Cara Mengonfigurasi iThemes Security Pro di Situs Klien Anda

Bagaimana Anda menemukan keseimbangan yang tepat antara kegunaan dan keamanan? Bagaimana Anda mengontrol pemberitahuan keamanan apa yang dibagikan dengan klien Anda? Mengonfigurasi keamanan di situs web klien bisa menjadi tugas yang menakutkan, tetapi tidak harus demikian. Dalam posting ini, kami akan menunjukkan kepada Anda cara mengonfigurasi iThemes Security Pro di situs web klien Anda dengan cepat.

Cara Mengonfigurasi iThemes Security Pro di Situs Klien Anda Pemutaran Ulang Webinar

Lihat replay webinar yang kami lakukan dengan topik yang sama.

Berikut adalah ikhtisar singkat tentang apa yang akan kita bahas.

1. Cara Mengonfigurasi Pemberitahuan Pro Keamanan iThemes
2. Keamanan WordPress untuk Berbagai Jenis Pengguna
3. Menggunakan Grup Pengguna iThemes Security Pro
4. Cara Membuat Dasbor Klien Keamanan
5. Cara Mengotomatiskan Pemeriksaan Kerentanan & Menambal
6. Eskalasi Hak Istimewa Sementara

1. Cara Mengonfigurasi Notifikasi iThemes Security Pro

iThemes Security Pro membagikan informasi penting tentang kesehatan keamanan situs web Anda. Namun, pesan-pesan ini dapat membuat sakit kepala yang tidak perlu jika klien Anda salah memahaminya. Anda dapat membuat hidup Anda jauh lebih mudah jika Anda berbagi pemberitahuan keamanan dengan orang yang tepat.

Mari dengan cepat membahas 5 tempat di mana Anda dapat menemukan notifikasi keamanan klien Anda.

1. Notifikasi Pusat Pesan – Semua peringatan dan pembaruan penting Anda dapat ditemukan di Pusat Pesan Keamanan iThemes yang terletak di bilah admin WordPress.
2. Pemberitahuan Email – Pemberitahuan keamanan seperti Intisari Keamanan dan Pemberitahuan Penguncian dapat dikirim ke kotak masuk Anda.
3. Peringatan Masuk – Saat Perangkat Tepercaya diaktifkan, Anda akan menggunakan menu Peringatan Masuk untuk mengonfirmasi atau memblokir perangkat.
4. Dasbor Keamanan – Pusat Pesan juga dapat ditemukan di Dasbor Keamanan.
5. Log Keamanan – Sekarang, ini bukan pemberitahuan dalam pengertian tradisional, tetapi iThemes Security Pro menggunakan log keamanan untuk berbagi peristiwa terkait keamanan dengan Anda.

Pusat Pemberitahuan Keamanan iThemes

Pusat Pemberitahuan memiliki semua alat yang Anda butuhkan untuk mengelola pemberitahuan email yang dihasilkan oleh iThemes Security Pro.

Modul Pusat Pemberitahuan terletak di halaman utama pengaturan keamanan. Klik tombol Konfigurasi Pengaturan untuk mulai menyesuaikan pemberitahuan email Anda.

Dua hal pertama yang ingin Anda atur di Pusat Pemberitahuan adalah daftar Dari Email dan Penerima Default .

Dari Email adalah alamat email yang akan digunakan iThemes Security Pro untuk mengirim pemberitahuan. Penerima Default adalah daftar orang yang akan menerima pemberitahuan email kecuali ditentukan lain. Mungkin ide yang baik untuk hanya menetapkan pengguna Anda sebagai penerima default untuk mencegah klien Anda menerima email yang tidak diinginkan.

Anda juga dapat menyesuaikan penerima untuk setiap notifikasi email yang dikirim dari iThemes Security Pro. Katakanlah satu-satunya pemberitahuan email yang Anda ingin klien Anda lihat adalah Intisari Keamanan. Untuk melakukan ini, gulir ke bawah ke pengaturan email Intisari Keamanan dan klik sakelar Penerima dan pilih Kustom .

Centang kotak di sebelah nama pengguna klien Anda untuk menambahkannya ke daftar email Intisari Keamanan.

Sementara kita berbicara tentang email Security Digest, mari kita bicara tentang bagaimana Anda dapat mengurangi jumlah email yang Anda terima dari iThemes Security Pro. Selama periode serangan berat, iThemes Security dapat menghasilkan BANYAK email. Namun, email ini dapat membuat banyak gangguan yang tidak perlu. Misalnya, Pemberitahuan Penguncian hanyalah iThemes Security Pro yang membual bahwa ia melakukan tugasnya, tetapi tidak ada tindakan apa pun untuk Anda ambil. Orang jahat sudah terkunci, masalah terpecahkan. Konon, jika menerima banyak notifikasi menjadi hal biasa, itu bisa berubah menjadi skenario anak laki-laki yang menangis serigala. Satu kali Anda menerima peringatan yang memang membutuhkan tindakan Anda, Anda dapat mengabaikannya karena Anda terus-menerus menerima pemberitahuan yang tidak mendesak.

Security Digest mengurangi jumlah email yang dikirim sehingga Anda dapat menerima ringkasan penguncian, pemindaian deteksi perubahan file, dan eskalasi hak istimewa. Ingatlah bahwa Anda masih perlu menonaktifkan notifikasi individual untuk berhenti menerimanya.

Kami akan menunjukkan kepada Anda cara menghentikan klien Anda dari melihat jenis pemberitahuan lain nanti di pos.

2. Keamanan WordPress untuk Berbagai Jenis Pengguna

Banyak keamanan WordPress bermuara pada keamanan pengguna. Dan, tidak semua pengguna diciptakan sama, jadi kita seharusnya tidak memiliki satu ukuran yang cocok untuk semua strategi keamanan pengguna. Itulah mengapa ada baiknya membicarakan berbagai jenis pengguna yang mungkin Anda miliki di situs web.

1. Admin Situs – Admin Situs memiliki kekuatan untuk membuat banyak perubahan di situs web WordPress. Dengan kekuatan besar datang tanggung jawab besar. Sering kali, keamanan berarti mengorbankan sedikit kenyamanan untuk mendapatkan keamanan yang jauh lebih signifikan. Tidak apa-apa untuk menambahkan sedikit gesekan untuk pengguna ini karena jika akun mereka jatuh ke tangan yang salah, Anda dapat mengucapkan selamat tinggal pada situs Anda.
2. Manajer Toko – Manajer Toko memiliki kekuatan yang sama dengan admin situs dan memerlukan tingkat keamanan yang sama tinggi. Anda mungkin memiliki klien yang perlu mengelola toko WooCommerce, tetapi Anda mungkin tidak ingin mereka mengacaukan pengaturan keamanan situs. Kami akan menunjukkan bagaimana Anda dapat mencapai ini di bagian berikutnya.
3. Kontributor/Editor – Kontributor dan Editor masih layak mendapatkan perhatian Anda karena mereka dapat membuat perubahan pada situs Anda. Namun, mereka mungkin tidak memerlukan tingkat keamanan setinggi admin situs dan manajer toko Anda.
4. Pelanggan/Pelanggan – Pelanggan dan Pelanggan adalah pengguna tingkat rendah yang tidak dapat membuat perubahan di situs WordPress. Meskipun Anda mungkin ingin memberi mereka alat untuk melindungi akun mereka, Anda mungkin tidak ingin memaksa mereka untuk menggunakannya.

3. Menggunakan Grup Pengguna iThemes Security Pro

Modul Grup Pengguna di iThemes Security Pro memungkinkan Anda dengan cepat melihat pengaturan mana yang dapat memengaruhi pengalaman pengguna yang diaktifkan dan membuat modifikasinya dari satu lokasi.

Untuk mempermudah mengelola keamanan pengguna di situs Anda, iThemes Security Pro mengurutkan semua pengguna Anda ke dalam grup yang berbeda. Secara default, pengguna Anda akan dikelompokkan berdasarkan kemampuan WordPress mereka. Penyortiran berdasarkan kemampuan WordPress memungkinkan penggabungan WordPress dan peran pengguna khusus dengan mudah ke dalam grup yang sama. Misalnya, jika Anda menjalankan situs WooCommerce, Administrator situs dan Manajer Toko Anda akan berada di Grup Pengguna Admin, dan Pelanggan serta Pelanggan Anda akan berada di Grup Pengguna Pelanggan.

Sekarang kita telah berbicara tentang berbagai jenis pengguna di Situs WordPress, mari kita lihat menggunakan Grup Pengguna untuk mengonfigurasi keamanan pengguna kita dengan cepat. Di bagian ini, Anda akan mempelajari cara mengonfigurasi keamanan untuk Admin dan Pelanggan situs Anda.

Dalam pengaturan Grup Pengguna, pilih Grup Pengguna Administrator Anda untuk mulai mengedit grup ini. Tab Fitur menunjukkan pengaturan mana yang diaktifkan atau dinonaktifkan untuk grup, dan tab Edit Grup memungkinkan Anda mengonfigurasi anggota grup.

Seperti yang kita bicarakan sebelumnya, kita akan menginginkan keamanan tingkat tinggi untuk Grup Pengguna Admin kami.

1. Kelola Keamanan iThemes – Pengguna Admin kami akan membutuhkan kemampuan untuk mengelola pengaturan keamanan.
2. Aktifkan Pembuatan Dasbor – Kami ingin pengguna Admin kami membuat Dasbor Keamanan.
3. Laporan Nilai – Pengguna Admin kami harus memiliki akses ke laporan nilai.
4. Force Two Factor – Kami harus mewajibkan pengguna tingkat tinggi kami untuk menggunakan otentikasi dua faktor.
5. Nonaktifkan Onboarding Dua Faktor – Kami ingin membuat pendaftaran di 2fa semudah mungkin.
6. Izinkan Perangkat Pengingat – Kami mungkin ingin meminta pengguna Admin kami untuk memasukkan token dua faktor pada setiap login untuk meningkatkan keamanan.
7. Kata Sandi Aplikasi – Pengguna Admin kami mungkin memerlukan opsi untuk mengonfigurasi kata sandi aplikasi.
8. Pemantauan Aktivitas - Kami akan menginginkan riwayat aktivitas situs pengguna Admin kami.
9. Login Tanpa Kata Sandi – Kami dapat mengizinkan semua orang menggunakan metode login yang aman dan nyaman ini.
10. Izinkan Bypass Dua Faktor untuk Login Tanpa Kata Sandi – Ini adalah preferensi pribadi. Tidak mengizinkan bypass 2fa akan meningkatkan keamanan login Admin Anda.
11. Perangkat Tepercaya – Kami ingin membatasi akses ke dasbor Admin kami ke daftar perangkat yang disetujui.
12. Memerlukan Kata Sandi yang Kuat – Kami ingin pengguna tingkat tinggi kami memiliki kata sandi yang kuat.
13. Kedaluwarsa Kata Sandi – Anda dapat mengatur kata sandi Admin Anda untuk kedaluwarsa.
14. Tolak Kata Sandi yang Disusupi – Jangan biarkan pengguna Admin Anda menggunakan kembali kata sandi yang ditemukan dalam pelanggaran basis data.

Seperti yang kami bicarakan sebelumnya, kami tidak menginginkan tingkat keamanan yang sama untuk Grup Pengguna Pelanggan kami.

1. Kelola Keamanan iThemes – Kami tidak ingin pengguna tingkat rendah kami memiliki akses ke pengaturan keamanan.
2. Aktifkan Pembuatan Dasbor – Kami tidak ingin pengguna tingkat rendah membuat Dasbor Keamanan.
3. Laporan Nilai – Pengguna tingkat rendah seharusnya tidak melihat Laporan Nilai.
4. Force Two Factor – Kami tidak ingin memaksa pelanggan atau pelanggan kami untuk menggunakan otentikasi dua faktor.
5. Nonaktifkan Onboarding Dua Faktor – Meskipun kami ingin memberikan opsi kepada pengguna tingkat rendah kami untuk menggunakan 2fa, kami mungkin tidak ingin mereka melihat alur orientasi saat masuk.
6. Izinkan Mengingat Perangkat – Anda mungkin tidak ingin menambahkan tingkat kerumitan ini ke akun pengguna tingkat rendah.
7. Kata Sandi Aplikasi – Anda mungkin tidak ingin menambahkan tingkat kerumitan ini ke akun pengguna tingkat rendah.
8. Pemantauan Aktivitas – Kami tidak ingin memantau aktivitas pengguna tingkat rendah kami.
9. Login Tanpa Kata Sandi – Kami dapat mengizinkan semua orang menggunakan metode login yang aman dan nyaman ini.
10. Izinkan Bypass Dua Faktor untuk Login Tanpa Kata Sandi
11. Perangkat Tepercaya – Anda mungkin tidak ingin menambahkan tingkat kerumitan ini ke akun pengguna tingkat rendah.
12. Memerlukan Kata Sandi yang Kuat – Anda mungkin tidak ingin menambahkan tingkat gesekan ini ke akun pengguna tingkat rendah.
13. Kedaluwarsa Kata Sandi – Anda mungkin tidak ingin menambahkan tingkat gesekan ini ke akun pengguna tingkat rendah.
14. Tolak Kata Sandi yang Disusupi – Anda bahkan tidak boleh membiarkan pengguna tingkat rendah Anda menggunakan kata sandi yang disusupi di situs Anda.

Kami berbicara sebelumnya tentang bagaimana kami mungkin ingin Manajer Toko kami memiliki tingkat keamanan yang sama dengan Pengguna Admin kami tetapi membatasi mereka dari mengelola pengaturan keamanan. Kami dapat membuat Grup Pengguna baru hanya untuk Manajer Toko kami dan kami dapat mengaktifkan semua fitur yang sama seperti yang kami lakukan untuk Pengguna Admin kami selain kemampuan untuk mengelola pengaturan keamanan, membuat dasbor keamanan, atau melihat laporan nilai. Melakukan hal ini juga akan mencegah mereka melihat pemberitahuan keamanan yang telah kita bahas sebelumnya.

4. Cara Membuat Dasbor Klien Keamanan

Melihat keamanan WordPress Anda, entri log dapat memakan waktu dan bahkan membingungkan untuk dipahami. Dasbor Keamanan iThemes menghidupkan log keamanan Anda dengan mengumpulkan daftar terkait dan menampilkannya dengan cara yang relevan bagi Anda.

Dasbor Keamanan juga merupakan cara yang bagus untuk menunjukkan kepada klien Anda mengapa mereka membayar Anda untuk mengamankan situs mereka. Mari kita lihat bagaimana Anda dapat membuat dasbor berbagi dengan klien Anda.

Setelah Anda mengaktifkan dasbor, Anda dapat melihatnya dari Dasbor Admin dan pengaturan Keamanan di menu Admin WordPress Anda.

Selanjutnya, Anda dapat membuat dasbor baru menggunakan dasbor default Keamanan iThemes atau membuatnya dari awal. Masukkan nama untuk papan Anda dan kemudian klik tombol Buat Papan.

Setelah mengkonfigurasi dashboard sesuai dengan keinginan Anda, Anda dapat mengklik tombol Bagikan .

Kemudian pilih pengguna yang ingin Anda bagikan.

5. Cara Mengotomatiskan Pemeriksaan Kerentanan & Menambal

Tahukah Anda bahwa # 1 alasan situs web diretas adalah kerentanan di mana patch tersedia tetapi tidak diterapkan? Jangan beri peretas cara mudah untuk mengeksploitasi situs web klien Anda. Pemindai Situs Pro Keamanan iThemes baru secara otomatis memindai situs web Anda untuk mengetahui inti WordPress, plugin, dan kerentanan tema. Dan jika patch tersedia. Pemindai Situs bahkan akan secara otomatis menerapkan patch keamanan untuk memperbaiki kerentanan.

Aktifkan Pemindai Situs di halaman utama setelan keamanan agar situs Anda dipindai dua kali sehari untuk mengetahui kerentanan yang diketahui, malware, dan status daftar blokir Google situs.

Anda harus mengaktifkan opsi Pembaruan Otomatis Jika Memperbaiki Kerentanan di pengaturan Manajemen Versi untuk memberikan izin iThemes Security Pro untuk menerapkan perbaikan keamanan secara otomatis.

6. Peningkatan Hak Istimewa Sementara

Mungkin fitur yang paling kurang dimanfaatkan di semua iThemes Security Pro, fitur Privilege Escalation, memungkinkan Anda untuk meningkatkan hak istimewa satu pengguna untuk sementara.

Setiap kali Anda membuat pengguna baru, terutama pengguna Admin, Anda menambahkan titik masuk tambahan untuk dieksploitasi oleh peretas. Tetapi ada kalanya Anda mungkin membutuhkan bantuan dari luar.

Anda dapat membuat pengguna Dukungan baru dan memberinya peran pengguna Pelanggan. Lain kali Anda perlu memberikan akses sementara kepada seseorang, navigasikan ke halaman Profil pengguna Dukungan Anda.

Perbarui alamat email untuk mengizinkan orang tersebut meminta kata sandi baru, lalu gulir ke bawah hingga Anda melihat pengaturan Peningkatan Hak Istimewa Sementara . Klik sakelar Setel Peran Sementara , dan pilih Admin . Pengguna sekarang akan memiliki akses Admin selama 24 jam ke depan. Jika mereka tidak membutuhkan 24 jam penuh, Anda dapat mencabut eskalasi hak istimewa dari halaman profil pengguna.

Membungkus

Mengonfigurasi keamanan di situs klien tidak harus menakutkan. iThemes Security Pro memberi Anda alat yang Anda butuhkan untuk menerapkan jumlah keamanan yang tepat kepada orang yang tepat, membatasi akses ke informasi keamanan sensitif hanya untuk orang yang mengelola keamanan.

Michael Moore

Setiap minggu, Michael menyusun Laporan Kerentanan WordPress untuk membantu menjaga situs Anda tetap aman. Sebagai Manajer Produk di iThemes, dia membantu kami terus meningkatkan jajaran produk iThemes. Dia kutu buku raksasa & suka belajar tentang semua hal teknologi, lama & baru. Anda dapat menemukan Michael bergaul dengan istri & putrinya, membaca atau mendengarkan musik saat tidak bekerja.