5 sfaturi și trucuri avansate pentru iThemes Security Pro

Pluginul iThemes Security Pro are peste 50 de moduri diferite de a vă securiza și proteja site-ul WordPress. Puteți activa majoritatea metodelor de securitate în iThemes Security Pro cu doar un clic de buton. Cu toate acestea, dacă aveți la dispoziție câteva minute pentru a vă scufunda în setări, puteți adăuga mai multe straturi de protecție pe site-ul dvs. WordPress.

În această postare, vă vom oferi 5 sfaturi și trucuri avansate pentru ca iThemes Security Pro să ducă securitatea site-ului dvs. web la nivelul următor.

Sfat # 1 - Protejați-vă tabloul de bord WP cu dispozitive de încredere

Caracteristica Dispozitive de încredere iThemes Security Pro limitează accesul la tabloul de bord WordPress la o listă de dispozitive aprobate.

Odată ce informați iThemes Security Pro despre dispozitivele dvs., dispozitivele de încredere vă pot proteja site-ul în două moduri diferite:

1. Restricționați capacitățile dispozitivelor nerecunoscute - Când cineva se conectează utilizând un dispozitiv nerecunoscut, puteți restricționa capacitățile la nivel de administrator și le puteți împiedica să își editeze datele de conectare. iThemes Security Pro va trimite apoi un e-mail la adresa setată în profilul de utilizator WordPress.

E-mailul de autentificare nerecunoscut va avea opțiunea de a confirma sau de a bloca dispozitivul. Dacă se face clic pe butonul Confirmare dispozitiv , utilizatorul își va restabili capacitățile de administrare. Dacă se face clic pe butonul This Was Not Me , iThemes Security Pro va deconecta utilizatorul nelegitim și dispozitivul de pe lista dispozitivelor refuzate în profilul WordPress.

2. Session Hijacking Protection - Session hijacking este un atac în care o sesiune de utilizator este preluată de un atacator. De exemplu, WordPress generează un cookie de sesiune de fiecare dată când vă conectați la site-ul dvs. web. Și să presupunem că aveți o extensie de browser cu o vulnerabilitate care permite hackerilor să vă deturneze cookie-ul din browser. După deturnarea sesiunii dvs., hackerul va putea începe să facă modificări rău intenționate pe site-ul dvs. web.

Dacă dispozitivul unui utilizator se schimbă în timpul unei sesiuni, iThemes Security îl va deconecta automat pentru a preveni orice activitate neautorizată din contul utilizatorului, cum ar fi schimbarea adresei de e-mail a utilizatorului sau încărcarea de pluginuri rău intenționate.

Sfat # 2 - Utilizați Google reCAPTCHA v3 pentru a bloca roboții răi

Funcția Google reCAPTCHA din iThemes Security Pro vă protejează site-ul împotriva roboților răi. Acești roboți încearcă să pătrundă pe site-ul dvs. web folosind parole compromise, postând spam sau chiar răscolind conținutul. reCAPTCHA folosește tehnici avansate de analiză a riscurilor pentru a distinge oamenii și roboții.

Ce este grozav la reCAPTCHA versiunea 3 este că vă ajută să detectați traficul abuziv de bot pe site-ul dvs. web fără nicio interacțiune a utilizatorului. În loc să afișeze o provocare CAPTCHA, reCAPTCHA v3 monitorizează diferitele solicitări făcute și returnează un scor. Scorul variază de la 0,01 la 1. Cu cât scorul returnat de reCAPTCHA este mai mare, cu atât este mai sigur că un om a făcut cererea. Cu cât acest scor redus de reCAPTCHA este mai mic, cu atât este mai încrezător că un robot a făcut cererea.

iThemes Security Pro vă permite să setați un prag de bloc folosind scorul reCAPTCHA. Google recomandă să folosiți 0.5 ca implicit. Rețineți că ați putea bloca din greșeală utilizatorii legitimi dacă setați pragul prea mare.

Să presupunem că setați pragul de blocare la 1, ceea ce înseamnă că doriți ca Google să blocheze tot ceea ce nu sunt 100% sigur că este uman. Acum unul dintre clienții dvs. trimite o solicitare de conectare la site-ul dvs. web. Și acest client folosește un manager de parole pentru completarea automată a parolelor și reCAPTCHA acordă cererii de conectare un scor de 0,7.

Deci, chiar dacă clientul dvs. nu și-a folosit tastatura pentru a introduce acreditările, Google este destul de sigur că clientul dvs. este uman. Dar, clientul dvs. va rămâne în continuare blocat, deoarece ați stabilit un prag de 1.

Puteți activa reCAPTCHA la înregistrarea utilizatorului WordPress, la resetarea parolei, la conectare și la comentarii. iThemes Security Pro vă permite să rulați scriptul Google reCAPTCHA pe toate paginile pentru a crește acuratețea botului față de scorul uman.

Sfat # 3 - Utilizați escalada de privilegii pentru a crea un utilizator de asistență universal

Cea mai subutilizată caracteristică din iThemes Security Pro este escalada de privilegii. Funcția vă permite să escaladați temporar privilegiile unui utilizator.

De fiecare dată când creați un utilizator nou, în special un utilizator de administrator, adăugați un alt punct de intrare pe care un hacker l-ar putea exploata. Dar, este posibil să aveți nevoie de ajutor extern pentru site-ul dvs. web, cum ar fi atunci când căutați asistență.

Puteți crea un utilizator nou și îl puteți numi Asistență și îi puteți da rolul de utilizator Abonat. Data viitoare când trebuie să oferiți acces temporar la site-ul dvs. web, navigați la pagina de profil a utilizatorului de asistență.

Actualizați adresa de e-mail pentru a permite persoanei de asistență externe să solicite o nouă parolă. Apoi derulați în jos până când vedeți setările de escaladă temporară a privilegiilor . Faceți clic pe comutarea Setare rol temporar și selectați Administrator . Utilizatorul va avea acum acces de administrator pentru următoarele 24 de ore.

Dacă nu au nevoie de 24 de ore complete, puteți revoca escalada de privilegii din pagina profilului utilizatorului.

Sfat # 4 - Faceți securitatea mai ușoară pentru utilizatorii dvs.

Prin definiție, fiecare măsură de securitate este concepută pentru a reduce confortul oricărui lucru care primește securitatea adăugată. Așadar, vreau să împărtășesc trei caracteristici în iThemes Security Pro care pot face securitatea mai ușoară pentru toată lumea de pe site-ul dvs. web.

1. Integrarea în doi factori

Autentificarea cu doi factori este un proces de verificare a identității unei persoane prin necesitatea a două metode separate de verificare. Google a împărtășit pe blogul său că utilizarea autentificării cu doi factori poate opri 100% din atacurile automate de bot.

Integrarea în doi factori este o modalitate ușor de utilizat pentru oameni de a configura doi factori în conturile lor. Fiecare utilizator care are activată autentificarea cu doi factori va fi ghidat prin fluxul de integrare la următoarea conectare.

După introducerea acreditării, vi se va prezenta textul de bun venit integrat. Rețineți că puteți personaliza acest lucru în setările dvs. cu doi factori.

Pe tot parcursul fluxului, veți avea opțiunea de a activa și configura metodele cu doi factori pe care doriți să le utilizați.

Până la sfârșitul fluxului, dvs. și conturile utilizatorului dvs. veți avea un strat puternic de securitate pe care îl asigură autentificarea cu doi factori.

2. Legături magice

Un robot poate scape pagina autorului dvs. pentru a aduna nume de utilizator pentru a le utiliza într-un atac de forță brută pe site-ul dvs. web. Este de rau să fii blocat, deoarece un bot încearcă să-și pătrundă site-ul web folosind numele de utilizator.

Când numele dvs. de utilizator este blocat, puteți solicita un e-mail cu un link de autentificare unic. Utilizarea linkului prin e-mail va ocoli blocarea numelui de utilizator pentru dvs., în timp ce atacatorii cu forță brută sunt încă blocați.

Pur și simplu faceți clic pe linkul „Trimiteți linkul de autentificare autorizat” pentru a primi e-mailul Magic Links.

Odată ce ați primit e-mailul, utilizați linkul, introduceți acreditările și veți reveni pe site-ul dvs.!

3. Conectări fără parolă

Indiferent dacă noi, din comunitatea de securitate, dorim să recunoaștem sau nu, utilizarea unui manager de parole și autentificarea cu doi factori poate fi dureroasă și consumatoare de timp, mai ales că ne deplasăm din ce în ce mai mult din viața noastră online.

Așadar, am dorit să creăm o modalitate prin care oamenii să obțină toată securitatea pe care o parolă puternică și unică o oferă fără a sacrifica utilitatea.

Ce sunt conectările fără parolă?

Conectarea fără parolă este o nouă modalitate de a verifica identitatea unui utilizator fără a necesita de fapt o parolă pentru conectare. Am transformat Magic Links într-o nouă metodă de conectare care vă permite să solicitați utilizatorilor să utilizeze parole puternice și autentificare cu doi factori fără a introduce vreodată o parolă sau un cod de autentificare suplimentar.

Cum funcționează metoda de conectare fără parolă

Când vă conectați, vi se va cere să alegeți o metodă de autentificare. Faceți clic pe butonul Email Magic Link pentru a trimite e-mailul care conține linkul de conectare fără parolă.

Acum veți vedea un mesaj care confirmă că e-mailul a fost trimis.

În căsuța de e-mail, deschideți e-mailul Magic Link și butonul Conectați - vă acum .

Și asta este, fără introducerea unei parole sau a unui jeton cu doi factori. Aceasta înseamnă că, odată ce activați autentificarea Passowordless, nu trebuie să vă cunoașteți parola complicată sau să copiați și să inserați un cod suplimentar pentru a vă autentifica. Cu toate acestea, acei băieți răi care încearcă să forțeze brutal site-ul dvs. vor avea o rată de succes de 0%.

Sfat # 5 - Activați meniul de depanare pentru depanare avansată

Este posibil să fiți solicitat de către asistența iThemes Security Pro să activați meniul de depanare. Pentru a activa meniul Debug în iThemes Security Pro, va trebui să adăugați codul de mai jos în fișierul wp-config.php.

 define( 'ITSEC_DEBUG', true );

Asigurați-vă că adăugați codul deasupra „Toate acestea sunt bloguri fericite”. linia.

Acum veți putea accesa meniul de depanare din iThemes Security Pro.

Puteți să vă vizualizați informațiile despre sistem , să încărcați configurația setărilor , să vizualizați planificatorul de evenimente de securitate și ce e-mailuri primesc de la Centrul de notificări. Instrumentul de depanare a problemelor de depanare pe care vreau să îl evidențiez în această postare este Planificatorul.

Programator

Programatorul vă arată toate evenimentele programate diferite în iThemes Security Pro. Evenimentele programate sunt lucruri precum scanarea site-ului, scanarea modificărilor de fișiere, eliminarea blocajelor și multe altele. Ceea ce au în comun aceste funcții este necesitatea lor de a fi programate în avans și se bazează pe wp-cron pentru a rula.

Să presupunem că v-a atras atenția că scanarea File Change nu rulează pe site-ul dvs., chiar dacă ați activat File Change în setările de securitate. Puteți activa meniul de depanare pentru a vedea dacă scanarea Schimbare fișier din lista dvs. de evenimente programate. Dacă nu este, acest lucru înseamnă că ceva nu a funcționat înainte de crearea unui eveniment. Puteți rezolva această problemă făcând clic pe butonul Reset ITSEC_Scheduler_Cron. Oprirea cronului va forța programatorul să verifice setările de securitate și să reconstruiască lista evenimentelor programate. Inclusiv scanările de Schimbare fișier lipsă.

Încheierea

Pluginul iThemes Security Pro oferă o protecție excelentă, dar dacă vă scufundați în setări, veți găsi câteva instrumente de securitate foarte interesante. Aceste instrumente vă pot ajuta să adăugați mai multe straturi de securitate la datele de conectare și tabloul de bord WordPress, să blocheze roboții răi și chiar să faciliteze securitatea tuturor celor de pe site-ul dvs. web, inclusiv dvs.

Michael Moore

În fiecare săptămână, Michael realizează Raportul de vulnerabilitate WordPress pentru a vă menține site-urile în siguranță. În calitate de manager de produs la iThemes, el ne ajută să continuăm să îmbunătățim gama de produse iThemes. Este un tocilar uriaș și iubește să învețe despre toate lucrurile tehnice, vechi și noi. Îl poți găsi pe Michael stând cu soția și fiica sa, citind sau ascultând muzică atunci când nu funcționează.