Zabezpieczanie witryny WordPress: iThemes Free Security Plugin Review

iThemes Security Review

Lepsza wtyczka WP Security została ponownie uruchomiona jako iThemes Security w marcu 25, 2014, kiedy została wykupiona przez iThemes Media LLC.

Chris Wiegman, oryginalny programista wtyczki, ściśle współpracował z personelem iThemes i CEO Cory Miller podczas zmiany. W tym czasie Miller powiedział, że jest fanem lepszego bezpieczeństwa WP i użył go do zablokowania własnej osobistej strony internetowej.

Cory rozpoczął karierę dziennikarza prasowego. W 2008 roku zdecydował się na pracę na pełny etat nad własną działalnością, czego rezultatem było iThemes Media, nazwane w 2011 roku przez Metro 50 jedną z najszybciej rozwijających się firm w Oklahoma City.

Miller jest autorem trzech tytułów non-fiction, a także współautorem WordPress wszystko w jednym dla manekinów. Był również współzałożycielem Div, centrum społecznościowego poświęconego innowacjom, kreatywności i szkoleniom w Oklahomie.

iThemes Media zatrudnia obecnie 19 osób, w tym programistów, wsparcie techniczne i profesora. Jak wykrzykuje witryna iTheme, ” uwielbiają tworzyć narzędzia, które pomagają tworzyć niesamowite strony internetowe.”

60 000 użytkowników dotkniętych niedawnymi zagrożeniami bezpieczeństwa

23 września 2014 roku odkryto, że jeden z serwerów iThemes został zhakowany. Cory szybko ogłosił naruszenie bezpieczeństwa i był szczególnie szczery w ujawnianiu tego, co się stało.

W swoim pierwszym ogłoszeniu wezwał użytkowników do zresetowania haseł, ponieważ były one widoczne za pomocą jasnego tekstu, wraz z innymi informacjami, takimi jak pełne nazwy, nazwy użytkowników, e-mail i adresy IP. Na szczęście nie uzyskano dostępu do informacji o płatności, ponieważ iThemes korzysta z systemu płatności stron trzecich.

Informacje około 60 000 użytkowników zostały naruszone i zgodnie z drugim ogłoszeniem można było temu zapobiec. Cory przyznał, że oprogramowanie członkowskie, którego firma używała od 2009 roku, przechowywało hasła w jasnym tekście i chociaż firma była świadoma problemów z bezpieczeństwem, nie udało się go naprawić w odpowiednim czasie.

Problem polega na tym, jak informacje o użytkowniku były przechowywane: niezaszyfrowane, a tym samym niezabezpieczone. Kiedy serwer został naruszony, haker miał dostęp do informacji o użytkowniku, które były tak jasne do odczytania. Zapisywanie informacji online, niezaszyfrowanych, jest podstawową zasadą bezpieczeństwa online.

Co więcej, iThemes nie natychmiast rozwiązał tego problemu, zaprzestając przechowywania informacji o użytkowniku w jasnym tekście. Zrobili jednak zresetować hasła wszystkich użytkowników, którzy zostali dotknięci. Nie jest jasne, czy haker zapisał te informacje, ale na pewno miał do nich dostęp.

Moving Forward

Podsumowując: jeden z serwerów iThemes Media został zhakowany i uzyskano dostęp do informacji o użytkownikach, mimo że firma wiedziała o luce bezpieczeństwa od pięciu lat. Po dowiedzeniu się o naruszeniu bezpieczeństwa, nie od razu rozwiązali podstawowy problem, chociaż byli bardzo jasni i poinformowani o sytuacji.

W przypadku firmy sprzedającej wtyczkę zabezpieczającą-nie wspominając o darmowej wersji, którą tutaj przeglądam – Ostatnie naruszenie wystarczy, aby każdy był ostrożny w korzystaniu z ich produktów. Od czasu swojej drugiej aktualizacji Cory nie podał jeszcze żadnych nowych informacji publicznie na temat tego, w jaki sposób rozwiązał tę sytuację, mimo że powiedział, że da kolejną aktualizację „w najbliższych dniach.”

Więc teraz wszystkie te informacje są na uboczu, przejdźmy do przodu z tym przeglądem darmowej wersji iThemes Security.

Ile to kosztuje?

Po wyjęciu z pudełka, ten frajer jest kompletny i darmowy. Dostajesz wszystkie funkcje bezpieczeństwa, których potrzebujesz i nie musisz płacić ani centa. To samo w sobie jest godne uwagi.

Rzadko można natknąć się na wtyczkę, która zawiera funkcje, które w przeciwnym razie można znaleźć w wtyczce premium. Wiele darmowych wersji wtyczek premium brakuje kluczowych funkcji, czyniąc je całkiem bezużytecznymi. To nie jest tego rodzaju wtyczka.

Jeśli chcesz kupić licencję na iThemes Security Pro, ceny są następujące:

• Dwie licencje-80 USD rocznie
• Dziesięć licencji-100 USD rocznie
• Nieograniczone licencje-150 USD rocznie
• Nieograniczone licencje, plus dostęp do 20 wtyczek iThemes (i rośnie) – 247 $rocznie

Jeśli chcesz również kupić wtyczkę BackupBuddy, która w pełni integruje się z iThemes Security, możesz kupić dodatkową subskrypcję. Wtyczka BackupBuddy tworzy kopię zapasową wszystkich plików, w tym bazy danych. Kopie zapasowe są pobierane bezpośrednio na własne urządzenie pamięci masowej w celu bezpiecznego przechowywania. Obejmuje również Ciebie w przypadku migracji witryny, zapewniając bezproblemowe kopie zapasowe.

Jeśli jesteś zadowolony z tworzenia kopii zapasowej bazy danych, bezpłatna wersja iThemes Security Cię obejmuje. W przypadku darmowej wtyczki dostępnych jest wiele funkcji i opcji.

Co Dostajesz?

Darmowa wersja iThemes Security zapewnia dostęp do wielu funkcji (wymienionych poniżej). Jeśli zdecydujesz się na zakup iThemes Security Pro, jedna licencja może być używana dla jednej witryny. Oferta premium zawiera wiele dodatkowych funkcji, wraz z automatycznymi aktualizacjami i obsługą biletową na czas trwania licencji.

Darmowa wtyczka zawiera wiele świetnych i niezbędnych funkcji, takich jak skanowanie złośliwego oprogramowania i Ochrona przed typowymi exploitami zaplecza, atakami brute force i spamem komentującym, aby wymienić tylko kilka. Uwzględniono banowanie adresów IP (lub białą listę), a banowanie według krajów planowane jest w przyszłej aktualizacji.

Oto pełna lista funkcji:

• Ochrona przed atakiem Brute force
• Silne egzekwowanie haseł
• Ukryj strony logowania i administratora
• Raporty bezpieczeństwa
• Wykrywanie zmian plików
• Zablokuj użytkowników ze zbyt dużą liczbą nieudanych prób logowania lub błędami 404
• Wykrywa zmiany plików
• Spraw, aby admin był niedostępny przez określony czas (jeśli jedziesz na wakacje)
• Ukryj swoje wersje WordPress i jQuery oraz inne metadane nagłówka
• Usuń powiadomienia o aktualizacjach dla użytkowników
• Zmień prefiks tabeli bazy danych WordPress z domyślnego”wp_”
• Zmień ścieżkę folderu wp-content (gdzie przechowywanych jest wiele wrażliwych plików)
• Możliwość wyświetlania losowego numeru wersji WordPress użytkownikom Nie-admin
• Wymuś SSL (Secure Socket Layer) na administratorze lub stronach front-end
• Wykrywa ataki na bazę danych, pliki i ataki botów
• Kopia zapasowa bazy danych wysyłana pocztą e-mail na konfigurowalnym harmonogramie
• Wyłączanie wykonywania PHP w uploadach
• Wyłącz stronę autora użytkownika, jeśli liczba postów wynosi zero
• Zmuś użytkowników do utworzenia unikalnego pseudonimu podczas aktualizacji profilu lub rejestracji
• Blokowanie spamu w komentarzach (ograniczone)
• Dwuskładnikowe uwierzytelnianie logowań

Brzmi strasznie dobrze dla mnie, ale jak to jest sprawiedliwe w prawdziwym świecie ciągłych ataków?

Jak to działa?

Podczas początkowej instalacji wtyczki, powiadomienie monit o uzyskanie bezpłatnego klucza API i „zabezpiecz swoją witrynę teraz”, wybierając kilka podstawowych opcji.

Masz opcje tworzenia kopii zapasowej bazy danych (co zdecydowanie powinieneś zrobić), Zezwalaj iThemes Security na zapisywalny dostęp do niektórych plików, Konfiguruj podstawowe opcje jednym kliknięciem i wysyłaj anonimowe dane o użyciu wtyczki.

Po zakończeniu możesz wyjść z pola świetlnego i wprowadzić więcej ustawień lub odejść od wtyczki i przejść do czegoś innego. Po odświeżeniu strony zostanie wyświetlone ostrzeżenie, jeśli nie masz włączonego protokołu SSL (Secure Socket Layer) na serwerze: „Ostrzeżenie: Twój serwer wydaje się obsługiwać protokół SSL. Korzystanie z tych funkcji bez obsługi SSL na serwerze lub Hostie spowoduje, że niektóre lub wszystkie witryny staną się niedostępne.”

Od razu jest to jedno z ustawień, które nie podlega negocjacjom, w przeciwnym razie prawdopodobnie zepsujesz swoją witrynę.  Jeśli nie masz włączonego SSL, ta wtyczka spowoduje Ci same problemy.

Kiedy o tym pomyślisz, nie jest dobrym pomysłem pozostawienie witryny bez ochrony, nie włączając protokołu SSL. Naprawdę, jest to być może tylko drobne niedogodności dla większości ludzi.

Poza tym istnieją również zaawansowane opcje z wyraźnymi ostrzeżeniami. Przed zmianą ustawień zostanie wyświetlony monit o wykonanie kopii zapasowej bazy danych. Ostrzeżenia są dość trudne do przeoczenia.

Mimo to, nietrudno jest myśleć, że robisz dobrą rzecz… a następnie znaleźć swoją witrynę stał się niedostępny. Jeśli nie wykonasz kopii zapasowej wszystkich plików, Twoja witryna może zostać utracona. Niestety, nie powiedziano ci, aby tworzyć kopie zapasowe wszystkiego-tylko bazę danych.

W odpowiednich rękach te zaawansowane ustawienia mogą być potężne ,ale jak mówi przysłowie: „z wielką mocą przychodzi wielka odpowiedzialność.”Tak, właśnie zacytowałem Spider-Man (2002).

Przez większość czasu będziesz cieszyć się spokojem, wiedząc, że jesteś w pełni chroniony przed wszystkimi hakerami, chyba że jesteś jednym z tych pechowców. Wiadomo, że zdarzają się naruszenia bezpieczeństwa, choć dość oszczędnie. Dzięki ponad 3,000 pięciogwiazdkowym recenzjom w repozytorium wtyczek WordPress, myślę, że można bezpiecznie powiedzieć, że większość ludzi cieszy się tylko spokojem dzięki tej wtyczce.

Podobnie jak w przypadku wszelkich środków bezpieczeństwa, podkreślają one, że staranność i Dobre praktyki w zakresie bezpieczeństwa ze strony Użytkownika są ważne dla zapewnienia bezpieczeństwa witryny. W związku z tym wtyczka nie ochroni Cię przed wszystkie ataki. Myślę, że to uczciwe stwierdzenie.

Tak długo, jak jesteś ostrożny w tym, co wybierzesz w Ustawieniach, Twoja witryna jest Bezpieczna.

Oceny

Krzywa uczenia się / łatwość użycia

Wtyczka iThemes Security jest niezwykle łatwa do skonfigurowania, pomimo moich ostrzeżeń w poprzedniej sekcji. Jedynym problemem, na jaki możesz się natknąć, jest wyjście poza podstawowe ustawienia. Nieprawidłowo dostosować ustawienia i całkowicie wyrzucić witrynę w trybie offline jest dość łatwo. Jednak kilka razy przypominamy ci, aby wykonać kopię zapasową bazy danych.

Jedna krytyka, o której już wspomniałem, polega na tym, że użytkownikom nie przypomina się o konieczności tworzenia kopii zapasowych wszystkiego, tylko ich bazy danych. Mimo to wydaje się, że jest to powszechna praktyka.

Wtyczka prowadzi cię z jasnymi, zwięzłymi wyjaśnieniami dla każdej opcji, a dokumentacja jest dostępna, aby pomóc ci dokładniej zrozumieć ustawienia. Większość użytkowników nie będzie nawet musiała przez to przechodzić.

Ogólnie rzecz biorąc, jest dość łatwy w użyciu. Musisz tylko zwrócić szczególną uwagę na zaawansowane ustawienia; jeśli nie zostaną użyte poprawnie, mogą (w przenośni) eksplodować Twoją witrynę.

Cechy

Wiele podstawowych funkcji jest zawartych w tej wtyczce, ale nie mogę pomóc, ale czuję, że lista funkcji jest wciąż krótka. Na przykład oferowane jest tylko częściowe filtrowanie spamu w komentarzach zarówno w wersji podstawowej, jak i premium wtyczki.

Warto również podkreślić, że w przypadku włamania iThemes nie oferuje pomocy. Oczekujesz, że będziesz mieć pełne kopie zapasowe swojej witryny-na przykład z wtyczką Premium BackupBuddy – lub w inny sposób skorzystasz z usługi innej firmy, aby odzyskać swoją witrynę.

W tym przypadku ta wtyczka jest przydatna tylko do środków zapobiegawczych i nie należy polegać na pełnej ochronie.

Większość ludzi ma sukces z tą wtyczką, pomimo ograniczeń. Pozytywne recenzje w repozytorium wtyczek WordPress mogą to potwierdzić. Na koniec dnia nie można się spierać z wynikami.

Po wyjęciu z pudełka

Ta wtyczka jest łatwa do skonfigurowania po wyjęciu z pudełka. To dosłownie zajmuje tylko kilka kliknięć. Nie musisz nawet bawić się dodatkowymi ustawieniami, ale jeśli to zrobisz, dodaje to dodatkowe warstwy ochrony, więc jest to sytuacja, w której wszyscy wygrywają.

W ciągu 45.28 sekund zajmuje skonfigurowanie wtyczki, jesteś gotowy do pracy. Obejmuje to instalację i aktywację go do końca początkowej konfiguracji. Tak, właściwie to zmierzyłem czas. Jestem taki fajny.

Poważnie, jednak nie sądzę, że może zaoferować łatwiejsze wrażenia użytkownika po wyjęciu z pudełka. Jedynym sposobem, aby zepsuć tę początkową konfigurację, jest to, że w ogóle tego nie zrobiłeś.

Niezawodność

Tu robi się bałagan. Ta wtyczka wykonuje całkiem świetną robotę, chroniąc Twoją witrynę, jednak ostatnie naruszenie bezpieczeństwa rodzi bardzo ważne pytania.

Jeśli iThemes był świadomy problemu przez jakiś czas-w rzeczywistości pięć lat – to mogłoby zagrozić bezpieczeństwu ich własnej strony internetowej i postanowiło nic z tym nie zrobić, to nie mówi zbyt wiele o ich zapewnieniu jakości. Jeśli nie mogą chronić własnej witryny, jak możesz być pewien, że ochronią Twoją witrynę?

Wydaje się to zbyt uproszczone, ale tak naprawdę nie jest. jeden z ich serwerów został zhakowany z powodu braku naprawy bardzo podstawowej luki bezpieczeństwa, jak wyjaśniłem w tej recenzji.

Szyfrowanie informacji o użytkowniku i nie zapisywanie ich w postaci zwykłego tekstu to jedna z pierwszych rzeczy, których nauczysz się podczas zabezpieczania informacji online. Jeśli nie mogą stosować się do najbardziej podstawowych zasad bezpieczeństwa online, gdy sami oferują usługę bezpieczeństwa online, pozostaje kwestionować integralność ich usług.

W końcu, jeśli padli ofiarą takiego podstawowego miss-step, jakie inne miss-steps zostały do znalezienia? Wcale nie sugeruję, że chodzi o naruszenie informacji, ale przez kilka lat ignorowali tę kwestię.

To z pewnością godne podziwu, że Cory wziął pełną odpowiedzialność za nieszczęście i był całkowicie szczery w tej sprawie w odpowiednim czasie. Nie zmienia to jednak tego, co się stało. Informacje zostały skompromitowane, czemu można było całkowicie zapobiec.

W końcu, aby docenić tę usługę, musisz być w stanie docenić swoje bezpieczeństwo i prywatność. Jestem skłonny wierzyć, że żadna wtyczka lub usługa nie jest warta utraty prywatności lub informacji. Jeśli nie jesteś tym zainteresowany, będziesz mógł cieszyć się z pozornie wspaniałej wtyczki.

Zużycie Zasobów / Szybkość

Sama ta wtyczka jest dość lekka, szybka i nie wymaga zbyt wielu zasobów. Z drugiej strony, jeśli chcesz skorzystać z ich zaawansowanych funkcji, zdecydowanie musisz upewnić się, że masz dużo dostępnej pamięci RAM i procesora. Nie wpłynie to na szybkość,ale na zasoby.

Jest to szczególnie problem, jeśli masz współdzielony hosting. iThemes security prawdopodobnie zużyje wszystkie twoje zasoby i spowoduje, że Twoja witryna będzie niedostępna. Jeśli tak się stanie, jedynym sposobem na przywrócenie witryny jest jej kopia zapasowa.

Funkcje, które mogą odciążyć zasoby serwera, to kopie zapasowe baz danych, wykrywanie zmian plików, zmiana prefiksu bazy danych i zmiana katalogu zawartości. Jeśli chcesz korzystać z tych funkcji, musisz mieć sporo dostępnych zasobów i musisz regularnie tworzyć kopie zapasowe swojej witryny.

Zazwyczaj zauważyłem, że musisz mieć co najmniej 1 GB PAMIĘCI RAM dostępnej wyłącznie dla tej wtyczki. To dość dużo dla jednej wtyczki, ale bezpieczeństwo Twojej witryny jest bardzo ważne, więc nadal warto rozważyć tę wtyczkę. Musisz tylko upewnić się, że masz wystarczająco dużo pamięci RAM, zwłaszcza jeśli chcesz korzystać z funkcji, które wydają się nieco obciążać Twoje zasoby.

Myśli Końcowe

Zaraz po wyjęciu z pudełka, Ta darmowa wtyczka działa naprawdę dobrze i istnieje kilka ostatnich problemów na podstawowym poziomie użytkownika. Ta wtyczka ma również wystarczająco dużo odpowiednich funkcji, aby upewnić się, że jesteś chroniony przed większością zagrożeń.

Jedyną rzeczą, którą musisz się zająć, poza instalowaniem tych wtyczek, jest upewnienie się, że nie padniesz ofiarą oszustw phishingowych i tym podobnych, co ostatecznie zależy od ciebie, aby monitorować, ponieważ wtyczki nie mogą tego zrobić za Ciebie.

Podczas gdy zespół iThemes nie może cofnąć się w czasie i powstrzymać wrześniowego naruszenia bezpieczeństwa, faktem jest, że tak się stało, narażając nie tylko dane użytkowników na hakerów, ale także własne luki bezpieczeństwa. Więc myślę, że to sprawiedliwe, aby doradzić, że używasz tej wtyczki z ostrożnością i kontakt iThemes, jeśli masz jakiekolwiek wątpliwości.

Niemniej jednak istnieje wielu wiernych zwolenników wtyczki iThemes Security. Nie jest zbyt trudno zrozumieć, dlaczego przy tak wielu zachwyconych klientów. Pamiętaj tylko, aby wykonać kopię zapasową witryny, ponieważ pomagają i tak często sugerują.

Źródło obrazu: iThemes Media LLC i Intel Free Press.