Come configurare iThemes Security Pro sul sito dei tuoi clienti

Come trovare il giusto equilibrio tra usabilità e sicurezza? Come controlli quali notifiche di sicurezza vengono condivise con il tuo cliente? Configurare la sicurezza sul sito Web di un cliente può essere un compito arduo, ma non deve esserlo. In questo post, ti mostreremo come configurare rapidamente iThemes Security Pro sul sito Web del tuo cliente.

Come configurare iThemes Security Pro sul sito dei tuoi clienti Replay del webinar

Guarda un replay del webinar che abbiamo fatto sullo stesso argomento.

Ecco una rapida panoramica di ciò che tratteremo.

1. Come configurare le notifiche di iThemes Security Pro
2. Sicurezza di WordPress per diversi tipi di utenti
3. Utilizzo dei gruppi di utenti di iThemes Security Pro
4. Come creare un dashboard del client di sicurezza
5. Come automatizzare i controlli delle vulnerabilità e l'applicazione di patch
6. Escalation temporanea dei privilegi

1. Come configurare le notifiche di iThemes Security Pro

iThemes Security Pro condivide informazioni critiche sullo stato di sicurezza del tuo sito web. Tuttavia, questi messaggi possono creare grattacapi inutili se i tuoi clienti li fraintendono. Puoi semplificarti la vita se condividi le notifiche di sicurezza con le persone giuste.

Copriamo rapidamente i 5 posti in cui i tuoi clienti possono trovare le notifiche di sicurezza.

1. Notifiche del Centro messaggi : tutti i tuoi avvisi e aggiornamenti critici possono essere trovati nel Centro messaggi di sicurezza di iThemes situato nella barra di amministrazione di WordPress.
2. Notifiche e-mail : le notifiche di sicurezza come Security Digest e Notifiche di blocco possono essere inviate alla tua casella di posta.
3. Avvisi di accesso : quando è abilitato Dispositivi attendibili, utilizzerai il menu Avviso di accesso per confermare o bloccare un dispositivo.
4. Security Dashboard : il Centro messaggi si trova anche nel Security Dashboard.
5. Registri di sicurezza – Ora, questa non è una notifica nel senso tradizionale, ma iThemes Security Pro utilizza i registri di sicurezza per condividere con te eventi relativi alla sicurezza.

iThemes Security Notification Center

Il Centro notifiche ha tutti gli strumenti necessari per gestire le notifiche e-mail generate da iThemes Security Pro.

Il modulo Centro notifiche si trova nella pagina principale delle impostazioni di sicurezza. Fare clic sul pulsante Configura impostazioni per iniziare a personalizzare le notifiche e-mail.

Le prime due cose che vuoi impostare nel Centro notifiche sono l'elenco Da e -mail e Destinatari predefiniti .

Il Da e-mail è l'indirizzo e-mail che iThemes Security Pro utilizzerà per inviare notifiche. I destinatari predefiniti è l'elenco delle persone che riceveranno la notifica via e-mail se non diversamente specificato. Potrebbe essere una buona idea impostare solo il tuo utente come destinatario predefinito per impedire ai tuoi clienti di ricevere e-mail indesiderate.

Puoi anche personalizzare i destinatari per ogni notifica e-mail inviata da iThemes Security Pro. Diciamo che l'unica notifica e-mail che vuoi che il tuo cliente veda è il Security Digest. Per fare ciò, scorri verso il basso fino alle impostazioni e-mail di Security Digest e fai clic sull'interruttore Destinatario e seleziona Personalizzato .

Seleziona la casella accanto al nome utente del tuo cliente per aggiungerlo all'elenco e-mail di Security Digest.

Mentre parliamo dell'e-mail Security Digest, parliamo di come ridurre il numero di e-mail che ricevi da iThemes Security Pro. Durante i periodi di attacco pesante, iThemes Security può generare MOLTE email. Tuttavia, queste e-mail possono creare un mucchio di rumore inutile. Ad esempio, le notifiche di blocco sono solo iThemes Security Pro che si vanta di fare il suo lavoro, ma non c'è alcuna azione da intraprendere. Il cattivo è già bloccato, problema risolto. Detto questo, se ricevere una tonnellata di notifiche diventa la norma, potrebbe trasformarsi in un ragazzo che gridava al lupo. L'unica volta che ricevi un avviso che richiede la tua azione, puoi ignorarlo perché ricevi continuamente notifiche non urgenti.

Il Security Digest riduce il numero di e-mail inviate in modo da poter ricevere un riepilogo dei blocchi, delle scansioni di rilevamento delle modifiche ai file e delle escalation dei privilegi. Tieni presente che dovrai comunque disabilitare le singole notifiche per non riceverle più.

Ti mostreremo come impedire ai tuoi clienti di vedere altri tipi di notifiche più avanti nel post.

2. Sicurezza di WordPress per diversi tipi di utenti

Gran parte della sicurezza di WordPress si riduce alla sicurezza dell'utente. E non tutti gli utenti sono uguali, quindi non dovremmo avere una strategia di sicurezza unica per tutti gli utenti. Ecco perché vale la pena parlare dei diversi tipi di utenti che potresti avere su un sito web.

1. Amministratori del sito: gli amministratori del sito hanno il potere di apportare un sacco di modifiche su un sito Web WordPress. Con un grande potere viene una grande responsabilità. Molte volte, la sicurezza significa sacrificare un po' di comodità per un guadagno molto più significativo in termini di sicurezza. Va bene aggiungere un po' di attrito per questi utenti perché se i loro account dovessero cadere nelle mani sbagliate, puoi dire addio al tuo sito.
2. Responsabili del negozio: i gestori del negozio hanno lo stesso potere di un amministratore del sito e richiedono lo stesso elevato livello di sicurezza. Potresti avere un cliente che deve gestire il negozio WooCommerce, ma potresti non volere che incasinino le impostazioni di sicurezza del sito. Mostreremo come puoi farlo nella prossima sezione.
3. Collaboratori/Editori : i collaboratori e gli editor meritano comunque la tua attenzione perché possono apportare modifiche al tuo sito. Tuttavia, potrebbero non aver bisogno di un livello di sicurezza così elevato come gli amministratori del sito e i gestori dei negozi.
4. Abbonati/Clienti : gli abbonati e i clienti sono utenti di basso livello che non possono apportare modifiche su un sito Web WordPress. Anche se probabilmente vorrai fornire loro gli strumenti per proteggere il loro account, probabilmente non vorrai costringerli a usarli.

3. Utilizzo dei gruppi di utenti di iThemes Security Pro

Il modulo Gruppi di utenti in iThemes Security Pro ti consente di vedere rapidamente quali impostazioni che possono influenzare l'esperienza dell'utente sono abilitate e di apportare modifiche da un'unica posizione.

Per semplificare la gestione della sicurezza degli utenti sul tuo sito, iThemes Security Pro ordina tutti i tuoi utenti in gruppi diversi. Per impostazione predefinita, i tuoi utenti verranno raggruppati in base alle loro capacità di WordPress. L'ordinamento in base alle funzionalità di WordPress consente di combinare facilmente WordPress e ruoli utente personalizzati nello stesso gruppo. Ad esempio, se stai eseguendo un sito WooCommerce, gli amministratori del tuo sito e i responsabili del negozio saranno nel gruppo utenti amministratori e i tuoi abbonati e clienti saranno nel gruppo utenti abbonati.

Ora che abbiamo parlato dei diversi tipi di utenti su un sito Web WordPress, diamo un'occhiata all'utilizzo dei gruppi di utenti per configurare rapidamente la sicurezza degli utenti. In questa sezione imparerai come configurare la sicurezza per gli amministratori e gli abbonati del tuo sito.

Nelle impostazioni dei gruppi di utenti, seleziona il tuo gruppo di utenti amministratore per iniziare a modificare questo gruppo. La scheda Funzioni mostra quali impostazioni sono abilitate o disabilitate per il gruppo e la scheda Modifica gruppo consente di configurare i membri del gruppo.

Come abbiamo detto in precedenza, vorremmo un alto livello di sicurezza per il nostro gruppo di utenti amministratori .

1. Gestisci iThemes Security – I nostri utenti Admin avranno bisogno della capacità di gestire le impostazioni di sicurezza.
2. Abilita la creazione della dashboard : vogliamo che i nostri utenti amministratori creino la dashboard di sicurezza.
3. Rapporto di voto: i nostri utenti amministratori dovrebbero avere accesso al rapporto di voto.
4. Force Two Factor : dovremmo richiedere ai nostri utenti di alto livello di utilizzare l'autenticazione a due fattori.
5. Disabilitare l' onboarding a due fattori : vogliamo rendere l'iscrizione a 2fa il più semplice possibile.
6. Consenti la memorizzazione del dispositivo : potremmo voler richiedere ai nostri utenti amministratori di inserire un token a due fattori a ogni accesso per una maggiore sicurezza.
7. Password dell'applicazione : i nostri utenti amministratori potrebbero aver bisogno dell'opzione per configurare le password dell'applicazione.
8. Monitoraggio dell'attività : vorremmo una cronologia dell'attività del sito dei nostri utenti amministratori.
9. Accesso senza password : possiamo consentire a tutti di utilizzare questo metodo di accesso sicuro e conveniente.
10. Consenti il ​​bypass a due fattori per l'accesso senza password : questa è una preferenza personale. Non consentire il bypass di 2fa aumenterà la sicurezza dei tuoi accessi di amministratore.
11. Dispositivi affidabili : vogliamo limitare l'accesso alla nostra dashboard di amministrazione a un elenco di dispositivi approvati.
12. Richiedi password complesse : vogliamo che i nostri utenti di alto livello dispongano di password complesse.
13. Scadenza password : puoi impostare la scadenza delle password amministratore.
14. Rifiuta password compromesse : non consentire al tuo utente amministratore di riutilizzare le password che sono state trovate in violazioni del database.

Come abbiamo detto in precedenza, non vogliamo lo stesso alto livello di sicurezza per il nostro gruppo di utenti abbonati .

1. Gestisci iThemes Security – Non vogliamo che i nostri utenti di basso livello abbiano accesso alle impostazioni di sicurezza.
2. Abilita la creazione di dashboard : non vogliamo che gli utenti di basso livello creino dashboard di sicurezza.
3. Rapporto sui voti: gli utenti di basso livello non dovrebbero vedere il rapporto sui voti.
4. Force Two Factor : non vogliamo obbligare i nostri clienti o abbonati a utilizzare l'autenticazione a due fattori.
5. Disabilitare l'onboarding a due fattori : mentre vogliamo offrire ai nostri utenti di basso livello la possibilità di utilizzare 2fa, potremmo non volere che vedano il flusso di onboarding quando effettuano l'accesso.
6. Consenti la memorizzazione del dispositivo : potresti non voler aggiungere questo livello di complessità agli account utente di basso livello.
7. Password dell'applicazione : potresti non voler aggiungere questo livello di complessità agli account utente di basso livello.
8. Monitoraggio dell'attività : non vogliamo monitorare l'attività dei nostri utenti di basso livello.
9. Accesso senza password : possiamo consentire a tutti di utilizzare questo metodo di accesso sicuro e conveniente.
10. Consenti il ​​bypass a due fattori per l'accesso senza password
11. Dispositivi attendibili : potresti non voler aggiungere questo livello di complessità agli account utente di basso livello.
12. Richiedi password complesse : potresti non voler aggiungere questo livello di attrito agli account utente di basso livello.
13. Scadenza password : potresti non voler aggiungere questo livello di attrito agli account utente di basso livello.
14. Rifiuta password compromesse : probabilmente non dovresti nemmeno consentire ai tuoi utenti di basso livello di utilizzare password compromesse sul tuo sito.

Abbiamo parlato in precedenza di come potremmo volere che i nostri responsabili del negozio abbiano lo stesso livello di sicurezza elevato dei nostri utenti amministratori, ma limitando loro la gestione delle impostazioni di sicurezza. Possiamo creare un nuovo gruppo utenti solo per i nostri responsabili negozio e possiamo abilitare tutte le stesse funzionalità che abbiamo fatto per i nostri utenti amministratori oltre alla possibilità di gestire le impostazioni di sicurezza, creare dashboard di sicurezza o visualizzare il rapporto di valutazione. Ciò impedirà anche loro di vedere le notifiche di sicurezza di cui abbiamo discusso in precedenza.

4. Come creare un dashboard del client di sicurezza

Guardando la sicurezza di WordPress, le voci di registro possono richiedere molto tempo e persino confondere la comprensione. Il dashboard di sicurezza di iThemes dà vita ai tuoi registri di sicurezza raccogliendo elenchi correlati e visualizzandoli in un modo che ti interessa.

Il Security Dashboard è anche un ottimo modo per mostrare ai tuoi clienti perché ti pagano per proteggere il loro sito. Diamo un'occhiata a come puoi creare una dashboard di condivisione con il tuo cliente.

Dopo aver abilitato la dashboard, puoi visualizzarla sia dalla dashboard di amministrazione che dalle impostazioni di sicurezza nel menu di amministrazione di WordPress.

Successivamente, puoi creare una nuova dashboard utilizzando la dashboard predefinita di iThemes Security o crearne una da zero. Inserisci un nome per la tua bacheca e poi fai clic sul pulsante Crea bacheca.

Dopo aver configurato la dashboard a tuo piacimento, puoi fare clic sul pulsante Condividi .

Quindi seleziona l'utente con cui vuoi condividerlo.

5. Come automatizzare i controlli delle vulnerabilità e l'applicazione di patch

Sapevi che il motivo principale per cui i siti Web vengono compromessi sono le vulnerabilità per le quali una patch era disponibile ma non applicata? Non dare agli hacker un modo semplice per sfruttare i siti web dei tuoi clienti. Il nuovo iThemes Security Pro Site Scanner esegue automaticamente la scansione del tuo sito Web alla ricerca di vulnerabilità note di core, plug-in e temi di WordPress. E se una patch è disponibile. Il Site Scanner applicherà anche automaticamente la patch di sicurezza per correggere la vulnerabilità.

Abilita lo Scanner del sito nella pagina principale dell'impostazione di sicurezza per fare in modo che il tuo sito venga scansionato due volte al giorno alla ricerca di vulnerabilità note, malware e stato della lista di blocco di Google del sito.

Dovrai abilitare l'opzione Aggiornamento automatico se corregge la vulnerabilità nelle impostazioni di Gestione versione per concedere a iThemes Security Pro l'autorizzazione ad applicare automaticamente le correzioni di sicurezza.

6. Escalation temporanea dei privilegi

Forse la funzione più sottoutilizzata di tutti iThemes Security Pro, la funzione Escalation privilegi, ti consente di aumentare temporaneamente i privilegi di un singolo utente.

Ogni volta che crei un nuovo utente, in particolare un utente amministratore, aggiungi un ulteriore punto di ingresso da sfruttare per un hacker. Ma ci sono momenti in cui potresti aver bisogno di un aiuto esterno.

È possibile creare un nuovo utente dell'assistenza e assegnargli il ruolo di utente abbonato. La prossima volta che devi fornire un accesso temporaneo a qualcuno, vai alla pagina del profilo dell'utente dell'assistenza .

Aggiorna l'indirizzo e-mail per consentire alla persona di richiedere una nuova password, quindi scorri verso il basso fino a visualizzare le impostazioni di aumento dei privilegi temporanei . Fare clic sull'interruttore Imposta ruolo temporaneo e selezionare Amministratore . L'utente avrà ora accesso come amministratore per le prossime 24 ore. Se non hanno bisogno di tutte le 24 ore, puoi revocare l'escalation dei privilegi dalla pagina del profilo utente.

Avvolgendo

La configurazione della sicurezza sul sito di un cliente non deve essere scoraggiante. iThemes Security Pro ti fornisce gli strumenti necessari per applicare la giusta quantità di sicurezza alle persone giuste, limitare l'accesso alle informazioni di sicurezza sensibili solo alle persone che gestiscono la sicurezza.

Michael Moore

Ogni settimana, Michael mette insieme il Rapporto sulla vulnerabilità di WordPress per aiutare a mantenere i tuoi siti al sicuro. In qualità di Product Manager di iThemes, ci aiuta a continuare a migliorare la gamma di prodotti iThemes. È un nerd gigante e ama imparare tutto ciò che è tecnologico, vecchio e nuovo. Puoi trovare Michael che esce con sua moglie e sua figlia, leggendo o ascoltando musica quando non lavora.