5 เคล็ดลับและเทคนิคขั้นสูงสำหรับ iThemes Security Pro

ปลั๊กอิน iThemes Security Pro มีมากกว่า 50 วิธีในการรักษาความปลอดภัยและปกป้องเว็บไซต์ WordPress ของคุณ คุณสามารถเปิดใช้งานวิธีการรักษาความปลอดภัยส่วนใหญ่ใน iThemes Security Pro ได้ด้วยการคลิกปุ่มเพียงครั้งเดียว อย่างไรก็ตาม หากคุณสามารถสละเวลาสักสองสามนาทีเพื่อเจาะลึกการตั้งค่า คุณสามารถเพิ่มการป้องกันหลายชั้นให้กับเว็บไซต์ WordPress ของคุณได้

ในโพสต์นี้ เราจะให้เคล็ดลับและลูกเล่นขั้นสูง 5 ข้อสำหรับ iThemes Security Pro เพื่อยกระดับความปลอดภัยของเว็บไซต์ของคุณไปอีกระดับ

เคล็ดลับ #1 – ปกป้อง WP Dashboard ของคุณด้วยอุปกรณ์ที่เชื่อถือได้

ฟีเจอร์ iThemes Security Pro Trusted Devices จำกัดการเข้าถึงแดชบอร์ด WordPress เฉพาะรายการอุปกรณ์ที่ได้รับอนุมัติ

เมื่อคุณแจ้งให้ iThemes Security Pro ทราบว่าอุปกรณ์ใดเป็นของคุณ อุปกรณ์ที่เชื่อถือได้จะสามารถปกป้องไซต์ของคุณได้ 2 วิธี:

1. จำกัดความ สามารถของอุปกรณ์ที่ไม่รู้จัก – เมื่อมีคนเข้าสู่ระบบโดยใช้อุปกรณ์ที่ไม่รู้จัก คุณสามารถจำกัดความสามารถระดับผู้ดูแลระบบและป้องกันไม่ให้บุคคลดังกล่าวแก้ไขรายละเอียดการเข้าสู่ระบบ iThemes Security Pro จะส่งอีเมลไปยังที่อยู่ที่ตั้งค่าไว้ในโปรไฟล์ผู้ใช้ WordPress

อีเมลสำหรับเข้าสู่ระบบที่ไม่รู้จักจะมีตัวเลือกในการยืนยันหรือบล็อกอุปกรณ์ หากคลิกปุ่ม ยืนยันอุปกรณ์ ผู้ใช้จะได้รับการกู้คืนความสามารถในการดูแลระบบ หากคลิกปุ่ม This Was Not Me ไว้ iThemes Security Pro จะล็อกเอาต์ผู้ใช้ที่ผิดกฎหมาย และอุปกรณ์ดังกล่าวจะแสดงรายการอุปกรณ์ที่ถูกปฏิเสธในโปรไฟล์ WordPress

2. การป้องกัน การหักหลังเซสชัน – การจี้เซสชันคือการโจมตีที่ผู้โจมตีเข้ายึดเซสชันของผู้ใช้ ตัวอย่างเช่น WordPress จะสร้างคุกกี้เซสชันทุกครั้งที่คุณเข้าสู่เว็บไซต์ของคุณ สมมติว่าคุณมีส่วนขยายเบราว์เซอร์ที่มีช่องโหว่ที่ทำให้แฮกเกอร์สามารถจี้คุกกี้ของเบราว์เซอร์ได้ หลังจากไฮแจ็กเซสชันของคุณแล้ว แฮ็กเกอร์จะสามารถเริ่มทำการเปลี่ยนแปลงที่เป็นอันตรายกับเว็บไซต์ของคุณได้

หากอุปกรณ์ของผู้ใช้เปลี่ยนแปลงระหว่างเซสชัน iThemes Security จะล็อกผู้ใช้ออกโดยอัตโนมัติ เพื่อป้องกันกิจกรรมที่ไม่ได้รับอนุญาตในบัญชีของผู้ใช้ เช่น การเปลี่ยนที่อยู่อีเมลของผู้ใช้หรือการอัปโหลดปลั๊กอินที่เป็นอันตราย

เคล็ดลับ #2 – ใช้ Google reCAPTCHA v3 เพื่อบล็อก Bad Bots

คุณลักษณะ Google reCAPTCHA ใน iThemes Security Pro ปกป้องไซต์ของคุณจากบอทที่ไม่ดี บอทเหล่านี้พยายามเจาะเข้าไปในเว็บไซต์ของคุณโดยใช้รหัสผ่านที่ถูกบุกรุก โพสต์สแปม หรือแม้แต่คัดลอกเนื้อหาของคุณ reCAPTCHA ใช้เทคนิคการวิเคราะห์ความเสี่ยงขั้นสูงเพื่อแยกมนุษย์และบอทออกจากกัน

สิ่งที่ยอดเยี่ยมเกี่ยวกับ reCAPTCHA เวอร์ชัน 3 คือช่วยให้คุณตรวจจับการเข้าชมบอทที่ไม่เหมาะสมบนเว็บไซต์ของคุณโดยที่ผู้ใช้ไม่ต้องดำเนินการใดๆ แทนที่จะแสดงความท้าทาย CAPTCHA reCAPTCHA v3 จะตรวจสอบคำขอต่างๆ ที่ทำขึ้นและส่งคืนคะแนน คะแนนมีตั้งแต่ 0.01 ถึง 1 ยิ่งคะแนนที่ส่งคืนโดย reCAPTCHA สูง ก็ยิ่งมีความมั่นใจมากขึ้นว่ามนุษย์เป็นผู้ส่งคำขอ ยิ่งคะแนนนี้ส่งคืนโดย reCAPTCHA ต่ำ ก็ยิ่งมั่นใจมากขึ้นว่าบอทส่งคำขอ

iThemes Security Pro ให้คุณตั้งค่า เกณฑ์การบล็อก โดยใช้คะแนน reCAPTCHA Google แนะนำให้ใช้ 0.5 เป็นค่าเริ่มต้นของคุณ โปรดทราบว่าคุณสามารถล็อกผู้ใช้ที่ถูกกฎหมายโดยไม่ได้ตั้งใจ หากคุณตั้งเกณฑ์ไว้สูงเกินไป

สมมติว่าคุณตั้งค่าขีดจำกัดการบล็อกเป็น 1 ซึ่งหมายความว่าคุณต้องการให้ Google บล็อกสิ่งที่พวกเขาไม่แน่ใจว่าเป็นมนุษย์ 100% ตอนนี้ลูกค้ารายหนึ่งของคุณส่งคำขอเข้าสู่ระบบไปยังเว็บไซต์ของคุณ และลูกค้ารายนี้ใช้ตัวจัดการรหัสผ่านเพื่อป้อนรหัสผ่านอัตโนมัติ และ reCAPTCHA ให้คะแนนคำขอเข้าสู่ระบบ 0.7

ดังนั้นแม้ว่าลูกค้าของคุณจะไม่ได้ใช้แป้นพิมพ์เพื่อพิมพ์ข้อมูลรับรอง Google ค่อนข้างมั่นใจว่าลูกค้าของคุณเป็นมนุษย์ แต่ลูกค้าของคุณจะยังคงถูกล็อกเนื่องจากคุณตั้งเกณฑ์ไว้ที่ 1

คุณสามารถเปิดใช้งาน reCAPTCHA ในการลงทะเบียนผู้ใช้ WordPress ของคุณ รีเซ็ตรหัสผ่าน เข้าสู่ระบบ และแสดงความคิดเห็น iThemes Security Pro อนุญาตให้คุณเรียกใช้สคริปต์ Google reCAPTCHA ในทุกหน้าเพื่อเพิ่มความแม่นยำของบอทเทียบกับคะแนนของมนุษย์

เคล็ดลับ #3 – ใช้การยกระดับสิทธิ์เพื่อสร้าง Universal Support User

ฟีเจอร์ที่ใช้งานน้อยที่สุดใน iThemes Security Pro คือการยกระดับสิทธิ์ คุณลักษณะนี้ช่วยให้คุณสามารถยกระดับสิทธิ์ของผู้ใช้ได้ชั่วคราว

ทุกครั้งที่คุณสร้างผู้ใช้ใหม่ โดยเฉพาะผู้ใช้ที่เป็นผู้ดูแลระบบ คุณกำลังเพิ่มจุดเริ่มต้นอื่นที่แฮ็กเกอร์สามารถใช้ประโยชน์ได้ แต่มีบางครั้งที่คุณอาจต้องการความช่วยเหลือจากภายนอกสำหรับเว็บไซต์ของคุณ เช่น เมื่อคุณกำลังมองหาการสนับสนุน

คุณสามารถสร้างผู้ใช้ใหม่และตั้งชื่อเป็น Support และกำหนดบทบาทผู้ใช้ของ Subscriber ครั้งต่อไปที่คุณต้องให้สิทธิ์เข้าถึงเว็บไซต์ของคุณชั่วคราว ให้ไปที่หน้า โปรไฟล์ ของผู้ใช้ Support

อัปเดตที่อยู่อีเมลเพื่อให้เจ้าหน้าที่ภายนอกสามารถขอรหัสผ่านใหม่ได้ จากนั้นเลื่อนลงมาจนกว่าคุณจะเห็น การ ตั้งค่า การยกระดับสิทธิ์ชั่วคราว คลิกปุ่มสลับ ตั้งค่าบทบาทชั่วคราว แล้วเลือก ผู้ ดูแลระบบ ผู้ใช้จะมีสิทธิ์การเข้าถึงระดับผู้ดูแลระบบในอีก 24 ชั่วโมงข้างหน้า

หากไม่ต้องการเวลาเต็ม 24 ชั่วโมง คุณสามารถเพิกถอนการยกระดับสิทธิ์ได้จากหน้าโปรไฟล์ผู้ใช้

เคล็ดลับ #4 – ทำให้ความปลอดภัยเป็นเรื่องง่ายสำหรับผู้ใช้ของคุณ

ตามคำจำกัดความ ทุกมาตรการรักษาความปลอดภัยได้รับการออกแบบมาเพื่อลดความสะดวกของสิ่งที่ได้รับความปลอดภัยเพิ่มเติม ดังนั้นฉันจึงต้องการแชร์คุณลักษณะสามอย่างใน iThemes Security Pro ที่สามารถทำให้การรักษาความปลอดภัยเป็นเรื่องง่ายสำหรับทุกคนในเว็บไซต์ของคุณ

1. การเริ่มต้นใช้งานแบบสองปัจจัย

การรับรองความถูกต้องด้วยสองปัจจัยเป็นกระบวนการในการยืนยันตัวตนของบุคคลโดยกำหนดให้มีการตรวจสอบสองวิธีแยกกัน Google แบ่งปันในบล็อกว่าการใช้การรับรองความถูกต้องด้วยสองปัจจัยสามารถหยุดการโจมตีบอทอัตโนมัติได้ 100%

การเริ่มต้นใช้งานแบบสองปัจจัยเป็นวิธีที่เป็นมิตรกับผู้ใช้ในการตั้งค่าบัญชีสองปัจจัย ผู้ใช้ทุกคนที่เปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัยจะได้รับคำแนะนำตลอดขั้นตอนการเริ่มต้นใช้งานในครั้งถัดไปที่ลงชื่อเข้าใช้

หลังจากป้อนข้อมูลประจำตัวของคุณแล้ว คุณจะได้รับข้อความต้อนรับในการเข้าร่วม โปรดทราบว่าคุณปรับแต่งค่านี้ได้ในการตั้งค่าสองปัจจัย

ตลอดโฟลว์ คุณจะมีตัวเลือกในการเปิดใช้งานและกำหนดค่าวิธีการของสองปัจจัยที่คุณต้องการใช้

ในตอนท้ายของขั้นตอน คุณและบัญชีผู้ใช้ของคุณจะมีชั้นความปลอดภัยที่แข็งแกร่งซึ่งการรับรองความถูกต้องด้วยสองปัจจัยมีให้

2. เมจิกลิงค์

บอทอาจกำหนดขอบเขตหน้าของผู้เขียนของคุณเพื่อรวบรวมชื่อผู้ใช้เพื่อใช้ในการโจมตีแบบเดรัจฉานบนเว็บไซต์ของคุณ มันแย่มากที่จะถูกล็อคเพราะบอทบางตัวพยายามแฮ็คเข้าสู่เว็บไซต์ของคุณโดยใช้ชื่อผู้ใช้ของคุณ

เมื่อชื่อผู้ใช้ของคุณถูกล็อค คุณสามารถขออีเมลพร้อมลิงค์เข้าสู่ระบบที่ไม่ซ้ำกันได้ การใช้ลิงก์ที่ส่งทางอีเมลจะข้ามการล็อกชื่อผู้ใช้ของคุณ ในขณะที่ผู้โจมตีแบบเดรัจฉานยังคงถูกล็อกไว้

เพียงคลิกลิงก์ "ส่งลิงก์เข้าสู่ระบบที่ได้รับอนุญาต" เพื่อรับอีเมล Magic Links ของคุณ

เมื่อคุณได้รับอีเมล ให้ใช้ลิงก์ ป้อนข้อมูลประจำตัว แล้วคุณจะกลับมาที่ไซต์ของคุณอีกครั้ง!

3. การเข้าสู่ระบบแบบไม่มีรหัสผ่าน

ไม่ว่าเราในชุมชนความปลอดภัยต้องการยอมรับหรือไม่ก็ตาม การใช้ตัวจัดการรหัสผ่านและการตรวจสอบสิทธิ์แบบสองปัจจัยอาจเป็นเรื่องยุ่งยากและใช้เวลานาน โดยเฉพาะอย่างยิ่งเมื่อเราใช้ชีวิตออนไลน์มากขึ้นเรื่อยๆ

ดังนั้นเราจึงต้องการสร้างวิธีที่ผู้คนจะได้รับความปลอดภัยทั้งหมดที่รหัสผ่านที่รัดกุมและไม่ซ้ำใครมีให้โดยไม่สูญเสียความสามารถในการใช้งาน

การเข้าสู่ระบบแบบไม่ใช้รหัสผ่านคืออะไร?

การเข้าสู่ระบบแบบไม่ใช้รหัสผ่านเป็นวิธีใหม่ในการยืนยันตัวตนของผู้ใช้โดยไม่ต้องใช้รหัสผ่านในการเข้าสู่ระบบ เราได้พัฒนา Magic Links ให้เป็นวิธีเข้าสู่ระบบแบบใหม่ที่ให้คุณกำหนดให้ผู้ใช้ต้องใช้รหัสผ่านที่รัดกุมและการตรวจสอบสิทธิ์แบบสองปัจจัยโดยไม่ต้องป้อนรหัสผ่านหรือรหัสการตรวจสอบสิทธิ์เพิ่มเติม

วิธีการเข้าสู่ระบบแบบไม่ใช้รหัสผ่านทำงานอย่างไร

เมื่อเข้าสู่ระบบ ระบบจะขอให้คุณเลือกวิธีการเข้าสู่ระบบ คลิกปุ่ม Email Magic Link เพื่อส่งอีเมลที่มีลิงก์เข้าสู่ระบบแบบไม่มีรหัสผ่าน

ตอนนี้คุณจะเห็นข้อความยืนยันว่าส่งอีเมลแล้ว

ในกล่องจดหมายอีเมลของคุณ ให้เปิดอีเมล Magic Link และปุ่ม เข้าสู่ระบบ ทันที

และนั่นคือ ไม่มีการป้อนรหัสผ่านหรือโทเค็นสองปัจจัย ซึ่งหมายความว่าเมื่อคุณเปิดใช้งานการเข้าสู่ระบบแบบไม่มีรหัสผ่าน คุณไม่จำเป็นต้องรู้รหัสผ่านที่ซับซ้อนหรือคัดลอกและวางรหัสพิเศษเพื่อเข้าสู่ระบบ อย่างไรก็ตาม ผู้ร้ายที่พยายามใช้กำลังดุร้ายเว็บไซต์ของคุณจะมีอัตราความสำเร็จ 0%

เคล็ดลับ #5 – เปิดใช้งานเมนูดีบักสำหรับการแก้ไขปัญหาขั้นสูง

อาจมีบางครั้งที่ฝ่ายสนับสนุน iThemes Security Pro ถามคุณเพื่อเปิดใช้งานเมนูแก้ไขข้อบกพร่อง ในการเปิดใช้งานเมนู Debug ใน iThemes Security Pro คุณจะต้องเพิ่มโค้ดด้านล่างลงในไฟล์ wp-config.php ของคุณ

 define( 'ITSEC_DEBUG', true );

อย่าลืมเพิ่มโค้ดด้านบน "That's all happy blogging" ไลน์.

คุณจะสามารถเข้าถึงเมนู Debug ใน iThemes Security Pro ได้แล้ว

คุณสามารถดูข้อมูล ระบบ โหลดการกำหนดค่าการ ตั้งค่า ดูตัว กำหนดเวลา กิจกรรมความปลอดภัย และอีเมลใดที่ ศูนย์การแจ้งเตือนส่ง เครื่องมือแก้ปัญหาการดีบักที่ฉันต้องการเน้นในโพสต์นี้คือเครื่องมือจัดกำหนดการ

กำหนดการ

เครื่องมือจัดกำหนดการจะแสดงกิจกรรมตามกำหนดการต่างๆ ทั้งหมดใน iThemes Security Pro กิจกรรมตามกำหนดการคือสิ่งต่างๆ เช่น การสแกนไซต์ การสแกนการเปลี่ยนแปลงไฟล์ การล้างการล็อก และอื่นๆ อีกมากมาย สิ่งที่ฟังก์ชันเหล่านี้มีเหมือนกันคือต้องมีการจัดกำหนดการไว้ล่วงหน้า และพวกเขาพึ่งพา wp-cron เพื่อรัน

สมมติว่าคุณสังเกตเห็นว่าการสแกน File Change ไม่ทำงานบนเว็บไซต์ของคุณ แม้ว่าคุณจะเปิดใช้งาน File Change ในการตั้งค่าความปลอดภัยของคุณ คุณสามารถเปิดใช้งานเมนูดีบักเพื่อดูว่า File Change สแกนในรายการเหตุการณ์ตามกำหนดการของคุณหรือไม่ หากไม่เป็นเช่นนั้น แสดงว่ามีบางอย่างผิดพลาดก่อนที่จะสร้างกิจกรรม คุณสามารถแก้ไขปัญหานี้ได้โดยคลิกปุ่ม รีเซ็ต ITSEC_Scheduler_Cron การพัก cron จะบังคับให้ตัวจัดกำหนดการตรวจสอบการตั้งค่าความปลอดภัยและสร้างรายการของเหตุการณ์ที่กำหนดเวลาไว้ใหม่ รวมถึงการสแกน File Change ที่หายไป

ห่อ

ปลั๊กอิน iThemes Security Pro ให้การป้องกันที่ยอดเยี่ยมตั้งแต่แกะกล่อง แต่ถ้าคุณเจาะลึกการตั้งค่า คุณจะพบเครื่องมือรักษาความปลอดภัยที่ยอดเยี่ยมจริงๆ เครื่องมือเหล่านี้สามารถช่วยเพิ่มการรักษาความปลอดภัยหลายชั้นให้กับการเข้าสู่ระบบและแดชบอร์ด WordPress ของคุณ บล็อกบอทที่ไม่ดี และทำให้การรักษาความปลอดภัยง่ายขึ้นสำหรับทุกคนในเว็บไซต์ของคุณ รวมทั้งคุณด้วย

ไมเคิล มัวร์

ในแต่ละสัปดาห์ Michael จะรวบรวมรายงานช่องโหว่ของ WordPress เพื่อช่วยให้เว็บไซต์ของคุณปลอดภัย ในฐานะผู้จัดการผลิตภัณฑ์ที่ iThemes เขาช่วยเราปรับปรุงรายการผลิตภัณฑ์ iThemes ต่อไป เขาเป็นคนเนิร์ดยักษ์และชอบเรียนรู้เกี่ยวกับเทคโนโลยีทุกอย่าง ทั้งเก่าและใหม่ คุณสามารถหาไมเคิลไปเที่ยวกับภรรยาและลูกสาว อ่านหนังสือหรือฟังเพลงเมื่อไม่ได้ทำงาน