iThemes Security 8.0 trae nuevo diseño y características

Publicado: 2021-07-30

¡Acaba de llegar una nueva versión de iThemes Security! ¡Echemos un vistazo a iThemes Security 8.0, el complemento de seguridad de WordPress más fácil de usar, fácil de configurar y más atractivo para asegurar y proteger su sitio web de WordPress!

Novedades (e impresionantes) de iThemes Security 8.0

    Una nota sobre la actualización a iThemes Security 8.0

    Si actualiza manualmente a iThemes Security 8.0 desde una versión anterior del complemento, es posible que vea un mensaje de error en su panel de administración de WordPress. Simplemente actualice la página para resolver el error. La actualización también puede generar un correo electrónico sobre un problema técnico en su sitio. Simplemente descarte el correo electrónico.

    Durante la actualización de un complemento de WordPress, hay un punto en el que se ejecutan dos versiones del complemento al mismo tiempo. Ambas versiones de un complemento que ejecutan scripts al mismo tiempo pueden provocar un error.

    Debido a las limitaciones del actualizador del núcleo de WordPress, no hay nada que podamos hacer por nuestra parte para evitar que suceda este error. ¡Solo tenga la seguridad de que todo funciona correctamente! El error se resolverá una vez que haya actualizado cualquier página de su sitio.

    Nuevas funciones de seguridad de WordPress en 8.0

    iThemes Security 8.0 agrega varias características nuevas y poderosas para hacer que la seguridad de su sitio sea aún más fácil: un panel de actividad de seguridad en tiempo real, autenticación de dos factores y la capacidad de rechazar contraseñas comprometidas.

    Panel de actividad de seguridad en tiempo real

    Todos los días, hay mucha actividad en su sitio de la que es posible que no esté al tanto. Muchas de estas actividades pueden estar relacionadas con la seguridad de su sitio, por lo que monitorear estos eventos es vital para mantener su sitio seguro.

    El complemento iThemes Security Pro proporciona un panel de seguridad de WordPress en tiempo real que monitorea los eventos relacionados con la seguridad en su sitio las 24 horas del día, los 7 días de la semana. lugar.

    Como uno de los mayores cambios en iThemes Security 8.0, el Panel de seguridad es ahora la vista predeterminada del complemento. En lugar de una aburrida cuadrícula de configuraciones, ahora ve estadísticas en tiempo real relacionadas con la actividad de seguridad que ocurre en su sitio.

    Mirar el registro de seguridad de WordPress puede llevar mucho tiempo e incluso resultar confuso de entender. El nuevo Panel de seguridad de iThemes da vida a sus registros de seguridad reuniendo las entradas relacionadas y mostrándolas de una manera que sea relevante para usted.

    El nuevo Panel de seguridad de iThemes utiliza nuevas Tarjetas de seguridad para organizar toda su actividad de seguridad de una manera más digerible. Las tarjetas de seguridad desglosan la información de los registros para obtener pequeñas pepitas de datos fáciles de consumir.

    Conozca las tarjetas de seguridad de iThemes disponibles en su panel de seguridad

    Nos gusta comparar las tarjetas de seguridad con las tarjetas de béisbol. Las tarjetas de béisbol no te brindan información sobre todos los jugadores de la MLB. Las tarjetas solo se preocupan por el tipo que se muestra en el frente. Del mismo modo, las tarjetas de seguridad no le muestran todas las entradas del registro. En cambio, solo le muestran información relacionada con esa tarjeta específica.

    1. Análisis del sitio

    Consulte el historial de sus análisis de sitios de seguridad de iThemes.

    2. Perfiles de seguridad de usuario solo Pro

    Haga clic en cualquier nombre de usuario para obtener su descripción general de seguridad. Puede enviar recordatorios 2fa desde esta tarjeta, obligar a cualquier usuario a cerrar sesión y obligar a todos a actualizar sus contraseñas.

    3. Perfil de seguridad de usuario Pro únicamente

    Fije el perfil de un solo usuario en su panel de control y vea su función de usuario, la seguridad de la contraseña y la antigüedad, si tienen o no habilitados los dos factores y cuándo estuvieron en el sitio por última vez.

    4. Bloqueos activos

    Muestra todos los bloqueos activos. Si su cliente se bloqueó, puede borrar rápidamente el bloqueo de esta tarjeta.

    5. Bloqueos

    Vea un historial de bloqueos en nuestro sitio.

    6. Resumen de prohibiciones

    Vea un historial de direcciones IP prohibidas por iThemes Security.

    7. Ataques de fuerza bruta

    Muestra un gráfico que muestra la actividad de fuerza bruta.

    8. Copias de seguridad de la base de datos

    Vea un historial de copias de seguridad de 30 días y cree una nueva copia de seguridad de la base de datos.

    9. Actualizar solo Resumen Pro

    Muestra la cantidad de actualizaciones de WordPress, complementos y temas durante un tiempo específico.

    10. Usuarios prohibidos

    Administre la lista de hosts prohibidos de su sitio web.

    11. Solo Trusted Devices Pro

    Muestra un gráfico que muestra los dispositivos aprobados, aprobados automáticamente y bloqueados.

    Autenticación de dos factores

    El Panel de seguridad no es la única característica nueva que viene en iThemes Security 8.0. ¡Ahora iThemes Security ofrece autenticación de dos factores para proteger todos sus inicios de sesión en WordPress!

    La autenticación de dos factores es un proceso de verificación de la identidad de una persona que requiere dos métodos de verificación separados. Google compartió en su blog que el uso de la autenticación de dos factores puede detener el 100% de los ataques de bots automatizados. Realmente me gustan esas probabilidades.

    Para comenzar con la autenticación de dos factores, navegue hasta el menú Funciones de la configuración de seguridad y habilite la autenticación de dos factores . Después de habilitar Two-Factor, haga clic en la rueda dentada de configuración.

    Ahora echemos un vistazo más de cerca a la configuración de dos factores.

    Métodos de autenticación disponibles para los usuarios : la configuración le permite elegir cuál de los tres métodos de autenticación permitirá que las personas utilicen.

    Los tres métodos de autenticación proporcionados por iThemes Security :

    1. Aplicación móvil: el método de aplicación móvil es el método más seguro de autenticación de dos factores proporcionado por iThemes Security. Este método requiere que uses una aplicación móvil gratuita de dos factores como Authy.
    2. Correo electrónico: el método de correo electrónico de dos factores enviará códigos sensibles al tiempo a la dirección de correo electrónico de su usuario.
    3. Códigos de respaldo : un conjunto de códigos de uso único que se pueden usar para iniciar sesión en caso de que se pierda el método principal de dos factores.

    Muy bien, pasemos al resto de la configuración de dos factores.

    • Deshabilitar en el primer inicio de sesión : cuando habilita la función Forzar autenticación de dos factores para grupos de usuarios específicos, se les pedirá que ingresen el token de dos factores enviado a su dirección de correo electrónico la próxima vez que inicien sesión. Habilitar esta configuración simplificará la integración fluir cuando los usuarios inician sesión por primera vez.
    • Texto de bienvenida incorporado : esto le permite personalizar el texto que las personas ven cuando inician el flujo de incorporación de dos factores.

    Rechace las contraseñas comprometidas con la integración de Have I Pwned

    iThemes Security ahora utiliza un servicio de Have I Been Pwned para detectar si han aparecido contraseñas en una violación de datos. Una violación de datos suele ser una lista de nombres de usuario, contraseñas y, a menudo, otros datos personales que se expusieron después de que un sitio se vio comprometido.

    Have I been Pwned realiza un seguimiento de las contraseñas comprometidas en muchas violaciones de datos y las pone a disposición a través de una API. Para verificar si se incluye una contraseña en una violación de datos, enviamos los primeros 5 caracteres de una versión hash (sha1) de la contraseña.

    Nota: iThemes Security nunca envía contraseñas de texto sin formato a Have I Been Pwned. En su lugar, se envían 5 caracteres de la contraseña hash a través de una conexión cifrada a su API. Lea los detalles técnicos aquí.

    Puede encontrar la contraseña comprometida rechazada con el resto de las funciones de requisito de contraseña .

    Para comenzar a proteger a sus usuarios con los requisitos de contraseña , navegue hasta la configuración del grupo de usuarios y marque la casilla Seleccionar varios grupos de usuarios para editar juntos .

    Ahora seleccione los Grupos de usuarios para los que desea aplicar una política de contraseña, marque todas las casillas en la sección Requisitos de contraseña y luego haga clic en el botón Guardar.

    Nueva configuración e incorporación: obtenga su sitio de cero para asegurarlo en minutos

    Muchos propietarios de sitios web no se dan cuenta de la importancia de la seguridad del sitio web hasta después de haber sido pirateados. Si alguna vez ha estado en esta situación, lo último con lo que quiere lidiar es una tarea compleja y que requiere mucho tiempo de averiguar los ajustes de seguridad del sitio web y configurar las herramientas. Solo quieres asegurarte de que nunca más te vuelvan a piratear.

    La nueva experiencia de configuración e incorporación de iThemes Security está diseñada para permitir que cualquiera pueda proteger su sitio web de WordPress en menos de 10 minutos , sin necesidad de un título en ciberseguridad. También hay herramientas de configuración que ahorran tiempo si usa iThemes Security para clientes.

    Saber que ha habilitado todas las configuraciones de seguridad correctas para su sitio web le hará sentir que su sitio nunca ha sido más seguro. Además, una vez que el complemento esté configurado en su sitio, iThemes Security comenzará a trabajar en su nombre, las 24 horas del día, los 7 días de la semana para:

    • Detenga los ataques automatizados
    • Monitorear actividad sospechosa
    • Fortalecer las credenciales de usuario
    • Escanee en busca de complementos y temas vulnerables

    Echemos un vistazo a algunos de los aspectos más destacados de la nueva experiencia de configuración / incorporación de iTheme Security.

    Nuevas plantillas de sitios de seguridad para adaptarse a su tipo de sitio

    iThemes Security ahora le permite seleccionar su tipo de sitio para aplicar la mejor configuración de seguridad.

    ¿Por qué? Un sitio de comercio electrónico requiere un nivel de seguridad diferente al de su blog promedio, por lo que las plantillas de sitio ayudan a iThemes Security a configurar automáticamente la mejor configuración de seguridad para su sitio web.

    Ahora puede elegir entre seis plantillas de sitio diferentes, que incluyen:

    1. Comercio electrónico : sitios web que venden productos o servicios.
    2. Red : sitios web que conectan personas o comunidades
    3. Sin fines de lucro : sitios web que promueven su causa y recolectan donaciones.
    4. Blog : sitios web que comparten sus pensamientos o inician una conversación
    5. Portafolio : sitios web que muestran su oficio
    6. Folleto : sitios web sencillos que promueven su negocio

    Para que la elección de su tipo de sitio sea aún más fácil, iThemes Security verifica si tiene algún complemento LMS, complementos de comercio electrónico, complementos de donación o complementos de red instalados y recomienda el mejor tipo de sitio para usted. Por ejemplo, si tiene un sitio de membresía que utiliza Restrict Content Pro, le recomendamos que utilice la plantilla del sitio de comercio electrónico.

    Grupos de usuarios: niveles de protección para los usuarios ¡ Excelente para los clientes!

    De manera similar al tipo de sitio web que tiene, los diferentes tipos de usuarios requieren diferentes niveles de seguridad. Durante el proceso de configuración de iThemes Security, se le harán una serie de preguntas para identificar los grupos de usuarios clave de su sitio web. Una vez que se identifican los diferentes tipos de usuarios, puede decidir el nivel correcto de protección para cada grupo.

    ¿Cómo son útiles los grupos de usuarios? A continuación, se muestran algunos ejemplos de la utilidad de los grupos de usuarios para proteger su sitio:

    • Para clientes : digamos que está configurando iThemes Security en el sitio web de un cliente. Usted decidirá si deben usar la autenticación de dos factores y si deben tener acceso a la configuración de seguridad de iThemes.
    • Para los clientes : si tiene un sitio web de comercio electrónico, decidirá si desea o no proteger las cuentas de los clientes con una política de contraseña.

    ¿Necesitas cambiar algo? No te preocupes. Si usted es el tipo de persona a la que le gusta volver a verificar su trabajo, tendrá la oportunidad de revisar la configuración habilitada para cada grupo de usuarios antes de que se apliquen. Si usted es del tipo que no duda sobre su trabajo, puede omitir el proceso de revisión.

    Aquí hay un video que profundiza en el nuevo flujo de configuración / incorporación de iThemes Security.

    Configuración rediseñada y reorganizada para simplificar la seguridad del sitio

    La configuración y la incorporación no son las únicas novedades de iThemes Security. Revisamos la configuración de seguridad dentro de iThemes Security y créame. ¡Es mucho más que un trabajo de pintura!

    La actualización más obvia de iThemes Security 8.0 es un aspecto y una sensación totalmente nuevos para la configuración de seguridad. (Creo que es seguro decir que la seguridad de WordPress nunca se vio mejor .) En iThemes Security 8.0, la configuración ahora se rediseña y reorganiza para ayudar a simplificar la seguridad del sitio.

    6 nuevos grupos de configuración de seguridad

    La configuración se ha consolidado y simplificado en 6 grupos de configuración, que incluyen:

    1. Seguridad de inicio de sesión
    2. Bloqueos
    3. Comprobación del sitio
    4. Utilidades
    5. Instrumentos
    6. Avanzado

    Echemos un vistazo a cada grupo de configuración:

    1. Seguridad de inicio de sesión

    El grupo Seguridad de inicio de sesión incluye las funciones de seguridad diseñadas para bloquear su inicio de sesión de WordPress.

    2. Bloqueos

    El grupo de bloqueo incluye las funciones de seguridad diseñadas para identificar y bloquear a los malos.

    3. Comprobación del sitio

    El grupo Site Check incluye las funciones de seguridad diseñadas para detectar vulnerabilidades y cambios maliciosos.

    4. Utilidades

    El grupo Utilidades incluye las diversas utilidades de seguridad disponibles en iThemes Security.

    5. Herramientas

    El grupo de configuraciones Herramientas incluye la mayoría de las comprobaciones y herramientas de seguridad que puede ejecutar.

    6. Avanzado

    El grupo de configuración Avanzado incluye todas las funciones de seguridad que pueden causar conflictos o no se recomienda su uso en todos los sitios.

    ¿Preguntas? Nueva ayuda en el complemento para la configuración

    Si alguna vez te encuentras con algo en iThemes Security que no entiendes del todo, no te preocupes. La ayuda está a solo un clic de distancia. En casi todas las páginas de la configuración de seguridad, encontrará un icono de ayuda.

    Al hacer clic en el ícono de Ayuda , obtendrá información adicional relevante para la página en la que se encuentra.

    Haga clic en el enlace Más en el cuadro de texto del icono de Ayuda para ver una página de ayuda con enlaces a publicaciones de blog, tutoriales y documentación relevante para la página en la que se encuentra.

    La nueva ayuda en el complemento dentro de iThemes Security 8.0 está ahí para asegurarse de que tenga la ayuda adecuada cuando la necesite.

    Nueva búsqueda de configuración potente

    La nueva búsqueda facilita la búsqueda de lo que necesita. No es para presumir, pero puede ser la mejor herramienta de búsqueda en la historia de los complementos de WordPress.

    Bono: la configuración ahora usa React JS

    Mencionamos anteriormente que el rediseño de la configuración fue mucho más que un simple trabajo de pintura. La base de código de iThemes Security se ha actualizado para usar React JS. La actualización a React JS nos permite aprovechar todas las cosas interesantes que se agregan a WordPress. Y eventualmente, conducirá a integraciones más profundas con otros productos de iThemes.

    Accesibilidad mejorada

    Trabajamos duro para mejorar la accesibilidad de iThemes Security en esta versión. Debería poder navegar por la interfaz completa mediante el teclado y los lectores de pantalla deberían anunciar el contenido y los controles de la página de forma adecuada. Se avecinan más mejoras, y si ve algo que podamos hacer mejor, ¡háganoslo saber! Estamos comprometidos a hacer que iThemes Security sea tan accesible como WordPress.

    Suma por resta: configuración eliminada en 8.0

    iThemes Security ha estado asegurando y protegiendo los sitios web de WordPress durante siete años. En ese tiempo, la cantidad de funciones y configuraciones en iThemes Security ha crecido drásticamente.

    Con cuánto ha cambiado todo desde iThemes Security 1.0, pensamos que 8.0 sería una gran oportunidad para reevaluar las características y configuraciones de seguridad existentes en iThemes Security 8.0 para ver si todavía tenían sentido en 2021. Solo queremos incluir características de seguridad que hagan un impacto real en la seguridad de su sitio web. No solo eso, el nivel de funciones de seguridad que ofrecemos debe superar la frustración de usarlo.

    iThemes Security se suma a la experiencia del usuario al restar configuraciones que ya no tienen sentido en el mundo actual. En 8.0, eliminamos configuraciones que eran un enfoque obsoleto para la seguridad del sitio o que causaban más frustración de la que proporcionaban un beneficio de seguridad.

    En resumen, hemos eliminado ciertas configuraciones en iThemes Security 8.0 por estos motivos:

    • La configuración de seguridad en realidad no proporcionó ninguna seguridad significativa . Nuevamente, solo queremos incluir funciones de seguridad que tengan un impacto real en la protección de su sitio web.
    • La configuración de seguridad ya no tiene sentido en el mundo actual : en los últimos siete años, ha habido muchos cambios en WordPress, incluidas las herramientas y estrategias de seguridad utilizadas para identificar y detener los ataques cibernéticos. Algunos enfoques para la seguridad del sitio hace más de 5 años simplemente se han quedado obsoletos.
    • La configuración de seguridad causó más frustración que un beneficio de seguridad . El nivel de una función de seguridad debe superar la frustración de usarla. A medida que ayudamos a los clientes a superar algunos dolores de cabeza con ciertas funciones, hemos aprendido qué funciones son problemáticas y simplemente no vale la pena conservarlas cuando el beneficio de seguridad no supera los problemas que causa una función.

    Aquí está la lista de las configuraciones eliminadas en iThemes Security 8.0, junto con una explicación de por qué se eliminó.

    Detección 404

    La mayoría de las veces, la configuración de detección 404 terminó bloqueando a los visitantes legítimos de su sitio. En sitios con muchos enlaces rotos, incluso podría terminar bloqueando rastreadores como Googlebot, lo cual es un problema para el SEO.

    En lugar de usar la detección 404, recomendamos activar la configuración de Desactivar ejecución de PHP en Ajustes del sistema. Ahora están habilitados de forma predeterminada en iThemes Security 8.0.

    Modo ausente

    Los atacantes no dejan de intentar ingresar a su sitio web en función de la hora del día. La función de modo Ausente a menudo creaba una falsa sensación de seguridad en el sitio web y causaba conflictos con complementos de terceros que necesitan acceder a partes del administrador de WordPress en cualquier momento del día. El modo Ausente representa un enfoque obsoleto de la seguridad, ya que ahora hay disponibles métodos mucho más sólidos para proteger el panel de administración de WordPress.

    En lugar de usar el modo Ausente, recomendamos aplicar contraseñas seguras, habilitar reCAPTCHA para su inicio de sesión de WordPress y habilitar la autenticación de dos factores para que los usuarios puedan proteger sus cuentas.

    Cambiar directorio de contenido

    La configuración Cambiar dirección de contenido cae en la categoría de seguridad por oscuridad, pero fue una forma bastante ineficaz en eso. Cuando se usa en un sitio existente, esta función podría dañar su sitio, razón por la cual decidimos eliminarla.

    Si aún desea utilizar un directorio de contenido diferente, le recomendamos que defina las constantes WP_CONTENT_DIR y WP_CONTENT_URL manualmente cuando cree su sitio web por primera vez.

    Ajustes multisitio

    Este módulo de configuración no proporcionó funciones de seguridad, solo ajustes de la interfaz de usuario que no son particularmente relevantes para mantener su sitio web seguro y protegido.

    Ajustes de WordPress

    Los ajustes de WordPress son configuraciones diseñadas para fortalecer algunos de los puntos débiles potenciales de WordPress, pero estas configuraciones ya no son beneficiosas o no son efectivas para brindar seguridad en 2021.

    • Eliminar el encabezado de Windows Live Writer : esta función no tiene ningún beneficio de seguridad, podría ocultar la URL del directorio wp-includes su instalación de WordPress. Pero esta URL se expone de muchas otras formas. Además, saber que la URL no les da a los atacantes un punto de apoyo significativo.
    • EditURI Header : ocultar la URL de la API XML-RPC en su sitio también es una medida de seguridad ineficaz. En su lugar, recomendamos mantener desactivada la configuración "Permitir múltiples intentos de autenticación por solicitud XML-RPC" en los ajustes de WordPress. Si no utiliza ningún servicio que requiera XML-RPC, puede desactivarlo por completo en WordPress Tweaks.
    • Comentarios de spam : el método utilizado para bloquear el spam ya no es efectivo en 2021. En su lugar, recomendamos habilitar reCAPTCHA para su sección de comentarios.
    • Mensajes de error de inicio de sesión : esta configuración causó una fricción significativa para los usuarios legítimos que intentaban usar su sitio y proporcionó poca protección de seguridad. Descubra por qué WordPress no considera que la divulgación de nombres de usuario sea un problema de seguridad.
    • Mitigar el ataque transversal de archivos adjuntos : esta protección se agregó al núcleo de WordPress.
    • Proteger Against Tabnapping : esta protección se agregó al núcleo de WordPress y ya no se puede explotar en la mayoría de los navegadores.

    Ajustes del sistema

    Esta configuración se ha eliminado de Ajustes del sistema.

    • Cadenas de consulta sospechosas , caracteres que no están en inglés , cadenas de URL largas : estas funciones disuaden poco a un atacante motivado y son la causa más común de conflictos con otros complementos.
    • Métodos de solicitud de filtro : esta ya no es una forma de protección relevante.
    • Eliminar permisos de escritura de archivos : esta función no ofrecía mucha protección, ya que el usuario web del servidor tendría la capacidad de volver a cambiar los permisos. En cambio, a menudo crearía conflictos con otros complementos y servidores web que esperan poder escribir en los archivos wp-config.php o .htaccess .

    Otras configuraciones

    • Se ha eliminado la configuración de Copia de seguridad de la base de datos completa en el módulo Copias de seguridad de la base de datos . El módulo de copias de seguridad de bases de datos es una herramienta sencilla para realizar copias de seguridad de su sitio de WordPress, pero no es una herramienta general de administración de bases de datos. Si tiene varios sitios de WordPress que comparten la misma tabla de base de datos, le recomendamos que configure las copias de seguridad en cada sitio por separado. Esto le proporcionará copias de seguridad más pequeñas y relevantes de las que será más fácil restaurarlas si algo sale mal.
    • El módulo SSL ya no tiene controles detallados para determinar qué partes de su sitio web deben usar SSL, sino que aplica SSL para todo su sitio cuando está habilitado. Todo su sitio debe estar protegido detrás de HTTPS; de lo contrario, dejará secciones de su sitio web inseguras y hará que su SEO se vea afectado.
    • La configuración Fortalecer cuando esté desactualizada se ha eliminado del módulo Administración de versiones . Esta configuración anuló sus opciones en WordPress Tweaks sobre cómo debe protegerse su sitio. También causó confusión con la configuración de Dos factores que requiere que los usuarios usen Dos factores cuando su sitio tiene software desactualizado. En su lugar, recomendamos habilitar "Desactivar el editor de archivos", mantener desactivado "Permitir múltiples intentos de autenticación por solicitud XML-RPC" y Desactivar XML-RPC según corresponda en todo momento.

    ¿Quiere aún más capas de seguridad? ¡Obtén iThemes Security Pro! (Ahora 40% de descuento)

    • Escáner de sitios para vulnerabilidades de plugins y temas
    • Panel de seguridad del sitio web en tiempo real
    • Detección de cambio de archivo
    • Registros de seguridad de WordPress
    • Dispositivos confiables
    • reCAPTCHA
    • Protección de fuerza bruta
    • Enlaces de inicio de sesión mágicos
    • Escalada de privilegios

    Solo durante una semana, ofrecemos un 40% de descuento en todos los planes de iThemes Security Pro con el código de cupón STELLARSALE. La oferta finaliza el 4 de agosto de 2021 a las 11:59 p.m. (CT)

    Obtenga iThemes Security Pro ahora