安装 iThemes Security Pro 后要做的 10 件事

已发表: 2020-09-17

iThemes Security Pro 包含 50 多种安全方法来保护您的 WordPress 网站。这是很多选择！

如果您在安装 iThemes Security Pro 后发现自己不知道从哪里开始，请不要担心，我们已经为您提供了保障。在这篇文章中，我们将介绍安装 iThemes Security Pro 后要做的前 10 件事。

1. 运行安全检查

您需要运行 iThemes Security Pro安全检查有多种原因。安全检查启用所有 iThemes Security Pro 设置，在所有环境中都能很好地发挥作用，包括那些资源有限的环境。

我们来谈谈安全检查启用的设置。

本地蛮力保护– 本地蛮力保护功能会跟踪 IP 和用户名进行的无效登录尝试。一旦攻击者连续多次尝试无效登录，他们就会被锁定。
被禁止的用户- 被禁止的用户功能会跟踪 IP 锁定。一旦某个 IP 成为屡犯者，iThemes Security Pro 就会将该 IP 添加到禁止主机列表中，并阻止该 IP 访问您的网站，更不用说尝试登录了。
数据库备份– 数据库备份功能创建站点数据库的备份。
Magic Links – Magic Links 功能允许您在用户名被锁定时请求带有唯一登录链接的电子邮件。使用通过电子邮件发送的链接将允许您绕过锁定，而蛮力攻击者仍然被锁定。
无密码登录– 无密码登录功能是一种验证用户身份的新方法，无需实际输入密码即可登录。
站点扫描– 站点扫描会检查您的站点是否存在已知漏洞，并在可用时自动应用补丁。
双因素身份验证– 双因素身份验证是通过需要两种不同的验证方法来验证个人身份的过程。
用户记录- 用户记录功能完全符合您的想法；它记录用户操作，例如登录和保存内容。
WordPress 调整– 并非所有 WordPress 调整选项都由安全检查启用。已启用基本安全方法，例如禁用文件编辑器、阻止每个 XML-RPC 请求的多次身份验证尝试、限制 REST API 访问和缓解附件文件遍历攻击。

运行安全检查还有助于通过识别您网站的服务器和环回 IP 来防止任何无意的服务器锁定。安全检查还将验证访问您网站的远程 IP，以防止 IP 欺骗。

此外，安全检查...检查您的服务器是否启用了 SSL 证书，以及您的 HTTP 页面请求是否被重定向到 HTTPs。使用 HTTPS 加载的页面使用 SSL 加密保护您的访问者。您可以从“安全检查”菜单强制 HTTPS 重定向。

最后，安全检查将提示您激活网络暴力保护许可证。蛮力网络帮助 iThemes Security 用户相互保护。因攻击您的网站而被阻止的 IP，以及受 iThemes Security 保护的其他网站的被阻止 IP，将被报告给 Brute Force Network。一旦 IP 进入 Brute Force 网络，它们将被网络中的所有站点阻止。

2.启用自动漏洞修补

安全检查启用站点扫描，它将自动检查您的网站是否存在已知的 WordPress、插件和主题漏洞。这很棒，但 iThemes Security Pro 可以更进一步。如果在您的网站上发现漏洞，iThemes Security Pro 可以自动应用补丁（如果有）。

您需要做的就是在版本管理设置中启用如果修复漏洞自动更新选项。

3. 使用 Google reCAPTCHA v3 阻止恶意机器人

iThemes Security Pro 中的 Google reCAPTCHA 功能可保护您的网站免受恶意机器人的侵害。这些机器人试图使用泄露的密码、发布垃圾邮件甚至抓取您的内容来闯入您的网站。 reCAPTCHA 使用先进的风险分析技术来区分人类和机器人。

reCAPTCHA 版本 3 的优点在于它可以帮助您检测网站上的滥用机器人流量，而无需任何用户交互。 reCAPTCHA v3 不会显示 CAPTCHA 质询，而是监控您网站上发出的不同请求，并为每个请求返回一个分数。分数范围从 0.01 到 1。reCAPTCHA 返回的分数越高，表示请求是人类发出的越有把握。 reCAPTCHA 返回的分数越低，机器人发出请求的可信度就越高。

iThemes Security Pro 允许您使用 reCAPTCHA 分数设置阻止阈值。 Google 建议使用 0.5 作为默认值。请记住，如果将阈值设置得太高，可能会无意中锁定合法用户。

您可以在 WordPress 用户注册、重置密码、登录和评论中启用 reCAPTCHA。 iThemes Security Pro 允许您在所有页面上运行 Google reCAPTCHA 脚本，以提高其机器人与人工评分的准确性。

4. 使用 2FA 应用程序保护您的用户帐户

iThemes Security Pro 为您提供三种不同的两因素身份验证方法来保护 WordPress 用户。

移动应用程序——此方法要求您使用像 Authy 这样的免费双因素移动应用程序。
电子邮件- 双因素的电子邮件方法会将时间敏感代码发送到您用户的电子邮件地址。
备用代码– 一组一次性使用代码，可用于在主要两因素方法丢失时登录。

移动应用程序方法是最安全的，所以让我们来看看如何为用户添加这种级别的安全性。

您需要做的第一件事是下载一个像 Authy 这样的 2fa 应用程序，然后导航到您的 WordPress 用户配置文件页面。进入 WordPress 个人资料后，向下滚动，直到看到双因素身份验证选项标题。请务必选中复选框以启用移动应用程序方法并使其成为 2fa 的主要形式。现在单击查看二维码和密钥按钮。

在您的手机上，扫描二维码以继续将密钥链接到您的移动应用程序。

现在将手机上的 6 位数代码输入到 Web 浏览器中，然后单击“验证”以完成设置。

注意：在离开您的个人资料页面之前，请务必单击“更新个人资料”按钮。

5. 创建安全仪表板

iThemes 安全仪表板是一个动态仪表板，将您网站的所有安全活动统计信息集中在一个位置。安全仪表板通过将相关条目汇集在一起并以与您相关的方式显示，使您的安全日志栩栩如生。

仪表板将您网站的安全活动分类为安全卡。把它们想象成棒球卡。棒球卡不会为您提供有关 MLB 中每个球员的信息。卡片只关心前面图片中的那个人。同样，安全卡不会显示日志中的每个条目。相反，他们只为您提供与该特定卡相关的信息。

11张安全卡

1. 网站扫描

查看您的 iThemes Security Pro 站点扫描的历史记录。

2. 用户安全配置文件

查看站点上每个管理员用户的列表。单击任何用户名以获取其安全概述。

3. 用户安全配置文件

将单个用户的个人资料固定到您的仪表板，并查看他们的用户角色、密码强度和年龄，无论他们是否启用了双因素以及他们最后一次访问网站的时间。

4. 主动锁定

显示所有活动的锁定。如果您的客户将自己锁定在外，您可以从这张卡上快速解除锁定。

5. 锁定

在我们的网站上查看锁定历史。

6.禁令概述

查看 IP 是否被 iThemes Security 禁止的历史记录。

7. 蛮力攻击

显示一个图表，用于绘制暴力破解活动的图表。

8. 可信设备

显示图表已批准、自动批准和阻止的设备。

9. 404s

查看过去 30 天内 404 的概述。

10. 数据库备份

查看 30 天的备份历史记录并创建新的数据库备份。

11.更新总结

显示特定时间内 WordPress、插件和主题更新的数量。

12. 被禁止的用户

管理您网站的禁止主机列表。

如何在 iThemes Security Pro 中创建安全仪表板

要开始使用安全仪表板，请确保在安全设置的主页上启用它。

启用后，您可以从管理仪表板菜单和WordPress 管理菜单中的安全设置创建您的第一个安全仪表板。

接下来，您可以使用 iThemes Security 默认仪表板创建一个新仪表板或从头开始创建一个。 输入您的板的名称，然后单击“创建板”按钮。

安全仪表板的目标是以对您有意义的方式为您提供所需的信息。您可以从一张空白画布开始，只添加对您很重要的卡片。

动态安全仪表板是完全可定制的。您选择要查看的卡片、它们在屏幕上的显示顺序以及您希望每张卡片的大小。这是您为您创建的仪表板。

6. 用密码要求来玩你的密码游戏

密码是您抵御 WordPress 登录攻击的第一道防线。 iThemes Security Pro 中的密码要求功能不仅是您的密码策略，也是您的强制执行工具。

您可以强制用户组的成员使用强密码、选择密码过期时间、拒绝泄露密码以及强制更改整个站点的密码以使每个人都遵守您新的强密码策略。

强制强密码– 强制一组用户使用强密码。
密码过期– 设置密码过期前可以使用的最大天数。
拒绝泄露的密码– 强制用户使用在 Have I Being Pwned 跟踪的任何密码泄露事件中未出现过的密码。
强制更改密码– 强制所有用户在下次登录时更改密码。

7. 微调您的安全通知电子邮件

通知中心拥有管理 iThemes Security Pro 生成的电子邮件通知所需的所有工具。

通知中心模块位于安全设置主页。单击配置设置按钮开始自定义您的电子邮件通知。

您要在通知中心设置的前两件事是发件人电子邮件和默认收件人列表。

发件人电子邮件是 iThemes Security Pro 将用于发送通知的电子邮件地址。默认收件人是将收到电子邮件通知的人员列表，除非另有说明。

您还可以为从 iThemes Security Pro 发送的每封电子邮件通知自定义收件人。假设您希望客户看到的唯一电子邮件通知是安全摘要。为此，向下滚动到“安全摘要”电子邮件设置，然后单击“收件人”切换按钮，然后选择“自定义” 。

选中您客户的用户名旁边的框，将其添加到安全摘要电子邮件列表中。

可以为通知中心中的大多数电子邮件自定义主题和消息。您可以利用不同的电子邮件标签来个性化电子邮件。例如，您可以使用username标签在电子邮件中包含收件人用户名。

8. 使用可信设备保护您的 WP 仪表板

iThemes Security Pro 受信任设备功能将 WordPress 仪表板的访问权限限制为已批准设备列表。

一旦您让 iThemes Security Pro 知道哪些设备是您的，受信任的设备可以通过两种不同的方式保护您的站点：

1.限制无法识别的设备的功能——当有人使用无法识别的设备登录时，您可以限制他们的管理员级别的功能并阻止他们编辑他们的登录详细信息。然后，iThemes Security Pro 将向其 WordPress 用户配置文件中设置的地址发送一封电子邮件。

无法识别的登录电子邮件可以选择确认或阻止设备。如果单击“确认设备”按钮，用户将恢复其管理功能。如果单击“这不是我”按钮，iThemes Security Pro 将注销非法用户，并将设备登录 WordPress 配置文件中的拒绝设备列表。

2. 会话劫持保护——会话劫持是一种攻击，其中用户会话被攻击者接管。例如，每次您登录网站时，WordPress 都会生成一个会话 cookie。假设您有一个浏览器扩展程序，该扩展程序存在允许黑客劫持您的浏览器 cookie 的漏洞。劫持您的会话后，黑客将能够开始对您的网站进行恶意更改。

如果用户的设备在会话期间发生变化，iThemes Security 将自动将用户注销，以防止用户帐户上发生任何未经授权的活动，例如更改用户的电子邮件地址或上传恶意插件。

9.利用用户组管理用户安全

iThemes Security Pro 中的用户组模块允许您快速查看启用了哪些影响用户体验的设置，并从一个位置对其进行修改。

为了更轻松地管理您站点上的用户安全，iThemes Security Pro 将您的所有用户分为不同的组。默认情况下，您的用户将按其 WordPress 功能分组。按 WordPress 功能排序允许将 WordPress 和自定义用户角色轻松组合到同一组中。例如，如果您正在运行 WooCommerce 站点，您的站点管理员和商店经理将在管理员用户组中，而您的订阅者和客户将在订阅者用户组中。

在用户组设置中，您将看到所有用户组以及为每个组启用的所有安全设置，并快速打开和关闭这些设置。用户组让您有信心将正确的安全级别应用于正确的用户。