如何使用 iThemes 安全插件保護您的網站

恩波利亞。 道奇城。 花園城市。 您可能從未聽說過這三個堪薩斯小鎮的名字。

除了位於向日葵州之外，它們還有什麼共同點？ 他們都有大約 30,000 名居民。 現在，想像一下這些城市中的每個居民都有一個 WordPress 網站……並且每天都被黑客攻擊。

聽起來很瘋狂？ 這是。 根據 iThemes Security 提供的統計數據，每天有 30,000 個網站遭到黑客攻擊。

除了不時提供的統計分析外，此 WordPress 插件還提供有用的選項來增強您網站的安全性。

和我一起了解其功能的完整概述。 到本文結束時，您將了解如何安裝和配置此插件，以及它是否值得在您的站點上激活。

您最好的 WordPress 項目需要最好的主機！

WPMarmite 推薦 Bluehost：出色的性能，出色的支持。 一個良好的開端所需的一切。

試用 Bluehost

什麼是 iThemes 安全性？

iThemes Security 是一個保護和保護您的 WordPress 網站的插件。 它為此提供了各種功能，包括雙因素身份驗證、防止暴力攻擊、密碼強制執行、IP 地址阻止等。

iThemes Security 的活躍安裝量超過100萬，是 WordPress 官方目錄中最受歡迎的安全插件之一。 它與以下插件競爭：

• Wordfence Security （超過400 萬個活躍安裝）
• 多合一安全（超過 100 萬個活動安裝）
• Sucuri （ 800K+活躍安裝）
• Jetpack （超過 500 萬活躍安裝）
• SecuPress（ 30K+活躍安裝）

iThemes Security，一個集成到大量產品中的插件

該插件最初由開發人員 Chris Wiegman 作為 Better WP Security 推出，在 2013 年 12 月被 iThemes 收購後更名。

除此之外，iThemes 品牌還提供另外兩種產品：

• BackupBuddy ，用於備份、移動和恢復 WordPress 站點
• iThemes Sync ，從單個儀表板維護多個 WordPress 站點

iThemes 於 2018 年被託管公司 Liquid Web 收購，是 StellarWP 品牌下的一系列 WordPress 產品的一部分。 它包括，例如：

• Kadence主題
• LearnDash LMS（學習管理系統）
• Events Calendar、Restrict Content Pro 和 GiveWP 插件

這就是第一個總體概述，對於了解嵌入 iThemes 安全性的生態系統很有用。 現在讓我們看看 iThemes 如何幫助您保護 WordPress 網站。

這個安全插件的主要特點是什麼？

為了盡可能保護您的安裝，iThemes 的免費版本能夠：

• 禁止想要訪問您網站的黑客或惡意機器人的 IP 地址
• 保存WordPress 安裝的數據庫
• 檢測對文件的任何未經授權的更改
• 阻止暴力攻擊。 在這種情況下，機器人會嘗試通過測試不同的組合來發現您站點管理員帳戶的登錄名和密碼，以控制它。
• 幫助您設置雙因素身份驗證以登錄您的站點
• 要求您為所有帳戶設置強密碼
• 強制通過 SSL 連接到您的網站，這是在您的網站上實施 HTTPS 所必需的
• 向您發送有關您網站上任何可疑活動的電子郵件通知
• 更改網站數據庫的前綴
• 更改登錄頁面的 URL

但是，不要將 iThemes Security 視為可以 100% 保護您的奇蹟解決方案。 順便說一句，沒有安全插件可以保證這一點。

正如官方目錄中的描述頁面所述，“iThemes Security 旨在幫助提高 WordPress 安裝的安全性以抵禦許多常見的攻擊方法，但它無法阻止所有可能的攻擊。 “

我們只是說該插件在安全性方面會讓您的生活更輕鬆，因為您必須為此付出一些努力。 要說服自己付出努力，請閱讀以下部分。

WordPress 網站的安全性有多重要？

我在這裡說的是顯而易見的，但無論如何都要說：您網站的安全性是最重要的。 如果遭到黑客攻擊，後果可能非常不幸，並導致：

• 大量數據的丟失和被盜，或多或少是敏感的，尤其是您客戶的數據
• 浪費時間，因為您將不得不清理被黑站點並更新所有內容
• 計劃外的財務支出，尤其是當您請來安全專家時
• 損害您的品牌形象並可能失去當前用戶和/或未來客戶的信任

我絕不是要嚇唬你，但請記住，這種不幸事件不僅僅發生在其他人身上。

快速瀏覽一下 iThemes Security Pro 演示頁面可能足以說服您（如果您是需要說服力的類型）。 根據公司分享的數據：

• 50% 的網絡攻擊針對非常小的企業
• 45% 的網站所有者沒有做好被黑客攻擊的充分準備，這意味著他們沒有採取足夠的保護措施

正如安全專家 Patchstack 在 2021 年報告的那樣，幾乎所有檢測到的漏洞都來自 WordPress 主題，尤其是插件（佔漏洞總數的 99.42%）。 攻擊可以是多種多樣的。 您可以通過以下方式成為目標：

• 站對站腳本（Cross-site scripting，也叫XSS）
• 跨站請求偽造（CSRF 或 XSRF）
• SQL 注入（對數據庫的攻擊）
• PHP 漏洞，WordPress 運行的語言
• 惡意文件下載
• 等等。

作為網站管理員，您可以在網站安全方面發揮作用。 您有必要每天保持最佳實踐，例如備份您的文件和數據庫，並執行頻繁的更新。

並且不要忘記使用像 iThemes Security 這樣的安全插件。 在下一節中了解更多信息，該節向您展示瞭如何在管理界面（後台）上激活它。

如何通過六個步驟安裝和配置 iThemes

第 1 步：備份您的站點

首先，在激活 iThemes Security 之前，請使用專用插件備份您的站點。

在此比較中，我們查看了一些備份插件，包括 UpdraftPlus。 為什麼要採取這種預防措施？ 首先，因為這是很好的做法。

其次，因為 iThemes Security 在官方目錄的常見問題解答中推薦了它。

它是這樣說的：“ iThemes Security 對您的數據庫和其他站點文件進行了重大更改，這對於現有的 WordPress 站點來說可能是個問題。” 同樣，我們強烈建議在使用此插件之前對您的站點進行完整備份。 雖然問題很少見，但大多數支持請求都涉及未能在安裝前進行適當的備份。”

適當指出。 讓我們繼續第二步。

第 2 步：在儀表板上激活插件

現在繼續安裝 iThemes Security。 為此，請轉到插件>添加新插件並在搜索欄中鍵入“iThemes Security”：

單擊“立即安裝”按鈕。 在此過程中，激活插件。 恭喜！ 該插件正在您的網站上運行。

您可以在左側邊欄中看到一個新的自定義帖子類型。 它由兩個主菜單組成：

1. 設置
2. 獲得更高的安全性

讓我們馬上看一下第一個。 轉到iThemes 安全 > 設置菜單。

第三步：選擇站點類型

為了讓您的生活一開始就更輕鬆，iThemes Security 會指導您“完成設置過程，以便為您的站點啟用最重要的安全功能。”

您可以先從六種最能代表您的站點類型中進行選擇：

• “電子商務”
• “網絡”（用於論壇和會員站點）
• “非營利性”（用於支持事業和收集捐款的網站）
• “博客”
• “文件夾”
• “宣傳冊”（展示網站）

就個人而言，我選擇了最適合我的測試站點的“博客”模板。

然後 iThemes 會要求您輸入以下信息：

• 您為誰配置插件，您的個人網站還是客戶的網站？
• 您想使用密碼策略來保護您的用戶帳戶嗎？ 這要求您網站的用戶使用強密碼。 檢查“是”是一個很好的做法。

第 4 步：啟用安全功能

在下一步中，iThemes 為您提供了激活/停用您選擇的功能的選項，分為四個部分：

1. “登錄安全”
2. “停工”
3. “現場檢查”
4. “公用事業”

在 iThemes Security 的免費版本中，有五個功能：

• Two-factor ，在登錄到管理界面時啟用雙因素身份驗證 (2FA)
• Local brute force ，以保護您的站點免受暴力攻擊（默認情況下選項處於活動狀態）
• 網絡暴力，阻止在攻擊你的網站之前試圖闖入其他網站的用戶（默認情況下選項處於活動狀態）
• 站點掃描計劃，每天兩次檢查您的站點是否有惡意文件
• Security Check Pro ，通過向 iThemes.com 服務器發出 API 請求（默認激活），根據您的服務器配置識別 IP 地址

除了已經默認啟用的功能外，啟用雙因素身份驗證和站點掃描可能會有用。 稍後我會回到設置的詳細信息。

第 5 步：設置帳戶組

在此之後，iThemes 建議您設置“帳戶組”。

如前所述， “用戶帳戶組允許您僅為特定用戶組啟用安全功能。”

您有兩個選項可供選擇：

• 默認。 在這種情況下，您的用戶帳戶將根據他們在 WordPress 中的權限自動分類，插件將為每個組激活推薦的安全設置。 我建議您選擇此選項。
• 自定義。 在這裡，您可以從頭開始使用自定義組，並根據需要對您的用戶帳戶進行分類。

然後，您將有權訪問基於用戶角色（管理員、編輯、作者、貢獻者或訂閱者）的各種設置：

第 6 步：設置常規設置和通知

為了完成您網站的配置，iThemes Security 將要求您：

• 將您的 IP 地址添加到允許的帳戶列表中
• 選擇插件將如何確定訪問者的 IP 地址
• 是否加入其暴力網絡（如果需要，只需輸入您的電子郵件地址）
• 輸入電子郵件地址以接收通知

這就是第一輪保護措施。 iThemes 指出您的網站已經有了一些顯著的改進：

• 您帳戶的安全性得到加強
• 暴力攻擊被阻止，惡意機器人和用戶代理也是如此。
• 惡意軟件檢測和易受攻擊的主題和插件檢測處於活動狀態

這是偉大的第一步，但還有進一步定制的空間。 在接下來的部分中，我將向您展示如何對插件的主要功能進行更深入的調整。

加入 WPMarmite 訂閱者

獲取最新的 WPMarmite 帖子（以及獨家資源）。

現在訂閱

iThemes Security 提供哪些設置？

當您使用完其配置嚮導後，iThemes Security 會為您提供一個名為“設置”的新菜單。

此菜單包含插件的功能，其中一些功能在配置階段已提及。

iThemes Security 採用模塊化方法：您可以激活您需要的功能並停用那些沒有用的功能。

當按鈕為藍色時，該功能處於活動狀態。 要禁用它，只需單擊它。 您可以通過單擊齒輪來訪問其設置：

事不宜遲，讓我們剖析提供的每個選項。

文件變更

多虧了“文件更改”模塊，iThemes Security 能夠在文件被更改時立即通知您，這可能表明存在黑客攻擊。

默認情況下，每個新安裝的 WordPress 中包含的所有文件都會被考慮在內。

但是，如果您願意，此模塊的設置允許您排除您選擇的文件和文件夾。

如果您不確定自己在做什麼，請不要管它。 排除某些文件和文件夾的好處是它消耗的服務器資源更少。 因此，您的頁面加載時間受到的影響較小。

如果您使用的是像bluehost （附屬鏈接）這樣的好主機，這應該不是問題。

賬戶封鎖

“禁止用戶”模塊阻止特定 IP 地址和用戶代理（例如網絡瀏覽器或搜索引擎機器人）訪問您的站點。

默認情況下，iThemes 建議激活由 HackRepair.com 網站創建的列表。 由於此列表阻止了某些被認為是惡意的機器人，因此激活它是有意義的。

在自定義bans對應的部分，你可以：

• 限制服務器配置文件中阻止的 IP 數量。 iThemes 指出，這降低了更新文件時服務器崩潰的風險。
• 手動禁止用戶 代理商

雙因素身份驗證

讓我們繼續討論專用於雙因素身份驗證的模塊。 這為登錄您的 WordPress 站點增加了額外的安全措施。

輸入登錄名和密碼後，系統會要求您使用設備（通常是智能手機或平板電腦）來驗證連接過程。

當您進行在線支付時，這是銀行已經使用的一種方法。 它在保護您免受暴力攻擊方面非常有效。

在設置中，您必須首先選擇雙因素身份驗證方法。 iThemes Security 支持多種選擇：

• 移動應用
• 電子郵件
• 備用代碼

iThemes 建議選擇“所有方法”設置。 這允許每個帳戶選擇他們喜歡的方法。

您還可以選擇在首次登錄時禁用雙重身份驗證，並可以編輯設置雙因素身份驗證時將顯示給用戶的文本。

一旦此模塊處於活動狀態，您將被要求選擇一種方法來在輸入您的用戶名和密碼後驗證您自己。

例如，您可以使用 Google Authenticator、Authy、FreeOTP 或 Toopher 等移動應用程序。

下次登錄管理界面時，系統會要求您使用此方法對自己進行身份驗證。

暴力破解保護

雖然雙因素身份驗證是保護您免受暴力攻擊的好盾牌，但它並不是唯一的。

iThemes 還為此提供了兩個特定模塊。 使用第一個稱為“本地暴力破解”的方法，您可以：

• 自動阻止嘗試與“管理員”登錄名連接的 IP 地址。 我建議你檢查這個選項。
• 在阻止之前限制每個 IP 地址的最大登錄嘗試次數。
• 在阻止之前限制每個用戶名的最大登錄嘗試次數。
• 設置計算不成功連接的分鐘數。

默認設置已經生效，但您可以根據需要進行修改。

例如，如果您意識到暴力攻擊正在增加，請將每個用戶的最大登錄嘗試次數從 10 次減少到 5 次。

同時，您還可以利用“網絡暴力破解”模塊。 描述比較模糊。 iThemes 說這是“一個網站網絡，可以防止互聯網上的不良行為者”。

“本地暴力破解”模塊僅處理訪問您站點的嘗試，而“網絡暴力破解”模塊會阻止在攻擊您的站點之前試圖闖入其他站點的用戶。

通過輸入您的電子郵件地址啟用此選項，並選中該框以接收電子郵件更新。

備份數據庫

萬一遭到黑客攻擊（希望您不必使用此信息），您將不得不恢復您的網站。 為此，必須有最近的備份。

多虧了“數據庫備份”模塊，您可以手動創建或安排數據庫的自動備份。

但是，請注意：該模塊僅備份您的數據庫，而不備份您站點的文件（下載後在“wordpress”文件夾中找到的文件）。

以下是提供的設置：

• 安排數據庫備份。 如果您想創建自動備份，請選中此框。 如果您不使用並行備份插件，請啟用此選項。 您可以選擇兩次備份之間的天數。 默認情況下，設置為三天。 如果您網站的內容沒有變化，您可以降低此頻率。 如果您每天都對站點進行更改，請安排每日備份。
• 配置您的備份。 您可以在三種備份方法之間進行選擇：通過電子郵件、本地備份或兩者兼而有之。 本地備份會佔用您的存儲空間，所以最好通過電子郵件發送。
  您還可以壓縮備份文件以減小其大小（選中此框）。
• 要備份的表。 iThemes 允許您從備份中排除數據庫中的某些表。 默認情況下，包含 WordPress 核心的所有表。 對於其餘部分，不要觸摸任何東西，除非您確定您了解要排除的表格的用途。

這個模塊唯一有用的是你的數據庫備份。

為了做得更好，我建議您使用專用插件來備份您的整個站點（文件 + 數據庫）。

選擇一個允許您將備份發送到遠程存儲空間（Dropbox、Google Drive、Amazon S3 等）的插件（例如 UpdraftPlus）。

通知中心

配置所有選項後（如果您的網站使用 HTTPS，您還將被要求強制使用 SSL），iThemes Security 為用戶提供了一個菜單來管理它發送的通知：

iThemes 首先允許您通過選中/取消選中每個子菜單中的關聯框來啟用/禁用通知：

對於大多數選項，您可以設置：

• 發送的電子郵件的主題
• 電子郵件頻率
• 收件人：管理員、其他用戶角色或自定義電子郵件地址

iThemes Security 高級工具和選項

最後，iThemes 在其“高級”和“工具”菜單中提供了其他有用的安全設置（您必須密切注意它們，因為它們隱藏得很好 ^^）。

高級菜單

您將在“高級”菜單中看到三個選項卡，它們允許您更改站點的服務器配置。

保留前兩個“系統調整”和“WordPress 調整”的默認設置。

第三個選項卡“隱藏後端”允許您更改站點管理的登錄頁面。 默認情況下，可以通過在網絡瀏覽器中輸入以下兩個 URL 之一輕鬆訪問它：

• yoursite.com/wp-admin
• yoursite.com/wp-login.php

通過修改它，您可以讓機器人更難連接到您的站點。 這些設置允許您：

• 更改 connection slug ，即您 URL 的最後一部分。 輸入您選擇的值（例如：xc78ygvk）。
  最好選擇難以猜到的組合。 請記住在幾個地方（在您的筆記應用程序中、在您的瀏覽器的收藏夾中等）記下您的新 URL。
• 指定一個重定向 URL （例如 https://yoursite.com/404），該 URL 將被發送回想要訪問您的登錄頁面的未連接的機器人或黑客。 如果您需要此選項，請選中相關框。

工具菜單

讓我們通過“工具”菜單結束對設置的回顧，其中列出了十個額外的配置選項。

首先，我建議您首先使用以下工具：

• “更改管理員用戶” ，以更改以“admin”開頭的用戶名。
• “更改數據庫表前綴。” 通過更改默認分配給所有新 WordPress 安裝的 wp_ 前綴，您可以讓試圖利用漏洞的工具更難訪問您站點的數據庫。
• “檢查文件權限”來檢查他們的權限。 如果出現警告，您可以在 FTP 客戶端上更改它們。

同樣，請記住在激活安全插件提供的工具之前備份您的站點。

好了，現在您對 iThemes 安全“設置”菜單有了詳細的了解。 是時候看看“儀表板”菜單為您準備了什麼了。

如何使用 iThemes Security 監控您網站的狀態

通過轉到iThemes Security > Dashboard ，您將獲得站點狀態的可視化摘要。

該插件顯示以下信息：

• 按 IP 地址、用戶和標識符分類的鎖定
• 您的數據庫的備份次數，帶有一個啟動即時手動備份的按鈕
• 給定時間段內的暴力攻擊次數。 默認情況下，日期範圍設置為 30 天，但您可以輸入自定義值。
• 檢測到掃描錯誤
• 被禁止的帳戶
• 禁令概述：登錄嘗試、使用“admin”登錄和 reCAPTCHA

插件的高級選項是什麼？

iThemes 解釋說，使用插件的高級版本 iThemes Security Pro，您可以獲得“考慮到性能的 WordPress 網站的額外保護層” 。

想知道如何激活 iThemes Security 的專業版？ 這很簡單。 購買插件的付費許可證之一後，在您的客戶區下載與插件相關的 zip 文件。 然後通過單擊“上傳插件”將其上傳到插件 > 添加新插件。

以下是插件高級包中提供的大部分主要選項：

• 在檢測到漏洞時自動更新您的插件、主題和 WordPress 核心文件。
• 在註冊新用戶、重置密碼、登錄和發表評論時激活 reCAPTCHA 的選項。 這是打擊垃圾郵件的有效選擇。 特別支持 Google reCAPTCHA V3。
• 您的用戶能夠使用安全發送到他們電子郵件的鏈接登錄到您的 WordPress 站點（“無密碼登錄”選項）。
• 被強力網絡阻止的用戶能夠使用魔法鏈接（“魔法鏈接”選項）登錄。
• 導出插件設置。 如果您想在多個站點上激活插件而不必每次都進行設置，這是一個有用的選項。
• 快速修改五個最關鍵的用戶安全要素：雙因素身份驗證、密碼的年齡和強度、上次活動時間、活動的 WordPress 會話和用戶角色（“用戶安全檢查”選項）。
• 核心、插件和主題的自動更新（“版本管理”選項）。
• 臨時用戶（例如維護技術人員）的臨時管理員訪問權限，無需創建新用戶（臨時權限升級選項）。

有興趣升級到 iThemes Security Pro 嗎？ 現在讓我們談談定價。

iThemes 安全費用是多少？

iThemes Security 是一個免費增值插件。 您可以首先通過從管理界面激活它來免費使用它，但它的創建者還提供三個高級許可證以利用插件提供的所有功能。

1. Basic : $99/year 在一個網站上使用
2. 加：199 美元/年，最多可在 5 個網站上使用
3. 代理商：299 美元/年，最多可在 10 個網站上使用

每個許可證都提供完全相同的選項、插件更新和電子郵件支持。

您選擇哪種許可證取決於您計劃在多少個站點上激活 iThemes Security Pro。

注意：iThemes 還提供 749 美元/年的套餐，其中包括許多以 StellarWP 品牌銷售的工具：iThemes Security、Backup Buddy、Kadence、Restrict Content Pro 等。

iThemes Security free vs Pro：你應該選擇哪個版本？

與免費版本相比，iThemes Security Pro 在安全性方面的主要附加值是自動將補丁應用到站點分析檢測到的易受攻擊的軟件（如果可用）。

這顯然有助於更好地保護您的網站，但您仍然需要每年至少支付 99 美元才能利用它。

其餘的選項主要是為了方便某些操作（通過魔術鏈接連接、快速導出選項等），並不是真正加強對您網站的保護。

總而言之，在我看來，該插件的免費版本已經足以加強您網站的安全性，這要歸功於針對暴力攻擊的保護和雙重身份驗證。

但它仍然有一些局限性，正如您將在下面的摘要中看到的那樣。

我們對 iThemes 安全性的最終意見

iThemes 安全的優勢

• 激活插件時會自動添加安全預設。
• 界面相當直觀和清晰。 這使得該插件易於學習。
• 模塊化方法，允許您只激活您需要的選項。 這會消耗更少的服務器資源，這對於頁面的加載速度總是更好。
• 該插件使用的技術術語很少。 這些選項比 Wordfence Security 或 Sucuri 等競爭對手的選項更容易理解。
• 免費版包含很多功能。

插件的限制

• 該插件的主要缺點是它不提供防火牆，這仍然是安全插件的基本保護措施。
• 沒有這樣的安全掃描器。
• 免費版不分析實時流量。
• 該插件不會修復其免費版本中檢測到的漏洞。
• iThemes 指出，它的插件可能會使您的網站崩潰，因為它會對您的文件和數據庫進行重大更改。

你應該使用它嗎？

最後，還有最後一個問題：您應該在您的 WordPress 網站上激活該插件嗎？

要回答這個問題，需要牢記一些要點：

• 是的，iThemes 缺少一些重要的選項，例如防火牆或掃描……
• …但是如果您同時實施其他安全措施，插件可以完成這項工作。 例如，您可能正在使用另一個包含防火牆的插件。
  還要記住定期備份您的站點，並在更新可用時更新它。
  

最後，如果您遵循這些準則（將 iThemes 與其他安全措施結合使用），在我看來，iThemes 適合想要免費加強其網站安全性而又不會過度勞累的初學者用戶。

雖然它的基本安全功能較少，但 iThemes Security 仍然比 Wordfence Security 更容易設置，Wordfence Security 使用更多行話（並且以更貪婪地佔用服務器資源而著稱）。

下載 iThemes 安全：

您對 iThemes Security 有何看法？ 在評論中告訴我們所有相關信息。