安裝 iThemes Security Pro 後要做的 10 件事

已發表: 2020-09-17

iThemes Security Pro 包含 50 多種安全方法來保護您的 WordPress 網站。這是很多選擇！

如果您在安裝 iThemes Security Pro 後發現自己不知道從哪裡開始，請不要擔心，我們已經為您提供了保障。在這篇文章中，我們將介紹安裝 iThemes Security Pro 後要做的前 10 件事。

1. 運行安全檢查

您需要運行 iThemes Security Pro安全檢查的原因有多種。安全檢查啟用所有 iThemes Security Pro 設置，這些設置在所有環境中都能很好地發揮作用，包括那些資源有限的環境。

我們來談談安全檢查啟用的設置。

本地蠻力保護– 本地蠻力保護功能會跟踪 IP 和用戶名進行的無效登錄嘗試。一旦攻擊者連續多次嘗試無效登錄，他們就會被鎖定。
被禁止的用戶- 被禁止的用戶功能會跟踪 IP 鎖定。一旦某個 IP 成為屢犯者，iThemes Security Pro 就會將該 IP 添加到禁止主機列表中，並阻止該 IP 訪問您的網站，更不用說嘗試登錄了。
數據庫備份– 數據庫備份功能創建站點數據庫的備份。
Magic Links – Magic Links 功能允許您在用戶名被鎖定時請求帶有唯一登錄鏈接的電子郵件。使用通過電子郵件發送的鏈接將允許您繞過鎖定，而蠻力攻擊者仍然被鎖定。
無密碼登錄– 無密碼登錄功能是一種驗證用戶身份的新方法，無需實際輸入密碼即可登錄。
站點掃描– 站點掃描會檢查您的站點是否存在已知漏洞，並在可用時自動應用補丁。
雙因素身份驗證– 雙因素身份驗證是通過需要兩種不同的驗證方法來驗證個人身份的過程。
用戶記錄- 用戶記錄功能完全符合您的想法；它記錄用戶操作，例如登錄和保存內容。
WordPress 調整– 並非所有 WordPress 調整選項都由安全檢查啟用。啟用了基本安全方法，例如禁用文件編輯器、阻止每個 XML-RPC 請求的多次身份驗證嘗試、限制 REST API 訪問和緩解附件文件遍歷攻擊。

運行安全檢查還有助於通過識別您網站的服務器和環回 IP 來防止任何無意的服務器鎖定。安全檢查還將驗證訪問您網站的遠程 IP，以防止 IP 欺騙。

此外，安全檢查...檢查您的服務器是否啟用了 SSL 證書，以及您的 HTTP 頁面請求是否被重定向到 HTTPs。使用 HTTPS 加載的頁面使用 SSL 加密保護您的訪問者。您可以從“安全檢查”菜單強制 HTTPS 重定向。

最後，安全檢查將提示您激活網絡暴力保護許可證。蠻力網絡幫助 iThemes Security 用戶相互保護。因攻擊您的網站而被阻止的 IP，以及受 iThemes Security 保護的其他網站的被阻止 IP，將被報告給 Brute Force Network。一旦 IP 進入 Brute Force 網絡，它們將被網絡中的所有站點阻止。

2.啟用自動漏洞修補

安全檢查啟用站點掃描，它將自動檢查您的網站是否存在已知的 WordPress、插件和主題漏洞。這很棒，但 iThemes Security Pro 可以更進一步。如果在您的網站上發現漏洞，iThemes Security Pro 可以自動應用補丁（如果有）。

您需要做的就是在版本管理設置中啟用如果修復漏洞自動更新選項。

3. 使用 Google reCAPTCHA v3 阻止惡意機器人

iThemes Security Pro 中的 Google reCAPTCHA 功能可保護您的網站免受惡意機器人的侵害。這些機器人試圖使用洩露的密碼、發布垃圾郵件甚至抓取您的內容來闖入您的網站。 reCAPTCHA 使用先進的風險分析技術來區分人類和機器人。

reCAPTCHA 版本 3 的優點在於它可以幫助您檢測網站上的濫用機器人流量，而無需任何用戶交互。 reCAPTCHA v3 不會顯示 CAPTCHA 質詢，而是監控您網站上發出的不同請求，並為每個請求返回一個分數。分數範圍從 0.01 到 1。reCAPTCHA 返回的分數越高，表示請求是人類發出的越有把握。 reCAPTCHA 返回的分數越低，機器人發出請求的可信度就越高。

iThemes Security Pro 允許您使用 reCAPTCHA 分數設置阻止閾值。 Google 建議使用 0.5 作為默認值。請記住，如果將閾值設置得太高，可能會無意中鎖定合法用戶。

您可以在 WordPress 用戶註冊、重置密碼、登錄和評論中啟用 reCAPTCHA。 iThemes Security Pro 允許您在所有頁面上運行 Google reCAPTCHA 腳本，以提高其機器人與人工評分的準確性。

4. 使用 2FA 應用程序保護您的用戶帳戶

iThemes Security Pro 為您提供三種不同的兩因素身份驗證方法來保護 WordPress 用戶。

移動應用程序——此方法要求您使用像 Authy 這樣的免費雙因素移動應用程序。
電子郵件- 雙因素的電子郵件方法會將時間敏感代碼發送到您用戶的電子郵件地址。
備用代碼– 一組一次性使用代碼，可用於在主要兩因素方法丟失時登錄。

移動應用程序方法是最安全的，所以讓我們來看看如何為用戶添加這種級別的安全性。

您需要做的第一件事是下載一個像 Authy 這樣的 2fa 應用程序，然後導航到您的 WordPress 用戶配置文件頁面。進入 WordPress 個人資料後，向下滾動，直到看到雙因素身份驗證選項標題。請務必選中復選框以啟用移動應用程序方法並使其成為 2fa 的主要形式。現在單擊查看二維碼和密鑰按鈕。

在您的手機上，掃描二維碼以繼續將密鑰鏈接到您的移動應用程序。

現在將手機上的 6 位數代碼輸入到 Web 瀏覽器中，然後單擊“驗證”以完成設置。

注意：在離開您的個人資料頁面之前，請務必單擊“更新個人資料”按鈕。

5. 創建安全儀表板

iThemes 安全儀表板是一個動態儀表板，將您網站的所有安全活動統計信息集中在一個位置。安全儀表板通過將相關條目匯集在一起並以與您相關的方式顯示，使您的安全日誌栩栩如生。

儀表板將您網站的安全活動分類為安全卡。把它們想像成棒球卡。棒球卡不會為您提供有關 MLB 中每個球員的信息。卡片只關心前面圖片中的那個人。同樣，安全卡不會顯示日誌中的每個條目。相反，他們只為您提供與該特定卡相關的信息。

11張安全卡

1. 網站掃描

查看您的 iThemes Security Pro 站點掃描的歷史記錄。

2. 用戶安全配置文件

查看站點上每個管理員用戶的列表。單擊任何用戶名以獲取其安全概述。

3. 用戶安全配置文件

將單個用戶的個人資料固定到您的儀表板，並查看他們的用戶角色、密碼強度和年齡，無論他們是否啟用了雙因素以及他們最後一次訪問網站的時間。

4. 主動鎖定

顯示所有活動的鎖定。如果您的客戶將自己鎖定在外，您可以從這張卡上快速解除鎖定。

5. 鎖定

在我們的網站上查看鎖定歷史。

6.禁令概述

查看 IP 是否被 iThemes Security 禁止的歷史記錄。

7. 蠻力攻擊

顯示一個圖表，用於繪製暴力破解活動的圖表。

8. 可信設備

顯示圖表已批准、自動批准和阻止的設備。

9. 404s

查看過去 30 天內 404 的概述。

10. 數據庫備份

查看 30 天的備份歷史記錄並創建新的數據庫備份。

11.更新總結

顯示特定時間內 WordPress、插件和主題更新的數量。

12. 被禁止的用戶

管理您網站的禁止主機列表。

如何在 iThemes Security Pro 中創建安全儀表板

要開始使用安全儀表板，請確保在安全設置的主頁上啟用它。

啟用後，您可以從管理儀表板菜單和WordPress 管理菜單中的安全設置創建您的第一個安全儀表板。

接下來，您可以使用 iThemes Security 默認儀表板創建一個新儀表板或從頭開始創建一個。 輸入您的板的名稱，然後單擊“創建板”按鈕。

安全儀表板的目標是以對您有意義的方式為您提供所需的信息。您可以從一張空白畫布開始，只添加對您很重要的卡片。

動態安全儀表板是完全可定制的。您選擇要查看的卡片、它們在屏幕上的顯示順序以及您希望每張卡片的大小。這是您為您創建的儀表板。

6. 用密碼要求來玩你的密碼遊戲

密碼是您抵禦 WordPress 登錄攻擊的第一道防線。 iThemes Security Pro 中的密碼要求功能不僅是您的密碼策略，也是您的強制執行工具。

您可以強制用戶組的成員使用強密碼、選擇密碼過期時間、拒絕洩露密碼以及強制更改整個站點的密碼以使每個人都遵守您新的強密碼策略。

強制強密碼– 強制一組用戶使用強密碼。
密碼過期– 設置密碼過期前可以使用的最大天數。
拒絕洩露的密碼– 強制用戶使用在 Have I Being Pwned 跟踪的任何密碼洩露事件中未出現過的密碼。
強制更改密碼– 強制所有用戶在下次登錄時更改密碼。

7. 微調您的安全通知電子郵件

通知中心擁有管理 iThemes Security Pro 生成的電子郵件通知所需的所有工具。

通知中心模塊位於安全設置主頁。單擊配置設置按鈕開始自定義您的電子郵件通知。

您要在通知中心設置的前兩件事是發件人電子郵件和默認收件人列表。

發件人電子郵件是 iThemes Security Pro 將用於發送通知的電子郵件地址。默認收件人是將收到電子郵件通知的人員列表，除非另有說明。

您還可以為從 iThemes Security Pro 發送的每封電子郵件通知自定義收件人。假設您希望客戶看到的唯一電子郵件通知是安全摘要。為此，向下滾動到“安全摘要”電子郵件設置，然後單擊“收件人”切換按鈕，然後選擇“自定義” 。

選中您客戶的用戶名旁邊的框，將其添加到安全摘要電子郵件列表中。

可以為通知中心中的大多數電子郵件自定義主題和消息。您可以利用不同的電子郵件標籤來個性化電子郵件。例如，您可以使用username標籤在電子郵件中包含收件人用戶名。

8. 使用可信設備保護您的 WP 儀表板

iThemes Security Pro 受信任設備功能將 WordPress 儀表板的訪問權限限制為已批准設備列表。

一旦您讓 iThemes Security Pro 知道哪些設備是您的，受信任的設備可以通過兩種不同的方式保護您的站點：

1.限制無法識別的設備的能力——當有人使用無法識別的設備登錄時，您可以限制他們的管理員級別的能力並阻止他們編輯他們的登錄詳細信息。然後，iThemes Security Pro 將向其 WordPress 用戶配置文件中設置的地址發送一封電子郵件。

無法識別的登錄電子郵件可以選擇確認或阻止設備。如果單擊“確認設備”按鈕，用戶將恢復其管理功能。如果單擊“這不是我”按鈕，iThemes Security Pro 將註銷非法用戶，並將設備登錄 WordPress 配置文件中的拒絕設備列表。

2. 會話劫持保護——會話劫持是一種攻擊，其中用戶會話被攻擊者接管。例如，每次您登錄網站時，WordPress 都會生成一個會話 cookie。假設您的瀏覽器擴展程序存在漏洞，黑客可以劫持您的瀏覽器 cookie。劫持您的會話後，黑客將能夠開始對您的網站進行惡意更改。

如果用戶的設備在會話期間發生變化，iThemes Security 將自動將用戶註銷，以防止對用戶帳戶進行任何未經授權的活動，例如更改用戶的電子郵件地址或上傳惡意插件。

9.利用用戶組管理用戶安全

iThemes Security Pro 中的用戶組模塊允許您快速查看哪些影響用戶體驗的設置已啟用，並從一個位置對其進行修改。

為了更輕鬆地管理您站點上的用戶安全，iThemes Security Pro 將您的所有用戶分為不同的組。默認情況下，您的用戶將按其 WordPress 功能分組。按 WordPress 功能排序允許將 WordPress 和自定義用戶角色輕鬆組合到同一組中。例如，如果您正在運行 WooCommerce 站點，您的站點管理員和商店經理將在管理員用戶組中，而您的訂閱者和客戶將在訂閱者用戶組中。

在用戶組設置中，您將看到所有用戶組以及為每個組啟用的所有安全設置，并快速打開和關閉這些設置。用戶組讓您有信心將正確的安全級別應用於正確的用戶。