Security Blog
Security Blog
Posted By Gregory

Härten WordPress mit WP Cerber

Es ist einfach, WordPress zu schützen, indem wichtige Funktionen von WP Cerber Security aktiviert werden.


English version: Hardening WordPress with WP Cerber


Alle vorgeschlagenen Einstellungen werden für die meisten Websites im Internet dringend empfohlen. Wenn Sie aus irgendeinem Grund auf diese Funktionen von einem bestimmten Computer oder einem IP-Netzwerk aus zugreifen möchten, können Sie sie problemlos der White IP Access List hinzufügen.

Deaktivieren Sie die REST-API

Das Plugin beschränkt den Zugriff auf die WordPress-REST-API. Die Möglichkeit, unsichtbare Anfragen an den Kern von WordPress zu senden, macht Hacker noch glücklicher als die Möglichkeit, Websites mithilfe von XML-RPC zu hacken. Wenn Sie die WordPress-REST-API nicht verwenden, deaktivieren Sie sie!

Aktivieren Sie das Kontrollkästchen REST-API für angemeldete Benutzer zulassen, wenn Sie die Verwendung der REST-API für autorisierte WordPress-Benutzer ohne Einschränkungen zulassen möchten.

Die detaillierte Anweisung: Beschränken Sie den Zugriff auf die WordPress-REST-API

Warum ist es wichtig, den Zugriff auf die WordPress-REST-API einzuschränken?

Deaktivieren Sie XML-RPC

Das Plugin blockiert den Zugriff auf den XML-RPC-Server einschließlich Pingbacks und Trackbacks. Wissen Sie, dass Hacker diesen versteckten Eingang nutzen, um Logins heimlich herauszufinden? Haben Sie ein CAPTCHA oder ein reCAPTCHA in Ihrem Anmeldeformular, um sich vor Bots zu schützen? Seien Sie nicht dumm, moderne Bots verwenden die XML-RPC- und WP-REST-API, um Ihr WordPress brutal zu erzwingen, und Sie wissen nicht einmal, wie und wann sie das tun, da kein CAPTCHA für XML-RPC-Anfragen funktioniert. Heutzutage macht XML-RPC Hacker glücklich und sie lieben es sehr. Nach der Aktivierung dieser Einstellung wird Ihre Website für XML-RPC-Anforderungen zurückgegeben, es sei denn, Sie machen eine Ausnahme für Hosts mit White IP Access List .

Hinweis: Wenn Sie das Jetpack- Plugin verwenden, das mit wordpress.com kommunizieren muss, deaktivieren Sie XML-RPC nicht.

Beenden Sie die Benutzeraufzählung

Das Plugin blockiert den Zugriff auf spezielle Autorenseiten wie /? Author = N und die Möglichkeit, Benutzerdaten über die REST-API abzurufen. Eindringlinge und Hacker können auf einfache Weise alle Anmeldungen aller Benutzer auf Ihrer Website abrufen, indem Sie die Zahlen von 1 bis zu einer beliebigen Zahl scannen. Dieses Verhalten ist in WordPress per Design aktiviert und Hacker auf der ganzen Welt lieben es sehr. Nach der Aktivierung dieser Einstellung wird Ihre Website die 404-Seite nicht gefunden anzeigen.

Feeds deaktivieren

Das Plugin blockiert den Zugriff auf die RSS-, Atom- und RDF-Feeds. Dadurch können Hacker nicht herausfinden, welche Art von Software auf Ihrer Website installiert ist, und zusätzliche hilfreiche Informationen sammeln, um weitere Angriffe an WordPress anzupassen. Nach der Aktivierung dieser Einstellung wird Ihre Website die 404-Seite nicht gefunden anzeigen.

Hinweis: Alle diese Einstellungen wirken sich nicht auf Hosts in der White-IP-Zugriffsliste aus. Sie können beispielsweise einfach die Veröffentlichung von Posts über XML-RPC für die IP-Adresse Ihres Heimcomputers zulassen, indem Sie sie einfach der White-IP-Access-Liste hinzufügen.

Wenn Sie über einen Root-Zugriff auf Ihren Webserver verfügen, sollten Sie auch die folgenden Tipps verwenden: Härten von WordPress mit WP Cerber und NGINX


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments