Jak skonfigurować iThemes Security Pro w witrynie klienta?

Jak znaleźć właściwą równowagę użyteczności i bezpieczeństwa? Jak kontrolować, jakie powiadomienia dotyczące bezpieczeństwa są udostępniane klientowi? Konfigurowanie zabezpieczeń na stronie klienta może być zniechęcającym zadaniem, ale nie musi tak być. W tym poście pokażemy, jak szybko skonfigurować iThemes Security Pro na stronie klienta.

Jak skonfigurować iThemes Security Pro w witrynie klienta Powtórka z webinaru

Obejrzyj powtórkę webinaru, który przeprowadziliśmy na ten sam temat.

Oto krótki przegląd tego, co zamierzamy omówić.

1. Jak skonfigurować powiadomienia iThemes Security Pro?
2. Bezpieczeństwo WordPress dla różnych typów użytkowników
3. Korzystanie z grup użytkowników iThemes Security Pro
4. Jak utworzyć pulpit nawigacyjny klienta zabezpieczeń
5. Jak zautomatyzować sprawdzanie i łatanie luk
6. Tymczasowa eskalacja uprawnień

1. Jak skonfigurować powiadomienia iThemes Security Pro?

iThemes Security Pro udostępnia krytyczne informacje o stanie bezpieczeństwa Twojej witryny. Jednak te wiadomości mogą powodować niepotrzebne bóle głowy, jeśli Twoi klienci nie zrozumieją ich. Możesz znacznie ułatwić sobie życie, jeśli udostępniasz powiadomienia dotyczące bezpieczeństwa odpowiednim osobom.

Omówmy szybko 5 miejsc, w których Twoi klienci mogą znaleźć powiadomienia dotyczące bezpieczeństwa.

1. Powiadomienia centrum wiadomości – wszystkie krytyczne alerty i aktualizacje można znaleźć w centrum wiadomości zabezpieczeń iThemes znajdującym się na pasku administracyjnym WordPress.
2. Powiadomienia e-mail — powiadomienia dotyczące bezpieczeństwa, takie jak Security Digest i Lockout Notifications, mogą być wysyłane do Twojej skrzynki odbiorczej.
3. Alerty logowania — po włączeniu opcji Zaufane urządzenia użyj menu Alert logowania, aby potwierdzić lub zablokować urządzenie.
4. Security Dashboard — Centrum wiadomości można również znaleźć na Security Dashboard.
5. Dzienniki bezpieczeństwa – teraz nie jest to powiadomienie w tradycyjnym sensie, ale iThemes Security Pro używa dzienników bezpieczeństwa do udostępniania Ci zdarzeń związanych z bezpieczeństwem.

Centrum powiadomień o zabezpieczeniach iThemes

Centrum powiadomień zawiera wszystkie narzędzia potrzebne do zarządzania powiadomieniami e-mail generowanymi przez iThemes Security Pro.

Moduł Centrum powiadomień znajduje się na głównej stronie ustawień zabezpieczeń. Kliknij przycisk Konfiguruj ustawienia , aby rozpocząć dostosowywanie powiadomień e-mail.

Pierwsze dwie rzeczy, które chcesz skonfigurować w Centrum powiadomień, to lista Od e - mail i Domyślni odbiorcy .

From Email to adres e-mail, którego iThemes Security Pro będzie używał do wysyłania powiadomień. Domyślni odbiorcy to lista osób, które otrzymają powiadomienie e-mail, chyba że określono inaczej. Dobrym pomysłem może być ustawienie tylko użytkownika jako domyślnego odbiorcę, aby uniemożliwić klientom otrzymywanie niechcianych wiadomości e-mail.

Możesz także dostosować odbiorców każdego powiadomienia e-mail wysyłanego z iThemes Security Pro. Załóżmy, że jedynym powiadomieniem e-mail, które ma widzieć Twój klient, jest Security Digest. W tym celu przewiń w dół do ustawień poczty e-mail Security Digest, kliknij przełącznik Odbiorca i wybierz opcję Niestandardowe .

Zaznacz pole obok nazwy użytkownika klienta, aby dodać go do listy e-mail Security Digest.

Podczas gdy mówimy o wiadomości e-mail Security Digest, porozmawiajmy o tym, jak możesz zmniejszyć liczbę wiadomości e-mail otrzymywanych od iThemes Security Pro. W okresach silnego ataku iThemes Security może generować DUŻO wiadomości e-mail. Jednak te e-maile mogą powodować mnóstwo niepotrzebnego hałasu. Na przykład Powiadomienia o blokadzie to tylko iThemes Security Pro, chwalące się, że wykonuje swoją pracę, ale nie ma żadnych działań, które możesz podjąć. Zły facet jest już zablokowany, problem rozwiązany. To powiedziawszy, jeśli otrzymywanie mnóstwa powiadomień stanie się normą, może to zmienić się w scenariusz chłopca, który wypłakał wilka. Zaraz po otrzymaniu alertu wymagającego działania możesz go zignorować, ponieważ ciągle otrzymujesz powiadomienia, które nie są pilne.

Security Digest zmniejsza liczbę wysyłanych wiadomości e-mail, dzięki czemu można otrzymać podsumowanie blokad, skanów wykrywania zmian plików i eskalacji uprawnień. Pamiętaj, że nadal będziesz musiał wyłączyć poszczególne powiadomienia, aby przestać je otrzymywać.

W dalszej części posta pokażemy Ci, jak uniemożliwić Twoim klientom wyświetlanie innych rodzajów powiadomień.

2. Bezpieczeństwo WordPress dla różnych typów użytkowników

Wiele zabezpieczeń WordPressa sprowadza się do bezpieczeństwa użytkownika. I nie wszyscy użytkownicy są sobie równi, więc nie powinniśmy mieć jednego rozmiaru pasującego do wszystkich strategii bezpieczeństwa użytkowników. Dlatego warto porozmawiać o różnych typach użytkowników, których możesz mieć na stronie internetowej.

1. Administratorzy witryny — administratorzy witryny mają możliwość wprowadzania wielu zmian w witrynie WordPress. Z dużą mocą przychodzi duża odpowiedzialność. Często bezpieczeństwo oznacza poświęcenie odrobiny wygody na rzecz znacznie bardziej znaczącego zwiększenia bezpieczeństwa. Można dodać trochę tarć tym użytkownikom, ponieważ jeśli ich konta kiedykolwiek wpadną w niepowołane ręce, możesz pożegnać się ze swoją witryną.
2. Shop Managers – Shop Managerowie mają takie same uprawnienia jak administrator witryny i wymagają tego samego wysokiego poziomu bezpieczeństwa. Możesz mieć klienta, który musi zarządzać sklepem WooCommerce, ale możesz nie chcieć, aby ingerował w ustawienia bezpieczeństwa witryny. W następnej sekcji pokażemy, jak możesz to osiągnąć.
3. Współtwórcy/redaktorzy – współtwórcy i redaktorzy nadal zasługują na Twoją uwagę, ponieważ mogą wprowadzać zmiany w Twojej witrynie. Jednak mogą nie potrzebować tak wysokiego poziomu bezpieczeństwa, jak administratorzy witryny i kierownicy sklepów.
4. Subskrybenci/Klienci — Subskrybenci i Klienci to użytkownicy niskiego poziomu, którzy nie mogą wprowadzać zmian w witrynie WordPress. Chociaż prawdopodobnie chcesz dać im narzędzia do ochrony ich konta, prawdopodobnie nie chcesz zmuszać ich do korzystania z nich.

3. Korzystanie z grup użytkowników iThemes Security Pro

Moduł grup użytkowników w iThemes Security Pro pozwala szybko zobaczyć, które ustawienia, które mogą wpływać na wrażenia użytkownika, są włączone i wprowadzać w nich modyfikacje z jednego miejsca.

Aby ułatwić zarządzanie bezpieczeństwem użytkowników w witrynie, iThemes Security Pro sortuje wszystkich użytkowników w różne grupy. Domyślnie Twoi użytkownicy będą pogrupowani według ich możliwości WordPress. Sortowanie według funkcji WordPress pozwala na łatwe łączenie WordPressa i niestandardowych ról użytkownika w tej samej grupie. Na przykład, jeśli prowadzisz witrynę WooCommerce, administratorzy witryny i menedżerowie sklepu będą znajdować się w grupie użytkowników administratora, a Twoi subskrybenci i klienci będą w grupie użytkowników subskrybentów.

Teraz, gdy omówiliśmy różne typy użytkowników w witrynie WordPress, przyjrzyjmy się używaniu grup użytkowników do szybkiego skonfigurowania naszych zabezpieczeń użytkowników. W tej sekcji dowiesz się, jak skonfigurować zabezpieczenia dla administratorów i subskrybentów witryny.

W ustawieniach grup użytkowników wybierz grupę administratorów, aby rozpocząć edycję tej grupy. Karta Funkcje pokazuje, które ustawienia są włączone lub wyłączone dla grupy, a karta Edytuj grupę umożliwia skonfigurowanie członków grupy.

Jak mówiliśmy wcześniej, będziemy potrzebować wysokiego poziomu bezpieczeństwa dla naszej grupy użytkowników administratora .

1. Zarządzaj bezpieczeństwem iThemes – nasi administratorzy będą potrzebować możliwości zarządzania ustawieniami bezpieczeństwa.
2. Włącz tworzenie pulpitu nawigacyjnego — chcemy, aby nasi administratorzy tworzyli panel bezpieczeństwa.
3. Raport ocen — nasi administratorzy powinni mieć dostęp do raportu ocen.
4. Force Two Factor – Powinniśmy wymagać od naszych użytkowników wysokiego poziomu korzystania z uwierzytelniania dwuskładnikowego.
5. Wyłącz dwuskładnikowe wprowadzanie na pokład – Chcemy, aby rejestracja w 2fa była jak najłatwiejsza.
6. Zezwalaj na urządzenie zapamiętujące — możemy wymagać, aby nasi administratorzy wprowadzali dwuskładnikowy token przy każdym logowaniu, aby zwiększyć bezpieczeństwo.
7. Hasła aplikacji — nasi administratorzy mogą potrzebować opcji konfiguracji haseł aplikacji.
8. Monitorowanie aktywności – Będziemy potrzebować historii aktywności na stronie naszych administratorów.
9. Logowanie bez hasła – możemy umożliwić każdemu korzystanie z tej bezpiecznej i wygodnej metody logowania.
10. Zezwalaj na dwuskładnikowe obejście w przypadku logowania bez hasła — jest to preferencja osobista. Brak zezwolenia na obejście 2fa zwiększy bezpieczeństwo Twoich loginów administratora.
11. Zaufane urządzenia — chcemy ograniczyć dostęp do naszego panelu administracyjnego do listy zatwierdzonych urządzeń.
12. Wymagaj silnych haseł — Chcemy, aby nasi wysokopoziomowi użytkownicy mieli silne hasła.
13. Wygaśnięcie hasła — możesz ustawić wygaśnięcie haseł administratora.
14. Odrzuć naruszone hasła — nie pozwól, aby administrator ponownie wykorzystywał hasła, które zostały znalezione w wyniku naruszenia bazy danych.

Jak wspomnieliśmy wcześniej, nie chcemy tego samego wysokiego poziomu zabezpieczeń dla naszej grupy użytkowników subskrybentów .

1. Zarządzaj zabezpieczeniami iThemes — nie chcemy, aby nasi niskopoziomowi użytkownicy mieli dostęp do ustawień zabezpieczeń.
2. Włącz tworzenie pulpitów nawigacyjnych — nie chcemy, aby użytkownicy niskiego poziomu tworzyli pulpity bezpieczeństwa.
3. Raport ocen — użytkownicy niskiego poziomu nie powinni widzieć raportu ocen.
4. Force Two Factor — nie chcemy zmuszać naszych klientów ani subskrybentów do korzystania z uwierzytelniania dwuskładnikowego.
5. Wyłącz dwuskładnikowe dołączanie — chociaż chcemy dać naszym niskopoziomowym użytkownikom opcję korzystania z 2fa, możemy nie chcieć, aby widzieli proces wdrażania podczas logowania.
6. Zezwól na urządzenie pamiętające — możesz nie chcieć dodawać tego poziomu złożoności do kont użytkowników niskiego poziomu.
7. Hasła aplikacji — możesz nie chcieć dodawać tego poziomu złożoności do kont użytkowników niskiego poziomu.
8. Monitorowanie aktywności – nie chcemy monitorować aktywności naszych niskopoziomowych użytkowników.
9. Logowanie bez hasła – możemy umożliwić każdemu korzystanie z tej bezpiecznej i wygodnej metody logowania.
10. Zezwalaj na dwuskładnikowe obejście dla logowania bez hasła
11. Zaufane urządzenia — możesz nie chcieć dodawać tego poziomu złożoności do kont użytkowników niskiego poziomu.
12. Wymagaj silnych haseł — możesz nie chcieć dodawać tego poziomu tarcia do kont użytkowników niskiego poziomu.
13. Wygaśnięcie hasła — możesz nie chcieć dodawać tego poziomu tarcia do kont użytkowników niskiego poziomu.
14. Odrzuć naruszone hasła — prawdopodobnie nie powinieneś pozwalać użytkownikom niskiego poziomu na używanie złamanych haseł w Twojej witrynie.

Rozmawialiśmy wcześniej o tym, jak możemy chcieć, aby nasi menedżerowie sklepów mieli ten sam wysoki poziom bezpieczeństwa, co nasi administratorzy, ale ograniczyli im zarządzanie ustawieniami zabezpieczeń. Możemy utworzyć nową grupę użytkowników tylko dla naszych kierowników sklepów i możemy włączyć wszystkie te same funkcje, które zrobiliśmy dla naszych administratorów, oprócz możliwości zarządzania ustawieniami bezpieczeństwa, tworzenia pulpitów bezpieczeństwa lub przeglądania raportu ocen. Spowoduje to również uniemożliwienie im oglądania powiadomień dotyczących bezpieczeństwa, które omówiliśmy wcześniej.

4. Jak utworzyć pulpit nawigacyjny klienta bezpieczeństwa?

Patrząc na bezpieczeństwo WordPressa, wpisy w dzienniku mogą być czasochłonne, a nawet mylące do zrozumienia. Pulpit nawigacyjny iThemes Security Dashboard ożywia dzienniki bezpieczeństwa, gromadząc powiązane listy i wyświetlając je w sposób, który jest dla Ciebie odpowiedni.

Security Dashboard to także świetny sposób na pokazanie klientowi, dlaczego płaci za zabezpieczenie swojej witryny. Przyjrzyjmy się, jak możesz utworzyć udostępniony pulpit nawigacyjny swojemu klientowi.

Po włączeniu pulpitu nawigacyjnego możesz go wyświetlić zarówno w panelu administratora, jak i ustawieniach zabezpieczeń w menu administratora WordPress.

Następnie możesz utworzyć nowy pulpit nawigacyjny za pomocą domyślnego pulpitu nawigacyjnego iThemes Security lub utworzyć go od podstaw. Wprowadź nazwę swojej tablicy, a następnie kliknij przycisk Utwórz tablicę.

Po skonfigurowaniu pulpitu nawigacyjnego według własnych upodobań możesz kliknąć przycisk Udostępnij .

Następnie wybierz użytkownika, któremu chcesz go udostępnić.

5. Jak zautomatyzować sprawdzanie i łatanie luk?

Czy wiesz, że głównym powodem ataków na strony internetowe są luki w zabezpieczeniach, dla których dostępna była poprawka, ale nie została zastosowana? Nie dawaj hakerom łatwego sposobu na wykorzystanie witryn Twojego klienta. Nowy skaner witryn iThemes Security Pro automatycznie skanuje Twoją witrynę pod kątem znanych luk w rdzeniu WordPress, wtyczkach i motywach. A jeśli dostępna jest łatka. Skaner witryn automatycznie zastosuje poprawkę bezpieczeństwa, aby naprawić lukę.

Włącz Skaner witryny na stronie głównej ustawień zabezpieczeń, aby witryna była skanowana dwa razy dziennie pod kątem znanych luk w zabezpieczeniach, złośliwego oprogramowania i stanu listy blokowania Google witryny.

Aby umożliwić programowi iThemes Security Pro automatyczne zastosowanie poprawek zabezpieczeń, należy włączyć opcję Automatyczna aktualizacja, jeśli naprawi lukę w ustawieniach zarządzania wersjami.

6. Tymczasowa eskalacja uprawnień

Być może najbardziej niedostatecznie wykorzystywana funkcja we wszystkich iThemes Security Pro, funkcja Eskalacja uprawnień, pozwala tymczasowo zwiększyć uprawnienia pojedynczego użytkownika.

Za każdym razem, gdy tworzysz nowego użytkownika, zwłaszcza administratora, dodajesz dodatkowy punkt wejścia, który może wykorzystać haker. Ale czasami możesz potrzebować pomocy z zewnątrz.

Możesz utworzyć nowego użytkownika pomocy technicznej i nadać mu rolę subskrybenta. Następnym razem, gdy będziesz musiał przyznać komuś tymczasowy dostęp, przejdź do strony profilu użytkownika pomocy technicznej.

Zaktualizuj adres e-mail, aby umożliwić danej osobie zażądanie nowego hasła, a następnie przewiń w dół, aż zobaczysz ustawienia tymczasowej eskalacji uprawnień . Kliknij przełącznik Ustaw rolę tymczasową i wybierz opcję Administrator . Użytkownik będzie miał teraz dostęp administracyjny przez następne 24 godziny. Jeśli nie potrzebują pełnych 24 godzin, możesz odwołać eskalację uprawnień na stronie profilu użytkownika.

Zawijanie

Konfigurowanie zabezpieczeń na stronie klienta nie musi być trudne. iThemes Security Pro zapewnia narzędzia, których potrzebujesz, aby zastosować odpowiednią ilość zabezpieczeń do właściwych osób, ograniczyć dostęp do poufnych informacji bezpieczeństwa tylko do osób zarządzających bezpieczeństwem.

Michael Moore

Co tydzień Michael opracowuje raport na temat luk w zabezpieczeniach WordPressa, aby pomóc chronić Twoje witryny. Jako Product Manager w iThemes pomaga nam w dalszym ulepszaniu linii produktów iThemes. Jest wielkim kujonem i uwielbia uczyć się wszystkich rzeczy technicznych, starych i nowych. Możesz znaleźć Michaela spędzającego czas z żoną i córką, czytającego lub słuchającego muzyki, gdy nie pracuje.