Security Blog
Security Blog
Posted By Gregory

WordPress verharden met WP Cerber

Het is gemakkelijk om WordPress te beschermen door essentiële WP Cerber-beveiligingsfuncties in te schakelen.


English version: Hardening WordPress with WP Cerber


Alle voorgestelde instellingen worden ten zeerste aanbevolen voor de meeste websites op internet. Als u om wat voor reden dan ook toegang wilt verlenen tot de functies en kenmerken die op deze pagina worden vermeld vanaf een bepaalde computer of een IP-netwerk, moet u deze toevoegen aan de White IP Access List .

REST-API uitschakelen

De plug-in beperkt de toegang tot de WordPress REST API. De mogelijkheid om onzichtbare verzoeken naar de kern van uw WordPress te sturen, maakt hackers nog gelukkiger dan de mogelijkheid om websites te hacken met behulp van XML-RPC. Als je de WordPress REST API niet gebruikt, schakel deze dan uit!

Vink REST API toestaan voor ingelogde gebruikers aan als u het gebruik van REST API onbeperkt wilt toestaan voor elke geautoriseerde WordPress-gebruiker.

De gedetailleerde instructie: Beperk de toegang tot WordPress REST API

Waarom het belangrijk is om de toegang tot de WordPress REST API te beperken

Schakel XML-RPC uit

De plug-in blokkeert de toegang tot de XML-RPC-server inclusief Pingbacks en Trackbacks. Weet u dat hackers deze verborgen ingang gebruiken om heimelijk logins te achterhalen? Heb je een CAPTCHA of reCAPTCHA op je inlogformulier ter bescherming tegen bots? Doe niet zo gek, moderne bots gebruiken XML-RPC en WP REST API om je WordPress bruut te forceren en je weet niet eens hoe en wanneer ze dat doen, omdat CAPTCHA niet werkt voor XML-RPC-verzoeken. Tegenwoordig maakt XML-RPC hackers blij en ze zijn er dol op. Na het activeren van deze instelling retourneert uw website 404 Page Not Found voor alle XML-RPC-verzoeken, tenzij u een uitzondering maakt voor hosts met White IP Access List .

Opmerking: als u de Jetpack -plug-in gebruikt, die moet communiceren met wordpress.com, schakel dan XML-RPC niet uit.

Stop gebruikersopsomming

De plug-in blokkeert de toegang tot speciale auteurspagina's zoals /?author=N en de mogelijkheid om gebruikersgegevens op te halen via REST API. Indringers en hackers kunnen eenvoudig alle logins van alle gebruikers op uw website achterhalen door getallen van 1 tot elk gewenst getal te scannen. Dit gedrag is standaard ingeschakeld in WordPress en hackers over de hele wereld zijn er dol op. Na het activeren van deze instelling retourneert uw website 404 Pagina niet gevonden.

Schakel feeds uit

De plug-in blokkeert de toegang tot de RSS-, Atom- en RDF-feeds. Hierdoor kunnen hackers niet achterhalen wat voor soort software op uw website is geïnstalleerd en aanvullende nuttige informatie verzamelen om verdere aanvallen op uw WordPress aan te passen. Na het activeren van deze instelling retourneert uw website 404 Pagina niet gevonden.

Opmerking: Al deze instellingen hierboven hebben geen invloed op hosts in de White IP Access List en u kunt bijvoorbeeld gemakkelijk berichten publiceren via XML-RPC voor het IP-adres van uw thuiscomputer door deze toe te voegen aan de White IP Access List.

Als je root-toegang tot je webserver hebt, is het raadzaam om deze tips te gebruiken: WordPress versterken met WP Cerber en NGINX


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments

Leave a Reply to Jim Saporito
Cancel Reply