10 главных вещей, которые нужно сделать после установки iThemes Security Pro

Опубликовано: 2020-09-17

iThemes Security Pro набит более чем 50 методами безопасности, чтобы обезопасить и защитить ваш сайт WordPress. Это масса вариантов!

Если вы обнаружите, что не знаете, с чего начать после установки iThemes Security Pro, не волнуйтесь, мы вам поможем. В этом посте мы рассмотрим 10 основных вещей, которые нужно сделать после установки iThemes Security Pro.

Оглавление

    1. Запустите проверку безопасности.

    Есть несколько причин , которые вы хотите запустить iThemes Security Pro Security Check. Проверка безопасности включает все настройки iThemes Security Pro, которые хорошо работают во всех средах, в том числе с ограниченными ресурсами.

    Поговорим о настройках, которые активирует проверка безопасности.

    • Локальная защита от грубой силы - функция локальной защиты от грубой силы отслеживает недопустимые попытки входа в систему с IP-адресов и имен пользователей. Как только злоумышленник сделает слишком много последовательных недействительных попыток входа в систему, он будет заблокирован.
    • Запрещенные пользователи - функция запрещенных пользователей отслеживает блокировки IP-адресов. Как только IP-адрес станет повторным нарушителем, iThemes Security Pro добавит IP-адрес в список запрещенных хостов и не позволит IP-адресу просматривать ваш веб-сайт, не говоря уже о попытках входа в систему.
    • Резервное копирование базы данных - функция резервного копирования базы данных создает резервные копии базы данных вашего сайта.
    • Magic Links - функция Magic Links позволяет запрашивать электронное письмо с уникальной ссылкой для входа, когда ваше имя пользователя заблокировано. Использование ссылки, отправленной по электронной почте, позволит вам обойти блокировку, в то время как злоумышленники остаются заблокированными.
    • Вход без пароля - функция входа без пароля - это новый способ проверки личности пользователя без необходимости ввода пароля для входа в систему.
    • Сканирование сайта - сканирование сайта проверяет ваш сайт на наличие известных уязвимостей и автоматически применяет исправление, если оно доступно.
    • Двухфакторная аутентификация - Двухфакторная аутентификация - это процесс проверки личности человека, требующий двух отдельных методов проверки.
    • Ведение журнала пользователей - функция ведения журнала пользователей делает именно то, что вы думаете; он регистрирует действия пользователя, такие как вход в систему и сохранение содержимого.
    • Твики WordPress - не все настройки WordPress доступны при проверке безопасности. Включены основные методы безопасности, такие как отключение редактора файлов , блокировка множественных попыток аутентификации на запрос XML-RPC , ограничение доступа к REST API и предотвращение атаки на обход вложенного файла .

    Выполнение проверки безопасности также поможет предотвратить любую непреднамеренную блокировку сервера, определив сервер вашего веб-сайта и IP-адреса обратной связи. Проверка безопасности также проверит удаленные IP-адреса, попадающие на ваш веб-сайт, для защиты от подмены IP-адресов.

    Кроме того, проверка безопасности… проверяет, включен ли на вашем сервере сертификат SSL и перенаправляются ли запросы HTTP-страниц на HTTP. Страница, загружаемая с использованием HTTP, защищает ваших посетителей с помощью SSL-шифрования. Вы принудительно перенаправляете HTTPS из меню «Проверка безопасности».

    Наконец, проверка безопасности предложит вам активировать лицензию Network Brute Force Protection. Сеть Brute Force помогает пользователям iThemes Security защищать друг друга. IP-адреса, заблокированные за атаку на ваш веб-сайт, а также заблокированные IP-адреса других веб-сайтов, защищенных iThemes Security, будут отправлены в сеть Brute Force. Как только IP-адрес находится в сети грубой силы, он будет заблокирован для всех сайтов в сети.

    2. Включите автоматическое исправление уязвимостей.

    Проверка безопасности включает сканирование сайта, которое автоматически проверяет ваш сайт на наличие известных уязвимостей WordPress, плагинов и тем. Это здорово, но iThemes Security Pro может пойти еще дальше. Если на вашем веб-сайте обнаружена уязвимость, iThemes Security Pro может автоматически применить исправление, если оно доступно.

    Все, что вам нужно сделать, это включить параметр « Автоматическое обновление, если устраняет уязвимость» в настройках управления версиями.

    3. Блокируйте плохих ботов с помощью Google reCAPTCHA v3.

    Функция Google reCAPTCHA в iThemes Security Pro защищает ваш сайт от плохих ботов. Эти боты пытаются проникнуть на ваш сайт, используя взломанные пароли, отправляя спам или даже очищая ваш контент. reCAPTCHA использует передовые методы анализа рисков, чтобы различать людей и ботов.

    Что замечательно в reCAPTCHA версии 3, так это то, что она помогает вам обнаруживать злонамеренный трафик ботов на вашем веб-сайте без какого-либо взаимодействия с пользователем. Вместо того, чтобы показывать вызов CAPTCHA, reCAPTCHA v3 отслеживает различные запросы, сделанные на вашем сайте, и возвращает оценку для каждого запроса. Оценка варьируется от 0,01 до 1. Чем выше оценка reCAPTCHA, тем больше уверенности в том, что запрос сделал человек. Чем ниже этот показатель, возвращаемый reCAPTCHA, тем больше уверенности в том, что бот сделал запрос.

    iThemes Security Pro позволяет установить порог блокировки с помощью оценки reCAPTCHA. Google рекомендует использовать 0,5 по умолчанию. Имейте в виду, что вы можете случайно заблокировать законных пользователей, если установите слишком высокий порог.

    Вы можете включить reCAPTCHA при регистрации пользователя WordPress, сбросить пароль, логин и комментарии. iThemes Security Pro позволяет запускать скрипт Google reCAPTCHA на всех страницах, чтобы повысить точность оценки его бота по сравнению с человеческим.

    4. Защитите свою учетную запись с помощью приложения 2FA.

    iThemes Security Pro предлагает вам три различных метода двухфакторной аутентификации для защиты пользователей WordPress.

    1. Мобильное приложение. Этот метод требует, чтобы вы использовали бесплатное двухфакторное мобильное приложение, такое как Authy.
    2. Электронная почта - двухфакторный метод электронной почты отправляет чувствительные ко времени коды на адрес электронной почты вашего пользователя.
    3. Резервные коды - набор одноразовых кодов, которые можно использовать для входа в систему в случае утери основного двухфакторного метода.

    Метод мобильного приложения является наиболее безопасным, поэтому давайте посмотрим, как вы можете добавить этот уровень безопасности для своего пользователя.

    Первое, что вам нужно сделать, это загрузить приложение 2fa, такое как Authy, а затем перейти на страницу своего профиля пользователя WordPress. Зайдя в свой профиль WordPress, прокрутите вниз, пока не увидите заголовок « Параметры двухфакторной аутентификации» . Обязательно установите флажки, чтобы включить метод мобильного приложения и сделать его основной формой 2fa. Теперь нажмите кнопку « Просмотреть QR-код и секретный ключ» .

    Со своего телефона отсканируйте QR-код, чтобы продолжить связывание секрета с вашим мобильным приложением.

    Теперь введите шестизначный код со своего телефона в веб-браузер и нажмите « Подтвердить», чтобы завершить настройку.

    Примечание. Обязательно нажмите кнопку «Обновить профиль» перед тем, как покинуть страницу своего профиля.

    5. Создайте панель мониторинга безопасности.

    Панель управления безопасностью iThemes - это динамическая панель со всей статистикой безопасности вашего веб-сайта в одном месте. Панель управления безопасностью оживляет ваши журналы безопасности, объединяя связанные записи и отображая их в удобном для вас виде.

    На панели управления действия по обеспечению безопасности вашего веб-сайта сортируются по картам безопасности . Думайте о них как о бейсбольных карточках. Бейсбольные карточки не дают вам информации обо всех игроках MLB. Карты заботятся только о парне, изображенном на лицевой стороне. Точно так же карты безопасности не показывают каждую запись в журнале. Вместо этого они предлагают вам только информацию, относящуюся к этой конкретной карте.

    11 карт безопасности

    1. Сканирование сайта

    Просматривайте историю ваших сканирований сайта iThemes Security Pro.

    2. Профили безопасности пользователей

    Просмотрите список всех пользователей-администраторов на сайте. Щелкните любое имя пользователя, чтобы получить обзор их безопасности.

    3. Профиль безопасности пользователя

    Закрепите профиль отдельного пользователя на своей панели инструментов и посмотрите его роль пользователя, силу пароля и возраст, независимо от того, включен ли у них двухфакторный режим и когда они в последний раз были на сайте.

    4. Активные блокировки

    Показать все активные блокировки. Если ваш клиент заблокировал себя, вы можете быстро снять блокировку с этой карты.

    5. Блокировка

    Смотрите историю локаутов на нашем сайте.

    6. Обзор запретов

    Просматривайте историю, если IP-адреса заблокированы iThemes Security.

    7. Атаки грубой силы

    Отображает график, на котором показана активность грубой силы.

    8. Надежные устройства

    Отображает диаграмму одобренных, автоматически одобренных и заблокированных устройств.

    9. 404-е

    См. Обзор сообщений 404 за последние 30 дней.

    10. Резервное копирование базы данных

    Просмотрите 30-дневную историю резервного копирования и создайте новую резервную копию базы данных.

    11. Обновить сводку

    Отображение количества обновлений WordPress, плагинов и тем за определенное время.

    12. Заблокированные пользователи

    Управляйте списком заблокированных хостов вашего сайта.

    Как создать панель мониторинга безопасности в iThemes Security Pro

    Чтобы начать использовать панель управления безопасностью, убедитесь, что она включена на главной странице настроек безопасности.

    После включения вы можете создать свою первую панель безопасности как в меню панели администратора, так и в настройках безопасности в меню администратора WordPress .

    Затем вы можете создать новую панель мониторинга, используя панель мониторинга iThemes Security по умолчанию, или создать ее с нуля. Введите название своей доски и нажмите кнопку «Создать доску».

    Создать страницу панели мониторинга

    Цель панели управления безопасностью - предоставить вам нужную информацию в понятном для вас виде. Вы можете начать с чистого листа и добавлять только важные для вас карточки.

    Панель динамической безопасности полностью настраивается. Вы выбираете карточки, которые хотите видеть, порядок их отображения на экране и размер каждой карточки. Это ваша панель инструментов, созданная вами для вас.

    6. Усовершенствуйте игру с паролем, указав требования к паролю

    Пароли - это ваша первая линия защиты от атак на ваш логин WordPress. Функция требования к паролю в iThemes Security Pro - это не только ваша политика паролей, но и инструмент обеспечения ее соблюдения.

    Вы можете заставить членов группы использовать надежный пароль , выбрать время истечения срока действия пароля , отказаться от взломанных паролей и принудительно изменить пароли для всего сайта, чтобы все соблюдали вашу новую политику надежных паролей.

    • Принудительно использовать надежные пароли - заставить группу пользователей использовать надежные пароли.
    • Срок действия пароля - установите максимальное количество дней, в течение которых пароль может использоваться до истечения срока его действия.
    • Отказаться от взломанных паролей - заставьте пользователей использовать пароли, которые не появлялись ни при каких нарушениях пароля, отслеживаемых Have I Been Pwned.
    • Принудительная смена пароля - принудительное изменение пароля всеми пользователями при следующем входе в систему.

    7. Настройте электронные письма с уведомлениями о безопасности.

    В Центре уведомлений есть все инструменты, необходимые для управления уведомлениями по электронной почте, созданными iThemes Security Pro.

    Модуль Центра уведомлений находится на главной странице настроек безопасности. Нажмите кнопку « Настроить параметры» , чтобы начать настройку уведомлений по электронной почте.

    Первые две вещи, которые вы хотите настроить в Центре уведомлений, - это « От электронной почты» и «Список получателей по умолчанию» .

    Электронная почта «От» - это адрес электронной почты, который iThemes Security Pro будет использовать для отправки уведомлений. Получатели по умолчанию - это список людей, которые получат уведомление по электронной почте, если не указано иное.

    Вы также можете настроить получателей для каждого уведомления по электронной почте, отправляемого из iThemes Security Pro. Предположим, что единственное уведомление по электронной почте, которое вы хотите, чтобы клиент видел, - это дайджест безопасности. Для этого прокрутите вниз до настроек электронной почты Security Digest, щелкните переключатель Получатель и выберите Custom .

    Установите флажок рядом с именем пользователя вашего клиента, чтобы добавить его в список рассылки Security Digest.

    Тема и сообщение могут быть настроены для большинства писем в Центре уведомлений. Вы можете использовать различные теги электронной почты, чтобы персонализировать электронные письма. Например, вы можете использовать тег username чтобы включить имя пользователя получателя в электронное письмо.

    8. Защитите свою панель управления WP с помощью доверенных устройств.

    Функция надежных устройств iThemes Security Pro ограничивает доступ к панели управления WordPress списком одобренных устройств.

    Как только вы сообщите iThemes Security Pro, какие устройства принадлежат вам, Trusted Devices сможет защитить ваш сайт двумя способами:

    1. Ограничение возможностей неопознанных устройств. Когда кто-то входит в систему с неопознанного устройства, вы можете ограничить его возможности на уровне администратора и запретить им редактировать свои данные для входа. iThemes Security Pro отправит электронное письмо на адрес, указанный в их профиле пользователя WordPress.

    Нераспознанный адрес электронной почты для входа будет иметь возможность подтвердить или заблокировать устройство. Если нажать кнопку « Подтвердить устройство» , у пользователя восстановятся возможности администратора. Если нажать кнопку « Это не я» , iThemes Security Pro выйдет из системы незаконного пользователя, а устройство - из списка запрещенных устройств в профиле WordPress.

    2. Защита от перехвата сеанса. Перехват сеанса - это атака, при которой сеанс пользователя захватывает злоумышленник. Например, WordPress генерирует файл cookie сеанса каждый раз, когда вы входите на свой веб-сайт. Допустим, у вас есть расширение браузера с уязвимостью, которая позволяет хакерам захватить cookie вашего браузера. После взлома вашего сеанса хакер сможет начать вносить вредоносные изменения в ваш сайт.

    Если устройство пользователя изменится во время сеанса, iThemes Security автоматически выйдет из системы, чтобы предотвратить любые несанкционированные действия в учетной записи пользователя, такие как изменение адреса электронной почты пользователя или загрузка вредоносных подключаемых модулей.

    9. Используйте группы пользователей для управления безопасностью пользователей.

    Модуль «Группы пользователей» в iThemes Security Pro позволяет быстро увидеть, какие настройки, влияющие на взаимодействие с пользователем, включены, и внести в них изменения из одного места.

    Чтобы упростить управление безопасностью пользователей на вашем сайте, iThemes Security Pro сортирует всех ваших пользователей по разным группам. По умолчанию ваши пользователи будут сгруппированы по их возможностям WordPress. Сортировка по возможностям WordPress позволяет легко объединять WordPress и пользовательские роли пользователей в одну группу. Например, если вы используете сайт WooCommerce, администраторы вашего сайта и менеджеры магазинов будут входить в группу пользователей-администраторов, а ваши подписчики и клиенты будут в группе пользователей-подписчиков.

    В настройках групп пользователей вы увидите все свои группы пользователей и все настройки безопасности, которые включены для каждой группы, а также сможете быстро включать и выключать эти настройки. Группа пользователей дает вам уверенность в том, что вы применяете правильный уровень безопасности для нужных пользователей.

    10. Создайте пользователя универсальной поддержки.

    Наиболее часто используемая функция iThemes Security Pro - это повышение привилегий . Эта функция позволяет временно повысить привилегии пользователя.

    Каждый раз, когда вы создаете нового пользователя, особенно пользователя с правами администратора, вы добавляете еще одну точку входа, которую может использовать хакер. Но бывают случаи, когда вам может потребоваться внешняя помощь для вашего веб-сайта, например, когда вы ищете поддержку.

    Вы можете создать нового пользователя и назвать его «Поддержка» и присвоить ему роль «Подписчик». В следующий раз, когда вам потребуется предоставить временный доступ к своему веб-сайту, перейдите на страницу профиля пользователя службы поддержки.

    Обновите адрес электронной почты, чтобы позволить внешнему специалисту службы поддержки запросить новый пароль. Затем прокрутите вниз, пока не увидите настройки временного повышения привилегий . Щелкните переключатель « Установить временную роль» и выберите « Администратор» . Теперь у пользователя будет доступ администратора в течение следующих 24 часов.

    Если им не нужны полные 24 часа, вы можете отозвать повышение привилегий на странице профиля пользователя.

    Заключение

    В iThemes Security Pro есть множество различных инструментов, которые вы можете использовать для защиты своего веб-сайта. Вот контрольный список, который поможет вам начать работу по обеспечению безопасности вашего веб-сайта WordPress после установки iThemes Security Pro.

    • 1. Запустите проверку безопасности.
    • 2. Включите автоматическое исправление уязвимостей.
    • 3. Блокируйте плохих ботов с помощью Google reCAPTCHA v3.
    • 4. Заблокируйте своего пользователя WP с помощью приложения 2FA
    • 5. Создайте панель мониторинга безопасности.
    • 6. Игра «Введите пароль»
    • 7. Настройте электронные письма безопасности.
    • 8. Защитите свою панель управления WP с помощью доверенных устройств.
    • 9. Ознакомьтесь с группами пользователей.
    • 10. Создайте пользователя универсальной поддержки.