5 дополнительных советов и приемов для iThemes Security Pro

Опубликовано: 2020-09-02

Плагин iThemes Security Pro предлагает более 50 различных способов защиты вашего веб-сайта WordPress. Вы можете включить большинство методов безопасности в iThemes Security Pro одним нажатием кнопки. Однако, если у вас есть несколько минут, чтобы погрузиться в настройки, вы можете добавить несколько уровней защиты на свой сайт WordPress.

В этом посте мы дадим вам 5 расширенных советов и приемов для iThemes Security Pro, которые помогут вывести безопасность вашего веб-сайта на новый уровень.

Совет №1 - Защитите свою панель управления WP с помощью доверенных устройств

Функция надежных устройств iThemes Security Pro ограничивает доступ к панели управления WordPress списком одобренных устройств.

Как только вы сообщите iThemes Security Pro, какие устройства принадлежат вам, Trusted Devices сможет защитить ваш сайт двумя способами:

1. Ограничение возможностей неопознанных устройств. Когда кто-то входит в систему с неопознанного устройства, вы можете ограничить его возможности на уровне администратора и запретить им редактировать свои данные для входа. iThemes Security Pro отправит электронное письмо на адрес, указанный в их профиле пользователя WordPress.

Нераспознанный адрес электронной почты для входа будет иметь возможность подтвердить или заблокировать устройство. Если нажать кнопку « Подтвердить устройство» , у пользователя восстановятся возможности администратора. Если нажать кнопку « Это не я» , iThemes Security Pro выйдет из системы незаконного пользователя, а устройство - из списка запрещенных устройств в профиле WordPress.

2. Защита от перехвата сеанса. Перехват сеанса - это атака, при которой сеанс пользователя захватывает злоумышленник. Например, WordPress генерирует файл cookie сеанса каждый раз, когда вы входите на свой веб-сайт. Допустим, у вас есть расширение браузера с уязвимостью, которая позволяет хакерам захватить cookie вашего браузера. После взлома вашего сеанса хакер сможет начать вносить вредоносные изменения в ваш сайт.

Если устройство пользователя изменится во время сеанса, iThemes Security автоматически выйдет из системы, чтобы предотвратить любые несанкционированные действия в учетной записи пользователя, такие как изменение адреса электронной почты пользователя или загрузка вредоносных подключаемых модулей.

Примечание. Прочтите обзор функции «Надежные устройства», чтобы узнать больше о том, как защитить и защитить свою панель управления WordPress.

Совет №2. Используйте Google reCAPTCHA v3 для блокировки плохих ботов.

Функция Google reCAPTCHA в iThemes Security Pro защищает ваш сайт от плохих ботов. Эти боты пытаются проникнуть на ваш сайт, используя взломанные пароли, отправляя спам или даже очищая ваш контент. reCAPTCHA использует передовые методы анализа рисков, чтобы различать людей и ботов.

Что замечательно в reCAPTCHA версии 3, так это то, что она помогает вам обнаруживать злонамеренный трафик ботов на вашем веб-сайте без какого-либо взаимодействия с пользователем. Вместо того, чтобы показывать вызов CAPTCHA, reCAPTCHA v3 отслеживает различные сделанные запросы и возвращает оценку. Оценка варьируется от 0,01 до 1. Чем выше оценка reCAPTCHA, тем больше уверенности в том, что запрос сделал человек. Чем ниже этот показатель, возвращаемый reCAPTCHA, тем больше уверенности в том, что бот сделал запрос.

iThemes Security Pro позволяет установить порог блокировки с помощью оценки reCAPTCHA. Google рекомендует использовать 0,5 по умолчанию. Имейте в виду, что вы можете случайно заблокировать законных пользователей, если установите слишком высокий порог.

Допустим, вы установили порог блокировки равным 1, что означает, что вы хотите, чтобы Google блокировал все, что они не на 100% уверены в человеческом происхождении. Теперь один из ваших клиентов отправляет запрос на вход на ваш сайт. И этот клиент использует диспетчер паролей для автозаполнения своих паролей, и reCAPTCHA дает его запросу на вход оценку 0,7.

Таким образом, даже если ваш клиент не использовал клавиатуру для ввода учетных данных, Google почти уверен, что ваш клиент - человек. Но ваш клиент все равно будет заблокирован, потому что вы установили порог 1.

Вы можете включить reCAPTCHA при регистрации пользователя WordPress, сбросить пароль, логин и комментарии. iThemes Security Pro позволяет запускать скрипт Google reCAPTCHA на всех страницах, чтобы повысить точность оценки его бота по сравнению с человеческим.

Google reCAPTCHA версии 3 невероятна! Это помогает защитить вас и посетителей вашего сайта от плохих ботов без какого-либо взаимодействия с пользователем.

Совет № 3 - Используйте повышение привилегий, чтобы создать пользователя универсальной поддержки

Наиболее часто используемая функция iThemes Security Pro - это повышение привилегий. Эта функция позволяет временно повысить привилегии пользователя.

Каждый раз, когда вы создаете нового пользователя, особенно пользователя с правами администратора, вы добавляете еще одну точку входа, которую может использовать хакер. Но бывают случаи, когда вам может потребоваться внешняя помощь для вашего веб-сайта, например, когда вы ищете поддержку.

Вы можете создать нового пользователя и назвать его «Поддержка» и присвоить ему роль «Подписчик». В следующий раз, когда вам потребуется предоставить временный доступ к своему веб-сайту, перейдите на страницу профиля пользователя службы поддержки.

Обновите адрес электронной почты, чтобы позволить внешнему специалисту службы поддержки запросить новый пароль. Затем прокрутите вниз, пока не увидите настройки временного повышения привилегий . Щелкните переключатель « Установить временную роль» и выберите « Администратор» . Теперь у пользователя будет доступ администратора в течение следующих 24 часов.

Если им не нужны полные 24 часа, вы можете отозвать повышение привилегий на странице профиля пользователя.

Совет №4 - Сделайте безопасность проще для ваших пользователей

По определению, каждая мера безопасности предназначена для уменьшения удобства того, что получает дополнительную защиту. Итак, я хочу поделиться тремя функциями iThemes Security Pro, которые могут упростить безопасность для всех на вашем веб-сайте.

1. Двухфакторная адаптация

Двухфакторная аутентификация - это процесс проверки личности человека, требующий двух отдельных методов проверки. Google поделился в своем блоге, что использование двухфакторной аутентификации может остановить 100% автоматических атак ботов.

Двухфакторное подключение - это удобный способ настроить двухфакторный учет в своих учетных записях. Каждый пользователь, у которого включена двухфакторная аутентификация, будет проходить процесс адаптации при следующем входе в систему.

После ввода учетных данных вам будет представлен текст приветствия. Имейте в виду, что вы можете настроить это в двухфакторных настройках.

На протяжении всего процесса у вас будет возможность включить и настроить методы двухфакторной обработки, которые вы хотите использовать.

К концу потока у вас и ваших учетных записей будет надежный уровень безопасности, обеспечиваемый двухфакторной аутентификацией.

2. Волшебные ссылки

Бот может скрыть страницу вашего автора, чтобы собрать имена пользователей для использования в атаке методом грубой силы на ваш сайт. Отстойно быть заблокированным, потому что какой-то бот пытается взломать ваш сайт, используя ваше имя пользователя.

Когда ваше имя пользователя заблокировано, вы можете запросить электронное письмо с уникальной ссылкой для входа. Использование отправленной по электронной почте ссылки позволит обойти блокировку имени пользователя для вас, в то время как злоумышленники по-прежнему заблокированы.

Просто нажмите ссылку «Отправить авторизованную ссылку для входа», чтобы получить электронное письмо от Magic Links.

Как только вы получите электронное письмо, используйте ссылку, введите свои учетные данные, и вы вернетесь на свой сайт!

Примечание: прочтите обзор функции Magic Links, чтобы узнать больше.

3. Вход без пароля

Независимо от того, хотим ли мы в сообществе безопасности признать это или нет, использование диспетчера паролей и двухфакторной аутентификации может быть болезненным и трудоемким, особенно когда мы все больше и больше проводим свою жизнь в Интернете.

Поэтому мы хотели создать способ, позволяющий людям получить всю безопасность, которую обеспечивает надежный и уникальный пароль, без ущерба для удобства использования.

Что такое вход без пароля?

Вход без пароля - это новый способ проверки личности пользователя без необходимости ввода пароля для входа в систему. Мы превратили Magic Links в новый метод входа в систему, который позволяет требовать от пользователей использования надежных паролей и двухфакторной аутентификации без ввода пароля или дополнительного кода аутентификации.

Как работает метод входа без пароля

При входе в систему вам будет предложено выбрать метод входа. Нажмите кнопку Email Magic Link , чтобы отправить электронное письмо, содержащее ссылку для входа без пароля.

Теперь вы увидите сообщение, подтверждающее, что письмо было отправлено.

Логин без пароля Проверить электронную почту

В почтовом ящике откройте письмо Magic Link и нажмите кнопку « Войти сейчас» .

И все, без ввода пароля или двухфакторного токена. Это означает, что после включения входа без пароля вам не нужно знать сложный пароль или копировать и вставлять дополнительный код для входа в систему. Однако у тех плохих парней, которые пытаются грубо использовать ваш сайт, вероятность успеха составляет 0%.

Примечание. Чтобы узнать больше, загляните в электронную книгу «Начало работы с входом без пароля».

Совет № 5 - Включите меню отладки для расширенного поиска и устранения неисправностей.

Иногда служба поддержки iThemes Security Pro может попросить вас включить меню отладки. Чтобы включить меню «Отладка» в iThemes Security Pro, вам необходимо добавить приведенный ниже код в файл wp-config.php.

 define( 'ITSEC_DEBUG', true );

Не забудьте добавить код над надписью «Приятного ведения блога». линия.

Теперь вы сможете получить доступ к меню отладки в iThemes Security Pro.

Вы можете просматривать информацию о системе , загружать конфигурацию своих настроек , просматривать планировщик событий безопасности и сообщения электронной почты, отправляемые центром уведомлений. Инструмент устранения неполадок при отладке, который я хочу выделить в этом посте, - это Планировщик.

Планировщик

Планировщик показывает вам все различные запланированные события в iThemes Security Pro. Запланированные события - это такие вещи, как сканирование сайта, сканирование при изменении файлов, снятие блокировки и многое другое. Что общего у этих функций, так это то, что их нужно планировать заранее, и они полагаются на wp-cron для запуска.

Предположим, вы обратили внимание на то, что сканирование изменения файла не выполняется на вашем веб-сайте, даже если вы включили изменение файла в настройках безопасности. Вы можете включить меню отладки, чтобы увидеть, есть ли сканирование изменения файла в вашем списке запланированных событий. Если это не так, это означает, что что-то пошло не так до создания события. Вы можете решить эту проблему, нажав кнопку сброса ITSEC_Scheduler_Cron. Перезагрузка cron заставит планировщик проверить настройки безопасности и перестроить список запланированных событий. Включая ваши недостающие отсканированные изображения изменений файла.

Заключение

Плагин iThemes Security Pro предлагает отличную защиту из коробки, но если вы погрузитесь в настройки, вы найдете несколько действительно интересных инструментов безопасности. Эти инструменты могут помочь добавить несколько уровней безопасности к вашей учетной записи и панели управления WordPress, заблокировать плохих ботов и даже упростить безопасность для всех на вашем веб-сайте, включая вас.

Майкл Мур

Каждую неделю Майкл составляет отчет об уязвимостях WordPress, чтобы обеспечить безопасность ваших сайтов. Как менеджер по продукту в iThemes, он помогает нам продолжать улучшать линейку продуктов iThemes. Он большой ботаник и любит узнавать обо всем, что есть в технологиях, старом и новом. Вы можете увидеть, как Майкл гуляет с женой и дочерью, читает или слушает музыку, когда не работает.