Dans le deuxième épisode du coin développement WordPress, nous avons discuté avec le développeur WordPress Timothy Jacobs des nouvelles fonctionnalités de périphériques de confiance de notre plug – in de sécurité WordPress, Themes Security pro. Au revoir, tutti. Bienvenue au coin développeur de cette version. Aujourd’hui, Timothy, le développeur du plug – in ithemes Security pro, s’est joint à nous pour discuter des nouvelles fonctionnalités des appareils de confiance. Timothy, pouvez – vous nous dire comment vous avez pensé à un appareil fiable? Timothy: le concept d’un appareil de confiance découle d’une autre demande de fonctionnalité populaire qui consiste à se souvenir des appareils actuellement utilisés pour l’authentification à deux facteurs. Une des choses les plus gênantes à propos de la double authentification est que chaque fois que vous vous connectez, vous devez entrer un code d’authentification. Vous devez le faire encore et encore, et il peut prendre un certain temps pour utiliser des choses comme le courriel. Par conséquent, lorsque nous avons développé des périphériques de stockage pour l’authentification à deux facteurs, nous avons légèrement élargi la portée pour inclure des périphériques fiables dans leur ensemble.
Les appareils de confiance vous permettent de gérer les appareils précédemment connectés et vous alertent si vous n’êtes pas connecté à partir de cet appareil. Nous utilisons cet appareil fiable pour aider à mémoriser les deux facteurs de l’appareil. Ça a l’air bien. Pouvez – vous nous dire pourquoi cette nouvelle fonctionnalité est utilisée? Timothy: donc un appareil fiable est bon pour deux types différents d’utilisateurs. L’un des utilisateurs qui peuvent vraiment en profiter est ceux qui ne peuvent pas ou ne veulent pas utiliser l’authentification à deux facteurs. Nous le recommandons fortement car il améliore considérablement la sécurité de votre compte, mais certains utilisateurs ne le font pas.
Qualité de l’équipement fiable? Les appareils de confiance fonctionnent de deux façons. L’une est notifiée via la barre d’outils de la barre d’administration WordPress, l’autre par e – mail. L’e – mail est optionnel et n’est pas activé par défaut, mais nous vous recommandons fortement de l’activer, et le rôle de l’e – mail est que chaque fois qu’un nouvel appareil se connecte, l’e – mail est envoyé immédiatement, donc nous vous recommandons de rester actif et de suivre de près l’e – mail dans votre boîte de réception pour vous assurer que chaque fois que vous le voyez, Action immédiate.
Quels sont les avantages de l’API Max mind? Timothy: par conséquent, l’une des façons dont la sécurité des themes met en œuvre un appareil fiable est de voir l’adresse IP de l’utilisateur. L’une des façons de le faire est que nous pensons que c’est un appareil peu fiable seulement lorsque l’adresse IP change, mais nous ne pensons pas qu’il soit particulièrement idéal, en particulier pour les utilisateurs mobiles ou les personnes qui sont à l’extérieur. Ils passent d’un point Wi – Fi différent à un autre, et leurs adresses IP peuvent changer, Une des choses que nous faisons est donc d’utiliser quelque chose appelé géolocalisation pour le lier à une zone spécifique ou à des utilisateurs à des kilomètres d’une zone spécifique, et nous l’utilisons avec d’autres facteurs, comme les navigateurs qu’ils utilisent. Themes Security utilise un grand nombre d’API de géolocalisation gratuites qui ont certaines limites d’API, mais qui ne sont peut – être pas les plus précises ou à jour et qui ne prennent pas effet immédiatement. Nous recommandons aux utilisateurs d’utiliser l’une des API maxmind. Par conséquent, nous avons l’API de base de données maxmind que la plupart des utilisateurs peuvent vouloir utiliser immédiatement. C’est facile à mettre en place. Il suffit de cliquer sur le bouton et de le télécharger.
Prêt, l’avantage est que vous n’avez pas besoin d’envoyer une adresse IP à un autre serveur, il ne prend pas de temps et est assez précis. Par conséquent, pour ceux qui sont plus préoccupés par la vie privée, nous vous recommandons fortement d’activer l’option maxmind dB en cliquant simplement sur le bouton télécharger. Pour les utilisateurs qui veulent la plus grande précision, nous recommandons l’API maxmind.
Maxmind offre un certain nombre d’api que nous avons besoin d’utiliser, qui sont connues sous le nom d’emplacements de classe ville et sont très bon marché et pratiques, en particulier pour les cas d’utilisation que nous utilisons dans la sécurité Themes, si vous l’activez, vous vous assurerez d’avoir les dernières informations exactes d’adresse IP afin que vous puissiez garder l’emplacement géographique de l’utilisateur D’une manière correcte et précise. Super. On dit toujours ça de Timothy. La raison pour laquelle nous l’aimons est que tout a été soigneusement pensé. Toujours impressionnant.
Alors, comment la capacité de limiter les sessions non reconnues améliorera – t – elle l’exactitude? C’est une autre bonne option que nous recommandons. Par conséquent, il est inquiétant que lorsqu’un attaquant accède à votre compte, il puisse l’utiliser pour accéder à votre serveur et installer du Code malveillant. Ainsi, s’ils ont accès à un compte Administrateur sur WordPress, ils peuvent installer un plug – in malveillant, ils peuvent éditer des fichiers et créer un nouveau compte Administrateur afin que vous puissiez revenir à une action similaire plus tard. Le but de ces fonctions de restriction est que chaque fois qu’un utilisateur se connecte à partir d’un appareil non reconnu, il limite le nombre de ces fonctions au niveau de l’Administrateur afin que rien ne soit installé. Ils ne peuvent pas traiter ces fichiers. – Non.
Ils ne peuvent même pas gérer leurs problèmes de sécurité. En outre Nous les Empêchons de changer l’adresse e – mail ou le mot de passe des utilisateurs de WordPress, ce qui est bon pour les utilisateurs au niveau de l’administrateur ainsi que pour les abonnés ou les clients du commerce électronique, afin que leur compte ne soit plus menacé et qu’ils ne puissent pas se connecter. Sélection valide.
Quand j’ai téléchargé cette fonctionnalité pour la première fois, j’ai été amoureux à première vue. Très, très bien. Les exigences fonctionnelles « Rappelez – vous mon appareil » sont encore plus impressionnantes pour moi. J’aime limiter la capacité des appareils non identifiés et réduire les chances d’y accéder et de jeter des ordures sur votre site. C’est vrai. C’est l’une des raisons pour lesquelles nous veillons à ce que vous receviez les notifications requises afin que vous ne soyez pas pris au piège. Si ça dit que tu n’es pas un appareil fiable, que tu t’es connecté à ton site Web, tu diras wow, ça a l’air différent, et je ne peux pas faire toutes ces choses différentes. Consultez votre e – mail vous avez peut – être reçu un e – mail disant Hey, nous reconnaissons et ne reconnaissons pas les logins, il suffit de cliquer sur ce bouton et tous vos logins retourneront à la normale.
Très bien. J’adore ça. Maintenant, pourquoi ne pas suggérer aux utilisateurs privilégiés d’activer le paramètre remember me? Timothy: Rappelez – vous que mon appareil est un réglage d’authentification à deux facteurs qui vous permet de vous souvenir de l’appareil pendant 30 jours. Bien que nous l’implémentons aussi en toute sécurité que possible, un cookie est défini chaque fois qu’il est perdu, ce qui est une opération longue et une valeur générée au hasard. Il existe encore des différences lors de l’utilisation de l’authentification à deux facteurs. Vous devez ouvrir votre application mobile ou votre adresse e – mail et fournir les jetons générés