如何在您的客户站点上配置 iThemes Security Pro

已发表: 2020-08-21

您如何找到可用性和安全性的正确平衡? 您如何控制与您的客户共享哪些安全通知? 在客户网站上配置安全性可能是一项艰巨的任务,但并非必须如此。 在这篇文章中,我们将向您展示如何在您客户的网站上快速配置 iThemes Security Pro。

如何在您的客户网站上配置 iThemes Security Pro 网络研讨会重播

查看我们就同一主题所做的网络研讨会的重播。

这是我们将要介绍的内容的快速概述。

  1. 如何配置 iThemes Security Pro 通知
  2. 不同用户类型的 WordPress 安全
  3. 使用 iThemes Security Pro 用户组
  4. 如何创建安全客户端仪表板
  5. 如何自动化漏洞检查和修补
  6. 临时权限提升

1. 如何配置 iThemes Security Pro 通知

iThemes Security Pro 共享有关您网站安全状况的重要信息。 但是,如果您的客户误解了这些消息,则会造成不必要的麻烦。 如果您与合适的人共享安全通知,您可以让您的生活更轻松。

让我们快速介绍您的客户可以找到安全通知的 5 个地方。

  1. 消息中心通知- 您所有的重要警报和更新都可以在位于 WordPress 管理栏中的 iThemes 安全消息中心找到。
  2. 电子邮件通知- 安全摘要和锁定通知等安全通知可以发送到您的收件箱。
  3. 登录警报– 启用受信任设备后,您将使用登录警报菜单来确认或阻止设备。
  4. 安全仪表板- 消息中心也可以在安全仪表板上找到。
  5. 安全日志- 现在,这不是传统意义上的通知,但 iThemes Security Pro 使用安全日志与您共享与安全相关的事件。

iThemes 安全通知中心

通知中心拥有管理 iThemes Security Pro 生成的电子邮件通知所需的所有工具。

通知中心模块位于安全设置主页。 单击配置设置按钮开始自定义您的电子邮件通知。

您要在通知中心设置的前两件事是发件人电子邮件默认收件人列表。

发件人电子邮件是 iThemes Security Pro 将用于发送通知的电子邮件地址。 默认收件人是将收到电子邮件通知的人员列表,除非另有说明。 最好只将您的用户设置为默认收件人,以防止您的客户收到不需要的电子邮件。

您还可以为从 iThemes Security Pro 发送的每封电子邮件通知自定义收件人。 假设您希望客户看到的唯一电子邮件通知是安全摘要。 为此,请向下滚动到“安全摘要”电子邮件设置,然后单击“收件人”切换按钮并选择“自定义”

选中您客户的用户名旁边的框,将其添加到安全摘要电子邮件列表中。

在我们谈论安全摘要电子邮件时,让我们谈谈如何减少从 iThemes Security Pro 收到的电子邮件数量。 在严重攻击期间,iThemes Security 可以生成大量电子邮件。 然而,这些电子邮件会产生一堆不必要的噪音。 例如,锁定通知只是 iThemes Security Pro 吹嘘它正在做它的工作,但没有任何操作可供您采取。 坏人已经被锁定,问题解决了。 也就是说,如果收到大量通知成为常态,它可能会变成一个男孩哭狼的情景。 有一次您收到需要您采取行动的警报时,您可能会忽略它,因为您不断收到非紧急通知。

安全摘要减少了发送的电子邮件数量,因此您可以收到锁定、文件更改检测扫描和权限升级的摘要。 请记住,您仍需要禁用个别通知才能停止接收它们。

我们将在后面的帖子中向您展示如何阻止您的客户看到其他类型的通知。

2. 不同用户类型的 WordPress 安全

许多 WordPress 安全归结为用户安全。 而且,并非所有用户都是生而平等的,因此我们不应该制定适合所有用户的安全策略。 这就是为什么值得讨论您在网站上可能拥有的不同类型的用户。

  1. 站点管理员– 站点管理员有权在 WordPress 网站上进行大量更改。 拥有权利的同时也被赋予了重大的责任。 很多时候,安全意味着牺牲一点便利性来获得更显着的安全收益。 可以为这些用户添加一些摩擦,因为如果他们的帐户落入坏人之手,您可以与您的网站告别。
  2. 商店经理– 商店经理与站点管理员具有相同的权力,并且需要相同的高级别安全性。 您可能有一个需要管理 WooCommerce 商店的客户,但您可能不希望他们弄乱站点的安全设置。 我们将在下一节中展示如何完成此操作。
  3. 贡献者/编辑- 贡献者和编辑仍然值得您关注,因为他们可以对您的网站进行更改。 然而,他们可能不需要像您的站点管理员和商店经理那样高的安全级别。
  4. 订阅者/客户– 订阅者和客户是无法在 WordPress 网站上进行更改的低级用户。 虽然您可能希望为他们提供保护其帐户的工具,但您可能不想强迫他们使用它们。

3. 使用 iThemes Security Pro 用户组

iThemes Security Pro 中的用户组模块允许您快速查看启用了哪些可能影响用户体验的设置,并从一个位置对其进行修改。

为了更轻松地管理您站点上的用户安全,iThemes Security Pro 将您的所有用户分为不同的组。 默认情况下,您的用户将按其 WordPress 功能分组。 按 WordPress 功能排序允许将 WordPress 和自定义用户角色轻松组合到同一组中。 例如,如果您正在运行 WooCommerce 站点,您的站点管理员和商店经理将在管理员用户组中,而您的订阅者和客户将在订阅者用户组中。

既然我们已经讨论了 WordPress 网站上不同类型的用户,让我们来看看如何使用用户组快速配置我们的用户安全。 在本节中,您将学习如何为站点管理员和订阅者配置安全性。

在用户组设置中,选择您的管理员用户组以开始编辑该组。 功能选项卡显示为组启用或禁用哪些设置,编辑组选项卡允许您配置组的成员。

正如我们之前谈到的,我们希望为我们的Admin User Group提供高级别的安全性。

  1. 管理 iThemes 安全– 我们的管理员用户需要能够管理安全设置。
  2. 启用仪表板创建- 我们希望我们的管理员用户创建安全仪表板。
  3. 成绩报告– 我们的管理员用户应该有权访问成绩报告。
  5. 禁用两因素入职– 我们希望尽可能轻松地注册 2fa。
  6. 允许记住设备- 我们可能希望我们的管理员用户在每次登录时输入一个两因素令牌以提高安全性。
  8. 活动监控– 我们需要管理员用户的站点活动历史记录。
  9. 无密码登录——我们可以让每个人都使用这种安全便捷的登录方式。
  10. 允许无密码登录的两因素绕过- 这是个人偏好。 不允许绕过 2fa 将提高您的管理员登录的安全性。
  11. 受信任的设备- 我们希望将访问我们的管理仪表板的权限限制为已批准的设备列表。
  14. 拒绝泄露的密码– 不要让您的管理员用户重复使用在数据库泄露中发现的密码。

正如我们之前谈到的,我们不希望我们的Subscriber User Group具有相同的高级别的安全性。

  1. 管理 iThemes 安全– 我们不希望我们的低级别用户访问安全设置。
  2. 启用仪表板创建– 我们不希望低级别用户创建安全仪表板。
  3. 成绩报告– 低级别用户不应看到成绩报告。
  5. 禁用双因素入职——虽然我们希望为低级别用户提供使用 2fa 的选项,但我们可能不希望他们在登录时看到入职流程。
  6. 允许记住设备– 您可能不希望将这种复杂程度添加到低级别用户帐户中。
  8. 活动监控——我们不想监控低级别用户的活动。
  9. 无密码登录——我们可以让每个人都使用这种安全便捷的登录方式。
  10. 允许无密码登录的两因素绕过
  11. 可信设备– 您可能不希望将这种复杂程度添加到低级别用户帐户中。
  14. 拒绝泄露的密码– 您甚至不应该让低级别用户在您的站点上使用泄露的密码。

我们之前谈到过我们可能希望我们的商店经理拥有与我们的管理员用户相同的高级别的安全,但限制他们管理安全设置。 我们可以为我们的商店经理创建一个新的用户组,除了能够管理安全设置、创建安全仪表板或查看成绩报告之外,我们还可以启用所有与我们为管理员用户所做的相同的功能。 这样做还会阻止他们看到我们之前讨论过的安全通知。

4. 如何创建安全客户端仪表板

查看您的 WordPress 安全性,日志条目可能非常耗时,甚至难以理解。 iThemes 安全仪表板通过汇总相关列表并以与您相关的方式显示它,使您的安全日志栩栩如生。

安全仪表板也是向您的客户展示为什么他们付钱给您以保护他们的网站的好方法。 让我们来看看如何与客户创建共享仪表板。

启用仪表板后,您可以从 WordPress 管理菜单中的管理仪表板和安全设置中查看它。

接下来,您可以使用 iThemes Security 默认仪表板创建一个新仪表板从头开始创建一个。 输入您的板的名称,然后单击“创建板”按钮。

创建仪表盘页面

根据您的喜好配置仪表板后,您可以单击共享按钮。

然后选择要与之共享的用户。

5. 如何自动化漏洞检查和修补

您是否知道网站被黑客入侵的第一个原因是补丁可用但未应用的漏洞? 不要给黑客一个简单的方法来利用您客户的网站。 新的 iThemes Security Pro Site Scanner 会自动扫描您的网站以查找已知的 WordPress 核心、插件和主题漏洞。 如果有补丁可用。 Site Scanner 甚至会自动应用安全补丁来修复漏洞。

在安全设置的主页上启用站点扫描程序,每天两次扫描您的站点以查找已知漏洞、恶意软件和站点的 Google 阻止列表状态。

您需要在版本管理设置中启用如果修复漏洞自动更新选项,以授予 iThemes Security Pro 自动应用安全修复程序的权限。

6. 临时提权

也许是所有 iThemes Security Pro 中未被充分利用的功能,即权限提升功能,它允许您临时提升单个用户的权限。

每当您创建新用户,尤其是管理员用户时,您都在添加一个额外的入口点供黑客利用。 但有时您可能需要一些外部帮助。

您可以创建一个新的支持用户并为其授予订阅者用户角色。 下次您需要为某人提供临时访问权限时,请导航到您的支持用户的个人资料页面。

更新电子邮件地址以允许此人申请新密码,然后向下滚动直到您看到临时权限提升设置。 单击Set Temporary Role切换按钮,然后选择Admin 。 用户现在将在接下来的 24 小时内拥有管理员访问权限。 如果他们不需要完整的 24 小时,您可以从用户配置文件页面撤销权限提升。

包起来

在客户端站点上配置安全性并不一定令人生畏。 iThemes Security Pro 为您提供了将适量的安全应用到合适的人所需的工具,将敏感安全信息的访问权限限制为仅管理安全的人员。