Cómo configurar iThemes Security Pro en el sitio de sus clientes

¿Cómo encuentra el equilibrio adecuado entre usabilidad y seguridad? ¿Cómo controlas qué notificaciones de seguridad se comparten con tu cliente? Configurar la seguridad en el sitio web de un cliente puede ser una tarea abrumadora, pero no tiene por qué serlo. En esta publicación, le mostraremos cómo configurar iThemes Security Pro en el sitio web de su cliente rápidamente.

Cómo configurar iThemes Security Pro en la repetición del seminario web del sitio de sus clientes

Vea una repetición del seminario web que hicimos sobre el mismo tema.

Aquí hay una descripción general rápida de lo que vamos a cubrir.

1. Cómo configurar las notificaciones de iThemes Security Pro
2. Seguridad de WordPress para diferentes tipos de usuarios
3. Uso de grupos de usuarios de iThemes Security Pro
4. Cómo crear un panel de Security Client
5. Cómo automatizar las comprobaciones de vulnerabilidades y la aplicación de parches
6. Escalada temporal de privilegios

1. Cómo configurar las notificaciones de iThemes Security Pro

iThemes Security Pro comparte información crítica sobre el estado de la seguridad de su sitio web. Sin embargo, estos mensajes pueden crear dolores de cabeza innecesarios si sus clientes los entienden mal. Puede hacer su vida mucho más fácil si comparte notificaciones de seguridad con las personas adecuadas.

Cubramos rápidamente los 5 lugares en los que puede que sus clientes puedan encontrar notificaciones de seguridad.

1. Notificaciones del centro de mensajes : todas sus alertas y actualizaciones críticas se pueden encontrar en el Centro de mensajes de seguridad de iThemes ubicado en la barra de administración de WordPress.
2. Notificaciones por correo electrónico : las notificaciones de seguridad como el resumen de seguridad y las notificaciones de bloqueo se pueden enviar a su bandeja de entrada.
3. Alertas de inicio de sesión : cuando Trusted Devices está habilitado, utilizará el menú Alerta de inicio de sesión para confirmar o bloquear un dispositivo.
4. Panel de seguridad : el Centro de mensajes también se puede encontrar en el Panel de seguridad.
5. Registros de seguridad : ahora, esta no es una notificación en el sentido tradicional, pero iThemes Security Pro usa los registros de seguridad para compartir eventos relacionados con la seguridad contigo.

Centro de notificaciones de seguridad de iThemes

El Centro de notificaciones tiene todas las herramientas que necesita para administrar las notificaciones por correo electrónico generadas por iThemes Security Pro.

El módulo del Centro de notificaciones se encuentra en la página principal de la configuración de seguridad. Haga clic en el botón Configurar ajustes para comenzar a personalizar sus notificaciones por correo electrónico.

Las dos primeras cosas que desea configurar en el Centro de notificaciones son la lista De correo electrónico y Destinatarios predeterminados .

El correo electrónico De es la dirección de correo electrónico que utilizará iThemes Security Pro para enviar notificaciones. Los destinatarios predeterminados es la lista de personas que recibirán una notificación por correo electrónico a menos que se especifique lo contrario. Puede ser una buena idea establecer solo a su usuario como el destinatario predeterminado para evitar que sus clientes reciban correos electrónicos no deseados.

También puede personalizar los destinatarios de cada notificación por correo electrónico enviada desde iThemes Security Pro. Digamos que la única notificación por correo electrónico que desea que vea su cliente es el resumen de seguridad. Para hacer esto, desplácese hacia abajo hasta la configuración de correo electrónico del resumen de seguridad, haga clic en el botón Destinatario y seleccione Personalizado .

Marque la casilla junto al nombre de usuario de su cliente para agregarlo a la lista de correo electrónico de Security Digest.

Mientras hablamos del correo electrónico Security Digest, hablemos sobre cómo puede reducir la cantidad de correos electrónicos que recibe de iThemes Security Pro. Durante períodos de ataques intensos, iThemes Security puede generar MUCHOS correos electrónicos. Sin embargo, estos correos electrónicos pueden generar mucho ruido innecesario. Por ejemplo, las notificaciones de bloqueo son solo iThemes Security Pro que se jactan de que está haciendo su trabajo, pero no hay ninguna acción que usted deba tomar. El malo ya está bloqueado, problema resuelto. Dicho esto, si recibir un montón de notificaciones se convierte en la norma, podría convertirse en un escenario de niño que llora lobo. La única vez que reciba una alerta que requiera su acción, puede ignorarla porque recibe continuamente notificaciones no urgentes.

Security Digest reduce la cantidad de correos electrónicos enviados para que pueda recibir un resumen de bloqueos, análisis de detección de cambios de archivos y escaladas de privilegios. Tenga en cuenta que aún deberá deshabilitar las notificaciones individuales para dejar de recibirlas.

Le mostraremos cómo evitar que sus clientes vean otros tipos de notificaciones más adelante en la publicación.

2. Seguridad de WordPress para diferentes tipos de usuarios

Gran parte de la seguridad de WordPress se reduce a la seguridad del usuario. Y no todos los usuarios son iguales, por lo que no deberíamos tener una única estrategia de seguridad para todos los usuarios. Por eso vale la pena hablar de los diferentes tipos de usuarios que puedes tener en un sitio web.

1. Administradores del sitio: los administradores del sitio tienen el poder de realizar muchos cambios en un sitio web de WordPress. Con un gran poder viene una gran responsabilidad. Muchas veces, la seguridad significa sacrificar un poco de conveniencia para obtener una ganancia de seguridad mucho más significativa. Está bien agregar un poco de fricción para estos usuarios porque si sus cuentas alguna vez caen en las manos equivocadas, puedes despedirte de tu sitio.
2. Gerentes de tienda: los gerentes de tienda tienen el mismo poder que un administrador de sitio y requieren el mismo alto nivel de seguridad. Es posible que tenga un cliente que necesite administrar la tienda WooCommerce, pero es posible que no desee que se meta con la configuración de seguridad del sitio. Mostraremos cómo puede lograr esto en la siguiente sección.
3. Colaboradores / Editores : los colaboradores y editores aún merecen su atención porque pueden realizar cambios en su sitio. Sin embargo, es posible que no necesiten un nivel de seguridad tan alto como los administradores de su sitio y los gerentes de tienda.
4. Suscriptores / Clientes : los suscriptores y los clientes son usuarios de bajo nivel que no pueden realizar cambios en un sitio web de WordPress. Si bien es probable que desee brindarles las herramientas para proteger su cuenta, probablemente no desee obligarlos a usarlas.

3. Uso de grupos de usuarios de iThemes Security Pro

El módulo Grupos de usuarios en iThemes Security Pro le permite ver rápidamente qué configuraciones que pueden afectar la experiencia del usuario están habilitadas y realizar modificaciones en ellas desde una sola ubicación.

Para facilitar la administración de la seguridad de los usuarios en su sitio, iThemes Security Pro clasifica a todos sus usuarios en diferentes grupos. De forma predeterminada, sus usuarios se agruparán según sus capacidades de WordPress. La clasificación por capacidades de WordPress permite combinar fácilmente WordPress y roles de usuario personalizados en el mismo grupo. Por ejemplo, si está ejecutando un sitio de WooCommerce, los administradores de su sitio y los gerentes de tienda estarán en el grupo de usuarios administradores, y sus suscriptores y clientes estarán en el grupo de usuarios de suscriptores.

Ahora que hemos hablado sobre los diferentes tipos de usuarios en un sitio web de WordPress, echemos un vistazo al uso de Grupos de usuarios para configurar la seguridad de nuestros usuarios rápidamente. En esta sección, aprenderá cómo configurar la seguridad para los administradores y suscriptores de su sitio.

En la configuración de Grupos de usuarios, seleccione su Grupo de usuarios de administrador para comenzar a editar este grupo. La pestaña Funciones muestra qué configuraciones están habilitadas o deshabilitadas para el grupo, y la pestaña Editar grupo le permite configurar los miembros del grupo.

Como mencionamos anteriormente, vamos a querer un alto nivel de seguridad para nuestro grupo de usuarios administradores .

1. Administrar la seguridad de iThemes : nuestros usuarios administradores necesitarán la capacidad de administrar la configuración de seguridad.
2. Habilitar la creación de paneles : queremos que nuestros usuarios administradores creen un panel de seguridad.
3. Informe de calificaciones : nuestros usuarios administradores deben tener acceso al informe de calificaciones.
4. Forzar dos factores : deberíamos exigir a nuestros usuarios de alto nivel que utilicen la autenticación de dos factores.
5. Desactivar la incorporación de dos factores : queremos que la inscripción en 2fa sea lo más fácil posible.
6. Permitir recordar dispositivo : es posible que deseemos solicitar a nuestros usuarios administradores que ingresen un token de dos factores en cada inicio de sesión para mayor seguridad.
7. Contraseñas de aplicaciones : nuestros usuarios administradores pueden necesitar la opción de configurar contraseñas de aplicaciones.
8. Monitoreo de actividad : queremos un historial de la actividad del sitio de nuestros usuarios administradores.
9. Inicio de sesión sin contraseña : podemos permitir que todos utilicen este método de inicio de sesión seguro y conveniente.
10. Permitir la omisión de dos factores para el inicio de sesión sin contraseña : esta es una preferencia personal. No permitir la omisión de 2fa aumentará la seguridad de sus inicios de sesión de administrador.
11. Dispositivos de confianza : queremos restringir el acceso a nuestro panel de administración a una lista de dispositivos aprobados.
12. Requerir contraseñas seguras: queremos que nuestros usuarios de alto nivel tengan contraseñas seguras.
13. Caducidad de la contraseña : puede configurar que caduquen las contraseñas de administrador.
14. Rechace las contraseñas comprometidas : no permita que su usuario administrador reutilice las contraseñas que se han encontrado en las infracciones de la base de datos.

Como mencionamos anteriormente, no queremos el mismo alto nivel de seguridad para nuestro grupo de usuarios suscriptores .

1. Administrar la seguridad de iThemes : no queremos que nuestros usuarios de bajo nivel tengan acceso a la configuración de seguridad.
2. Habilitar la creación de paneles : no queremos que los usuarios de bajo nivel creen paneles de seguridad.
3. Informe de calificaciones : los usuarios de bajo nivel no deberían ver el informe de calificaciones.
4. Forzar dos factores : no queremos obligar a nuestros clientes o suscriptores a utilizar la autenticación de dos factores.
5. Deshabilitar la incorporación de dos factores : si bien queremos darles a nuestros usuarios de bajo nivel la opción de usar 2fa, es posible que no queramos que vean el flujo de incorporación al iniciar sesión.
6. Permitir recordar dispositivo : es posible que no desee agregar este nivel de complejidad a las cuentas de usuario de bajo nivel.
7. Contraseñas de la aplicación : es posible que no desee agregar este nivel de complejidad a las cuentas de usuario de bajo nivel.
8. Monitoreo de actividad : no queremos monitorear la actividad de nuestros usuarios de bajo nivel.
9. Inicio de sesión sin contraseña : podemos permitir que todos utilicen este método de inicio de sesión seguro y conveniente.
10. Permitir la omisión de dos factores para el inicio de sesión sin contraseña
11. Dispositivos de confianza : es posible que no desee agregar este nivel de complejidad a las cuentas de usuario de bajo nivel.
12. Requerir contraseñas seguras : es posible que no desee agregar este nivel de fricción a las cuentas de usuario de bajo nivel.
13. Caducidad de la contraseña : es posible que no desee agregar este nivel de fricción a las cuentas de usuario de bajo nivel.
14. Rechace las contraseñas comprometidas : probablemente ni siquiera debería permitir que sus usuarios de bajo nivel usen contraseñas comprometidas en su sitio.

Hablamos anteriormente sobre cómo podemos querer que nuestros gerentes de tienda tengan el mismo alto nivel de seguridad que nuestros usuarios administradores, pero restringirles la administración de la configuración de seguridad. Podemos crear un nuevo grupo de usuarios solo para nuestros gerentes de tienda y podemos habilitar las mismas funciones que hicimos para nuestros usuarios administradores, además de la capacidad de administrar la configuración de seguridad, crear paneles de seguridad o ver el informe de calificaciones. Hacer esto también evitará que vean las notificaciones de seguridad que discutimos anteriormente.

4. Cómo crear un panel de Security Client

En cuanto a la seguridad de WordPress, las entradas de registro pueden llevar mucho tiempo e incluso resultar confusas de entender. El panel de seguridad de iThemes da vida a sus registros de seguridad reuniendo listados relacionados y mostrándolos de una manera que sea relevante para usted.

El Panel de seguridad también es una excelente manera de mostrarle a su cliente por qué le están pagando para proteger su sitio. Echemos un vistazo a cómo puede crear un panel para compartir con su cliente.

Una vez que haya habilitado el panel, puede verlo tanto desde el panel de administración como desde la configuración de seguridad en su menú de administración de WordPress.

A continuación, puede crear un nuevo panel utilizando el panel predeterminado de iThemes Security o crear uno desde cero. Ingrese un nombre para su tablero y luego haga clic en el botón Crear tablero.

Después de configurar el panel a su gusto, puede hacer clic en el botón Compartir .

Luego, seleccione el usuario con el que desea compartirlo.

5. Cómo automatizar las comprobaciones de vulnerabilidades y la aplicación de parches

¿Sabía que la razón principal por la que los sitios web son pirateados son vulnerabilidades para las que había un parche disponible pero no se aplicó? No ofrezca a los piratas informáticos una forma fácil de explotar los sitios web de sus clientes. El nuevo iThemes Security Pro Site Scanner escanea automáticamente su sitio web en busca de vulnerabilidades conocidas del núcleo, el complemento y el tema de WordPress. Y si hay un parche disponible. Site Scanner incluso aplicará automáticamente el parche de seguridad para corregir la vulnerabilidad.

Habilite Site Scanner en la página principal de la configuración de seguridad para que su sitio sea escaneado dos veces al día en busca de vulnerabilidades conocidas, malware y el estado de la lista de bloqueo de Google del sitio.

Deberá habilitar la opción Actualización automática si se corrige la vulnerabilidad en la configuración de Administración de versiones para otorgar permiso a iThemes Security Pro para aplicar las correcciones de seguridad automáticamente.

6. Aumento temporal de privilegios

Quizás la función más infrautilizada de todos los iThemes Security Pro, la función Privilege Escalation, le permite escalar los privilegios de un solo usuario temporalmente.

Cada vez que crea un nuevo usuario, especialmente un usuario administrador, está agregando un punto de entrada adicional para que un hacker lo aproveche. Pero hay ocasiones en las que es posible que necesite ayuda externa.

Puede crear un nuevo usuario de soporte y darle el rol de usuario suscriptor. La próxima vez que necesite proporcionar acceso temporal a alguien, navegue a la página de perfil de su usuario de Soporte.

Actualice la dirección de correo electrónico para permitir que la persona solicite una nueva contraseña y luego desplácese hacia abajo hasta que vea la configuración de Escalada temporal de privilegios . Haga clic en la palanca Establecer función temporal y seleccione Administrador . El usuario ahora tendrá acceso de administrador durante las próximas 24 horas. Si no necesitan las 24 horas completas, puede revocar la escalada de privilegios desde la página de perfil de usuario.

Terminando

Configurar la seguridad en el sitio de un cliente no tiene por qué ser abrumador. iThemes Security Pro le proporciona las herramientas que necesita para aplicar la cantidad adecuada de seguridad a las personas adecuadas, restringir el acceso a información confidencial de seguridad solo a las personas que administran la seguridad.

Michael Moore

Cada semana, Michael elabora el Informe de vulnerabilidad de WordPress para ayudar a mantener sus sitios seguros. Como Product Manager en iThemes, nos ayuda a seguir mejorando la línea de productos de iThemes. Es un nerd gigante y le encanta aprender sobre tecnología, tanto antigua como nueva. Puede encontrar a Michael pasando el rato con su esposa e hija, leyendo o escuchando música cuando no está trabajando.