WordPress mit WP Cerber härten

English version: Hardening WordPress with WP Cerber

Alle vorgeschlagenen Einstellungen werden für die meisten Websites im Internet dringend empfohlen. Wenn Sie aus irgendeinem Grund von einem bestimmten Computer oder einem IP-Netzwerk aus Zugriff auf die auf dieser Seite aufgeführten Funktionen und Features benötigen, müssen Sie diese zur White IP Access List hinzufügen.

Deaktivieren Sie die REST-API

Das Plugin schränkt den Zugriff auf die WordPress REST API ein. Die Möglichkeit, unsichtbare Anfragen an den Kern Ihres WordPress zu senden, macht Hacker noch glücklicher als die Möglichkeit, Websites mithilfe von XML-RPC zu hacken. Wenn Sie die WordPress-REST-API nicht verwenden, deaktivieren Sie sie!

Aktivieren Sie „REST API für angemeldete Benutzer zulassen“, wenn Sie die Verwendung der REST API für jeden autorisierten WordPress-Benutzer ohne Einschränkung zulassen möchten.

Die detaillierte Anleitung: Beschränken Sie den Zugriff auf die WordPress REST API

Warum es wichtig ist, den Zugriff auf die WordPress REST API einzuschränken

Deaktivieren Sie XML-RPC

Das Plugin blockiert den Zugriff auf den XML-RPC-Server einschließlich Pingbacks und Trackbacks. Wussten Sie, dass Hacker diesen versteckten Eingang nutzen, um heimlich Logins herauszufinden? Haben Sie in Ihrem Anmeldeformular ein CAPTCHA oder reCAPTCHA zum Schutz vor Bots? Seien Sie nicht albern, moderne Bots verwenden XML-RPC und die WP-REST-API, um Ihr WordPress brutal zu erzwingen , und Sie wissen nicht einmal, wie und wann sie das tun, weil kein CAPTCHA für XML-RPC-Anfragen funktioniert. Heutzutage macht XML-RPC Hackern Freude und sie lieben es sehr. Nach der Aktivierung dieser Einstellung wird Ihre Website für alle XML-RPC-Anfragen die Fehlermeldung 404 Page Not Found zurückgeben, es sei denn, Sie machen eine Ausnahme für Hosts mit White IP Access List .

Hinweis: Wenn Sie das Jetpack- Plugin verwenden, das mit wordpress.com kommunizieren muss, deaktivieren Sie XML-RPC nicht.

Stoppen Sie die Benutzeraufzählung

Das Plugin blockiert den Zugriff auf spezielle Autorenseiten wie /?author=N und die Möglichkeit, Benutzerdaten über die REST-API abzurufen. Eindringlinge und Hacker können problemlos an alle Logins aller Benutzer Ihrer Website gelangen, indem sie einfach Zahlen von 1 bis zu einer beliebigen Zahl scannen. Dieses Verhalten ist in WordPress standardmäßig aktiviert und Hacker auf der ganzen Welt lieben es sehr. Nach der Aktivierung dieser Einstellung meldet Ihre Website die Fehlermeldung 404 „Seite nicht gefunden“.

Feeds deaktivieren

Das Plugin blockiert den Zugriff auf die RSS-, Atom- und RDF-Feeds. Dadurch können Hacker nicht herausfinden, welche Art von Software auf Ihrer Website installiert ist, und zusätzliche hilfreiche Informationen sammeln, um weitere Angriffe auf Ihr WordPress abzuwehren. Nach der Aktivierung dieser Einstellung meldet Ihre Website die Meldung 404 „Seite nicht gefunden“.

Hinweis: Alle oben genannten Einstellungen wirken sich nicht auf Hosts in der White IP Access List aus und Sie können beispielsweise ganz einfach die Veröffentlichung von Beiträgen über XML-RPC für die IP-Adresse Ihres Heimcomputers zulassen, indem Sie ihn einfach zur White IP Access List hinzufügen.

Wenn Sie Root-Zugriff auf Ihren Webserver haben, wird die Verwendung dieser Tipps empfohlen: WordPress mit WP Cerber und NGINX härten