O iThemes Security, hoje renomeado Solid Security, entrega hardening guiado e 2FA, mas não tem firewall na borda. Segundo o WordPress.org, marca 4.6/5 em 3.987 avaliações e 700 mil+ instalações (mai/2026). O scan depende de hash local, não de WAF. Use para checklist de proteção, não como antimalware de borda.
O iThemes Security é um plugin de segurança para WordPress focado em hardening, controle de login e autenticação de dois fatores. Diferente de um firewall, ele não filtra tráfego na borda: atua dentro do próprio WordPress, aplicando um checklist de proteção guiado no painel. Na base de tickets de segurança da FULL, a gente vê esse plugin escolhido por quem quer endurecer o login sem migrar DNS. Este review cobre o que ele protege de fato, onde falha e quando uma alternativa gerenciada faz mais sentido. Para o panorama completo, veja os guias de segurança WordPress da FULL.
Comparativo direto: iThemes security vs Wordfence vs Sucuri
O iThemes Security ocupa a faixa de hardening e checklist de login, não de firewall. Na maioria dos casos que chegam ao suporte da FULL pedindo “antimalware”, o que o site precisa é proteção de borda, e aí o iThemes Security sozinho não resolve o problema central.
Ele compete em camada de aplicação; o Wordfence atua com WAF em tempo real e o Sucuri filtra o tráfego na borda. São três camadas distintas. A tabela abaixo separa cada uma.
| Plugin | Ponto Forte | Limitação Crítica | Camada |
|---|---|---|---|
| iThemes Security | Hardening guiado, lockout e 2FA | Sem firewall na borda | Aplicação WordPress |
| Wordfence | WAF com regras em tempo real | Firewall roda após o PHP carregar | Aplicação + endpoint |
| Sucuri | WAF na borda via DNS | Exige apontar o DNS para a nuvem | Rede / borda (CDN) |
Para entender o trade-off entre os dois concorrentes diretos, vale ler o comparativo de Sucuri contra Wordfence antes de fechar a escolha.
O que o iThemes security protege de fato
O iThemes Security cobre três frentes principais: força bruta, integridade de arquivos e autenticação. O lockout bloqueia o IP após N tentativas falhas, o File Change Detection compara o hash dos arquivos contra um snapshot e o módulo de 2FA exige um segundo fator no painel administrativo.
Segundo a WPScan, base que cataloga 64.782+ vulnerabilidades de WordPress (cerca de 90% vindas de plugins), a maioria dos ataques explora credencial fraca e plugin desatualizado, exatamente as superfícies que o iThemes Security tenta fechar. O ponto cego é o malware que entra por uma vulnerabilidade já explorada: sem WAF, o plugin detecta a mudança depois, não impede a injeção. Para proteção de login, combine com autenticação de dois fatores sempre ligada.
Atributos-chave verificados do iThemes security
Os dados abaixo vêm do repositório oficial WordPress.org (registro de mai/2026), não da página comercial do autor. A versão estável 10.0.2 exige WordPress 6.5+ e PHP 7.4+, e o rating de 4.6/5 sustenta-se em 3.987 avaliações públicas, volume que dá confiança estatística ao número.
O plano gratuito cobre lockout, 2FA e proteção contra força bruta; o hardening avançado e o agendamento de scan ficam no Pro pago, cobrado como licença anual por site. A tabela consolida o que pesa na decisão.
| Atributo | Valor / Comportamento | Impacto na Decisão |
|---|---|---|
| Versão estável | 10.0.2, atualizado em mai/2026 | Manutenção ativa e recente |
| Avaliação pública | 4.6/5 em 3.987 avaliações | Confiabilidade alta com volume |
| Instalações ativas | 700 mil+ instalações | Base testada em produção |
| Compatibilidade | WordPress 6.5+, testado até 7.0, PHP 7.4+ | Exige stack atualizada |
| Firewall na borda | sem rating público (não tem) | Precisa de WAF complementar |
| Custo gerenciado | R$84,99 por site no plano PRO da FULL | Diluído no bundle de 16 plugins |
Como o lockout e o hardening se comportam na prática
O lockout do iThemes Security tende a gerar falso positivo em rede com IP compartilhado: configurado para 3 tentativas, ele bloqueia o IP inteiro, e numa empresa onde 20 pessoas saem pelo mesmo IP de saída, um único erro de senha derruba todo mundo de uma vez.
iThemes Security com lockout agressivo + rede corporativa com IP compartilhado = administradores legítimos bloqueados sem aviso visível. O mesmo cuidado vale para o File Change Detection: varredura de hash ativa + site com mais de 50 mil arquivos em servidor compartilhado = picos de I/O e scans que nunca concluem. Na maioria dos cenários testados pela FULL entre janeiro e maio, ajustar o limite de lockout para 5 tentativas, cadastrar os IPs internos na lista de permissão e mover o scan de integridade para a madrugada estabiliza o servidor sem reduzir a proteção. Veja como fazer hardening de segurança no WordPress com critério.
Expert insight: O scan de integridade em hospedagem fraca
Em hospedagem compartilhada sem opcode cache, o File Change Detection do iThemes Security varrendo um site com mais de 50 mil arquivos tende a estourar o limite de execução do PHP antes de concluir o hash. O sintoma é um scan eternamente “em andamento” e um log que nunca fecha.
A correção que funciona na maioria dos casos: migrar a varredura para um cron externo agendado para a madrugada e excluir wp-content/uploads do cálculo de hash, já que a pasta de uploads muda o tempo todo e não deveria conter código executável. Esse ajuste não está na documentação oficial e só aparece quando você opera dezenas de sites em servidores limitados, onde o tempo de execução do PHP é curto e cada varredura concorre com o tráfego real do site. Para sites com histórico de invasão, combine com um backup automático antes de qualquer varredura.
Decisão rápida: Qual caminho seguir
A escolha entre o iThemes Security gratuito, uma versão paga ou uma alternativa gerenciada depende de duas variáveis: a camada que você precisa proteger e o tamanho da sua operação. Um site único bem hospedado pede uma resposta; uma agência com 20 instalações pede outra completamente diferente. A árvore de decisão abaixo cruza essas condições e aponta o caminho em segundos, sem exigir a leitura do review inteiro.
- Se você só precisa endurecer login e ativar 2FA → iThemes Security gratuito resolve.
- Se o site já foi invadido ou recebe ataque ativo → precisa de WAF na borda (Sucuri) + limpeza, não só iThemes Security.
- Se você gerencia 5+ sites e não quer manter licença avulsa → use a alternativa gerenciada da FULL no plano PRO.
- Se o gargalo é malware recorrente e plugin desatualizado → evite confiar só no scan local; adote firewall + atualização gerenciada.
Cada ramo dessa árvore corresponde a um cenário real que a equipe da FULL vê repetir nos tickets de segurança. Para escolher o plugin base com calma, o guia de plugin de segurança WordPress compara as opções por cenário e perfil de site.
Quando o iThemes security não vale a pena
Em pelo menos 3 cenários o iThemes Security sozinho fica aquém e cobrar a licença Pro não se justifica. Esses casos aparecem com frequência nos tickets da FULL e valem o alerta antes da compra.
- Cenário 1: site sob ataque ativo. Sem firewall na borda, o iThemes Security registra a mudança de arquivo depois que o malware já entrou. Quem precisa barrar a requisição antes do PHP rodar deve usar um WAF (Sucuri ou Cloudflare), não um scanner local.
- Cenário 2: proteção básica de login. Se você só quer lockout e 2FA, o plano gratuito do Wordfence ou do próprio iThemes já entrega. Pagar a licença Pro avulsa por isso é gasto sem retorno claro.
- Cenário 3: agência com muitos sites. Manter licença anual por site em 20 instalações vira custo recorrente alto; um bundle gerenciado dilui o valor e remove o trabalho de renovação manual.
Alternativa gerenciada: O All in One Security PRO no plano da FULL
Se você gerencia vários sites, faz mais sentido não pagar licença avulsa de plugin de segurança a cada renovação. No plano PRO da FULL, por R$849,90 por mês para 10 sites (R$84,99 por site), você recebe o All in One Security PRO já instalado, atualizado e com suporte, dentro de um bundle de 16 plugins premium.
A FULL é a única CNA (CVE Numbering Authority) brasileira reconhecida sob a CISA, o que significa que a gente acompanha as vulnerabilidades na fonte, não por boletim de terceiro. Para times que hoje somam o custo de várias licenças Pro anuais, o argumento de R$85 por site costuma fechar a conta sozinho. Conheça o plano PRO da FULL e o All in One Security PRO em detalhe.
Antes de instalar qualquer plugin, vale rodar uma checagem rápida: o FULL Scan aponta se algum componente do seu site já está vulnerável, sem instalação e de graça.
Perguntas frequentes sobre o iThemes security
Por que o iThemes Security bloqueia administradores legítimos?
O lockout do iThemes Security bloqueia por IP, e em rede corporativa vários usuários saem pelo mesmo IP de saída. Configurado para 3 tentativas, um único erro de senha derruba todo o escritório. A correção é elevar o limite para 5 ou 6 tentativas e cadastrar os IPs internos na lista de permissão. Em ambiente de agência com IP compartilhado, esse ajuste evita o falso positivo que mais gera ticket de suporte e não reduz a proteção real contra forca bruta externa.
E possível usar o iThemes Security sem ativar 2FA obrigatório?
Sim, o 2FA do iThemes Security e opcional e pode ser ligado só para os papéis de administrador e editor. Em sites com muitos autores ocasionais, exigir segundo fator de todos gera atrito e chamados de acesso perdido. A recomendação técnica é tornar o 2FA obrigatório apenas para quem tem permissão de publicar ou editar plugins, deixando assinantes livres. Lembre de salvar os códigos de backup: sem eles, a troca de aparelho com 2FA obrigatório causa perda total de acesso ao painel.
Qual a diferença entre o iThemes Security e o Wordfence?
A diferença central é a camada de atuação. O iThemes Security foca em hardening, lockout de login e 2FA dentro do WordPress, sem firewall na borda. O Wordfence adiciona um WAF com regras de malware atualizadas, que roda assim que o PHP carrega e bloqueia padrões de ataque conhecidos. Para proteção de login, ambos servem; para barrar exploit de plugin em tempo real, o Wordfence leva vantagem. Muitos sites combinam o hardening do iThemes com um WAF de borda como o Sucuri para cobrir as duas pontas.
Quanto custa o iThemes Security Pro por ano?
O iThemes Security tem um plano gratuito completo para lockout, 2FA e proteção básica, e a versão Pro paga adiciona hardening avançado, agendamento de scan e suporte, cobrada como licença anual por número de sites. O custo avulso cresce rápido em quem mantém várias instalações. No plano PRO da FULL, o equivalente gerenciado sai por R$84,99 por site dentro de um bundle de 16 plugins premium, o que costuma ser mais barato do que somar licenças Pro anuais individuais para uma agência com 5 ou mais sites.
O que o iThemes Security protege de fato no WordPress?
O iThemes Security protege três superfícies: tentativas de forca bruta no login, integridade de arquivos via detecção de mudança por hash e autenticação com segundo fator. Segundo a WPScan, que cataloga mais de 64.782 vulnerabilidades, a maioria dos ataques explora credencial fraca e plugin desatualizado, exatamente o que esses módulos endurecem. O que ele não faz e bloquear tráfego malicioso na borda: sem WAF, uma injeção via vulnerabilidade já explorada é detectada depois, não impedida. Por isso a recomendação é combinar o plugin com um firewall e atualização constante.
Veredicto: Para quem o iThemes security faz sentido
O iThemes Security vale como camada de hardening e controle de login, não como antimalware de borda. Para um site individual bem hospedado, o plano gratuito já entrega 2FA, lockout e o checklist guiado que reduz a superfície de ataque mais explorada. A limitação honesta é a ausência de firewall: quem enfrenta ataque ativo ou gerencia muitos sites ganha mais com uma solução que combina WAF e gestão contínua. Para agências, a conta de licença avulsa raramente fecha melhor que um bundle gerenciado. Para continuar estudando o tema, o guia de segurança para WordPress e a FULL Academy reúnem os próximos passos em um só lugar.
Saúde e Bem-Estar
Restaurantes & Alimentação
Hotelaria & Turismo
Imobiliárias & Construção
Negócios Locais & Franquias
E-commerce & Lojas Virtuais
Educação & Cursos
Profissionais Liberais & Serviços
Agências Digitais & Freelancers
MEIs e Autônomos
Agências e Freelancers
Pequenas Empresas
Startups
Franquias
Elementor PRO
Rank Math
SEOPress
Happy Addons
Tutor LMS
WP Optimize
Crocoblock
WP Rocket
Ultimate Addons
Perfmatter
Funnel Kit
AIOS
Astra PRO
ACF
Essential Addons
WP Forms
UpdraftPlus
Ver mais
FULL CRM 
FULL Widget
FULL Woo
FULL Pop-up
FULL Security
FULL NPS
FULL Update
FULL Social Proof
FULL Analytics
FULL Templates
FULL Creator AI
FULL Backup
FULL Safe Login
FULL SMTP
FULL Monitor
FULL Speed
FULL Cache
FULL Whitelabel
