5 trucs et astuces avancés pour iThemes Security Pro

Publié: 2020-09-02

Le plugin iThemes Security Pro propose plus de 50 façons différentes de sécuriser et de protéger votre site Web WordPress. Vous pouvez activer la plupart des méthodes de sécurité dans iThemes Security Pro d'un simple clic. Cependant, si vous pouvez prendre quelques minutes pour vous plonger dans les paramètres, vous pouvez ajouter plusieurs couches de protection à votre site Web WordPress.

Dans cet article, nous allons vous donner 5 trucs et astuces avancés pour iThemes Security Pro pour faire passer la sécurité de votre site Web au niveau supérieur.

Astuce n°1 – Protégez votre tableau de bord WP avec des appareils de confiance

La fonctionnalité Appareils de confiance iThemes Security Pro limite l'accès au tableau de bord WordPress à une liste d'appareils approuvés.

Une fois que vous avez indiqué à iThemes Security Pro quels appareils sont les vôtres, Trusted Devices peut protéger votre site de 2 manières différentes :

1. Restreindre les capacités des appareils non reconnus – Lorsqu'une personne se connecte à l'aide d'un appareil non reconnu, vous pouvez restreindre ses capacités de niveau administrateur et l'empêcher de modifier ses informations de connexion. iThemes Security Pro enverra alors un e-mail à l'adresse définie dans son profil d'utilisateur WordPress.

L'e-mail de connexion non reconnu aura la possibilité de confirmer ou de bloquer l'appareil. Si le bouton Confirmer l'appareil est cliqué, l'utilisateur verra ses capacités d'administration restaurées. Si vous cliquez sur le bouton Ce n'était pas moi , iThemes Security Pro déconnectera l'utilisateur illégitime et l'appareil la liste des appareils refusés dans le profil WordPress.

2. Protection contre le piratage de session - Le piratage de session est une attaque dans laquelle une session utilisateur est prise en charge par un attaquant. Par exemple, WordPress génère un cookie de session chaque fois que vous vous connectez à votre site Web. Et disons que vous avez une extension de navigateur avec une vulnérabilité qui permet aux pirates de détourner le cookie de votre navigateur. Après avoir détourné votre session, le pirate pourra commencer à apporter des modifications malveillantes à votre site Web.

Si l'appareil d'un utilisateur change au cours d'une session, iThemes Security déconnectera automatiquement l'utilisateur pour empêcher toute activité non autorisée sur le compte de l'utilisateur, telle que la modification de l'adresse e-mail de l'utilisateur ou le téléchargement de plug-ins malveillants.

Remarque : lisez l'article sur la fonctionnalité Appareils de confiance pour en savoir plus sur la sécurisation et la protection de votre tableau de bord WordPress.

Astuce #2 – Utilisez Google reCAPTCHA v3 pour bloquer les mauvais robots

La fonctionnalité Google reCAPTCHA dans iThemes Security Pro protège votre site contre les robots malveillants. Ces robots tentent de s'introduire dans votre site Web en utilisant des mots de passe compromis, en publiant du spam ou même en grattant votre contenu. reCAPTCHA utilise des techniques avancées d'analyse des risques pour distinguer les humains des robots.

Ce qui est génial avec la version 3 de reCAPTCHA, c'est qu'elle vous aide à détecter le trafic abusif des robots sur votre site Web sans aucune interaction avec l'utilisateur. Au lieu d'afficher un défi CAPTCHA, reCAPTCHA v3 surveille les différentes requêtes effectuées et renvoie un score. Le score varie de 0,01 à 1. Plus le score renvoyé par reCAPTCHA est élevé, plus il est sûr qu'un humain a fait la demande. Plus ce score renvoyé par reCAPTCHA est faible, plus il est certain qu'un bot a fait la demande.

iThemes Security Pro vous permet de définir un seuil de blocage à l'aide du score reCAPTCHA. Google recommande d'utiliser 0.5 par défaut. Gardez à l'esprit que vous pourriez verrouiller par inadvertance des utilisateurs légitimes si vous définissez un seuil trop élevé.

Disons que vous définissez le seuil de blocage sur 1, ce qui signifie que vous souhaitez que Google bloque tout ce dont ils ne sont pas sûrs à 100% qu'il est humain. Maintenant, l'un de vos clients envoie une demande de connexion à votre site Web. Et, ce client utilise un gestionnaire de mots de passe pour remplir automatiquement ses mots de passe et reCAPTCHA attribue à sa demande de connexion un score de 0,7.

Ainsi, même si votre client n'a pas utilisé son clavier pour saisir ses informations d'identification, Google est à peu près sûr que votre client est humain. Mais, votre client sera toujours bloqué parce que vous avez défini un seuil de 1.

Vous pouvez activer reCAPTCHA sur votre inscription d'utilisateur WordPress, réinitialiser le mot de passe, la connexion et les commentaires. iThemes Security Pro vous permet d'exécuter le script Google reCAPTCHA sur toutes les pages pour augmenter la précision de son score bot vs. humain.

Google reCAPTCHA version 3 est incroyable ! Il vous aide, ainsi que les visiteurs de votre site, à vous protéger des mauvais robots sans aucune interaction avec l'utilisateur.

Astuce n°3 – Utilisez l'escalade de privilèges pour créer un utilisateur de support universel

La fonctionnalité la plus sous-utilisée d'iThemes Security Pro est l'escalade de privilèges. La fonctionnalité vous permet d'augmenter temporairement les privilèges d'un utilisateur.

Chaque fois que vous créez un nouvel utilisateur, en particulier un utilisateur administrateur, vous ajoutez un autre point d'entrée qu'un pirate pourrait exploiter. Cependant, il peut arriver que vous ayez besoin d'une aide extérieure pour votre site Web, par exemple lorsque vous recherchez de l'aide.

Vous pouvez créer un nouvel utilisateur, le nommer Support et lui attribuer le rôle d'utilisateur Abonné. La prochaine fois que vous devrez fournir un accès temporaire à votre site Web, accédez à la page de profil de votre utilisateur d'assistance.

Mettez à jour l'adresse e-mail pour permettre à la personne d'assistance externe de demander un nouveau mot de passe. Faites ensuite défiler vers le bas jusqu'à ce que vous voyiez les paramètres d' escalade temporaire des privilèges . Cliquez sur le bouton bascule Définir un rôle temporaire et sélectionnez Admin . L'utilisateur aura désormais un accès administrateur pour les prochaines 24 heures.

S'ils n'ont pas besoin des 24 heures complètes, vous pouvez révoquer l'augmentation des privilèges à partir de la page de profil utilisateur.

Astuce n°4 – Facilitez la sécurité de vos utilisateurs

Par définition, chaque mesure de sécurité est conçue pour réduire la commodité de tout ce qui reçoit la sécurité supplémentaire. Je souhaite donc partager trois fonctionnalités d'iThemes Security Pro qui peuvent faciliter la sécurité de tout le monde sur votre site Web.

1. Intégration à deux facteurs

L'authentification à deux facteurs est un processus de vérification de l'identité d'une personne en exigeant deux méthodes de vérification distinctes. Google a partagé sur son blog que l'utilisation de l'authentification à deux facteurs peut arrêter 100% des attaques de bots automatisées.

L'intégration à deux facteurs est un moyen convivial pour les utilisateurs de configurer deux facteurs sur leurs comptes. Chaque utilisateur pour lequel l'authentification à deux facteurs est activée sera guidé à travers le flux d'intégration la prochaine fois qu'il se connectera.

Après avoir entré vos informations d'identification, le texte de bienvenue d'intégration vous sera présenté. Gardez à l'esprit que vous pouvez personnaliser cela dans vos paramètres à deux facteurs.

Tout au long du flux, vous aurez la possibilité d'activer et de configurer les méthodes à deux facteurs que vous souhaitez utiliser.

À la fin du flux, vous et les comptes de vos utilisateurs bénéficierez d'une solide couche de sécurité fournie par l'authentification à deux facteurs.

Remarque : lisez l'article sur la fonctionnalité Appareils de confiance pour en savoir plus sur la sécurisation et la protection de votre tableau de bord WordPress.

2. Liens magiques

Un bot peut échapper à la page de votre auteur pour collecter des noms d'utilisateur à utiliser dans une attaque par force brute sur votre site Web. Ça craint d'être bloqué parce qu'un bot essaie de se frayer un chemin dans votre site Web en utilisant votre nom d'utilisateur.

Lorsque votre nom d'utilisateur est verrouillé, vous pouvez demander un e-mail avec un lien de connexion unique. L'utilisation du lien envoyé par e-mail contournera le verrouillage du nom d'utilisateur pour vous, tandis que les attaquants par force brute sont toujours verrouillés.

Cliquez simplement sur le lien « Envoyer le lien de connexion autorisé » pour recevoir votre e-mail Magic Links.

Une fois que vous avez reçu l'e-mail, utilisez le lien, entrez vos informations d'identification et vous serez de retour sur votre site !

Remarque : lisez l'article consacré à la fonctionnalité Magic Links pour en savoir plus.

3. Connexions sans mot de passe

Que nous, membres de la communauté de la sécurité, voulions l'admettre ou non, l'utilisation d'un gestionnaire de mots de passe et d'une authentification à deux facteurs peut être pénible et prendre du temps, d'autant plus que nous passons de plus en plus de nos vies en ligne.

Nous voulions donc créer un moyen pour les gens d'obtenir toute la sécurité qu'offre un mot de passe fort et unique sans sacrifier la convivialité.

Que sont les connexions sans mot de passe ?

La connexion sans mot de passe est une nouvelle façon de vérifier l'identité d'un utilisateur sans avoir besoin d'un mot de passe pour se connecter. Nous avons fait évoluer Magic Links vers une nouvelle méthode de connexion qui vous permet d'exiger des utilisateurs qu'ils utilisent des mots de passe forts et une authentification à deux facteurs sans jamais entrer de mot de passe ou de code d'authentification supplémentaire.

Comment fonctionne la méthode de connexion sans mot de passe

Lors de la connexion, il vous sera demandé de choisir une méthode de connexion. Cliquez sur le bouton Email Magic Link pour envoyer l'e-mail contenant le lien de connexion sans mot de passe.

Envoyer le lien magique par e-mail

Vous verrez maintenant un message confirmant que l'e-mail a été envoyé.

Connexion sans mot de passe Vérifier l'e-mail

Dans votre boîte de réception, ouvrez l'e-mail Magic Link et le bouton Se connecter maintenant .

E-mail de connexion sans mot de passe

Et c'est tout, pas de saisie d'un mot de passe ou d'un jeton à deux facteurs. Cela signifie qu'une fois que vous avez activé la connexion sans mot de passe, vous n'avez pas besoin de connaître votre mot de passe compliqué ou de copier et coller un code supplémentaire pour vous connecter. Cependant, ces méchants qui essaient de forcer votre site par force brute auront un taux de réussite de 0%.

Remarque : consultez l'ebook Premiers pas avec la connexion sans mot de passe pour en savoir plus.

Astuce #5 - Activez le menu Debug pour un dépannage avancé

Il peut arriver que le support iThemes Security Pro vous demande d'activer le menu de débogage. Pour activer le menu Debug dans iThemes Security Pro, vous devrez ajouter le code ci-dessous à votre fichier wp-config.php.

 define( 'ITSEC_DEBUG', true );

N'oubliez pas d'ajouter le code au-dessus de « C'est tout heureux de bloguer ». ligne.

Vous pourrez désormais accéder au menu Déboguer dans iThemes Security Pro.

Vous pouvez afficher vos informations système , charger la configuration de vos paramètres , afficher le planificateur d' événements de sécurité et quels e-mails sont envoyés par le centre de notifications. L'outil de dépannage de débogage que je souhaite mettre en évidence dans cet article est le planificateur.

Planificateur

Le planificateur vous montre tous les différents événements programmés dans iThemes Security Pro. Les événements planifiés sont des éléments tels que les analyses de site, les analyses de modification de fichiers, la suppression des verrouillages et bien plus encore. Ce que ces fonctions ont en commun, c'est qu'elles doivent être planifiées à l'avance et qu'elles s'appuient sur wp-cron pour s'exécuter.

Disons qu'il a été porté à votre attention que l'analyse du changement de fichier ne s'exécute pas sur votre site Web même si vous avez activé le changement de fichier dans vos paramètres de sécurité. Vous pouvez activer le menu de débogage pour voir si l'analyse de changement de fichier dans votre liste d'événements planifiés. Si ce n'est pas le cas, cela signifie que quelque chose s'est mal passé avant la création d'un événement. Vous pouvez résoudre ce problème en cliquant sur le bouton ITSEC_Scheduler_Cron Reset . Le repos du cron forcera le planificateur à vérifier les paramètres de sécurité et à reconstruire la liste des événements programmés. Y compris vos analyses de modification de fichier manquantes.

Emballer

Le plugin iThemes Security Pro offre une excellente protection prête à l'emploi, mais si vous plongez dans les paramètres, vous trouverez des outils de sécurité vraiment sympas. Ces outils peuvent aider à ajouter plusieurs niveaux de sécurité à votre connexion et à votre tableau de bord WordPress, à bloquer les robots malveillants et même à faciliter la sécurité de tous sur votre site Web, y compris vous.