Posted By Gregory

Pierwsze kroki z WP Cerber Security

Nie martw się. Bezpieczeństwo WordPressa nie jest już fizyką jądrową.


English version: Getting Started with WP Cerber Security


Po zainstalowaniu i aktywowaniu wtyczki automatycznie ładuje ona zestaw niezbędnych ustawień. Umożliwiają one WP Cerber skuteczną ochronę Twojego WordPressa. Jednak dla optymalnego wykorzystania WP Cerber i zapewnienia najwyższego poziomu ochrony Twojej witryny, konieczna jest przemyślana konfiguracja wtyczki.

1. Upewnij się, że Cerber prawidłowo wykrywa adresy IP

  1. Otwórz stronę Jaki jest mój adres IP w swojej przeglądarce
  2. Otwórz drugą kartę (okno) przeglądarki i przejdź do karty Narzędzia / Diagnostyka instalacji WP Cerber na swojej stronie internetowej.
  3. Znajdź wiersz „Twój adres IP został wykryty jako” w sekcji „Informacje o systemie”.
  4. Porównaj adres IP na stronie Jaki jest mój adres IP z adresem IP wyświetlanym w wierszu „Twój adres IP został wykryty jako”.
  5. Powinieneś zobaczyć dwa identyczne adresy IP. Jeśli widzisz dwa różne adresy IP, musisz sprawdzić My site is behind a reverse proxy w Main Settings wtyczki i powtórzyć powyższe kroki.
  6. Jeśli nadal widzisz dwa różne adresy IP, a witryna nie znajduje się za serwerem proxy, wykonaj następujące czynności: Rozwiązywanie problemu z nieprawidłowym wykrywaniem adresu IP
  7. Jeszcze jeden krok, jeśli Twój WordPress jest w Cloudflare

2. Włącz ładowanie wtyczki w trybie standardowym

Przejdź do Ustawień głównych i ustaw opcję Załaduj silnik zabezpieczeń na Tryb standardowy .

3. Upewnij się, że otrzymujesz powiadomienia e-mail

Po aktywacji wtyczki wysyła ona powitalną wiadomość e-mail na adres e-mail administratora witryny. Jeśli nie otrzymałeś powitalnej wiadomości e-mail, upewnij się, że adres e-mail widoczny na karcie Powiadomienia jest poprawny i wiadomości e-mail z wtyczki nie trafiają do folderu ze spamem. Jeśli nie otrzymałeś powitalnej wiadomości e-mail, najprawdopodobniej nie otrzymasz innych ważnych powiadomień. Możesz wprowadzić alternatywne adresy e-mail w polu tekstowym Adres e-mail . Aby przetestować dostarczanie, kliknij dowolny link Kliknij, aby wysłać test .

Przeczytaj więcej: Jak skonfigurować powiadomienia mobilne na smartfonie

4. Włącz niestandardową stronę logowania i rejestracji

Aby ukryć domyślną stronę logowania WordPress wp-login.php przed atakami automatycznymi i rejestracjami spamowymi, określ własny niestandardowy adres URL logowania (strona logowania) i wyłącz wp-login.php. Uwaga: Jeśli używasz wtyczki buforującej (takiej jak W3 Total Cache lub WP Super Cache), musisz dodać swój niestandardowy adres URL logowania do listy stron, których nie należy buforować.

Jak skonfigurować niestandardowy adres URL logowania dla WordPressa

5. Dodaj swój adres IP domowy lub biurowy do białej listy dostępu IP

Jeśli pracujesz w domu lub biurze na komputerze ze statycznym adresem IP, rozsądnym rozwiązaniem jest dodanie tego adresu IP (lub całej sieci firmowej) do Białej Listy Dostępu IP. Możesz osiągnąć dwa cele. Zapobiega to przypadkowemu zablokowaniu dostępu do witryny i umożliwia ograniczenie dostępu do XML-RPC, REST API i innych ważnych części WordPressa.

Przeczytaj więcej: Jak korzystać z list dostępu dla WordPressa

6. Włącz ochronę przed spamem

Silnik antyspamowy Cerbera jest kompatybilny z większością kreatorów formularzy WordPress i jest w stanie chronić praktycznie każdy formularz. Na stronie administratora Antyspam włącz wszystkie niezbędne funkcje w sekcji Silnik antyspamowy Cerbera . Po włączeniu antyspamu upewnij się, że formularze na Twojej stronie działają normalnie. Jeśli niektóre funkcje na stronie przestały działać, włącz Użyj mniej restrykcyjnych zasad (zezwól na AJAX) .

Na koniec pozwól wtyczce posprzątać bałagan ze spamem. Wybierz opcję całkowitego odrzucenia spamu lub zaznaczania go tylko jako spam . Włącz automatyczne przenoszenie spamu do kosza.

7. Ogranicz dostęp do REST API i XML-RPC

  1. Przejdź do strony administracyjnej Hardening .
  2. Zaznacz Wyłącz REST API . Określ wyjątki przestrzeni nazw dla REST API, jeśli jest to potrzebne. Na przykład, jeśli używasz Contact Form 7, przestrzeń nazw to contact-form-7 , a dla Jetpack jest to jetpack .
  3. Zaznacz opcję Zezwalaj na korzystanie z interfejsu API REST zalogowanym użytkownikom, jeśli chcesz zezwolić na korzystanie z interfejsu API REST wszystkim autoryzowanym użytkownikom WordPressa bez ograniczeń.
  4. Zaznacz Disable XML-RPC, jeśli nie używasz wtyczki Jetpack. Jeśli używasz XML-RPC tylko z określonych hostów, dodaj ich adresy IP do White IP Access List .

Przeczytaj więcej: Ogranicz dostęp do interfejsu API REST WordPress

8. Określ listę zabronionych nazw użytkowników

Przejdź do strony administracyjnej użytkowników wtyczki i jeśli lista jest nadal pusta, zaleca się umieszczenie na niej następujących nazw użytkowników: admin, administrator, manager, editor, user, demo, test .

Dowiedz się więcej o zabronionych nazwach użytkowników

9. Włącz uwierzytelnianie dwuskładnikowe

Aby chronić konta użytkowników i zapobiec przejęciu konta, włącz uwierzytelnianie dwuskładnikowe. Zapewnia ono dodatkową warstwę bezpieczeństwa, wymagającą drugiego czynnika identyfikacji wykraczającego poza samą nazwę użytkownika i hasło WordPress.

Przeczytaj więcej: Dwuskładnikowe uwierzytelnianie dla WordPressa

10. Włącz automatyczne aktualizacje dla WP Cerber

Regularne aktualizacje WP Cerber są kluczowe dla silnego bezpieczeństwa WordPressa, ponieważ nieustannie ulepszamy jego algorytmy, wdrażamy ochronę przed nowymi zagrożeniami i naprawiamy błędy oprogramowania. Możesz je włączyć za pomocą kilku kliknięć: Jak włączyć automatyczne aktualizacje dla WP Cerber.

11. Włącz maskowanie pól formularza dla Traffic Inspector

Jeśli włączono zapisywanie pól formularza do dziennika ( opcja Save request fields jest włączona) i używasz wtyczki, która generuje formularz logowania dla Twojej witryny, musisz dodać nazwę pola formularza hasła do opcji Mask these form fields na stronie ustawień Traffic Inspector. WP Cerber zawsze maskuje pole hasła w domyślnym formularzu logowania WordPress i następujących polach formularza: 'pwd', 'pass', 'password'.

Traffic Inspector i jak rejestrować

12. Włącz wysyłanie złośliwych adresów IP do laboratorium Cerbera

Pozwól zespołowi wtyczki ulepszyć algorytmy bezpieczeństwa we wtyczce i zoptymalizować jej wydajność. Przejdź do Ustawień głównych , w sekcji Aktywność włącz połączenie Cerber Lab . Aby uzyskać lepsze bezpieczeństwo, ustaw protokół Cerber Lab na HTTPS. Dowiedz się więcej o Cerber Lab .

13. Włącz alerty mobilne i powiadomienia e-mail

Jeśli chcesz mieć oko na konkretną aktywność lub otrzymywać powiadomienia, gdy użytkownik zarejestruje się lub zaloguje na Twojej stronie, odfiltruj konkretną aktywność na karcie Aktywność i kliknij Utwórz alert . Dowiedz się więcej: Powiadomienia WordPressa stały się proste .

Masz pytanie lub potrzebujesz pomocy z WP Cerber?

"Uzyskaj

I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.