10 najważniejszych rzeczy do zrobienia po zainstalowaniu iThemes Security Pro

Opublikowany: 2020-09-17

iThemes Security Pro jest pełen ponad 50 metod bezpieczeństwa, aby zabezpieczyć i chronić Twoją witrynę WordPress. To mnóstwo opcji!

Jeśli okaże się, że nie wiesz, od czego zacząć po zainstalowaniu iThemes Security Pro, nie martw się, zapewniamy Ci ochronę. W tym poście omówimy 10 najważniejszych rzeczy do zrobienia po zainstalowaniu iThemes Security Pro.

Spis treści

    1. Uruchom kontrolę bezpieczeństwa

    Istnieje kilka powodów, które będą chciały się uruchomić iThemes Zabezpieczenia Pro Security Check. Kontrola bezpieczeństwa włącza wszystkie ustawienia iThemes Security Pro, które ładnie działają we wszystkich środowiskach, w tym w tych z ograniczonymi zasobami.

    Porozmawiajmy o ustawieniach, które są włączane przez kontrolę bezpieczeństwa.

    • Local Brute Force Protection — funkcja Local Brute Force Protection śledzi nieprawidłowe próby logowania wykonane przez adresy IP i nazwy użytkowników. Gdy atakujący wykona zbyt wiele kolejnych nieprawidłowych prób logowania, zostanie zablokowany.
    • Zbanowani użytkownicy — funkcja Zbanowani użytkownicy śledzi blokady adresów IP. Gdy adres IP stanie się wielokrotnym przestępcą, iThemes Security Pro doda go do listy zbanowanych hostów i uniemożliwi adresowi IP przeglądanie Twojej witryny, nie mówiąc już o próbie zalogowania.
    • Kopie zapasowe bazy danych — funkcja Kopie zapasowe bazy danych tworzy kopie zapasowe bazy danych witryny.
    • Magic Links – Funkcja Magic Links umożliwia zażądanie wiadomości e-mail z unikalnym linkiem logowania, gdy Twoja nazwa użytkownika jest zablokowana. Użycie linku przesłanego pocztą e-mail pozwoli Ci ominąć blokadę, podczas gdy osoby atakujące metodą brute force pozostaną zablokowane.
    • Logowanie bez hasła — funkcja logowania bez hasła to nowy sposób weryfikacji tożsamości użytkownika bez konieczności podawania hasła do logowania.
    • Skanowanie witrynySkanowanie witryny sprawdza witrynę pod kątem znanych luk w zabezpieczeniach i automatycznie stosuje łatkę, jeśli jest dostępna.
    • Uwierzytelnianie dwuetapowe — Uwierzytelnianie dwuetapowe to proces weryfikacji tożsamości osoby, który wymaga dwóch oddzielnych metod weryfikacji.
    • Rejestrowanie użytkowników — funkcja rejestrowania użytkowników robi dokładnie to, co myślisz; rejestruje działania użytkownika, takie jak logowanie i zapisywanie treści.
    • WordPress Tweaks – Nie wszystkie opcje WordPress Tweaks są włączone przez kontrolę bezpieczeństwa. Włączone są podstawowe metody zabezpieczeń, takie jak wyłączanie edytora plików , blokowanie wielu prób uwierzytelnienia na żądanie XML-RPC , ograniczanie dostępu do interfejsu API REST i łagodzenie ataku polegającego na przechodzeniu przez plik załącznika .

    Przeprowadzenie kontroli bezpieczeństwa pomoże również zapobiec przypadkowym blokadom serwera, identyfikując serwer witryny i adresy IP pętli zwrotnej. Kontrola bezpieczeństwa zweryfikuje również zdalne adresy IP trafiające na Twoją witrynę, aby chronić przed fałszowaniem adresów IP.

    Ponadto funkcja Security Check… sprawdza, czy Twój serwer ma włączony certyfikat SSL i czy żądania stron HTTP są przekierowywane na HTTPs. Strona ładowana za pomocą protokołu HTTPs chroni odwiedzających za pomocą szyfrowania SSL. Wymuszasz przekierowanie HTTPS z menu Sprawdzanie bezpieczeństwa.

    Na koniec Kontrola bezpieczeństwa poprosi o aktywację licencji Network Brute Force Protection. Sieć Brute Force pomaga użytkownikom iThemes Security chronić się nawzajem. Adresy IP, które zostaną zablokowane za atakowanie Twojej witryny, wraz z zablokowanym adresem IP innych witryn chronionych przez iThemes Security, zostaną zgłoszone do sieci Brute Force Network. Gdy adres IP znajdzie się w sieci Brute Force, zostanie zablokowany we wszystkich witrynach w sieci.

    2. Włącz automatyczne łatanie luk

    Kontrola bezpieczeństwa włącza Skanowanie Witryny, które automatycznie sprawdzi Twoją witrynę pod kątem znanych luk WordPress, wtyczek i motywów. To świetnie, ale iThemes Security Pro może pójść o krok dalej. Jeśli w Twojej witrynie zostanie znaleziona luka w zabezpieczeniach, iThemes Security Pro może automatycznie zastosować poprawkę, jeśli jest dostępna.

    Wszystko, co musisz zrobić, to włączyć opcję Automatyczna aktualizacja, jeśli naprawi lukę w ustawieniach zarządzania wersjami.

    3. Blokuj złe boty za pomocą Google reCAPTCHA v3

    Funkcja Google reCAPTCHA w iThemes Security Pro chroni Twoją witrynę przed złymi botami. Te boty próbują włamać się do Twojej witryny za pomocą złamanych haseł, zamieszczają spam, a nawet wykradają zawartość. reCAPTCHA wykorzystuje zaawansowane techniki analizy ryzyka, aby odróżnić ludzi od botów.

    Wspaniałą cechą reCAPTCHA w wersji 3 jest to, że pomaga wykrywać nadużycia w witrynie bez interakcji użytkownika. Zamiast pokazywać wyzwanie CAPTCHA, reCAPTCHA v3 monitoruje różne żądania wysyłane w Twojej witrynie i zwraca wynik dla każdego żądania. Wynik waha się od 0,01 do 1. Im wyższy wynik zwrócony przez reCAPTCHA, tym większa pewność, że człowiek złożył prośbę. Im niższy wynik zwrócony przez reCAPTCHA, tym większa pewność, że bot wysłał żądanie.

    iThemes Security Pro pozwala ustawić próg blokowania za pomocą wyniku reCAPTCHA. Google zaleca używanie 0,5 jako domyślnego. Pamiętaj, że możesz nieumyślnie zablokować uprawnionych użytkowników, jeśli ustawisz zbyt wysoki próg.

    Możesz włączyć reCAPTCHA podczas rejestracji użytkownika WordPress, zresetować hasło, login i komentarze. iThemes Security Pro umożliwia uruchamianie skryptu Google reCAPTCHA na wszystkich stronach, aby zwiększyć dokładność wyniku bota w porównaniu z wynikiem ludzkim.

    4. Zabezpiecz swoje konto użytkownika za pomocą aplikacji 2FA

    iThemes Security Pro oferuje trzy różne metody uwierzytelniania dwuskładnikowego w celu zabezpieczenia użytkowników WordPress.

    1. Aplikacja mobilna — ta metoda wymaga korzystania z bezpłatnej dwuskładnikowej aplikacji mobilnej, takiej jak Authy.
    2. E - mail — dwuskładnikowa metoda e-mail wyśle ​​kody wrażliwe na czas na adres e-mail użytkownika.
    3. Kody zapasowe — zestaw kodów jednorazowych, których można użyć do logowania w przypadku utraty podstawowej metody dwuskładnikowej.

    Metoda aplikacji mobilnej jest najbezpieczniejsza, więc przyjrzyjmy się, jak możesz dodać ten poziom bezpieczeństwa swojemu użytkownikowi.

    Pierwszą rzeczą, którą musisz zrobić, to pobrać aplikację 2fa, taką jak Authy, a następnie przejść do strony profilu użytkownika WordPress. Gdy znajdziesz się w swoim profilu WordPress, przewiń w dół, aż zobaczysz nagłówek Opcje uwierzytelniania dwuskładnikowego. Pamiętaj, aby zaznaczyć pola, aby włączyć metodę aplikacji mobilnej i ustawić ją jako podstawową formę 2fa. Teraz kliknij przycisk Wyświetl kod QR i tajny klucz .

    Na telefonie zeskanuj kod QR, aby kontynuować łączenie sekretu z aplikacją mobilną.

    Teraz wprowadź 6-cyfrowy kod z telefonu do przeglądarki internetowej i kliknij Zweryfikuj, aby zakończyć konfigurację.

    Uwaga: Pamiętaj, aby kliknąć przycisk Aktualizuj profil przed opuszczeniem strony profilu.

    5. Utwórz panel bezpieczeństwa

    Pulpit bezpieczeństwa iThemes to dynamiczny pulpit nawigacyjny ze wszystkimi statystykami bezpieczeństwa Twojej witryny w jednym miejscu. Program Security Dashboard ożywia dzienniki bezpieczeństwa, gromadząc powiązane wpisy i wyświetlając je w odpowiedni dla Ciebie sposób.

    Panel sortuje działania związane z bezpieczeństwem Twojej witryny w karty bezpieczeństwa . Pomyśl o nich jak o kartach baseballowych. Karty baseballowe nie dają informacji o każdym zawodniku w MLB. Karty dotyczą tylko faceta przedstawionego na awersie. Podobnie karty bezpieczeństwa nie pokazują wszystkich wpisów w dzienniku. Zamiast tego oferują tylko informacje związane z tą konkretną kartą.

    11 kart bezpieczeństwa

    1. Skanowanie witryny

    Zobacz historię skanowania witryny iThemes Security Pro.

    2. Profile bezpieczeństwa użytkownika

    Zobacz listę wszystkich administratorów witryny. Kliknij dowolną nazwę użytkownika, aby uzyskać przegląd bezpieczeństwa.

    3. Profil bezpieczeństwa użytkownika

    Przypnij profil pojedynczego użytkownika do swojego pulpitu nawigacyjnego i zobacz jego rolę użytkownika, siłę hasła i wiek, niezależnie od tego, czy mają włączoną opcję dwuskładnikową i kiedy ostatnio byli w witrynie.

    4. Aktywne blokady

    Wyświetl wszystkie aktywne blokady. Jeśli twój klient się zablokował, możesz szybko usunąć blokadę z tej karty.

    5. Blokada

    Zobacz historię blokad na naszej stronie.

    6. Przegląd banów

    Wyświetl historię, jeśli adresy IP zostały zablokowane przez iThemes Security.

    7. Brutalne ataki siłowe

    Wyświetla wykres przedstawiający aktywność brutalnej siły.

    8. Zaufane urządzenia

    Wyświetla wykres przedstawiający zatwierdzone, automatycznie zatwierdzone i zablokowane urządzenia.

    9. 404s

    Zobacz przegląd błędów 404 z ostatnich 30 dni.

    10. Kopie zapasowe bazy danych

    Przeglądaj 30-dniową historię kopii zapasowych i utwórz nową kopię zapasową bazy danych.

    11. Podsumowanie aktualizacji

    Wyświetlaj liczbę aktualizacji WordPress, wtyczek i motywów w określonym czasie.

    12. Zbanowani użytkownicy

    Zarządzaj listą zablokowanych hostów w Twojej witrynie.

    Jak utworzyć pulpit bezpieczeństwa w iThemes Security Pro

    Aby rozpocząć korzystanie z Security Dashboard, upewnij się, że jest on włączony na głównej stronie ustawień bezpieczeństwa.

    Po włączeniu możesz utworzyć swój pierwszy pulpit bezpieczeństwa zarówno z menu panelu administracyjnego, jak i ustawień zabezpieczeń w menu administratora WordPress .

    Następnie możesz utworzyć nowy pulpit nawigacyjny za pomocą domyślnego pulpitu nawigacyjnego iThemes Security lub utworzyć go od podstaw. Wprowadź nazwę swojej tablicy, a następnie kliknij przycisk Utwórz tablicę.

    Utwórz stronę pulpitu nawigacyjnego

    Celem programu Security Dashboard jest dostarczanie żądanych informacji w sposób, który ma dla Ciebie sens. Możesz zacząć od pustego płótna i dodawać tylko te karty, które są dla Ciebie ważne.

    Dynamiczny pulpit bezpieczeństwa jest w pełni konfigurowalny. Wybierasz karty, które chcesz zobaczyć, kolejność, w jakiej pojawiają się na ekranie i jak duża lub mała ma być każda karta. To jest Twój pulpit nawigacyjny stworzony przez Ciebie dla Ciebie.

    6. Ulepsz swoją grę haseł z wymaganiami dotyczącymi haseł

    Hasła to Twoja pierwsza linia obrony przed atakami na Twój login WordPress. Funkcja wymagania hasła w iThemes Security Pro to nie tylko polityka haseł, ale także narzędzie do egzekwowania.

    Możesz zmusić członków grupy użytkowników do używania silnego hasła , wybrać czas wygaśnięcia hasła , odrzucić przejęte hasła i wymusić zmianę haseł w całej witrynie, aby wszyscy przestrzegali nowej polityki silnych haseł.

    • Wymuś silne hasła — Wymuś zestaw użytkowników do używania silnego hasła.
    • Wygaśnięcie hasła — ustaw maksymalną liczbę dni, przez które hasło może być używane, zanim wygaśnie.
    • Odrzuć naruszone hasła — zmuszaj użytkowników do używania haseł, które nie pojawiły się w żadnych naruszeniach haseł śledzonych przez Have I Been Pwned.
    • Wymuś zmianę hasła — zmusza wszystkich użytkowników do zmiany hasła przy następnym logowaniu.

    7. Dostosuj swoje wiadomości e-mail z powiadomieniami dotyczącymi bezpieczeństwa

    Centrum powiadomień zawiera wszystkie narzędzia potrzebne do zarządzania powiadomieniami e-mail generowanymi przez iThemes Security Pro.

    Moduł Centrum powiadomień znajduje się na głównej stronie ustawień zabezpieczeń. Kliknij przycisk Konfiguruj ustawienia , aby rozpocząć dostosowywanie powiadomień e-mail.

    Pierwsze dwie rzeczy, które chcesz skonfigurować w Centrum powiadomień, to lista Od e - mail i Domyślni odbiorcy .

    From Email to adres e-mail, którego iThemes Security Pro będzie używał do wysyłania powiadomień. Domyślni odbiorcy to lista osób, które otrzymają powiadomienie e-mail, chyba że określono inaczej.

    Możesz także dostosować odbiorców każdego powiadomienia e-mail wysyłanego z iThemes Security Pro. Załóżmy, że jedynym powiadomieniem e-mail, które chcesz, aby klient zobaczył, jest Security Digest. Aby to zrobić, przewiń w dół do ustawień poczty e-mail Security Digest, kliknij przełącznik Odbiorca i wybierz opcję Niestandardowe .

    Zaznacz pole obok nazwy użytkownika klienta, aby dodać go do listy e-mail Security Digest.

    Temat i wiadomość można dostosować do większości wiadomości e-mail w centrum powiadomień. Możesz skorzystać z różnych tagów e-mail , aby spersonalizować e-maile. Na przykład możesz użyć tagu username aby dołączyć nazwę użytkownika odbiorcy do wiadomości e-mail.

    8. Chroń swój pulpit nawigacyjny WP za pomocą zaufanych urządzeń

    Funkcja iThemes Security Pro Trusted Devices ogranicza dostęp do pulpitu WordPress do listy zatwierdzonych urządzeń.

    Gdy poinformujesz iThemes Security Pro, które urządzenia są Twoje, Zaufane urządzenia mogą chronić Twoją witrynę na 2 różne sposoby:

    1. Ogranicz możliwości nierozpoznanych urządzeń — gdy ktoś loguje się przy użyciu nierozpoznanego urządzenia, możesz ograniczyć jego możliwości na poziomie administratora i uniemożliwić mu edytowanie danych logowania. iThemes Security Pro wyśle ​​wiadomość e-mail na adres ustawiony w profilu użytkownika WordPress.

    Nierozpoznany adres e-mail logowania będzie zawierał opcję potwierdzenia lub zablokowania urządzenia. Kliknięcie przycisku Potwierdź urządzenie spowoduje przywrócenie uprawnień administratora. Jeśli klikniesz przycisk This Was Not Me , iThemes Security Pro wyloguje nielegalnego użytkownika, a urządzenie z listy odrzuconych urządzeń w profilu WordPress.

    2. Ochrona przed przejęciem sesji — przejęcie sesji to atak polegający na przejęciu sesji użytkownika przez atakującego. Na przykład WordPress generuje plik cookie sesji za każdym razem, gdy logujesz się do swojej witryny. Załóżmy, że masz rozszerzenie przeglądarki z luką, która umożliwia hakerom przejęcie pliku cookie przeglądarki. Po przejęciu Twojej sesji haker będzie mógł zacząć wprowadzać złośliwe zmiany w Twojej witrynie.

    Jeśli urządzenie użytkownika ulegnie zmianie podczas sesji, iThemes Security automatycznie wyloguje użytkownika, aby zapobiec wszelkim nieautoryzowanym działaniom na koncie użytkownika, takim jak zmiana adresu e-mail użytkownika lub przesyłanie złośliwych wtyczek.

    9. Wykorzystaj grupy użytkowników do zarządzania bezpieczeństwem użytkowników

    Moduł Grupy użytkowników w iThemes Security Pro pozwala szybko zobaczyć, które ustawienia wpływające na wrażenia użytkownika są włączone i wprowadzać w nich modyfikacje z jednego miejsca.

    Aby ułatwić zarządzanie bezpieczeństwem użytkowników w witrynie, iThemes Security Pro sortuje wszystkich użytkowników w różne grupy. Domyślnie Twoi użytkownicy będą pogrupowani według ich możliwości WordPress. Sortowanie według funkcji WordPress pozwala na łatwe łączenie WordPressa i niestandardowych ról użytkownika w tej samej grupie. Na przykład, jeśli prowadzisz witrynę WooCommerce, administratorzy witryny i menedżerowie sklepu będą znajdować się w grupie użytkowników administratora, a Twoi subskrybenci i klienci będą w grupie użytkowników subskrybentów.

    W ustawieniach grup użytkowników zobaczysz wszystkie swoje grupy użytkowników i wszystkie ustawienia zabezpieczeń, które są włączone dla każdej grupy, a także szybko włączasz i wyłączasz ustawienia. Grupa użytkowników daje pewność, że stosujesz odpowiedni poziom bezpieczeństwa odpowiednim użytkownikom.

    10. Utwórz użytkownika uniwersalnej pomocy technicznej

    Najbardziej niedostatecznie wykorzystywaną funkcją w iThemes Security Pro jest Eskalacja uprawnień . Ta funkcja umożliwia tymczasowe zwiększenie uprawnień użytkownika.

    Za każdym razem, gdy tworzysz nowego użytkownika, zwłaszcza administratora, dodajesz kolejny punkt wejścia, który może wykorzystać haker. Czasami jednak możesz potrzebować pomocy z zewnątrz dla swojej witryny, na przykład gdy szukasz wsparcia.

    Możesz utworzyć nowego użytkownika i nazwać go Support oraz nadać mu rolę użytkownika Subskrybent. Następnym razem, gdy będziesz musiał zapewnić tymczasowy dostęp do swojej witryny, przejdź do strony profilu użytkownika pomocy technicznej.

    Zaktualizuj adres e-mail, aby osoba z zewnątrz mogła poprosić o nowe hasło. Następnie przewiń w dół, aż zobaczysz ustawienia Tymczasowej eskalacji uprawnień . Kliknij przełącznik Ustaw rolę tymczasową i wybierz opcję Administrator . Użytkownik będzie miał teraz dostęp administracyjny przez następne 24 godziny.

    Jeśli nie potrzebują pełnych 24 godzin, możesz odwołać eskalację uprawnień na stronie profilu użytkownika.

    Zawijanie

    iThemes Security Pro ma mnóstwo różnych narzędzi, których możesz użyć do zabezpieczenia i ochrony swojej witryny. Oto lista kontrolna, która pomoże Ci rozpocząć zabezpieczanie witryny WordPress po zainstalowaniu iThemes Security Pro.

    • 1. Uruchom kontrolę bezpieczeństwa
    • 2. Włącz automatyczne łatanie luk
    • 3. Blokuj złe boty za pomocą Google reCAPTCHA v3
    • 4. Zablokuj użytkownika WP za pomocą aplikacji 2FA
    • 5. Utwórz panel bezpieczeństwa
    • 6. Ulepsz swoją grę haseł
    • 7. Dostosuj swoje e-maile bezpieczeństwa
    • 8. Chroń swój pulpit nawigacyjny WP za pomocą zaufanych urządzeń
    • 9. Zapoznaj się z grupami użytkowników
    • 10. Utwórz użytkownika uniwersalnej pomocy technicznej