iThemes SecurityProの5つの高度なヒントとコツ

iThemes Security Proプラグインには、WordPressWebサイトを保護および保護するための50を超えるさまざまな方法があります。 ボタンをクリックするだけで、iThemes SecurityProのほとんどのセキュリティメソッドを有効にできます。 ただし、設定に飛び込むために数分を割くことができる場合は、WordPressWebサイトにいくつかの保護レイヤーを追加できます。

この投稿では、iThemes SecurityProがWebサイトのセキュリティを次のレベルに引き上げるための5つの高度なヒントとコツを紹介します。

ヒント1–信頼できるデバイスでWPダッシュボードを保護する

iThemes Security Proの信頼できるデバイス機能は、WordPressダッシュボードへのアクセスを承認されたデバイスのリストに制限します。

iThemes Security Proに自分のデバイスを知らせると、信頼できるデバイスは2つの異なる方法でサイトを保護できます。

1.認識されないデバイスの機能を制限する–誰かが認識されないデバイスを使用してログインする場合、管理者レベルの機能を制限し、ログインの詳細を編集できないようにすることができます。 iThemes Security Proは、WordPressユーザープロファイルで設定されたアドレスに電子メールを送信します。

認識されないログインメールには、デバイスを確認またはブロックするオプションがあります。 [デバイスの確認]ボタンをクリックすると、ユーザーの管理機能が復元されます。 [これは私ではありません]ボタンをクリックすると、iThemes Security Proは不正なユーザーをログアウトし、デバイスはWordPressプロファイルの拒否されたデバイスリストに表示されます。

2.セッションハイジャック保護–セッションハイジャックは、ユーザーセッションが攻撃者に乗っ取られる攻撃です。 たとえば、WordPressは、WebサイトにログインするたびにセッションCookieを生成します。 また、ハッカーがブラウザのCookieを乗っ取ることができる脆弱性のあるブラウザ拡張機能があるとします。 セッションをハイジャックした後、ハッカーはWebサイトに悪意のある変更を加えることができるようになります。

セッション中にユーザーのデバイスが変更された場合、iThemes Securityはユーザーを自動的にログアウトして、ユーザーの電子メールアドレスの変更や悪意のあるプラグインのアップロードなど、ユーザーのアカウントでの不正なアクティビティを防止します。

ヒント2– Google reCAPTCHAv3を使用して不良ボットをブロックする

iThemes SecurityProのGooglereCAPTCHA機能は、悪意のあるボットからサイトを保護します。 これらのボットは、侵害されたパスワードを使用してWebサイトに侵入しようとしたり、スパムを投稿したり、コンテンツをスクレイピングしたりしようとしています。 reCAPTCHAは、高度なリスク分析手法を使用して、人間とボットを区別します。

reCAPTCHAバージョン3の優れている点は、ユーザーの操作なしでWebサイト上の不正なボットトラフィックを検出できることです。 reCAPTCHA v3は、CAPTCHAチャレンジを表示する代わりに、行われたさまざまなリクエストを監視し、スコアを返します。 スコアの範囲は0.01から1です。reCAPTCHAによって返されるスコアが高いほど、人間がリクエストを行ったという自信が高まります。 reCAPTCHAによって返されるこのスコアが低いほど、ボットがリクエストを行ったという自信が高まります。

iThemes Security Proでは、reCAPTCHAスコアを使用してブロックしきい値を設定できます。 デフォルトとして0.5を使用することをお勧めします。 しきい値を高く設定しすぎると、正当なユーザーを誤ってロックアウトする可能性があることに注意してください。

ブロックのしきい値を1に設定したとします。これは、人間であると100％確信が持てないものをGoogleにブロックさせたいことを意味します。 これで、顧客の1人がログイン要求をWebサイトに送信します。 また、この顧客はパスワードマネージャーを使用してパスワードを自動入力し、reCAPTCHAはログイン要求に0.7のスコアを与えます。

そのため、顧客がキーボードを使用してクレデンシャルを入力しなかったとしても、Googleは顧客が人間であると確信しています。 ただし、しきい値を1に設定したため、顧客は引き続きロックアウトされます。

WordPressユーザー登録、パスワードのリセット、ログイン、コメントでreCAPTCHAを有効にできます。 iThemes Security Proを使用すると、すべてのページでGoogle reCAPTCHAスクリプトを実行して、ボットと人間のスコアの精度を高めることができます。

ヒント3–特権昇格を使用してユニバーサルサポートユーザーを作成する

iThemes Security Proで最も活用されていない機能は、特権昇格です。 この機能を使用すると、ユーザーの特権を一時的にエスカレーションできます。

新しいユーザー、特に管理者ユーザーを作成するときはいつでも、ハッカーが悪用する可能性のある別のエントリポイントを追加しています。 ただし、サポートを求めている場合など、Webサイトの外部からの支援が必要な場合があります。

新しいユーザーを作成し、Supportという名前を付けて、サブスクライバーユーザーの役割を与えることができます。 次回Webサイトへの一時的なアクセスを提供する必要がある場合は、サポートユーザーのプロファイルページに移動します。

電子メールアドレスを更新して、外部のサポート担当者が新しいパスワードを要求できるようにします。 次に、一時的な特権昇格の設定が表示されるまで下にスクロールします。 [一時的な役割の設定]トグルをクリックし、[管理者]を選択します。 これで、ユーザーは次の24時間は管理者アクセス権を持つことになります。

24時間も必要ない場合は、ユーザープロファイルページから特権の昇格を取り消すことができます。

ヒント4–ユーザーのセキュリティを容易にする

定義上、すべてのセキュリティ対策は、追加されたセキュリティを受け取っているものすべての利便性を低下させるように設計されています。 そこで、iThemes Security Proの3つの機能を共有して、Webサイトのすべての人のセキュリティを容易にします。

1.2要素のオンボーディング

二要素認証は、2つの別個の検証方法を要求することにより、個人のIDを検証するプロセスです。 Googleはブログで、2要素認証を使用すると自動ボット攻撃を100％阻止できることを共有しました。

2要素オンボーディングは、ユーザーが自分のアカウントに2要素を設定するためのユーザーフレンドリーな方法です。 二要素認証が有効になっているすべてのユーザーは、次にログインしたときにオンボーディングフローをガイドされます。

クレデンシャルを入力すると、オンボーディングのウェルカムテキストが表示されます。 これは、2要素設定でカスタマイズできることに注意してください。

フロー全体を通して、使用する2要素のメソッドを有効にして構成するオプションがあります。

フローの終わりまでに、あなたとあなたのユーザーのアカウントは、二要素認証が提供する強力なセキュリティ層を持ちます。

2.マジックリンク

ボットは、作成者のページをスケープして、Webサイトへのブルートフォース攻撃で使用するユーザー名を収集する場合があります。 一部のボットがユーザー名を使用してWebサイトに侵入しようとしているため、ロックアウトされるのは残念です。

ユーザー名がロックアウトされている場合は、一意のログインリンクを含むメールをリクエストできます。 電子メールで送信されたリンクを使用すると、ユーザー名のロックアウトがバイパスされますが、ブルートフォース攻撃者は引き続きロックアウトされます。

「承認されたログインリンクを送信」リンクをクリックするだけで、MagicLinksの電子メールを受信できます。

メールを受信したら、リンクを使用して資格情報を入力すると、サイトに戻ります。

3.パスワードなしのログイン

セキュリティコミュニティの私たちがそれを認めたいかどうかにかかわらず、パスワードマネージャーと二要素認証の使用は、特に私たちの生活の多くをオンラインで移動するときに、苦痛と時間がかかる可能性があります。

そのため、使いやすさを犠牲にすることなく、強力で一意のパスワードが提供するすべてのセキュリティを人々が取得できる方法を作成したかったのです。

パスワードなしのログインとは何ですか？

パスワードなしのログインは、実際にログインするためにパスワードを必要とせずに、ユーザーのIDを確認するための新しい方法です。 Magic Linksを新しいログイン方法に進化させました。これにより、ユーザーは、パスワードや追加の認証コードを入力することなく、強力なパスワードと2要素認証を使用する必要があります。

パスワードなしのログイン方法のしくみ

ログインすると、ログイン方法を選択するように求められます。 [マジックリンクをメールで送信]ボタンをクリックして、パスワードなしのログインリンクを含むメールを送信します。

メールが送信されたことを確認するメッセージが表示されます。

メールの受信トレイで、MagicLinkのメールと[今すぐログイン]ボタンを開きます。

これで、パスワードや2要素トークンを入力する必要はありません。 つまり、パスワードなしのログインを有効にすると、複雑なパスワードを知ったり、追加のコードをコピーして貼り付けたりする必要がなくなります。 ただし、サイトをブルートフォースしようとする悪意のあるユーザーの成功率は0％になります。

ヒント5–高度なトラブルシューティングのためにデバッグメニューを有効にする

iThemes SecurityProサポートからデバッグメニューを有効にするように求められる場合があります。 iThemes Security Proの[デバッグ]メニューを有効にするには、以下のコードをwp-config.phpファイルに追加する必要があります。

 define( 'ITSEC_DEBUG', true );

「それはすべて幸せなブログです」の上にコードを追加してください。 ライン。

これで、iThemes SecurityProの[デバッグ]メニューにアクセスできるようになります。

あなたは、あなたのシステム情報を表示し、あなたの設定のコンフィギュレーションをロードし、セキュリティイベントスケジューラ、そしてどのようなメールは、通知センターから送らなっているを表示することができます。 この投稿で強調したいデバッグトラブルシューティングツールはスケジューラーです。

スケジューラー

スケジューラには、iThemes SecurityProでスケジュールされているさまざまなイベントがすべて表示されます。 スケジュールされたイベントには、サイトスキャン、ファイル変更スキャン、ロックアウトのクリアなどがあります。 これらの機能に共通しているのは、事前にスケジュールする必要があることであり、実行はwp-cronに依存しています。

セキュリティ設定でファイル変更を有効にしても、Webサイトでファイル変更スキャンが実行されていないことに気付いたとします。 デバッグメニューを有効にして、スケジュールされたイベントのリストでファイル変更がスキャンされるかどうかを確認できます。 そうでない場合は、イベントが作成される前に問題が発生したことを意味します。 この問題は、ITSEC_Scheduler_Cronリセットボタンをクリックして解決できます。 cronを休止すると、スケジューラはセキュリティ設定を確認し、スケジュールされたイベントのリストを再構築します。 欠落しているファイル変更スキャンを含みます。

まとめ

iThemes Security Proプラグインは、箱から出してすぐに優れた保護を提供しますが、設定に飛び込むと、いくつかの本当にクールなセキュリティツールが見つかります。 これらのツールは、WordPressのログインとダッシュボードにセキュリティのいくつかの層を追加し、不正なボットをブロックし、さらにはあなたを含むWebサイト上のすべての人のセキュリティを容易にするのに役立ちます。

マイケル・ムーア

Michaelは毎週、WordPressの脆弱性レポートをまとめて、サイトを安全に保つのに役立てています。 iThemesのプロダクトマネージャーとして、彼は私たちがiThemes製品ラインナップを改善し続けるのを手伝ってくれます。 彼は巨大なオタクであり、新旧のすべての技術について学ぶのが大好きです。 マイケルが妻と娘と一緒に遊んだり、仕事をしていないときに音楽を読んだり聞いたりしているのを見つけることができます。