iThemes SecurityProをインストールした後に行うべきトップ10のこと

公開: 2020-09-17

iThemes Security Proには、WordPressWebサイトを保護および保護するための50以上のセキュリティ方法が満載です。 それはたくさんのオプションです!

iThemes Security Proをインストールした後、どこから始めればよいかわからない場合でも、心配はいりません。 この投稿では、iThemes SecurityProをインストールした後に行うべき上位10のことについて説明します。

目次

    1.セキュリティチェックを実行します

    iThemes SecurityProセキュリティチェックを実行する理由はいくつかあります。 セキュリティチェックにより、リソースが限られている環境を含め、すべての環境で適切に機能するすべてのiThemes SecurityPro設定が有効になります。

    セキュリティチェックで有効になる設定について話しましょう。

    • ローカルブルートフォース保護–ローカルブルートフォース保護機能は、IPおよびユーザー名による無効なログイン試行を追跡します。 攻撃者が無効なログインを連続して何度も試行すると、ロックアウトされます。
    • 禁止ユーザー–禁止ユーザー機能はIPロックアウトを追跡します。 IPが繰り返し違反者になると、iThemes Security ProはそのIPを禁止ホストリストに追加し、ログインを試みるどころか、IPがWebサイトを表示できないようにします。
    • データベースのバックアップ–データベースのバックアップ機能は、サイトのデータベースのバックアップを作成します。
    • Magic Links – Magic Links機能を使用すると、ユーザー名がロックアウトされているときに、一意のログインリンクを含む電子メールを要求できます。 電子メールで送信されたリンクを使用すると、強引な攻撃者がロックアウトされたままで、ロックアウトをバイパスできます。
    • パスワードなしのログイン–パスワードなしのログイン機能は、実際にログインするためにパスワードを必要とせずに、ユーザーのIDを確認する新しい方法です。
    • サイトスキャン–サイトスキャンは、既知の脆弱性についてサイトをチェックし、パッチが利用可能な場合は自動的に適用します。
    • 二要素認証–二要素認証は、2つの別個の検証方法を要求することにより、個人のIDを検証するプロセスです。
    • ユーザーロギング–ユーザーロギング機能はあなたが思っていることを正確に実行します。 ログインやコンテンツの保存などのユーザーアクションをログに記録します。
    • WordPress Tweaks –すべてのWordPressTweaksオプションがセキュリティチェックで有効になっているわけではありません。 ファイルエディタの無効化、 XML-RPC要求ごとの複数の認証試行のブロックREST APIアクセスの制限添付ファイルのトラバーサル攻撃の軽減などの重要なセキュリティメソッドが有効になっています。

    セキュリティチェックを実行すると、WebサイトのサーバーとループバックIPを特定することにより、不注意によるサーバーのロックアウトを防ぐこともできます。 セキュリティチェックでは、IPスプーフィングから保護するために、WebサイトにアクセスしているリモートIPも検証します。

    さらに、セキュリティチェック…、サーバーでSSL証明書が有効になっているかどうか、およびHTTPページ要求がHTTPにリダイレクトされているかどうかを確認します。 HTTPを使用して読み込まれるページは、SSL暗号化で訪問者を保護します。 [セキュリティチェック]メニューからHTTPSリダイレクトを強制します。

    最後に、セキュリティチェックにより、ネットワークブルートフォース保護ライセンスをアクティブ化するように求められます。 ブルートフォースネットワークは、iThemesSecurityユーザーがお互いを保護するのに役立ちます。 Webサイトを攻撃するためにブロックされたIPは、iThemes Securityによって保護されている他のWebサイトのブロックされたIPとともに、ブルートフォースネットワークに報告されます。 IPがブルートフォースネットワークに入ると、ネットワーク内のすべてのサイトからIPがブロックされます。

    2.自動脆弱性パッチを有効にする

    セキュリティチェックにより、サイトスキャンが有効になり、既知のWordPress、プラグイン、およびテーマの脆弱性についてWebサイトが自動的にチェックされます。 これは素晴らしいことですが、iThemes SecurityProはさらに一歩進むことができます。 Webサイトに脆弱性が見つかった場合、iThemes Security Proは、パッチが利用可能な場合は自動的にパッチを適用できます。

    あなたがする必要があるのは、バージョン管理設定で脆弱性を修正した場合自動更新オプションを有効にすることです。

    3. Google reCAPTCHAv3で不良ボットをブロックする

    iThemes SecurityProのGooglereCAPTCHA機能は、悪意のあるボットからサイトを保護します。 これらのボットは、侵害されたパスワードを使用してWebサイトに侵入しようとしたり、スパムを投稿したり、コンテンツをスクレイピングしたりしようとしています。 reCAPTCHAは、高度なリスク分析手法を使用して、人間とボットを区別します。

    reCAPTCHAバージョン3の優れている点は、ユーザーの操作なしでWebサイト上の不正なボットトラフィックを検出できることです。 reCAPTCHA v3は、CAPTCHAチャレンジを表示する代わりに、サイトで行われたさまざまなリクエストを監視し、リクエストごとにスコアを返します。 スコアの範囲は0.01から1です。reCAPTCHAによって返されるスコアが高いほど、人間がリクエストを行ったという自信が高まります。 reCAPTCHAによって返されるこのスコアが低いほど、ボットがリクエストを行ったという自信が高まります。

    iThemes Security Proでは、reCAPTCHAスコアを使用してブロックしきい値を設定できます。 デフォルトとして0.5を使用することをお勧めします。 しきい値を高く設定しすぎると、正当なユーザーを誤ってロックアウトする可能性があることに注意してください。

    WordPressユーザー登録、パスワードのリセット、ログイン、コメントでreCAPTCHAを有効にできます。 iThemes Security Proを使用すると、すべてのページでGoogle reCAPTCHAスクリプトを実行して、ボットと人間のスコアの精度を高めることができます。

    4.2FAアプリでユーザーアカウントを保護します

    iThemes Security Proは、WordPressユーザーを保護するための2要素認証の3つの異なる方法を提供します。

    1. モバイルアプリ–この方法では、Authyのような無料の2要素モバイルアプリを使用する必要があります。
    2. 電子メール– 2要素の電子メール方式は、時間に敏感なコードをユーザーの電子メールアドレスに送信します。
    3. バックアップコード–主要な2要素認証方式が失われた場合にログインに使用できる1回限りの使用コードのセット。

    モバイルアプリ方式が最も安全なので、このレベルのセキュリティをユーザーに追加する方法を見てみましょう。

    最初に行う必要があるのは、Authyなどの2faアプリをダウンロードしてから、WordPressのユーザープロファイルページに移動することです。 WordPressプロファイルが表示されたら、[ 2要素認証オプション]の見出しが表示されるまで下にスクロールします。 必ずチェックボックスをオンにしてモバイルアプリメソッドを有効にし、それを2faの主要な形式にします。 次に、 [QRコードと秘密鍵の表示]ボタンをクリックします。

    携帯電話からQRコードをスキャンして、シークレットをモバイルアプリにリンクし続けます。

    次に、携帯電話からWebブラウザに6桁のコードを入力し、[確認]をクリックしてセットアップを完了します。

    注:プロファイルページを離れる前に、必ず[プロファイルの更新]ボタンをクリックしてください。

    5.セキュリティダッシュボードを作成します

    iThemesセキュリティダッシュボードは、Webサイトのすべてのセキュリティアクティビティ統計を1か所にまとめた動的なダッシュボードです。 セキュリティダッシュボードは、関連するエントリをまとめて、自分に関連する方法で表示することにより、セキュリティログに命を吹き込みます。

    ダッシュボードは、Webサイトのセキュリティアクティビティをセキュリティカードに分類します。 それらを野球カードのように考えてください。 野球カードは、MLBのすべてのプレーヤーに関する情報を提供するわけではありません。 カードは正面に描かれている男だけを気にします。 同様に、セキュリティカードにはログのすべてのエントリが表示されるわけではありません。 代わりに、その特定のカードに関連する情報のみを提供します。

    11枚のセキュリティカード

    1.サイトスキャン

    iThemes SecurityProサイトスキャンの履歴を確認してください。

    2.ユーザーセキュリティプロファイル

    サイト上のすべての管理者ユーザーのリストを表示します。 ユーザー名をクリックすると、セキュリティの概要が表示されます。

    3.ユーザーセキュリティプロファイル

    単一のユーザーのプロファイルをダッシュ​​ボードに固定し、ユーザーの役割、パスワードの強度、年齢、2要素が有効になっているかどうか、サイトに最後にアクセスした日時を確認します。

    4.アクティブロックアウト

    すべてのアクティブなロックアウトを表示します。 クライアントが自分自身をロックアウトした場合は、このカードからロックアウトをすばやくクリアできます。

    5.ロックアウト

    当サイトでロックアウトの履歴をご覧ください。

    6.禁止の概要

    IPがiThemesSecurityによって禁止されている場合は履歴を表示します。

    7.ブルートフォース攻撃

    ブルートフォースアクティビティをグラフ化したグラフを表示します。

    8.信頼できるデバイス

    承認済み、自動承認済み、およびブロックされたデバイスをグラフ化したグラフを表示します。

    9.404s

    過去30日間の404の概要をご覧ください。

    10.データベースのバックアップ

    30日間のバックアップ履歴を表示し、新しいデータベースバックアップを作成します。

    11.更新の概要

    特定の時間におけるWordPress、プラグイン、テーマの更新数を表示します。

    12.禁止されたユーザー

    Webサイトの禁止ホストリストを管理します。

    iThemes SecurityProでセキュリティダッシュボードを作成する方法

    セキュリティダッシュボードの使用を開始するには、セキュリティ設定のメインページで有効になっていることを確認してください。

    有効にすると、WordPress管理メニューの[管理ダッシュボード]メニューと[セキュリティ設定]の両方から最初のセキュリティダッシュボードを作成できます

    次に、 iThemes Securityのデフォルトのダッシュボードを使用して新しいダッシュボードを作成するか、最初からダッシュボードを作成できます。 ボードの名前を入力し、[ボードの作成]ボタンをクリックします。

    ダッシュボードページの作成

    セキュリティダッシュボードの目的は、必要な情報をわかりやすい方法で提供することです。 空白のキャンバスから始めて、自分にとって重要なカードだけを追加することができます。

    動的セキュリティダッシュボードは完全にカスタマイズ可能です。 見たいカード、画面に表示される順序、各カードの大きさを選択します。 これはあなたのためにあなたが作成したダッシュボードです。

    6.パスワード要件でパスワードゲームを強化する

    パスワードは、WordPressログインへの攻撃からの防御の最前線です。 iThemes Security Proのパスワード要件機能は、パスワードポリシーであるだけでなく、施行ツールでもあります。

    ユーザーグループのメンバーに強力なパスワードの使用を強制し、パスワードの有効期限を選択し、侵害されたパスワードを拒否し、サイト全体のパスワードを強制的に変更して、全員が新しい強力なパスワードポリシーに準拠するようにすることができます。

    • 強力なパスワードの強制–一連のユーザーに強力なパスワードの使用を強制します。
    • パスワードの有効期限パスワードの有効期限が切れるまでに使用できる最大日数を設定します。
    • 侵害されたパスワードを拒否する– Have I beenPwnedによって追跡されたパスワード違反に表示されていないパスワードの使用をユーザーに強制します。
    • パスワード変更の強制–すべてのユーザーに次回のログイン時にパスワードの変更を強制します。

    7.セキュリティ通知メールを微調整します

    通知センターには、iThemes SecurityProによって生成された電子メール通知を管理するために必要なすべてのツールがあります。

    通知センターモジュールは、セキュリティ設定のメインページにあります。 [設定の構成]ボタンをクリックして、電子メール通知のカスタマイズを開始します。

    通知センターで設定する最初の2つは、[電子メールから]リストと[デフォルトの受信者]リストです。

    From Emailは、iThemes SecurityProが通知の送信に使用する電子メールアドレスです。 デフォルトの受信者は、特に指定がない限り、電子メール通知を受信する人のリストです。

    iThemes SecurityProから送信される各電子メール通知の受信者をカスタマイズすることもできます。 クライアントに表示する唯一の電子メール通知がセキュリティダイジェストであるとしましょう。 これを行うには、[セキュリティダイジェスト]の電子メール設定まで下にスクロールし、[受信者]トグルをクリックして、[カスタム]を選択します。

    クライアントのユーザー名の横にあるチェックボックスをオンにして、クライアントをセキュリティダイジェストのメーリングリストに追加します。

    件名とメッセージは、通知センターのほとんどの電子メール用にカスタマイズできます。 さまざまな電子メールタグを利用して、電子メールをパーソナライズできます。 たとえば、 usernameタグを使用して、受信者のユーザー名を電子メールに含めることができます。

    8.信頼できるデバイスでWPダッシュボードを保護します

    iThemes Security Proの信頼できるデバイス機能は、WordPressダッシュボードへのアクセスを承認されたデバイスのリストに制限します。

    iThemes Security Proに自分のデバイスを知らせると、信頼できるデバイスは2つの異なる方法でサイトを保護できます。

    1.認識されないデバイスの機能を制限する–誰かが認識されないデバイスを使用してログインする場合、管理者レベルの機能を制限し、ログインの詳細を編集できないようにすることができます。 iThemes Security Proは、WordPressユーザープロファイルで設定されたアドレスに電子メールを送信します。

    認識されないログインメールには、デバイスを確認またはブロックするオプションがあります。 [デバイス確認]ボタンをクリックすると、ユーザーの管理機能が復元されます。 [これは私ではありません]ボタンをクリックすると、iThemes Security Proは不正なユーザーをログアウトし、デバイスはWordPressプロファイルの拒否されたデバイスリストに表示されます。

    2.セッションハイジャック保護–セッションハイジャックは、ユーザーセッションが攻撃者に乗っ取られる攻撃です。 たとえば、WordPressは、WebサイトにログインするたびにセッションCookieを生成します。 また、ハッカーがブラウザのCookieを乗っ取ることができる脆弱性のあるブラウザ拡張機能があるとします。 セッションをハイジャックした後、ハッカーはWebサイトに悪意のある変更を加えることができるようになります。

    セッション中にユーザーのデバイスが変更された場合、iThemes Securityはユーザーを自動的にログアウトして、ユーザーの電子メールアドレスの変更や悪意のあるプラグインのアップロードなど、ユーザーのアカウントでの不正なアクティビティを防止します。

    9.ユーザーグループを利用してユーザーセキュリティを管理する

    iThemes Security Proのユーザーグループモジュールを使用すると、ユーザーエクスペリエンスに影響を与える設定が有効になっているかどうかをすばやく確認し、1か所から変更を加えることができます。

    サイトのユーザーセキュリティの管理を容易にするために、iThemes SecurityProはすべてのユーザーを異なるグループに分類します。 デフォルトでは、ユーザーはWordPressの機能ごとにグループ化されます。 WordPressの機能で並べ替えると、WordPressとカスタムユーザーの役割を同じグループに簡単に組み合わせることができます。 たとえば、WooCommerceサイトを運営している場合、サイトの管理者とショップマネージャーは管理者ユーザーグループに属し、サブスクライバーと顧客はサブスクライバーユーザーグループに属します。

    [ユーザーグループ]設定には、すべてのユーザーグループと、各グループで有効になっているすべてのセキュリティ設定が表示され、設定のオンとオフをすばやく切り替えることができます。 ユーザーグループは、適切なレベルのセキュリティを適切なユーザーに適用しているという自信を与えてくれます。

    10.ユニバーサルサポートユーザーを作成します

    iThemes Security Proで最も活用されていない機能は、特権昇格です。 この機能を使用すると、ユーザーの特権を一時的にエスカレーションできます。

    新しいユーザー、特に管理者ユーザーを作成するときはいつでも、ハッカーが悪用する可能性のある別のエントリポイントを追加しています。 ただし、サポートを求めている場合など、Webサイトの外部からの支援が必要な場合があります。

    新しいユーザーを作成し、Supportという名前を付けて、サブスクライバーユーザーの役割を与えることができます。 次回Webサイトへの一時的なアクセスを提供する必要がある場合は、サポートユーザーのプロファイルページに移動します。

    電子メールアドレスを更新して、外部のサポート担当者が新しいパスワードを要求できるようにします。 次に、一時的な特権昇格の設定が表示されるまで下にスクロールします。 [一時的な役割設定]トグルをクリックし、[管理者]を選択します。 これで、ユーザーは次の24時間は管理者アクセス権を持つことになります。

    24時間も必要ない場合は、ユーザープロファイルページから特権の昇格を取り消すことができます。

    まとめ

    iThemes Security Proには、Webサイトを保護および保護するために使用できるさまざまなツールが多数あります。 これは、iThemes SecurityProのインストール後にWordPressWebサイトのセキュリティ保護を開始するのに役立つチェックリストです。

    • 1.セキュリティチェックを実行します
    • 2.自動脆弱性パッチを有効にする
    • 3. Google reCAPTCHAv3で不良ボットをブロックする
    • 4.2FAアプリでWPユーザーをロックダウンする
    • 5.セキュリティダッシュボードを作成します
    • 6.パスワードゲームをアップ
    • 7.セキュリティメールを微調整する
    • 8.信頼できるデバイスでWPダッシュボードを保護します
    • 9.ユーザーグループに精通する
    • 10.ユニバーサルサポートユーザーを作成します