As 10 principais coisas a fazer após a instalação do iThemes Security Pro

Publicados: 2020-09-17

O iThemes Security Pro está repleto de mais de 50 métodos de segurança para proteger e proteger seu site WordPress. Isso é uma tonelada de opções!

Se você não souber por onde começar depois de instalar o iThemes Security Pro, não se preocupe, nós temos o que você precisa. Nesta postagem, cobriremos as 10 principais coisas a serem feitas após a instalação do iThemes Security Pro.

Índice

    1. Execute a verificação de segurança

    Há várias razões que você vai querer para executar o iThemes Security Pro Security Check. A verificação de segurança ativa todas as configurações do iThemes Security Pro que funcionam bem em todos os ambientes, incluindo aqueles com recursos limitados.

    Vamos falar sobre as configurações que são ativadas pela verificação de segurança.

    • Local Brute Force Protection - O recurso Local Brute Force Protection rastreia tentativas de login inválidas feitas por IPs e nomes de usuário. Depois que um invasor fizer muitas tentativas consecutivas de login inválido, ele será bloqueado.
    • Usuários banidos - O recurso Usuários banidos mantém registro de bloqueios de IP. Assim que um IP se tornar um infrator reincidente, o iThemes Security Pro adicionará o IP à lista de Hosts Banidos e impedirá que o IP visualize seu site, quanto mais tentar fazer o login.
    • Backups de banco de dados - O recurso Backups de banco de dados cria backups do banco de dados do seu site.
    • Links mágicos - O recurso Links mágicos permite que você solicite um e-mail com um link de login exclusivo quando seu nome de usuário estiver bloqueado. Usar o link enviado por e-mail permitirá que você ignore o bloqueio, enquanto os atacantes de força bruta permanecem bloqueados.
    • Login sem senha - O recurso Login sem senha é uma nova maneira de verificar a identidade de um usuário sem realmente exigir uma senha para fazer o login.
    • Varredura do Site - A Varredura do Site verifica se há vulnerabilidades conhecidas em seu site e aplica automaticamente um patch, se houver.
    • Autenticação de dois fatores - A autenticação de dois fatores é um processo de verificação da identidade de uma pessoa exigindo dois métodos separados de verificação.
    • Registro do usuário - O recurso Registro do usuário faz exatamente o que você pensa; ele registra as ações do usuário, como login e salvamento de conteúdo.
    • WordPress Tweaks - Nem todas as opções de WordPress Tweaks são ativadas pela verificação de segurança. Os métodos de segurança essenciais, como Desabilitar o Editor de Arquivo , Bloquear Várias Tentativas de Autenticação por Solicitação XML-RPC , Restringir o Acesso à API REST e Mitigar Ataque Transversal de Arquivo de Anexo, estão habilitados.

    Executar a verificação de segurança também ajudará a evitar bloqueios inadvertidos do servidor, identificando o servidor do seu site e IPs de loopback. A verificação de segurança também verificará os IPs remotos que acessam seu site para proteger contra falsificação de IP.

    Além disso, a Verificação de segurança… verifica se o seu servidor tem um certificado SSL habilitado e se as solicitações de sua página HTTP estão sendo redirecionadas para HTTPs. Uma página carregada usando HTTPs protege seus visitantes com criptografia SSL. Você força o redirecionamento HTTPS no menu Verificação de segurança.

    Finalmente, a verificação de segurança solicitará que você ative sua licença de Network Brute Force Protection. A Rede Brute Force ajuda os usuários do iThemes Security a se protegerem. Os IPs que são bloqueados para atacar o seu site, junto com o IP bloqueado de outros sites protegidos pelo iThemes Security, serão relatados à Rede de Força Bruta. Assim que um IP estiver na rede de força bruta, ele será bloqueado em todos os sites da rede.

    2. Habilitar correção automática de vulnerabilidade

    A verificação de segurança habilita a varredura de site, que verificará automaticamente o seu site em busca de vulnerabilidades conhecidas de WordPress, plug-in e tema. Isso é ótimo, mas o iThemes Security Pro pode ir um passo além. Se uma vulnerabilidade for encontrada em seu site, o iThemes Security Pro pode aplicar automaticamente um patch, se houver um disponível.

    Tudo o que você precisa fazer é habilitar a opção Atualizar automaticamente se a vulnerabilidade corrige nas configurações de gerenciamento de versão .

    3. Bloqueie Bad Bots com o Google reCAPTCHA v3

    O recurso reCAPTCHA do Google no iThemes Security Pro protege seu site de robôs mal-intencionados. Esses bots estão tentando invadir seu site usando senhas comprometidas, postando spam ou até mesmo roubando seu conteúdo. O reCAPTCHA usa técnicas avançadas de análise de risco para diferenciar humanos de bots.

    O que é ótimo sobre o reCAPTCHA versão 3 é que ele ajuda a detectar o tráfego abusivo de bots em seu site sem qualquer interação do usuário. Em vez de mostrar um desafio CAPTCHA, o reCAPTCHA v3 monitora as diferentes solicitações feitas em seu site e retorna uma pontuação para cada solicitação. A pontuação varia de 0,01 a 1. Quanto maior a pontuação retornada pelo reCAPTCHA, mais certeza se terá de que uma pessoa fez a solicitação. Quanto mais baixa for a pontuação retornada pelo reCAPTCHA, mais confiante será de que um bot fez a solicitação.

    O iThemes Security Pro permite definir um limite de bloqueio usando a pontuação reCAPTCHA. O Google recomenda usar 0,5 como padrão. Lembre-se de que você pode bloquear inadvertidamente usuários legítimos se definir o limite muito alto.

    Você pode ativar o reCAPTCHA em seu registro de usuário do WordPress, redefinir a senha, login e comentários. O iThemes Security Pro permite que você execute o script do Google reCAPTCHA em todas as páginas para aumentar a precisão de seu bot em comparação com a pontuação humana.

    4. Proteja sua conta de usuário com um aplicativo 2FA

    O iThemes Security Pro oferece três métodos diferentes de autenticação de dois fatores para proteger os usuários do WordPress.

    1. Aplicativo móvel - este método requer que você use um aplicativo móvel gratuito de dois fatores, como o Authy.
    2. E - mail - o método de e-mail de dois fatores enviará códigos urgentes para o endereço de e-mail do seu usuário.
    3. Códigos de backup - Um conjunto de códigos de uso único que podem ser usados ​​para fazer o login no caso de perda do método principal de dois fatores.

    O método de aplicativo móvel é o mais seguro, então vamos dar uma olhada em como você pode adicionar esse nível de segurança ao seu usuário.

    A primeira coisa que você precisa fazer é baixar um aplicativo 2fa como o Authy e navegar até a página de perfil de usuário do WordPress. Quando estiver em seu perfil do WordPress, role para baixo até ver o título Opções de autenticação de dois fatores . Certifique-se de marcar as caixas para habilitar o método de aplicativo móvel e torná-lo sua forma principal de 2fa. Agora clique no botão Exibir código QR e chave secreta .

    Em seu telefone, leia o código QR para continuar a vincular o segredo ao seu aplicativo móvel.

    Agora digite o código de 6 dígitos do seu telefone no navegador da web e clique em Verificar para concluir a configuração.

    Observação: certifique-se de clicar no botão Atualizar perfil antes de sair da página de seu perfil.

    5. Crie um painel de segurança

    O iThemes Security Dashboard é um painel dinâmico com todas as estatísticas de atividade de segurança do seu site em um só lugar. O painel de controle de segurança dá vida aos seus logs de segurança, reunindo entradas relacionadas e exibindo-as de uma forma que seja relevante para você.

    O painel classifica a atividade de segurança do seu site em Cartões de Segurança . Pense neles como cartões de beisebol. Os cards de beisebol não fornecem informações sobre todos os jogadores da MLB. As cartas só se preocupam com o cara retratado na frente. Da mesma forma, os cartões de segurança não mostram todas as entradas do registro. Em vez disso, eles oferecem apenas informações relacionadas a esse cartão específico.

    Os 11 Cartões de Segurança

    1. Verificações do site

    Veja o histórico de suas varreduras do site do iThemes Security Pro.

    2. Perfis de segurança do usuário

    Veja uma lista de todos os usuários admin no site. Clique em qualquer nome de usuário para obter a visão geral de segurança.

    3. Perfil de segurança do usuário

    Fixe o perfil de um único usuário em seu painel e veja sua função de usuário, força da senha e idade, se eles têm ou não dois fatores habilitados e quando eles estiveram no site pela última vez.

    4. Bloqueios ativos

    Exibir todos os bloqueios ativos. Se o seu cliente se bloqueou, você pode cancelar rapidamente o bloqueio deste cartão.

    5. Bloqueio

    Veja um histórico de bloqueios em nosso site.

    6. Visão geral das proibições

    Veja um histórico se os IPs foram banidos pela iThemes Security.

    7. Ataques de força bruta

    Exibe um gráfico que mostra a atividade de força bruta.

    8. Dispositivos confiáveis

    Exibe um gráfico que traça dispositivos aprovados, aprovados automaticamente e bloqueados.

    9. 404s

    Veja uma visão geral dos 404s nos últimos 30 dias.

    10. Backups de banco de dados

    Visualize um histórico de backups de 30 dias e crie um novo backup de banco de dados.

    11. Resumo da atualização

    Exibe o número de atualizações de WordPress, plug-ins e temas em um período específico.

    12. Usuários banidos

    Gerencie a lista de hosts proibidos do seu site.

    Como criar um painel de segurança no iThemes Security Pro

    Para começar a usar o Painel de Segurança, certifique-se de que ele esteja habilitado na página principal das configurações de segurança.

    Uma vez ativado, você pode criar seu primeiro painel de segurança a partir do menu Painel de administração e configurações de segurança em seu menu de administração do WordPress .

    Em seguida, você pode criar um novo painel usando o painel padrão do iThemes Security ou criar um do zero. Digite um nome para o seu quadro e clique no botão Criar quadro.

    Criar página de painel

    O objetivo do Painel de Segurança é fornecer as informações que você deseja de uma forma que faça sentido para você. Você pode começar com uma tela em branco e adicionar apenas os cartões que são importantes para você.

    O painel de segurança dinâmico é totalmente personalizável. Você escolhe os cartões que deseja ver, a ordem em que aparecem na tela e quão grande ou pequeno deseja que cada cartão seja. Este é o seu painel criado por você para você.

    6. Up Your Password Game com requisitos de senha

    As senhas são sua primeira linha de defesa contra ataques ao seu login do WordPress. O recurso de Requisito de Senha no iThemes Security Pro não é apenas sua política de senha, mas também sua ferramenta de aplicação.

    Você pode forçar os membros de um grupo de usuários a usar uma senha forte , escolher um tempo de expiração da senha , recusar senhas comprometidas e forçar uma mudança de senha em todo o site para que todos cumpram sua nova política de senha forte.

    • Forçar senhas fortes - Força um conjunto de usuários a usar uma senha forte.
    • Expiração da senha - Defina o número máximo de dias que uma senha pode ser usada antes de expirar.
    • Recusar senhas comprometidas - Força os usuários a usar senhas que não tenham aparecido em nenhuma violação de senha rastreada por Have I Been Pwned.
    • Forçar alteração de senha - Força todos os usuários a alterar sua senha no próximo login.

    7. Ajuste seus e-mails de notificação de segurança

    A Central de Notificações possui todas as ferramentas de que você precisa para gerenciar as notificações por e-mail geradas pelo iThemes Security Pro.

    O módulo da Central de Notificações está localizado na página principal das configurações de segurança. Clique no botão Definir configurações para começar a personalizar suas notificações por e-mail.

    As duas primeiras coisas que você deseja configurar na Central de Notificações são a lista De e- mail e Destinatários padrão .

    O De e-mail é o endereço de e-mail que o iThemes Security Pro usará para enviar notificações. Os destinatários padrão é a lista de pessoas que receberão notificação por email, a menos que especificado de outra forma.

    Você também pode personalizar os destinatários de cada notificação por e-mail enviada do iThemes Security Pro. Digamos que a única notificação por e-mail que você deseja que um cliente veja seja o Security Digest. Para fazer isso, role para baixo até as configurações de e-mail do Security Digest, clique no botão de alternância Destinatário e selecione Personalizado .

    Marque a caixa ao lado do nome de usuário do seu cliente para adicioná-lo à lista de e-mail do Security Digest.

    O Assunto e a Mensagem podem ser personalizados para a maioria dos e-mails na Central de Notificações. Você pode aproveitar as diferentes marcas de e-mail para personalizar os e-mails. Por exemplo, você pode usar a tag de username para incluir o nome de usuário do destinatário no e-mail.

    8. Proteja seu painel WP com dispositivos confiáveis

    O recurso Dispositivos confiáveis ​​iThemes Security Pro limita o acesso ao painel do WordPress a uma lista de dispositivos aprovados.

    Depois de informar ao iThemes Security Pro quais dispositivos são seus, os Dispositivos confiáveis ​​podem proteger seu site de 2 maneiras diferentes:

    1. Restringir os recursos de dispositivos não reconhecidos - Quando alguém faz login usando um dispositivo não reconhecido, você pode restringir os recursos de nível de administrador e impedir que edite seus detalhes de login. O iThemes Security Pro enviará um e-mail para o endereço definido em seu perfil de usuário do WordPress.

    O e-mail de login não reconhecido terá a opção de confirmar ou bloquear o dispositivo. Se o botão Confirmar dispositivo for clicado, o usuário terá seus recursos de administrador restaurados. Se o botão This Was Not Me for clicado, o iThemes Security Pro desconectará o usuário ilegítimo e o dispositivo a lista de dispositivos negados no perfil do WordPress.

    2. Proteção contra sequestro de sessão - o sequestro de sessão é um ataque em que uma sessão de usuário é controlada por um invasor. Por exemplo, o WordPress gera um cookie de sessão toda vez que você faz login em seu site. E digamos que você tenha uma extensão de navegador com uma vulnerabilidade que permite que hackers sequestrem o cookie do seu navegador. Após sequestrar sua sessão, o hacker poderá começar a fazer alterações maliciosas em seu site.

    Se o dispositivo de um usuário for alterado durante uma sessão, o iThemes Security desconectará automaticamente o usuário para evitar qualquer atividade não autorizada na conta do usuário, como alterar o endereço de e-mail do usuário ou enviar plug-ins maliciosos.

    9. Utilize grupos de usuários para gerenciar a segurança do usuário

    O módulo Grupos de usuários no iThemes Security Pro permite que você veja rapidamente quais configurações que afetam a experiência do usuário estão ativadas e faça modificações nelas a partir de um único local.

    Para facilitar o gerenciamento da segurança do usuário em seu site, o iThemes Security Pro classifica todos os seus usuários em grupos diferentes. Por padrão, seus usuários serão agrupados por seus recursos do WordPress. A classificação por recursos do WordPress permite a fácil combinação de WordPress e funções de usuário personalizadas no mesmo grupo. Por exemplo, se você estiver executando um site WooCommerce, os Administradores e Gerentes de loja do seu site estarão no Grupo de Usuários Admin e seus Assinantes e Clientes estarão no Grupo de Usuários Assinantes.

    Nas configurações de Grupos de usuários, você verá todos os seus grupos de usuários e todas as configurações de segurança ativadas para cada grupo e alternará rapidamente entre as configurações ativadas e desativadas. O Grupo de usuários dá a você a confiança de que está aplicando o nível certo de segurança aos usuários certos.

    10. Crie um usuário de suporte universal

    O recurso mais subutilizado no iThemes Security Pro é o Privilege Escalation . O recurso permite escalar temporariamente os privilégios de um usuário.

    Sempre que você cria um novo usuário, especialmente um usuário Admin, está adicionando outro ponto de entrada que um hacker pode explorar. Mas, há momentos em que você pode precisar de alguma ajuda externa para o seu site, como quando está procurando suporte.

    Você pode criar um novo usuário e chamá-lo de Suporte e atribuir a ele a função de usuário Assinante. Na próxima vez que você precisar fornecer acesso temporário ao seu site, navegue até a página de perfil do usuário de suporte.

    Atualize o endereço de e-mail para permitir que o funcionário externo do suporte solicite uma nova senha. Em seguida, role para baixo até ver as configurações de escalonamento de privilégio temporário . Clique no botão de alternância Definir função temporária e selecione Admin . O usuário agora terá acesso de administrador pelas próximas 24 horas.

    Se eles não precisarem das 24 horas completas, você pode revogar o escalonamento de privilégios na página de perfil do usuário.

    Empacotando

    O iThemes Security Pro tem uma tonelada de ferramentas diferentes que você pode usar para proteger e proteger o seu site. Aqui está uma lista de verificação para ajudá-lo a começar a proteger seu site WordPress após instalar o iThemes Security Pro.

    • 1. Execute a verificação de segurança
    • 2. Habilitar correção automática de vulnerabilidade
    • 3. Bloqueie Bad Bots com o Google reCAPTCHA v3
    • 4. Bloqueie seu usuário WP com um aplicativo 2FA
    • 5. Crie um painel de segurança
    • 6. Up Your Password Game
    • 7. Ajuste seus e-mails de segurança
    • 8. Proteja seu painel WP com dispositivos confiáveis
    • 9. Familiarize-se com grupos de usuários
    • 10. Crie um usuário de suporte universal