Como configurar o iThemes Security Pro no site de seus clientes

Como você encontra o equilíbrio certo entre usabilidade e segurança? Como você controla quais notificações de segurança são compartilhadas com seu cliente? Configurar a segurança no site de um cliente pode ser uma tarefa difícil, mas não precisa ser. Neste post, vamos mostrar como configurar o iThemes Security Pro no site do seu cliente rapidamente.

Como configurar o iThemes Security Pro no site de seus clientes Webinar Replay

Confira um replay do webinar que fizemos sobre o mesmo assunto.

Aqui está uma visão geral rápida do que vamos cobrir.

1. Como configurar notificações do iThemes Security Pro
2. Segurança do WordPress para diferentes tipos de usuários
3. Usando grupos de usuários do iThemes Security Pro
4. Como criar um painel de cliente de segurança
5. Como automatizar verificações e correções de vulnerabilidade
6. Escalonamento de privilégio temporário

1. Como configurar notificações do iThemes Security Pro

O iThemes Security Pro compartilha informações críticas sobre a integridade da segurança do seu site. No entanto, essas mensagens podem criar dores de cabeça desnecessárias se seus clientes as interpretarem mal. Você pode tornar sua vida muito mais fácil se estiver compartilhando notificações de segurança com as pessoas certas.

Vamos cobrir rapidamente os 5 lugares onde você pode seus clientes podem encontrar notificações de segurança.

1. Notificações da Central de Mensagens - Todos os seus alertas e atualizações críticos podem ser encontrados na Central de Mensagens de Segurança do iThemes, localizada na barra de administração do WordPress.
2. Notificações de e-mail - notificações de segurança como o resumo de segurança e notificações de bloqueio podem ser enviadas para sua caixa de entrada.
3. Alertas de login - quando Dispositivos confiáveis ​​estiver habilitado, você usará o menu Alerta de login para confirmar ou bloquear um dispositivo.
4. Painel de Segurança - O Message Center também pode ser encontrado no Painel de Segurança.
5. Logs de segurança - agora, esta não é uma notificação no sentido tradicional, mas o iThemes Security Pro usa os logs de segurança para compartilhar eventos relacionados à segurança com você.

Centro de Notificação de Segurança iThemes

A Central de Notificações possui todas as ferramentas de que você precisa para gerenciar as notificações por e-mail geradas pelo iThemes Security Pro.

O módulo da Central de Notificações está localizado na página principal das configurações de segurança. Clique no botão Definir configurações para começar a personalizar suas notificações por e-mail.

As duas primeiras coisas que você deseja configurar na Central de Notificações são a lista De e- mail e Destinatários padrão .

O De e-mail é o endereço de e-mail que o iThemes Security Pro usará para enviar notificações. Os destinatários padrão é a lista de pessoas que receberão notificação por email, a menos que especificado de outra forma. Pode ser uma boa ideia ter apenas o seu usuário definido como o destinatário padrão para evitar que seus clientes recebam e-mails indesejados.

Você também pode personalizar os destinatários de cada notificação por e-mail enviada do iThemes Security Pro. Digamos que a única notificação por e-mail que você deseja que seu cliente veja seja o Security Digest. Para fazer isso, role para baixo até as configurações de e-mail do Security Digest, clique no botão de alternância Destinatário e selecione Personalizado .

Marque a caixa ao lado do nome de usuário do seu cliente para adicioná-lo à lista de e-mail do Security Digest.

Enquanto estamos falando sobre o e-mail do Security Digest, vamos falar sobre como você pode reduzir o número de e-mails que recebe do iThemes Security Pro. Durante períodos de ataque pesado, o iThemes Security pode gerar MUITOS e-mails. No entanto, esses e-mails podem criar muitos ruídos desnecessários. Por exemplo, as notificações de bloqueio são apenas o iThemes Security Pro se gabando de que está fazendo seu trabalho, mas não há nenhuma ação a ser tomada. O bandido já está bloqueado, problema resolvido. Dito isso, se receber uma tonelada de notificações se tornar a norma, pode se transformar em um cenário de lobo que gritou. Na única vez em que receber um alerta que requer sua ação, você pode ignorá-lo porque está continuamente recebendo notificações não urgentes.

O Security Digest reduz o número de e-mails enviados para que você possa receber um resumo de bloqueios, varreduras de detecção de alteração de arquivo e escalonamento de privilégios. Lembre-se de que você ainda precisará desativar as notificações individuais para parar de recebê-las.

Mostraremos como impedir que seus clientes vejam outros tipos de notificações posteriormente na postagem.

2. Segurança do WordPress para diferentes tipos de usuários

Grande parte da segurança do WordPress se resume à segurança do usuário. E nem todos os usuários são criados iguais, portanto, não devemos ter uma estratégia de segurança de tamanho único para todos os usuários. É por isso que vale a pena falar sobre os diferentes tipos de usuários que você pode ter em um site.

1. Administradores de sites - os administradores de sites têm o poder de fazer muitas alterações em um site WordPress. Com grandes poderes vem grandes responsabilidades. Muitas vezes, a segurança significa sacrificar um pouco da conveniência por um ganho muito mais significativo em segurança. É normal adicionar um pouco de atrito para esses usuários, porque se suas contas caírem nas mãos erradas, você pode dar um beijo de adeus em seu site.
2. Gerentes de loja - os gerentes de loja têm o mesmo poder de um administrador de site e exigem o mesmo alto nível de segurança. Você pode ter um cliente que precisa gerenciar a loja WooCommerce, mas não quer que ele mexa nas configurações de segurança do site. Mostraremos como você pode fazer isso na próxima seção.
3. Colaboradores / Editores - Colaboradores e Editores ainda merecem sua atenção porque podem fazer alterações em seu site. No entanto, eles podem não precisar de um nível de segurança tão alto quanto os administradores do site e gerentes de loja.
4. Assinantes / clientes - Assinantes e clientes são usuários de baixo nível que não podem fazer alterações em um site WordPress. Embora você provavelmente deseje fornecer a eles as ferramentas para proteger suas contas, provavelmente não deseja forçá-los a usá-las.

3. Usando grupos de usuários do iThemes Security Pro

O módulo Grupos de usuários no iThemes Security Pro permite que você veja rapidamente quais configurações que podem afetar a experiência do usuário estão ativadas e faça modificações nelas a partir de um único local.

Para facilitar o gerenciamento da segurança do usuário em seu site, o iThemes Security Pro classifica todos os seus usuários em grupos diferentes. Por padrão, seus usuários serão agrupados por seus recursos do WordPress. A classificação por recursos do WordPress permite a fácil combinação de WordPress e funções de usuário personalizadas no mesmo grupo. Por exemplo, se você estiver executando um site WooCommerce, os Administradores e Gerentes de loja do seu site estarão no Grupo de Usuários Admin e seus Assinantes e Clientes estarão no Grupo de Usuários Assinantes.

Agora que falamos sobre os diferentes tipos de usuários em um site WordPress, vamos dar uma olhada em como usar grupos de usuários para configurar nossa segurança de usuário rapidamente. Nesta seção, você aprenderá como configurar a segurança para administradores e assinantes de seu site.

Nas configurações de Grupos de usuários, selecione seu Grupo de usuários administradores para começar a editar este grupo. A guia Recursos mostra quais configurações estão habilitadas ou desabilitadas para o grupo, e a guia Editar Grupo permite que você configure os membros do grupo.

Como falamos anteriormente, vamos querer um alto nível de segurança para nosso grupo de usuários administrativos .

1. Gerenciar a segurança do iThemes - Nossos usuários administradores precisarão ser capazes de gerenciar as configurações de segurança.
2. Habilitar a criação do painel - Queremos que nossos usuários administradores criem o painel de segurança.
3. Relatório de notas - Nossos usuários Admin devem ter acesso ao relatório de notas.
4. Forçar dois fatores - Devemos exigir que nossos usuários de alto nível usem a autenticação de dois fatores.
5. Desativar a integração de dois fatores - Queremos tornar a inscrição no 2fa o mais fácil possível.
6. Permitir dispositivo de lembrança - podemos exigir que nossos usuários administradores insiram um token de dois fatores em cada login para maior segurança.
7. Senhas de aplicativos - Nossos usuários Admin podem precisar da opção de configurar senhas de aplicativos.
8. Monitoramento de atividades - queremos um histórico da atividade do site de nossos usuários administradores.
9. Login sem senha - Podemos permitir que todos usem esse método de login seguro e conveniente.
10. Permitir bypass de dois fatores para login sem senha - Esta é uma preferência pessoal. Não permitir o desvio de 2fa aumentará a segurança de seus logins de administrador.
11. Dispositivos confiáveis - Queremos restringir o acesso ao nosso painel de administração a uma lista de dispositivos aprovados.
12. Exigir senhas fortes - Queremos que nossos usuários de alto nível tenham senhas fortes.
13. Expiração de senha - você pode definir que suas senhas de administrador expirem.
14. Recuse senhas comprometidas - Não deixe seu usuário Admin reutilizar senhas que foram encontradas em violações de banco de dados.

Como falamos anteriormente, não queremos o mesmo alto nível de segurança para nosso Grupo de usuários de assinantes .

1. Gerenciar a segurança do iThemes - Não queremos que nossos usuários de baixo nível tenham acesso às configurações de segurança.
2. Habilitar a criação do painel - não queremos que usuários de baixo nível criem painéis de segurança.
3. Relatório de notas - os usuários de baixo nível não devem ver o relatório de notas.
4. Forçar dois fatores - Não queremos forçar nossos clientes ou assinantes a usar a autenticação de dois fatores.
5. Desativar a integração de dois fatores - embora desejemos dar aos nossos usuários de baixo nível a opção de usar 2fa, podemos não querer que eles vejam o fluxo de integração ao fazer login.
6. Permitir dispositivo de lembrança - talvez você não queira adicionar esse nível de complexidade a contas de usuário de baixo nível.
7. Senhas de aplicativos - talvez você não queira adicionar esse nível de complexidade às contas de usuário de baixo nível.
8. Monitoramento de atividade - Não queremos monitorar a atividade de nossos usuários de baixo nível.
9. Login sem senha - Podemos permitir que todos usem esse método de login seguro e conveniente.
10. Permitir bypass de dois fatores para login sem senha
11. Dispositivos confiáveis - talvez você não queira adicionar esse nível de complexidade às contas de usuário de baixo nível.
12. Exigir senhas fortes - talvez você não queira adicionar esse nível de atrito às contas de usuário de baixo nível.
13. Expiração de senha - talvez você não queira adicionar esse nível de atrito às contas de usuário de baixo nível.
14. Recusar senhas comprometidas - você provavelmente não deve permitir que seus usuários de baixo nível usem senhas comprometidas em seu site.

Falamos anteriormente sobre como podemos querer que nossos Gerentes de Loja tenham o mesmo alto nível de segurança que nossos Usuários Administradores, mas restringindo-os de gerenciar as configurações de segurança. Podemos criar um novo Grupo de usuários apenas para nossos gerentes de loja e podemos habilitar todos os mesmos recursos que fizemos para nossos usuários administradores, além da capacidade de gerenciar as configurações de segurança, criar painéis de segurança ou visualizar o relatório de notas. Isso também os impedirá de ver as notificações de segurança que discutimos anteriormente.

4. Como criar um painel de cliente de segurança

Olhando para a segurança do WordPress, as entradas de log podem ser demoradas e até confusas para entender. O iThemes Security Dashboard dá vida aos seus logs de segurança, reunindo listagens relacionadas e exibindo-as de uma forma que seja relevante para você.

O Painel de Segurança também é uma ótima maneira de mostrar ao seu cliente por que ele está pagando para proteger o site. Vamos dar uma olhada em como você pode criar um painel de controle compartilhado com seu cliente.

Depois de habilitar o painel, você pode visualizá-lo tanto no Painel de controle do administrador quanto nas configurações de segurança no menu Admin do WordPress.

Em seguida, você pode criar um novo painel usando o painel padrão do iThemes Security ou criar um do zero. Digite um nome para o seu quadro e clique no botão Criar quadro.

Depois de configurar o painel de acordo com sua preferência, você pode clicar no botão Compartilhar .

Em seguida, selecione o usuário com quem deseja compartilhar.

5. Como automatizar verificações e correções de vulnerabilidade

Você sabia que o principal motivo pelo qual os sites são hackeados são vulnerabilidades para as quais um patch estava disponível, mas não foi aplicado? Não forneça aos hackers uma maneira fácil de explorar os sites de seus clientes. O novo iThemes Security Pro Site Scanner verifica automaticamente o seu site em busca de vulnerabilidades conhecidas de núcleo, plug-in e tema do WordPress. E se um patch estiver disponível. O Site Scanner aplicará automaticamente o patch de segurança para corrigir a vulnerabilidade.

Habilite o Site Scanner na página principal da configuração de segurança para que seu site seja verificado duas vezes por dia em busca de vulnerabilidades conhecidas, malware e o status da lista de bloqueio do Google do site.

Você precisará habilitar a opção Atualizar automaticamente se a vulnerabilidade de correções nas configurações de gerenciamento de versão para dar ao iThemes Security Pro permissão para aplicar as correções de segurança automaticamente.

6. Escalonamento de privilégio temporário

Talvez o recurso mais subutilizado em todo o iThemes Security Pro, o recurso de escalonamento de privilégios, permite escalar os privilégios de um único usuário temporariamente.

Sempre que você cria um novo usuário, especialmente um usuário Admin, está adicionando um ponto de entrada extra para um hacker explorar. Mas às vezes você pode precisar de ajuda externa.

Você pode criar um novo usuário de suporte e atribuir a ele a função de usuário Assinante. Na próxima vez que você precisar fornecer acesso temporário a alguém, navegue até a página de perfil do usuário do suporte.

Atualize o endereço de e-mail para permitir que a pessoa solicite uma nova senha e, em seguida, role para baixo até ver as configurações de escalonamento de privilégio temporário . Clique no botão de alternância Definir função temporária e selecione Admin . O usuário agora terá acesso de administrador pelas próximas 24 horas. Se eles não precisarem das 24 horas completas, você pode revogar o escalonamento de privilégios na página de perfil do usuário.

Empacotando

Configurar a segurança no site de um cliente não precisa ser assustador. O iThemes Security Pro fornece as ferramentas de que você precisa para aplicar a quantidade certa de segurança às pessoas certas, restringir o acesso a informações confidenciais de segurança apenas às pessoas que gerenciam a segurança.

Michael Moore

A cada semana, Michael elabora o Relatório de vulnerabilidade do WordPress para ajudar a manter seus sites seguros. Como Gerente de Produto da iThemes, ele nos ajuda a continuar melhorando a linha de produtos da iThemes. Ele é um nerd gigante e adora aprender sobre todas as coisas de tecnologia, antigas e novas. Você pode encontrar Michael saindo com sua esposa e filha, lendo ou ouvindo música quando não está trabalhando.