5 suggerimenti e trucchi avanzati per iThemes Security Pro
Pubblicato: 2020-09-02Il plug-in iThemes Security Pro ha oltre 50 modi diversi per proteggere e proteggere il tuo sito Web WordPress. Puoi abilitare la maggior parte dei metodi di sicurezza in iThemes Security Pro con un semplice clic di un pulsante. Tuttavia, se puoi dedicare qualche minuto per immergerti nelle impostazioni, puoi aggiungere diversi livelli di protezione al tuo sito Web WordPress.
In questo post, ti forniremo 5 suggerimenti e trucchi avanzati per iThemes Security Pro per portare la sicurezza del tuo sito Web al livello successivo.
Suggerimento n. 1 – Proteggi la tua dashboard WP con dispositivi affidabili
La funzione Dispositivi attendibili di iThemes Security Pro limita l'accesso alla dashboard di WordPress a un elenco di dispositivi approvati.
Dopo aver comunicato a iThemes Security Pro quali sono i tuoi dispositivi, Trusted Devices può proteggere il tuo sito in 2 modi diversi:
1. Limitare le capacità dei dispositivi non riconosciuti : quando qualcuno accede utilizzando un dispositivo non riconosciuto, puoi limitare le sue capacità a livello di amministratore e impedirgli di modificare i suoi dettagli di accesso. iThemes Security Pro invierà quindi un'e-mail all'indirizzo impostato nel proprio profilo utente WordPress.
L'e-mail di accesso non riconosciuta avrà la possibilità di confermare o bloccare il dispositivo. Se si fa clic sul pulsante Conferma dispositivo , le capacità di amministratore dell'utente verranno ripristinate. Se si fa clic sul pulsante Non ero io , iThemes Security Pro disconnetterà l'utente illegittimo e il dispositivo sarà l'elenco dei dispositivi negati nel profilo WordPress.
2. Protezione dal dirottamento della sessione: il dirottamento della sessione è un attacco in cui una sessione utente viene rilevata da un utente malintenzionato. Ad esempio, WordPress genera un cookie di sessione ogni volta che accedi al tuo sito web. E supponiamo che tu abbia un'estensione del browser con una vulnerabilità che consente agli hacker di dirottare il cookie del browser. Dopo aver dirottato la tua sessione, l'hacker sarà in grado di iniziare ad apportare modifiche dannose al tuo sito web.
Se il dispositivo di un utente cambia durante una sessione, iThemes Security disconnetterà automaticamente l'utente per impedire qualsiasi attività non autorizzata sull'account dell'utente, come la modifica dell'indirizzo e-mail dell'utente o il caricamento di plug-in dannosi.
Suggerimento n. 2: utilizzare Google reCAPTCHA v3 per bloccare i bot dannosi
La funzione Google reCAPTCHA in iThemes Security Pro protegge il tuo sito da bot dannosi. Questi bot stanno cercando di entrare nel tuo sito Web utilizzando password compromesse, pubblicando spam o persino raschiando i tuoi contenuti. reCAPTCHA utilizza tecniche avanzate di analisi del rischio per distinguere gli esseri umani dai robot.
La cosa fantastica di reCAPTCHA versione 3 è che ti aiuta a rilevare il traffico di bot abusivi sul tuo sito web senza alcuna interazione da parte dell'utente. Invece di mostrare una sfida CAPTCHA, reCAPTCHA v3 monitora le diverse richieste fatte e restituisce un punteggio. Il punteggio varia da 0,01 a 1. Più alto è il punteggio restituito da reCAPTCHA, più è sicuro che un essere umano abbia effettuato la richiesta. Più basso è questo punteggio restituito da reCAPTCHA, più è sicuro che un bot abbia effettuato la richiesta.
iThemes Security Pro ti consente di impostare una soglia di blocco utilizzando il punteggio reCAPTCHA. Google consiglia di utilizzare 0,5 come predefinito. Tieni presente che potresti inavvertitamente bloccare gli utenti legittimi se imposti la soglia troppo alta.
Supponiamo che imposti la soglia di blocco su 1, il che significa che vuoi che Google blocchi tutto ciò che non è sicuro al 100% sia umano. Ora uno dei tuoi clienti invia una richiesta di accesso al tuo sito web. Inoltre, questo cliente utilizza un gestore di password per compilare automaticamente le proprie password e reCAPTCHA assegna alla richiesta di accesso un punteggio di 0,7.
Quindi, anche se il tuo cliente non ha utilizzato la tastiera per digitare le credenziali, Google è abbastanza sicuro che il tuo cliente sia umano. Tuttavia, il tuo cliente verrà comunque bloccato perché hai impostato una soglia di 1.
Puoi abilitare reCAPTCHA sulla registrazione utente di WordPress, reimpostare la password, accedere e commentare. iThemes Security Pro ti consente di eseguire lo script reCAPTCHA di Google su tutte le pagine per aumentare la precisione del punteggio bot rispetto al punteggio umano.
Google reCAPTCHA versione 3 è incredibile! Aiuta a proteggere te e i visitatori del tuo sito da bot dannosi senza alcuna interazione da parte dell'utente.
Suggerimento n. 3: utilizzare l'escalation dei privilegi per creare un utente del supporto universale
La funzionalità più sottoutilizzata in iThemes Security Pro è l'escalation dei privilegi. La funzione consente di aumentare temporaneamente i privilegi di un utente.
Ogni volta che crei un nuovo utente, in particolare un utente amministratore, aggiungi un altro punto di ingresso che un hacker potrebbe sfruttare. Tuttavia, a volte potresti aver bisogno di un aiuto esterno per il tuo sito Web, ad esempio quando cerchi supporto.
È possibile creare un nuovo utente e denominarlo Supporto e assegnargli il ruolo utente Abbonato. La prossima volta che devi fornire un accesso temporaneo al tuo sito web, vai alla pagina del profilo dell'utente dell'assistenza .
Aggiorna l'indirizzo e-mail per consentire alla persona di supporto esterno di richiedere una nuova password. Quindi scorrere verso il basso fino a visualizzare le impostazioni di escalation privilegi temporanei . Fare clic sull'interruttore Imposta ruolo temporaneo e selezionare Amministratore . L'utente avrà ora accesso come amministratore per le prossime 24 ore.
Se non hanno bisogno di tutte le 24 ore, puoi revocare l'escalation dei privilegi dalla pagina del profilo utente.
Suggerimento n. 4 – Rendi la sicurezza facile per i tuoi utenti
Per definizione, ogni misura di sicurezza è progettata per ridurre la comodità di qualunque cosa riceva la sicurezza aggiuntiva. Quindi voglio condividere tre funzionalità in iThemes Security Pro che possono rendere la sicurezza facile per tutti sul tuo sito web.
1. Onboarding a due fattori
L'autenticazione a due fattori è un processo di verifica dell'identità di una persona che richiede due metodi di verifica separati. Google ha condiviso sul suo blog che l'utilizzo dell'autenticazione a due fattori può bloccare il 100% degli attacchi bot automatizzati.
L'onboarding a due fattori è un modo intuitivo per le persone di impostare due fattori sui propri account. Ogni utente che ha abilitato l'autenticazione a due fattori verrà guidato attraverso il flusso di onboarding al successivo accesso.
Dopo aver inserito le tue credenziali, ti verrà presentato il testo di benvenuto all'imbarco. Tieni presente che puoi personalizzarlo nelle impostazioni a due fattori.
Durante il flusso, avrai la possibilità di abilitare e configurare i metodi a due fattori che desideri utilizzare.
Alla fine del flusso, tu e gli account dei tuoi utenti avrete un forte livello di sicurezza fornito dall'autenticazione a due fattori.
2. Collegamenti magici
Un bot può sfuggire alla pagina del tuo autore per raccogliere nomi utente da utilizzare in un attacco di forza bruta sul tuo sito web. Fa schifo rimanere bloccati perché alcuni bot stanno cercando di entrare nel tuo sito web usando il tuo nome utente.
Quando il tuo nome utente è bloccato, puoi richiedere un'e-mail con un link di accesso univoco. L'utilizzo del collegamento inviato tramite e-mail consentirà di ignorare il blocco del nome utente, mentre gli aggressori di forza bruta sono ancora bloccati.
Basta fare clic sul collegamento "Invia collegamento di accesso autorizzato" per ricevere l'e-mail di Magic Links.
Una volta ricevuta la mail, usa il link, inserisci le tue credenziali e sarai di nuovo nel tuo sito!
3. Login senza password
Indipendentemente dal fatto che noi della comunità della sicurezza lo vogliamo ammettere o meno, l'utilizzo di un gestore di password e dell'autenticazione a due fattori può essere una seccatura e richiedere molto tempo, soprattutto perché spostiamo sempre più le nostre vite online.
Quindi volevamo creare un modo per consentire alle persone di ottenere tutta la sicurezza fornita da una password forte e unica senza sacrificare l'usabilità.
Cosa sono gli accessi senza password?
L'accesso senza password è un nuovo modo per verificare l'identità di un utente senza richiedere effettivamente una password per l'accesso. Abbiamo evoluto Magic Links in un nuovo metodo di accesso che ti consente di richiedere agli utenti di utilizzare password complesse e autenticazione a due fattori senza mai inserire una password o un codice di autenticazione aggiuntivo.
Come funziona il metodo di accesso senza password
Quando accedi ti verrà chiesto di scegliere un metodo di accesso. Fare clic sul pulsante Email Magic Link per inviare l'e-mail contenente il collegamento di accesso senza password.
Ora vedrai un messaggio che conferma che l'e-mail è stata inviata.
Nella tua casella di posta elettronica, apri l'e-mail di Magic Link e il pulsante Accedi ora .
E questo è tutto, nessuna immissione di password o token a due fattori. Ciò significa che una volta abilitato Passowordless Login, non è necessario conoscere la password complicata o copiare e incollare un codice aggiuntivo per accedere. Tuttavia, quei cattivi che cercano di forzare il tuo sito avranno una percentuale di successo dello 0%.
Suggerimento n. 5: abilita il menu di debug per la risoluzione dei problemi avanzata
Potrebbero esserci volte in cui ti viene chiesto dal supporto di iThemes Security Pro di abilitare il menu di debug. Per abilitare il menu Debug in iThemes Security Pro, dovrai aggiungere il codice seguente al tuo file wp-config.php.
define( 'ITSEC_DEBUG', true );Assicurati di aggiungere il codice sopra "Questo è tutto felice blogging". linea.
Ora sarai in grado di accedere al menu Debug in iThemes Security Pro.
Puoi visualizzare le tue informazioni di sistema , caricare la configurazione delle tue impostazioni , visualizzare il programma di pianificazione degli eventi di sicurezza e quali e-mail vengono inviate dal Centro notifiche. Lo strumento di risoluzione dei problemi di debug che voglio evidenziare in questo post è lo Scheduler.
Pianificatore
Lo Scheduler ti mostra tutti i diversi eventi programmati in iThemes Security Pro. Gli eventi pianificati sono cose come le scansioni del sito, le scansioni delle modifiche ai file, la cancellazione dei blocchi e molto altro ancora. Ciò che queste funzioni hanno in comune è la necessità di essere pianificate in anticipo e si basano su wp-cron per l'esecuzione.
Diciamo che ti è venuto in mente che la scansione di Modifica file non è in esecuzione sul tuo sito Web anche se hai abilitato Modifica file nelle impostazioni di sicurezza. È possibile abilitare il menu di debug per vedere se la scansione di Modifica file nell'elenco degli eventi pianificati. In caso contrario, significa che qualcosa è andato storto prima della creazione di un evento. Puoi risolvere questo problema facendo clic sul pulsante ITSEC_Scheduler_Cron Reset . Il riposo del cron costringerà lo Scheduler a controllare le impostazioni di sicurezza e ricostruire l'elenco degli eventi pianificati. Comprese le scansioni di Modifica file mancanti.
Avvolgendo
Il plug-in iThemes Security Pro offre un'eccellente protezione immediata, ma se ti immergi nelle impostazioni, troverai alcuni strumenti di sicurezza davvero interessanti. Questi strumenti possono aiutarti ad aggiungere diversi livelli di sicurezza al tuo login e dashboard di WordPress, bloccare i bot dannosi e persino rendere la sicurezza più semplice per tutti sul tuo sito web, incluso te.
Ogni settimana, Michael mette insieme il Rapporto sulla vulnerabilità di WordPress per aiutare a mantenere i tuoi siti al sicuro. In qualità di Product Manager di iThemes, ci aiuta a continuare a migliorare la gamma di prodotti iThemes. È un nerd gigante e ama imparare tutto ciò che è tecnologico, vecchio e nuovo. Puoi trovare Michael che esce con sua moglie e sua figlia, leggendo o ascoltando musica quando non lavora.
