5 Tips & Trik Lanjutan untuk iThemes Security Pro

Diterbitkan: 2020-09-02

Plugin iThemes Security Pro memiliki lebih dari 50 cara berbeda bagi Anda untuk mengamankan dan melindungi situs web WordPress Anda. Anda dapat mengaktifkan sebagian besar metode keamanan di iThemes Security Pro hanya dengan mengklik tombol. Namun, jika Anda dapat meluangkan beberapa menit untuk menyelami pengaturan, Anda dapat menambahkan beberapa lapisan perlindungan ke situs web WordPress Anda.

Dalam posting ini, kami akan memberi Anda 5 tip dan trik lanjutan untuk iThemes Security Pro untuk membawa keamanan situs web Anda ke tingkat berikutnya.

Tip #1 – Lindungi Dasbor WP Anda dengan Perangkat Tepercaya

Fitur iThemes Security Pro Trusted Devices membatasi akses ke dasbor WordPress ke daftar perangkat yang disetujui.

Setelah Anda memberi tahu iThemes Security Pro perangkat mana yang menjadi milik Anda, Perangkat Tepercaya dapat melindungi situs Anda dengan 2 cara berbeda:

1. Batasi Kemampuan Perangkat yang Tidak Dikenal – Ketika seseorang masuk menggunakan perangkat yang tidak dikenal, Anda dapat membatasi kemampuan tingkat administrator mereka dan mencegah mereka mengedit detail login mereka. iThemes Security Pro kemudian akan mengirim email ke alamat yang ditetapkan di profil pengguna WordPress mereka.

Email masuk yang tidak dikenal akan memiliki opsi untuk mengonfirmasi atau memblokir perangkat. Jika tombol Konfirmasi Perangkat diklik, kemampuan admin pengguna akan dipulihkan. Jika tombol This Was Not Me diklik, iThemes Security Pro akan mengeluarkan pengguna yang tidak sah, dan perangkat daftar perangkat yang ditolak di profil WordPress.

2. Perlindungan Pembajakan Sesi – Pembajakan sesi adalah serangan di mana sesi pengguna diambil alih oleh penyerang. Misalnya, WordPress menghasilkan cookie sesi setiap kali Anda masuk ke situs web Anda. Dan katakanlah Anda memiliki ekstensi browser dengan kerentanan yang memungkinkan peretas membajak cookie browser Anda. Setelah membajak sesi Anda, peretas akan dapat mulai membuat perubahan berbahaya pada situs web Anda.

Jika perangkat pengguna berubah selama sesi, iThemes Security akan secara otomatis mengeluarkan pengguna untuk mencegah aktivitas tidak sah di akun pengguna, seperti mengubah alamat email pengguna atau mengunggah plugin berbahaya.

Catatan: Baca posting sorotan fitur Perangkat Tepercaya untuk mempelajari lebih lanjut tentang Anda dapat mengamankan dan melindungi dasbor WordPress Anda.

Tip #2 – Gunakan Google reCAPTCHA v3 untuk Memblokir Bot yang Buruk

Fitur Google reCAPTCHA di iThemes Security Pro melindungi situs Anda dari bot jahat. Bot ini mencoba masuk ke situs web Anda menggunakan kata sandi yang disusupi, memposting spam, atau bahkan mengorek konten Anda. reCAPTCHA menggunakan teknik analisis risiko tingkat lanjut untuk membedakan manusia dan bot.

Apa yang hebat tentang reCAPTCHA versi 3 adalah membantu Anda mendeteksi lalu lintas bot yang menyalahgunakan di situs web Anda tanpa interaksi pengguna apa pun. Alih-alih menampilkan tantangan CAPTCHA, reCAPTCHA v3 memantau berbagai permintaan yang dibuat dan mengembalikan skor. Skor berkisar dari 0,01 hingga 1. Semakin tinggi skor yang dikembalikan oleh reCAPTCHA, semakin yakin bahwa manusia membuat permintaan. Semakin rendah skor yang dikembalikan oleh reCAPTCHA, semakin yakin bot yang membuat permintaan.

iThemes Security Pro memungkinkan Anda untuk menetapkan ambang batas blok menggunakan skor reCAPTCHA. Google merekomendasikan menggunakan 0,5 sebagai default Anda. Ingatlah bahwa Anda dapat secara tidak sengaja mengunci pengguna yang sah jika Anda menetapkan ambang terlalu tinggi.

Katakanlah Anda menetapkan ambang blokir ke 1, yang berarti Anda ingin Google memblokir apa pun yang mereka tidak yakin 100% adalah manusia. Sekarang salah satu pelanggan Anda mengirimkan permintaan login ke situs web Anda. Dan, pelanggan ini menggunakan pengelola kata sandi untuk mengisi kata sandi mereka secara otomatis dan reCAPTCHA memberikan skor 0,7 untuk permintaan masuk mereka.

Jadi meskipun pelanggan Anda tidak menggunakan keyboard mereka untuk mengetikkan kredensial mereka, Google cukup yakin pelanggan Anda adalah manusia. Namun, pelanggan Anda akan tetap terkunci karena Anda menetapkan ambang 1.

Anda dapat mengaktifkan reCAPTCHA pada pendaftaran pengguna WordPress, reset kata sandi, login, dan komentar. iThemes Security Pro memungkinkan Anda menjalankan skrip Google reCAPTCHA di semua halaman untuk meningkatkan akurasi skor bot vs. manusianya.

Google reCAPTCHA versi 3 luar biasa! Ini membantu menjaga Anda dan pengunjung situs Anda aman dari bot jahat tanpa interaksi pengguna apa pun.

Kiat #3 – Gunakan Eskalasi Hak Istimewa untuk Membuat Pengguna Dukungan Universal

Fitur yang paling kurang dimanfaatkan di iThemes Security Pro adalah Privilege Eskalasi. Fitur ini memungkinkan Anda untuk sementara meningkatkan hak istimewa pengguna.

Setiap kali Anda membuat pengguna baru, terutama pengguna Admin, Anda menambahkan titik masuk lain yang dapat dieksploitasi oleh peretas. Namun, ada kalanya Anda mungkin memerlukan bantuan dari luar untuk situs web Anda, seperti saat Anda mencari dukungan.

Anda dapat membuat pengguna baru dan beri nama Dukungan dan berikan peran pengguna Pelanggan. Lain kali Anda perlu memberikan akses sementara ke situs web Anda, navigasikan ke halaman Profil pengguna Dukungan Anda.

Perbarui alamat email untuk mengizinkan orang dukungan luar meminta kata sandi baru. Kemudian gulir ke bawah hingga Anda melihat pengaturan Eskalasi Hak Istimewa Sementara . Klik sakelar Setel Peran Sementara , dan pilih Admin . Pengguna sekarang akan memiliki akses Admin selama 24 jam ke depan.

Jika mereka tidak membutuhkan 24 jam penuh, Anda dapat mencabut eskalasi hak istimewa dari halaman profil pengguna.

Tip #4 – Jadikan Keamanan Mudah bagi Pengguna Anda

Menurut definisi, setiap tindakan keamanan dirancang untuk mengurangi kenyamanan apa pun yang menerima keamanan tambahan. Jadi saya ingin membagikan tiga fitur di iThemes Security Pro yang dapat membuat keamanan menjadi mudah bagi semua orang di situs web Anda.

1. Orientasi Dua Faktor

Otentikasi dua faktor adalah proses verifikasi identitas seseorang dengan memerlukan dua metode verifikasi yang terpisah. Google membagikan di blognya bahwa menggunakan otentikasi dua faktor dapat menghentikan 100% serangan bot otomatis.

Orientasi dua faktor adalah cara yang mudah digunakan bagi orang-orang untuk menyiapkan dua faktor di akun mereka. Setiap pengguna yang mengaktifkan autentikasi dua faktor akan dipandu melalui alur orientasi saat mereka masuk lagi.

Setelah memasukkan kredensial Anda, Anda akan disajikan dengan teks selamat datang orientasi. Ingatlah bahwa Anda dapat menyesuaikan ini dalam pengaturan dua faktor Anda.

Sepanjang alur, Anda akan memiliki opsi untuk mengaktifkan dan mengonfigurasi metode dua faktor yang ingin Anda gunakan.

Pada akhir alur, Anda dan akun pengguna Anda akan memiliki lapisan keamanan yang kuat yang disediakan oleh autentikasi dua faktor.

Catatan: Baca posting sorotan fitur Perangkat Tepercaya untuk mempelajari lebih lanjut tentang Anda dapat mengamankan dan melindungi dasbor WordPress Anda.

2. Tautan Ajaib

Bot dapat keluar dari halaman penulis Anda untuk mengumpulkan nama pengguna untuk digunakan dalam serangan brute force di situs web Anda. Menyebalkan terkunci karena beberapa bot mencoba meretas masuk ke situs web Anda menggunakan nama pengguna Anda.

Saat nama pengguna Anda terkunci, Anda dapat meminta email dengan tautan masuk unik. Menggunakan tautan email akan melewati penguncian nama pengguna untuk Anda, sementara penyerang brute force masih terkunci.

Cukup klik tautan "Kirim tautan masuk resmi" untuk menerima email Tautan Ajaib Anda.

Setelah Anda menerima email, gunakan tautannya, masukkan kredensial Anda dan Anda akan kembali ke situs Anda!

Catatan: Baca posting sorotan fitur Tautan Ajaib untuk mempelajari lebih lanjut.

3. Login Tanpa Kata Sandi

Apakah kita di komunitas keamanan mau mengakuinya atau tidak, menggunakan pengelola kata sandi dan autentikasi dua faktor bisa merepotkan dan memakan waktu, terutama saat kita semakin banyak bergerak dari kehidupan kita secara online.

Jadi kami ingin menciptakan cara bagi orang-orang untuk mendapatkan semua keamanan yang disediakan oleh kata sandi yang kuat dan unik tanpa mengorbankan kegunaannya.

Apa itu Login Tanpa Kata Sandi?

Login tanpa kata sandi adalah cara baru untuk memverifikasi identitas pengguna tanpa benar-benar memerlukan kata sandi untuk login. Kami mengembangkan Tautan Ajaib menjadi metode login baru yang memungkinkan Anda mewajibkan pengguna untuk menggunakan kata sandi yang kuat dan autentikasi dua faktor tanpa pernah memasukkan kata sandi atau kode autentikasi tambahan.

Cara Kerja Metode Login Tanpa Kata Sandi

Saat login Anda akan diminta untuk memilih metode login. Klik tombol Email Magic Link untuk mengirim email yang berisi link login tanpa kata sandi.

Anda sekarang akan melihat pesan yang mengonfirmasi bahwa email telah dikirim.

Di kotak masuk email Anda, buka email Tautan Ajaib dan tombol Masuk Sekarang .

Dan hanya itu, tidak ada memasukkan kata sandi atau token dua faktor. Ini berarti bahwa setelah Anda mengaktifkan Login Tanpa Kata Sandi, Anda tidak perlu mengetahui kata sandi yang rumit atau menyalin dan menempelkan kode tambahan untuk login. Namun, orang-orang jahat yang mencoba memaksa situs Anda akan memiliki tingkat keberhasilan 0%.

Catatan: Lihat ebook Memulai dengan Login Tanpa Kata Sandi untuk mempelajari lebih lanjut.

Tip #5 – Aktifkan Menu Debug untuk Pemecahan Masalah Lanjutan

Mungkin ada saatnya Anda diminta oleh dukungan iThemes Security Pro untuk mengaktifkan menu debug. Untuk mengaktifkan menu Debug di iThemes Security Pro, Anda perlu menambahkan kode di bawah ini ke file wp-config.php Anda.

 define( 'ITSEC_DEBUG', true );

Pastikan untuk menambahkan kode di atas "Itu semua selamat blogging." garis.

Anda sekarang dapat mengakses menu Debug di iThemes Security Pro.

Anda dapat melihat Info Sistem Anda, memuat konfigurasi Pengaturan Anda, melihat Penjadwal peristiwa keamanan, dan email apa yang dikirim oleh Pusat Pemberitahuan. Alat pemecahan masalah debug yang ingin saya soroti dalam posting ini adalah Penjadwal.

Penjadwal

Penjadwal menampilkan semua acara terjadwal yang berbeda di iThemes Security Pro. Acara terjadwal adalah hal-hal seperti Pemindaian Situs, Pemindaian Perubahan File, menghapus penguncian, dan banyak lagi. Kesamaan fungsi-fungsi ini adalah kebutuhan mereka untuk dijadwalkan terlebih dahulu, dan mereka mengandalkan wp-cron untuk dijalankan.

Katakanlah Anda menyadari bahwa pemindaian File Change tidak berjalan di situs web Anda meskipun Anda mengaktifkan File Change di pengaturan keamanan Anda. Anda dapat mengaktifkan menu debug untuk melihat apakah File Change memindai dalam daftar acara terjadwal Anda. Jika tidak, ini berarti ada yang tidak beres sebelum acara dibuat. Anda dapat mengatasi masalah ini dengan mengklik tombol Reset ITSEC_Scheduler_Cron. Mengistirahatkan cron akan memaksa Penjadwal untuk memeriksa pengaturan keamanan dan menyusun kembali daftar acara terjadwal. Termasuk pindaian Perubahan File Anda yang hilang.

Membungkus

Plugin iThemes Security Pro menawarkan perlindungan yang sangat baik di luar kotak, tetapi jika Anda menyelami pengaturan, Anda akan menemukan beberapa alat keamanan yang sangat keren. Alat-alat ini dapat membantu menambahkan beberapa lapisan keamanan ke login dan dasbor WordPress Anda, memblokir bot jahat, dan bahkan membuat keamanan lebih mudah bagi semua orang di situs web Anda, termasuk Anda.

Michael Moore

Setiap minggu, Michael menyusun Laporan Kerentanan WordPress untuk membantu menjaga situs Anda tetap aman. Sebagai Manajer Produk di iThemes, dia membantu kami terus meningkatkan jajaran produk iThemes. Dia kutu buku raksasa & suka belajar tentang semua hal teknologi, lama & baru. Anda dapat menemukan Michael bergaul dengan istri & putrinya, membaca atau mendengarkan musik saat tidak bekerja.