功能。

如何為 WordPress 選擇安全插件？

為您的網站選擇完美的安全插件可能是一個挑戰。有這麼多的解決方案，可能很難知道哪一個最適合您的需求。在本節中，我將介紹在決定安全插件時應考慮的主要功能，包括掃描工具、惡意軟件防護工具、防火牆等。

重要的安全功能

惡意軟件掃描：試圖領先於壞人可能感覺像是一場永無止境的貓捉老鼠遊戲。值得慶幸的是，有一些有效的方法可以自動檢測網站上的惡意軟件。

但是，並非安全插件用於識別惡意軟件的所有方法都同樣有效。例如，Wordfence 使用的簽名匹配機制將任何可疑惡意軟件的代碼與已知惡意軟件簽名的數據庫進行比較。數據庫必須定期更新，以便檢測到威脅。可以想像，新的惡意軟件和零日威脅不會被捕獲。 MalCare 使用可靠得多的信號匹配機制，該機制審查代碼以檢查其是否具有惡意意圖。這樣，即使是最新的威脅也能被掃描器捕獲。

惡意軟件清除：如果您的網站受到惡意軟件攻擊，則很難清除。在某些情況下，您可以刪除惡意文件並修復受影響的站點文件。但是，對於更複雜的情況，您可能需要尋求經驗豐富的安全專家的幫助。許多安全插件提供惡意軟件刪除作為其專業知識的高級功能。 MalCare 是唯一一款具有可靠的自動惡意軟件刪除功能，並且在每個計劃中都由專家進行無限制清理的產品。

防火牆：沒有良好、可靠的防火牆，任何安全設置都是不完整的。防火牆充當傳入流量的過濾器，有助於防止惡意代碼滲入您的網站。防火牆應該經常更新，維護完整的日誌列表，並在 WordPress 之前加載才能真正有效。

其他安全功能

漏洞檢測：沒有人願意發現他們的網站因為他們不知道存在的安全漏洞而被黑客入侵。漏洞掃描器可以幫助您發現 WordPress 核心、插件和主題中的任何漏洞，因此您可以快速修補它們。

雙因素身份驗證：為了幫助確保您的用戶帳戶安全，值得考慮雙因素身份驗證 (2FA)。這通過在允許用戶登錄之前要求兩種不同的身份驗證方法來增加額外的安全層。使用 2FA，用戶需要他們知道的東西（如用戶名和密碼）和他們擁有的東西（如電話或安全令牌） .

登錄保護：保護您的 WordPress 管理區域免受暴力攻擊至關重要。這些是通過隨機猜測您的用戶名和密碼自動嘗試侵入您的帳戶。為了保護自己，您應該安裝具有登錄保護功能的插件。

活動日誌：如果您想密切關注網站上發生的事情，活動日誌是一個很好的工具。它將幫助您監控站點上發生的所有更改并快速識別任何安全事件。這可以幫助您快速響應威脅並確保您的網站安全無虞。

安全插件的潛在問題

服務器影響：安全插件會對您的服務器資源造成壓力，使您的網站速度變慢且響應速度變慢。這是因為他們對您的網站進行惡意軟件掃描，或使用您網站的服務器資源來支持防火牆。 Wordfence 是這方面最嚴重的違規者。另一方面，MalCare 設計為在自己的服務器上執行掃描，因此它不會使用您自己的任何資源。嘗試尋找不會減慢您網站速度的插件。

最後的想法

iThemes 甚至不值得安裝它所花費的一點精力。它的惡意軟件掃描程序很差，沒有惡意軟件清除工具，也沒有防火牆。您最好跳過它並查看更全面的安全解決方案，例如 MalCare。

常見問題

iThemes 安全性有哪些特點？

他們聲稱有很多功能，但都是花里胡哨的東西。他們聲稱擁有惡意軟件掃描程序，但他們只是在檢查您的網站是否被列入黑名單。他們說他們可以選擇阻止 IP，但實際上並沒有用。他們有一個非常無用的登錄保護、一個不完整的活動日誌、虛假的漏洞檢測和幾乎沒有用的強化功能。唯一有效的安全功能是雙因素身份驗證。

Wordfence 安全性和 iThemes 安全性有什麼區別？

Wordfence 是最好的免費安全插件，而 iThemes 是最差的。 Wordfence 擁有最新的防火牆、最有效的掃描儀和一些自動刪除惡意軟件的選項。 iThemes 實際上並沒有識別您網站上的惡意軟件，沒有惡意軟件刪除功能，也沒有防火牆。

如何重置我的 iThemes 安全性？

要重置密碼，請轉到 iThemes 會員面板登錄頁面。有一個部分可以重置密碼。添加與帳戶關聯的用戶名或電子郵件。然後，您將收到一封電子郵件和一個鏈接，用於重置密碼，有效期為 30 分鐘。

如何取消我的 iThemes 訂閱？

要取消您的 iThemes 訂閱，您必須聯繫他們的銷售團隊。發送電子郵件至 [email protected]