Las 10 mejores cosas que hacer después de instalar iThemes Security Pro

Publicado: 2020-09-17

iThemes Security Pro está repleto de más de 50 métodos de seguridad para asegurar y proteger su sitio web de WordPress. ¡Son un montón de opciones!

Si no sabe por dónde empezar después de instalar iThemes Security Pro, no se preocupe, lo tenemos cubierto. En esta publicación, cubriremos las 10 principales cosas que debe hacer después de instalar iThemes Security Pro.

Tabla de contenido

    1. Ejecute la verificación de seguridad

    Hay varias razones que tendrá que ejecutar el Pro Seguridad iThemes Control de seguridad. El control de seguridad habilita todas las configuraciones de iThemes Security Pro que funcionan bien en todos los entornos, incluidos aquellos con recursos limitados.

    Hablemos de las configuraciones que están habilitadas por el Control de seguridad.

    • Protección local de fuerza bruta: la función de protección local de fuerza bruta realiza un seguimiento de los intentos de inicio de sesión no válidos realizados por IP y nombres de usuario. Una vez que un atacante haya realizado demasiados intentos de inicio de sesión no válidos consecutivos, se bloqueará.
    • Usuarios prohibidos: la función Usuarios prohibidos realiza un seguimiento de los bloqueos de IP. Una vez que una IP se ha convertido en un infractor reincidente, iThemes Security Pro agregará la IP a la lista de Hosts prohibidos y evitará que la IP pueda ver su sitio web, y mucho menos intentar iniciar sesión.
    • Copias de seguridad de la base de datos: la función Copias de seguridad de la base de datos crea copias de seguridad de la base de datos de su sitio.
    • Enlaces mágicos: la función Enlaces mágicos le permite solicitar un correo electrónico con un enlace de inicio de sesión único cuando su nombre de usuario está bloqueado. El uso del enlace enviado por correo electrónico le permitirá evitar el bloqueo, mientras que los atacantes de fuerza bruta permanecieron bloqueados.
    • Inicio de sesión sin contraseña: la función de inicio de sesión sin contraseña es una nueva forma de verificar la identidad de un usuario sin necesidad de una contraseña para iniciar sesión.
    • Escaneo del sitio: el escaneo del sitio verifica su sitio en busca de vulnerabilidades conocidas y aplica automáticamente un parche si hay alguno disponible.
    • Autenticación de dos factores: la autenticación de dos factores es un proceso de verificación de la identidad de una persona que requiere dos métodos de verificación separados.
    • Registro de usuarios: la función de registro de usuarios hace exactamente lo que usted piensa; registra las acciones del usuario, como iniciar sesión y guardar contenido.
    • Ajustes de WordPress : no todas las opciones de Ajustes de WordPress están habilitadas por el Control de seguridad. Los métodos de seguridad esenciales como deshabilitar el editor de archivos , bloquear múltiples intentos de autenticación por solicitud XML-RPC , restringir el acceso a la API REST y mitigar el ataque transversal de archivos adjuntos están habilitados.

    La ejecución de la verificación de seguridad también ayudará a prevenir cualquier bloqueo involuntario del servidor al identificar el servidor de su sitio web y las direcciones IP de bucle de retorno. El control de seguridad también verificará las direcciones IP remotas que llegan a su sitio web para protegerlo contra la falsificación de IP.

    Además, la Comprobación de seguridad ... comprueba si su servidor tiene un certificado SSL habilitado y si sus solicitudes de página HTTP se están redirigiendo a HTTP. Una página que se carga mediante HTTP protege a sus visitantes con cifrado SSL. Fuerza la redirección HTTPS desde el menú Comprobación de seguridad.

    Finalmente, Security Check le pedirá que active su licencia de Network Brute Force Protection. Brute Force Network ayuda a los usuarios de iThemes Security a protegerse entre sí. Las IP que se bloquean por atacar su sitio web, junto con la IP bloqueada de otros sitios web protegidos por iThemes Security, se informarán a Brute Force Network. Una vez que una IP está en la red de fuerza bruta, se bloqueará en todos los sitios de la red.

    2. Habilite el parche automático de vulnerabilidades

    La verificación de seguridad habilita el escaneo del sitio, que verificará automáticamente su sitio web en busca de vulnerabilidades conocidas de WordPress, complementos y temas. Esto es genial, pero iThemes Security Pro puede ir un paso más allá. Si se encuentra una vulnerabilidad en su sitio web, iThemes Security Pro puede aplicar automáticamente un parche si hay uno disponible.

    Todo lo que necesita hacer es habilitar la opción Actualización automática si corrige la vulnerabilidad en la configuración de Administración de versiones .

    3. Bloquea los robots defectuosos con Google reCAPTCHA v3

    La función Google reCAPTCHA en iThemes Security Pro protege su sitio de los robots maliciosos. Estos bots intentan ingresar a su sitio web utilizando contraseñas comprometidas, publicando spam o incluso raspando su contenido. reCAPTCHA utiliza técnicas avanzadas de análisis de riesgos para diferenciar a los humanos de los robots.

    Lo bueno de la versión 3 de reCAPTCHA es que te ayuda a detectar tráfico de bots abusivo en tu sitio web sin la interacción del usuario. En lugar de mostrar un desafío CAPTCHA, reCAPTCHA v3 monitorea las diferentes solicitudes realizadas en su sitio y devuelve una puntuación para cada solicitud. El puntaje varía de 0.01 a 1. Cuanto mayor sea el puntaje devuelto por reCAPTCHA, más seguro es que un humano hizo la solicitud. Cuanto más baja sea esta puntuación devuelta por reCAPTCHA, más confianza habrá de que un bot haya realizado la solicitud.

    iThemes Security Pro le permite establecer un umbral de bloqueo utilizando la puntuación reCAPTCHA. Google recomienda usar 0.5 como predeterminado. Tenga en cuenta que podría bloquear inadvertidamente a usuarios legítimos si establece el umbral demasiado alto.

    Puede habilitar reCAPTCHA en su registro de usuario de WordPress, restablecer contraseña, inicio de sesión y comentarios. iThemes Security Pro le permite ejecutar la secuencia de comandos reCAPTCHA de Google en todas las páginas para aumentar la precisión de su puntaje bot frente a humano.

    4. Proteja su cuenta de usuario con una aplicación 2FA

    iThemes Security Pro le ofrece tres métodos diferentes de autenticación de dos factores para proteger a los usuarios de WordPress.

    1. Aplicación móvil : este método requiere que utilice una aplicación móvil gratuita de dos factores como Authy.
    2. Correo electrónico: el método de correo electrónico de dos factores enviará códigos sensibles al tiempo a la dirección de correo electrónico de su usuario.
    3. Códigos de respaldo : un conjunto de códigos de uso único que se pueden usar para iniciar sesión en caso de que se pierda el método principal de dos factores.

    El método de la aplicación móvil es el más seguro, así que echemos un vistazo a cómo puede agregar este nivel de seguridad a su usuario.

    Lo primero que debe hacer es descargar una aplicación 2fa como Authy y luego navegar a su página de perfil de usuario de WordPress. Una vez que esté en su perfil de WordPress, desplácese hacia abajo hasta que vea el encabezado Opciones de autenticación de dos factores . Asegúrese de marcar las casillas para habilitar el método de aplicación móvil y convertirlo en su forma principal de 2fa. Ahora haga clic en el botón Ver código QR y clave secreta .

    Desde su teléfono, escanee el código QR para continuar vinculando el secreto a su aplicación móvil.

    Ahora ingrese el código de 6 dígitos de su teléfono en su navegador web y haga clic en Verificar para finalizar la configuración.

    Nota: asegúrese de hacer clic en el botón Actualizar perfil antes de salir de su página de perfil.

    5. Cree un panel de seguridad

    El panel de seguridad de iThemes es un panel dinámico con todas las estadísticas de actividad de seguridad de su sitio web en un solo lugar. El Panel de seguridad da vida a sus registros de seguridad reuniendo las entradas relacionadas y mostrándolas de una manera que sea relevante para usted.

    El panel ordena la actividad de seguridad de su sitio web en Tarjetas de seguridad . Piense en ellos como tarjetas de béisbol. Las tarjetas de béisbol no te brindan información sobre todos los jugadores de la MLB. Las tarjetas solo se preocupan por el tipo que se muestra en el frente. Del mismo modo, las tarjetas de seguridad no le muestran todas las entradas del registro. En cambio, solo le ofrecen información relacionada con esa tarjeta específica.

    Las 11 tarjetas de seguridad

    1. Análisis del sitio

    Consulta el historial de tus análisis de sitios de iThemes Security Pro.

    2. Perfiles de seguridad de usuario

    Vea una lista de todos los usuarios administradores del sitio. Haga clic en cualquier nombre de usuario para obtener su descripción general de seguridad.

    3. Perfil de seguridad del usuario

    Fije el perfil de un solo usuario en su panel de control y vea su función de usuario, la seguridad de la contraseña y la antigüedad, si tienen o no habilitados los dos factores y cuándo estuvieron en el sitio por última vez.

    4. Bloqueos activos

    Muestra todos los bloqueos activos. Si su cliente se bloqueó, puede borrar rápidamente el bloqueo de esta tarjeta.

    5. Bloqueo

    Vea un historial de bloqueos en nuestro sitio.

    6. Resumen de prohibiciones

    Vea un historial si las direcciones IP están prohibidas por iThemes Security.

    7. Ataques de fuerza bruta

    Muestra un gráfico que muestra la actividad de fuerza bruta.

    8. Dispositivos de confianza

    Muestra un gráfico que muestra los dispositivos aprobados, aprobados automáticamente y bloqueados.

    9. 404

    Vea una descripción general de los 404 durante los últimos 30 días.

    10. Copias de seguridad de la base de datos

    Vea un historial de copias de seguridad de 30 días y cree una nueva copia de seguridad de la base de datos.

    11. Resumen de actualización

    Muestra la cantidad de actualizaciones de WordPress, complementos y temas durante un tiempo específico.

    12. Usuarios prohibidos

    Administre la lista de hosts prohibidos de su sitio web.

    Cómo crear un panel de seguridad en iThemes Security Pro

    Para comenzar a usar el Panel de seguridad, asegúrese de que esté habilitado en la página principal de la configuración de seguridad.

    Una vez habilitado, puede crear su primer panel de seguridad desde el menú Panel de administración y la configuración de seguridad en su menú de administración de WordPress .

    A continuación, puede crear un nuevo panel utilizando el panel predeterminado de iThemes Security o crear uno desde cero. Ingrese un nombre para su tablero y luego haga clic en el botón Crear tablero.

    Crear página de panel

    El objetivo del Panel de seguridad es brindarle la información que desea de una manera que tenga sentido para usted. Puede comenzar con un lienzo en blanco y agregar solo las tarjetas que sean importantes para usted.

    El panel de control de seguridad dinámico es completamente personalizable. Usted elige las tarjetas que desea ver, el orden en que aparecen en su pantalla y qué tan grande o pequeña desea que sea cada tarjeta. Este es su tablero creado por usted para usted.

    6. Mejore su juego de contraseñas con requisitos de contraseña

    Las contraseñas son su primera línea de defensa contra los ataques a su inicio de sesión de WordPress. La función de requisito de contraseña en iThemes Security Pro no es solo su política de contraseñas, sino que también es su herramienta de aplicación.

    Puede obligar a los miembros de un grupo de usuarios a usar una contraseña segura , elegir una hora de caducidad de la contraseña , rechazar las contraseñas comprometidas y forzar un cambio de contraseñas en todo el sitio para que todos cumplan con su nueva política de contraseñas seguras.

    • Forzar contraseñas seguras: obliga a un conjunto de usuarios a utilizar una contraseña segura.
    • Caducidad de la contraseña : establezca el número máximo de días que se puede utilizar una contraseña antes de que caduque.
    • Rechazar contraseñas comprometidas : obligue a los usuarios a utilizar contraseñas que no hayan aparecido en ninguna infracción de contraseña rastreada por Have I Been Pwned.
    • Forzar cambio de contraseña : obliga a todos los usuarios a cambiar su contraseña en su próximo inicio de sesión.

    7. Ajuste sus correos electrónicos de notificación de seguridad

    El Centro de notificaciones tiene todas las herramientas que necesita para administrar las notificaciones por correo electrónico generadas por iThemes Security Pro.

    El módulo del Centro de notificaciones se encuentra en la página principal de la configuración de seguridad. Haga clic en el botón Configurar ajustes para comenzar a personalizar sus notificaciones por correo electrónico.

    Las dos primeras cosas que desea configurar en el Centro de notificaciones son la lista De correo electrónico y Destinatarios predeterminados .

    El correo electrónico De es la dirección de correo electrónico que utilizará iThemes Security Pro para enviar notificaciones. Los destinatarios predeterminados es la lista de personas que recibirán una notificación por correo electrónico a menos que se especifique lo contrario.

    También puede personalizar los destinatarios de cada notificación por correo electrónico enviada desde iThemes Security Pro. Digamos que la única notificación por correo electrónico que desea que vea un cliente es el resumen de seguridad. Para hacer esto, desplácese hacia abajo hasta la configuración de correo electrónico del resumen de seguridad, haga clic en el botón Destinatario y seleccione Personalizado .

    Marque la casilla junto al nombre de usuario de su cliente para agregarlo a la lista de correo electrónico de Security Digest.

    El Asunto y el Mensaje se pueden personalizar para la mayoría de los correos electrónicos en el Centro de notificaciones. Puede aprovechar las diferentes etiquetas de correo electrónico para personalizar los correos electrónicos. Por ejemplo, puede utilizar la etiqueta de username para incluir el nombre de usuario de los destinatarios en el correo electrónico.

    8. Proteja su tablero de WP con dispositivos confiables

    La función de dispositivos de confianza de iThemes Security Pro limita el acceso al panel de WordPress a una lista de dispositivos aprobados.

    Una vez que le informe a iThemes Security Pro qué dispositivos son suyos, Trusted Devices puede proteger su sitio de 2 formas diferentes:

    1. Restringir las capacidades de los dispositivos no reconocidos : cuando alguien inicia sesión con un dispositivo no reconocido, puede restringir sus capacidades de nivel de administrador y evitar que editen sus datos de inicio de sesión. iThemes Security Pro enviará un correo electrónico a la dirección establecida en su perfil de usuario de WordPress.

    El correo electrónico de inicio de sesión no reconocido tendrá la opción de confirmar o bloquear el dispositivo. Si se hace clic en el botón Confirmar dispositivo , se restaurarán las capacidades de administración del usuario. Si se hace clic en el botón This Was Not Me , iThemes Security Pro cerrará la sesión del usuario ilegítimo y el dispositivo de la lista de dispositivos denegados en el perfil de WordPress.

    2. Protección contra el secuestro de sesiones: el secuestro de sesiones es un ataque en el que un atacante se hace cargo de la sesión de un usuario. Por ejemplo, WordPress genera una cookie de sesión cada vez que inicia sesión en su sitio web. Y digamos que tiene una extensión de navegador con una vulnerabilidad que permite a los piratas informáticos secuestrar las cookies de su navegador. Después de secuestrar su sesión, el pirata informático podrá comenzar a realizar cambios maliciosos en su sitio web.

    Si el dispositivo de un usuario cambia durante una sesión, iThemes Security cerrará automáticamente la sesión del usuario para evitar cualquier actividad no autorizada en la cuenta del usuario, como cambiar la dirección de correo electrónico del usuario o cargar complementos maliciosos.

    9. Utilice grupos de usuarios para administrar la seguridad de los usuarios

    El módulo Grupos de usuarios en iThemes Security Pro le permite ver rápidamente qué configuraciones que afectan la experiencia del usuario están habilitadas y realizar modificaciones en ellas desde una sola ubicación.

    Para facilitar la administración de la seguridad de los usuarios en su sitio, iThemes Security Pro clasifica a todos sus usuarios en diferentes grupos. De forma predeterminada, sus usuarios se agruparán según sus capacidades de WordPress. La clasificación por capacidades de WordPress permite combinar fácilmente WordPress y roles de usuario personalizados en el mismo grupo. Por ejemplo, si está ejecutando un sitio de WooCommerce, los administradores de su sitio y los gerentes de tienda estarán en el grupo de usuarios administradores, y sus suscriptores y clientes estarán en el grupo de usuarios de suscriptores.

    En la configuración de Grupos de usuarios, verá todos sus grupos de usuarios y todas las configuraciones de seguridad que están habilitadas para cada grupo, y rápidamente alternará la configuración entre encendido y apagado. User Group le da la confianza de que está aplicando el nivel adecuado de seguridad a los usuarios adecuados.

    10. Cree un usuario de soporte universal

    La característica menos utilizada en iThemes Security Pro es Privilege Escalation . La función le permite escalar temporalmente los privilegios de un usuario.

    Cada vez que crea un nuevo usuario, especialmente un usuario administrador, está agregando otro punto de entrada que un pirata informático podría explotar. Sin embargo, hay ocasiones en las que es posible que necesite ayuda externa para su sitio web, como cuando busca ayuda.

    Puede crear un nuevo usuario y nombrarlo Soporte y darle el rol de usuario Suscriptor. La próxima vez que necesite proporcionar acceso temporal a su sitio web, navegue hasta la página de perfil de usuario de Support.

    Actualice la dirección de correo electrónico para permitir que la persona de soporte externa solicite una nueva contraseña. Luego, desplácese hacia abajo hasta que vea la configuración de Escalada temporal de privilegios . Haga clic en la palanca Establecer función temporal y seleccione Administrador . El usuario ahora tendrá acceso de administrador durante las próximas 24 horas.

    Si no necesitan las 24 horas completas, puede revocar la escalada de privilegios desde la página de perfil de usuario.

    Terminando

    iThemes Security Pro tiene un montón de herramientas diferentes que puede utilizar para asegurar y proteger su sitio web. Aquí hay una lista de verificación para ayudarlo a comenzar a proteger su sitio web de WordPress después de instalar iThemes Security Pro.

    • 1. Ejecute la verificación de seguridad
    • 2. Habilite el parche automático de vulnerabilidades
    • 3. Bloquea los robots defectuosos con Google reCAPTCHA v3
    • 4. Bloquee su usuario de WP con una aplicación 2FA
    • 5. Cree un panel de seguridad
    • 6. Mejora tu juego de contraseñas
    • 7. Ajuste sus correos electrónicos de seguridad
    • 8. Proteja su tablero de WP con dispositivos confiables
    • 9. Familiarícese con los grupos de usuarios
    • 10. Cree un usuario de soporte universal