iThemes Security Pro 的 5 个高级提示和技巧

iThemes Security Pro 插件有超过 50 种不同的方式来保护您的 WordPress 网站。 只需单击一个按钮，您就可以启用 iThemes Security Pro 中的大多数安全方法。 但是，如果您能抽出几分钟时间深入了解设置，则可以为您的 WordPress 网站添加多层保护。

在这篇文章中，我们将为您提供 iThemes Security Pro 的 5 个高级提示和技巧，以将您网站的安全性提升到一个新的水平。

提示 #1 – 使用受信任的设备保护您的 WP 仪表板

iThemes Security Pro 受信任设备功能将 WordPress 仪表板的访问权限限制为已批准设备列表。

一旦您让 iThemes Security Pro 知道哪些设备是您的，受信任的设备可以通过两种不同的方式保护您的站点：

1.限制无法识别的设备的功能——当有人使用无法识别的设备登录时，您可以限制他们的管理员级别的功能并阻止他们编辑他们的登录详细信息。 然后，iThemes Security Pro 将向其 WordPress 用户配置文件中设置的地址发送一封电子邮件。

无法识别的登录电子邮件可以选择确认或阻止设备。 如果单击“确认设备”按钮，用户将恢复其管理功能。 如果单击“这不是我”按钮，iThemes Security Pro 将注销非法用户，并将设备登录 WordPress 配置文件中的拒绝设备列表。

2. 会话劫持保护——会话劫持是一种攻击，其中用户会话被攻击者接管。 例如，每次您登录网站时，WordPress 都会生成一个会话 cookie。 假设您有一个浏览器扩展程序，该扩展程序存在允许黑客劫持您的浏览器 cookie 的漏洞。 劫持您的会话后，黑客将能够开始对您的网站进行恶意更改。

如果用户的设备在会话期间发生变化，iThemes Security 将自动将用户注销，以防止用户帐户上发生任何未经授权的活动，例如更改用户的电子邮件地址或上传恶意插件。

提示 #2 – 使用 Google reCAPTCHA v3 阻止恶意机器人

iThemes Security Pro 中的 Google reCAPTCHA 功能可保护您的网站免受恶意机器人的侵害。 这些机器人试图使用泄露的密码、发布垃圾邮件甚至抓取您的内容来闯入您的网站。 reCAPTCHA 使用先进的风险分析技术来区分人类和机器人。

reCAPTCHA 版本 3 的优点在于它可以帮助您检测网站上的滥用机器人流量，而无需任何用户交互。 reCAPTCHA v3 不显示 CAPTCHA 质询，而是监控发出的不同请求并返回分数。 分数范围从 0.01 到 1。reCAPTCHA 返回的分数越高，表示请求是人类发出的越有把握。 reCAPTCHA 返回的分数越低，机器人发出请求的可信度就越高。

iThemes Security Pro 允许您使用 reCAPTCHA 分数设置阻止阈值。 Google 建议使用 0.5 作为默认值。 请记住，如果将阈值设置得太高，可能会无意中锁定合法用户。

假设您将阻止阈值设置为 1，这意味着您希望 Google 阻止任何他们不是 100% 确定是人类的内容。 现在，您的一位客户向您的网站发送了登录请求。 并且，该客户使用密码管理器自动填充他们的密码，reCAPTCHA 为他们的登录请求提供 0.7 分。

因此，即使您的客户没有使用键盘输入他们的凭据，Google 也非常确定您的客户是人类。 但是，您的客户仍然会被锁定，因为您将阈值设置为 1。

您可以在 WordPress 用户注册、重置密码、登录和评论中启用 reCAPTCHA。 iThemes Security Pro 允许您在所有页面上运行 Google reCAPTCHA 脚本，以提高其机器人与人工评分的准确性。

提示 #3 – 使用权限提升来创建通用支持用户

iThemes Security Pro 中未被充分利用的功能是权限提升。 该功能允许您临时提升用户的权限。

任何时候创建新用户，尤其是管理员用户，都是在添加另一个黑客可以利用的入口点。 但是，有时您的网站可能需要一些外部帮助，例如在寻求支持时。

您可以创建一个新用户并将其命名为 Support 并为其授予订阅者用户角色。 下次您需要临时访问您的网站时，请导航到您的支持用户的个人资料页面。

更新电子邮件地址以允许外部支持人员请求新密码。 然后向下滚动，直到看到临时权限提升设置。 单击Set Temporary Role切换按钮，然后选择Admin 。 用户现在将在接下来的 24 小时内拥有管理员访问权限。

如果他们不需要完整的 24 小时，您可以从用户配置文件页面撤销权限提升。

提示 #4 – 让您的用户更容易安全

根据定义，每项安全措施都旨在降低任何接受附加安全措施的便利性。 所以我想分享 iThemes Security Pro 中的三个功能，它们可以使您网站上的每个人都可以轻松安全。

1. 两因素入职

双因素身份验证是通过需要两种不同的验证方法来验证个人身份的过程。 谷歌在其博客上分享说，使用双因素身份验证可以阻止 100% 的自动机器人攻击。

双因素入职是人们在其帐户上设置双因素的一种用户友好的方式。 每个启用了双因素身份验证的用户在下次登录时都将被引导完成入职流程。

输入您的凭据后，您将看到入职欢迎文本。 请记住，您可以在两因素设置中对此进行自定义。

在整个流程中，您可以选择启用和配置要使用的双因素方法。

在流程结束时，您和您的用户帐户将拥有两因素身份验证提供的强大安全层。

2. 魔法链接

机器人可能会绕过您作者的页面来收集用户名以用于对您网站的暴力攻击。 被锁定很糟糕，因为某些机器人正试图使用​​您的用户名侵入您的网站。

当您的用户名被锁定时，您可以请求一封带有唯一登录链接的电子邮件。 使用电子邮件链接将为您绕过用户名锁定，而暴力攻击者仍然被锁定。

只需单击“发送授权登录链接”链接即可接收您的 Magic Links 电子邮件。

收到电子邮件后，使用链接，输入您的凭据，您将回到您的站点！

3. 无密码登录

无论我们在安全社区中是否愿意承认，使用密码管理器和双因素身份验证都可能既痛苦又耗时，尤其是当我们将越来越多的生活转移到网上时。

因此，我们希望创建一种方法，让人们在不牺牲可用性的情况下获得强大而独特的密码所提供的所有安全性。

什么是无密码登录？

无密码登录是一种验证用户身份的新方法，实际上无需密码即可登录。 我们将 Magic Links 演变成一种新的登录方法，允许您要求用户使用强密码和双因素身份验证，而无需输入密码或额外的身份验证代码。

无密码登录方法的工作原理

登录时，系统会要求您选择登录方法。 单击电子邮件魔术链接按钮以发送包含无密码登录链接的电子邮件。

您现在将看到一条消息，确认电子邮件已发送。

在您的电子邮件收件箱中，打开 Magic Link 电子邮件和立即登录按钮。

就是这样，无需输入密码或双因素令牌。 这意味着一旦您启用无密码登录，您就不必知道复杂的密码或复制并粘贴额外的代码来登录。 但是，那些试图对您的网站进行暴力破解的坏人的成功率为 0%。

技巧 #5 – 启用高级故障排除的调试菜单

有时 iThemes Security Pro 支持可能会要求您启用调试菜单。 要在 iThemes Security Pro 中启用调试菜单，您需要将以下代码添加到 wp-config.php 文件中。

 define( 'ITSEC_DEBUG', true );

请务必在“这就是所有快乐的博客”上方添加代码。 线。

您现在可以访问 iThemes Security Pro 中的调试菜单。

您可以查看系统信息、加载设置的配置、查看安全事件调度程序以及通知中心发送的电子邮件。 我想在这篇文章中强调的调试故障排除工具是调度程序。

调度器

计划程序向您显示 iThemes Security Pro 中所有不同的计划事件。 预定事件包括站点扫描、文件更改扫描、清除锁定等等。 这些函数的共同点是需要提前调度，都依赖wp-cron来运行。

假设您已经注意到，即使您在安全设置中启用了文件更改，文件更改扫描也没有在您的网站上运行。 您可以启用调试菜单以查看文件更改扫描是否在您的计划事件列表中。 如果不是，这意味着在创建事件之前出了点问题。 您可以通过单击 ITSEC_Scheduler_Cron重置按钮来解决此问题。 停止 cron 将强制调度程序检查安全设置并重建调度事件列表。 包括您丢失的文件更改扫描。

包起来

iThemes Security Pro 插件提供了开箱即用的出色保护，但如果您深入了解设置，您会发现一些非常酷的安全工具。 这些工具可以帮助为您的 WordPress 登录和仪表板添加多层安全保护，阻止恶意机器人，甚至可以让您网站上的每个人（包括您）更轻松地进行安全保护。

迈克尔·摩尔

每周，Michael 都会汇总 WordPress 漏洞报告，以帮助确保您的网站安全。 作为 iThemes 的产品经理，他帮助我们继续改进 iThemes 产品阵容。 他是一个巨大的书呆子，喜欢学习所有新旧技术。 你可以找到迈克尔和他的妻子和女儿一起出去玩，在不工作的时候阅读或听音乐。