Comment configurer iThemes Security Pro sur le site de vos clients

Comment trouver le bon équilibre entre convivialité et sécurité ? Comment contrôlez-vous les notifications de sécurité partagées avec votre client ? La configuration de la sécurité sur le site Web d'un client peut être une tâche ardue, mais ce n'est pas obligatoire. Dans cet article, nous allons vous montrer comment configurer rapidement iThemes Security Pro sur le site Web de votre client.

Comment configurer iThemes Security Pro sur la relecture du webinaire du site de vos clients

Découvrez une rediffusion du webinaire que nous avons fait sur le même sujet.

Voici un bref aperçu de ce que nous allons couvrir.

1. Comment configurer les notifications iThemes Security Pro
2. Sécurité WordPress pour différents types d'utilisateurs
3. Utilisation des groupes d'utilisateurs iThemes Security Pro
4. Comment créer un tableau de bord Security Client
5. Comment automatiser les vérifications de vulnérabilité et les correctifs
6. Augmentation temporaire des privilèges

1. Comment configurer les notifications iThemes Security Pro

iThemes Security Pro partage des informations critiques sur la santé de la sécurité de votre site Web. Cependant, ces messages peuvent créer des maux de tête inutiles si vos clients les comprennent mal. Vous pouvez vous faciliter la vie si vous partagez les notifications de sécurité avec les bonnes personnes.

Passons rapidement en revue les 5 endroits où vos clients peuvent trouver des notifications de sécurité.

1. Notifications du centre de messages – Toutes vos alertes et mises à jour critiques se trouvent dans le centre de messages de sécurité iThemes situé dans la barre d'administration de WordPress.
2. Notifications par e-mail – Des notifications de sécurité telles que Security Digest et les notifications de verrouillage peuvent être envoyées dans votre boîte de réception.
3. Alertes de connexion – Lorsque les appareils de confiance sont activés, vous utiliserez le menu Alerte de connexion pour confirmer ou bloquer un appareil.
4. Tableau de bord de sécurité – Le centre de messages se trouve également sur le tableau de bord de sécurité.
5. Journaux de sécurité – Maintenant, il ne s'agit pas d'une notification au sens traditionnel du terme, mais iThemes Security Pro utilise les journaux de sécurité pour partager avec vous les événements liés à la sécurité.

Centre de notification de sécurité iThemes

Le Centre de notifications dispose de tous les outils dont vous avez besoin pour gérer les notifications par e-mail générées par iThemes Security Pro.

Le module Notification Center est situé sur la page principale des paramètres de sécurité. Cliquez sur le bouton Configurer les paramètres pour commencer à personnaliser vos notifications par e-mail.

Les deux premières choses que vous souhaitez configurer dans le centre de notifications sont la liste De l'e - mail et la liste des destinataires par défaut .

L'adresse e-mail de l'expéditeur est l'adresse e-mail qu'iThemes Security Pro utilisera pour envoyer des notifications. Les destinataires par défaut sont la liste des personnes qui recevront une notification par e-mail, sauf indication contraire. Il peut être judicieux de définir uniquement votre utilisateur comme destinataire par défaut pour empêcher vos clients de recevoir des e-mails indésirables.

Vous pouvez également personnaliser les destinataires de chaque notification par e-mail envoyée depuis iThemes Security Pro. Disons que la seule notification par e-mail que vous souhaitez que votre client voie est le Security Digest. Pour ce faire, faites défiler jusqu'aux paramètres de messagerie Security Digest, cliquez sur le bouton bascule Destinataire et sélectionnez Personnalisé .

Cochez la case à côté du nom d'utilisateur de votre client pour l'ajouter à la liste de diffusion Security Digest.

Pendant que nous parlons de l'e-mail Security Digest, parlons de la façon dont vous pouvez réduire le nombre d'e-mails que vous recevez d'iThemes Security Pro. Pendant les périodes d'attaques lourdes, iThemes Security peut générer BEAUCOUP d'e-mails. Cependant, ces e-mails peuvent créer un tas de bruit inutile. Par exemple, les notifications de verrouillage ne sont que des iThemes Security Pro se vantant de faire son travail, mais vous n'avez aucune action à entreprendre. Le méchant est déjà en lock-out, problème résolu. Cela dit, si recevoir une tonne de notifications devient la norme, cela pourrait se transformer en un scénario de garçon criant au loup. La seule fois que vous recevez une alerte qui nécessite votre action, vous pouvez l'ignorer car vous recevez continuellement des notifications non urgentes.

Le Security Digest réduit le nombre d'e-mails envoyés afin que vous puissiez recevoir un résumé des verrouillages, des analyses de détection des modifications de fichiers et des élévations de privilèges. Gardez à l'esprit que vous devrez toujours désactiver les notifications individuelles pour ne plus les recevoir.

Nous vous montrerons comment empêcher vos clients de voir d'autres types de notifications plus tard dans la publication.

2. Sécurité WordPress pour différents types d'utilisateurs

Une grande partie de la sécurité de WordPress se résume à la sécurité des utilisateurs. Et, tous les utilisateurs ne sont pas créés égaux, nous ne devrions donc pas avoir une stratégie de sécurité pour tous les utilisateurs. C'est pourquoi il vaut la peine de parler des différents types d'utilisateurs que vous pourriez avoir sur un site Web.

1. Administrateurs de site – Les administrateurs de site ont le pouvoir d'apporter une tonne de modifications sur un site Web WordPress. Un grand pouvoir implique de grandes responsabilités. Souvent, la sécurité signifie sacrifier un peu de commodité pour un gain de sécurité beaucoup plus important. Il est normal d'ajouter un peu de friction pour ces utilisateurs, car si leurs comptes tombent entre de mauvaises mains, vous pouvez dire au revoir à votre site.
2. Gérants de boutique – Les gérants de boutique ont le même pouvoir qu'un administrateur de site et nécessitent le même niveau de sécurité élevé. Vous avez peut-être un client qui doit gérer la boutique WooCommerce, mais vous ne voulez peut-être pas qu'il perturbe les paramètres de sécurité du site. Nous montrerons comment vous pouvez y parvenir dans la section suivante.
3. Contributeurs/éditeurs – Les contributeurs et les éditeurs méritent toujours votre attention car ils peuvent apporter des modifications à votre site. Pourtant, ils n'ont peut-être pas besoin d'un niveau de sécurité aussi élevé que les administrateurs de votre site et les responsables de boutique.
4. Abonnés/clients – Les abonnés et les clients sont des utilisateurs de bas niveau qui ne peuvent pas apporter de modifications sur un site Web WordPress. Bien que vous souhaitiez probablement leur donner les outils nécessaires pour protéger leur compte, vous ne voulez probablement pas les forcer à les utiliser.

3. Utilisation des groupes d'utilisateurs iThemes Security Pro

Le module Groupes d'utilisateurs dans iThemes Security Pro vous permet de voir rapidement quels paramètres pouvant affecter l'expérience utilisateur sont activés et d'y apporter des modifications à partir d'un emplacement unique.

Pour faciliter la gestion de la sécurité des utilisateurs sur votre site, iThemes Security Pro trie tous vos utilisateurs dans différents groupes. Par défaut, vos utilisateurs seront regroupés selon leurs capacités WordPress. Le tri par capacités WordPress permet de combiner facilement les rôles d'utilisateurs WordPress et personnalisés dans le même groupe. Par exemple, si vous exécutez un site WooCommerce, les administrateurs de votre site et les responsables de boutique seront dans le groupe d'utilisateurs administrateur, et vos abonnés et clients seront dans le groupe d'utilisateurs d'abonnés.

Maintenant que nous avons parlé des différents types d'utilisateurs sur un site Web WordPress, examinons l'utilisation des groupes d'utilisateurs pour configurer rapidement la sécurité de nos utilisateurs. Dans cette section, vous apprendrez à configurer la sécurité pour les administrateurs et les abonnés de votre site.

Dans les paramètres des groupes d'utilisateurs, sélectionnez votre groupe d'utilisateurs administrateur pour commencer à modifier ce groupe. L'onglet Fonctionnalités affiche les paramètres activés ou désactivés pour le groupe, et l'onglet Modifier le groupe vous permet de configurer les membres du groupe.

Comme nous en avons parlé plus tôt, nous allons vouloir un haut niveau de sécurité pour notre groupe d'utilisateurs administrateur .

1. Gérer la sécurité d'iThemes - Nos utilisateurs administrateurs devront avoir la possibilité de gérer les paramètres de sécurité.
2. Activer la création de tableau de bord – Nous souhaitons que nos utilisateurs administrateurs créent un tableau de bord de sécurité.
3. Rapport de notes – Nos utilisateurs administrateurs doivent avoir accès au rapport de notes.
4. Force Two Factor – Nous devrions exiger de nos utilisateurs de haut niveau qu'ils utilisent une authentification à deux facteurs.
5. Désactiver l'intégration à deux facteurs - Nous voulons rendre l'inscription à 2fa aussi simple que possible.
6. Autoriser la mémorisation du périphérique - Nous pouvons demander à nos utilisateurs administrateurs de saisir un jeton à deux facteurs à chaque connexion pour une sécurité accrue.
7. Mots de passe d'application - Nos utilisateurs administrateurs peuvent avoir besoin de la possibilité de configurer des mots de passe d'application.
8. Surveillance de l'activité - Nous voudrons un historique de l'activité du site de nos utilisateurs administrateurs.
9. Connexion sans mot de passe – Nous pouvons laisser tout le monde utiliser cette méthode de connexion sûre et pratique.
10. Autoriser le contournement à deux facteurs pour la connexion sans mot de passe - Il s'agit d'une préférence personnelle. Ne pas autoriser le contournement de 2fa augmentera la sécurité de vos connexions administrateur.
11. Appareils de confiance – Nous souhaitons restreindre l'accès à notre tableau de bord d'administration à une liste d'appareils approuvés.
12. Exiger des mots de passe forts – Nous voulons que nos utilisateurs de haut niveau aient des mots de passe forts.
13. Expiration du mot de passe – Vous pouvez définir l' expiration de vos mots de passe administrateur.
14. Refuser les mots de passe compromis – Ne laissez pas votre administrateur réutiliser les mots de passe trouvés dans des violations de bases de données.

Comme nous l'avons mentionné précédemment, nous ne voulons pas du même niveau de sécurité élevé pour notre groupe d'utilisateurs abonnés .

1. Gérer la sécurité d'iThemes - Nous ne voulons pas que nos utilisateurs de bas niveau aient accès aux paramètres de sécurité.
2. Activer la création de tableaux de bord – Nous ne voulons pas que les utilisateurs de bas niveau créent des tableaux de bord de sécurité.
3. Rapport de notes – Les utilisateurs de bas niveau ne devraient pas voir le rapport de notes.
4. Force Two Factor – Nous ne voulons pas forcer nos clients ou abonnés à utiliser l'authentification à deux facteurs.
5. Désactiver l'intégration à deux facteurs – Bien que nous souhaitions donner à nos utilisateurs de bas niveau la possibilité d'utiliser 2fa, nous ne voulons peut-être pas qu'ils voient le flux d'intégration lors de la connexion.
6. Autoriser la mémorisation du périphérique – Vous ne voudrez peut-être pas ajouter ce niveau de complexité aux comptes d'utilisateurs de bas niveau.
7. Mots de passe d'application – Vous ne voudrez peut-être pas ajouter ce niveau de complexité aux comptes d'utilisateurs de bas niveau.
8. Surveillance de l'activité – Nous ne voulons pas surveiller l'activité de nos utilisateurs de bas niveau.
9. Connexion sans mot de passe – Nous pouvons laisser tout le monde utiliser cette méthode de connexion sûre et pratique.
10. Autoriser le contournement à deux facteurs pour la connexion sans mot de passe
11. Périphériques de confiance – Vous ne voudrez peut-être pas ajouter ce niveau de complexité aux comptes d'utilisateurs de bas niveau.
12. Exiger des mots de passe forts – Vous ne voudrez peut-être pas ajouter ce niveau de friction aux comptes d'utilisateurs de bas niveau.
13. Expiration du mot de passe – Vous ne voudrez peut-être pas ajouter ce niveau de friction aux comptes d'utilisateurs de bas niveau.
14. Refuser les mots de passe compromis – Vous ne devriez probablement même pas laisser vos utilisateurs de bas niveau utiliser des mots de passe compromis sur votre site.

Nous avons parlé plus tôt de la façon dont nous pouvons souhaiter que nos responsables de boutique aient le même niveau de sécurité élevé que nos utilisateurs administrateurs, mais les empêchent de gérer les paramètres de sécurité. Nous pouvons créer un nouveau groupe d'utilisateurs uniquement pour nos responsables de boutique et nous pouvons activer toutes les mêmes fonctionnalités que nous l'avons fait pour nos utilisateurs administrateurs, en plus de la possibilité de gérer les paramètres de sécurité, de créer des tableaux de bord de sécurité ou d'afficher le rapport de notes. Cela les empêchera également de voir les notifications de sécurité dont nous avons parlé plus tôt.

4. Comment créer un tableau de bord Security Client

En regardant votre sécurité WordPress, les entrées de journal peuvent prendre du temps et même être déroutantes à comprendre. Le tableau de bord de sécurité iThemes donne vie à vos journaux de sécurité en rassemblant les listes associées et en les affichant d'une manière qui vous convient.

Le tableau de bord de sécurité est également un excellent moyen de montrer à votre client pourquoi il vous paie pour sécuriser son site. Voyons comment vous pouvez créer et partager un tableau de bord avec votre client.

Une fois que vous avez activé le tableau de bord, vous pouvez l'afficher à la fois dans les paramètres du tableau de bord d'administration et de sécurité dans votre menu d'administration WordPress.

Ensuite, vous pouvez créer un nouveau tableau de bord à l'aide du tableau de bord par défaut d'iThemes Security ou en créer un à partir de zéro. Saisissez un nom pour votre tableau, puis cliquez sur le bouton Créer un tableau.

Après avoir configuré le tableau de bord à votre guise, vous pouvez cliquer sur le bouton Partager .

Sélectionnez ensuite l'utilisateur avec lequel vous souhaitez le partager.

5. Comment automatiser les vérifications de vulnérabilité et les correctifs

Saviez-vous que la principale raison pour laquelle les sites Web sont piratés sont des vulnérabilités pour lesquelles un correctif était disponible mais n'a pas été appliqué ? Ne donnez pas aux pirates un moyen facile d'exploiter les sites Web de vos clients. Le nouveau scanner de site iThemes Security Pro analyse automatiquement votre site Web pour détecter les vulnérabilités connues du noyau, des plugins et des thèmes WordPress. Et si un patch est disponible. Le scanner de site appliquera même automatiquement le correctif de sécurité pour corriger la vulnérabilité.

Activez l' analyseur de site sur la page principale du paramètre de sécurité pour que votre site soit analysé deux fois par jour à la recherche de vulnérabilités connues, de logiciels malveillants et de l'état de la liste de blocage Google du site.

Vous devrez activer l'option Mise à jour automatique en cas de vulnérabilité des correctifs dans les paramètres de gestion des versions pour autoriser iThemes Security Pro à appliquer automatiquement les correctifs de sécurité.

6. Augmentation temporaire des privilèges

Peut-être la fonctionnalité la plus sous-utilisée de tous iThemes Security Pro, la fonctionnalité d'élévation des privilèges, vous permet d'élever temporairement les privilèges d'un seul utilisateur.

Chaque fois que vous créez un nouvel utilisateur, en particulier un utilisateur administrateur, vous ajoutez un point d'entrée supplémentaire à exploiter par un pirate informatique. Mais il y a des moments où vous pourriez avoir besoin d'une aide extérieure.

Vous pouvez créer un nouvel utilisateur Support et lui attribuer le rôle d'utilisateur Abonné. La prochaine fois que vous devrez fournir un accès temporaire à quelqu'un, accédez à la page de profil de votre utilisateur d'assistance.

Mettez à jour l'adresse e-mail pour permettre à la personne de demander un nouveau mot de passe, puis faites défiler vers le bas jusqu'à ce que vous voyiez les paramètres d' escalade temporaire des privilèges . Cliquez sur le bouton bascule Définir un rôle temporaire et sélectionnez Admin . L'utilisateur aura désormais un accès administrateur pour les prochaines 24 heures. S'ils n'ont pas besoin des 24 heures complètes, vous pouvez révoquer l'augmentation des privilèges à partir de la page de profil utilisateur.

Emballer

La configuration de la sécurité sur le site d'un client ne doit pas être intimidante. iThemes Security Pro vous fournit les outils dont vous avez besoin pour appliquer la bonne quantité de sécurité aux bonnes personnes, restreindre l'accès aux informations de sécurité sensibles aux seules personnes qui gèrent la sécurité.

Michael Moore

Chaque semaine, Michael rédige le rapport de vulnérabilité WordPress pour vous aider à protéger vos sites. En tant que chef de produit chez iThemes, il nous aide à continuer à améliorer la gamme de produits iThemes. C'est un nerd géant et il adore apprendre tout ce qui touche à la technologie, ancienne et nouvelle. Vous pouvez trouver Michael traîner avec sa femme et sa fille, lire ou écouter de la musique lorsqu'il ne travaille pas.