如何使用 iThemes 安全插件保护您的网站

恩波利亚。 道奇城。 花园城市。 您可能从未听说过这三个堪萨斯小镇的名字。

除了位于向日葵州之外，它们还有什么共同点？ 他们都有大约 30,000 名居民。 现在，想象一下这些城市中的每个居民都有一个 WordPress 网站……并且每天都被黑客攻击。

听起来很疯狂？ 这是。 根据 iThemes Security 提供的统计数据，每天有 30,000 个网站遭到黑客攻击。

除了不时提供的统计分析外，此 WordPress 插件还提供有用的选项来增强您网站的安全性。

和我一起了解其功能的完整概述。 到本文结束时，您将了解如何安装和配置此插件，以及它是否值得在您的站点上激活。

您最好的 WordPress 项目需要最好的主机！

WPMarmite 推荐 Bluehost：出色的性能，出色的支持。 一个良好的开端所需的一切。

试用 Bluehost

什么是 iThemes 安全性？

iThemes Security 是一个保护和保护您的 WordPress 网站的插件。 它为此提供了各种功能，包括双因素身份验证、防止暴力攻击、密码强制执行、IP 地址阻止等。

iThemes Security 的活跃安装量超过100万，是 WordPress 官方目录中最受欢迎的安全插件之一。 它与以下插件竞争：

• Wordfence Security （超过400 万个活跃安装）
• 多合一安全（超过 100 万个活动安装）
• Sucuri （ 800K+活跃安装）
• Jetpack （超过 500 万活跃安装）
• SecuPress（ 30K+活跃安装）

iThemes Security，一个集成到大量产品中的插件

该插件最初由开发人员 Chris Wiegman 作为 Better WP Security 推出，在 2013 年 12 月被 iThemes 收购后更名。

除此之外，iThemes 品牌还提供另外两种产品：

• BackupBuddy ，用于备份、移动和恢复 WordPress 站点
• iThemes Sync ，从单个仪表板维护多个 WordPress 站点

iThemes 于 2018 年被托管公司 Liquid Web 收购，是 StellarWP 品牌下的一系列 WordPress 产品的一部分。 它包括，例如：

• Kadence主题
• LearnDash LMS（学习管理系统）
• Events Calendar、Restrict Content Pro 和 GiveWP 插件

这就是第一个总体概述，对于了解嵌入 iThemes 安全性的生态系统很有用。 现在让我们看看 iThemes 如何帮助您保护 WordPress 网站。

这个安全插件的主要特点是什么？

为了尽可能保护您的安装，iThemes 的免费版本能够：

• 禁止想要访问您网站的黑客或恶意机器人的 IP 地址
• 保存WordPress 安装的数据库
• 检测对文件的任何未经授权的更改
• 阻止暴力攻击。 在这种情况下，机器人会尝试通过测试不同的组合来发现您站点管理员帐户的登录名和密码，以控制它。
• 帮助您设置双因素身份验证以登录您的站点
• 要求您为所有帐户设置强密码
• 强制通过 SSL 连接到您的网站，这是在您的网站上实施 HTTPS 所必需的
• 向您发送有关您网站上任何可疑活动的电子邮件通知
• 更改网站数据库的前缀
• 更改登录页面的 URL

但是，不要将 iThemes Security 视为可以 100% 保护您的奇迹解决方案。 顺便说一句，没有安全插件可以保证这一点。

正如官方目录中的描述页面所述，“iThemes Security 旨在帮助提高 WordPress 安装的安全性以抵御许多常见的攻击方法，但它无法阻止所有可能的攻击。 “

我们只是说该插件在安全性方面会让您的生活更轻松，因为您必须为此付出一些努力。 要说服自己付出努力，请阅读以下部分。

WordPress 网站的安全性有多重要？

我在这里说的是显而易见的，但无论如何都要说：您网站的安全性是最重要的。 如果遭到黑客攻击，后果可能非常不幸，并导致：

• 大量数据的丢失和被盗，或多或少是敏感的，尤其是您客户的数据
• 浪费时间，因为您将不得不清理被黑站点并更新所有内容
• 计划外的财务支出，尤其是当您请来安全专家时
• 损害您的品牌形象并可能失去当前用户和/或未来客户的信任

我绝不是要吓唬你，但请记住，这种不幸事件不仅仅发生在其他人身上。

快速浏览一下 iThemes Security Pro 演示页面可能足以说服您（如果您是需要说服力的类型）。 根据公司分享的数据：

• 50% 的网络攻击针对非常小的企业
• 45% 的网站所有者没有做好被黑客攻击的充分准备，这意味着他们没有采取足够的保护措施

正如安全专家 Patchstack 在 2021 年报告的那样，几乎所有检测到的漏洞都来自 WordPress 主题，尤其是插件（占漏洞总数的 99.42%）。 攻击可以是多种多样的。 您可以通过以下方式成为目标：

• 站对站脚本（Cross-site scripting，也叫XSS）
• 跨站请求伪造（CSRF 或 XSRF）
• SQL 注入（对数据库的攻击）
• PHP 漏洞，WordPress 运行的语言
• 恶意文件下载
• 等等。

作为网站管理员，您可以在网站安全方面发挥作用。 您有必要每天保持最佳实践，例如备份您的文件和数据库，并执行频繁的更新。

并且不要忘记使用像 iThemes Security 这样的安全插件。 在下一节中了解更多信息，该节向您展示了如何在管理界面（后台）上激活它。

如何通过六个步骤安装和配置 iThemes

第 1 步：备份您的站点

首先，在激活 iThemes Security 之前，请使用专用插件备份您的站点。

在此比较中，我们查看了一些备份插件，包括 UpdraftPlus。 为什么要采取这种预防措施？ 首先，因为这是很好的做法。

其次，因为 iThemes Security 在官方目录的常见问题解答中推荐了它。

它是这样说的：“ iThemes Security 对您的数据库和其他站点文件进行了重大更改，这对于现有的 WordPress 站点来说可能是个问题。” 同样，我们强烈建议在使用此插件之前对您的站点进行完整备份。 虽然问题很少见，但大多数支持请求都涉及未能在安装前进行适当的备份。”

适当指出。 让我们继续第二步。

第 2 步：在仪表板上激活插件

现在继续安装 iThemes Security。 为此，请转到插件>添加新插件并在搜索栏中键入“iThemes Security”：

单击“立即安装”按钮。 在此过程中，激活插件。 恭喜！ 该插件正在您的网站上运行。

您可以在左侧边栏中看到一个新的自定义帖子类型。 它由两个主菜单组成：

1. 设置
2. 获得更高的安全性

让我们马上看一下第一个。 转到iThemes 安全 > 设置菜单。

第三步：选择站点类型

为了让您的生活一开始就更轻松，iThemes Security 会指导您“完成设置过程，以便为您的站点启用最重要的安全功能。”

您可以先从六种最能代表您的站点类型中进行选择：

• “电子商务”
• “网络”（用于论坛和会员站点）
• “非营利性”（用于支持事业和收集捐款的网站）
• “博客”
• “文件夹”
• “宣传册”（展示网站）

就个人而言，我选择了最适合我的测试站点的“博客”模板。

然后 iThemes 会要求您输入以下信息：

• 您为谁配置插件，您的个人网站还是客户的网站？
• 您想使用密码策略来保护您的用户帐户吗？ 这要求您网站的用户使用强密码。 检查“是”是一个很好的做法。

第 4 步：启用安全功能

在下一步中，iThemes 为您提供了激活/停用您选择的功能的选项，分为四个部分：

1. “登录安全”
2. “停工”
3. “现场检查”
4. “公用事业”

在 iThemes Security 的免费版本中，有五个功能：

• Two-factor ，在登录到管理界面时启用双因素身份验证 (2FA)
• Local brute force ，以保护您的站点免受暴力攻击（默认情况下选项处于活动状态）
• 网络暴力，阻止在攻击你的网站之前试图闯入其他网站的用户（默认情况下选项处于活动状态）
• 站点扫描计划，每天两次检查您的站点是否有恶意文件
• Security Check Pro ，通过向 iThemes.com 服务器发出 API 请求（默认激活），根据您的服务器配置识别 IP 地址

除了已经默认启用的功能外，启用双因素身份验证和站点扫描可能会有用。 稍后我会回到设置的详细信息。

第 5 步：设置帐户组

在此之后，iThemes 建议您设置“帐户组”。

如前所述， “用户帐户组允许您仅为特定用户组启用安全功能。”

您有两个选项可供选择：

• 默认。 在这种情况下，您的用户帐户将根据他们在 WordPress 中的权限自动分类，插件将为每个组激活推荐的安全设置。 我建议您选择此选项。
• 自定义。 在这里，您可以从头开始使用自定义组，并根据需要对您的用户帐户进行分类。

然后，您将有权访问基于用户角色（管理员、编辑、作者、贡献者或订阅者）的各种设置：

第 6 步：设置常规设置和通知

为了完成您网站的配置，iThemes Security 将要求您：

• 将您的 IP 地址添加到允许的帐户列表中
• 选择插件将如何确定访问者的 IP 地址
• 是否加入其暴力网络（如果需要，只需输入您的电子邮件地址）
• 输入电子邮件地址以接收通知

这就是第一轮保护措施。 iThemes 指出您的网站已经有了一些显着的改进：

• 您帐户的安全性得到加强
• 暴力攻击被阻止，恶意机器人和用户代理也是如此。
• 恶意软件检测和易受攻击的主题和插件检测处于活动状态

这是伟大的第一步，但还有进一步定制的空间。 在接下来的部分中，我将向您展示如何对插件的主要功能进行更深入的调整。

加入 WPMarmite 订阅者

获取最新的 WPMarmite 帖子（以及独家资源）。

现在订阅

iThemes Security 提供哪些设置？

当您使用完其配置向导后，iThemes Security 会为您提供一个名为“设置”的新菜单。

此菜单包含插件的功能，其中一些功能在配置阶段已提及。

iThemes Security 采用模块化方法：您可以激活您需要的功能并停用那些没有用的功能。

当按钮为蓝色时，该功能处于活动状态。 要禁用它，只需单击它。 您可以通过单击齿轮来访问其设置：

事不宜迟，让我们剖析提供的每个选项。

文件变更

多亏了“文件更改”模块，iThemes Security 能够在文件被更改时立即通知您，这可能表明存在黑客攻击。

默认情况下，每个新安装的 WordPress 中包含的所有文件都会被考虑在内。

但是，如果您愿意，此模块的设置允许您排除您选择的文件和文件夹。

如果您不确定自己在做什么，请不要管它。 排除某些文件和文件夹的好处是它消耗的服务器资源较少。 因此，您的页面加载时间受到的影响较小。

如果您使用的是像bluehost （附属链接）这样的好主机，这应该不是问题。

账户封锁

“禁止用户”模块阻止特定 IP 地址和用户代理（例如网络浏览器或搜索引擎机器人）访问您的网站。

默认情况下，iThemes 建议激活由 HackRepair.com 网站创建的列表。 由于此列表阻止了某些被认为是恶意的机器人，因此激活它是有意义的。

在自定义bans对应的部分，你可以：

• 限制服务器配置文件中阻止的 IP 数量。 iThemes 指出，这降低了更新文件时服务器崩溃的风险。
• 手动禁止用户 代理商

双因素身份验证

让我们继续讨论专用于双因素身份验证的模块。 这为登录您的 WordPress 站点增加了额外的安全措施。

输入登录名和密码后，系统会要求您使用设备（通常是智能手机或平板电脑）来验证连接过程。

当您进行在线支付时，这是银行已经使用的一种方法。 它在保护您免受暴力攻击方面非常有效。

在设置中，您必须首先选择双因素身份验证方法。 iThemes Security 支持多种选择：

• 移动应用
• 电子邮件
• 备用代码

iThemes 建议选择“所有方法”设置。 这允许每个帐户选择他们喜欢的方法。

您还可以选择在首次登录时禁用双重身份验证，并可以编辑设置双因素身份验证时将显示给用户的文本。

一旦此模块处于活动状态，您将被要求选择一种方法来在输入您的用户名和密码后验证您自己。

例如，您可以使用 Google Authenticator、Authy、FreeOTP 或 Toopher 等移动应用程序。

下次登录管理界面时，系统会要求您使用此方法对自己进行身份验证。

暴力破解保护

虽然双因素身份验证是保护您免受暴力攻击的好盾牌，但它并不是唯一的。

iThemes 还为此提供了两个特定模块。 使用第一个称为“本地暴力破解”的方法，您可以：

• 自动阻止尝试与“管理员”登录名连接的 IP 地址。 我建议你检查这个选项。
• 在阻止之前限制每个 IP 地址的最大登录尝试次数。
• 在阻止之前限制每个用户名的最大登录尝试次数。
• 设置计算不成功连接的分钟数。

默认设置已经生效，但您可以根据需要进行修改。

例如，如果您意识到暴力攻击正在增加，请将每个用户的最大登录尝试次数从 10 次减少到 5 次。

同时，您还可以利用“网络暴力破解”模块。 描述比较模糊。 iThemes 说这是“一个网站网络，可以防止互联网上的不良行为者”。

“本地暴力破解”模块仅处理访问您站点的尝试，而“网络暴力破解”模块会阻止在攻击您的站点之前试图闯入其他站点的用户。

通过输入您的电子邮件地址启用此选项，并选中该框以接收电子邮件更新。

备份数据库

万一遭到黑客攻击（希望您不必使用此信息），您将不得不恢复您的网站。 为此，必须有最近的备份。

多亏了“数据库备份”模块，您可以手动创建或安排数据库的自动备份。

但是，请注意：该模块仅备份您的数据库，而不备份您站点的文件（下载后在“wordpress”文件夹中找到的文件）。

以下是提供的设置：

• 安排数据库备份。 如果您想创建自动备份，请选中此框。 如果您不使用并行备份插件，请启用此选项。 您可以选择两次备份之间的天数。 默认情况下，设置为三天。 如果您网站的内容没有变化，您可以降低此频率。 如果您每天都对站点进行更改，请安排每日备份。
• 配置您的备份。 您可以在三种备份方法之间进行选择：通过电子邮件、本地备份或两者兼而有之。 本地备份会占用您的存储空间，所以最好通过电子邮件发送。
  您还可以压缩备份文件以减小其大小（选中此框）。
• 要备份的表。 iThemes 允许您从备份中排除数据库中的某些表。 默认情况下，包含 WordPress 核心的所有表。 对于其余部分，不要触摸任何东西，除非您确定您了解要排除的表格的用途。

这个模块唯一有用的是你的数据库备份。

为了做得更好，我建议您使用专用插件来备份您的整个站点（文件 + 数据库）。

选择一个允许您将备份发送到远程存储空间（Dropbox、Google Drive、Amazon S3 等）的插件（例如 UpdraftPlus）。

通知中心

配置所有选项后（如果您的网站使用 HTTPS，您还将被要求强制使用 SSL），iThemes Security 为用户提供了一个菜单来管理它发送的通知：

iThemes 首先允许您通过选中/取消选中每个子菜单中的关联框来启用/禁用通知：

对于大多数选项，您可以设置：

• 发送的电子邮件的主题
• 电子邮件频率
• 收件人：管理员、其他用户角色或自定义电子邮件地址

iThemes Security 高级工具和选项

最后，iThemes 在其“高级”和“工具”菜单中提供了其他有用的安全设置（您必须密切注意它们，因为它们隐藏得很好 ^^）。

高级菜单

您将在“高级”菜单中看到三个选项卡，它们允许您更改站点的服务器配置。

保留前两个“系统调整”和“WordPress 调整”的默认设置。

第三个选项卡“隐藏后端”允许您更改站点管理的登录页面。 默认情况下，可以通过在网络浏览器中输入以下两个 URL 之一轻松访问它：

• yoursite.com/wp-admin
• yoursite.com/wp-login.php

通过修改它，您可以让机器人更难连接到您的站点。 这些设置允许您：

• 更改 connection slug ，即您 URL 的最后一部分。 输入您选择的值（例如：xc78ygvk）。
  最好选择难以猜到的组合。 请记住在几个地方（在您的笔记应用程序中、在您的浏览器的收藏夹中等）记下您的新 URL。
• 指定一个重定向 URL （例如 https://yoursite.com/404），该 URL 将被发送回想要访问您的登录页面的未连接的机器人或黑客。 如果您需要此选项，请选中相关框。

工具菜单

让我们通过“工具”菜单结束对设置的回顾，其中列出了十个额外的配置选项。

首先，我建议您首先使用以下工具：

• “更改管理员用户” ，以更改以“admin”开头的用户名。
• “更改数据库表前缀。” 通过更改默认分配给所有新 WordPress 安装的 wp_ 前缀，您可以让试图利用漏洞的工具更难访问您站点的数据库。
• “检查文件权限”来检查他们的权限。 如果出现警告，您可以在 FTP 客户端上更改它们。

同样，请记住在激活安全插件提供的工具之前备份您的网站。

好了，现在您对 iThemes 安全“设置”菜单有了详细的了解。 是时候看看“仪表板”菜单为您准备了什么了。

如何使用 iThemes Security 监控您网站的状态

通过转到iThemes Security > Dashboard ，您将获得站点状态的可视化摘要。

该插件显示以下信息：

• 按 IP 地址、用户和标识符分类的锁定
• 您的数据库的备份次数，带有一个启动即时手动备份的按钮
• 给定时间段内的暴力攻击次数。 默认情况下，日期范围设置为 30 天，但您可以输入自定义值。
• 检测到扫描错误
• 被禁止的帐户
• 禁令概述：登录尝试、使用“admin”登录和 reCAPTCHA

插件的高级选项是什么？

iThemes 解释说，使用插件的高级版本 iThemes Security Pro，您可以获得“考虑到性能的 WordPress 网站的额外保护层” 。

想知道如何激活 iThemes Security 的专业版？ 这很简单。 购买插件的付费许可证之一后，在您的客户区下载与插件相关的 zip 文件。 然后通过单击“上传插件”将其上传到插件 > 添加新插件。

以下是插件高级包中提供的大部分主要选项：

• 在检测到漏洞时自动更新您的插件、主题和 WordPress 核心文件。
• 在注册新用户、重置密码、登录和发表评论时激活 reCAPTCHA 的选项。 这是打击垃圾邮件的有效选择。 特别支持 Google reCAPTCHA V3。
• 您的用户能够使用安全发送到他们电子邮件的链接登录到您的 WordPress 站点（“无密码登录”选项）。
• 被强力网络阻止的用户能够使用魔法链接（“魔法链接”选项）登录。
• 导出插件设置。 如果您想在多个站点上激活插件而不必每次都进行设置，这是一个有用的选项。
• 快速修改五个最关键的用户安全要素：双因素身份验证、密码的年龄和强度、上次活动时间、活动的 WordPress 会话和用户角色（“用户安全检查”选项）。
• 核心、插件和主题的自动更新（“版本管理”选项）。
• 临时用户（例如维护技术人员）的临时管理员访问权限，无需创建新用户（临时权限升级选项）。

有兴趣升级到 iThemes Security Pro 吗？ 现在让我们谈谈定价。

iThemes 安全费用是多少？

iThemes Security 是一个免费增值插件。 您可以首先通过从管理界面激活它来免费使用它，但它的创建者还提供三个高级许可证以利用插件提供的所有功能。

1. Basic : $99/year 在一个网站上使用
2. 加：199 美元/年，最多可在 5 个网站上使用
3. 代理商：299 美元/年，最多可在 10 个网站上使用

每个许可证都提供完全相同的选项、插件更新和电子邮件支持。

您选择哪种许可证取决于您计划在多少个站点上激活 iThemes Security Pro。

注意：iThemes 还提供 749 美元/年的套餐，其中包括许多以 StellarWP 品牌销售的工具：iThemes Security、Backup Buddy、Kadence、Restrict Content Pro 等。

iThemes Security free vs Pro：你应该选择哪个版本？

与免费版本相比，iThemes Security Pro 在安全性方面的主要附加值是自动将补丁应用到站点分析检测到的易受攻击的软件（如果可用）。

这显然有助于更好地保护您的网站，但您仍然需要每年至少支付 99 美元才能利用它。

其余的选项主要是为了方便某些操作（通过魔术链接连接、快速导出选项等），并不是真正加强对您网站的保护。

总而言之，在我看来，该插件的免费版本已经足以加强您网站的安全性，这要归功于针对暴力攻击的保护和双重身份验证。

但它仍然有一些局限性，正如您将在下面的摘要中看到的那样。

我们对 iThemes 安全性的最终意见

iThemes 安全的优势

• 激活插件时会自动添加安全预设。
• 界面相当直观和清晰。 这使得该插件易于学习。
• 模块化方法，允许您只激活您需要的选项。 这会消耗更少的服务器资源，这对于页面的加载速度总是更好。
• 该插件使用的技术术语很少。 这些选项比 Wordfence Security 或 Sucuri 等竞争对手的选项更容易理解。
• 免费版包含很多功能。

插件的限制

• 该插件的主要缺点是它不提供防火墙，这仍然是安全插件的基本保护措施。
• 没有这样的安全扫描器。
• 免费版不分析实时流量。
• 该插件不会修复其免费版本中检测到的漏洞。
• iThemes 指出，它的插件可能会使您的网站崩溃，因为它会对您的文件和数据库进行重大更改。

你应该使用它吗？

最后，还有最后一个问题：您应该在您的 WordPress 网站上激活该插件吗？

要回答这个问题，需要牢记一些要点：

• 是的，iThemes 缺少一些重要的选项，例如防火墙或扫描……
• …但是如果您同时实施其他安全措施，插件可以完成这项工作。 例如，您可能正在使用另一个包含防火墙的插件。
  还要记住定期备份您的站点，并在更新可用时更新它。
  

最后，如果您遵循这些准则（将 iThemes 与其他安全措施结合使用），在我看来，iThemes 适合想要免费加强其网站安全性而又不会过度劳累的初学者用户。

虽然它的基本安全功能较少，但 iThemes Security 仍然比 Wordfence Security 更容易设置，Wordfence Security 使用更多行话（并且以更贪婪地占用服务器资源而著称）。

下载 iThemes 安全：

您对 iThemes Security 有何看法？ 在评论中告诉我们所有相关信息。