如何在您的客戶站點上配置 iThemes Security Pro

您如何找到可用性和安全性的正確平衡？ 您如何控制與您的客戶共享哪些安全通知？ 在客戶網站上配置安全性可能是一項艱鉅的任務，但並非必須如此。 在這篇文章中，我們將向您展示如何在您客戶的網站上快速配置 iThemes Security Pro。

如何在您的客戶網站上配置 iThemes Security Pro 網絡研討會重播

查看我們就同一主題所做的網絡研討會的重播。

這是我們將要介紹的內容的快速概述。

1. 如何配置 iThemes Security Pro 通知
2. 不同用戶類型的 WordPress 安全
3. 使用 iThemes Security Pro 用戶組
4. 如何創建安全客戶端儀表板
5. 如何自動化漏洞檢查和修補
6. 臨時權限提升

1. 如何配置 iThemes Security Pro 通知

iThemes Security Pro 共享有關您網站安全狀況的重要信息。 但是，如果您的客戶誤解了這些消息，則會造成不必要的麻煩。 如果您與合適的人共享安全通知，您可以讓您的生活更輕鬆。

讓我們快速介紹您的客戶可以找到安全通知的 5 個地方。

1. 消息中心通知- 您所有的重要警報和更新都可以在位於 WordPress 管理欄中的 iThemes 安全消息中心找到。
2. 電子郵件通知– 安全摘要和鎖定通知等安全通知可以發送到您的收件箱。
3. 登錄警報– 啟用受信任設備後，您將使用登錄警報菜單來確認或阻止設備。
4. 安全儀表板- 消息中心也可以在安全儀表板上找到。
5. 安全日誌- 現在，這不是傳統意義上的通知，但 iThemes Security Pro 使用安全日誌與您共享與安全相關的事件。

iThemes 安全通知中心

通知中心擁有管理 iThemes Security Pro 生成的電子郵件通知所需的所有工具。

通知中心模塊位於安全設置主頁。 單擊配置設置按鈕開始自定義您的電子郵件通知。

您要在通知中心設置的前兩件事是發件人電子郵件和默認收件人列表。

發件人電子郵件是 iThemes Security Pro 將用於發送通知的電子郵件地址。 默認收件人是將收到電子郵件通知的人員列表，除非另有說明。 最好只將您的用戶設置為默認收件人，以防止您的客戶收到不需要的電子郵件。

您還可以為從 iThemes Security Pro 發送的每封電子郵件通知自定義收件人。 假設您希望客戶看到的唯一電子郵件通知是安全摘要。 為此，請向下滾動到“安全摘要”電子郵件設置，然後單擊“收件人”切換按鈕並選擇“自定義” 。

選中您客戶的用戶名旁邊的框，將其添加到安全摘要電子郵件列表中。

在我們談論安全摘要電子郵件時，讓我們談談如何減少從 iThemes Security Pro 收到的電子郵件數量。 在嚴重攻擊期間，iThemes Security 可以生成大量電子郵件。 然而，這些電子郵件會產生一堆不必要的噪音。 例如，鎖定通知只是 iThemes Security Pro 吹噓它正在做它的工作，但沒有任何操作可供您採取。 壞人已經被鎖定，問題解決了。 也就是說，如果收到大量通知成為常態，它可能會變成一個男孩哭狼的情景。 有一次您收到需要您採取行動的警報時，您可能會忽略它，因為您不斷收到非緊急通知。

安全摘要減少了發送的電子郵件數量，因此您可以收到鎖定、文件更改檢測掃描和權限升級的摘要。 請記住，您仍需要禁用個別通知才能停止接收它們。

我們將在後面的帖子中向您展示如何阻止您的客戶看到其他類型的通知。

2. 不同用戶類型的 WordPress 安全

許多 WordPress 安全歸結為用戶安全。 而且，並非所有用戶都是生而平等的，因此我們不應該制定適合所有用戶的安全策略。 這就是為什麼值得討論您在網站上可能擁有的不同類型的用戶。

1. 站點管理員– 站點管理員有權在 WordPress 網站上進行大量更改。 擁有權利的同時也被賦予了重大的責任。 很多時候，安全意味著犧牲一點便利性來獲得更顯著的安全收益。 可以為這些用戶添加一些摩擦，因為如果他們的帳戶落入壞人之手，您可以與您的網站告別。
2. 商店經理– 商店經理與站點管理員具有相同的權力，並且需要相同的高級別安全性。 您可能有一個需要管理 WooCommerce 商店的客戶，但您可能不希望他們弄亂站點的安全設置。 我們將在下一節中展示如何完成此操作。
3. 貢獻者/編輯- 貢獻者和編輯仍然值得您關注，因為他們可以對您的網站進行更改。 然而，他們可能不需要像您的站點管理員和商店經理那樣高的安全級別。
4. 訂閱者/客戶– 訂閱者和客戶是無法在 WordPress 網站上進行更改的低級用戶。 雖然您可能希望為他們提供保護其帳戶的工具，但您可能不想強迫他們使用它們。

3. 使用 iThemes Security Pro 用戶組

iThemes Security Pro 中的用戶組模塊允許您快速查看啟用了哪些可能影響用戶體驗的設置，並從一個位置對其進行修改。

為了更輕鬆地管理您站點上的用戶安全，iThemes Security Pro 將您的所有用戶分為不同的組。 默認情況下，您的用戶將按其 WordPress 功能分組。 按 WordPress 功能排序允許將 WordPress 和自定義用戶角色輕鬆組合到同一組中。 例如，如果您正在運行 WooCommerce 站點，您的站點管理員和商店經理將在管理員用戶組中，而您的訂閱者和客戶將在訂閱者用戶組中。

既然我們已經討論了 WordPress 網站上不同類型的用戶，讓我們來看看如何使用用戶組快速配置我們的用戶安全。 在本節中，您將學習如何為站點管理員和訂閱者配置安全性。

在用戶組設置中，選擇您的管理員用戶組以開始編輯該組。 功能選項卡顯示為組啟用或禁用哪些設置，編輯組選項卡允許您配置組的成員。

正如我們之前談到的，我們希望為我們的Admin User Group提供高級別的安全性。

1. 管理 iThemes 安全– 我們的管理員用戶需要能夠管理安全設置。
2. 啟用儀表板創建- 我們希望我們的管理員用戶創建安全儀表板。
3. 成績報告– 我們的管理員用戶應該有權訪問成績報告。
4. 強制雙因素- 我們應該要求我們的高級用戶使用雙因素身份驗證。
5. 禁用兩因素入職– 我們希望盡可能輕鬆地註冊 2fa。
6. 允許記住設備- 我們可能希望我們的管理員用戶在每次登錄時輸入一個兩因素令牌以提高安全性。
7. 應用程序密碼– 我們的管理員用戶可能需要配置應用程序密碼的選項。
8. 活動監控– 我們需要管理員用戶的站點活動歷史記錄。
9. 無密碼登錄——我們可以讓每個人都使用這種安全便捷的登錄方式。
10. 允許無密碼登錄的兩因素繞過- 這是個人偏好。 不允許繞過 2fa 將提高您的管理員登錄的安全性。
11. 受信任的設備- 我們希望將訪問我們的管理儀表板的權限限制為已批准的設備列表。
12. 需要強密碼——我們希望我們的高級用戶擁有強密碼。
13. 密碼過期– 您可以將管理員密碼設置為過期。
14. 拒絕洩露的密碼– 不要讓您的管理員用戶重複使用在數據庫洩露中發現的密碼。

正如我們之前談到的，我們不希望我們的Subscriber User Group具有相同的高級別的安全性。

1. 管理 iThemes 安全– 我們不希望我們的低級別用戶訪問安全設置。
2. 啟用儀表板創建– 我們不希望低級別用戶創建安全儀表板。
3. 成績報告– 低級別用戶不應看到成績報告。
4. 強制雙因素- 我們不想強迫我們的客戶或訂閱者使用雙因素身份驗證。
5. 禁用雙因素入職——雖然我們希望為低級別用戶提供使用 2fa 的選項，但我們可能不希望他們在登錄時看到入職流程。
6. 允許記住設備– 您可能不希望將這種複雜程度添加到低級別用戶帳戶中。
7. 應用程序密碼– 您可能不希望將這種複雜程度添加到低級用戶帳戶中。
8. 活動監控——我們不想監控低級別用戶的活動。
9. 無密碼登錄——我們可以讓每個人都使用這種安全便捷的登錄方式。
10. 允許無密碼登錄的兩因素繞過
11. 可信設備– 您可能不希望將這種複雜程度添加到低級別用戶帳戶中。
12. 需要強密碼– 您可能不希望將這種級別的摩擦添加到低級別用戶帳戶中。
13. 密碼過期– 您可能不希望將這種級別的摩擦添加到低級別用戶帳戶。
14. 拒絕洩露的密碼– 您甚至不應該讓低級別用戶在您的站點上使用洩露的密碼。

我們之前談到過我們可能希望我們的商店經理擁有與我們的管理員用戶相同的高級別的安全，但限制他們管理安全設置。 我們可以為我們的商店經理創建一個新的用戶組，除了能夠管理安全設置、創建安全儀表板或查看成績報告之外，我們還可以啟用所有與我們為管理員用戶所做的相同的功能。 這樣做還會阻止他們看到我們之前討論過的安全通知。

4. 如何創建安全客戶端儀表板

查看您的 WordPress 安全性，日誌條目可能非常耗時，甚至難以理解。 iThemes 安全儀表板通過匯總相關列表並以與您相關的方式顯示它，使您的安全日誌栩栩如生。

安全儀表板也是向您的客戶展示為什麼他們付錢給您以保護他們的網站的好方法。 讓我們來看看如何與客戶創建共享儀表板。

啟用儀表板後，您可以從 WordPress 管理菜單中的管理儀表板和安全設置中查看它。

接下來，您可以使用 iThemes Security 默認儀表板創建一個新儀表板或從頭開始創建一個。 輸入您的板的名稱，然後單擊“創建板”按鈕。

根據您的喜好配置儀表板後，您可以單擊共享按鈕。

然後選擇要與之共享的用戶。

5. 如何自動化漏洞檢查和修補

您是否知道網站被黑客入侵的第一個原因是補丁可用但未應用的漏洞？ 不要給黑客一個簡單的方法來利用您客戶的網站。 新的 iThemes Security Pro Site Scanner 會自動掃描您的網站以查找已知的 WordPress 核心、插件和主題漏洞。 如果有補丁可用。 Site Scanner 甚至會自動應用安全補丁來修復漏洞。

在安全設置的主頁上啟用站點掃描程序，每天兩次掃描您的站點以查找已知漏洞、惡意軟件和站點的 Google 阻止列表狀態。

您需要在版本管理設置中啟用如果修復漏洞自動更新選項，以授予 iThemes Security Pro 自動應用安全修復程序的權限。

6. 臨時提權

可能是所有 iThemes Security Pro 中未被充分利用的功能，即權限提升功能，允許您臨時提升單個用戶的權限。

每當您創建新用戶，尤其是管理員用戶時，您都在添加一個額外的入口點供黑客利用。 但有時您可能需要一些外部幫助。

您可以創建一個新的支持用戶並為其授予訂閱者用戶角色。 下次您需要為某人提供臨時訪問權限時，請導航到您的支持用戶的個人資料頁面。

更新電子郵件地址以允許此人申請新密碼，然後向下滾動直到您看到臨時權限提升設置。 單擊Set Temporary Role切換按鈕，然後選擇Admin 。 用戶現在將在接下來的 24 小時內擁有管理員訪問權限。 如果他們不需要完整的 24 小時，您可以從用戶配置文件頁面撤銷權限提升。

包起來

在客戶端站點上配置安全性並不一定令人生畏。 iThemes Security Pro 為您提供了將適量的安全應用到合適的人所需的工具，將敏感安全信息的訪問權限限制為僅管理安全的人員。

邁克爾·摩爾

每週，Michael 都會匯總 WordPress 漏洞報告，以幫助確保您的網站安全。 作為 iThemes 的產品經理，他幫助我們繼續改進 iThemes 產品陣容。 他是一個巨大的書呆子，喜歡學習所有新舊技術。 你可以找到邁克爾和他的妻子和女兒一起出去玩，在不工作的時候閱讀或聽音樂。