Как настроить iThemes Security Pro на сайте вашего клиента

Как найти правильный баланс между удобством использования и безопасностью? Как вы контролируете, какие уведомления системы безопасности передаются вашему клиенту? Настройка безопасности на веб-сайте клиента может быть сложной задачей, но это не обязательно. В этом посте мы покажем вам, как быстро настроить iThemes Security Pro на веб-сайте вашего клиента.

Как настроить iThemes Security Pro на веб-семинаре на сайте клиентов

Посмотрите повтор веб-семинара, который мы провели по той же теме.

Вот краткий обзор того, что мы собираемся осветить.

1. Как настроить уведомления iThemes Security Pro
2. Безопасность WordPress для разных типов пользователей
3. Использование групп пользователей iThemes Security Pro
4. Как создать панель мониторинга клиента безопасности
5. Как автоматизировать проверку уязвимостей и исправление
6. Временное повышение привилегий

1. Как настроить уведомления iThemes Security Pro

iThemes Security Pro делится важной информацией о состоянии безопасности вашего веб-сайта. Однако эти сообщения могут создать ненужную головную боль, если ваши клиенты неправильно их поймут. Вы можете значительно упростить себе жизнь, если будете делиться уведомлениями системы безопасности с нужными людьми.

Давайте быстро рассмотрим 5 мест, где ваши клиенты могут найти уведомления системы безопасности.

1. Уведомления центра сообщений - все ваши критические предупреждения и обновления можно найти в Центре сообщений безопасности iThemes, расположенном на панели администратора WordPress.
2. Уведомления по электронной почте - уведомления о безопасности, такие как Дайджест безопасности и Уведомления о блокировке, могут быть отправлены на ваш почтовый ящик.
3. Оповещения о входе в систему - если функция «Доверенные устройства» включена, вы будете использовать меню «Оповещение о входе», чтобы подтвердить или заблокировать устройство.
4. Панель мониторинга безопасности - Центр сообщений также можно найти на панели мониторинга безопасности.
5. Журналы безопасности - Теперь это не уведомление в традиционном смысле, но iThemes Security Pro использует журналы безопасности, чтобы делиться с вами событиями, связанными с безопасностью.

Центр уведомлений о безопасности iThemes

В Центре уведомлений есть все инструменты, необходимые для управления уведомлениями по электронной почте, созданными iThemes Security Pro.

Модуль Центра уведомлений находится на главной странице настроек безопасности. Нажмите кнопку « Настроить параметры» , чтобы начать настройку уведомлений по электронной почте.

Первые две вещи, которые вы хотите настроить в Центре уведомлений, - это « От электронной почты» и «Список получателей по умолчанию» .

Электронная почта «От» - это адрес электронной почты, который iThemes Security Pro будет использовать для отправки уведомлений. Получатели по умолчанию - это список людей, которые получат уведомление по электронной почте, если не указано иное. Может быть хорошей идеей, чтобы в качестве получателя по умолчанию был выбран только ваш пользователь, чтобы ваши клиенты не получали нежелательные электронные письма.

Вы также можете настроить получателей для каждого уведомления по электронной почте, отправляемого из iThemes Security Pro. Предположим, что единственное уведомление по электронной почте, которое вы хотите, чтобы ваш клиент видел, - это Дайджест безопасности. Для этого прокрутите вниз до настроек электронной почты Security Digest, щелкните переключатель Получатель и выберите Custom .

Установите флажок рядом с именем пользователя вашего клиента, чтобы добавить его в список рассылки Security Digest.

Пока мы говорим об электронной почте Security Digest, давайте поговорим о том, как можно уменьшить количество электронных писем, которые вы получаете от iThemes Security Pro. В периоды интенсивных атак iThemes Security может генерировать МНОГО электронных писем. Однако эти электронные письма могут создать массу ненужного шума. Например, уведомления о блокировке - это просто заявление iThemes Security Pro о том, что оно выполняет свою работу, но от вас не требуется никаких действий. Плохой парень уже заблокирован, проблема решена. Тем не менее, если получение тонны уведомлений станет нормой, это может превратиться в сценарий мальчика, который плакал, как волк. Один раз, когда вы получите предупреждение, требующее ваших действий, вы можете проигнорировать его, потому что вы постоянно получаете несрочные уведомления.

Дайджест безопасности сокращает количество отправляемых электронных писем, поэтому вы можете получать сводку о блокировках, сканированиях с обнаружением изменений файлов и повышении привилегий. Имейте в виду, что вам все равно нужно будет отключить отдельные уведомления, чтобы перестать их получать.

Позже мы покажем вам, как запретить вашим клиентам видеть другие типы уведомлений.

2. Безопасность WordPress для разных типов пользователей

Безопасность WordPress во многом сводится к безопасности пользователей. И не все пользователи созданы равными, поэтому у нас не должно быть единой стратегии безопасности, подходящей для всех. Вот почему стоит поговорить о различных типах пользователей, которые могут быть у вас на веб-сайте.

1. Администраторы сайта - администраторы сайта могут вносить массу изменений на веб-сайт WordPress. С большой властью приходит большая ответственность. Зачастую безопасность означает жертвовать небольшим удобством ради гораздо более значительного повышения безопасности. Это нормально, чтобы добавить этих пользователей немного трения, потому что, если их учетные записи когда-либо попадут в чужие руки, вы можете поцеловать свой сайт на прощание.
2. Менеджеры магазинов - менеджеры магазинов обладают теми же полномочиями, что и администраторы сайта, и требуют такого же высокого уровня безопасности. У вас может быть клиент, которому нужно управлять магазином WooCommerce, но вы не хотите, чтобы он вмешивался в настройки безопасности сайта. В следующем разделе мы покажем, как этого добиться.
3. Авторы / редакторы. Авторы и редакторы по-прежнему заслуживают вашего внимания, потому что они могут вносить изменения в ваш сайт. Тем не менее, им может не потребоваться такой высокий уровень безопасности, как администраторам вашего сайта и менеджерам магазинов.
4. Подписчики / клиенты - подписчики и клиенты - это пользователи низкого уровня, которые не могут вносить изменения на веб-сайте WordPress. Хотя вы, вероятно, захотите дать им инструменты для защиты своей учетной записи, вы, вероятно, не захотите заставлять их использовать их.

3. Использование групп пользователей iThemes Security Pro

Модуль «Группы пользователей» в iThemes Security Pro позволяет быстро увидеть, какие настройки, которые могут повлиять на взаимодействие с пользователем, включены, и внести в них изменения из одного места.

Чтобы упростить управление безопасностью пользователей на вашем сайте, iThemes Security Pro сортирует всех ваших пользователей по разным группам. По умолчанию ваши пользователи будут сгруппированы по их возможностям WordPress. Сортировка по возможностям WordPress позволяет легко объединять WordPress и пользовательские роли пользователей в одну группу. Например, если вы используете сайт WooCommerce, администраторы вашего сайта и менеджеры магазинов будут входить в группу пользователей-администраторов, а ваши подписчики и клиенты будут в группе пользователей-подписчиков.

Теперь, когда мы поговорили о различных типах пользователей на веб-сайте WordPress, давайте взглянем на использование групп пользователей для быстрой настройки безопасности наших пользователей. В этом разделе вы узнаете, как настроить безопасность для администраторов и подписчиков вашего сайта.

В настройках групп пользователей выберите группу пользователей-администраторов, чтобы начать редактирование этой группы. На вкладке « Возможности » показано, какие параметры включены или отключены для группы, а на вкладке « Изменить группу » можно настроить членов группы.

Как мы говорили ранее, нам понадобится высокий уровень безопасности для нашей группы пользователей Admin .

1. Управление безопасностью iThemes - нашим администраторам потребуется возможность управлять настройками безопасности.
2. Включить создание панели мониторинга - мы хотим, чтобы наши пользователи-администраторы создавали панель мониторинга безопасности.
3. Отчет об оценках - наши пользователи-администраторы должны иметь доступ к отчету об оценках.
4. Принудительно двухфакторная - мы должны потребовать от наших высокоуровневых пользователей использовать двухфакторную аутентификацию.
5. Отключить двухфакторную адаптацию - мы хотим максимально упростить регистрацию в 2fa.
6. Разрешить запоминание устройства - мы можем потребовать от наших пользователей-администраторов вводить двухфакторный токен при каждом входе в систему для повышения безопасности.
7. Пароли приложений. Нашим администраторам может потребоваться возможность настройки паролей приложений.
8. Мониторинг активности - нам понадобится история активности на сайте наших пользователей-администраторов.
9. Вход без пароля - мы можем позволить каждому использовать этот безопасный и удобный метод входа в систему.
10. Разрешить двухфакторный обход для входа без пароля - это личное предпочтение. Запрет обхода 2fa повысит безопасность ваших учетных записей администратора.
11. Надежные устройства - мы хотим ограничить доступ к нашей панели администратора списком одобренных устройств.
12. Требовать надежные пароли - мы хотим, чтобы у наших высокоуровневых пользователей были надежные пароли.
13. Срок действия пароля - вы можете установить срок действия пароля администратора.
14. Откажитесь от взломанных паролей - не позволяйте вашему администратору повторно использовать пароли, обнаруженные при взломе базы данных.

Как мы говорили ранее, нам не нужен такой же высокий уровень безопасности для нашей группы пользователей-подписчиков .

1. Управление безопасностью iThemes - мы не хотим, чтобы у наших низкоуровневых пользователей был доступ к настройкам безопасности.
2. Включить создание панели мониторинга - мы не хотим, чтобы пользователи низкого уровня создавали панели мониторинга безопасности.
3. Отчет об оценках - пользователи низкого уровня не должны видеть отчет об оценках.
4. Принудительная двухфакторная аутентификация. Мы не хотим заставлять наших клиентов или подписчиков использовать двухфакторную аутентификацию.
5. Отключить двухфакторную адаптацию - хотя мы хотим дать нашим пользователям нижнего уровня возможность использовать 2fa, мы можем не захотеть, чтобы они видели процесс адаптации при входе в систему.
6. Разрешить запоминание устройства - возможно, вы не захотите добавлять этот уровень сложности к низкоуровневым учетным записям пользователей.
7. Пароли приложений - возможно, вы не захотите добавлять этот уровень сложности к низкоуровневым учетным записям пользователей.
8. Мониторинг активности - мы не хотим отслеживать активность наших низкоуровневых пользователей.
9. Вход без пароля - мы можем позволить каждому использовать этот безопасный и удобный метод входа в систему.
10. Разрешить двухфакторный обход для входа без пароля
11. Доверенные устройства. Возможно, вы не захотите добавлять этот уровень сложности к низкоуровневым учетным записям пользователей.
12. Требовать надежные пароли - возможно, вы не захотите добавлять этот уровень трения к низкоуровневым учетным записям пользователей.
13. Истечение срока действия пароля - возможно, вы не захотите добавлять этот уровень трения к низкоуровневым учетным записям пользователей.
14. Откажитесь от взломанных паролей. Вероятно, вы даже не должны позволять пользователям низкого уровня использовать скомпрометированные пароли на вашем сайте.

Ранее мы говорили о том, что мы можем захотеть, чтобы наши менеджеры магазинов имели такой же высокий уровень безопасности, как и наши пользователи-администраторы, но не могли бы им управлять настройками безопасности. Мы можем создать новую группу пользователей только для наших менеджеров магазинов, и мы можем включить все те же функции, что и для наших пользователей-администраторов, помимо возможности управлять настройками безопасности, создавать информационные панели безопасности или просматривать отчет об оценках. Это также помешает им видеть уведомления системы безопасности, которые мы обсуждали ранее.

4. Как создать информационную панель клиента безопасности

Если посмотреть на вашу безопасность WordPress, записи в журнале могут занять много времени и даже запутать их. Панель безопасности iThemes оживляет ваши журналы безопасности, объединяя связанные списки и отображая их в удобном для вас виде.

Панель управления безопасностью также является отличным способом показать вашему клиенту, почему они платят вам за безопасность своего сайта. Давайте посмотрим, как вы можете создать общую панель управления со своим клиентом.

После того, как вы включили панель управления, вы можете просматривать ее как в панели управления администратора, так и в настройках безопасности в меню администратора WordPress.

Затем вы можете создать новую панель мониторинга, используя панель мониторинга iThemes Security по умолчанию, или создать ее с нуля. Введите название своей доски и нажмите кнопку «Создать доску».

После настройки панели управления по своему вкусу вы можете нажать кнопку « Поделиться» .

Затем выберите пользователя, с которым вы хотите поделиться им.

5. Как автоматизировать проверку уязвимостей и исправление

Знаете ли вы, что причина №1 взлома веб-сайтов - это уязвимости, для которых был доступен патч, но не применен? Не давайте хакерам простой способ использовать веб-сайты вашего клиента. Новый сканер сайтов iThemes Security Pro автоматически сканирует ваш сайт на наличие известных уязвимостей ядра WordPress, плагинов и тем. И если есть патч. Сканер сайта даже автоматически применит исправление безопасности, чтобы исправить уязвимость.

Включите сканер сайта на главной странице настроек безопасности, чтобы ваш сайт дважды в день сканировал на предмет известных уязвимостей, вредоносных программ и статуса сайта в черном списке Google.

Вам нужно будет включить параметр « Автоматическое обновление, если исправляет уязвимость» в настройках управления версиями, чтобы дать iThemes Security Pro разрешение на автоматическое применение исправлений безопасности.

6. Временное повышение привилегий

Возможно, самая недоиспользуемая функция во всех iThemes Security Pro, функция повышения привилегий, позволяет временно повысить привилегии одного пользователя.

Каждый раз, когда вы создаете нового пользователя, особенно пользователя с правами администратора, вы добавляете дополнительную точку входа, которую может использовать хакер. Но бывают случаи, когда вам может понадобиться помощь извне.

Вы можете создать нового пользователя службы поддержки и назначить ему роль подписчика. В следующий раз, когда вам потребуется предоставить кому-то временный доступ, перейдите на страницу профиля пользователя службы поддержки.

Обновите адрес электронной почты, чтобы человек мог запросить новый пароль, а затем прокрутите вниз, пока не увидите настройки повышения временных привилегий . Щелкните переключатель « Установить временную роль» и выберите « Администратор» . Теперь у пользователя будет доступ администратора в течение следующих 24 часов. Если им не нужны полные 24 часа, вы можете отозвать повышение привилегий на странице профиля пользователя.

Заключение

Настройка безопасности на сайте клиента не должна быть сложной. iThemes Security Pro предоставляет вам инструменты, необходимые для применения нужного уровня безопасности к нужным людям, ограничения доступа к конфиденциальной информации безопасности только для людей, управляющих безопасностью.

Майкл Мур

Каждую неделю Майкл составляет отчет об уязвимостях WordPress, чтобы обеспечить безопасность ваших сайтов. Как менеджер по продукту в iThemes, он помогает нам продолжать улучшать линейку продуктов iThemes. Он большой ботаник и любит узнавать обо всем, что есть в технологиях, старом и новом. Вы можете увидеть, как Майкл гуляет с женой и дочерью, читает или слушает музыку, когда не работает.