Características destacadas de iThemes Security Pro: enlaces mágicos e inicio de sesión sin contraseña
Publicado: 2021-06-24En las publicaciones de Feature Spotlight, destacaremos una función en iThemes Security Pro y compartiremos un poco sobre por qué desarrollamos la función, para quién es la función y cómo usarla.
Hoy vamos a cubrir los enlaces mágicos y los inicios de sesión sin contraseña , dos excelentes características del complemento iThemes Security Pro.
Enlaces mágicos
iThemes Security Pro es excelente para bloquear a los malos. Sin embargo, si un chico malo usara el nombre de usuario Bob en un ataque de fuerza bruta, y Bob es un usuario real en el sitio, lamentablemente Bob quedaría bloqueado junto con el atacante.
La próxima vez que Bob intente iniciar sesión, se encontrará con el mensaje de bloqueo de iThemes Security. Si Bob es el administrador del sitio, tendrá que esperar a que expire el bloqueo o deshabilitar manualmente iThemes Security Pro a través de FTP.
Si Bob es su cliente, es probable que sobreestime la seriedad del cierre patronal y se acerque frenéticamente a usted, preguntándose por qué deja que su sitio sea pirateado. Esto requeriría que explique que esto es una prueba de que protege su sitio y luego borra el bloqueo usando Sync Pro o inicia sesión en el sitio y borra el bloqueo del widget de seguridad de iThemes para permitirle iniciar sesión nuevamente.
Aunque se siente muy bien evitar que los malos entren en un sitio, no nos gusta cuando la seguridad afecta la experiencia de los usuarios reales. Por lo tanto, queríamos crear una forma de permitir que Bob inicie sesión incluso cuando su nombre de usuario se haya utilizado en un ataque de fuerza bruta. Nunca queremos que un administrador del sitio tenga que dedicar su valioso tiempo a eliminar los bloqueos.
¿Qué son los enlaces mágicos?
Los enlaces mágicos le permiten iniciar sesión en su sitio de WordPress mientras su nombre de usuario está bloqueado por la función iThemes Security Local Brute Force Protection.
Cuando su nombre de usuario está bloqueado, puede solicitar un correo electrónico con un enlace de inicio de sesión único. El uso del enlace enviado por correo electrónico evitará el bloqueo del nombre de usuario, mientras que los atacantes de fuerza bruta aún están bloqueados.
Cómo usar enlaces mágicos en iThemes Security Pro
Para comenzar con Magic Links, navegue hasta el menú Funciones de la configuración de seguridad y habilite Magic Links .
Si encuentra un bloqueo después de habilitar Magic Links, se le presentará la opción de enviar un Magic Link a su dirección de correo electrónico.
Simplemente haga clic en el enlace "Enviar enlace de inicio de sesión autorizado" para recibir su correo electrónico de Magic Links.
Una vez que reciba el correo electrónico, use el enlace, ingrese sus credenciales y estará de regreso en su sitio.
Inicios de sesión sin contraseña
Por definición, cada medida de seguridad está diseñada para disminuir la conveniencia de lo que esté recibiendo la seguridad adicional. Para mayor seguridad, la puerta de entrada de mi casa tiene un candado. La cerradura requiere el paso adicional de usar una llave para desbloquear la puerta antes de que se abra. Probablemente sea una buena idea agregar el paso adicional para ingresar a mi casa, aunque sería más fácil sin una cerradura.
Lo mismo ocurre con sus cuentas en línea. El uso de una contraseña única y segura y la autenticación de dos factores lo protegerá del 100% de los ataques de fuerza bruta. Desafortunadamente, todavía hay muchas personas que reutilizan su misma contraseña débil y no usan ninguna forma de dos factores.
Aquellos de nosotros en la comunidad de seguridad a menudo tenemos dificultades para entender por qué fue tan difícil convencer a las personas de que sacrificaran un poco de conveniencia para obtener una gran cantidad de seguridad. Ni siquiera pensamos en tener una cerradura única para cada puerta física que ingresamos; tengo una llave para mi automóvil, el automóvil de mi esposa, la casa, la oficina y el buzón, entonces, ¿por qué usar una contraseña única en nuestra puerta virtual parece tan ¿inconveniente?
¿Por qué desarrollamos inicios de sesión sin contraseña para WordPress?
En la comunidad de la seguridad hemos empezado a darnos cuenta de que siempre hemos hecho que la seguridad sea más confusa de lo necesario. Una vez que tenga una llave para una puerta física, habrá terminado. Sin embargo, con la seguridad de las contraseñas, hemos creado un montón de reglas que pueden resultar abrumadoras. Para empeorar las cosas, no parece que podamos ponernos de acuerdo sobre cuáles deberían ser las reglas para crear una contraseña segura.
Ya sea que en la comunidad de seguridad queramos admitirlo o no, el uso de un administrador de contraseñas y la autenticación de dos factores puede ser una molestia y llevar mucho tiempo, especialmente a medida que pasamos más y más vidas en línea.
Así que queríamos crear una forma para que las personas obtuvieran toda la seguridad que proporciona una contraseña única y segura sin sacrificar la usabilidad.
¿Qué son los inicios de sesión sin contraseña?
El inicio de sesión sin contraseña es una nueva forma de verificar la identidad de un usuario sin necesidad de una contraseña para iniciar sesión. Tomamos la idea de los enlaces mágicos y la convertimos en un nuevo método de inicio de sesión que le permite exigir a los usuarios que usen contraseñas seguras y autenticación de dos factores sin tener que ingresar una contraseña o un código de autenticación adicional.
Cómo utilizar inicios de sesión sin contraseña
Para comenzar a utilizar los inicios de sesión sin contraseña, navegue hasta el menú de funciones de la configuración de seguridad y habilite el inicio de sesión sin contraseña .
Después de habilitar el inicio de sesión sin contraseña, haga clic en la rueda dentada para administrar la configuración.
Haga clic en los enlaces de Grupos de usuarios para seleccionar qué usuarios pueden usar el método de inicio de sesión y omitir los dos factores al usar el método.
Ahora que ha habilitado los inicios de sesión sin contraseña, puede aplicar contraseñas seguras y requisitos de dos factores sin afectar negativamente la experiencia de los usuarios en su sitio.
Cómo funciona el método de inicio de sesión sin contraseña
Al iniciar sesión, se le pedirá que elija un método de inicio de sesión. Haga clic en el botón Enviar correo electrónico a Magic Link para enviar el correo electrónico que contiene el enlace de inicio de sesión sin contraseña.
Ahora verá un mensaje confirmando que se ha enviado el correo electrónico.
En la bandeja de entrada de su correo electrónico, abra el correo electrónico Magic Link y el botón Iniciar sesión ahora .
Y eso es todo, sin ingresar una contraseña o un token de dos factores. Esto significa que una vez que habilita el inicio de sesión sin contraseña, no tiene que conocer su contraseña complicada o copiar y pegar un código adicional para iniciar sesión. Sin embargo, los tipos malos que intentan utilizar la fuerza bruta en su sitio tendrán una tasa de éxito del 0%.
Terminando
Como puede ver, tanto los enlaces mágicos como los inicios de sesión sin contraseña en iThemes Security Pro pueden agregar una fuerte capa de seguridad a su sitio sin ningún inconveniente adicional.
No se pierda la próxima edición de las funciones destacadas de iThemes Security Pro. Estamos centrando la atención en Trusted Devices, una gran herramienta para proteger a su administrador de WordPress y evitar el secuestro de sesiones.
Cada semana, Michael elabora el Informe de vulnerabilidad de WordPress para ayudar a mantener sus sitios seguros. Como Product Manager en iThemes, nos ayuda a seguir mejorando la línea de productos de iThemes. Es un nerd gigante y le encanta aprender sobre tecnología, tanto antigua como nueva. Puede encontrar a Michael pasando el rato con su esposa e hija, leyendo o escuchando música cuando no está trabajando.
