• Startseite
  • Artikel
  • Thema
  • Die 10 wichtigsten Dinge, die nach der Installation von iThemes Security Pro zu tun sind

Die 10 wichtigsten Dinge, die nach der Installation von iThemes Security Pro zu tun sind

Veröffentlicht: 2020-09-17

iThemes Security Pro ist vollgepackt mit über 50 Sicherheitsmethoden, um Ihre WordPress-Website zu sichern und zu schützen. Das ist eine Menge Möglichkeiten!

Wenn Sie nach der Installation von iThemes Security Pro nicht wissen, wo Sie anfangen sollen, machen Sie sich keine Sorgen, wir sind für Sie da. In diesem Beitrag werden wir die 10 wichtigsten Dinge behandeln, die nach der Installation von iThemes Security Pro zu tun sind.

Inhaltsverzeichnis

    1. Führen Sie den Sicherheitscheck durch

    Es gibt mehrere Gründe , dass Sie das iThemes Security Pro Security Check ausgeführt werden sollen. Der Sicherheitscheck aktiviert alle iThemes Security Pro-Einstellungen, die in allen Umgebungen gut funktionieren, auch in solchen mit begrenzten Ressourcen.

    Lassen Sie uns über die Einstellungen sprechen, die durch den Sicherheitscheck aktiviert werden.

    • Local Brute Force Protection – Die Local Brute Force Protection-Funktion verfolgt ungültige Anmeldeversuche von IPs und Benutzernamen. Sobald ein Angreifer zu viele aufeinanderfolgende ungültige Anmeldeversuche unternommen hat, wird er gesperrt.
    • Gesperrte Benutzer – Die Funktion für gesperrte Benutzer verfolgt IP-Sperren. Sobald eine IP zu einem Wiederholungstäter geworden ist, fügt iThemes Security Pro die IP zur Liste der gesperrten Hosts hinzu und verhindert, dass die IP Ihre Website anzeigen kann, geschweige denn, sich anzumelden.
    • Datenbanksicherungen – Die Funktion Datenbanksicherungen erstellt Sicherungen der Datenbank Ihrer Site.
    • Magic Links – Mit der Funktion Magic Links können Sie eine E-Mail mit einem eindeutigen Login-Link anfordern, wenn Ihr Benutzername gesperrt ist. Wenn Sie den per E-Mail gesendeten Link verwenden, können Sie die Sperre umgehen, während die Brute-Force-Angreifer gesperrt blieben.
    • Passwortlose Anmeldung – Die Funktion „Passwortlose Anmeldung“ ist eine neue Möglichkeit, die Identität eines Benutzers zu überprüfen, ohne dass für die Anmeldung tatsächlich ein Passwort erforderlich ist.
    • Site Scan – Der Site Scan überprüft Ihre Site auf bekannte Schwachstellen und wendet automatisch einen Patch an, falls einer verfügbar ist.
    • Zwei-Faktor-Authentifizierung – Die Zwei-Faktor-Authentifizierung ist ein Prozess zur Überprüfung der Identität einer Person, indem zwei separate Überprüfungsmethoden erforderlich sind.
    • Benutzerprotokollierung – Die Benutzerprotokollierungsfunktion macht genau das, was Sie denken; es protokolliert Benutzeraktionen wie das Anmelden und Speichern von Inhalten.
    • WordPress Tweaks – Nicht alle WordPress Tweaks-Optionen werden durch den Sicherheitscheck aktiviert. Wichtige Sicherheitsmethoden wie das Deaktivieren des Datei-Editors , das Blockieren mehrerer Authentifizierungsversuche pro XML-RPC-Anfrage , das Beschränken des REST-API-Zugriffs und das Abschwächen von Attachment File Traversal Attack sind aktiviert.

    Das Ausführen der Sicherheitsüberprüfung hilft auch, versehentliche Serversperrungen zu verhindern, indem die Server- und Loopback-IPs Ihrer Website identifiziert werden. Der Sicherheitscheck überprüft auch die Remote-IPs, die auf Ihre Website gelangen, um sich vor IP-Spoofing zu schützen.

    Außerdem prüft der Security Check… , ob auf Ihrem Server ein SSL-Zertifikat aktiviert ist und ob Ihre HTTP-Seitenanfragen an HTTPs umgeleitet werden. Eine Seite, die über HTTPs geladen wird, schützt Ihre Besucher mit SSL-Verschlüsselung. Sie erzwingen eine HTTPS-Umleitung über das Menü Sicherheitsprüfung.

    Schließlich werden Sie beim Sicherheitscheck aufgefordert, Ihre Network Brute Force Protection-Lizenz zu aktivieren. Das Brute Force Network hilft den Benutzern von iThemes Security, sich gegenseitig zu schützen. IPs, die für Angriffe auf Ihre Website blockiert werden, werden zusammen mit den blockierten IPs anderer Websites, die durch iThemes Security geschützt sind, an das Brute Force Network gemeldet. Sobald sich eine IP im Brute-Force-Netzwerk befindet, wird sie von allen Sites im Netzwerk gesperrt.

    2. Aktivieren Sie das automatische Patchen von Schwachstellen

    Der Sicherheitscheck aktiviert den Site Scan, der Ihre Website automatisch auf bekannte WordPress-, Plugin- und Theme-Schwachstellen überprüft. Das ist großartig, aber iThemes Security Pro kann noch einen Schritt weiter gehen. Wenn auf Ihrer Website eine Schwachstelle gefunden wird, kann iThemes Security Pro automatisch einen Patch installieren, falls einer verfügbar ist.

    Alles, was Sie tun müssen, ist die Option Auto Update If Fixes Vulnerability in den Versionsverwaltungseinstellungen zu aktivieren.

    3. Blockieren Sie schlechte Bots mit Google reCAPTCHA v3

    Die Google reCAPTCHA-Funktion in iThemes Security Pro schützt Ihre Website vor schlechten Bots. Diese Bots versuchen, mit kompromittierten Passwörtern in Ihre Website einzudringen, Spam zu posten oder sogar Ihre Inhalte abzukratzen. reCAPTCHA verwendet fortschrittliche Risikoanalysetechniken, um Menschen und Bots zu unterscheiden.

    Das Tolle an reCAPTCHA Version 3 ist, dass Sie missbräuchlichen Bot-Traffic auf Ihrer Website ohne Benutzerinteraktion erkennen können. Anstatt eine CAPTCHA-Herausforderung anzuzeigen, überwacht reCAPTCHA v3 die verschiedenen Anfragen auf Ihrer Website und gibt für jede Anfrage eine Punktzahl zurück. Die Punktzahl reicht von 0,01 bis 1. Je höher die von reCAPTCHA zurückgegebene Punktzahl, desto sicherer ist es, dass ein Mensch die Anfrage gestellt hat. Je niedriger dieser von reCAPTCHA zurückgegebene Wert ist, desto sicherer ist es, dass ein Bot die Anfrage gestellt hat.

    Mit iThemes Security Pro können Sie mithilfe des reCAPTCHA-Scores einen Blockierungsschwellenwert festlegen. Google empfiehlt die Verwendung von 0,5 als Standard. Denken Sie daran, dass Sie legitime Benutzer versehentlich aussperren könnten, wenn Sie den Schwellenwert zu hoch festlegen.

    Sie können reCAPTCHA für Ihre WordPress-Benutzerregistrierung aktivieren, Ihr Passwort, Ihr Login und Ihre Kommentare zurücksetzen. Mit iThemes Security Pro können Sie das Google reCAPTCHA-Skript auf allen Seiten ausführen, um die Genauigkeit der Bot- und Human-Scores zu erhöhen.

    4. Sichern Sie Ihr Benutzerkonto mit einer 2FA-App

    iThemes Security Pro bietet Ihnen drei verschiedene Methoden der Zwei-Faktor-Authentifizierung, um WordPress-Benutzer zu schützen.

    1. Mobile App – Diese Methode erfordert, dass Sie eine kostenlose mobile Zwei-Faktor-App wie Authy verwenden.
    2. E-Mail – Die Zwei-Faktor- E- Mail-Methode sendet zeitkritische Codes an die E-Mail-Adresse Ihres Benutzers.
    3. Backup-Codes – Eine Reihe von Einmalcodes, die für die Anmeldung verwendet werden können, falls die primäre Zwei-Faktor-Methode verloren geht.

    Die mobile App-Methode ist die sicherste. Sehen wir uns also an, wie Sie Ihrem Benutzer diese Sicherheitsstufe hinzufügen können.

    Das erste, was Sie tun müssen, ist eine 2fa-App wie Authy herunterzuladen und dann zu Ihrer WordPress-Benutzerprofilseite zu navigieren. Wenn Sie sich in Ihrem WordPress-Profil befinden, scrollen Sie nach unten, bis Sie die Überschrift Zwei-Faktor-Authentifizierungsoptionen sehen . Stellen Sie sicher, dass Sie die Kontrollkästchen aktivieren, um die Mobile App-Methode zu aktivieren und sie zu Ihrer primären Form von 2fa zu machen. Klicken Sie nun auf die Schaltfläche QR-Code & Geheimschlüssel anzeigen.

    Scannen Sie den QR-Code von Ihrem Telefon aus, um das Geheimnis weiterhin mit Ihrer mobilen App zu verknüpfen.

    Geben Sie nun den 6-stelligen Code von Ihrem Telefon in Ihren Webbrowser ein und klicken Sie auf Verify , um die Einrichtung abzuschließen.

    Hinweis: Achten Sie darauf, auf die Schaltfläche Profil aktualisieren zu klicken, bevor Sie Ihre Profilseite verlassen.

    5. Erstellen Sie ein Sicherheits-Dashboard

    Das iThemes Security Dashboard ist ein dynamisches Dashboard mit allen Sicherheitsaktivitätsstatistiken Ihrer Website an einem Ort. Das Security Dashboard erweckt Ihre Sicherheitsprotokolle zum Leben, indem es zusammengehörige Einträge zusammenführt und für Sie relevant darstellt.

    Das Dashboard sortiert die Sicherheitsaktivitäten Ihrer Website in Sicherheitskarten . Stellen Sie sie sich wie Baseballkarten vor. Baseballkarten geben Ihnen nicht Informationen über jeden Spieler in der MLB. Die Karten kümmern sich nur um den Typen, der auf der Vorderseite abgebildet ist. Ebenso zeigen Ihnen die Sicherheitskarten nicht jeden Eintrag im Protokoll. Stattdessen bieten sie Ihnen nur Informationen zu dieser bestimmten Karte.

    Die 11 Sicherheitskarten

    1. Site-Scans

    Sehen Sie sich den Verlauf Ihrer iThemes Security Pro-Site-Scans an.

    2. Benutzersicherheitsprofile

    Sehen Sie sich eine Liste aller Admin-Benutzer auf der Site an. Klicken Sie auf einen beliebigen Benutzernamen, um die Sicherheitsübersicht zu erhalten.

    3. Benutzersicherheitsprofil

    Stecken Sie das Profil eines einzelnen Benutzers in Ihr Dashboard und sehen Sie seine Benutzerrolle, Passwortstärke und sein Alter, unabhängig davon, ob er die Zwei-Faktor-Funktion aktiviert hat oder nicht und wann er das letzte Mal auf der Website war.

    4. Aktive Sperren

    Alle aktiven Sperren anzeigen. Wenn sich Ihr Kunde selbst ausgesperrt hat, können Sie die Sperre schnell von dieser Karte aufheben.

    5. Aussperrung

    Sehen Sie sich einen Verlauf der Sperrungen auf unserer Website an.

    6. Übersicht über Verbote

    Zeigen Sie einen Verlauf an, wenn IPs von iThemes Security gesperrt wurden.

    7. Brute-Force-Angriffe

    Zeigt ein Diagramm an, das Brute-Force-Aktivitäten darstellt.

    8. Vertrauenswürdige Geräte

    Zeigt ein Diagramm mit genehmigten, automatisch genehmigten und blockierten Geräten an.

    9. 404s

    Sehen Sie sich eine Übersicht der 404-Fehler in den letzten 30 Tagen an.

    10. Datenbank-Backups

    Sehen Sie sich einen 30-tägigen Backup-Verlauf an und erstellen Sie ein neues Datenbank-Backup.

    11. Update-Zusammenfassung

    Zeigen Sie die Anzahl der WordPress-, Plugin- und Theme-Updates über einen bestimmten Zeitraum an.

    12. Gesperrte Benutzer

    Verwalten Sie die Liste der gesperrten Hosts Ihrer Website.

    So erstellen Sie ein Sicherheits-Dashboard in iThemes Security Pro

    Um das Sicherheits-Dashboard zu verwenden, stellen Sie sicher, dass es auf der Hauptseite der Sicherheitseinstellungen aktiviert ist.

    Nach der Aktivierung können Sie Ihr erstes Sicherheits-Dashboard sowohl über das Admin-Dashboard-Menü als auch über die Sicherheitseinstellungen in Ihrem WordPress-Admin-Menü erstellen.

    Als Nächstes können Sie mit dem Standard-Dashboard von iThemes Security ein neues Dashboard erstellen oder eines von Grund auf neu erstellen. Geben Sie einen Namen für Ihr Board ein und klicken Sie dann auf die Schaltfläche Board erstellen.

    Dashboard-Seite erstellen

    Das Ziel des Sicherheits-Dashboards ist es, Ihnen die gewünschten Informationen auf eine für Sie sinnvolle Weise bereitzustellen. Sie können mit einer leeren Leinwand beginnen und nur die Karten hinzufügen, die für Sie wichtig sind.

    Das dynamische Sicherheits-Dashboard ist vollständig anpassbar. Sie wählen die Karten aus, die Sie sehen möchten, die Reihenfolge, in der sie auf Ihrem Bildschirm erscheinen und wie groß oder klein jede Karte sein soll. Dies ist Ihr Dashboard, das von Ihnen für Sie erstellt wurde.

    6. Erweitern Sie Ihr Passwort-Spiel mit Passwort-Anforderungen

    Passwörter sind Ihre erste Verteidigungslinie gegen Angriffe auf Ihr WordPress-Login. Die Kennwortanforderungsfunktion in iThemes Security Pro ist nicht nur Ihre Kennwortrichtlinie, sondern auch Ihr Durchsetzungsinstrument.

    Sie können die Mitglieder einer Benutzergruppe zwingen, ein sicheres Kennwort zu verwenden , einen Zeitpunkt für den Kennwortablauf wählen, kompromittierte Kennwörter ablehnen und eine Site-weite Kennwortänderung erzwingen, damit alle Ihre neue Richtlinie für sichere Kennwörter einhalten.

    • Starke Passwörter erzwingen – Zwingen Sie eine Gruppe von Benutzern, ein starkes Passwort zu verwenden.
    • Kennwortablauf – Legen Sie die maximale Anzahl von Tagen fest, die ein Kennwort verwendet werden kann, bevor es abläuft.
    • Kompromittierte Passwörter ablehnen – Zwingen Sie Benutzer, Passwörter zu verwenden, die in keinem von Have I Been Pwned verfolgten Passwortverstößen aufgetreten sind.
    • Passwortänderung erzwingen – Zwingt alle Benutzer, ihr Passwort bei ihrer nächsten Anmeldung zu ändern.

    7. Optimieren Sie Ihre Sicherheitsbenachrichtigungs-E-Mails

    Das Notification Center verfügt über alle Tools, die Sie zum Verwalten der von iThemes Security Pro generierten E-Mail-Benachrichtigungen benötigen.

    Das Modul Notification Center befindet sich auf der Hauptseite der Sicherheitseinstellungen. Klicken Sie auf die Schaltfläche Einstellungen konfigurieren , um mit der Anpassung Ihrer E-Mail-Benachrichtigungen zu beginnen.

    Die ersten beiden Dinge, die Sie in der Mitteilungszentrale einrichten möchten, sind die Liste Von E-Mail und Standardempfänger .

    Die Absender-E-Mail ist die E-Mail-Adresse, die iThemes Security Pro zum Senden von Benachrichtigungen verwendet. Die Standardempfänger sind die Liste der Personen, die E-Mail-Benachrichtigungen erhalten, sofern nicht anders angegeben.

    Sie können auch die Empfänger für jede von iThemes Security Pro gesendete E-Mail-Benachrichtigung anpassen. Nehmen wir an, die einzige E-Mail-Benachrichtigung, die ein Client sehen soll, ist der Security Digest. Scrollen Sie dazu nach unten zu den Security Digest-E-Mail-Einstellungen, klicken Sie auf den Empfänger-Schalter und wählen Sie Benutzerdefiniert aus .

    Aktivieren Sie das Kontrollkästchen neben dem Benutzernamen Ihres Kunden, um ihn zur E-Mail-Liste von Security Digest hinzuzufügen.

    Der Betreff und die Nachricht können für die meisten E-Mails in der Mitteilungszentrale angepasst werden. Sie können die verschiedenen E-Mail- Tags nutzen, um die E-Mails zu personalisieren. Sie können beispielsweise den username Tag verwenden, um den Benutzernamen des Empfängers in die E-Mail aufzunehmen.

    8. Schützen Sie Ihr WP-Dashboard mit vertrauenswürdigen Geräten

    Die iThemes Security Pro Trusted Devices-Funktion beschränkt den Zugriff auf das WordPress-Dashboard auf eine Liste genehmigter Geräte.

    Sobald Sie iThemes Security Pro wissen lassen, welche Geräte Ihnen gehören, kann Trusted Devices Ihre Site auf zwei verschiedene Arten schützen:

    1. Beschränken Sie die Fähigkeiten von unbekannten Geräten – Wenn sich jemand mit einem unbekannten Gerät anmeldet, können Sie seine Fähigkeiten auf Administratorebene einschränken und ihn daran hindern, seine Anmeldedaten zu bearbeiten. iThemes Security Pro sendet dann eine E-Mail an die Adresse, die in ihrem WordPress-Benutzerprofil festgelegt ist.

    Die nicht erkannte Anmelde-E-Mail hat die Möglichkeit, das Gerät entweder zu bestätigen oder zu blockieren. Wenn auf die Schaltfläche Gerät bestätigen geklickt wird, werden die Administratorfunktionen des Benutzers wiederhergestellt. Wenn auf die Schaltfläche Dies war nicht ich geklickt wird, loggt iThemes Security Pro den unehelichen Benutzer und das Gerät aus der Liste der abgelehnten Geräte im WordPress-Profil aus.

    2. Schutz vor Session-Hijacking – Session-Hijacking ist ein Angriff, bei dem eine Benutzersitzung von einem Angreifer übernommen wird. WordPress generiert beispielsweise jedes Mal ein Sitzungscookie, wenn Sie sich auf Ihrer Website anmelden. Nehmen wir an, Sie haben eine Browsererweiterung mit einer Schwachstelle, die es Hackern ermöglicht, Ihr Browser-Cookie zu entführen. Nach der Entführung Ihrer Sitzung kann der Hacker böswillige Änderungen an Ihrer Website vornehmen.

    Wenn sich das Gerät eines Benutzers während einer Sitzung ändert, meldet iThemes Security den Benutzer automatisch ab, um unbefugte Aktivitäten auf dem Konto des Benutzers zu verhindern, wie z. B. das Ändern der E-Mail-Adresse des Benutzers oder das Hochladen schädlicher Plugins.

    9. Verwenden Sie Benutzergruppen, um die Benutzersicherheit zu verwalten

    Das Modul Benutzergruppen in iThemes Security Pro ermöglicht es Ihnen, schnell zu sehen, welche Einstellungen, die sich auf die Benutzererfahrung auswirken, aktiviert sind, und von einem einzigen Ort aus Änderungen daran vorzunehmen.

    Um die Verwaltung der Benutzersicherheit auf Ihrer Site zu vereinfachen, sortiert iThemes Security Pro alle Ihre Benutzer in verschiedene Gruppen. Standardmäßig werden Ihre Benutzer nach ihren WordPress-Funktionen gruppiert. Die Sortierung nach WordPress-Funktionen ermöglicht die einfache Kombination von WordPress und benutzerdefinierten Benutzerrollen in derselben Gruppe. Wenn Sie beispielsweise eine WooCommerce-Site betreiben, befinden sich Ihre Site-Administratoren und Shop-Manager in der Admin-Benutzergruppe und Ihre Abonnenten und Kunden befinden sich in der Abonnenten-Benutzergruppe.

    In den Benutzergruppeneinstellungen sehen Sie alle Ihre Benutzergruppen und alle Sicherheitseinstellungen, die für jede Gruppe aktiviert sind, und können die Einstellungen schnell ein- und ausschalten. Die Benutzergruppe gibt Ihnen die Gewissheit, dass Sie den richtigen Benutzern das richtige Sicherheitsniveau anwenden.

    10. Erstellen Sie einen universellen Support-Benutzer

    Die am wenigsten genutzte Funktion in iThemes Security Pro ist die Privilege Escalation . Mit dieser Funktion können Sie die Berechtigungen eines Benutzers vorübergehend eskalieren.

    Jedes Mal, wenn Sie einen neuen Benutzer erstellen, insbesondere einen Admin-Benutzer, fügen Sie einen weiteren Einstiegspunkt hinzu, den ein Hacker ausnutzen könnte. Es kann jedoch vorkommen, dass Sie externe Hilfe für Ihre Website benötigen, z. B. wenn Sie Unterstützung suchen.

    Sie können einen neuen Benutzer erstellen und ihn Support nennen und ihm die Benutzerrolle Abonnent zuweisen. Wenn Sie das nächste Mal vorübergehenden Zugriff auf Ihre Website gewähren müssen, navigieren Sie zur Profilseite Ihres Support-Benutzers.

    Aktualisieren Sie die E-Mail-Adresse, damit der externe Support-Mitarbeiter ein neues Passwort anfordern kann. Scrollen Sie dann nach unten, bis Sie die Einstellungen für die temporäre Rechteausweitung sehen . Klicken Sie auf den Schalter Temporäre Rolle festlegen und wählen Sie Admin aus . Der Benutzer hat nun für die nächsten 24 Stunden Administratorzugriff.

    Wenn sie nicht die vollen 24 Stunden benötigen, können Sie die Berechtigungseskalation auf der Benutzerprofilseite widerrufen.

    Einpacken

    iThemes Security Pro verfügt über eine Vielzahl verschiedener Tools, mit denen Sie Ihre Website sichern und schützen können. Hier ist eine Checkliste, die Ihnen hilft, Ihre WordPress-Website nach der Installation von iThemes Security Pro zu sichern.

    • 1. Führen Sie den Sicherheitscheck durch
    • 2. Aktivieren Sie das automatische Patchen von Schwachstellen
    • 3. Blockieren Sie schlechte Bots mit Google reCAPTCHA v3
    • 4. Sperren Sie Ihren WP-Benutzer mit einer 2FA-App
    • 5. Erstellen Sie ein Sicherheits-Dashboard
    • 6. Erhöhen Sie Ihr Passwort-Spiel
    • 7. Optimieren Sie Ihre Sicherheits-E-Mails
    • 8. Schützen Sie Ihr WP-Dashboard mit vertrauenswürdigen Geräten
    • 9. Machen Sie sich mit Benutzergruppen vertraut
    • 10. Erstellen Sie einen Universal Support-Benutzer