5 consejos y trucos avanzados para iThemes Security Pro

Publicado: 2020-09-02

El complemento iThemes Security Pro tiene más de 50 formas diferentes de asegurar y proteger su sitio web de WordPress. Puede habilitar la mayoría de los métodos de seguridad en iThemes Security Pro con solo hacer clic en un botón. Sin embargo, si puede dedicar unos minutos a sumergirse en la configuración, puede agregar varias capas de protección a su sitio web de WordPress.

En esta publicación, le daremos 5 consejos y trucos avanzados para que iThemes Security Pro lleve la seguridad de su sitio web al siguiente nivel.

Consejo n. ° 1: proteja su tablero de WP con dispositivos confiables

La función de dispositivos de confianza de iThemes Security Pro limita el acceso al panel de WordPress a una lista de dispositivos aprobados.

Una vez que le informe a iThemes Security Pro qué dispositivos son suyos, Trusted Devices puede proteger su sitio de 2 formas diferentes:

1. Restringir las capacidades de los dispositivos no reconocidos : cuando alguien inicia sesión con un dispositivo no reconocido, puede restringir sus capacidades de nivel de administrador y evitar que editen sus datos de inicio de sesión. iThemes Security Pro enviará un correo electrónico a la dirección establecida en su perfil de usuario de WordPress.

El correo electrónico de inicio de sesión no reconocido tendrá la opción de confirmar o bloquear el dispositivo. Si se hace clic en el botón Confirmar dispositivo , se restaurarán las capacidades de administración del usuario. Si se hace clic en el botón This Was Not Me , iThemes Security Pro cerrará la sesión del usuario ilegítimo y el dispositivo de la lista de dispositivos denegados en el perfil de WordPress.

2. Protección contra el secuestro de sesiones: el secuestro de sesiones es un ataque en el que un atacante se hace cargo de la sesión de un usuario. Por ejemplo, WordPress genera una cookie de sesión cada vez que inicia sesión en su sitio web. Y digamos que tiene una extensión de navegador con una vulnerabilidad que permite a los piratas informáticos secuestrar las cookies de su navegador. Después de secuestrar su sesión, el pirata informático podrá comenzar a realizar cambios maliciosos en su sitio web.

Si el dispositivo de un usuario cambia durante una sesión, iThemes Security cerrará automáticamente la sesión del usuario para evitar cualquier actividad no autorizada en la cuenta del usuario, como cambiar la dirección de correo electrónico del usuario o cargar complementos maliciosos.

Nota: Lea la publicación destacada de la función Dispositivos confiables para obtener más información sobre cómo puede asegurar y proteger su panel de WordPress.

Consejo n. ° 2: use Google reCAPTCHA v3 para bloquear bots defectuosos

La función Google reCAPTCHA en iThemes Security Pro protege su sitio de los robots maliciosos. Estos bots intentan ingresar a su sitio web utilizando contraseñas comprometidas, publicando spam o incluso raspando su contenido. reCAPTCHA utiliza técnicas avanzadas de análisis de riesgos para diferenciar a los humanos de los robots.

Lo bueno de la versión 3 de reCAPTCHA es que te ayuda a detectar tráfico de bots abusivo en tu sitio web sin la interacción del usuario. En lugar de mostrar un desafío CAPTCHA, reCAPTCHA v3 monitorea las diferentes solicitudes realizadas y devuelve una puntuación. El puntaje varía de 0.01 a 1. Cuanto mayor sea el puntaje devuelto por reCAPTCHA, más seguro es que un humano hizo la solicitud. Cuanto más baja sea esta puntuación devuelta por reCAPTCHA, más confianza habrá de que un bot haya realizado la solicitud.

iThemes Security Pro le permite establecer un umbral de bloqueo utilizando la puntuación reCAPTCHA. Google recomienda usar 0.5 como predeterminado. Tenga en cuenta que podría bloquear inadvertidamente a usuarios legítimos si establece el umbral demasiado alto.

Digamos que establece el umbral de bloqueo en 1, lo que significa que quiere que Google bloquee cualquier cosa de la que no esté 100% seguro de que sea humano. Ahora uno de sus clientes envía una solicitud de inicio de sesión a su sitio web. Y este cliente usa un administrador de contraseñas para autocompletar sus contraseñas y reCAPTCHA le da a su solicitud de inicio de sesión una puntuación de 0.7.

Entonces, aunque su cliente no usó su teclado para ingresar sus credenciales, Google está bastante seguro de que su cliente es humano. Sin embargo, su cliente seguirá bloqueado porque estableció un umbral de 1.

Puede habilitar reCAPTCHA en su registro de usuario de WordPress, restablecer contraseña, inicio de sesión y comentarios. iThemes Security Pro le permite ejecutar la secuencia de comandos reCAPTCHA de Google en todas las páginas para aumentar la precisión de su puntaje bot frente a humano.

¡Google reCAPTCHA versión 3 es increíble! Le ayuda a usted y a los visitantes de su sitio a estar a salvo de los robots maliciosos sin ninguna interacción del usuario.

Consejo n. ° 3: utilice la ampliación de privilegios para crear un usuario de soporte universal

La característica menos utilizada en iThemes Security Pro es Privilege Escalation. La función le permite escalar temporalmente los privilegios de un usuario.

Cada vez que crea un nuevo usuario, especialmente un usuario administrador, está agregando otro punto de entrada que un pirata informático podría explotar. Sin embargo, hay ocasiones en las que es posible que necesite ayuda externa para su sitio web, como cuando busca ayuda.

Puede crear un nuevo usuario y nombrarlo Soporte y darle el rol de usuario Suscriptor. La próxima vez que necesite proporcionar acceso temporal a su sitio web, navegue hasta la página de perfil de usuario de Support.

Actualice la dirección de correo electrónico para permitir que la persona de soporte externa solicite una nueva contraseña. Luego, desplácese hacia abajo hasta que vea la configuración de Escalada temporal de privilegios . Haga clic en la palanca Establecer función temporal y seleccione Administrador . El usuario ahora tendrá acceso de administrador durante las próximas 24 horas.

Si no necesitan las 24 horas completas, puede revocar la escalada de privilegios desde la página de perfil de usuario.

Consejo n. ° 4: facilite la seguridad a sus usuarios

Por definición, cada medida de seguridad está diseñada para disminuir la conveniencia de lo que esté recibiendo la seguridad adicional. Por eso, quiero compartir tres funciones en iThemes Security Pro que pueden facilitar la seguridad para todos en su sitio web.

1. Incorporación de dos factores

La autenticación de dos factores es un proceso de verificación de la identidad de una persona que requiere dos métodos de verificación separados. Google compartió en su blog que el uso de la autenticación de dos factores puede detener el 100% de los ataques de bots automatizados.

La incorporación de dos factores es una forma fácil de usar para que las personas configuren dos factores en sus cuentas. Cada usuario que tenga habilitada la autenticación de dos factores será guiado a través del flujo de incorporación la próxima vez que inicie sesión.

Después de ingresar sus credenciales, se le presentará el texto de bienvenida de incorporación. Tenga en cuenta que puede personalizar esto en su configuración de dos factores.

A lo largo del flujo, tendrá la opción de habilitar y configurar los métodos de dos factores que desee utilizar.

Al final del flujo, usted y las cuentas de sus usuarios tendrán una capa sólida de seguridad que proporciona la autenticación de dos factores.

Nota: Lea la publicación destacada de la función Dispositivos confiables para obtener más información sobre cómo puede asegurar y proteger su panel de WordPress.

2. Enlaces mágicos

Un bot puede escapar de la página de su autor para recopilar nombres de usuario y usarlos en un ataque de fuerza bruta en su sitio web. Apesta quedarse bloqueado porque algún bot está tratando de ingresar a su sitio web usando su nombre de usuario.

Cuando su nombre de usuario está bloqueado, puede solicitar un correo electrónico con un enlace de inicio de sesión único. El uso del enlace enviado por correo electrónico evitará el bloqueo del nombre de usuario, mientras que los atacantes de fuerza bruta aún están bloqueados.

Simplemente haga clic en el enlace "Enviar enlace de inicio de sesión autorizado" para recibir su correo electrónico de Magic Links.

Una vez que reciba el correo electrónico, use el enlace, ingrese sus credenciales y estará de regreso en su sitio.

Nota: Lea la publicación destacada de la función Magic Links para obtener más información.

3. Inicios de sesión sin contraseña

Ya sea que en la comunidad de seguridad queramos admitirlo o no, el uso de un administrador de contraseñas y la autenticación de dos factores puede ser una molestia y llevar mucho tiempo, especialmente a medida que pasamos más y más vidas en línea.

Así que queríamos crear una forma para que las personas obtuvieran toda la seguridad que proporciona una contraseña única y segura sin sacrificar la usabilidad.

¿Qué son los inicios de sesión sin contraseña?

El inicio de sesión sin contraseña es una nueva forma de verificar la identidad de un usuario sin necesidad de una contraseña para iniciar sesión. Desarrollamos Magic Links en un nuevo método de inicio de sesión que le permite exigir a los usuarios que usen contraseñas seguras y autenticación de dos factores sin tener que ingresar una contraseña o un código de autenticación adicional.

Cómo funciona el método de inicio de sesión sin contraseña

Al iniciar sesión, se le pedirá que elija un método de inicio de sesión. Haga clic en el botón Enviar correo electrónico a Magic Link para enviar el correo electrónico que contiene el enlace de inicio de sesión sin contraseña.

Enviar enlace mágico por correo electrónico

Ahora verá un mensaje confirmando que se ha enviado el correo electrónico.

Iniciar sesión sin contraseña Comprobar correo electrónico

En la bandeja de entrada de su correo electrónico, abra el correo electrónico Magic Link y el botón Iniciar sesión ahora .

Correo electrónico de inicio de sesión sin contraseña

Y eso es todo, sin ingresar una contraseña o un token de dos factores. Esto significa que una vez que habilita el inicio de sesión sin contraseña, no tiene que conocer su contraseña complicada o copiar y pegar un código adicional para iniciar sesión. Sin embargo, los tipos malos que intentan utilizar la fuerza bruta en su sitio tendrán una tasa de éxito del 0%.

Nota: Consulte el libro electrónico Introducción al inicio de sesión sin contraseña para obtener más información.

Consejo n. ° 5: habilite el menú de depuración para la resolución avanzada de problemas

Puede haber ocasiones en las que el soporte de iThemes Security Pro le pida que habilite el menú de depuración. Para habilitar el menú Depurar en iThemes Security Pro, deberá agregar el siguiente código a su archivo wp-config.php.

 define( 'ITSEC_DEBUG', true );

Asegúrese de agregar el código encima de "Eso es todo feliz blogueo". línea.

Ahora podrá acceder al menú Depurar en iThemes Security Pro.

Puede ver la información de su sistema , cargar la configuración de su configuración , ver el Programador de eventos de seguridad y los correos electrónicos que envía el Centro de notificaciones. La herramienta de resolución de problemas de depuración que quiero resaltar en esta publicación es el Programador.

Programador

El Programador le muestra todos los diferentes eventos programados en iThemes Security Pro. Los eventos programados son cosas como análisis de sitios, análisis de cambios de archivos, eliminación de bloqueos y mucho más. Lo que estas funciones tienen en común es su necesidad de ser programadas con anticipación y dependen de wp-cron para ejecutarse.

Digamos que le ha llamado la atención que el análisis de Cambio de archivo no se está ejecutando en su sitio web a pesar de que habilitó Cambio de archivo en su configuración de seguridad. Puede habilitar el menú de depuración para ver si el cambio de archivo escanea en su lista de eventos programados. Si no es así, significa que algo salió mal antes de que se creara un evento. Puede resolver este problema haciendo clic en el botón Restablecer ITSEC_Scheduler_Cron. Descansar el cron obligará al Programador a verificar la configuración de seguridad y reconstruir la lista de eventos programados. Incluidos los escaneos de cambio de archivo que faltan.

Terminando

El complemento iThemes Security Pro ofrece una excelente protección lista para usar, pero si se sumerge en la configuración, encontrará algunas herramientas de seguridad realmente interesantes. Estas herramientas pueden ayudar a agregar varias capas de seguridad a su inicio de sesión y panel de WordPress, bloquear bots maliciosos e incluso hacer que la seguridad sea más fácil para todos en su sitio web, incluido usted.