Les 10 meilleures choses à faire après l'installation d'iThemes Security Pro

Publié: 2020-09-17

iThemes Security Pro regorge de plus de 50 méthodes de sécurité pour sécuriser et protéger votre site Web WordPress. C'est une tonne d'options!

Si vous ne savez pas par où commencer après avoir installé iThemes Security Pro, ne vous inquiétez pas, nous sommes là pour vous. Dans cet article, nous couvrirons les 10 principales choses à faire après l'installation d'iThemes Security Pro.

Table des matières

    1. Exécutez le contrôle de sécurité

    Il y a plusieurs raisons pour lesquelles vous souhaitez exécuter la sécurité iThemes Security Check Pro. Le contrôle de sécurité active tous les paramètres iThemes Security Pro qui fonctionnent bien dans tous les environnements, y compris ceux dont les ressources sont limitées.

    Parlons des paramètres activés par le contrôle de sécurité.

    • Protection locale contre la force brute - La fonction de protection locale contre la force brute garde une trace des tentatives de connexion non valides effectuées par les adresses IP et les noms d'utilisateur. Une fois qu'un attaquant a fait trop de tentatives de connexion invalides consécutives, il sera verrouillé.
    • Utilisateurs interdits – La fonction Utilisateurs interdits assure le suivi des verrouillages IP. Une fois qu'une adresse IP est devenue un récidiviste, iThemes Security Pro ajoutera l'adresse IP à la liste des hôtes interdits et empêchera l'adresse IP de voir votre site Web, sans parler d'essayer de vous connecter.
    • Sauvegardes de base de données – La fonction Sauvegardes de base de données crée des sauvegardes de la base de données de votre site.
    • Liens magiques – La fonction Liens magiques vous permet de demander un e-mail avec un lien de connexion unique lorsque votre nom d'utilisateur est verrouillé. L'utilisation du lien envoyé par e-mail vous permettra de contourner le verrouillage, tandis que les attaquants par force brute sont restés verrouillés.
    • Connexion sans mot de passe – La fonction de connexion sans mot de passe est une nouvelle façon de vérifier l'identité d'un utilisateur sans avoir besoin d'un mot de passe pour se connecter.
    • Analyse du site - L'analyse du site vérifie votre site pour les vulnérabilités connues et applique automatiquement un correctif s'il est disponible.
    • Authentification à deux facteurs – L' authentification à deux facteurs est un processus de vérification de l'identité d'une personne en exigeant deux méthodes de vérification distinctes.
    • Journalisation de l'utilisateur – La fonction de journalisation de l'utilisateur fait exactement ce que vous pensez ; il enregistre les actions de l'utilisateur telles que la connexion et l'enregistrement de contenu.
    • WordPress Tweaks – Toutes les options WordPress Tweaks ne sont pas activées par le contrôle de sécurité. Les méthodes de sécurité essentielles telles que la désactivation de l'éditeur de fichiers , le blocage de plusieurs tentatives d'authentification par demande XML-RPC , la restriction de l'accès à l'API REST et l' atténuation de l'attaque par traversée de fichier de pièce jointe sont activées.

    L'exécution du contrôle de sécurité aidera également à éviter tout verrouillage de serveur par inadvertance en identifiant le serveur de votre site Web et les adresses IP de bouclage. Le contrôle de sécurité vérifiera également les adresses IP distantes qui frappent votre site Web pour se protéger contre l'usurpation d'adresse IP.

    De plus, le contrôle de sécurité… vérifie si votre serveur dispose d'un certificat SSL activé et si vos requêtes de page HTTP sont redirigées vers HTTPs. Une page chargée à l'aide de HTTPs protège vos visiteurs avec un cryptage SSL. Vous forcez la redirection HTTPS à partir du menu Contrôle de sécurité.

    Enfin, le contrôle de sécurité vous invitera à activer votre licence Network Brute Force Protection. Le réseau Brute Force aide les utilisateurs d'iThemes Security à se protéger les uns les autres. Les adresses IP bloquées pour avoir attaqué votre site Web, ainsi que l'adresse IP bloquée d'autres sites Web protégés par iThemes Security, seront signalées au réseau Brute Force. Une fois qu'une adresse IP est dans le réseau Brute Force, elle sera bloquée sur tous les sites du réseau.

    2. Activer la correction automatique des vulnérabilités

    Le contrôle de sécurité active l'analyse du site qui vérifiera automatiquement votre site Web pour les vulnérabilités connues de WordPress, des plugins et des thèmes. C'est génial, mais iThemes Security Pro peut aller encore plus loin. Si une vulnérabilité est trouvée sur votre site Web, iThemes Security Pro peut appliquer automatiquement un correctif s'il est disponible.

    Tout ce que vous avez à faire est d'activer l'option Mise à jour automatique si la vulnérabilité est corrigée dans les paramètres de gestion des versions .

    3. Bloquez les robots malveillants avec Google reCAPTCHA v3

    La fonctionnalité Google reCAPTCHA dans iThemes Security Pro protège votre site contre les robots malveillants. Ces robots tentent de s'introduire dans votre site Web en utilisant des mots de passe compromis, en publiant du spam ou même en grattant votre contenu. reCAPTCHA utilise des techniques avancées d'analyse des risques pour distinguer les humains des robots.

    Ce qui est génial avec la version 3 de reCAPTCHA, c'est qu'elle vous aide à détecter le trafic abusif des robots sur votre site Web sans aucune interaction avec l'utilisateur. Au lieu d'afficher un défi CAPTCHA, reCAPTCHA v3 surveille les différentes demandes effectuées sur votre site et renvoie un score pour chaque demande. Le score varie de 0,01 à 1. Plus le score renvoyé par reCAPTCHA est élevé, plus il est sûr qu'un humain a fait la demande. Plus ce score renvoyé par reCAPTCHA est faible, plus il est certain qu'un bot a fait la demande.

    iThemes Security Pro vous permet de définir un seuil de blocage à l'aide du score reCAPTCHA. Google recommande d'utiliser 0.5 par défaut. Gardez à l'esprit que vous pourriez verrouiller par inadvertance des utilisateurs légitimes si vous définissez un seuil trop élevé.

    Vous pouvez activer reCAPTCHA sur votre inscription d'utilisateur WordPress, réinitialiser le mot de passe, la connexion et les commentaires. iThemes Security Pro vous permet d'exécuter le script Google reCAPTCHA sur toutes les pages pour augmenter la précision de son score bot vs. humain.

    4. Sécurisez votre compte utilisateur avec une application 2FA

    iThemes Security Pro vous propose trois méthodes différentes d'authentification à deux facteurs pour sécuriser les utilisateurs de WordPress.

    1. Application mobile – Cette méthode nécessite que vous utilisiez une application mobile gratuite à deux facteurs comme Authy.
    2. E - mail - La méthode d'e-mail à deux facteurs enverra des codes sensibles au temps à l'adresse e-mail de votre utilisateur.
    3. Codes de sauvegarde – Un ensemble de codes à usage unique qui peuvent être utilisés pour se connecter en cas de perte de la méthode principale à deux facteurs.

    La méthode de l'application mobile est la plus sécurisée, voyons donc comment vous pouvez ajouter ce niveau de sécurité à votre utilisateur.

    La première chose que vous devez faire est de télécharger une application 2fa comme Authy, puis accédez à votre page de profil utilisateur WordPress. Une fois que vous êtes dans votre profil WordPress, faites défiler vers le bas jusqu'à ce que vous voyiez l'en - tête Options d'authentification à deux facteurs . Assurez-vous de cocher les cases pour activer la méthode de l'application mobile et en faire votre principale forme de 2fa. Cliquez maintenant sur le bouton Afficher le code QR et la clé secrète .

    Depuis votre téléphone, scannez le code QR pour continuer à associer le secret à votre application mobile.

    Entrez maintenant le code à 6 chiffres de votre téléphone dans votre navigateur Web et cliquez sur Vérifier pour terminer la configuration.

    Remarque : assurez-vous de cliquer sur le bouton Mettre à jour le profil avant de quitter votre page de profil.

    5. Créer un tableau de bord de sécurité

    Le tableau de bord de sécurité iThemes est un tableau de bord dynamique avec toutes les statistiques d'activité de sécurité de votre site Web en un seul endroit. Le tableau de bord de sécurité donne vie à vos journaux de sécurité en rassemblant les entrées associées et en les affichant d'une manière qui vous convient.

    Le tableau de bord trie l'activité de sécurité de votre site Web en cartes de sécurité . Considérez-les comme des cartes de baseball. Les cartes de baseball ne vous donnent pas d'informations sur chaque joueur de la MLB. Les cartes ne se soucient que du gars représenté sur le devant. De même, les cartes de sécurité ne vous montrent pas toutes les entrées du journal. Au lieu de cela, ils ne vous offrent que des informations relatives à cette carte spécifique.

    Les 11 cartes de sécurité

    1. Analyses de sites

    Consultez l'historique de vos analyses de site iThemes Security Pro.

    2. Profils de sécurité des utilisateurs

    Voir une liste de chaque utilisateur administrateur sur le site. Cliquez sur n'importe quel nom d'utilisateur pour obtenir leur aperçu de la sécurité.

    3. Profil de sécurité de l'utilisateur

    Épinglez le profil d'un seul utilisateur à votre tableau de bord et voyez son rôle d'utilisateur, la force et l'âge de son mot de passe, s'il a activé ou non le double facteur et quand il a été sur le site pour la dernière fois.

    4. Verrouillages actifs

    Afficher tous les verrouillages actifs. Si votre client s'est verrouillé, vous pouvez rapidement supprimer le verrouillage de cette carte.

    5. Verrouillage

    Consultez l'historique des lock-out sur notre site.

    6. Aperçu des interdictions

    Affichez un historique si les adresses IP sont interdites par iThemes Security.

    7. Attaques par force brute

    Affiche un graphique qui représente l'activité de force brute.

    8. Appareils de confiance

    Affiche un graphique représentant les appareils approuvés, approuvés automatiquement et bloqués.

    9. 404

    Voir un aperçu des 404 au cours des 30 derniers jours.

    10. Sauvegardes de bases de données

    Affichez un historique de 30 jours de sauvegardes et créez une nouvelle sauvegarde de base de données.

    11. Résumé de la mise à jour

    Affichez le nombre de mises à jour de WordPress, de plugins et de thèmes sur une période donnée.

    12. Utilisateurs interdits

    Gérez la liste des hôtes interdits de votre site Web.

    Comment créer un tableau de bord de sécurité dans iThemes Security Pro

    Pour commencer à utiliser le tableau de bord de sécurité, assurez-vous qu'il est activé sur la page principale des paramètres de sécurité.

    Une fois activé, vous pouvez créer votre premier tableau de bord de sécurité à partir du menu Admin Dashboard et des paramètres de sécurité dans votre menu WordPress Admin .

    Ensuite, vous pouvez créer un nouveau tableau de bord à l'aide du tableau de bord par défaut d'iThemes Security ou en créer un à partir de zéro. Saisissez un nom pour votre tableau, puis cliquez sur le bouton Créer un tableau.

    Créer une page de tableau de bord

    L'objectif du tableau de bord de sécurité est de vous fournir les informations que vous souhaitez d'une manière qui vous convient. Vous pouvez commencer avec une toile vierge et ajouter uniquement les cartes qui sont importantes pour vous.

    Le tableau de bord de sécurité dynamique est entièrement personnalisable. Vous choisissez les cartes que vous voulez voir, l'ordre dans lequel elles apparaissent sur votre écran et la taille ou la taille de chaque carte. Ceci est votre tableau de bord créé par vous pour vous.

    6. Améliorez votre jeu de mots de passe avec des exigences de mot de passe

    Les mots de passe sont votre première ligne de défense contre les attaques sur votre connexion WordPress. La fonctionnalité d'exigence de mot de passe dans iThemes Security Pro n'est pas seulement votre politique de mot de passe, mais c'est aussi votre outil d'application.

    Vous pouvez forcer les membres d'un groupe d'utilisateurs à utiliser un mot de passe fort , choisir une heure d' expiration du mot de passe , refuser les mots de passe compromis et forcer une modification des mots de passe à l' échelle du site pour que tout le monde se conforme à votre nouvelle politique de mots de passe forts.

    • Forcer des mots de passe forts – Forcer un ensemble d'utilisateurs à utiliser un mot de passe fort.
    • Expiration du mot de passe – Définissez le nombre maximum de jours pendant lesquels un mot de passe peut être utilisé avant qu'il n'expire.
    • Refuser les mots de passe compromis – Forcez les utilisateurs à utiliser des mots de passe qui n'apparaissent dans aucune violation de mot de passe suivie par Have I Been Pwned.
    • Forcer le changement de mot de passe – Force tous les utilisateurs à changer leur mot de passe lors de leur prochaine connexion.

    7. Affiner vos e-mails de notification de sécurité

    Le Centre de notifications dispose de tous les outils dont vous avez besoin pour gérer les notifications par e-mail générées par iThemes Security Pro.

    Le module Notification Center est situé sur la page principale des paramètres de sécurité. Cliquez sur le bouton Configurer les paramètres pour commencer à personnaliser vos notifications par e-mail.

    Les deux premières choses que vous souhaitez configurer dans le centre de notifications sont la liste De l'e - mail et la liste des destinataires par défaut .

    L'adresse e-mail de l'expéditeur est l'adresse e-mail qu'iThemes Security Pro utilisera pour envoyer des notifications. Les destinataires par défaut sont la liste des personnes qui recevront une notification par e-mail, sauf indication contraire.

    Vous pouvez également personnaliser les destinataires de chaque notification par e-mail envoyée depuis iThemes Security Pro. Disons que la seule notification par e-mail que vous souhaitez qu'un client voie est le Security Digest. Pour ce faire, faites défiler jusqu'aux paramètres de messagerie Security Digest et cliquez sur le bouton bascule Destinataire, puis sélectionnez Personnalisé .

    Cochez la case à côté du nom d'utilisateur de votre client pour l'ajouter à la liste de diffusion Security Digest.

    L'objet et le message peuvent être personnalisés pour la plupart des e-mails dans le centre de notifications. Vous pouvez profiter des différentes balises email pour personnaliser les emails. Par exemple, vous pouvez utiliser la balise username pour inclure le nom d'utilisateur du destinataire dans l'e-mail.

    8. Protégez votre tableau de bord WP avec des appareils de confiance

    La fonctionnalité Appareils de confiance iThemes Security Pro limite l'accès au tableau de bord WordPress à une liste d'appareils approuvés.

    Une fois que vous avez indiqué à iThemes Security Pro quels appareils sont les vôtres, Trusted Devices peut protéger votre site de 2 manières différentes :

    1. Restreindre les capacités des appareils non reconnus – Lorsqu'une personne se connecte à l'aide d'un appareil non reconnu, vous pouvez restreindre ses capacités de niveau administrateur et l'empêcher de modifier ses informations de connexion. iThemes Security Pro enverra alors un e-mail à l'adresse définie dans son profil d'utilisateur WordPress.

    L'e-mail de connexion non reconnu aura la possibilité de confirmer ou de bloquer l'appareil. Si le bouton Confirmer l'appareil est cliqué, l'utilisateur verra ses capacités d'administration restaurées. Si vous cliquez sur le bouton Ce n'était pas moi , iThemes Security Pro déconnectera l'utilisateur illégitime et l'appareil la liste des appareils refusés dans le profil WordPress.

    2. Protection contre le piratage de session - Le piratage de session est une attaque dans laquelle une session utilisateur est prise en charge par un attaquant. Par exemple, WordPress génère un cookie de session chaque fois que vous vous connectez à votre site Web. Et disons que vous avez une extension de navigateur avec une vulnérabilité qui permet aux pirates de détourner le cookie de votre navigateur. Après avoir détourné votre session, le pirate pourra commencer à apporter des modifications malveillantes à votre site Web.

    Si l'appareil d'un utilisateur change au cours d'une session, iThemes Security déconnectera automatiquement l'utilisateur pour empêcher toute activité non autorisée sur le compte de l'utilisateur, telle que la modification de l'adresse e-mail de l'utilisateur ou le téléchargement de plug-ins malveillants.

    9. Utiliser des groupes d'utilisateurs pour gérer la sécurité des utilisateurs

    Le module Groupes d'utilisateurs dans iThemes Security Pro vous permet de voir rapidement quels paramètres qui affectent l'expérience utilisateur sont activés et d'y apporter des modifications à partir d'un emplacement unique.

    Pour faciliter la gestion de la sécurité des utilisateurs sur votre site, iThemes Security Pro trie tous vos utilisateurs dans différents groupes. Par défaut, vos utilisateurs seront regroupés selon leurs capacités WordPress. Le tri par capacités WordPress permet de combiner facilement les rôles d'utilisateurs WordPress et personnalisés dans le même groupe. Par exemple, si vous exécutez un site WooCommerce, les administrateurs de votre site et les responsables de boutique seront dans le groupe d'utilisateurs administrateur, et vos abonnés et clients seront dans le groupe d'utilisateurs d'abonnés.

    Dans les paramètres des groupes d'utilisateurs, vous verrez tous vos groupes d'utilisateurs et tous les paramètres de sécurité qui sont activés pour chaque groupe, et activer et désactiver rapidement les paramètres. User Group vous donne l'assurance que vous appliquez le bon niveau de sécurité aux bons utilisateurs.

    10. Créer un utilisateur de support universel

    La fonctionnalité la plus sous-utilisée d'iThemes Security Pro est l' escalade de privilèges . La fonctionnalité vous permet d'augmenter temporairement les privilèges d'un utilisateur.

    Chaque fois que vous créez un nouvel utilisateur, en particulier un utilisateur administrateur, vous ajoutez un autre point d'entrée qu'un pirate pourrait exploiter. Cependant, il peut arriver que vous ayez besoin d'une aide extérieure pour votre site Web, par exemple lorsque vous recherchez de l'aide.

    Vous pouvez créer un nouvel utilisateur, le nommer Support et lui attribuer le rôle d'utilisateur Abonné. La prochaine fois que vous devrez fournir un accès temporaire à votre site Web, accédez à la page de profil de votre utilisateur d'assistance.

    Mettez à jour l'adresse e-mail pour permettre à la personne d'assistance externe de demander un nouveau mot de passe. Faites ensuite défiler vers le bas jusqu'à ce que vous voyiez les paramètres d' escalade temporaire des privilèges . Cliquez sur le bouton bascule Définir un rôle temporaire et sélectionnez Admin . L'utilisateur aura désormais un accès administrateur pour les prochaines 24 heures.

    S'ils n'ont pas besoin des 24 heures complètes, vous pouvez révoquer l'augmentation des privilèges à partir de la page de profil utilisateur.

    Emballer

    iThemes Security Pro propose une tonne d'outils différents que vous pouvez utiliser pour sécuriser et protéger votre site Web. Voici une liste de contrôle pour vous aider à commencer à sécuriser votre site Web WordPress après avoir installé iThemes Security Pro.

    • 1. Exécutez le contrôle de sécurité
    • 2. Activer la correction automatique des vulnérabilités
    • 3. Bloquez les robots malveillants avec Google reCAPTCHA v3
    • 4. Verrouillez votre utilisateur WP avec une application 2FA
    • 5. Créer un tableau de bord de sécurité
    • 6. Améliorez votre jeu de mots de passe
    • 7. Ajustez vos e-mails de sécurité
    • 8. Protégez votre tableau de bord WP avec des appareils de confiance
    • 9. Familiarisez-vous avec les groupes d'utilisateurs
    • 10. Créer un utilisateur de support universel