Le 10 cose migliori da fare dopo aver installato iThemes Security Pro
Pubblicato: 2020-09-17iThemes Security Pro è pieno zeppo di oltre 50 metodi di sicurezza per proteggere e proteggere il tuo sito Web WordPress. Sono un sacco di opzioni!
Se ti ritrovi a non sapere da dove cominciare dopo aver installato iThemes Security Pro, non preoccuparti, ti abbiamo coperto. In questo post, tratteremo le 10 cose principali da fare dopo aver installato iThemes Security Pro.
1. Esegui il controllo di sicurezza
Ci sono diversi motivi per cui vorrai eseguire iThemes Security Pro Security Check . Il controllo di sicurezza abilita tutte le impostazioni di iThemes Security Pro che funzionano bene in tutti gli ambienti, compresi quelli con risorse limitate.
Parliamo delle impostazioni abilitate dal Security Check.
- Protezione dalla forza bruta locale: la funzione Protezione dalla forza bruta locale tiene traccia dei tentativi di accesso non validi effettuati da IP e nomi utente. Una volta che un utente malintenzionato ha effettuato troppi tentativi di accesso non validi consecutivi, verrà bloccato.
- Utenti esclusi: la funzione Utenti esclusi tiene traccia dei blocchi IP. Una volta che un IP è diventato un recidivo, iThemes Security Pro aggiungerà l'IP all'elenco degli host vietati e impedirà all'IP di essere in grado di visualizzare il tuo sito Web, per non parlare di provare ad accedere.
- Backup del database: la funzione Backup del database crea backup del database del tuo sito.
- Link magici: la funzione Link magici ti consente di richiedere un'e-mail con un link di accesso univoco quando il tuo nome utente è bloccato. L'utilizzo del collegamento inviato tramite e-mail ti consentirà di aggirare il blocco, mentre gli aggressori di forza bruta sono rimasti bloccati.
- Accesso senza password: la funzione di accesso senza password è un nuovo modo per verificare l'identità di un utente senza richiedere effettivamente una password per accedere.
- Scansione del sito: la scansione del sito verifica la presenza di vulnerabilità note sul tuo sito e applica automaticamente una patch, se disponibile.
- Autenticazione a due fattori: l'autenticazione a due fattori è un processo di verifica dell'identità di una persona che richiede due metodi di verifica separati.
- Registrazione utente: la funzione Registrazione utente fa esattamente quello che pensi; registra le azioni dell'utente come l'accesso e il salvataggio del contenuto.
- WordPress Tweaks : non tutte le opzioni di WordPress Tweaks sono abilitate dal controllo di sicurezza. Sono abilitati metodi di sicurezza essenziali come la disabilitazione dell'editor di file , il blocco di più tentativi di autenticazione per richiesta XML-RPC , la limitazione dell'accesso all'API REST e la mitigazione degli attacchi di attraversamento dei file allegati .
L'esecuzione del controllo di sicurezza aiuterà anche a prevenire eventuali blocchi involontari del server identificando il server del tuo sito Web e gli IP di loopback. Il controllo di sicurezza verificherà anche gli IP remoti che colpiscono il tuo sito Web per proteggerli dallo spoofing IP.
Inoltre, il Controllo di sicurezza... controlla se il tuo server ha un certificato SSL abilitato e se le tue richieste di pagina HTTP vengono reindirizzate a HTTPs. Una pagina caricata tramite HTTP protegge i tuoi visitatori con la crittografia SSL. Forza il reindirizzamento HTTPS dal menu Controllo sicurezza.
Infine, il controllo di sicurezza ti chiederà di attivare la tua licenza Network Brute Force Protection. La Brute Force Network aiuta gli utenti di iThemes Security a proteggersi a vicenda. Gli IP che vengono bloccati per aver attaccato il tuo sito Web, insieme all'IP bloccato di altri siti Web protetti da iThemes Security, verranno segnalati alla rete Brute Force. Una volta che un IP è nella rete Brute Force, verrà bloccato da tutti i siti della rete.
2. Abilita la correzione automatica delle vulnerabilità
Il controllo di sicurezza abilita la scansione del sito che controllerà automaticamente il tuo sito Web per le vulnerabilità note di WordPress, plug-in e temi. È fantastico, ma iThemes Security Pro può fare un ulteriore passo avanti. Se viene rilevata una vulnerabilità sul tuo sito Web, iThemes Security Pro può applicare automaticamente una patch, se disponibile.
Tutto quello che devi fare è abilitare l'opzione Aggiornamento automatico se corregge la vulnerabilità nelle impostazioni di Gestione versione .
3. Blocca i bot dannosi con Google reCAPTCHA v3
La funzione Google reCAPTCHA in iThemes Security Pro protegge il tuo sito da bot dannosi. Questi bot stanno cercando di entrare nel tuo sito Web utilizzando password compromesse, pubblicando spam o persino raschiando i tuoi contenuti. reCAPTCHA utilizza tecniche avanzate di analisi del rischio per distinguere gli esseri umani dai robot.
La cosa fantastica di reCAPTCHA versione 3 è che ti aiuta a rilevare il traffico di bot abusivi sul tuo sito web senza alcuna interazione da parte dell'utente. Invece di mostrare una sfida CAPTCHA, reCAPTCHA v3 monitora le diverse richieste fatte sul tuo sito e restituisce un punteggio per ogni richiesta. Il punteggio varia da 0,01 a 1. Più alto è il punteggio restituito da reCAPTCHA, più è sicuro che un essere umano abbia effettuato la richiesta. Più basso è questo punteggio restituito da reCAPTCHA, più è sicuro che un bot abbia effettuato la richiesta.
iThemes Security Pro ti consente di impostare una soglia di blocco utilizzando il punteggio reCAPTCHA. Google consiglia di utilizzare 0,5 come predefinito. Tieni presente che potresti inavvertitamente bloccare gli utenti legittimi se imposti la soglia troppo alta.
Puoi abilitare reCAPTCHA sulla registrazione utente di WordPress, reimpostare la password, accedere e commentare. iThemes Security Pro ti consente di eseguire lo script reCAPTCHA di Google su tutte le pagine per aumentare la precisione del punteggio bot rispetto al punteggio umano.
4. Proteggi il tuo account utente con un'app 2FA
iThemes Security Pro ti offre tre diversi metodi di autenticazione a due fattori per proteggere gli utenti di WordPress.
- App mobile : questo metodo richiede l'utilizzo di un'app mobile gratuita a due fattori come Authy.
- E -mail: il metodo e-mail di due fattori invierà codici sensibili al tempo all'indirizzo e-mail dell'utente.
- Codici di backup : una serie di codici monouso che possono essere utilizzati per accedere in caso di perdita del metodo a due fattori principale.
Il metodo dell'app mobile è il più sicuro, quindi diamo un'occhiata a come puoi aggiungere questo livello di sicurezza al tuo utente.
La prima cosa che devi fare è scaricare un'app 2fa come Authy e quindi accedere alla pagina del tuo profilo utente di WordPress. Una volta che sei nel tuo profilo WordPress, scorri verso il basso fino a vedere l'intestazione Opzioni di autenticazione a due fattori . Assicurati di selezionare le caselle per abilitare il metodo dell'app mobile e renderlo la tua forma principale di 2fa. Ora fai clic sul pulsante Visualizza codice QR e chiave segreta .
Dal tuo telefono, scansiona il codice QR per continuare a collegare il segreto alla tua app mobile.
Ora inserisci il codice a 6 cifre dal tuo telefono nel tuo browser web e fai clic su Verifica per completare la configurazione.
5. Crea un dashboard di sicurezza
L'iThemes Security Dashboard è un dashboard dinamico con tutte le statistiche sull'attività di sicurezza del tuo sito web in un unico posto. Il Security Dashboard dà vita ai tuoi registri di sicurezza riunendo le voci correlate e visualizzandole in un modo che ti interessa.
La dashboard ordina l'attività di sicurezza del tuo sito web in Security Cards . Pensa a loro come a figurine di baseball. Le carte da baseball non ti danno informazioni su tutti i giocatori della MLB. Le carte si preoccupano solo del ragazzo raffigurato sul davanti. Allo stesso modo, le carte di sicurezza non ti mostrano ogni voce nel registro. Invece, ti offrono solo informazioni relative a quella carta specifica.
Le 11 carte di sicurezza
1. Scansioni del sito
Guarda la cronologia delle tue scansioni del sito iThemes Security Pro.
2. Profili di sicurezza degli utenti
Visualizza un elenco di ogni utente amministratore sul sito. Fare clic su qualsiasi nome utente per ottenere una panoramica della sicurezza.
3. Profilo di sicurezza dell'utente
Aggiungi il profilo di un singolo utente alla tua dashboard e visualizza il suo ruolo utente, la sicurezza della password e l'età, se hanno attivato o meno due fattori e quando sono stati l'ultima volta sul sito.
4. Blocchi attivi
Visualizza tutti i blocchi attivi. Se il tuo cliente si è bloccato, puoi rimuovere rapidamente il blocco da questa carta.
5. Blocco
Consulta la cronologia dei blocchi sul nostro sito.
6. Panoramica sui divieti
Visualizza una cronologia se gli IP sono stati banditi da iThemes Security.
7. Attacchi di forza bruta
Visualizza un grafico che rappresenta l'attività della forza bruta.
8. Dispositivi affidabili
Visualizza un grafico dei dispositivi approvati, approvati automaticamente e bloccati.
9. 404
Visualizza una panoramica dei 404 negli ultimi 30 giorni.
10. Backup del database
Visualizza una cronologia dei backup di 30 giorni e crea un nuovo backup del database.
11. Riepilogo aggiornamento
Visualizza il numero di aggiornamenti di WordPress, plugin e temi in un periodo di tempo specifico.
12. Utenti esclusi
Gestisci l'elenco degli host vietati del tuo sito web.
Come creare un dashboard di sicurezza in iThemes Security Pro
Per iniziare a utilizzare Security Dashboard, assicurati che sia abilitato nella pagina principale delle impostazioni di sicurezza.
Una volta abilitato, puoi creare la tua prima dashboard di sicurezza sia dal menu Admin Dashboard che dalle impostazioni di sicurezza nel menu Admin di WordPress .
Successivamente, puoi creare una nuova dashboard utilizzando la dashboard predefinita di iThemes Security o crearne una da zero. Inserisci un nome per la tua bacheca e poi fai clic sul pulsante Crea bacheca.
L'obiettivo del Security Dashboard è fornirti le informazioni che desideri in un modo che abbia senso per te. Puoi iniziare con una tela bianca e aggiungere solo le carte che sono importanti per te.
La dashboard di sicurezza dinamica è interamente personalizzabile. Scegli le carte che vuoi vedere, l'ordine in cui appaiono sullo schermo e quanto grande o piccola vuoi che sia ogni carta. Questa è la tua dashboard creata da te per te.
6. Migliora il tuo gioco di password con i requisiti per la password
Le password sono la tua prima linea di difesa dagli attacchi al tuo login WordPress. La funzione Requisito password in iThemes Security Pro non è solo la tua politica per le password, ma è anche il tuo strumento di imposizione.
Puoi obbligare i membri di un gruppo di utenti a utilizzare una password complessa , scegliere un'ora di scadenza della password , rifiutare le password compromesse e forzare una modifica delle password a livello di sito per far sì che tutti si conformino ai tuoi nuovi criteri per le password complesse.
- Forza password complesse : forza un gruppo di utenti a utilizzare una password complessa.
- Scadenza password: imposta il numero massimo di giorni in cui una password può essere utilizzata prima che scada.
- Rifiuta password compromesse : obbliga gli utenti a utilizzare password che non sono apparse in nessuna violazione delle password tracciata da Have I Been Pwned.
- Forza modifica password : forza tutti gli utenti a modificare la password al prossimo accesso.
7. Ottimizza le tue email di notifica di sicurezza
Il Centro notifiche ha tutti gli strumenti necessari per gestire le notifiche e-mail generate da iThemes Security Pro.
Il modulo Centro notifiche si trova nella pagina principale delle impostazioni di sicurezza. Fare clic sul pulsante Configura impostazioni per iniziare a personalizzare le notifiche e-mail.
Le prime due cose che vuoi impostare nel Centro notifiche sono l'elenco Da e -mail e Destinatari predefiniti .
Il Da e-mail è l'indirizzo e-mail che iThemes Security Pro utilizzerà per inviare notifiche. I destinatari predefiniti è l'elenco delle persone che riceveranno la notifica via e-mail se non diversamente specificato.
Puoi anche personalizzare i destinatari per ogni notifica e-mail inviata da iThemes Security Pro. Diciamo che l'unica notifica e-mail che vuoi che un client veda sia il Security Digest. Per fare ciò, scorri verso il basso fino alle impostazioni e-mail di Security Digest e fai clic sull'interruttore Destinatario e seleziona Personalizzato .
Seleziona la casella accanto al nome utente del tuo cliente per aggiungerlo all'elenco e-mail di Security Digest.
L'oggetto e il messaggio possono essere personalizzati per la maggior parte delle e-mail nel Centro notifiche. Puoi sfruttare i diversi tag email per personalizzare le email. Ad esempio, puoi utilizzare il tag username per includere il nome utente del destinatario nell'e-mail.
8. Proteggi la tua dashboard WP con dispositivi affidabili
La funzione Dispositivi attendibili di iThemes Security Pro limita l'accesso alla dashboard di WordPress a un elenco di dispositivi approvati.
Dopo aver comunicato a iThemes Security Pro quali sono i tuoi dispositivi, Trusted Devices può proteggere il tuo sito in 2 modi diversi:
1. Limitare le capacità dei dispositivi non riconosciuti : quando qualcuno accede utilizzando un dispositivo non riconosciuto, puoi limitare le sue capacità a livello di amministratore e impedirgli di modificare i suoi dettagli di accesso. iThemes Security Pro invierà quindi un'e-mail all'indirizzo impostato nel proprio profilo utente WordPress.
L'e-mail di accesso non riconosciuta avrà la possibilità di confermare o bloccare il dispositivo. Se si fa clic sul pulsante Conferma dispositivo , le capacità di amministratore dell'utente verranno ripristinate. Se si fa clic sul pulsante Non ero io , iThemes Security Pro disconnetterà l'utente illegittimo e il dispositivo sarà l'elenco dei dispositivi negati nel profilo WordPress.
2. Protezione dal dirottamento della sessione: il dirottamento della sessione è un attacco in cui una sessione utente viene rilevata da un utente malintenzionato. Ad esempio, WordPress genera un cookie di sessione ogni volta che accedi al tuo sito web. E supponiamo che tu abbia un'estensione del browser con una vulnerabilità che consente agli hacker di dirottare il cookie del browser. Dopo aver dirottato la tua sessione, l'hacker sarà in grado di iniziare ad apportare modifiche dannose al tuo sito web.
Se il dispositivo di un utente cambia durante una sessione, iThemes Security disconnetterà automaticamente l'utente per impedire qualsiasi attività non autorizzata sull'account dell'utente, come la modifica dell'indirizzo e-mail dell'utente o il caricamento di plug-in dannosi.
9. Utilizza i gruppi di utenti per gestire la sicurezza degli utenti
Il modulo Gruppi di utenti in iThemes Security Pro ti consente di vedere rapidamente quali impostazioni che influiscono sull'esperienza dell'utente sono abilitate e di apportare modifiche da un'unica posizione.
Per semplificare la gestione della sicurezza degli utenti sul tuo sito, iThemes Security Pro ordina tutti i tuoi utenti in gruppi diversi. Per impostazione predefinita, i tuoi utenti verranno raggruppati in base alle loro capacità di WordPress. L'ordinamento in base alle funzionalità di WordPress consente di combinare facilmente WordPress e ruoli utente personalizzati nello stesso gruppo. Ad esempio, se stai eseguendo un sito WooCommerce, gli amministratori del tuo sito e i responsabili del negozio saranno nel gruppo utenti amministratori e i tuoi abbonati e clienti saranno nel gruppo utenti abbonati.
Nelle impostazioni dei gruppi di utenti, vedrai tutti i tuoi gruppi di utenti e tutte le impostazioni di sicurezza abilitate per ciascun gruppo e attiverai e disattiverai rapidamente le impostazioni. User Group ti dà la certezza di applicare il giusto livello di sicurezza agli utenti giusti.
10. Crea un utente del supporto universale
La funzionalità più sottoutilizzata di iThemes Security Pro è l' escalation dei privilegi . La funzione consente di aumentare temporaneamente i privilegi di un utente.
Ogni volta che crei un nuovo utente, in particolare un utente amministratore, aggiungi un altro punto di ingresso che un hacker potrebbe sfruttare. Tuttavia, a volte potresti aver bisogno di un aiuto esterno per il tuo sito Web, ad esempio quando cerchi supporto.
È possibile creare un nuovo utente e denominarlo Supporto e assegnargli il ruolo utente Abbonato. La prossima volta che devi fornire un accesso temporaneo al tuo sito web, vai alla pagina del profilo dell'utente dell'assistenza .
Aggiorna l'indirizzo e-mail per consentire alla persona di supporto esterno di richiedere una nuova password. Quindi scorrere verso il basso fino a visualizzare le impostazioni di escalation privilegi temporanei . Fare clic sull'interruttore Imposta ruolo temporaneo e selezionare Amministratore . L'utente avrà ora accesso come amministratore per le prossime 24 ore.
Se non hanno bisogno di tutte le 24 ore, puoi revocare l'escalation dei privilegi dalla pagina del profilo utente.
Avvolgendo
iThemes Security Pro ha un sacco di strumenti diversi che puoi utilizzare per proteggere e proteggere il tuo sito web. Ecco un elenco di controllo per aiutarti a iniziare a proteggere il tuo sito Web WordPress dopo aver installato iThemes Security Pro.
- 1. Esegui il controllo di sicurezza
- 2. Abilita la correzione automatica delle vulnerabilità
- 3. Blocca i bot dannosi con Google reCAPTCHA v3
- 4. Blocca il tuo utente WP con un'app 2FA
- 5. Crea un dashboard di sicurezza
- 6. Il tuo gioco di password
- 7. Ottimizza le tue email di sicurezza
- 8. Proteggi la tua dashboard WP con dispositivi affidabili
- 9. Acquisisci familiarità con i gruppi di utenti
- 10. Crea un utente di supporto universale
Ogni settimana, Michael mette insieme il Rapporto sulla vulnerabilità di WordPress per aiutare a mantenere i tuoi siti al sicuro. In qualità di Product Manager di iThemes, ci aiuta a continuare a migliorare la gamma di prodotti iThemes. È un nerd gigante e ama imparare tutto ciò che è tecnologico, vecchio e nuovo. Puoi trovare Michael che esce con sua moglie e sua figlia, leggendo o ascoltando musica quando non lavora.
