iThemes Security 8.0 帶來新的設計和功能

已發表: 2021-07-30

新版 iThemes Security 剛剛登陸！讓我們來看看 iThemes Security 8.0，它是最人性化、易於配置、最好看的 WordPress 安全插件，用於保護和保護您的 WordPress 網站！

iThemes Security 8.0 中的新功能（和很棒）

關於更新到 iThemes Security 8.0 的說明

如果您從插件的早期版本手動更新到 iThemes Security 8.0，您可能會在 WordPress 管理儀表板中看到一條錯誤消息。只需刷新頁面即可解決錯誤。更新還可能觸發有關您網站上技術問題的電子郵件。只需丟棄電子郵件。

在 WordPress 插件更新期間，有時會同時運行兩個版本的插件。同時運行腳本的插件的兩個版本可能會觸發錯誤。

由於 WordPress 核心更新程序的限制，我們無法從我們的角度採取任何措施來防止發生此錯誤。請放心，一切正常！一旦您刷新了站點上的任何頁面，該錯誤就會解決。

8.0 中的新 WordPress 安全功能

iThemes Security 8.0 添加了幾項強大的新功能，使保護您的站點更加容易：實時安全活動儀表板、兩因素身份驗證以及拒絕洩露密碼的能力。

實時安全活動儀表板

每天，您的網站上都在發生許多您可能不知道的活動。其中許多活動可能與您網站的安全有關，因此監控這些事件對於確保您的網站安全至關重要。

iThemes Security Pro 插件提供實時 WordPress 安全儀表板，每週 7 天、每天 24 小時監控您網站上與安全相關的事件。 iThemes 安全儀表板是一個動態儀表板，將您的 WordPress 網站的所有安全活動統計信息集中在一個地方。

作為 iThemes Security 8.0 中最大的變化之一，安全儀表板現在是插件的默認視圖。您現在可以看到與站點上發生的安全活動相關的實時統計信息，而不是無聊的設置網格。

查看 WordPress 安全日誌可能非常耗時，甚至難以理解。新的 iThemes 安全儀表板通過匯總相關條目並以與您相關的方式顯示它們，使您的安全日誌栩栩如生。

新的 iThemes 安全儀表板利用新的安全卡以更易於理解的方式組織您的所有安全活動。安全卡將日誌中的信息分解為易於使用的小塊數據。

認識安全儀表板中可用的 iThemes 安全卡

我們喜歡將安全卡與棒球卡進行比較。棒球卡不會為您提供有關 MLB 中每個球員的信息。卡片只關心前面圖片中的那個人。同樣，安全卡不會顯示日誌中的每個條目。相反，它們僅向您顯示與該特定卡相關的信息。

1. 網站掃描

查看您的 iThemes 安全站點掃描的歷史記錄。

2. 僅限用戶安全配置文件 Pro

單擊任何用戶名以獲取其安全概述。您可以從這張卡發送 2fa 提醒，強制任何用戶註銷，並強制每個人更新他們的密碼。

3. 僅限用戶安全配置文件 Pro

將單個用戶的個人資料固定到您的儀表板，並查看他們的用戶角色、密碼強度和年齡，他們是否啟用了雙因素，以及他們最後一次訪問網站的時間。

4. 主動鎖定

顯示所有活動的鎖定。如果您的客戶將自己鎖定在外，您可以從這張卡上快速解除鎖定。

5. 停工

在我們的網站上查看鎖定歷史。

6.禁令概述

查看 iThemes Security 禁止的 IP 歷史記錄。

7. 蠻力攻擊

顯示一個圖表，用於繪製暴力破解活動的圖表。

8. 數據庫備份

查看 30 天的備份歷史記錄並創建新的數據庫備份。

9. 僅更新摘要 Pro

顯示特定時間內 WordPress、插件和主題更新的數量。

10. 被禁止的用戶

管理您網站的禁止主機列表。

11. 僅限 Trusted Devices Pro

顯示圖表已批准、自動批准和阻止的設備。

兩因素身份驗證

安全儀表板並不是 iThemes Security 8.0 中唯一的新功能。現在 iThemes Security 提供兩因素身份驗證來保護您所有的 WordPress 登錄！

雙因素身份驗證是通過需要兩種不同的驗證方法來驗證個人身份的過程。谷歌在其博客上分享說，使用雙因素身份驗證可以阻止 100% 的自動機器人攻擊。我真的很喜歡這些賠率。

要開始使用雙因素身份驗證，導航到安全設置“功能菜單，並啟用雙因素。啟用雙因素後，單擊設置齒輪。

現在讓我們仔細看看雙因素設置。

用戶可用的身份驗證方法- 通過這些設置，您可以選擇允許人們使用的三種身份驗證方法中的哪一種。

iThemes Security 提供的三種認證方式：

移動應用程序– 移動應用程序方法是 iThemes Security 提供的最安全的兩因素身份驗證方法。此方法要求您使用像 Authy 這樣的免費雙因素移動應用程序。
電子郵件- 雙因素的電子郵件方法會將時間敏感代碼發送到您用戶的電子郵件地址。
備用代碼– 一組一次性使用代碼，可用於在主要兩因素方法丟失時登錄。

好的，讓我們繼續討論其餘的兩因素設置。

首次登錄時禁用- 當您為特定用戶組啟用強制雙因素身份驗證功能時，他們將需要在下次登錄時輸入發送到其電子郵件地址的雙因素令牌。啟用此設置將簡化板載用戶首次登錄時的流程。
板載歡迎文本– 這允許您自定義人們在開始雙因素入職流程時看到的文本。

使用 Have I Being Pwned 集成拒絕洩露的密碼

iThemes Security 現在使用 Have I Being Pwned 的服務來檢測密碼是否出現在數據洩露中。數據洩露通常是用戶名、密碼以及在站點遭到入侵後暴露的其他個人數據的列表。

我是否被 Pwned 跟踪在許多數據洩露事件中洩露的密碼，並通過 API 使它們可用。為了檢查密碼是否包含在數據洩露中，我們發送密碼的散列 (sha1) 版本的前 5 個字符。

注意：iThemes Security 從不向 Have I Being Pwned 發送明文密碼。相反，散列密碼的 5 個字符通過加密連接發送到他們的 API。在這裡閱讀技術細節。

您可以使用其餘的密碼要求功能找到拒絕洩露的密碼。

要開始使用密碼要求保護您的用戶，請導航到用戶組設置並選中選擇多個用戶組以一起編輯框。

現在選擇要實施密碼策略的用戶組，選中密碼要求部分中的所有框，然後單擊保存按鈕。

新設置和入職：在幾分鐘內讓您的網站從零到安全

許多網站所有者直到被黑客入侵後才意識到網站安全的重要性。如果您曾經遇到過這種情況，那麼您最不想處理的就是確定網站安全設置和配置工具的耗時且複雜的任務。你只是想確保你永遠不會再被黑客入侵。

新的 iThemes 安全設置和入門體驗旨在讓任何人都可以在 10 分鐘內保護他們的 WordPress 網站，而無需網絡安全學位。如果您為客戶端使用 iThemes Security，還有一些省時的設置工具。

知道您已為您的網站啟用所有正確的安全設置會讓您感覺您的網站從未如此安全。此外，一旦在您的網站上設置了插件，iThemes Security 將代表您開始工作，24/7 全天候工作：

阻止自動攻擊
監控可疑活動
加強用戶憑據
掃描易受攻擊的插件和主題

讓我們來看看新的 iTheme 安全設置/入門體驗的一些亮點。

適合您的站點類型的新安全站點模板

iThemes Security 現在允許您選擇站點類型以應用最佳安全設置。

為什麼？電子商務網站需要的安全級別與您的普通博客不同，因此網站模板可幫助 iThemes Security 自動為您的網站配置最佳安全設置。

您現在可以從六種不同的網站模板中進行選擇，包括：

電子商務– 銷售產品或服務的網站
網絡– 連接人或社區的網站
非營利– 宣傳您的事業並收集捐款的網站
博客– 分享您的想法或開始對話的網站
投資組合– 展示您的工藝的網站
宣傳冊– 促進您業務的簡單網站

為了讓您更輕鬆地選擇站點類型，iThemes Security 會檢查您是否安裝了任何 LMS 插件、電子商務插件、捐贈插件或網絡插件，並為您推薦最佳站點類型。例如，如果您有一個使用 Restrict Content Pro 的會員網站，我們將建議您使用電子商務網站模板。

用戶組：非常適合客戶的用戶保護級別！

與您擁有的網站類型類似，不同類型的用戶需要不同級別的安全性。在 iThemes 安全設置過程中，您將被問到一系列問題來確定您網站的關鍵用戶組。一旦確定了不同類型的用戶，您就可以為每個組決定正確的保護級別。

用戶組有什麼用？以下是用戶組如何用於保護您的站點的幾個示例：

對於客戶– 假設您正在客戶的網站上配置 iThemes Security。您將決定他們是否需要使用雙因素身份驗證，以及他們是否應該有權訪問 iThemes 安全設置。
對於客戶- 如果您有電子商務網站，您將決定是否要使用密碼策略保護客戶帳戶。

需要改變什麼嗎？別擔心。如果您是那種喜歡仔細檢查您的工作的人，您將有機會在應用之前查看為每個用戶組啟用的設置。如果您是那種不會猜測您的作品的類型，則可以跳過審核過程。

這是一個視頻，深入探討了新的 iThemes 安全設置/入門流程。

重新設計和重新組織的設置以簡化站點安全

設置和入職並不是 iThemes Security 中唯一的新事物。我們徹底檢查了 iThemes Security 中的安全設置，相信我。這不僅僅是油漆工作！

iThemes Security 8.0 中最明顯的升級為安全設置帶來了全新的外觀和感覺。（我認為可以肯定地說 WordPress 安全性從未如此出色。）在 iThemes Security 8.0 中，現在重新設計和重組了設置以幫助簡化站點安全性。

6 個新的安全設置組

設置已合併並簡化為 6 個設置組，包括：

登錄安全
停工
現場檢查
公用事業
工具
先進的

我們來看看每個設置組：

1. 登錄安全

登錄安全組包括旨在鎖定您的 WordPress 登錄的安全功能。

2. 停工

鎖定組包括旨在識別和鎖定壞人的安全功能。

3. 現場檢查

站點檢查組包括旨在發現漏洞和惡意更改的安全功能。

4. 實用程序

實用程序組包括 iThemes Security 中可用的各種安全實用程序。

5. 工具

工具設置組包括您可以運行的大多數安全檢查和工具。

6. 進階

高級設置組包括所有可能導致衝突或不建議在每個站點上使用的安全功能。

問題？用於設置的新插件幫助

如果您在 iThemes Security 中遇到任何您不太了解的內容，請不要擔心。只需單擊一下即可獲得幫助。在安全設置的幾乎每個頁面上，您都會找到一個幫助圖標。

單擊“幫助”圖標將為您提供與您所在頁面相關的其他信息。

單擊“幫助”圖標文本框中的“更多”鏈接以查看包含指向與您所在頁面相關的博客文章、教程和文檔的鏈接的幫助頁面。

iThemes Security 8.0 中的新插件幫助可確保您在需要時獲得正確的幫助。

新的強大設置搜索

新的搜索使您可以更輕鬆地找到所需內容。不是吹噓，但它可能是 WordPress 插件歷史上最好的搜索工具。

獎勵：設置現在使用 React JS

我們之前提到過，重新設計的設置不僅僅是一個油漆工作。 iThemes 安全代碼庫已更新為使用 React JS。升級到 React JS 使我們能夠利用添加到 WordPress 的所有很酷的東西。最終，它將導致與其他 iThemes 產品的更深入集成。

改進的可訪問性

在此版本中，我們努力改進 iThemes Security 的可訪問性。您應該能夠通過鍵盤導航整個界面，屏幕閱讀器應該適當地宣布頁面的內容和控件。還有更多改進即將推出，如果您發現我們可以做得更好的地方，請告訴我們！我們致力於使 iThemes Security 像 WordPress 一樣易於訪問。

減法加法：8.0 中刪除的設置

iThemes Security 七年來一直致力於保護 WordPress 網站。在那段時間裡，iThemes Security 中的功能和設置數量急劇增加。

自 iThemes Security 1.0 以來，一切都發生了巨大的變化，我們認為 8.0 將是一個很好的機會，可以重新評估 iThemes Security 8.0 中現有的安全功能和設置，看看它們在 2021 年是否仍然有意義。我們只想包括能夠使對保護您的網站產生真正的影響。不僅如此，我們提供的安全功能級別需要超過使用它的挫敗感。

iThemes Security 通過減去在當今世界不再有意義的設置來增加用戶體驗。在 8.0 中，我們刪除了過時的站點安全方法或導致比提供安全好處更多的挫折的設置。

回顧一下，我們基於以下原因刪除了 iThemes Security 8.0 中的某些設置：

安全設置實際上並沒有提供任何有意義的安全性——同樣，我們只想包括對保護您的網站有真正影響的安全功能。
安全設置在當今世界不再有意義——在過去的七年中，WordPress 發生了許多變化，包括用於識別和阻止網絡攻擊的安全工具和策略。 5 年前的某些站點安全方法已經過時了。
安全設置比安全好處更令人沮喪。安全功能的級別需要超過使用它的挫敗感。由於我們已經幫助客戶解決了某些功能方面的一些難題，因此我們了解到哪些功能存在問題，並且在安全收益不超過某個功能引起的問題的情況下根本不值得保留。

以下是 iThemes Security 8.0 中刪除的設置列表，以及刪除原因的說明。

404檢測

通常情況下，404 檢測設置最終會鎖定您網站的合法訪問者。在有大量斷開鏈接的網站上，它甚至可能最終阻止像 Googlebot 這樣的爬蟲，這對 SEO 來說是一個問題。

我們建議您不要使用 404 檢測，而是在系統調整中打開禁用 PHP 執行設置。這些現在在 iThemes Security 8.0 中默認啟用。

離開模式

攻擊者不會根據一天中的時間停止嘗試闖入您的網站。離開模式功能通常會造成網站安全的錯誤感覺，並導致與需要在一天中的任何時間訪問部分 WordPress 管理員的第三方插件發生衝突。離開模式代表了一種過時的安全方法，因為現在可以使用更強大的方法來保護 WordPress 管理儀表板。

我們建議您不要使用離開模式，而是強制使用強密碼，為您的 WordPress 登錄啟用 reCAPTCHA，並啟用雙因素身份驗證，以便用戶可以保護他們的帳戶。

更改內容目錄

更改內容方向設置屬於隱匿性的安全類別，但它是一種非常低效的形式。在現有網站上使用時，此功能可能會破壞您的網站，這也是我們決定將其刪除的最終原因。

如果您仍想使用不同的內容目錄，我們建議您在首次創建網站時手動定義WP_CONTENT_DIR和WP_CONTENT_URL常量。

多站點調整

此設置模塊不提供安全功能，僅提供與確保您的網站安全無關的 UI 調整。

WordPress 調整

WordPress Tweaks 是旨在強化 WordPress 的一些潛在弱點的設置，但這些設置在 2021 年不再有益或無法提供安全性。

刪除Windows Live Writer 標頭- 此功能沒有任何安全優勢，它可以隱藏 WordPress 安裝的wp-includes目錄的 URL。但是此 URL 以許多其他方式公開。此外，知道該 URL 並不會為攻擊者提供任何重要的立足點。
EditURI Header – 在您的站點上隱藏 XML-RPC API 的 URL 也是一種無效的安全措施。相反，我們建議在 WordPress Tweaks 中禁用“每個 XML-RPC 請求允許多次身份驗證嘗試”設置。如果您不使用任何需要 XML-RPC 的服務，您可以在 WordPress Tweaks 中完全禁用它。
垃圾評論- 用於阻止垃圾郵件的方法在 2021 年不再有效。相反，我們建議為您的評論部分啟用 reCAPTCHA。
登錄錯誤消息- 此設置對嘗試使用您的站點的合法用戶造成了很大的摩擦，並且幾乎沒有提供安全保護。了解為什麼 WordPress 不認為公開用戶名是一個安全問題。
減輕附件文件遍歷攻擊- 此保護已添加到 WordPress 核心。
防止 Tabnapping – 此保護已添加到 WordPress 核心，並且在大多數瀏覽器中不再可利用。

系統調整

這些設置已從系統調整中刪除。

可疑查詢字符串、非英文字符、長 URL 字符串——這些功能對有動機的攻擊者幾乎沒有威懾力，並且是與其他插件衝突的最常見原因。
過濾請求方法——這不再是一種相關的保護形式。
刪除文件寫入權限- 此功能沒有提供太多保護，因為服務器的 Web 用戶可以將權限改回。相反，它通常會與希望能夠寫入wp-config.php或.htaccess文件的其他插件和網絡主機產生衝突。

雜項設置

數據庫備份模塊中的備份完整數據庫設置已被刪除。數據庫備份模塊是用於備份 WordPress 站點的簡單工具，但它不是通用的數據庫管理工具。如果您有多個 WordPress 站點共享同一個數據庫表，我們建議您分別在每個站點上配置備份。這將為您提供更小、更相關的備份，如果出現問題，這些備份將更容易恢復。
SSL模塊不再具有用於確定您網站的哪些部分應該使用 SSL 的細粒度控制，而是在啟用時為您的整個網站強制執行 SSL。您的整個網站都應受 HTTPS 保護，否則您的網站部分將變得不安全並導致您的 SEO 受到影響。
已從版本管理模塊中刪除過時時加強設置。此設置覆蓋了您在 WordPress Tweaks 中關於如何保護您的網站的選擇。當您的站點運行過時的軟件時，它還導致與要求用戶使用雙因素設置的雙因素設置混淆。相反，我們建議啟用“禁用文件編輯器”，關閉“允許每個 XML-RPC 請求進行多次身份驗證嘗試”，並始終根據需要禁用 XML-RPC。

想要更多的安全層？獲取 iThemes Security Pro！（現在有 40% 的折扣）

插件和主題漏洞的站點掃描器
實時網站安全儀錶盤
文件更改檢測
WordPress 安全日誌
受信任的設備
驗證碼
蠻力保護
神奇的登錄鏈接
權限提升

僅一周，我們提供所有帶有優惠券代碼 STELLARSALE 的 iThemes Security Pro 計劃的 40% 折扣。 優惠截止至 2021 年 8 月 4 日晚上 11:59 (CT)

立即獲取 iThemes Security Pro

邁克爾·摩爾

每週，Michael 都會匯總 WordPress 漏洞報告，以幫助確保您的網站安全。作為 iThemes 的產品經理，他幫助我們繼續改進 iThemes 產品陣容。他是一個巨大的書呆子，喜歡學習所有新舊技術。你可以找到邁克爾和他的妻子和女兒一起出去玩，在不工作的時候閱讀或聽音樂。