Security Blog
Security Blog
Posted By Gregory

Harden WordPress met WP Cerber

Het is gemakkelijk om WordPress te beschermen door essentiële WP Cerber Security-functies in te schakelen.


English version: Hardening WordPress with WP Cerber


Alle voorgestelde instellingen worden ten zeerste aanbevolen voor de meeste websites op internet. Als u om welke reden dan ook deze functies wilt gebruiken vanaf een bepaalde computer of een IP-netwerk, kunt u deze gemakkelijk toevoegen aan de White IP Access List .

REST API uitschakelen

De plug-in beperkt de toegang tot de WordPress REST API. De mogelijkheid om onzichtbare verzoeken naar de kern van uw WordPress te verzenden, maakt hackers nog gelukkiger dan de mogelijkheid om websites te hacken met behulp van XML-RPC. Als u WordPress REST API niet gebruikt, schakel deze dan uit!

Vink REST-API toestaan voor ingelogde gebruikers aan als u het gebruik van REST API zonder beperking voor een geautoriseerde WordPress-gebruiker wilt toestaan.

De gedetailleerde instructie: beperk de toegang tot WordPress REST API

Waarom is het belangrijk om de toegang tot de WordPress REST API te beperken?

Schakel XML-RPC uit

De plug-in blokkeert de toegang tot de XML-RPC-server inclusief Pingbacks en Trackbacks. Weet je dat hackers deze verborgen ingang gebruiken om heimelijk logs te achterhalen? Heeft u een CAPTCHA of reCAPTCHA op uw aanmeldingsformulier om te beschermen tegen bots? Doe niet zo gek, moderne bots gebruiken XML-RPC en WP REST API om je WordPress brute kracht aan te doen en je weet niet eens hoe en wanneer ze dat doen omdat CAPTCHA niet werkt voor XML-RPC-aanvragen. Tegenwoordig maakt XML-RPC hackers blij en vinden ze het geweldig. Nadat u deze instelling hebt geactiveerd, retourneert uw website 404 pagina niet gevonden voor XML-RPC-aanvragen, tenzij u een uitzondering maakt voor hosts met een witte IP-toegangslijst .

Opmerking: als u de Jetpack- plug-in gebruikt, die moet communiceren met wordpress.com, schakel dan XML-RPC niet uit.

Stop gebruikersentelling

De plug-in blokkeert de toegang tot speciale auteurspagina's zoals /? Author = N en de mogelijkheid om gebruikersgegevens op te halen via REST API. Indringers en hackers kunnen eenvoudig alle aanmeldingen van alle gebruikers op uw website krijgen door nummers van 1 tot elk gewenst aantal te scannen. Dit gedrag is in ontwerp van WordPress ingeschakeld en hackers over de hele wereld houden er enorm van. Na het activeren van deze instelling zal uw website 404 Page Not Found retourneren.

Feeds uitschakelen

De plug-in blokkeert de toegang tot de RSS-, Atom- en RDF-feeds. Dat betekent niet dat hackers kunnen achterhalen wat voor soort software op uw website is geïnstalleerd en verzamelen aanvullende nuttige informatie om verdere aanvallen op uw WordPress aan te passen. Na het activeren van deze instelling zal uw website 404 Page Not Found retourneren.

Opmerking: al deze instellingen hierboven hebben geen invloed op hosts in de White IP Access List en u kunt bijvoorbeeld eenvoudig posts via XML-RPC voor IP-adres van uw thuiscomputer publiceren door deze toe te voegen aan de White IP Access List.

Als je root-toegang tot je webserver hebt, raad ik ook aan deze tips te gebruiken: Hardening WordPress met WP Cerber en NGINX

Last posts from WordPress security blog


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments