Обзор функций iThemes Security Pro: Magic Links и вход без пароля

В сообщениях Feature Spotlight мы собираемся выделить функцию в iThemes Security Pro и немного рассказать о том, почему мы разработали эту функцию, для кого эта функция предназначена и как ее использовать.

Сегодня мы поговорим о Magic Links и логинах без пароля , двух замечательных функциях плагина iThemes Security Pro.

Магические ссылки

iThemes Security Pro отлично справляется с блокировкой плохих парней. Однако, если злоумышленник использовал имя пользователя Боб в атаке методом грубой силы, а Боб является фактическим пользователем сайта, Боб, к сожалению, будет заблокирован вместе со злоумышленником.

В следующий раз, когда Боб попытается войти в систему, он получит сообщение о блокировке iThemes Security. Если Боб является администратором сайта, ему придется либо дождаться истечения срока блокировки, либо вручную отключить iThemes Security Pro через FTP.

Если Боб - ваш клиент, он, вероятно, переоценит серьезность блокировки и отчаянно тянется к вам, недоумевая, почему вы позволили взломать его сайт. Для этого вам потребуется объяснить, что это доказательство того, что вы защищаете свой сайт, а затем снимаете блокировку с помощью Sync Pro или входите на сайт и снимаете блокировку с виджета iThemes Security, чтобы он мог снова войти в систему.

Несмотря на то, что здорово мешать злоумышленникам взломать сайт, нам не нравится, когда безопасность влияет на работу реальных пользователей. Итак, мы хотели создать способ, позволяющий Бобу входить в систему, даже если его имя пользователя было использовано в атаке методом грубой силы. Мы никогда не хотим, чтобы менеджеру сайта приходилось тратить свое драгоценное время на устранение локаутов.

Что такое Magic Links?

Magic Links позволяет вам войти на свой сайт WordPress, пока ваше имя пользователя заблокировано функцией локальной защиты от грубой силы iThemes Security.

Когда ваше имя пользователя заблокировано, вы можете запросить электронное письмо с уникальной ссылкой для входа. Использование отправленной по электронной почте ссылки позволит обойти блокировку имени пользователя для вас, в то время как злоумышленники по-прежнему заблокированы.

Как использовать Magic Links в iThemes Security Pro

Чтобы начать работу с Magic Links, перейдите в меню «Функции» в настройках безопасности и включите Magic Links .

Если вы столкнетесь с блокировкой после включения Magic Links, вам будет предложено отправить Magic Link на ваш адрес электронной почты.

Просто нажмите ссылку «Отправить авторизованную ссылку для входа», чтобы получить электронное письмо от Magic Links.

Как только вы получите электронное письмо, используйте ссылку, введите свои учетные данные, и вы вернетесь на свой сайт!

Вход без пароля

По определению, каждая мера безопасности предназначена для уменьшения удобства того, что получает дополнительную защиту. Для дополнительной безопасности на входной двери моего дома есть замок. Замок требует дополнительного шага использования ключа, чтобы отпереть дверь перед тем, как она откроется. Добавление дополнительной ступеньки для входа в мой дом, вероятно, является хорошей идеей, хотя было бы проще без замка.

То же самое и с вашими онлайн-аккаунтами. Использование надежного уникального пароля и двухфакторной аутентификации защитит вас от 100% атак методом грубой силы. К сожалению, до сих пор многие люди повторно используют один и тот же слабый пароль, не используя никакую форму двухфакторной защиты.

Тем из нас, кто занимается безопасностью, часто бывает трудно понять, почему было так сложно убедить людей пожертвовать небольшим удобством, чтобы получить огромную безопасность. Мы даже не думаем о том, чтобы иметь уникальный замок для каждой физической двери, в которую мы входим - у меня есть ключ от моей машины, машины жены, дома, офиса и почтового ящика - так почему же использование уникального пароля для нашей виртуальной двери кажется таким? неудобно?

Почему мы разработали логины без пароля для WordPress?

Мы в сообществе специалистов по безопасности начали понимать, что мы всегда делали безопасность более запутанной, чем это должно быть. Когда у вас есть ключ от физической двери, все готово. Однако в отношении безопасности паролей мы создали множество правил, которые могут быть непосильными. Что еще хуже, похоже, мы не можем договориться о правилах создания надежного пароля.

Независимо от того, хотим ли мы в сообществе безопасности признать это или нет, использование диспетчера паролей и двухфакторной аутентификации может быть болезненным и трудоемким, особенно когда мы все больше и больше проводим свою жизнь в Интернете.

Поэтому мы хотели создать способ, позволяющий людям получить всю безопасность, которую обеспечивает надежный и уникальный пароль, без ущерба для удобства использования.

Что такое вход без пароля?

Вход без пароля - это новый способ проверки личности пользователя без необходимости ввода пароля для входа в систему. Мы взяли идею Magic Links и превратили ее в новый метод входа в систему, который позволяет требовать от пользователей использования надежных паролей и двухфакторной аутентификации без ввода пароля или дополнительного кода аутентификации.

Как использовать вход без пароля

Чтобы начать использовать вход без пароля, перейдите в меню «Функции» в настройках безопасности и включите вход без пароля .

После включения входа без пароля щелкните шестеренку для управления настройками.

Щелкните ссылки « Группы пользователей», чтобы выбрать, какие пользователи могут использовать метод входа в систему и обходить двухфакторный метод при использовании этого метода.

Теперь, когда вы включили вход без пароля, вы можете применять надежные пароли и двухфакторные требования, не оказывая отрицательного воздействия на работу пользователей на вашем сайте.

Как работает метод входа без пароля

При входе в систему вам будет предложено выбрать метод входа. Нажмите кнопку Email Magic Link , чтобы отправить электронное письмо, содержащее ссылку для входа без пароля.

Теперь вы увидите сообщение, подтверждающее, что письмо было отправлено.

В почтовом ящике откройте письмо Magic Link и нажмите кнопку « Войти сейчас» .

И все, без ввода пароля или двухфакторного токена. Это означает, что после включения входа без пароля вам не нужно знать сложный пароль или копировать и вставлять дополнительный код для входа в систему. Однако у тех плохих парней, которые пытаются грубо использовать ваш сайт, вероятность успеха составляет 0%.

Заключение

Как видите, и Magic Links, и вход без пароля в iThemes Security Pro могут повысить уровень безопасности вашего сайта без каких-либо дополнительных неудобств.

Не пропустите следующий выпуск обзора функций iThemes Security Pro. Мы обращаем внимание на Trusted Devices, отличный инструмент для защиты вашего администратора WordPress и предотвращения перехвата сеанса.

Майкл Мур

Каждую неделю Майкл составляет отчет об уязвимостях WordPress, чтобы обеспечить безопасность ваших сайтов. Как менеджер по продукту в iThemes, он помогает нам продолжать улучшать линейку продуктов iThemes. Он большой ботаник и любит узнавать обо всем, что есть в технологиях, старом и новом. Вы можете увидеть, как Майкл гуляет с женой и дочерью, читает или слушает музыку, когда не работает.