WPCerberでWordPressを強化

English version: Hardening WordPress with WP Cerber

インターネット上のほとんどのWebサイトでは、推奨されるすべての設定を強くお勧めします。何らかの理由で、特定のコンピューターまたはIPネットワークからこのページにリストされている機能へのアクセスを提供する必要がある場合は、それらをホワイトIPアクセスリストに追加する必要があります。

RESTAPIを無効にする

プラグインは、WordPress RESTAPIへのアクセスを制限します。目に見えないリクエストをWordPressのコアに送信する機能は、XML-RPCを使用してWebサイトをハッキングする機能よりもハッカーを幸せにします。 WordPress REST APIを使用しない場合は、無効にしてください。

許可されたWordPressユーザーに制限なしでRESTAPIの使用を許可する場合は、[ログインユーザーにRESTAPIを許可する]をオンにします。

詳細な手順： WordPress RESTAPIへのアクセスを制限する

WordPress RESTAPIへのアクセスを制限することが重要な理由

XML-RPCを無効にする

プラグインは、ピンバックやトラックバックを含むXML-RPCサーバーへのアクセスをブロックします。ハッカーがこの隠された入り口を使用して、ログイン情報を密かに見つけていることをご存知ですか？ログインフォームにボットから保護するためのCAPTCHAまたはreCAPTCHAがありますか？ばかげてはいけません。最近のボットはXML-RPCとWPREST APIを使用してWordPressをブルートフォースしますが、CAPTCHAはXML-RPCリクエストに対して機能しないため、いつどのように実行するかさえわかりません。今日、XML-RPCはハッカーを幸せにし、彼らはそれをとても愛しています。この設定をアクティブにすると、ホワイトIPアクセスリストを持つホストの例外を作成しない限り、WebサイトはXML-RPC要求に対して404ページが見つかりませんを返します。

注： wordpress.comと通信する必要があるJetpackプラグインを使用する場合は、XML-RPCを無効にしないでください。

ユーザー列挙を停止します

プラグインは、/？author = Nなどの特別な作成者ページへのアクセスと、RESTAPIを介してユーザーデータを取得する機能をブロックします。侵入者やハッカーは、1から任意の番号までの番号をスキャンするだけで、Webサイト上のすべてのユーザーのすべてのログインを簡単に取得できます。この動作はWordPressで設計により有効にされており、世界中のハッカーはそれを非常に気に入っています。この設定を有効にすると、Webサイトは404ページが見つかりませんを返します。

フィードを無効にする

プラグインは、RSS、Atom、およびRDFフィードへのアクセスをブロックします。これにより、ハッカーはWebサイトにインストールされているソフトウェアの種類を確認し、WordPressへのさらなる攻撃を調整するための追加の役立つ情報を収集することはできません。この設定を有効にすると、Webサイトは404ページが見つかりませんを返します。

注：上記のすべての設定は、ホワイトIPアクセスリストのホストには影響しません。たとえば、ホワイトIPアクセスリストに追加するだけで、自宅のコンピューターのIPアドレスのXML-RPCを介して投稿を公開することを簡単に許可できます。

Webサーバーへのルートアクセス権がある場合は、次のヒントを使用することをお勧めします： WPCerberとNGINXを使用したWordPressの強化