So konfigurieren Sie iThemes Security Pro auf der Site Ihrer Kunden

Wie finden Sie die richtige Balance zwischen Benutzerfreundlichkeit und Sicherheit? Wie steuern Sie, welche Sicherheitsbenachrichtigungen mit Ihrem Client geteilt werden? Die Konfiguration der Sicherheit auf der Website eines Kunden kann eine entmutigende Aufgabe sein, muss es aber nicht. In diesem Beitrag zeigen wir Ihnen, wie Sie iThemes Security Pro schnell auf der Website Ihres Kunden konfigurieren können.

So konfigurieren Sie iThemes Security Pro auf der Site Ihrer Kunden Webinar-Wiedergabe

Sehen Sie sich eine Wiederholung des Webinars zum gleichen Thema an.

Hier ist ein kurzer Überblick über das, was wir behandeln werden.

1. So konfigurieren Sie iThemes Security Pro-Benachrichtigungen
2. WordPress-Sicherheit für verschiedene Benutzertypen
3. Verwenden von iThemes Security Pro-Benutzergruppen
4. So erstellen Sie ein Security Client-Dashboard
5. So automatisieren Sie Schwachstellenprüfungen und Patches
6. Temporäre Rechteeskalation

1. So konfigurieren Sie iThemes Security Pro-Benachrichtigungen

iThemes Security Pro gibt wichtige Informationen über den Zustand der Sicherheit Ihrer Website weiter. Diese Nachrichten können jedoch unnötige Kopfschmerzen verursachen, wenn Ihre Kunden sie falsch verstehen. Sie können Ihr Leben viel einfacher machen, wenn Sie Sicherheitsbenachrichtigungen mit den richtigen Personen teilen.

Lassen Sie uns kurz die 5 Orte behandeln, an denen Ihre Kunden Sicherheitsbenachrichtigungen finden können.

1. Message Center-Benachrichtigungen – Alle Ihre kritischen Warnungen und Updates finden Sie im iThemes Security Message Center in der WordPress-Administrationsleiste.
2. E-Mail-Benachrichtigungen – Sicherheitsbenachrichtigungen wie die Sicherheitsübersicht und Sperrbenachrichtigungen können an Ihren Posteingang gesendet werden.
3. Anmeldewarnungen – Wenn Vertrauenswürdige Geräte aktiviert ist, verwenden Sie das Menü Anmeldewarnungen, um ein Gerät entweder zu bestätigen oder zu blockieren.
4. Sicherheits-Dashboard – Das Message Center ist auch im Sicherheits-Dashboard zu finden.
5. Sicherheitsprotokolle – Dies ist keine Benachrichtigung im herkömmlichen Sinne, aber iThemes Security Pro verwendet die Sicherheitsprotokolle, um sicherheitsrelevante Ereignisse mit Ihnen zu teilen.

iThemes Security Notification Center

Das Notification Center verfügt über alle Tools, die Sie zum Verwalten der von iThemes Security Pro generierten E-Mail-Benachrichtigungen benötigen.

Das Modul Notification Center befindet sich auf der Hauptseite der Sicherheitseinstellungen. Klicken Sie auf die Schaltfläche Einstellungen konfigurieren , um mit der Anpassung Ihrer E-Mail-Benachrichtigungen zu beginnen.

Die ersten beiden Dinge, die Sie in der Mitteilungszentrale einrichten möchten, sind die Liste Von E-Mail und Standardempfänger .

Die Absender-E-Mail ist die E-Mail-Adresse, die iThemes Security Pro zum Senden von Benachrichtigungen verwendet. Die Standardempfänger sind die Liste der Personen, die E-Mail-Benachrichtigungen erhalten, sofern nicht anders angegeben. Es kann eine gute Idee sein, nur Ihren Benutzer als Standardempfänger festzulegen, um zu verhindern, dass Ihre Kunden unerwünschte E-Mails erhalten.

Sie können auch die Empfänger für jede von iThemes Security Pro gesendete E-Mail-Benachrichtigung anpassen. Nehmen wir an, die einzige E-Mail-Benachrichtigung, die Ihr Client sehen soll, ist der Security Digest. Scrollen Sie dazu nach unten zu den Security Digest-E-Mail-Einstellungen, klicken Sie auf den Empfänger- Schalter und wählen Sie Benutzerdefiniert aus .

Aktivieren Sie das Kontrollkästchen neben dem Benutzernamen Ihres Kunden, um ihn zur E-Mail-Liste von Security Digest hinzuzufügen.

Während wir über die Security Digest-E-Mail sprechen, lassen Sie uns darüber sprechen, wie Sie die Anzahl der E-Mails reduzieren können, die Sie von iThemes Security Pro erhalten. In Zeiten schwerer Angriffe kann iThemes Security viele E-Mails generieren. Diese E-Mails können jedoch eine Menge unnötigen Lärm verursachen. Zum Beispiel sind die Sperrbenachrichtigungen nur iThemes Security Pro, das damit prahlt, dass es seine Arbeit macht, aber Sie müssen nichts unternehmen. Der Bösewicht ist bereits ausgesperrt, Problem gelöst. Das heißt, wenn es zur Norm wird, eine Menge Benachrichtigungen zu erhalten, könnte es zu einem Jungen werden, der ein Wolfsszenario schreit. Wenn Sie einmal eine Warnung erhalten, die Ihre Aktion erfordert, können Sie diese ignorieren, da Sie ständig nicht dringende Benachrichtigungen erhalten.

Der Security Digest reduziert die Anzahl der gesendeten E-Mails, sodass Sie eine Zusammenfassung von Sperren, Scans zur Erkennung von Dateiänderungen und Rechteerweiterungen erhalten. Denken Sie daran, dass Sie die einzelnen Benachrichtigungen weiterhin deaktivieren müssen, um sie nicht mehr zu erhalten.

Wir zeigen Ihnen, wie Sie später im Beitrag verhindern können, dass Ihre Kunden andere Arten von Benachrichtigungen sehen.

2. WordPress-Sicherheit für verschiedene Benutzertypen

Ein Großteil der WordPress-Sicherheit läuft auf die Benutzersicherheit hinaus. Und nicht alle Benutzer sind gleich geschaffen, daher sollten wir keine einheitliche Sicherheitsstrategie für alle Benutzer haben. Aus diesem Grund lohnt es sich, über die verschiedenen Benutzertypen zu sprechen, die Sie möglicherweise auf einer Website haben.

1. Site-Administratoren – Site-Administratoren haben die Möglichkeit, eine Menge Änderungen an einer WordPress-Website vorzunehmen. Mit großer Macht kommt große Verantwortung. Sicherheit bedeutet oft, ein wenig Komfort für einen viel größeren Sicherheitsgewinn zu opfern. Es ist in Ordnung, diesen Benutzern ein wenig Reibung zuzufügen, denn wenn ihre Konten jemals in die falschen Hände geraten, können Sie Ihre Website verabschieden.
2. Shop-Manager – Shop-Manager haben die gleichen Befugnisse wie ein Site-Administrator und benötigen das gleiche hohe Maß an Sicherheit. Möglicherweise haben Sie einen Client, der den WooCommerce-Shop verwalten muss, aber Sie möchten möglicherweise nicht, dass er die Sicherheitseinstellungen der Website durcheinander bringt. Wie Sie dies erreichen können, zeigen wir im nächsten Abschnitt.
3. Mitwirkende/Redakteure – Mitwirkende und Redakteure verdienen weiterhin Ihre Aufmerksamkeit, da sie Änderungen an Ihrer Website vornehmen können. Sie benötigen jedoch möglicherweise nicht so viel Sicherheit wie Ihre Site-Administratoren und Shop-Manager.
4. Abonnenten/Kunden – Abonnenten und Kunden sind Benutzer auf niedriger Ebene, die keine Änderungen an einer WordPress-Website vornehmen können. Während Sie ihnen wahrscheinlich die Tools zum Schutz ihres Kontos an die Hand geben möchten, möchten Sie sie wahrscheinlich nicht dazu zwingen, sie zu verwenden.

3. Verwenden von iThemes Security Pro-Benutzergruppen

Mit dem Modul Benutzergruppen in iThemes Security Pro können Sie schnell sehen, welche Einstellungen, die sich auf die Benutzererfahrung auswirken können, aktiviert sind, und von einem einzigen Ort aus Änderungen daran vornehmen.

Um die Verwaltung der Benutzersicherheit auf Ihrer Site zu vereinfachen, sortiert iThemes Security Pro alle Ihre Benutzer in verschiedene Gruppen. Standardmäßig werden Ihre Benutzer nach ihren WordPress-Funktionen gruppiert. Die Sortierung nach WordPress-Funktionen ermöglicht die einfache Kombination von WordPress und benutzerdefinierten Benutzerrollen in derselben Gruppe. Wenn Sie beispielsweise eine WooCommerce-Site betreiben, befinden sich Ihre Site-Administratoren und Shop-Manager in der Admin-Benutzergruppe und Ihre Abonnenten und Kunden befinden sich in der Abonnenten-Benutzergruppe.

Nachdem wir nun über die verschiedenen Benutzertypen auf einer WordPress-Website gesprochen haben, werfen wir einen Blick auf die Verwendung von Benutzergruppen, um unsere Benutzersicherheit schnell zu konfigurieren. In diesem Abschnitt erfahren Sie, wie Sie die Sicherheit für Ihre Site-Administratoren und -Abonnenten konfigurieren.

Wählen Sie in den Benutzergruppeneinstellungen Ihre Administratorbenutzergruppe aus, um mit der Bearbeitung dieser Gruppe zu beginnen. Auf der Registerkarte Funktionen wird angezeigt, welche Einstellungen für die Gruppe aktiviert oder deaktiviert sind, und auf der Registerkarte Gruppe bearbeiten können Sie die Mitglieder der Gruppe konfigurieren.

Wie bereits erwähnt, möchten wir ein hohes Maß an Sicherheit für unsere Admin-Benutzergruppe .

1. Verwalten der iThemes-Sicherheit – Unsere Admin-Benutzer müssen die Sicherheitseinstellungen verwalten können.
2. Dashboard-Erstellung aktivieren – Wir möchten, dass unsere Admin-Benutzer ein Sicherheits-Dashboard erstellen.
3. Notenbericht – Unsere Admin-Benutzer sollten Zugriff auf den Notenbericht haben.
4. Zwei-Faktor erzwingen – Wir sollten von unseren hochrangigen Benutzern verlangen, dass sie die Zwei-Faktor-Authentifizierung verwenden.
5. Zwei-Faktor-Onboarding deaktivieren – Wir möchten die Registrierung bei 2fa so einfach wie möglich machen.
6. Erinnerungsgerät zulassen – Wir möchten möglicherweise, dass unsere Admin-Benutzer bei jeder Anmeldung ein Zwei-Faktor-Token eingeben, um die Sicherheit zu erhöhen.
7. Anwendungskennwörter – Unsere Admin-Benutzer benötigen möglicherweise die Option zum Konfigurieren von Anwendungskennwörtern.
8. Aktivitätsüberwachung – Wir möchten einen Verlauf der Site-Aktivitäten unserer Admin-Benutzer.
9. Passwortlose Anmeldung – Wir können jedem ermöglichen, diese sichere und bequeme Anmeldemethode zu verwenden.
10. Zwei-Faktor-Bypass für kennwortlose Anmeldung zulassen – Dies ist eine persönliche Präferenz. Wenn Sie die Umgehung von 2fa nicht zulassen, wird die Sicherheit Ihrer Admin-Logins erhöht.
11. Vertrauenswürdige Geräte – Wir möchten den Zugriff auf unser Admin-Dashboard auf eine Liste genehmigter Geräte beschränken.
12. Fordern Sie starke Passwörter an – Wir möchten, dass unsere High-Level-Benutzer über starke Passwörter verfügen.
13. Kennwortablauf – Sie können festlegen, dass Ihre Admin-Kennwörter ablaufen.
14. Kompromittierte Passwörter ablehnen – Lassen Sie Ihren Admin-Benutzer nicht Passwörter wiederverwenden, die bei Datenbankverletzungen gefunden wurden.

Wie bereits erwähnt, möchten wir nicht das gleiche hohe Sicherheitsniveau für unsere Abonnenten-Benutzergruppe .

1. iThemes-Sicherheit verwalten – Wir möchten nicht, dass unsere Low-Level-Benutzer Zugriff auf die Sicherheitseinstellungen haben.
2. Dashboard-Erstellung aktivieren – Wir möchten nicht, dass Benutzer auf niedriger Ebene Sicherheits-Dashboards erstellen.
3. Notenbericht – Benutzer mit niedrigem Level sollten den Notenbericht nicht sehen.
4. Zwei -Faktor-Authentifizierung erzwingen – Wir möchten unsere Kunden oder Abonnenten nicht zwingen, die Zwei-Faktor-Authentifizierung zu verwenden.
5. Zwei-Faktor-Onboarding deaktivieren – Obwohl wir unseren Low-Level-Benutzern die Möglichkeit geben möchten, 2fa zu verwenden, möchten wir möglicherweise nicht, dass sie den Onboarding-Flow beim Anmelden sehen.
6. Erinnerungsgerät zulassen – Sie möchten diese Komplexität möglicherweise nicht zu Benutzerkonten auf niedriger Ebene hinzufügen.
7. Anwendungskennwörter – Sie möchten diese Komplexität möglicherweise nicht zu Benutzerkonten auf niedriger Ebene hinzufügen.
8. Aktivitätsüberwachung – Wir möchten die Aktivität unserer Low-Level-Benutzer nicht überwachen.
9. Passwortlose Anmeldung – Wir können jedem ermöglichen, diese sichere und bequeme Anmeldemethode zu verwenden.
10. Zwei-Faktor-Bypass für kennwortlose Anmeldung zulassen
11. Vertrauenswürdige Geräte – Sie möchten diese Komplexität möglicherweise nicht zu Benutzerkonten auf niedriger Ebene hinzufügen.
12. Erfordern Sie starke Passwörter – Sie möchten diese Reibungsebene möglicherweise nicht zu Benutzerkonten auf niedriger Ebene hinzufügen.
13. Ablauf des Kennworts – Sie möchten diese Reibungsebene möglicherweise nicht zu Benutzerkonten auf niedriger Ebene hinzufügen.
14. Verweigern Sie kompromittierte Passwörter – Sie sollten wahrscheinlich nicht einmal zulassen, dass Ihre Low-Level-Benutzer kompromittierte Passwörter auf Ihrer Site verwenden.

Wir haben vorhin darüber gesprochen, dass wir möchten, dass unsere Shop-Manager das gleiche hohe Sicherheitsniveau wie unsere Admin-Benutzer haben, sie jedoch daran hindern, die Sicherheitseinstellungen zu verwalten. Wir können eine neue Benutzergruppe nur für unsere Shop-Manager erstellen und alle dieselben Funktionen wie für unsere Admin-Benutzer aktivieren, außer der Möglichkeit, die Sicherheitseinstellungen zu verwalten, Sicherheits-Dashboards zu erstellen oder den Notenbericht anzuzeigen. Dadurch wird auch verhindert, dass sie die zuvor besprochenen Sicherheitsbenachrichtigungen sehen.

4. So erstellen Sie ein Security Client-Dashboard

Wenn Sie sich Ihre WordPress-Sicherheit ansehen, können Protokolleinträge zeitaufwändig und sogar verwirrend sein. Das iThemes-Sicherheits-Dashboard erweckt Ihre Sicherheitsprotokolle zum Leben, indem es verwandte Listen zusammenführt und auf eine für Sie relevante Weise anzeigt.

Das Sicherheits-Dashboard ist auch eine großartige Möglichkeit, Ihrem Kunden zu zeigen, warum er Sie für die Sicherung seiner Website bezahlt. Sehen wir uns an, wie Sie ein Dashboard für Ihren Kunden freigeben können.

Sobald Sie das Dashboard aktiviert haben, können Sie es sowohl im Admin-Dashboard als auch in den Sicherheitseinstellungen in Ihrem WordPress-Admin-Menü anzeigen.

Als Nächstes können Sie mit dem Standard-Dashboard von iThemes Security ein neues Dashboard erstellen oder eines von Grund auf neu erstellen. Geben Sie einen Namen für Ihr Board ein und klicken Sie dann auf die Schaltfläche Board erstellen.

Nachdem Sie das Dashboard nach Ihren Wünschen konfiguriert haben, können Sie auf die Schaltfläche Teilen klicken.

Wählen Sie dann den Benutzer aus, mit dem Sie ihn teilen möchten.

5. So automatisieren Sie Schwachstellenprüfungen und Patches

Wussten Sie, dass der Hauptgrund für das Hacken von Websites Sicherheitslücken sind, für die ein Patch verfügbar, aber nicht angewendet wurde? Geben Sie Hackern keine einfache Möglichkeit, die Websites Ihrer Kunden auszunutzen. Der neue iThemes Security Pro Site Scanner scannt Ihre Website automatisch auf bekannte WordPress-Kern-, Plugin- und Theme-Schwachstellen. Und wenn ein Patch verfügbar ist. Der Site Scanner wendet sogar automatisch den Sicherheitspatch an, um die Schwachstelle zu beheben.

Aktivieren Sie den Site-Scanner auf der Hauptseite der Sicherheitseinstellung, damit Ihre Site zweimal täglich auf bekannte Schwachstellen, Malware und den Google-Blocklist-Status der Site überprüft wird.

Sie müssen die Option Auto Update If Fixes Vulnerability in den Versionsverwaltungseinstellungen aktivieren, um iThemes Security Pro die Berechtigung zu erteilen, die Sicherheitsfixes automatisch anzuwenden.

6. Temporäre Rechteeskalation

Die vielleicht am wenigsten genutzte Funktion von iThemes Security Pro, die Privilege Escalation-Funktion, ermöglicht es Ihnen, die Privilegien eines einzelnen Benutzers vorübergehend zu erweitern.

Jedes Mal, wenn Sie einen neuen Benutzer erstellen, insbesondere einen Admin-Benutzer, fügen Sie einen zusätzlichen Einstiegspunkt hinzu, den ein Hacker ausnutzen kann. Aber manchmal brauchen Sie Hilfe von außen.

Sie können einen neuen Support-Benutzer erstellen und ihm die Benutzerrolle Abonnent zuweisen. Wenn Sie das nächste Mal jemandem vorübergehenden Zugriff gewähren müssen, navigieren Sie zur Profilseite Ihres Support-Benutzers.

Aktualisieren Sie die E-Mail-Adresse, damit die Person ein neues Passwort anfordern kann, und scrollen Sie dann nach unten, bis Sie die Einstellungen für die temporäre Rechteausweitung sehen . Klicken Sie auf den Schalter Temporäre Rolle festlegen und wählen Sie Admin aus . Der Benutzer hat nun für die nächsten 24 Stunden Administratorzugriff. Wenn sie nicht die vollen 24 Stunden benötigen, können Sie die Berechtigungseskalation auf der Benutzerprofilseite widerrufen.

Einpacken

Die Konfiguration der Sicherheit auf der Site eines Kunden muss nicht entmutigend sein. iThemes Security Pro bietet Ihnen die Tools, die Sie benötigen, um den richtigen Personen das richtige Maß an Sicherheit zuzuweisen und den Zugriff auf sensible Sicherheitsinformationen auf die Personen zu beschränken, die die Sicherheit verwalten.

Michael Moore

Jede Woche erstellt Michael den WordPress-Schwachstellenbericht, um die Sicherheit Ihrer Websites zu gewährleisten. Als Produktmanager bei iThemes hilft er uns, die Produktpalette von iThemes weiter zu verbessern. Er ist ein riesiger Nerd und liebt es, alles über Technik zu lernen, alt und neu. Sie können Michael mit seiner Frau und seiner Tochter treffen, lesen oder Musik hören, wenn er nicht arbeitet.