Security Blog
Security Blog
Posted By Gregory

WordPress verharden met WP Cerber

Het is eenvoudig om WordPress te beschermen door essentiële WP Cerber Security-functies in te schakelen.


English version: Hardening WordPress with WP Cerber


Alle voorgestelde instellingen worden sterk aanbevolen voor de meeste websites op internet. Als u om wat voor reden dan ook toegang wilt verlenen tot de functies en kenmerken die op deze pagina worden vermeld vanaf een bepaalde computer of een IP-netwerk, moet u deze toevoegen aan de Witte IP-toegangslijst .

Schakel REST-API uit

De plug-in beperkt de toegang tot de WordPress REST API. De mogelijkheid om onzichtbare verzoeken naar de kern van uw WordPress te sturen maakt hackers nog blijer dan de mogelijkheid om websites te hacken met behulp van XML-RPC. Als u de WordPress REST API niet gebruikt, schakel deze dan uit!

Vink Sta REST API toe voor ingelogde gebruikers aan als je het gebruik van REST API voor elke geautoriseerde WordPress-gebruiker zonder beperking wilt toestaan.

De gedetailleerde instructie: Beperk de toegang tot WordPress REST API

Waarom het belangrijk is om de toegang tot de WordPress REST API te beperken

Schakel XML-RPC uit

De plug-in blokkeert de toegang tot de XML-RPC-server inclusief Pingbacks en Trackbacks. Weet u dat hackers deze verborgen ingang gebruiken om heimelijk logins te achterhalen? Heeft u een CAPTCHA of reCAPTCHA op uw inlogformulier ter bescherming tegen bots? Doe niet zo gek, moderne bots gebruiken XML-RPC en WP REST API om je WordPress bruut te forceren en je weet niet eens hoe en wanneer ze dat doen, omdat CAPTCHA niet werkt voor XML-RPC-verzoeken. Tegenwoordig maakt XML-RPC hackers blij en ze zijn er dol op. Na het activeren van deze instelling retourneert uw website 404 Pagina niet gevonden voor alle XML-RPC-verzoeken, tenzij u een uitzondering maakt voor hosts met een White IP Access List .

Let op: Als u de Jetpack- plug-in gebruikt, die moet communiceren met wordpress.com, schakel XML-RPC dan niet uit.

Stop de gebruikersopsomming

De plug-in blokkeert de toegang tot speciale auteurspagina's zoals /?author=N en de mogelijkheid om gebruikersgegevens op te halen via de REST API. Indringers en hackers kunnen eenvoudig alle logins van alle gebruikers op uw website verkrijgen door de nummers van 1 tot elk gewenst nummer te scannen. Dit gedrag wordt in WordPress mogelijk gemaakt door het ontwerp en hackers over de hele wereld zijn er dol op. Na het activeren van deze instelling geeft uw website de melding 404 Pagina niet gevonden.

Schakel feeds uit

De plug-in blokkeert de toegang tot de RSS-, Atom- en RDF-feeds. Hierdoor kunnen hackers niet achterhalen wat voor soort software er op uw website is geïnstalleerd en aanvullende nuttige informatie verzamelen om verdere aanvallen op uw WordPress aan te passen. Na het activeren van deze instelling retourneert uw website 404 Pagina niet gevonden.

Opmerking: al deze bovenstaande instellingen hebben geen invloed op hosts in de White IP Access List en u kunt bijvoorbeeld eenvoudig berichten publiceren via XML-RPC voor het IP-adres van uw thuiscomputer, gewoon door deze toe te voegen aan de White IP Access List.

Als u root-toegang tot uw webserver heeft, is het raadzaam deze tips te gebruiken: WordPress verharden met WP Cerber en NGINX


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments