5 fortgeschrittene Tipps und Tricks für iThemes Security Pro

Veröffentlicht: 2020-09-02

Das iThemes Security Pro-Plugin bietet Ihnen über 50 verschiedene Möglichkeiten, Ihre WordPress-Website zu sichern und zu schützen. Sie können die meisten Sicherheitsmethoden in iThemes Security Pro mit nur einem Klick aktivieren. Wenn Sie jedoch ein paar Minuten Zeit haben, um in die Einstellungen einzutauchen, können Sie Ihrer WordPress-Website mehrere Schutzebenen hinzufügen.

In diesem Beitrag geben wir Ihnen 5 fortgeschrittene Tipps und Tricks für iThemes Security Pro, um die Sicherheit Ihrer Website auf die nächste Stufe zu heben.

Tipp #1 – Schützen Sie Ihr WP-Dashboard mit vertrauenswürdigen Geräten

Die iThemes Security Pro Trusted Devices-Funktion beschränkt den Zugriff auf das WordPress-Dashboard auf eine Liste genehmigter Geräte.

Sobald Sie iThemes Security Pro wissen lassen, welche Geräte Ihnen gehören, kann Trusted Devices Ihre Site auf zwei verschiedene Arten schützen:

1. Beschränken Sie die Fähigkeiten von unbekannten Geräten – Wenn sich jemand mit einem unbekannten Gerät anmeldet, können Sie seine Fähigkeiten auf Administratorebene einschränken und ihn daran hindern, seine Anmeldedaten zu bearbeiten. iThemes Security Pro sendet dann eine E-Mail an die Adresse, die in ihrem WordPress-Benutzerprofil festgelegt ist.

Die nicht erkannte Anmelde-E-Mail hat die Möglichkeit, das Gerät entweder zu bestätigen oder zu blockieren. Wenn auf die Schaltfläche Gerät bestätigen geklickt wird, werden die Administratorfunktionen des Benutzers wiederhergestellt. Wenn auf die Schaltfläche Dies war nicht ich geklickt wird, loggt iThemes Security Pro den unehelichen Benutzer und das Gerät aus der Liste der abgelehnten Geräte im WordPress-Profil aus.

2. Schutz vor Session-Hijacking – Session-Hijacking ist ein Angriff, bei dem eine Benutzersitzung von einem Angreifer übernommen wird. WordPress generiert beispielsweise jedes Mal ein Sitzungscookie, wenn Sie sich auf Ihrer Website anmelden. Nehmen wir an, Sie haben eine Browsererweiterung mit einer Schwachstelle, die es Hackern ermöglicht, Ihr Browser-Cookie zu entführen. Nach der Entführung Ihrer Sitzung kann der Hacker böswillige Änderungen an Ihrer Website vornehmen.

Wenn sich das Gerät eines Benutzers während einer Sitzung ändert, meldet iThemes Security den Benutzer automatisch ab, um unbefugte Aktivitäten auf dem Konto des Benutzers zu verhindern, wie z. B. das Ändern der E-Mail-Adresse des Benutzers oder das Hochladen schädlicher Plugins.

Hinweis: Lesen Sie den Spotlight-Beitrag der Funktion Vertrauenswürdige Geräte, um mehr darüber zu erfahren, wie Sie Ihr WordPress-Dashboard sichern und schützen können.

Tipp #2 – Verwenden Sie Google reCAPTCHA v3, um schlechte Bots zu blockieren

Die Google reCAPTCHA-Funktion in iThemes Security Pro schützt Ihre Website vor schlechten Bots. Diese Bots versuchen, mit kompromittierten Passwörtern in Ihre Website einzudringen, Spam zu posten oder sogar Ihre Inhalte abzukratzen. reCAPTCHA verwendet fortschrittliche Risikoanalysetechniken, um Menschen und Bots zu unterscheiden.

Das Tolle an reCAPTCHA Version 3 ist, dass Sie missbräuchlichen Bot-Traffic auf Ihrer Website ohne Benutzerinteraktion erkennen können. Anstatt eine CAPTCHA-Herausforderung anzuzeigen, überwacht reCAPTCHA v3 die verschiedenen gestellten Anfragen und gibt eine Punktzahl zurück. Die Punktzahl reicht von 0,01 bis 1. Je höher die von reCAPTCHA zurückgegebene Punktzahl, desto sicherer ist es, dass ein Mensch die Anfrage gestellt hat. Je niedriger dieser von reCAPTCHA zurückgegebene Wert ist, desto sicherer ist es, dass ein Bot die Anfrage gestellt hat.

Mit iThemes Security Pro können Sie mithilfe des reCAPTCHA-Scores einen Blockierungsschwellenwert festlegen. Google empfiehlt die Verwendung von 0,5 als Standard. Denken Sie daran, dass Sie legitime Benutzer versehentlich aussperren könnten, wenn Sie den Schwellenwert zu hoch festlegen.

Angenommen, Sie legen den Blockierungsschwellenwert auf 1 fest, was bedeutet, dass Google alles blockieren soll, von dem es nicht 100% sicher ist, dass es menschlich ist. Nun sendet einer Ihrer Kunden eine Login-Anfrage an Ihre Website. Und dieser Kunde verwendet einen Passwort-Manager, um seine Passwörter automatisch auszufüllen, und reCAPTCHA gibt seiner Login-Anfrage eine Punktzahl von 0,7.

Auch wenn Ihr Kunde seine Anmeldeinformationen nicht über die Tastatur eingegeben hat, ist Google sich ziemlich sicher, dass es sich bei Ihrem Kunden um einen Menschen handelt. Ihr Kunde wird jedoch trotzdem gesperrt, da Sie einen Schwellenwert von 1 festgelegt haben.

Sie können reCAPTCHA für Ihre WordPress-Benutzerregistrierung aktivieren, Ihr Passwort, Ihr Login und Ihre Kommentare zurücksetzen. Mit iThemes Security Pro können Sie das Google reCAPTCHA-Skript auf allen Seiten ausführen, um die Genauigkeit der Bot- und Human-Scores zu erhöhen.

Google reCAPTCHA Version 3 ist unglaublich! Es hilft, Sie und Ihre Website-Besucher ohne Benutzerinteraktion vor schlechten Bots zu schützen.

Tipp #3 – Verwenden Sie die Rechteeskalation, um einen universellen Support-Benutzer zu erstellen

Die am wenigsten genutzte Funktion in iThemes Security Pro ist die Privilege Escalation. Mit dieser Funktion können Sie die Berechtigungen eines Benutzers vorübergehend eskalieren.

Jedes Mal, wenn Sie einen neuen Benutzer erstellen, insbesondere einen Admin-Benutzer, fügen Sie einen weiteren Einstiegspunkt hinzu, den ein Hacker ausnutzen könnte. Es kann jedoch vorkommen, dass Sie externe Hilfe für Ihre Website benötigen, z. B. wenn Sie Unterstützung suchen.

Sie können einen neuen Benutzer erstellen und ihn Support nennen und ihm die Benutzerrolle Abonnent zuweisen. Wenn Sie das nächste Mal vorübergehenden Zugriff auf Ihre Website gewähren müssen, navigieren Sie zur Profilseite Ihres Support-Benutzers.

Aktualisieren Sie die E-Mail-Adresse, damit der externe Support-Mitarbeiter ein neues Passwort anfordern kann. Scrollen Sie dann nach unten, bis Sie die Einstellungen für die temporäre Rechteausweitung sehen . Klicken Sie auf den Schalter Temporäre Rolle festlegen und wählen Sie Admin aus . Der Benutzer hat nun für die nächsten 24 Stunden Administratorzugriff.

Wenn sie nicht die vollen 24 Stunden benötigen, können Sie die Berechtigungseskalation auf der Benutzerprofilseite widerrufen.

Tipp #4 – Machen Sie Ihren Benutzern die Sicherheit leicht

Per Definition ist jede Sicherheitsmaßnahme darauf ausgelegt, den Komfort dessen, was die zusätzliche Sicherheit erhält, zu verringern. Daher möchte ich drei Funktionen in iThemes Security Pro teilen, die die Sicherheit für jeden auf Ihrer Website vereinfachen können.

1. Zwei-Faktor-Onboarding

Die Zwei-Faktor-Authentifizierung ist ein Prozess zur Überprüfung der Identität einer Person, indem zwei separate Überprüfungsmethoden erforderlich sind. Google teilte in seinem Blog mit, dass die Verwendung der Zwei-Faktor-Authentifizierung 100% der automatisierten Bot-Angriffe stoppen kann.

Das Zwei-Faktor-Onboarding ist eine benutzerfreundliche Möglichkeit für Benutzer, ein Zwei-Faktoren-System für ihre Konten einzurichten. Jeder Benutzer mit aktivierter Zwei-Faktor-Authentifizierung wird bei der nächsten Anmeldung durch den Onboarding-Flow geführt.

Nachdem Sie Ihre Anmeldeinformationen eingegeben haben, wird Ihnen der Begrüßungstext für das Onboarding angezeigt. Denken Sie daran, dass Sie dies in Ihren Zwei-Faktor-Einstellungen anpassen können.

Während des gesamten Ablaufs haben Sie die Möglichkeit, die Zwei-Faktor-Methoden zu aktivieren und zu konfigurieren, die Sie verwenden möchten.

Am Ende des Flows verfügen Sie und die Konten Ihrer Benutzer über eine starke Sicherheitsebene, die die Zwei-Faktor-Authentifizierung bietet.

Hinweis: Lesen Sie den Spotlight-Beitrag der Funktion Vertrauenswürdige Geräte, um mehr darüber zu erfahren, wie Sie Ihr WordPress-Dashboard sichern und schützen können.

2. Magische Links

Ein Bot kann die Seite Ihres Autors scapen, um Benutzernamen für einen Brute-Force-Angriff auf Ihre Website zu sammeln. Es nervt, ausgesperrt zu werden, weil ein Bot versucht, sich mit Ihrem Benutzernamen in Ihre Website einzudringen.

Wenn Ihr Benutzername gesperrt ist, können Sie eine E-Mail mit einem eindeutigen Login-Link anfordern. Wenn Sie den per E-Mail gesendeten Link verwenden, wird die Sperrung des Benutzernamens für Sie umgangen, während Brute-Force-Angreifer weiterhin gesperrt sind.

Klicken Sie einfach auf den Link "Autorisierten Login-Link senden", um Ihre Magic Links-E-Mail zu erhalten.

Sobald Sie die E-Mail erhalten haben, verwenden Sie den Link, geben Sie Ihre Anmeldeinformationen ein und Sie sind wieder auf Ihrer Website!

Hinweis: Lesen Sie den Spotlight-Beitrag für die Magic Links-Funktion, um mehr zu erfahren.

3. Passwortlose Anmeldungen

Ob wir in der Sicherheits-Community es zugeben wollen oder nicht, die Verwendung eines Passwort-Managers und der Zwei-Faktor-Authentifizierung kann mühsam und zeitaufwändig sein, insbesondere da wir immer mehr unseres Lebens online bewegen.

Deshalb wollten wir eine Möglichkeit für die Leute schaffen, die gesamte Sicherheit zu erhalten, die ein starkes und einzigartiges Passwort bietet, ohne die Benutzerfreundlichkeit zu beeinträchtigen.

Was sind passwortlose Anmeldungen?

Die kennwortlose Anmeldung ist eine neue Möglichkeit, die Identität eines Benutzers zu überprüfen, ohne dass für die Anmeldung tatsächlich ein Kennwort erforderlich ist. Wir haben Magic Links zu einer neuen Anmeldemethode weiterentwickelt, mit der Sie von Benutzern die Verwendung starker Passwörter und Zwei-Faktor-Authentifizierung verlangen können, ohne jemals ein Passwort oder einen zusätzlichen Authentifizierungscode eingeben zu müssen.

So funktioniert die kennwortlose Anmeldemethode

Bei der Anmeldung werden Sie aufgefordert, eine Anmeldemethode auszuwählen. Klicken Sie auf die Schaltfläche E- Mail Magic Link , um die E-Mail mit dem passwortlosen Login- Link zu senden.

Sie sehen nun eine Nachricht, die bestätigt, dass die E-Mail gesendet wurde.

Öffnen Sie in Ihrem E-Mail-Posteingang die Magic Link-E-Mail und die Schaltfläche Jetzt anmelden.

Und das ist es, keine Eingabe eines Passworts oder eines Zwei-Faktor-Tokens. Das bedeutet, dass Sie nach der Aktivierung der passwortlosen Anmeldung weder Ihr kompliziertes Passwort kennen noch einen zusätzlichen Code kopieren und einfügen müssen, um sich anzumelden. Allerdings haben die bösen Jungs, die versuchen, Ihre Website mit Brute-Force zu betreiben, eine Erfolgsquote von 0%.

Hinweis: Lesen Sie das E-Book Erste Schritte mit der kennwortlosen Anmeldung, um mehr zu erfahren.

Tipp #5 – Aktivieren Sie das Debug-Menü für die erweiterte Fehlerbehebung

Es kann vorkommen, dass Sie vom iThemes Security Pro-Support aufgefordert werden, das Debug-Menü zu aktivieren. Um das Debug-Menü in iThemes Security Pro zu aktivieren, müssen Sie den folgenden Code zu Ihrer Datei wp-config.php hinzufügen.

 define( 'ITSEC_DEBUG', true );

Stellen Sie sicher, dass Sie den Code über dem "Das ist alles glückliches Bloggen" hinzufügen. Leitung.

Sie können jetzt auf das Debug-Menü in iThemes Security Pro zugreifen.

Sie können Ihre Systeminformationen anzeigen, die Konfiguration Ihrer Einstellungen laden, den Zeitplaner für Sicherheitsereignisse anzeigen und welche E-Mails von der Mitteilungszentrale gesendet werden . Das Debugging-Tool, das ich in diesem Beitrag hervorheben möchte, ist der Scheduler.

Planer

Der Scheduler zeigt Ihnen alle verschiedenen geplanten Ereignisse in iThemes Security Pro an. Geplante Ereignisse sind Dinge wie Site Scans, File Change Scans, das Aufheben von Sperren und vieles mehr. Was diese Funktionen gemeinsam haben, ist, dass sie im Voraus geplant werden müssen und für die Ausführung auf wp-cron angewiesen sind.

Angenommen, Sie haben festgestellt, dass die Dateiänderungsprüfung auf Ihrer Website nicht ausgeführt wird, obwohl Sie Dateiänderung in Ihren Sicherheitseinstellungen aktiviert haben. Sie können das Debug-Menü aktivieren, um zu sehen, ob die Dateiänderungsprüfung in Ihrer Liste der geplanten Ereignisse erfolgt. Wenn dies nicht der Fall ist, ist ein Fehler aufgetreten, bevor ein Ereignis erstellt wurde. Sie können dieses Problem beheben, indem Sie auf die Schaltfläche ITSEC_Scheduler_Cron Reset klicken. Wenn Sie den Cron ruhen lassen, wird der Scheduler gezwungen, die Sicherheitseinstellungen zu überprüfen und die Liste der geplanten Ereignisse neu zu erstellen. Einschließlich Ihrer fehlenden Dateiänderungsscans.

Einpacken

Das iThemes Security Pro Plugin bietet einen hervorragenden Schutz ab Werk, aber wenn Sie in die Einstellungen eintauchen, finden Sie einige wirklich coole Sicherheitstools. Diese Tools können dazu beitragen, Ihrem WordPress-Login und -Dashboard mehrere Sicherheitsebenen hinzuzufügen, schlechte Bots zu blockieren und sogar die Sicherheit für alle auf Ihrer Website, einschließlich Ihnen, zu vereinfachen.

Michael Moore

Jede Woche erstellt Michael den WordPress-Schwachstellenbericht, um die Sicherheit Ihrer Websites zu gewährleisten. Als Produktmanager bei iThemes hilft er uns, die Produktpalette von iThemes weiter zu verbessern. Er ist ein riesiger Nerd und liebt es, alles über Technik zu lernen, alt und neu. Sie können Michael mit seiner Frau und seiner Tochter treffen, lesen oder Musik hören, wenn er nicht arbeitet.