iThemes Security Pro için 5 Gelişmiş İpuçları ve Püf Noktaları

Yayınlanan: 2020-09-02

iThemes Security Pro eklentisi, WordPress web sitenizi korumanız ve korumanız için 50'den fazla farklı yola sahiptir. iThemes Security Pro'daki güvenlik yöntemlerinin çoğunu tek bir tıklamayla etkinleştirebilirsiniz. Ancak, ayarlara dalmak için birkaç dakika ayırabilirseniz, WordPress web sitenize birkaç koruma katmanı ekleyebilirsiniz.

Bu yazıda, iThemes Security Pro'nun web sitenizin güvenliğini bir sonraki seviyeye taşıması için size 5 gelişmiş ipucu ve püf noktası vereceğiz.

1. İpucu – WP Kontrol Panelinizi Güvenilir Cihazlarla Koruyun

iThemes Security Pro Güvenilir Cihazlar özelliği, WordPress panosuna erişimi onaylanmış cihazlar listesiyle sınırlar.

iThemes Security Pro'ya hangi cihazların size ait olduğunu bildirdiğinizde, Güvenilir Cihazlar sitenizi 2 farklı şekilde koruyabilir:

1. Tanınmayan Cihazların Yeteneklerini Kısıtlayın – Birisi tanınmayan bir cihaz kullanarak oturum açtığında, yönetici düzeyindeki yeteneklerini kısıtlayabilir ve oturum açma ayrıntılarını düzenlemelerini engelleyebilirsiniz. iThemes Security Pro daha sonra WordPress kullanıcı profillerinde ayarlanan adrese bir e-posta gönderir.

Tanınmayan giriş e-postası, cihazı onaylama veya engelleme seçeneğine sahip olacaktır. Cihazı Onayla düğmesi tıklanırsa, kullanıcının yönetici yetenekleri geri yüklenir. Bu Ben Değildim düğmesi tıklanırsa, iThemes Security Pro, gayri meşru kullanıcının oturumunu kapatır ve cihaz, WordPress profilinde reddedilen cihaz listesinden çıkar.

2. Oturum Ele Geçirme Koruması – Oturum ele geçirme, bir kullanıcı oturumunun bir saldırgan tarafından ele geçirildiği bir saldırıdır. Örneğin, WordPress, web sitenize her giriş yaptığınızda bir oturum çerezi oluşturur. Diyelim ki bilgisayar korsanlarının tarayıcı çerezinizi ele geçirmesine olanak tanıyan bir güvenlik açığına sahip bir tarayıcı uzantınız var. Oturumunuzu ele geçirdikten sonra, bilgisayar korsanı web sitenizde kötü niyetli değişiklikler yapmaya başlayabilir.

Bir oturum sırasında bir kullanıcının cihazı değişirse, iThemes Security, kullanıcının e-posta adresini değiştirmek veya kötü amaçlı eklentiler yüklemek gibi kullanıcının hesabında herhangi bir yetkisiz etkinliği önlemek için kullanıcının oturumunu otomatik olarak kapatır.

Not: WordPress kontrol panelinizi güvenli hale getirip koruyabileceğiniz hakkında daha fazla bilgi edinmek için Güvenilir Cihazlar özelliğinin öne çıkan gönderisini okuyun.

2. İpucu – Kötü Botları Engellemek için Google reCAPTCHA v3'ü kullanın

iThemes Security Pro'daki Google reCAPTCHA özelliği, sitenizi kötü botlardan korur. Bu botlar, güvenliği ihlal edilmiş şifreler kullanarak, spam göndererek ve hatta içeriğinizi kazıyarak web sitenize girmeye çalışıyor. reCAPTCHA, insanları ve robotları birbirinden ayırmak için gelişmiş risk analizi teknikleri kullanır.

reCAPTCHA sürüm 3'ün harika yanı, herhangi bir kullanıcı etkileşimi olmadan web sitenizdeki kötüye kullanım amaçlı bot trafiğini tespit etmenize yardımcı olmasıdır. Bir CAPTCHA sorgulaması göstermek yerine reCAPTCHA v3, yapılan farklı istekleri izler ve bir puan verir. Puan 0,01 ile 1 arasındadır. reCAPTCHA tarafından döndürülen puan ne kadar yüksekse, bir insanın isteği yaptığından o kadar emin olur. reCAPTCHA tarafından döndürülen bu puan ne kadar düşükse, bir botun istekte bulunduğundan o kadar emin olur.

iThemes Security Pro, reCAPTCHA puanını kullanarak bir blok eşiği belirlemenize olanak tanır. Google, varsayılan olarak 0,5 kullanmanızı önerir. Eşiği çok yüksek ayarlarsanız, meşru kullanıcıları istemeden kilitleyebileceğinizi unutmayın.

Engelleme eşiğini 1'e ayarladığınızı varsayalım; bu, Google'ın insan olduğundan %100 emin olmadığı her şeyi engellemesini istediğiniz anlamına gelir. Artık müşterilerinizden biri web sitenize bir giriş isteği gönderiyor. Ve bu müşteri, parolalarını otomatik olarak doldurmak için bir parola yöneticisi kullanır ve reCAPTCHA, oturum açma isteğine 0,7 puan verir.

Bu nedenle, müşteriniz kimlik bilgilerini girmek için klavyesini kullanmamış olsa da Google, müşterinizin insan olduğundan oldukça emindir. Ancak, 1'lik bir eşik belirlediğiniz için müşteriniz yine de kilitlenecektir.

reCAPTCHA'yı WordPress kullanıcı kaydınızda, parola sıfırlamada, oturum açmada ve yorumlarınızda etkinleştirebilirsiniz. iThemes Security Pro, bot ve insan puanının doğruluğunu artırmak için Google reCAPTCHA komut dosyasını tüm sayfalarda çalıştırmanıza olanak tanır.

Google reCAPTCHA sürüm 3 inanılmaz! Herhangi bir kullanıcı etkileşimi olmadan sizi ve site ziyaretçilerinizi kötü botlardan korumanıza yardımcı olur.

3. İpucu – Evrensel Destek Kullanıcısı Oluşturmak için Ayrıcalık Yükseltmeyi Kullanın

iThemes Security Pro'daki en az kullanılan özellik, Ayrıcalık Yükseltme'dir. Bu özellik, bir kullanıcının ayrıcalıklarını geçici olarak yükseltmenize olanak tanır.

Yeni bir kullanıcı, özellikle de bir Yönetici kullanıcı oluşturduğunuzda, bir bilgisayar korsanının yararlanabileceği başka bir giriş noktası eklersiniz. Ancak, web siteniz için destek ararken olduğu gibi dışarıdan yardıma ihtiyaç duyabileceğiniz zamanlar olabilir.

Yeni bir kullanıcı oluşturabilir ve ona Destek adını verebilir ve ona Abone kullanıcı rolü verebilirsiniz. Bir daha web sitenize geçici erişim sağlamanız gerektiğinde, Destek kullanıcınızın Profil sayfasına gidin.

Dış destek görevlisinin yeni bir şifre talep etmesine izin vermek için e-posta adresini güncelleyin. Ardından Geçici Ayrıcalık Yükseltme ayarlarını görene kadar aşağı kaydırın. Geçici Rolü Ayarla geçiş düğmesini tıklayın ve Yönetici öğesini seçin. Kullanıcı artık önümüzdeki 24 saat boyunca Yönetici erişimine sahip olacak.

24 saatin tamamına ihtiyaçları yoksa, kullanıcı profili sayfasından ayrıcalık yükseltmeyi iptal edebilirsiniz.

4. İpucu – Kullanıcılarınız için Güvenliği Kolaylaştırın

Tanım olarak, her güvenlik önlemi, ek güvenliği alan her şeyin rahatlığını azaltmak için tasarlanmıştır. Bu nedenle, iThemes Security Pro'da web sitenizdeki herkes için güvenliği kolaylaştırabilecek üç özelliği paylaşmak istiyorum.

1. İki Faktörlü Alıştırma

İki faktörlü kimlik doğrulama, iki ayrı doğrulama yöntemi gerektirerek bir kişinin kimliğini doğrulama işlemidir. Google, blogunda iki faktörlü kimlik doğrulamanın otomatik bot saldırılarının %100'ünü durdurabileceğini paylaştı.

İki faktörlü katılım, insanların hesaplarında iki faktörlü kurulum yapmaları için kullanıcı dostu bir yoldur. İki faktörlü kimlik doğrulamanın etkinleştirildiği her kullanıcı, bir sonraki oturum açışlarında işe alım akışı boyunca yönlendirilecektir.

Kimlik bilgilerinizi girdikten sonra, işe alım karşılama metni ile karşılaşacaksınız. Bunu iki faktörlü ayarlarınızda özelleştirebileceğinizi unutmayın.

Akış boyunca, kullanmak istediğiniz iki faktörlü yöntemleri etkinleştirme ve yapılandırma seçeneğine sahip olacaksınız.

Akışın sonunda, siz ve kullanıcı hesaplarınız, iki faktörlü kimlik doğrulamanın sağladığı güçlü bir güvenlik katmanına sahip olacaksınız.

Not: WordPress kontrol panelinizi güvenli hale getirip koruyabileceğiniz hakkında daha fazla bilgi edinmek için Güvenilir Cihazlar özelliğinin öne çıkan gönderisini okuyun.

2. Sihirli Bağlantılar

Bir bot, web sitenize kaba kuvvet saldırısında kullanmak üzere kullanıcı adlarını toplamak için yazarınızın sayfasını görüntüleyebilir. Bazı botlar kullanıcı adınızı kullanarak web sitenize girmeye çalıştığı için kilitlenmek çok kötü.

Kullanıcı adınız kilitlendiğinde, benzersiz bir giriş bağlantısı içeren bir e-posta talep edebilirsiniz. E-postayla gönderilen bağlantıyı kullanmak, sizin için kullanıcı adı kilitlemesini atlar, ancak kaba kuvvet saldırganları hala kilitlenir.

Magic Links e-postanızı almak için "Yetkili giriş bağlantısı gönder" bağlantısını tıklamanız yeterlidir.

E-postayı aldıktan sonra bağlantıyı kullanın, kimlik bilgilerinizi girin ve sitenize geri döneceksiniz!

Not: Daha fazla bilgi edinmek için Sihirli Bağlantılar özelliğinin öne çıkan gönderisini okuyun.

3. Parolasız Girişler

Güvenlik camiasında kabul etmek istesek de istemesek de, bir parola yöneticisi ve iki faktörlü kimlik doğrulama kullanmak, özellikle hayatımızın giderek daha fazla çevrimiçine taşındıkça, acı verici ve zaman alıcı olabilir.

Bu nedenle, insanların güçlü ve benzersiz bir parolanın sağladığı tüm güvenliği, kullanılabilirlikten ödün vermeden almaları için bir yol oluşturmak istedik.

Şifresiz Girişler nedir?

Parolasız oturum açma, oturum açmak için gerçekten bir parola gerektirmeden bir kullanıcının kimliğini doğrulamanın yeni bir yoludur. Magic Links'i, kullanıcıların bir parola veya fazladan bir kimlik doğrulama kodu girmeden güçlü parolalar ve iki faktörlü kimlik doğrulama kullanmasını zorunlu kılmanıza olanak tanıyan yeni bir oturum açma yöntemine dönüştürdük.

Parolasız Oturum Açma Yöntemi Nasıl Çalışır?

Oturum açarken bir oturum açma yöntemi seçmeniz istenecektir. Parolasız oturum açma bağlantısını içeren e-postayı göndermek için Sihirli Bağlantıyı E -postayla Gönder düğmesini tıklayın.

Şimdi e-postanın gönderildiğini onaylayan bir mesaj göreceksiniz.

E-posta gelen kutunuzda, Magic Link e-postasını ve Şimdi Oturum Aç düğmesini açın.

İşte bu kadar, şifre veya iki faktörlü belirteç girilmez. Bu, Parolasız Oturum Açma'yı etkinleştirdikten sonra, karmaşık parolanızı bilmeniz veya oturum açmak için fazladan bir kod kopyalayıp yapıştırmanız gerekmediği anlamına gelir. Ancak, sitenizi kaba kuvvetle kullanmaya çalışan kötü adamlar %0 başarı oranına sahip olacaktır.

Not: Daha fazla bilgi için Parolasız Oturum Açmaya Başlarken e-kitabına göz atın.

İpucu #5 – Gelişmiş Sorun Giderme için Hata Ayıklama Menüsünü Etkinleştirin

Hata ayıklama menüsünü etkinleştirmek için iThemes Security Pro desteği tarafından istendiği zamanlar olabilir. iThemes Security Pro'da Hata Ayıklama menüsünü etkinleştirmek için aşağıdaki kodu wp-config.php dosyanıza eklemeniz gerekir.

 define( 'ITSEC_DEBUG', true );

"Bütün bunlar mutlu bloglar"ın üstüne kodu eklediğinizden emin olun. hat.

Artık iThemes Security Pro'da Hata Ayıklama menüsüne erişebileceksiniz.

Sistem Bilgilerinizi görüntüleyebilir, Ayarlarınızın yapılandırmasını yükleyebilir, güvenlik olayları Planlayıcı'yı ve Bildirim Merkezi tarafından hangi e-postaların gönderildiğini görüntüleyebilirsiniz . Bu yazıda vurgulamak istediğim hata ayıklama sorun giderme aracı Zamanlayıcı'dır.

zamanlayıcı

Zamanlayıcı, size iThemes Security Pro'daki tüm farklı zamanlanmış olayları gösterir. Planlanmış olaylar, Site Taramaları, Dosya Değişikliği Taramaları, kilitlenmeleri temizleme ve çok daha fazlası gibi şeylerdir. Bu işlevlerin ortak noktası, önceden programlanmaları gerektiğidir ve çalışması için wp-cron'a güvenirler.

Güvenlik ayarlarınızda Dosya Değişikliğini etkinleştirmiş olmanıza rağmen Web sitenizde Dosya Değişikliği taramasının çalışmadığını fark ettiğinizi varsayalım. Zamanlanmış olaylar listenizde Dosya Değişikliği taramasının olup olmadığını görmek için hata ayıklama menüsünü etkinleştirebilirsiniz. Değilse, bir etkinlik oluşturulmadan önce bir şeyler ters gitti demektir. ITSEC_Scheduler_Cron Sıfırla düğmesini tıklayarak bu sorunu çözebilirsiniz. Cronu dinlendirmek, Zamanlayıcı'yı güvenlik ayarlarını kontrol etmeye ve zamanlanmış olaylar listesini yeniden oluşturmaya zorlar. Eksik Dosya Değişikliği taramalarınız dahil.

Toplama

iThemes Security Pro eklentisi kutudan çıktığı gibi mükemmel koruma sağlar, ancak ayarlara girerseniz gerçekten harika güvenlik araçları bulacaksınız. Bu araçlar, WordPress oturum açma ve kontrol panelinize birkaç güvenlik katmanı eklemenize, kötü botları engellemenize ve hatta siz de dahil olmak üzere web sitenizdeki herkes için güvenliği kolaylaştırmaya yardımcı olabilir.

Michael Moore

Michael, sitelerinizi güvende tutmanıza yardımcı olmak için her hafta WordPress Güvenlik Açığı Raporunu bir araya getiriyor. iThemes'te Ürün Müdürü olarak, iThemes ürün serisini geliştirmeye devam etmemize yardımcı oluyor. Dev bir inek ve teknik, eski ve yeni her şeyi öğrenmeyi seviyor. Michael'ı karısı ve kızıyla takılırken, çalışmadığı zamanlarda kitap okurken veya müzik dinlerken bulabilirsiniz.