Harden WordPress met WP Cerber
Het is gemakkelijk om WordPress te beschermen door essentiële WP Cerber Security-functies in te schakelen.
English version: Hardening WordPress with WP Cerber
Alle voorgestelde instellingen worden ten zeerste aanbevolen voor de meeste websites op internet. Als u om welke reden dan ook deze functies wilt gebruiken vanaf een bepaalde computer of een IP-netwerk, kunt u deze gemakkelijk toevoegen aan de White IP Access List .
REST API uitschakelen
De plug-in beperkt de toegang tot de WordPress REST API. De mogelijkheid om onzichtbare verzoeken naar de kern van uw WordPress te verzenden, maakt hackers nog gelukkiger dan de mogelijkheid om websites te hacken met behulp van XML-RPC. Als u WordPress REST API niet gebruikt, schakel deze dan uit!
Vink REST-API toestaan voor ingelogde gebruikers aan als u het gebruik van REST API zonder beperking voor een geautoriseerde WordPress-gebruiker wilt toestaan.
De gedetailleerde instructie: beperk de toegang tot WordPress REST API
Waarom is het belangrijk om de toegang tot de WordPress REST API te beperken?
Schakel XML-RPC uit
De plug-in blokkeert de toegang tot de XML-RPC-server inclusief Pingbacks en Trackbacks. Weet je dat hackers deze verborgen ingang gebruiken om heimelijk logs te achterhalen? Heeft u een CAPTCHA of reCAPTCHA op uw aanmeldingsformulier om te beschermen tegen bots? Doe niet zo gek, moderne bots gebruiken XML-RPC en WP REST API om je WordPress brute kracht aan te doen en je weet niet eens hoe en wanneer ze dat doen omdat CAPTCHA niet werkt voor XML-RPC-aanvragen. Tegenwoordig maakt XML-RPC hackers blij en vinden ze het geweldig. Nadat u deze instelling hebt geactiveerd, retourneert uw website 404 pagina niet gevonden voor XML-RPC-aanvragen, tenzij u een uitzondering maakt voor hosts met een witte IP-toegangslijst .
Opmerking: als u de Jetpack- plug-in gebruikt, die moet communiceren met wordpress.com, schakel dan XML-RPC niet uit.
Stop gebruikersentelling
De plug-in blokkeert de toegang tot speciale auteurspagina's zoals /? Author = N en de mogelijkheid om gebruikersgegevens op te halen via REST API. Indringers en hackers kunnen eenvoudig alle aanmeldingen van alle gebruikers op uw website krijgen door nummers van 1 tot elk gewenst aantal te scannen. Dit gedrag is in ontwerp van WordPress ingeschakeld en hackers over de hele wereld houden er enorm van. Na het activeren van deze instelling zal uw website 404 Page Not Found retourneren.
Feeds uitschakelen
De plug-in blokkeert de toegang tot de RSS-, Atom- en RDF-feeds. Dat betekent niet dat hackers kunnen achterhalen wat voor soort software op uw website is geïnstalleerd en verzamelen aanvullende nuttige informatie om verdere aanvallen op uw WordPress aan te passen. Na het activeren van deze instelling zal uw website 404 Page Not Found retourneren.
Opmerking: al deze instellingen hierboven hebben geen invloed op hosts in de White IP Access List en u kunt bijvoorbeeld eenvoudig posts via XML-RPC voor IP-adres van uw thuiscomputer publiceren door deze toe te voegen aan de White IP Access List.
Als je root-toegang tot je webserver hebt, raad ik ook aan deze tips te gebruiken: Hardening WordPress met WP Cerber en NGINX
Gergory, if you use the plugin to block access to RSS feeds, would that affect a podcast feed?
Yes of course. Because any podcast feed use the same RSS feed and engine as regular posts. Do you want to block all RSS feeds except those that contain attached media files?