クライアントサイトでiThemesSecurityProを構成する方法

ユーザビリティとセキュリティの適切なバランスをどのように見つけますか？ クライアントと共有されるセキュリティ通知をどのように制御しますか？ クライアントのWebサイトでセキュリティを構成することは困難な作業になる可能性がありますが、そうである必要はありません。 この投稿では、クライアントのWebサイトでiThemes SecurityProをすばやく構成する方法を紹介します。

クライアントサイトでiThemesSecurityProを構成する方法ウェビナーリプレイ

同じトピックで行ったウェビナーのリプレイをチェックしてください。

これから説明する内容の概要を簡単に説明します。

1. iThemes SecurityPro通知を構成する方法
2. さまざまなユーザータイプのWordPressセキュリティ
3. iThemes SecurityProユーザーグループの使用
4. セキュリティクライアントダッシュボードを作成する方法
5. 脆弱性のチェックとパッチを自動化する方法
6. 一時的な特権の昇格

1. iThemes SecurityPro通知を構成する方法

iThemes Security Proは、Webサイトのセキュリティの状態に関する重要な情報を共有します。 ただし、これらのメッセージは、クライアントがそれらを誤解している場合、不必要な頭痛の種を生み出す可能性があります。 適切な人とセキュリティ通知を共有していると、生活がずっと楽になります。

クライアントがセキュリティ通知を見つけることができる5つの場所を簡単に説明しましょう。

1. メッセージセンターの通知–重要なアラートと更新はすべて、WordPress管理バーにあるiThemesセキュリティメッセージセンターにあります。
2. 電子メール通知–セキュリティダイジェストやロックアウト通知などのセキュリティ通知を受信トレイに送信できます。
3. ログインアラート–信頼できるデバイスが有効になっている場合、ログインアラートメニューを使用して、デバイスを確認またはブロックします。
4. セキュリティダッシュボード–メッセージセンターはセキュリティダッシュボードにもあります。
5. セキュリティログ–これは従来の意味での通知ではありませんが、iThemes SecurityProはセキュリティログを使用してセキュリティ関連のイベントを共有します。

iThemesセキュリティ通知センター

通知センターには、iThemes SecurityProによって生成された電子メール通知を管理するために必要なすべてのツールがあります。

通知センターモジュールは、セキュリティ設定のメインページにあります。 [設定の構成]ボタンをクリックして、電子メール通知のカスタマイズを開始します。

通知センターで設定する最初の2つは、[電子メールから]リストと[デフォルトの受信者]リストです。

From Emailは、iThemes SecurityProが通知の送信に使用する電子メールアドレスです。 デフォルトの受信者は、特に指定がない限り、電子メール通知を受信する人のリストです。 クライアントが不要な電子メールを受信しないように、ユーザーのみをデフォルトの受信者として設定することをお勧めします。

iThemes SecurityProから送信される各電子メール通知の受信者をカスタマイズすることもできます。 クライアントに表示する唯一の電子メール通知がセキュリティダイジェストであるとしましょう。 これを行うには、[セキュリティダイジェスト]の電子メール設定まで下にスクロールし、[受信者]トグルをクリックして、[カスタム]を選択します。

クライアントのユーザー名の横にあるチェックボックスをオンにして、クライアントをセキュリティダイジェストのメーリングリストに追加します。

セキュリティダイジェストの電子メールについて話している間、iThemes SecurityProから受信する電子メールの数を減らす方法について話しましょう。 激しい攻撃の期間中、iThemesSecurityは大量の電子メールを生成する可能性があります。 ただし、これらの電子メールは、不要なノイズを大量に生成する可能性があります。 たとえば、ロックアウト通知は、iThemes Security Proがその仕事をしていることを自慢しているだけですが、実行するアクションはありません。 悪者はすでにロックアウトされており、問題は解決しています。 とはいえ、大量の通知を受け取ることが当たり前になると、オオカミのシナリオを叫んだ少年になる可能性があります。 アクションを必要とするアラートを一度受信した場合は、緊急ではない通知を継続的に受信しているため、無視してかまいません。

セキュリティダイジェストは、送信される電子メールの数を減らすため、ロックアウト、ファイル変更検出スキャン、および特権エスカレーションの概要を受信できます。 通知の受信を停止するには、個々の通知を無効にする必要があることに注意してください。

投稿の後半で、クライアントが他の種類の通知を表示しないようにする方法を説明します。

2.さまざまなユーザータイプのWordPressセキュリティ

WordPressのセキュリティの多くは、ユーザーのセキュリティに要約されます。 また、すべてのユーザーが同じように作成されるわけではないため、すべてのユーザーのセキュリティ戦略に1つのサイズで対応する必要はありません。 そのため、Webサイトにいる可能性のあるさまざまなタイプのユーザーについて話す価値があります。

1. サイト管理者–サイト管理者は、WordPressWebサイトに大量の変更を加えることができます。 大きな力には大きな責任が伴います。 多くの場合、セキュリティとは、セキュリティを大幅に向上させるために、利便性を少し犠牲にすることを意味します。 これらのユーザーのアカウントが悪意のあるユーザーの手に渡った場合、サイトに別れを告げることができるため、これらのユーザーに少し摩擦を加えてもかまいません。
2. ショップマネージャー–ショップマネージャーはサイト管理者と同じ権限を持ち、同じ高レベルのセキュリティを必要とします。 WooCommerceショップを管理する必要のあるクライアントがいる場合でも、サイトのセキュリティ設定をいじりたくない場合があります。 次のセクションでは、これを実現する方法を示します。
3. 寄稿者/編集者–寄稿者と編集者は、サイトに変更を加えることができるため、引き続き注意を払う必要があります。 それでも、サイト管理者やショップマネージャーほど高いレベルのセキュリティは必要ないかもしれません。
4. サブスクライバー/顧客–サブスクライバーと顧客は、WordPressWebサイトで変更を加えることができない低レベルのユーザーです。 あなたはおそらく彼らに彼らのアカウントを保護するためのツールを与えたいと思うでしょうが、あなたはおそらく彼らにそれらを使わせたくないでしょう。

3. iThemes SecurityProユーザーグループの使用

iThemes Security Proのユーザーグループモジュールを使用すると、ユーザーエクスペリエンスに影響を与える可能性のある設定が有効になっているかどうかをすばやく確認し、1か所から変更を加えることができます。

サイトのユーザーセキュリティの管理を容易にするために、iThemes SecurityProはすべてのユーザーを異なるグループに分類します。 デフォルトでは、ユーザーはWordPressの機能ごとにグループ化されます。 WordPressの機能で並べ替えると、WordPressとカスタムユーザーの役割を同じグループに簡単に組み合わせることができます。 たとえば、WooCommerceサイトを運営している場合、サイトの管理者とショップマネージャーは管理者ユーザーグループに属し、サブスクライバーと顧客はサブスクライバーユーザーグループに属します。

WordPress Webサイトでさまざまなタイプのユーザーについて説明したので、ユーザーグループを使用してユーザーセキュリティをすばやく構成する方法を見てみましょう。 このセクションでは、サイトの管理者とサブスクライバーのセキュリティを構成する方法を学習します。

[ユーザーグループ]設定で、管理者ユーザーグループを選択して、このグループの編集を開始します。 [機能]タブには、グループで有効または無効になっている設定が表示され、[グループの編集]タブでは、グループのメンバーを構成できます。

前に説明したように、管理者ユーザーグループには高レベルのセキュリティが必要です。

1. iThemesセキュリティの管理–管理ユーザーにはセキュリティ設定を管理する機能が必要です。
2. ダッシュボードの作成を有効にする–管理者ユーザーにセキュリティダッシュボードを作成してもらいます。
3. 成績レポート–管理者ユーザーは成績レポートにアクセスできる必要があります。
4. 二要素認証を強制する–高レベルのユーザーに二要素認証の使用を要求する必要があります。
5. 2要素オンボーディングを無効にする–2faへの登録をできるだけ簡単にしたい。
6. デバイスの記憶を許可する–セキュリティを強化するために、管理ユーザーにログインのたびに2要素トークンの入力を要求する場合があります。
7. アプリケーションパスワード–管理者ユーザーは、アプリケーションパスワードを構成するオプションが必要になる場合があります。
8. アクティビティの監視–管理者ユーザーのサイトアクティビティの履歴が必要になります。
9. パスワードなしのログイン–誰もがこの安全で便利なログイン方法を使用できるようにすることができます。
10. パスワードなしのログインに2要素バイパスを許可する–これは個人的な好みです。 2faのバイパスを許可しないと、管理者ログインのセキュリティが向上します。
11. 信頼できるデバイス–管理ダッシュボードへのアクセスを承認済みデバイスのリストに制限したいと考えています。
12. 強力なパスワードが必要–高レベルのユーザーに強力なパスワードを設定してもらいたい。
13. パスワードの有効期限–管理者パスワードを有効期限に設定できます。
14. 侵害されたパスワードを拒否する–データベースの侵害で見つかったパスワードを管理者ユーザーに再利用させないでください。

前に説明したように、サブスクライバーユーザーグループに同じ高レベルのセキュリティは必要ありません。

1. iThemesセキュリティの管理–低レベルのユーザーがセキュリティ設定にアクセスできないようにします。
2. ダッシュボードの作成を有効にする–低レベルのユーザーがセキュリティダッシュボードを作成することは望ましくありません。
3. 成績レポート–低レベルのユーザーには成績レポートは表示されません。
4. 二要素認証を強制する–顧客や加入者に二要素認証の使用を強制したくありません。
5. 2要素オンボーディングを無効にする–低レベルのユーザーに2faを使用するオプションを提供したいのですが、ログイン時にオンボーディングフローを表示したくない場合があります。
6. デバイスの記憶を許可する–このレベルの複雑さを低レベルのユーザーアカウントに追加したくない場合があります。
7. アプリケーションパスワード–このレベルの複雑さを低レベルのユーザーアカウントに追加したくない場合があります。
8. アクティビティの監視–低レベルのユーザーのアクティビティを監視したくありません。
9. パスワードなしのログイン–誰もがこの安全で便利なログイン方法を使用できるようにすることができます。
10. パスワードなしのログインに2要素バイパスを許可する
11. 信頼できるデバイス–このレベルの複雑さを低レベルのユーザーアカウントに追加したくない場合があります。
12. 強力なパスワードが必要–このレベルの摩擦を低レベルのユーザーアカウントに追加したくない場合があります。
13. パスワードの有効期限–このレベルの摩擦を低レベルのユーザーアカウントに追加したくない場合があります。
14. 侵害されたパスワードを拒否する–低レベルのユーザーにサイトで侵害されたパスワードを使用させてはいけません。

ショップマネージャーに管理者ユーザーと同じ高レベルのセキュリティを持たせながら、セキュリティ設定の管理を制限する方法については、前に説明しました。 ショップマネージャー専用の新しいユーザーグループを作成できます。また、セキュリティ設定の管理、セキュリティダッシュボードの作成、成績レポートの表示などの機能に加えて、管理者ユーザーの場合と同じ機能をすべて有効にすることができます。 これを行うと、前に説明したセキュリティ通知が表示されなくなります。

4.セキュリティクライアントダッシュボードを作成する方法

WordPressのセキュリティを見ると、ログエントリは時間がかかり、理解するのが混乱することさえあります。 iThemesセキュリティダッシュボードは、関連するリストをまとめて、自分に関連する方法で表示することにより、セキュリティログに命を吹き込みます。

セキュリティダッシュボードは、クライアントがサイトを保護するためにあなたにお金を払っている理由を示すための優れた方法でもあります。 クライアントとの共有ダッシュボードを作成する方法を見てみましょう。

ダッシュボードを有効にすると、WordPressの[管理]メニューの[管理ダッシュボード]と[セキュリティ]の両方の設定からダッシュボードを表示できます。

次に、 iThemes Securityのデフォルトのダッシュボードを使用して新しいダッシュボードを作成するか、最初からダッシュボードを作成できます。 ボードの名前を入力し、[ボードの作成]ボタンをクリックします。

ダッシュボードを好みに合わせて構成したら、[共有]ボタンをクリックできます。

次に、共有するユーザーを選択します。

5.脆弱性チェックとパッチ適用を自動化する方法

Webサイトがハッキングされる最大の理由は、パッチが利用可能であるが適用されていない脆弱性であることをご存知ですか？ ハッカーにクライアントのWebサイトを悪用する簡単な方法を提供しないでください。 新しいiThemesSecurity Proサイトスキャナーは、既知のWordPressコア、プラグイン、およびテーマの脆弱性についてWebサイトを自動的にスキャンします。 そして、パッチが利用可能かどうか。 サイトスキャナーは、脆弱性を修正するためにセキュリティパッチを自動的に適用します。

セキュリティ設定のメインページでサイトスキャナーを有効にして、既知の脆弱性、マルウェア、およびサイトのGoogleブロックリストステータスについてサイトを1日2回スキャンします。

iThemes Security Proにセキュリティ修正を自動的に適用する権限を与えるには、バージョン管理設定で[脆弱性を修正した場合の自動更新]オプションを有効にする必要があります。

6.一時的な特権の昇格

おそらく、すべてのiThemes Security Proで最も活用されていない機能である特権昇格機能を使用すると、1人のユーザーの特権を一時的に昇格させることができます。

新しいユーザー、特に管理者ユーザーを作成するときはいつでも、ハッカーが悪用するためのエントリポイントを追加します。 ただし、外部からの支援が必要になる場合があります。

新しいサポートユーザーを作成し、それにサブスクライバーユーザーロールを与えることができます。 次回、誰かに一時的なアクセスを提供する必要がある場合は、サポートユーザーのプロファイルページに移動します。

メールアドレスを更新して、そのユーザーが新しいパスワードを要求できるようにしてから、一時的な権限昇格の設定が表示されるまで下にスクロールします。 [一時的な役割の設定]トグルをクリックし、[管理者]を選択します。 これで、ユーザーは次の24時間は管理者アクセス権を持つことになります。 24時間も必要ない場合は、ユーザープロファイルページから特権の昇格を取り消すことができます。

まとめ

クライアントのサイトでセキュリティを構成することは、困難である必要はありません。 iThemes Security Proは、適切な量のセキュリティを適切な人に適用し、機密性の高いセキュリティ情報へのアクセスをセキュリティを管理する人だけに制限するために必要なツールを提供します。

マイケル・ムーア

Michaelは毎週、WordPressの脆弱性レポートをまとめて、サイトを安全に保つのに役立てています。 iThemesのプロダクトマネージャーとして、彼は私たちがiThemes製品ラインナップを改善し続けるのを手伝ってくれます。 彼は巨大なオタクであり、新旧のすべての技術について学ぶのが大好きです。 マイケルが妻と娘と一緒に遊んだり、仕事をしていないときに音楽を読んだり聞いたりしているのを見つけることができます。