Revisión de seguridad de iThemes: ¿Vale la pena instalarlo en su sitio de WordPress? - MalCare
Publicado: 2023-04-07iThemes Security es un complemento de seguridad de WordPress que ofrece una gama de características diseñadas para proteger los sitios de WordPress de varios tipos de amenazas de seguridad. ¿Pero vale la pena instalarlo en su sitio web?
Proporcionaré una revisión detallada de iThemes Security, evaluando su efectividad, facilidad de uso, compatibilidad con otros complementos de WordPress y si vale la pena el costo. Al final de este artículo, debería tener una mejor comprensión de si iThemes Security es la opción correcta para las necesidades de seguridad de su sitio web.
Instalar iThemes es prácticamente lo mismo que tener cero seguridad. De hecho, diría que en realidad es peor, porque puede bloquearte por completo. Entonces, si está buscando un complemento de seguridad que realmente proteja su sitio, MalCare es definitivamente el camino a seguir.
Descripción general
iThemes puede parecer un complemento de seguridad, pero le faltan las tres características más importantes. No se deje engañar por todas las 'medidas a medias; son solo para mostrar.
Por ejemplo, su enfoque declarado es bloquear los ataques antes de que sucedan, lo que significa estar alerta contra las vulnerabilidades en el sitio, pero en realidad no hacen nada para advertir al usuario. Salvo el envío de correos electrónicos de resumen con vulnerabilidades encontradas cada semana.
En algún lugar de esta casa de diversión de un complemento de seguridad, hay algunas características de seguridad menores que son útiles y funcionan.
Y luego, para colmo de males, utilizan otro complemento de seguridad para asegurar su propio sitio. Tómese un minuto para procesar el hecho de que un sitio de complementos de seguridad no utiliza su propio producto.
Funciones críticas de seguridad e iThemes
Si está buscando un complemento de seguridad, hay ciertas características que no puede prescindir: escáner de malware, limpiador de malware y firewall. Estos deben ser los primeros en su lista al decidir si el complemento es una buena opción.
Estas características no son negociables y deberían ser los puntos más importantes de cualquier revisión. Sin embargo, iThemes ha indicado en varios lugares de su sitio que estas características exactas son ajenas a la seguridad de WordPress. Estoy totalmente en desacuerdo.
Escáner de malware
Empecemos con lo básico. ¿Escanea en busca de malware? No. Comprueba si Google ha incluido su sitio en la lista negra. Verá esta información en la sección de datos sin procesar de los resultados del análisis.
Si bien Google realiza un análisis de malware en su sitio, iThemes no lo hace. iThemes lo está ayudando a determinar si su sitio ha llegado al Informe de transparencia de Google, coloquialmente llamado lista negra de Google. Absolutamente no necesita iThemes para ejecutar este análisis por usted. Puede ir al sitio de Google y obtener la información usted mismo en segundos literales.
Teniendo en cuenta que el escáner no busca malware, los escaneos automáticos son un punto discutible. Sin embargo, es importante tener en cuenta que un buen complemento de seguridad debe buscar malware de forma automática y regular.
También hay una sección "Ver registros" que muestra los eventos que han tenido lugar anteriormente.
Eliminación de malware
iThemes no estaba detectando malware y es lógico que no pudieran eliminar el malware. Por lo tanto, no fue una completa sorpresa que no ofrecieran ningún tipo de eliminación: automática, manual o mágica.
cortafuegos
Parece que iThemes no tiene un firewall, pero afirman permitir la inclusión en listas negras de IP. Lástima que en realidad no funciona. La función de protección contra bots también es bastante débil, y todo lo que hace es evitar que los bots de los motores de búsqueda indexen su sitio. Lo único que hace, lo hace tan mal, es perjudicial para su sitio.
Puede prohibir direcciones IP y agentes de usuario, o usar una lista de prohibición completada previamente de hackrepair.com. Pero estos comandos pueden ser complicados porque los administran en el archivo .htaccess o nginx.conf, por lo que no es lo ideal. Estos son archivos de configuración del servidor y son increíblemente poderosos. Sin embargo, su uso previsto es personalizar la configuración en función de un sitio específico. Una de estas cosas es la lista blanca o negra de IP, pero esos comandos pueden volverse muy difíciles de manejar y difíciles de administrar en un archivo de configuración.
El firewall, por lo tanto, debe estar en otro lugar.
También puede ingresar direcciones IP en una lista de excepciones, pero eso tiene un uso limitado ya que las direcciones IP de los dispositivos siempre están cambiando. En general, no me impresionó.
Elementos de seguridad secundarios
Parece que iThemes no puede realizar muy bien las acciones de seguridad importantes. Pero, ¿qué pasa con tareas como la protección de fuerza bruta y los registros de actividad?
Protección de inicio de sesión
iThemes es grande en protección de fuerza bruta, pero es pésimo en eso. ¿Quién lo hubiera pensado?
Para probar esta función, configuré el complemento para bloquearnos de mi cuenta después de 10 intentos con la contraseña o el nombre de usuario incorrectos. Ejecuté esta prueba en dos tipos diferentes de sitios. En un sitio normal, me bloquearon después de 10 intentos, pero en el sitio de prueba pirateado, obtuve hasta 100 intentos y no me bloquearon. Los intentos bloqueados se registraron como ataques de fuerza bruta en la red, mientras que los permitidos fueron ataques de fuerza bruta locales.
Incluso probé la fuerza bruta manualmente en el sitio normal, pero a pesar de que la IP se eliminó de la lista de prohibición, todavía no me bloquearon. Debería haberme bloqueado durante 15 minutos, según las configuraciones. Pero no hay suerte allí.
Es interesante notar que cualquier inicio de sesión erróneo se clasifica como fuerza bruta. La función de protección de fuerza bruta de iThemes es bastante temperamental e impredecible.
Detección de vulnerabilidades
Si está detectando un patrón, probablemente suponga que las afirmaciones de iThemes de detectar complementos vulnerables son falsas. Tenía varios instalados en nuestros sitios y el análisis no detectó ninguno.
Entonces, ¿cómo le advierte de las vulnerabilidades en su sitio? iThemes le envía un correo electrónico ocasional con una lista de nuevas vulnerabilidades detectadas en complementos y temas en general, por lo que debe averiguar cuáles están en su sitio y actualizarlas. Puede darse de baja del correo electrónico y perderse por completo cualquier vulnerabilidad. Este no es un enfoque proactivo en absoluto y la responsabilidad de identificar las vulnerabilidades en su sitio recae en usted.
Es aún más ridículo que tengan una función de administración de versiones diseñada expresamente para actualizar complementos y temas desactualizados, pero parece que no pueden agregar cuáles tienen vulnerabilidades en el tablero.
Autenticación de dos factores
La autenticación de dos factores en iThemes funciona exactamente como se anuncia. Puede configurar la autenticación de dos factores con múltiples métodos, incluida la aplicación móvil, el correo electrónico y los códigos de respaldo.
Además, es posible configurar 2FA en función de los roles de los usuarios, así como contraseñas de aplicación separadas para API REST y XML-RPC que no se pueden usar para inicios de sesión tradicionales. Esta configuración se puede encontrar en el perfil de usuario y se puede configurar desde allí.
Sin embargo, debido a problemas de seguridad, XML-RPC generalmente está deshabilitado, lo que limita la utilidad de estas contraseñas separadas.
Registro de actividades
El registro de actividad del usuario está habilitado para los administradores, pero lamentablemente no todos los eventos se registran con precisión, por lo que es bastante inútil.
Características de endurecimiento
- Supervisión de archivos: tal como está, esta no es una característica en la que pueda confiar para la seguridad. Puede monitorear archivos y carpetas en busca de cambios inesperados, pero hay algunos problemas con esto. Necesita saber qué archivos monitorear y ser capaz de diferenciar los cambios buenos de los malos. Además, los piratas informáticos pueden alterar las fechas de modificación de los archivos, por lo que no estoy seguro de cómo manejará eso esta característica.
La lista de exclusión de extensiones de archivo también incluye jpeg e ico, que se sabe que contienen malware, lo que no es útil. Tampoco detecta instalaciones de complementos/temas, actualizaciones de complementos ni cambios en publicaciones y páginas.
- Herramientas de temple: Las opciones de esta sección. Por ejemplo, puede cambiar el prefijo de la base de datos y cambiar sus sales de WordPress desde aquí, lo cual es bueno. Por lo general, usaría el generador de WordPress para hacer eso, y luego tendría que cambiar las sales manualmente en el archivo wp-config, por lo que esta es una herramienta útil. La opción 'Comprobar permisos de archivo' también es útil si no sabe dónde buscar esa información. Pero no puede cambiar los permisos aquí y no hay indicación de cómo hacerlo. La función para identificar las IP del servidor lo ayuda a descubrir cuál es su IP para que pueda agregarla a la lista de prohibición. Esto es un lujo en el mejor de los casos, ya que se puede hacer en cualquier otro lugar con la misma facilidad.
- Bloquear la ejecución de PHP en la carpeta de carga, las carpetas de complementos y las carpetas de temas: según la descripción, parece que iThemes bloquea las solicitudes externas a los scripts de PHP. Es útil para un tipo de pirateo, por lo que recomiendo usarlo para la carpeta de carga. Pero los complementos y los temas definitivamente tendrán scripts, por lo que depende del sitio si tiene sentido bloquearlos o no. Si los archivos no se llaman directamente desde allí, sino que usan algo como admin-ajax, entonces está bien. Pero algunos complementos tienen scripts a los que se debe acceder directamente, y estos se romperán. Es difícil para un usuario normal determinar esto.
Instalación y configuración de iThemes
Hasta ahora, no he tenido mucha suerte con las funciones de seguridad. Pero ¿qué pasa con la usabilidad; ¿Es fácil de instalar y configurar?
Instalación
La instalación de la versión gratuita es muy fácil, aunque el proceso de configuración es largo y, en última instancia, innecesario. Para la versión pro, debe registrarse para obtener una licencia y descargar el complemento de su sitio.
Facilidad de uso
iThemes es realmente confuso de usar. La jerga técnica y las configuraciones complejas hacen que sea difícil de entender para los usuarios cotidianos. Tampoco parece hacer lo que dice. Un pulgar hacia abajo para la usabilidad.
Notificaciones y alertas
No hay alertas en absoluto. Estoy a favor de evitar alertas excesivas, pero con iThemes no importa qué configuración intente y cambie, no obtendrá ninguna. Incluso si desea notificaciones, no las recibirá.
Gestión de usuarios
Claro, puede establecer configuraciones de seguridad basadas en roles de usuario, pero muchas de ellas son redundantes. Las contraseñas seguras, por ejemplo, deben ser un hecho para todos los usuarios. Hay una plétora de opciones, que parecen impresionantes a primera vista, pero siendo realistas, no es necesario entrar en detalles granulares. Porque, si se piratea una cuenta de nivel de usuario, los piratas informáticos pueden escalar potencialmente sus privilegios al nivel de administrador. La conclusión es que esta característica no es tan útil como parece.
Otros factores a considerar
iThemes no es un complemento de seguridad. Pero, más allá de la seguridad, hay algunos otros factores a considerar al elegir iThemes. Aquí, hablaré sobre el impacto del complemento en el servidor y si el soporte es bueno.
Impacto en los recursos del servidor
Cuando se trata de recursos del servidor, iThemes obtiene una puntuación perfecta. No hay impacto en absoluto: es tan ligero que es casi como si el complemento ni siquiera estuviera allí o no hiciera nada. Eso rastrea.
Ayuda y apoyo
En cuanto a la ayuda y el apoyo, no lo probé por mí mismo. Sin embargo, mirar las reseñas en el repositorio de WordPress indica que no es genial.
Precios
El precio de iThemes cambió recientemente y realmente no tiene sentido. Anteriormente, tenían un plan de primer nivel para sitios ilimitados. Ahora, los planes van desde $99 por 1 sitio hasta $299 por 10 sitios. Ya sea con precios antiguos o nuevos, iThemes es definitivamente una pérdida de dinero.
¿Cuáles son las mejores alternativas a iThemes?
Dado que he criticado iThemes en esta revisión, necesita opciones. ¿Cuáles son los mejores complementos para la seguridad de WordPress? Aquí están las mejores opciones:
- MalCare: MalCare es el mejor complemento de seguridad que existe; el escáner es súper preciso, el firewall es confiable y un limpiador de malware automatizado es muy efectivo. Cada plan incluye la eliminación ilimitada de malware por parte de un equipo de expertos en seguridad. Además de la autenticación de dos factores, encontrará todas las funciones de seguridad principales y secundarias de WordPress en MalCare. No puedes equivocarte con eso.
- Wordfence : la versión gratuita de Wordfence ofrece una protección bastante buena, incluido un escáner y un cortafuegos. El firewall se actualiza regularmente, pero la versión gratuita va a la zaga de la premium. Si se encuentra contenido malicioso, será necesario actualizar a un plan más costoso para eliminarlo de manera segura.
- Sucuri: Todos los planes pagos de Sucuri vienen con eliminación ilimitada de malware. La desventaja es que el escáner no siempre es preciso, por lo que deberá estar al tanto de cualquier posible problema de malware antes de que pueda hacer funcionar la función de eliminación.
¿Cómo elegir un complemento de seguridad para WordPress?
Elegir el complemento de seguridad perfecto para su sitio web puede ser un desafío. Con tantas soluciones disponibles, puede ser difícil saber cuál es la más adecuada para sus necesidades. En esta sección, repasaré las características clave que debe considerar al decidirse por un complemento de seguridad, incluidas las herramientas de escaneo, las herramientas de protección contra malware, los firewalls y más.
Características de seguridad cruciales
- Escaneo de malware: tratar de adelantarse a los malos puede parecer un juego interminable del gato y el ratón. Afortunadamente, existen formas efectivas de detectar automáticamente el malware en los sitios.
Sin embargo, no todos los métodos que utilizan los complementos de seguridad para identificar malware son igualmente efectivos. Por ejemplo, el mecanismo de comparación de firmas utilizado por Wordfence compara el código de cualquier malware sospechoso con una base de datos de firmas de malware conocidas. La base de datos debe actualizarse periódicamente para que se detecten las amenazas. Como puede imaginar, el nuevo malware y las amenazas de día cero no se detectan. MalCare utiliza un mecanismo de coincidencia de señales mucho más confiable, que revisa el código para verificar si tiene una intención maliciosa. De esta manera, incluso las amenazas más recientes son detectadas por el escáner.
- Eliminación de malware: si su sitio ha sido atacado con malware, puede ser complicado deshacerse de él. En algunos casos, puede eliminar los archivos maliciosos y reparar los archivos del sitio afectado. Sin embargo, para casos más complicados, es posible que deba solicitar la ayuda de un profesional de seguridad experimentado. Muchos complementos de seguridad ofrecen la eliminación de malware como una función premium por su experiencia. MalCare es el único con una función confiable de eliminación automática de malware y una limpieza ilimitada por parte de expertos en cada plan.
- Cortafuegos: ninguna configuración de seguridad está completa sin un cortafuegos bueno y confiable. Los cortafuegos actúan como filtros para el tráfico entrante y ayudan a evitar que el código malicioso se infiltre en su sitio web. Los cortafuegos deben actualizarse con frecuencia, mantener una lista completa de registros y cargarse antes que WordPress para que sean realmente efectivos.
Otras funciones de seguridad
- Detección de vulnerabilidades: nadie quiere descubrir que su sitio web ha sido pirateado debido a un agujero de seguridad que no sabía que existía. Un escáner de vulnerabilidades puede ayudarlo a detectar cualquier vulnerabilidad en su núcleo, complementos y temas de WordPress, para que pueda repararlos rápidamente.
- Autenticación de dos factores: para ayudar a mantener seguras sus cuentas de usuario, vale la pena considerar la autenticación de dos factores (2FA). Esto agrega una capa adicional de seguridad al requerir dos métodos diferentes de autenticación antes de permitir que un usuario inicie sesión. Con 2FA, los usuarios necesitan algo que sepan (como un nombre de usuario y contraseña) y algo que tengan (como un teléfono o token de seguridad) .
- Protección de inicio de sesión: es esencial para proteger su área de administración de WordPress de los ataques de fuerza bruta. Estos son intentos automáticos de ingresar a su cuenta adivinando al azar su nombre de usuario y contraseña. Para protegerse, debe instalar un complemento con funciones de protección de inicio de sesión.
- Registro de actividad: si desea estar al tanto de lo que sucede en su sitio web, un registro de actividad es una excelente herramienta. Lo ayudará a monitorear todos los cambios que ocurren en su sitio e identificar rápidamente cualquier evento de seguridad. Esto puede ayudarlo a responder a las amenazas rápidamente y mantener su sitio web seguro y protegido.
Problemas potenciales de los complementos de seguridad
- Impacto en el servidor: los complementos de seguridad pueden ejercer presión sobre los recursos de su servidor, lo que hace que su sitio sea más lento y menos receptivo. Esto se debe a que realizan escaneos de malware en su sitio o usan los recursos del servidor de su sitio para activar el firewall. Wordfence es el peor infractor en este frente. Por otro lado, MalCare está diseñado para realizar sus escaneos en su propio servidor, por lo que no utilizará ninguno de sus propios recursos. Intente buscar complementos que no ralenticen su sitio web.
Pensamientos finales
iThemes ni siquiera vale la poca energía que se necesita para instalarlo. Tiene un escáner de malware deficiente, no tiene herramientas de eliminación de malware ni firewall. Es mejor omitirlo y buscar soluciones de seguridad más completas como MalCare.
preguntas frecuentes
¿Cuáles son las características de seguridad de iThemes?
Afirman tener muchas características, pero todo es campanas y silbatos. Afirman tener un escáner de malware, pero solo están verificando si su sitio está en la lista negra. Dicen que tienen una opción para bloquear IP, pero en realidad no funciona. Tienen una protección de inicio de sesión bastante inútil, un registro de actividad incompleto, detección de vulnerabilidades falsas y funciones de refuerzo apenas útiles. La única característica de seguridad que funciona es la autenticación de dos factores.
¿Cuál es la diferencia entre la seguridad de Wordfence y la seguridad de iThemes?
Wordfence es el mejor complemento de seguridad gratuito e iThemes es el peor. Wordfence tiene el firewall más actualizado, un escáner en su mayoría efectivo y algunas opciones de eliminación de malware automatizadas. iThemes en realidad no identifica el malware en su sitio, no tiene una función de eliminación de malware ni firewall.
¿Cómo restablezco la seguridad de mi iThemes?
Para restablecer la contraseña, vaya a la página de inicio de sesión del panel de miembros de iThemes. Hay una sección para restablecer la contraseña. Agregue el nombre de usuario o el correo electrónico asociado con la cuenta. A continuación, recibirá un correo electrónico y un enlace para restablecer la contraseña que es válida durante 30 minutos.
¿Cómo cancelo mi suscripción a iThemes?
Para cancelar su suscripción a iThemes, deberá comunicarse con su equipo de ventas. Envíelos por correo electrónico a [email protected]