Pierwsze kroki z WP Cerber Security
Nie martw się. Bezpieczeństwo WordPressa nie jest już fizyką jądrową.
English version: Getting Started with WP Cerber Security
Po zainstalowaniu i aktywowaniu wtyczki automatycznie ładuje ona zestaw niezbędnych ustawień. Umożliwiają one WP Cerber skuteczną ochronę Twojego WordPressa. Jednak dla optymalnego wykorzystania WP Cerber i zapewnienia najwyższego poziomu ochrony Twojej witryny, konieczna jest przemyślana konfiguracja wtyczki.
1. Upewnij się, że Cerber prawidłowo wykrywa adresy IP
- Otwórz stronę Jaki jest mój adres IP w swojej przeglądarce
- Otwórz drugą kartę (okno) przeglądarki i przejdź do karty Narzędzia / Diagnostyka instalacji WP Cerber na swojej stronie internetowej.
- Znajdź wiersz „Twój adres IP został wykryty jako” w sekcji „Informacje o systemie”.
- Porównaj adres IP na stronie Jaki jest mój adres IP z adresem IP wyświetlanym w wierszu „Twój adres IP został wykryty jako”.
- Powinieneś zobaczyć dwa identyczne adresy IP. Jeśli widzisz dwa różne adresy IP, musisz sprawdzić My site is behind a reverse proxy w Main Settings wtyczki i powtórzyć powyższe kroki.
- Jeśli nadal widzisz dwa różne adresy IP, a witryna nie znajduje się za serwerem proxy, wykonaj następujące czynności: Rozwiązywanie problemu z nieprawidłowym wykrywaniem adresu IP
- Jeszcze jeden krok, jeśli Twój WordPress jest w Cloudflare
2. Włącz ładowanie wtyczki w trybie standardowym
Przejdź do Ustawień głównych i ustaw opcję Załaduj silnik zabezpieczeń na Tryb standardowy .
3. Upewnij się, że otrzymujesz powiadomienia e-mail
Po aktywacji wtyczki wysyła ona powitalną wiadomość e-mail na adres e-mail administratora witryny. Jeśli nie otrzymałeś powitalnej wiadomości e-mail, upewnij się, że adres e-mail widoczny na karcie Powiadomienia jest poprawny i wiadomości e-mail z wtyczki nie trafiają do folderu ze spamem. Jeśli nie otrzymałeś powitalnej wiadomości e-mail, najprawdopodobniej nie otrzymasz innych ważnych powiadomień. Możesz wprowadzić alternatywne adresy e-mail w polu tekstowym Adres e-mail . Aby przetestować dostarczanie, kliknij dowolny link Kliknij, aby wysłać test .
Przeczytaj więcej: Jak skonfigurować powiadomienia mobilne na smartfonie
4. Włącz niestandardową stronę logowania i rejestracji
Aby ukryć domyślną stronę logowania WordPress wp-login.php przed atakami automatycznymi i rejestracjami spamowymi, określ własny niestandardowy adres URL logowania (strona logowania) i wyłącz wp-login.php. Uwaga: Jeśli używasz wtyczki buforującej (takiej jak W3 Total Cache lub WP Super Cache), musisz dodać swój niestandardowy adres URL logowania do listy stron, których nie należy buforować.
Jak skonfigurować niestandardowy adres URL logowania dla WordPressa
5. Dodaj swój adres IP domowy lub biurowy do białej listy dostępu IP
Jeśli pracujesz w domu lub biurze na komputerze ze statycznym adresem IP, rozsądnym rozwiązaniem jest dodanie tego adresu IP (lub całej sieci firmowej) do Białej Listy Dostępu IP. Możesz osiągnąć dwa cele. Zapobiega to przypadkowemu zablokowaniu dostępu do witryny i umożliwia ograniczenie dostępu do XML-RPC, REST API i innych ważnych części WordPressa.
Przeczytaj więcej: Jak korzystać z list dostępu dla WordPressa
6. Włącz ochronę przed spamem
Silnik antyspamowy Cerbera jest kompatybilny z większością kreatorów formularzy WordPress i jest w stanie chronić praktycznie każdy formularz. Na stronie administratora Antyspam włącz wszystkie niezbędne funkcje w sekcji Silnik antyspamowy Cerbera . Po włączeniu antyspamu upewnij się, że formularze na Twojej stronie działają normalnie. Jeśli niektóre funkcje na stronie przestały działać, włącz Użyj mniej restrykcyjnych zasad (zezwól na AJAX) .
Na koniec pozwól wtyczce posprzątać bałagan ze spamem. Wybierz opcję całkowitego odrzucenia spamu lub zaznaczania go tylko jako spam . Włącz automatyczne przenoszenie spamu do kosza.
- Jak zatrzymać spamowanie rejestracji użytkowników w WordPressie
- Jak zatrzymać przesyłanie spamu w formularzu na WordPressie
- Jak skonfigurować reCAPTCHA dla WordPressa
7. Ogranicz dostęp do REST API i XML-RPC
- Przejdź do strony administracyjnej Hardening .
- Zaznacz Wyłącz REST API . Określ wyjątki przestrzeni nazw dla REST API, jeśli jest to potrzebne. Na przykład, jeśli używasz Contact Form 7, przestrzeń nazw to
contact-form-7
, a dla Jetpack jest tojetpack
. - Zaznacz opcję Zezwalaj na korzystanie z interfejsu API REST zalogowanym użytkownikom, jeśli chcesz zezwolić na korzystanie z interfejsu API REST wszystkim autoryzowanym użytkownikom WordPressa bez ograniczeń.
- Zaznacz Disable XML-RPC, jeśli nie używasz wtyczki Jetpack. Jeśli używasz XML-RPC tylko z określonych hostów, dodaj ich adresy IP do White IP Access List .
Przeczytaj więcej: Ogranicz dostęp do interfejsu API REST WordPress
8. Określ listę zabronionych nazw użytkowników
Przejdź do strony administracyjnej użytkowników wtyczki i jeśli lista jest nadal pusta, zaleca się umieszczenie na niej następujących nazw użytkowników: admin, administrator, manager, editor, user, demo, test .
Dowiedz się więcej o zabronionych nazwach użytkowników
9. Włącz uwierzytelnianie dwuskładnikowe
Aby chronić konta użytkowników i zapobiec przejęciu konta, włącz uwierzytelnianie dwuskładnikowe. Zapewnia ono dodatkową warstwę bezpieczeństwa, wymagającą drugiego czynnika identyfikacji wykraczającego poza samą nazwę użytkownika i hasło WordPress.
Przeczytaj więcej: Dwuskładnikowe uwierzytelnianie dla WordPressa
10. Włącz automatyczne aktualizacje dla WP Cerber
Regularne aktualizacje WP Cerber są kluczowe dla silnego bezpieczeństwa WordPressa, ponieważ nieustannie ulepszamy jego algorytmy, wdrażamy ochronę przed nowymi zagrożeniami i naprawiamy błędy oprogramowania. Możesz je włączyć za pomocą kilku kliknięć: Jak włączyć automatyczne aktualizacje dla WP Cerber.
11. Włącz maskowanie pól formularza dla Traffic Inspector
Jeśli włączono zapisywanie pól formularza do dziennika ( opcja Save request fields jest włączona) i używasz wtyczki, która generuje formularz logowania dla Twojej witryny, musisz dodać nazwę pola formularza hasła do opcji Mask these form fields na stronie ustawień Traffic Inspector. WP Cerber zawsze maskuje pole hasła w domyślnym formularzu logowania WordPress i następujących polach formularza: 'pwd', 'pass', 'password'.
Traffic Inspector i jak rejestrować
12. Włącz wysyłanie złośliwych adresów IP do laboratorium Cerbera
Pozwól zespołowi wtyczki ulepszyć algorytmy bezpieczeństwa we wtyczce i zoptymalizować jej wydajność. Przejdź do Ustawień głównych , w sekcji Aktywność włącz połączenie Cerber Lab . Aby uzyskać lepsze bezpieczeństwo, ustaw protokół Cerber Lab na HTTPS. Dowiedz się więcej o Cerber Lab .
13. Włącz alerty mobilne i powiadomienia e-mail
Jeśli chcesz mieć oko na konkretną aktywność lub otrzymywać powiadomienia, gdy użytkownik zarejestruje się lub zaloguje na Twojej stronie, odfiltruj konkretną aktywność na karcie Aktywność i kliknij Utwórz alert . Dowiedz się więcej: Powiadomienia WordPressa stały się proste .