5 consejos y trucos avanzados para IThemes Security Pro

El complemento IThemes Security Pro tiene más de 50 formas diferentes de asegurar y proteger su sitio web de WordPress. Puede activar la mayoría de los métodos de seguridad en Ithemes Security Pro con solo un clic de botón. Sin embargo, si tiene unos minutos para hundirse en la configuración, puede agregar más capas a su sitio de WordPress. En esta publicación, le daremos 5 consejos y trucos avanzados para que IThems Security Pro lleve a la seguridad de su sitio web al siguiente nivel. Consejo n. ° 1: proteja su función de control de control de control de WP de confianza. Los dispositivos de confianza Pro limitan el acceso al tablero de WordPress a una lista de dispositivos aprobados.
Una vez que informa al iThemes Security Pro sobre sus dispositivos, los dispositivos de confianza pueden proteger su sitio de dos maneras diferentes: 1. Restringir las capacidades de los dispositivos no reconocidos: cuando alguien se conecta con un dispositivo no reconocido, puede restringir las capacidades a nivel de administrador y usted puede evitar sus datos de inicio de sesión. Ithemes Security Pro enviará un correo electrónico a la dirección establecida en el perfil de usuario de WordPress.

El correo electrónico de autenticación no reconocido tendrá la opción de confirmar o bloquear el dispositivo. Si se hace clic en el botón Confirmar del dispositivo, el usuario restaurará sus capacidades de administración. Si hace clic en This Yo Fui yo, iTheme Security Pro del botón desconectará el usuario ilegítimo y el dispositivo en la lista de dispositivos rechazados en el perfil de WordPress.

2. Protección de secuestro de sesiones: el secuestro de sesiones es un ataque en el que un atacante toma una sesión de usuario.Por ejemplo, WordPress genera una cookie de sesión cada vez que inicia sesión en su sitio web.Y suponga que tiene una extensión del navegador con una vulnerabilidad que permite a los piratas informáticos secuestrar su galleta del navegador.Después de secuestrar su sesión, el hacker podrá comenzar a hacer cambios maliciosos en su sitio web.Si el dispositivo de un usuario cambia durante una sesión, ITHEMS Security lo desconectará automáticamente para evitar cualquier actividad no autorizada de la cuenta del usuario, como cambiar la dirección de correo electrónico del usuario o cargar complementos maliciosos. El centro de atención de la función de los dispositivos confiables a los dispositivos confiables Obtenga más información sobre cómo puede asegurar y proteger el tablero de WordPress.
Consejo # 2: use Google Recaptcha V3 para bloquear los robots malos de la función Google Recaptcha en iThemes Security Pro protege su sitio contra robots malos. Estos robots intentan penetrar en su sitio web utilizando contraseñas comprometidas, publicar spam o incluso indicar el contenido. Recaptcha utiliza técnicas avanzadas de análisis de riesgos para distinguir a las personas y los robots. Lo que es excelente en Recaptcha versión 3 es que le ayuda a detectar BOT abusivo en su sitio web sin ninguna interacción del usuario. En lugar de mostrar un desafío Captcha, Recaptcha V3 monitorea diferentes solicitudes y devuelve un puntaje. El puntaje varía de 0.01 a 1. Cuanto mayor sea el puntaje devuelto por la recaptcha, el hombre más seguro ha hecho la solicitud. Cuanto más bajo este puntaje reducido de Recaptcha, más segura es que un robot ha hecho la demanda. Google recomienda usar 0.5 como predeterminado. Tenga en cuenta que puede confundir a los usuarios legítimos si establece el umbral demasiado alto.
Supongamos que establece el umbral de bloqueo en 1, lo que significa que desea que Google bloquee todo lo que no esté 100% seguro de que sea humano. Ahora uno de sus clientes envía una solicitud de conexión a su sitio web. Y este cliente utiliza un administrador de contraseñas para la finalización automática de contraseñas y Recaptcha otorga una puntuación de 0.7. Entonces, incluso si su cliente no ha utilizado su teclado para ingresar a las credenciales, Google está bastante seguro de que su cliente es humano. Pero su cliente seguirá siendo bloqueado porque ha establecido un umbral de 1.
Puede activar Recaptcha al registrar el usuario de WordPress, el reinicio de la contraseña, la conexión y los comentarios. Ithemes Security Pro le permite ejecutar el script de Google Recaptcha en todas las páginas para aumentar la precisión del hocico hacia la puntuación humana. ¡Google Recaptcha versión 3 es increíble! Le ayuda a mantenerlo a usted y a los visitantes de su sitio a salvo contra robots malos sin ninguna interacción del usuario. Consejo # 3: use la subida de privilegios para crear un usuario de asistencia universal La característica más característica de Ithemes Security Pro es la escalada de privilegios. La función le permite escalar temporalmente los privilegios de un usuario.

Cada vez que crea un nuevo usuario, especialmente un usuario administrador, agregue otro punto de entrada que un hacker podría explotar. Pero, es posible que necesite ayuda externa para su sitio web, como cuando busque ayuda. Puede crear un nuevo usuario y llamarlo ayuda y darle el papel de un usuario de suscriptor. La próxima vez que necesite proporcionar acceso temporal a su sitio web, explore la página del perfil de usuario de asistencia.
Actualice la dirección de correo electrónico para permitir que la asistencia externa solicite una nueva contraseña. Luego desplácese hacia abajo hasta que vea la configuración temporal de los privilegios. Haga clic en Configuración de configuración de roles temporales y seleccione Administrador. El usuario ahora tendrá acceso al administrador durante las próximas 24 horas.

Si no necesitan 24 horas completas, puede revocar la subida de los privilegios en la página del perfil del usuario. Consejo # 4: facilitar la seguridad para sus usuarios, por definición, cada medida de seguridad está diseñada para reducir la comodidad de cualquier cosa que reciba seguridad adicional. Por lo tanto, quiero compartir tres características en IThemes Security Pro que pueden facilitar la seguridad para todos en su sitio web. 1. La integración en la autenticación de dos factores con dos factores es un proceso de verificación de la identidad de una persona mediante la necesidad de dos métodos de verificación separados. Google ha compartido en su blog que el uso de la autenticación de dos factores puede detener el 100% de los ataques automáticos de botellas. La integración en dos factores es una manera fácil de usar a las personas para configurar dos factores en sus cuentas. Cada usuario que tenga la autenticación con dos factores se guiará por el flujo de integración a la siguiente conexión. Después de introducir la acreditación, se le presentará el texto de la bienvenida integrada. Tenga en cuenta que puede personalizar esto en su configuración de dos factores.
A lo largo del flujo, tendrá la opción de activar y configurar los dos factores que desea usar.

Al final del flujo, usted y sus cuentas de usuario.

Nota: Lea la publicación en el enfoque de los dispositivos de confianza de la confianza para obtener más información sobre cómo puede asegurar y proteger el tablero de WordPress.
2. Conexiones mágicas Un robot puede escapar de la página de su autor para reunir los nombres de usuarios para usarlos en un ataque de fuerza bruta en su sitio web.Es malo bloquearse porque un hocico trata de penetrar en su sitio web con el nombre de usuario.Cuando se bloquea su nombre de usuario, puede solicitar un correo electrónico con un enlace de autenticación único.El uso del enlace por correo electrónico pasará por alto el bloqueo del nombre de usuario para usted, mientras que los atacantes de la fuerza bruta todavía están bloqueados. Pon y simplemente haga clic en el enlace “Enviar autenticación autorizada” para recibir el correo electrónico de enlaces mágicos.

Una vez que haya recibido su correo electrónico, use el enlace, ingrese las credenciales y regresará a su sitio.


Nota: Lea la publicación en el centro de atención con la función Magic Links para obtener más información.
3. Sin conexiones de contraseña, ya sea que nosotros, de la comunidad de seguridad, queramos reconocer o no, el uso de un administrador de contraseñas y la autenticación de dos factores puede ser doloroso y el tiempo, especialmente porque estamos obteniendo cada vez más de nuestra vida en línea . Por lo tanto, queríamos crear una forma en que las personas obtengan toda la seguridad que ofrece una contraseña fuerte y única sin sacrificar la utilidad. ¿Cuáles son las conexiones libres de contraseña? La conexión sin contraseña es una nueva forma de verificar la identidad de un usuario sin requerir una contraseña. Hemos transformado los enlaces mágicos en un nuevo método de conexión que le permite pedir a los usuarios que usen contraseñas potentes y autenticación de dos factores sin ingresar una contraseña o código de autenticación adicional. Como el método de conexión libre de contraseña funciona cuando se conecta, se le pedirá que elija un método de autenticación. Haga clic en el botón de correo electrónico del enlace mágico para enviar el correo electrónico que contiene la contraseña sin contraseña. Ahora verá un mensaje que confirma que se ha enviado el correo electrónico.
En la casilla de correo electrónico, abra el correo electrónico del enlace mágico y el botón de conexión ahora.

Y eso es, sin ingresar una contraseña o un token con dos factores. Esto significa que, una vez que activa la autenticación sin pasos Sin embargo, esos tipos malos que intentan obligar brutalmente a su sitio tendrán una tasa de éxito del 0%.

Nota: Verifique las nociones introductorias del libro electrónico sobre la autenticación sin contraseña para obtener más información.
Consejo # 5: active el menú de solución de problemas para la resolución de problemas avanzadas que puede solicitar el IThems Security Pro Assist para activar el menú de solución de problemas. Para activar el menú de depuración en Ithemes Security Pro, deberá agregar el código a continuación al archivo wp-config.php. Define (‘itc_debug’, true); Asegúrese de agregar el código anterior “Todos estos son blogs felices”. La línea. Ahora podrá acceder al menú de solución de problemas en Ithemes Security Pro.
Puede ver la información de su sistema, cargar la configuración de configuración, ver el planificador de eventos de seguridad y qué correos electrónicos reciben del centro de notificaciones. La herramienta para solucionar el solucionador de problemas que quiero destacar en esta publicación es el planificador. Programador El programador le muestra todos los diferentes eventos programados en el iThems Security Pro. Los eventos programados son cosas como el sitio de escaneo, los cambios en el archivo de escaneo, la eliminación de bloqueos y más. Lo que estas funciones tienen en común es su necesidad de ser programado con anticipación y se basan en WP-Chron para ejecutar.

Suponga que ha llamado su atención que el cambio de cambio de archivos no se ejecuta en su sitio, incluso si ha activado el cambio de archivo en la configuración de seguridad. Puede activar el menú de solución de problemas para ver si el archivo cambia el escaneo desde su lista de eventos programados. Si no es así, esto significa que algo no ha funcionado antes de crear un evento. Puede resolver este problema haciendo clic en el botón RESET ITSEC_SCHEDUER_CRON. Detener el Chron obligará al programador a verificar la configuración de seguridad y reconstruir la lista de eventos programados. Incluyendo escaneos de cambio de archivo faltantes. La conclusión del complemento iThemes Security Pro ofrece una excelente protección, pero si se hunde en la configuración, encontrará algunas herramientas de seguridad muy interesantes. Estas herramientas pueden ayudarlo a agregar múltiples capas de seguridad a los datos de inicio de sesión y el tablero de WordPress, bloquear robots malos e incluso facilitar la seguridad de todos en su sitio web, incluido su Michael Moore

Cada semana, Michael realiza un informe de vulnerabilidad de WordPress para mantener sus sitios seguros. Como gerente de producto en IThems, nos ayuda a continuar mejorando la gama IThems. Es un marco enorme y le encanta aprender sobre todas las cosas técnicas, viejas y nuevas. Puedes encontrar a Michael sentado con su esposa e hija, leyendo o escuchando música cuando no trabaja.