5 dicas e truques avançados para o iThemes Security Pro

Publicados: 2020-09-02

O plugin iThemes Security Pro tem mais de 50 maneiras diferentes de proteger e proteger seu site WordPress. Você pode ativar a maioria dos métodos de segurança no iThemes Security Pro com apenas um clique de um botão. No entanto, se você puder reservar alguns minutos para mergulhar nas configurações, poderá adicionar várias camadas de proteção ao seu site WordPress.

Neste artigo, vamos dar-lhe 5 dicas e truques avançados para o iThemes Security Pro levar a segurança do seu site para o próximo nível.

Dica nº 1 - Proteja seu painel WP com dispositivos confiáveis

O recurso Dispositivos confiáveis ​​iThemes Security Pro limita o acesso ao painel do WordPress a uma lista de dispositivos aprovados.

Depois de informar ao iThemes Security Pro quais dispositivos são seus, os Dispositivos confiáveis ​​podem proteger seu site de 2 maneiras diferentes:

1. Restringir os recursos de dispositivos não reconhecidos - Quando alguém faz login usando um dispositivo não reconhecido, você pode restringir os recursos de nível de administrador e impedir que edite seus detalhes de login. O iThemes Security Pro enviará um e-mail para o endereço definido em seu perfil de usuário do WordPress.

O e-mail de login não reconhecido terá a opção de confirmar ou bloquear o dispositivo. Se o botão Confirmar dispositivo for clicado, o usuário terá seus recursos de administrador restaurados. Se o botão This Was Not Me for clicado, o iThemes Security Pro desconectará o usuário ilegítimo e o dispositivo a lista de dispositivos negados no perfil do WordPress.

2. Proteção contra sequestro de sessão - o sequestro de sessão é um ataque em que uma sessão de usuário é controlada por um invasor. Por exemplo, o WordPress gera um cookie de sessão toda vez que você faz login em seu site. E digamos que você tenha uma extensão de navegador com uma vulnerabilidade que permite que hackers sequestrem o cookie do seu navegador. Após sequestrar sua sessão, o hacker poderá começar a fazer alterações maliciosas em seu site.

Se o dispositivo de um usuário for alterado durante uma sessão, o iThemes Security desconectará automaticamente o usuário para evitar qualquer atividade não autorizada na conta do usuário, como alterar o endereço de e-mail do usuário ou enviar plug-ins maliciosos.

Nota: Leia a postagem em destaque sobre o recurso Dispositivos confiáveis ​​para saber mais sobre como proteger e proteger seu painel do WordPress.

Dica 2 - Use o Google reCAPTCHA v3 para bloquear bots ruins

O recurso reCAPTCHA do Google no iThemes Security Pro protege seu site de robôs mal-intencionados. Esses bots estão tentando invadir seu site usando senhas comprometidas, postando spam ou até mesmo roubando seu conteúdo. O reCAPTCHA usa técnicas avançadas de análise de risco para diferenciar humanos de bots.

O que é ótimo sobre o reCAPTCHA versão 3 é que ele ajuda a detectar o tráfego abusivo de bots em seu site sem qualquer interação do usuário. Em vez de mostrar um desafio CAPTCHA, o reCAPTCHA v3 monitora as diferentes solicitações feitas e retorna uma pontuação. A pontuação varia de 0,01 a 1. Quanto maior a pontuação retornada pelo reCAPTCHA, mais certeza se terá de que uma pessoa fez a solicitação. Quanto mais baixa for a pontuação retornada pelo reCAPTCHA, mais confiante será de que um bot fez a solicitação.

O iThemes Security Pro permite definir um limite de bloqueio usando a pontuação reCAPTCHA. O Google recomenda usar 0,5 como padrão. Lembre-se de que você pode bloquear inadvertidamente usuários legítimos se definir o limite muito alto.

Digamos que você defina o limite de bloqueio como 1, o que significa que você deseja que o Google bloqueie qualquer coisa que não tenha 100% de certeza de que é humano. Agora, um de seus clientes envia uma solicitação de login ao seu site. E esse cliente usa um gerenciador de senhas para preencher automaticamente suas senhas e o reCAPTCHA atribui à solicitação de login uma pontuação de 0,7.

Portanto, mesmo que seu cliente não tenha usado o teclado para digitar suas credenciais, o Google tem certeza de que seu cliente é humano. Porém, seu cliente ainda ficará bloqueado porque você definiu um limite de 1.

Você pode ativar o reCAPTCHA em seu registro de usuário do WordPress, redefinir a senha, login e comentários. O iThemes Security Pro permite que você execute o script do Google reCAPTCHA em todas as páginas para aumentar a precisão de seu bot em comparação com a pontuação humana.

Google reCAPTCHA versão 3 é incrível! Ele ajuda a manter você e os visitantes do seu site protegidos contra robôs mal-intencionados, sem qualquer interação do usuário.

Dica nº 3 - Use o escalonamento de privilégios para criar um usuário de suporte universal

O recurso mais subutilizado no iThemes Security Pro é o Privilege Escalation. O recurso permite escalar temporariamente os privilégios de um usuário.

Sempre que você cria um novo usuário, especialmente um usuário Admin, está adicionando outro ponto de entrada que um hacker pode explorar. Mas, há momentos em que você pode precisar de alguma ajuda externa para o seu site, como quando está procurando suporte.

Você pode criar um novo usuário e chamá-lo de Suporte e atribuir a ele a função de usuário Assinante. Na próxima vez que você precisar fornecer acesso temporário ao seu site, navegue até a página de perfil do usuário de suporte.

Atualize o endereço de e-mail para permitir que o funcionário externo do suporte solicite uma nova senha. Em seguida, role para baixo até ver as configurações de escalonamento de privilégio temporário . Clique no botão de alternância Definir função temporária e selecione Admin . O usuário agora terá acesso de administrador pelas próximas 24 horas.

Se eles não precisarem das 24 horas completas, você pode revogar o escalonamento de privilégios na página de perfil do usuário.

Dica nº 4 - Facilite a segurança para seus usuários

Por definição, toda medida de segurança é projetada para diminuir a conveniência de tudo o que está recebendo a segurança adicional. Portanto, quero compartilhar três recursos no iThemes Security Pro que podem tornar a segurança mais fácil para todos em seu site.

1. Integração de dois fatores

A autenticação de dois fatores é um processo de verificação da identidade de uma pessoa, exigindo dois métodos separados de verificação. O Google compartilhou em seu blog que o uso de autenticação de dois fatores pode impedir 100% dos ataques de bot automatizados.

A integração de dois fatores é uma maneira fácil de usar para que as pessoas configurem dois fatores em suas contas. Cada usuário que tiver a autenticação de dois fatores ativada será guiado pelo fluxo de integração na próxima vez que fizer login.

Depois de inserir suas credenciais, você verá o texto de boas-vindas de integração. Lembre-se de que você pode personalizar isso nas configurações de dois fatores.

Ao longo do fluxo, você terá a opção de habilitar e configurar os métodos de dois fatores que deseja usar.

No final do fluxo, você e as contas de seu usuário terão uma forte camada de segurança que a autenticação de dois fatores fornece.

Nota: Leia a postagem em destaque sobre o recurso Dispositivos confiáveis ​​para saber mais sobre como proteger e proteger seu painel do WordPress.

2. Links mágicos

Um bot pode roubar a página do seu autor para reunir nomes de usuário para usar em um ataque de força bruta ao seu site. É uma pena ficar bloqueado porque algum bot está tentando invadir seu site usando seu nome de usuário.

Quando seu nome de usuário está bloqueado, você pode solicitar um e-mail com um link de login exclusivo. Usar o link enviado por e-mail irá ignorar o bloqueio do nome de usuário para você, enquanto os invasores de força bruta ainda estão bloqueados.

Basta clicar no link “Enviar link de login autorizado” para receber seu e-mail Magic Links.

Assim que receber o e-mail, use o link, insira suas credenciais e você estará de volta ao seu site!

Nota: Leia a postagem em destaque sobre o recurso Magic Links para saber mais.

3. Logins sem senha

Quer nós, da comunidade de segurança, queiramos admitir ou não, usar um gerenciador de senhas e autenticação de dois fatores pode ser uma dor e consumir muito tempo, especialmente à medida que mudamos cada vez mais nossas vidas online.

Por isso, queríamos criar uma maneira de as pessoas obterem toda a segurança que uma senha forte e exclusiva oferece, sem sacrificar a usabilidade.

O que são logins sem senha?

O login sem senha é uma nova maneira de verificar a identidade de um usuário sem realmente exigir uma senha para fazer o login. Desenvolvemos o Magic Links para um novo método de login que permite exigir que os usuários usem senhas fortes e autenticação de dois fatores sem nunca inserir uma senha ou um código de autenticação extra.

Como funciona o método de login sem senha

Ao fazer login, você deverá escolher um método de login. Clique no botão Email Magic Link para enviar o e-mail contendo o link de login sem senha.

Email Magic Link

Você verá uma mensagem confirmando o envio do e-mail.

E-mail de verificação de login sem senha

Na caixa de entrada do seu e-mail, abra o e-mail do Magic Link e o botão Login Agora .

Email de login sem senha

E é isso, sem inserir uma senha ou token de dois fatores. Isso significa que, depois de habilitar o Login sem senha, você não precisa saber sua senha complicada ou copiar e colar um código extra para fazer o login. No entanto, aqueles bandidos que tentam usar a força bruta em seu site terão uma taxa de sucesso de 0%.

Observação: verifique o e-book Introdução ao login sem senha para saber mais.

Dica nº 5 - Habilite o menu Debug para solução de problemas avançada

Pode haver momentos em que o suporte do iThemes Security Pro solicitará que você ative o menu de depuração. Para habilitar o menu Debug no iThemes Security Pro, você precisará adicionar o código abaixo ao seu arquivo wp-config.php.

 define( 'ITSEC_DEBUG', true );

Certifique-se de adicionar o código acima de "É tudo um bom blog". linha.

Agora você poderá acessar o menu Debug no iThemes Security Pro.

Você pode ver as informações do sistema , carregar a configuração de suas Configurações , ver o Agendador de eventos de segurança e quais emails estão sendo enviados pela Central de Notificações. A ferramenta de solução de problemas de depuração que desejo destacar nesta postagem é o Scheduler.

Agendador

O Programador mostra todos os diferentes eventos programados no iThemes Security Pro. Eventos programados são coisas como varreduras de site, varreduras de alteração de arquivo, limpeza de bloqueios e muito mais. O que essas funções têm em comum é a necessidade de serem agendadas com antecedência e dependem do wp-cron para serem executadas.

Digamos que você tenha percebido que a verificação de alteração de arquivo não está em execução no seu site, embora você tenha habilitado a alteração de arquivo nas configurações de segurança. Você pode ativar o menu de depuração para ver se a verificação de alteração de arquivo em sua lista de eventos programados. Se não for, isso significa que algo deu errado antes da criação de um evento. Você pode resolver esse problema clicando no botão ITSEC_Scheduler_Cron Reset . O descanso do cron forçará o Agendador a verificar as configurações de segurança e reconstruir a lista de eventos agendados. Incluindo suas varreduras de alteração de arquivo ausentes.

Empacotando

O plugin iThemes Security Pro oferece excelente proteção fora da caixa, mas se você mergulhar nas configurações, encontrará algumas ferramentas de segurança muito legais. Essas ferramentas podem ajudar a adicionar várias camadas de segurança ao seu login e painel do WordPress, bloquear bots ruins e até mesmo tornar a segurança mais fácil para todos em seu site, incluindo você.