WordPress beveiligen met WP Cerber
U kunt WordPress eenvoudig beschermen door de essentiële beveiligingsfuncties van WP Cerber in te schakelen.
English version: Hardening WordPress with WP Cerber
Alle voorgestelde instellingen worden sterk aanbevolen voor de meeste websites op internet. Als u om welke reden dan ook toegang wilt verlenen tot de functies en mogelijkheden die op deze pagina worden vermeld vanaf een specifieke computer of een IP-netwerk, moet u deze toevoegen aan de lijst met toegestane IP-adressen .
REST API uitschakelen
Deze plugin beperkt de toegang tot de WordPress REST API. De mogelijkheid om onzichtbare verzoeken naar de kern van je WordPress-website te sturen, maakt hackers nog blijer dan de mogelijkheid om websites te hacken met behulp van XML-RPC. Als je de WordPress REST API niet gebruikt, schakel deze dan uit!
Vink 'REST API toestaan voor ingelogde gebruikers' aan als u het gebruik van de REST API door elke geautoriseerde WordPress-gebruiker zonder beperkingen wilt toestaan.
Gedetailleerde instructie: Beperk de toegang tot de WordPress REST API
Waarom het belangrijk is om de toegang tot de WordPress REST API te beperken
XML-RPC uitschakelen
Deze plugin blokkeert de toegang tot de XML-RPC-server, inclusief pingbacks en trackbacks. Wist je dat hackers deze verborgen ingang gebruiken om stiekem inloggegevens te achterhalen? Gebruik je een CAPTCHA of reCAPTCHA op je inlogformulier om je te beschermen tegen bots? Wees niet naïef, moderne bots gebruiken XML-RPC en de WP REST API om je WordPress-website te brute-forcen , en je weet niet eens hoe en wanneer ze dat doen, omdat CAPTCHA's niet werken voor XML-RPC-verzoeken. Tegenwoordig zijn hackers dol op XML-RPC. Na het activeren van deze instelling zal je website een 404-foutmelding geven voor alle XML-RPC-verzoeken, tenzij je een uitzondering maakt voor hosts met een whitelist voor IP-adressen .
Let op: als u de Jetpack- plugin gebruikt, die moet communiceren met wordpress.com, schakel dan XML-RPC niet uit.
Stop gebruikersopsomming
De plugin blokkeert de toegang tot speciale auteurspagina's zoals /?author=N en de mogelijkheid om gebruikersgegevens op te halen via de REST API. Indringers en hackers kunnen eenvoudig alle inloggegevens van alle gebruikers op uw website bemachtigen door getallen van 1 tot een willekeurig getal te scannen. Dit gedrag is ingebouwd in WordPress en hackers over de hele wereld maken er graag gebruik van. Na het activeren van deze instelling zal uw website een 404-pagina niet gevonden-foutmelding geven.
Schakel feeds uit
De plugin blokkeert de toegang tot RSS-, Atom- en RDF-feeds. Hierdoor kunnen hackers niet achterhalen welke software op uw website is geïnstalleerd en aanvullende informatie verzamelen om verdere aanvallen op uw WordPress-website uit te voeren. Na het activeren van deze instelling zal uw website een 404-foutmelding (pagina niet gevonden) weergeven.
Let op: bovenstaande instellingen hebben geen invloed op hosts in de lijst met toegestane IP-adressen. U kunt bijvoorbeeld eenvoudig het publiceren van berichten via XML-RPC toestaan voor het IP-adres van uw thuiscomputer door dit adres toe te voegen aan de lijst met toegestane IP-adressen.
Als je root-toegang hebt tot je webserver, is het aan te raden deze tips te gebruiken: WordPress beveiligen met WP Cerber en NGINX
WP Cerber Security 1.4
Aanbevolen beveiligingsinstellingen voor WP Cerber
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
Gergory, if you use the plugin to block access to RSS feeds, would that affect a podcast feed?
Yes of course. Because any podcast feed use the same RSS feed and engine as regular posts. Do you want to block all RSS feeds except those that contain attached media files?