WordPress härten mit WP Cerber

English version: Hardening WordPress with WP Cerber

Alle vorgeschlagenen Einstellungen werden für die meisten Websites im Internet dringend empfohlen. Wenn Sie aus irgendeinem Grund von einem bestimmten Computer oder einem IP-Netzwerk aus Zugriff auf die auf dieser Seite aufgeführten Funktionen und Features gewähren müssen, müssen Sie sie zur White IP Access List hinzufügen.

Deaktivieren der REST-API

Das Plugin beschränkt den Zugriff auf die WordPress REST API. Die Möglichkeit, unsichtbare Anfragen an den Kern Ihres WordPress zu senden, ist für Hacker noch attraktiver als die Möglichkeit, Websites mit XML-RPC zu hacken. Wenn Sie die WordPress REST API nicht verwenden, deaktivieren Sie sie!

Aktivieren Sie „REST-API für angemeldete Benutzer zulassen“, wenn Sie die uneingeschränkte Nutzung der REST-API für alle autorisierten WordPress-Benutzer zulassen möchten.

Die ausführliche Anleitung: Zugriff auf WordPress REST API einschränken

Warum es wichtig ist, den Zugriff auf die WordPress REST API einzuschränken

XML-RPC deaktivieren

Das Plugin blockiert den Zugriff auf den XML-RPC-Server, einschließlich Pingbacks und Trackbacks. Wussten Sie, dass Hacker diesen versteckten Zugang nutzen, um heimlich Logins herauszufinden? Haben Sie ein CAPTCHA oder reCAPTCHA auf Ihrem Login-Formular, um sich vor Bots zu schützen? Seien Sie nicht albern, moderne Bots nutzen XML-RPC und WP REST API, um Ihr WordPress mit roher Gewalt zu knacken, und Sie wissen nicht einmal, wie und wann sie das tun, weil kein CAPTCHA für XML-RPC-Anfragen funktioniert. Heutzutage macht XML-RPC Hackern Freude und sie lieben es sehr. Nachdem Sie diese Einstellung aktiviert haben, gibt Ihre Website für alle XML-RPC-Anfragen die Meldung „404 Seite nicht gefunden“ zurück, sofern Sie keine Ausnahme für Hosts mit weißer IP-Zugriffsliste machen.

Hinweis: Wenn Sie das Jetpack -Plugin verwenden, das mit wordpress.com kommunizieren muss, deaktivieren Sie XML-RPC nicht.

Benutzerenumeration beenden

Das Plugin blockiert den Zugriff auf spezielle Autorenseiten wie /?author=N und die Möglichkeit, Benutzerdaten über die REST-API abzurufen. Eindringlinge und Hacker können ganz einfach alle Logins aller Benutzer auf Ihrer Website abrufen, indem sie einfach Zahlen von 1 bis zu einer beliebigen Zahl scannen. Dieses Verhalten ist in WordPress von vornherein aktiviert und Hacker auf der ganzen Welt lieben es sehr. Nach der Aktivierung dieser Einstellung gibt Ihre Website die Meldung „404 Seite nicht gefunden“ zurück.

Feeds deaktivieren

Das Plugin blockiert den Zugriff auf RSS-, Atom- und RDF-Feeds. Dadurch können Hacker nicht herausfinden, welche Art von Software auf Ihrer Website installiert ist, und zusätzliche hilfreiche Informationen sammeln, um weitere Angriffe auf Ihr WordPress vorzubereiten. Nach der Aktivierung dieser Einstellung gibt Ihre Website die Meldung „404 Seite nicht gefunden“ zurück.

Hinweis: Die oben genannten Einstellungen wirken sich nicht auf Hosts in der White IP Access List aus. Sie können beispielsweise ganz einfach das Veröffentlichen von Posts über XML-RPC für die IP-Adresse Ihres Heimcomputers zulassen, indem Sie ihn einfach zur White IP Access List hinzufügen.

Wenn Sie Root-Zugriff auf Ihren Webserver haben, empfiehlt es sich, diese Tipps zu befolgen: WordPress mit WP Cerber und NGINX härten