# iThemes security: Review e os 3 limites reais

O <strong>iThemes Security</strong>, hoje renomeado Solid Security, entrega hardening guiado e 2FA, mas não tem firewall na borda. Segundo o <a href="https://wordpress.org/plugins/better-wp-security/#reviews" rel="noopener" target="_blank">WordPress.org</a>, marca 4.6/5 em 3.987 avaliações e 700 mil+ instalações (mai/2026). O scan depende de hash local, não de WAF. Use para checklist de proteção, não como antimalware de borda.

O iThemes Security é um plugin de segurança para WordPress focado em hardening, controle de login e autenticação de dois fatores. Diferente de um firewall, ele não filtra tráfego na borda: atua dentro do próprio WordPress, aplicando um checklist de proteção guiado no painel. Na base de tickets de segurança da FULL, a gente vê esse plugin escolhido por quem quer endurecer o login sem migrar DNS. Este review cobre o que ele protege de fato, onde falha e quando uma alternativa gerenciada faz mais sentido. Para o panorama completo, veja os <a href="https://full.services/seguranca-wordpress/">guias de segurança WordPress da FULL</a>.

---

## Comparativo direto: iThemes security vs Wordfence vs Sucuri

O iThemes Security ocupa a faixa de hardening e checklist de login, não de firewall. Na maioria dos casos que chegam ao suporte da FULL pedindo "antimalware", o que o site precisa é proteção de borda, e aí o iThemes Security sozinho não resolve o problema central.

Ele compete em camada de aplicação; o Wordfence atua com WAF em tempo real e o Sucuri filtra o tráfego na borda. São três camadas distintas. A tabela abaixo separa cada uma.

<table id="comparativo-ithemes-security-camadas">
  <caption>iThemes Security vs Wordfence vs Sucuri: camada de proteção</caption>
  <thead>
    <tr>
      <th scope="col">Plugin</th>
      <th scope="col">Ponto Forte</th>
      <th scope="col">Limitação Crítica</th>
      <th scope="col">Camada</th>
    </tr>
  </thead>
  <tbody>
    <tr><th scope="row">iThemes Security</th><td>Hardening guiado, lockout e 2FA</td><td>Sem firewall na borda</td><td>Aplicação WordPress</td></tr>
    <tr><th scope="row">Wordfence</th><td>WAF com regras em tempo real</td><td>Firewall roda após o PHP carregar</td><td>Aplicação + endpoint</td></tr>
    <tr><th scope="row">Sucuri</th><td>WAF na borda via DNS</td><td>Exige apontar o DNS para a nuvem</td><td>Rede / borda (CDN)</td></tr>
  </tbody>
</table>

Para entender o trade-off entre os dois concorrentes diretos, vale ler o comparativo de <a href="https://full.services/sucuri-vs-wordfence-wordpress-plugin-para-seguranca/">Sucuri contra Wordfence</a> antes de fechar a escolha.

---

## O que o iThemes security protege de fato

O iThemes Security cobre três frentes principais: força bruta, integridade de arquivos e autenticação. O lockout bloqueia o IP após N tentativas falhas, o File Change Detection compara o hash dos arquivos contra um snapshot e o módulo de 2FA exige um segundo fator no painel administrativo.

Segundo a <a href="https://wpscan.com/statistics/" rel="noopener" target="_blank">WPScan</a>, base que cataloga 64.782+ vulnerabilidades de WordPress (cerca de 90% vindas de plugins), a maioria dos ataques explora credencial fraca e plugin desatualizado, exatamente as superfícies que o iThemes Security tenta fechar. O ponto cego é o <a href="https://full.services/glossario/malware-wordpress/">malware</a> que entra por uma vulnerabilidade já explorada: sem WAF, o plugin detecta a mudança depois, não impede a injeção. Para proteção de login, combine com <a href="https://full.services/two-factor-authentication-wordpress/">autenticação de dois fatores</a> sempre ligada.

---

## Atributos-chave verificados do iThemes security

Os dados abaixo vêm do repositório oficial WordPress.org (registro de mai/2026), não da página comercial do autor. A versão estável 10.0.2 exige WordPress 6.5+ e PHP 7.4+, e o rating de 4.6/5 sustenta-se em 3.987 avaliações públicas, volume que dá confiança estatística ao número.

O plano gratuito cobre lockout, 2FA e <a href="https://full.services/glossario/brute-force/">proteção contra força bruta</a>; o hardening avançado e o agendamento de scan ficam no Pro pago, cobrado como licença anual por site. A tabela consolida o que pesa na decisão.

<table id="atributos-ithemes-security">
  <caption>iThemes Security: atributos verificados no repositório</caption>
  <thead>
    <tr>
      <th scope="col">Atributo</th>
      <th scope="col">Valor / Comportamento</th>
      <th scope="col">Impacto na Decisão</th>
    </tr>
  </thead>
  <tbody>
    <tr><th scope="row">Versão estável</th><td>10.0.2, atualizado em mai/2026</td><td>Manutenção ativa e recente</td></tr>
    <tr><th scope="row">Avaliação pública</th><td>4.6/5 em 3.987 avaliações</td><td>Confiabilidade alta com volume</td></tr>
    <tr><th scope="row">Instalações ativas</th><td>700 mil+ instalações</td><td>Base testada em produção</td></tr>
    <tr><th scope="row">Compatibilidade</th><td>WordPress 6.5+, testado ate 7.0, PHP 7.4+</td><td>Exige stack atualizada</td></tr>
    <tr><th scope="row">Firewall na borda</th><td>sem rating público (não tem)</td><td>Precisa de WAF complementar</td></tr>
    <tr><th scope="row">Custo gerenciado</th><td>R$84,99 por site no plano PRO da FULL</td><td>Diluído no bundle de 16 plugins</td></tr>
  </tbody>
</table>

---

## Como o lockout e o hardening se comportam na prática

O lockout do iThemes Security tende a gerar falso positivo em rede com IP compartilhado: configurado para 3 tentativas, ele bloqueia o IP inteiro, e numa empresa onde 20 pessoas saem pelo mesmo IP de saída, um único erro de senha derruba todo mundo de uma vez.

iThemes Security com lockout agressivo + rede corporativa com IP compartilhado = administradores legítimos bloqueados sem aviso visível. O mesmo cuidado vale para o File Change Detection: varredura de hash ativa + site com mais de 50 mil arquivos em servidor compartilhado = picos de I/O e scans que nunca concluem. Na maioria dos cenários testados pela FULL entre janeiro e maio, ajustar o limite de lockout para 5 tentativas, cadastrar os IPs internos na lista de permissão e mover o scan de integridade para a madrugada estabiliza o servidor sem reduzir a proteção. Veja como fazer <a href="https://full.services/como-fazer-hardening-de-seguranca-no-wordpress/">hardening de segurança no WordPress</a> com critério.

---

<aside aria-label="Metodologia dos Testes">
<h2 id="metodologia-dos-testes">Metodologia dos testes</h2>
<p>As observações deste review combinam o repositório oficial WordPress.org com os tickets de segurança registrados na operação da FULL entre <time datetime="2026-01">janeiro</time> e <time datetime="2026-05">maio de 2026</time>. Os cenários de lockout e File Change Detection foram reproduzidos em WordPress 6.5 e WordPress 7.0, PHP 7.4 e PHP 8.2, em hospedagem compartilhada e VPS. O comportamento de bloqueio por IP compartilhado e os picos de I/O do scan de integridade aparecem com frequência em ambientes de agência que concentram vários clientes no mesmo IP de saída. Nenhum número de serviço gerenciado da FULL foi estimado: os dados quantitativos citados vêm do repositório público e da WPScan, ambos verificáveis.</p>
</aside>

---

## Expert insight: O scan de integridade em hospedagem fraca

Em hospedagem compartilhada sem opcode cache, o File Change Detection do iThemes Security varrendo um site com mais de 50 mil arquivos tende a estourar o limite de execução do PHP antes de concluir o hash. O sintoma é um scan eternamente "em andamento" e um log que nunca fecha.

A correção que funciona na maioria dos casos: migrar a varredura para um cron externo agendado para a madrugada e excluir wp-content/uploads do cálculo de hash, já que a pasta de uploads muda o tempo todo e não deveria conter código executável. Esse ajuste não está na documentação oficial e só aparece quando você opera dezenas de sites em servidores limitados, onde o tempo de execução do PHP é curto e cada varredura concorre com o tráfego real do site. Para sites com histórico de invasão, combine com um <a href="https://full.services/backup-wordpress-automatico/">backup automático</a> antes de qualquer varredura.

---

## Decisão rápida: Qual caminho seguir

A escolha entre o iThemes Security gratuito, uma versão paga ou uma alternativa gerenciada depende de duas variáveis: a camada que você precisa proteger e o tamanho da sua operação. Um site único bem hospedado pede uma resposta; uma agência com 20 instalações pede outra completamente diferente. A árvore de decisão abaixo cruza essas condições e aponta o caminho em segundos, sem exigir a leitura do review inteiro.

<ul class="arvore-decisao" style="margin-bottom:1.5rem">
<li><strong>Se você só precisa endurecer login e ativar 2FA</strong> → iThemes Security gratuito resolve.</li>
<li><strong>Se o site já foi invadido ou recebe ataque ativo</strong> → precisa de WAF na borda (Sucuri) + limpeza, não só iThemes Security.</li>
<li><strong>Se você gerencia 5+ sites e não quer manter licença avulsa</strong> → use a alternativa gerenciada da FULL no plano PRO.</li>
<li><strong>Se o gargalo é malware recorrente e plugin desatualizado</strong> → evite confiar só no scan local; adote firewall + atualização gerenciada.</li>
</ul>

Cada ramo dessa árvore corresponde a um cenário real que a equipe da FULL vê repetir nos tickets de segurança. Para escolher o plugin base com calma, o guia de <a href="https://full.services/plugin-seguranca-wordpress/">plugin de segurança WordPress</a> compara as opções por cenário e perfil de site.

---

## Quando o iThemes security não vale a pena

Em pelo menos 3 cenários o iThemes Security sozinho fica aquém e cobrar a licença Pro não se justifica. Esses casos aparecem com frequência nos tickets da FULL e valem o alerta antes da compra.

- **Cenário 1: site sob ataque ativo.** Sem firewall na borda, o iThemes Security registra a mudança de arquivo depois que o malware já entrou. Quem precisa barrar a requisição antes do PHP rodar deve usar um WAF (Sucuri ou Cloudflare), não um scanner local.
- **Cenário 2: proteção básica de login.** Se você só quer lockout e 2FA, o plano gratuito do <a href="https://full.services/wordfence-configuracao/">Wordfence</a> ou do próprio iThemes já entrega. Pagar a licença Pro avulsa por isso é gasto sem retorno claro.
- **Cenário 3: agência com muitos sites.** Manter licença anual por site em 20 instalações vira custo recorrente alto; um bundle gerenciado dilui o valor e remove o trabalho de renovação manual.

---

## Alternativa gerenciada: O All in One Security PRO no plano da FULL

Se você gerencia vários sites, faz mais sentido não pagar licença avulsa de plugin de segurança a cada renovação. No plano PRO da FULL, por R$849,90 por mês para 10 sites (R$84,99 por site), você recebe o All in One Security PRO já instalado, atualizado e com suporte, dentro de um bundle de 16 plugins premium.

A FULL é a única CNA (CVE Numbering Authority) brasileira reconhecida sob a CISA, o que significa que a gente acompanha as vulnerabilidades na fonte, não por boletim de terceiro. Para times que hoje somam o custo de várias licenças Pro anuais, o argumento de R$85 por site costuma fechar a conta sozinho. Conheça o <a href="https://full.services/planos">plano PRO da FULL</a> e o <a href="https://full.services/solucoes/all-in-one-security">All in One Security PRO</a> em detalhe.

Antes de instalar qualquer plugin, vale rodar uma checagem rápida: o <a href="https://security.full.services">FULL Scan</a> aponta se algum componente do seu site já está vulnerável, sem instalação e de graça.

---

<aside aria-label="Resumo Técnico">
<h2 id="resumo-tecnico">Resumo técnico</h2>
<ul style="margin-bottom:1.5rem">
  <li><strong>Melhor cenário:</strong> endurecer login, ativar 2FA e aplicar o checklist de hardening guiado em um site único bem hospedado com stack atualizada.</li>
  <li><strong>Pior cenário:</strong> usar o iThemes Security como única defesa contra ataque ativo, sem nenhum firewall filtrando o tráfego na borda.</li>
  <li><strong>Principal conflito:</strong> lockout agressivo configurado para 3 tentativas em rede com IP compartilhado bloqueia administradores legítimos sem aviso visível.</li>
  <li><strong>Melhor alternativa gratuita:</strong> Wordfence no plano free, que adiciona um WAF de regras em nível de aplicação que o iThemes não possui.</li>
  <li><strong>Em uma frase:</strong> o iThemes Security endurece o WordPress quando a ameaça é credencial fraca, não quando é tráfego malicioso na borda.</li>
</ul>
</aside>

---

<h2 id="faq">Perguntas frequentes sobre o iThemes security</h2>

<details>
  <summary>Por que o iThemes Security bloqueia administradores legítimos?</summary>
  <p>O lockout do iThemes Security bloqueia por IP, e em rede corporativa vários usuários saem pelo mesmo IP de saída. Configurado para 3 tentativas, um único erro de senha derruba todo o escritório. A correção é elevar o limite para 5 ou 6 tentativas e cadastrar os IPs internos na lista de permissão. Em ambiente de agência com IP compartilhado, esse ajuste evita o falso positivo que mais gera ticket de suporte e não reduz a proteção real contra forca bruta externa.</p>
</details>

<details>
  <summary>E possível usar o iThemes Security sem ativar 2FA obrigatorio?</summary>
  <p>Sim, o 2FA do iThemes Security e opcional e pode ser ligado só para os papéis de administrador e editor. Em sites com muitos autores ocasionais, exigir segundo fator de todos gera atrito e chamados de acesso perdido. A recomendação técnica é tornar o 2FA obrigatorio apenas para quem tem permissão de publicar ou editar plugins, deixando assinantes livres. Lembre de salvar os códigos de backup: sem eles, a troca de aparelho com 2FA obrigatorio causa perda total de acesso ao painel.</p>
</details>

<details>
  <summary>Qual a diferença entre o iThemes Security e o Wordfence?</summary>
  <p>A diferença central é a camada de atuação. O iThemes Security foca em hardening, lockout de login e 2FA dentro do WordPress, sem firewall na borda. O Wordfence adiciona um WAF com regras de malware atualizadas, que roda assim que o PHP carrega e bloqueia padrões de ataque conhecidos. Para proteção de login, ambos servem; para barrar exploit de plugin em tempo real, o Wordfence leva vantagem. Muitos sites combinam o hardening do iThemes com um WAF de borda como o Sucuri para cobrir as duas pontas.</p>
</details>

<details>
  <summary>Quanto custa o iThemes Security Pro por ano?</summary>
  <p>O iThemes Security tem um plano gratuito completo para lockout, 2FA e proteção básica, e a versão Pro paga adiciona hardening avançado, agendamento de scan e suporte, cobrada como licença anual por número de sites. O custo avulso cresce rápido em quem mantém varias instalações. No plano PRO da FULL, o equivalente gerenciado sai por R$84,99 por site dentro de um bundle de 16 plugins premium, o que costuma ser mais barato do que somar licenças Pro anuais individuais para uma agência com 5 ou mais sites.</p>
</details>

<details>
  <summary>O que o iThemes Security protege de fato no WordPress?</summary>
  <p>O iThemes Security protege três superfícies: tentativas de forca bruta no login, integridade de arquivos via detecção de mudança por hash e autenticação com segundo fator. Segundo a WPScan, que cataloga mais de 64.782 vulnerabilidades, a maioria dos ataques explora credencial fraca e plugin desatualizado, exatamente o que esses módulos endurecem. O que ele não faz e bloquear tráfego malicioso na borda: sem WAF, uma injeção via vulnerabilidade já explorada é detectada depois, não impedida. Por isso a recomendação é combinar o plugin com um firewall e atualização constante.</p>
</details>

---

## Veredicto: Para quem o iThemes security faz sentido

O iThemes Security vale como camada de hardening e controle de login, não como antimalware de borda. Para um site individual bem hospedado, o plano gratuito já entrega 2FA, lockout e o checklist guiado que reduz a superfície de ataque mais explorada. A limitação honesta é a ausência de firewall: quem enfrenta ataque ativo ou gerencia muitos sites ganha mais com uma solução que combina WAF e gestão contínua. Para agências, a conta de licença avulsa raramente fecha melhor que um bundle gerenciado. Para continuar estudando o tema, o <a href="https://full.services/guias/guia-de-seguranca-para-wordpress">guia de segurança para WordPress</a> e a <a href="https://full.services/academy/">FULL Academy</a> reúnem os próximos passos em um só lugar.