WordPress beveiligen met WP Cerber
U kunt WordPress eenvoudig beschermen door de essentiële beveiligingsfuncties van WP Cerber in te schakelen.
English version: Hardening WordPress with WP Cerber
Alle voorgestelde instellingen worden sterk aanbevolen voor de meeste websites op internet. Als u om een of andere reden toegang tot de functies en kenmerken op deze pagina vanaf een bepaalde computer of een IP-netwerk nodig hebt, moet u deze toevoegen aan de White IP Access List .
REST API uitschakelen
De plugin beperkt de toegang tot de WordPress REST API. De mogelijkheid om onzichtbare verzoeken naar de kern van je WordPress te sturen maakt hackers nog blijer dan de mogelijkheid om websites te hacken met XML-RPC. Als je WordPress REST API niet gebruikt, schakel het dan uit!
Selecteer REST API toestaan voor ingelogde gebruikers als u het gebruik van REST API wilt toestaan voor alle geautoriseerde WordPress-gebruikers zonder beperkingen.
De gedetailleerde instructie: Beperk de toegang tot WordPress REST API
Waarom het belangrijk is om de toegang tot de WordPress REST API te beperken
XML-RPC uitschakelen
De plugin blokkeert toegang tot de XML-RPC-server, inclusief Pingbacks en Trackbacks. Wist je dat hackers deze verborgen ingang gebruiken om heimelijk logins te achterhalen? Heb je een CAPTCHA of reCAPTCHA op je loginformulier om je te beschermen tegen bots? Wees niet gek, moderne bots gebruiken XML-RPC en WP REST API om je WordPress te brute-forcen en je weet niet eens hoe en wanneer ze dat doen, omdat geen enkele CAPTCHA werkt voor XML-RPC-verzoeken. Tegenwoordig maakt XML-RPC hackers blij en ze zijn er dol op. Nadat je deze instelling hebt geactiveerd, retourneert je website 404 Page Not Found voor alle XML-RPC-verzoeken, tenzij je een uitzondering maakt voor hosts met White IP Access List .
Let op: Als u de Jetpack -plug-in gebruikt, die moet communiceren met wordpress.com, mag u XML-RPC niet uitschakelen.
Stop gebruikersenumeratie
De plugin blokkeert toegang tot speciale auteurspagina's zoals /?author=N en de mogelijkheid om gebruikersgegevens op te halen via REST API. Indringers en hackers kunnen eenvoudig alle inloggegevens van alle gebruikers op uw website verkrijgen door alleen de nummers van 1 tot elk gewenst nummer te scannen. Dit gedrag is in WordPress standaard ingeschakeld en hackers over de hele wereld zijn er dol op. Nadat u deze instelling hebt geactiveerd, retourneert uw website 404 Page Not Found.
Feeds uitschakelen
De plugin blokkeert toegang tot de RSS-, Atom- en RDF-feeds. Hierdoor kunnen hackers niet achterhalen wat voor software er op uw website is geïnstalleerd en aanvullende nuttige informatie verzamelen om verdere aanvallen op uw WordPress uit te voeren. Nadat u deze instelling hebt geactiveerd, retourneert uw website 404 Page Not Found.
Let op: de bovenstaande instellingen hebben geen invloed op hosts in de White IP Access List. U kunt bijvoorbeeld eenvoudig toestaan dat berichten via XML-RPC worden gepubliceerd voor het IP-adres van uw thuiscomputer door deze toe te voegen aan de White IP Access List.
Als u root-toegang tot uw webserver hebt, wordt het aanbevolen om deze tips te gebruiken: WordPress beveiligen met WP Cerber en NGINX
Gergory, if you use the plugin to block access to RSS feeds, would that affect a podcast feed?
Yes of course. Because any podcast feed use the same RSS feed and engine as regular posts. Do you want to block all RSS feeds except those that contain attached media files?