Posted By Gregory

Pierwsze kroki z WP Cerber

Bez obaw. Ochrona WordPress nie jest już nauką rakietową.


English version: Getting Started with WP Cerber Security


Po zainstalowaniu i aktywowaniu wtyczki ładuje zestaw niezbędnych ustawień. Są odpowiednie dla wielu przypadków. Aby jak najlepiej wykorzystać WP Cerber i chronić WordPressa, musisz skonfigurować wtyczkę w sposób przemyślany.

1. Upewnij się, że Cerber poprawnie wykrywa adresy IP

  1. Otwórz stronę Co to jest mój adres IP w oknie przeglądarki i stronę administracyjną Listy dostępu Cerber w innym
  2. Porównaj adres IP na stronie Co to jest mój adres IP z adresem IP pod etykietą Twój adres IP na stronie administracyjnej Listy dostępu
  3. Powinieneś zobaczyć dwa identyczne adresy IP. Jeśli widzisz dwa różne adresy IP, musisz sprawdzić, czy moja witryna znajduje się za odwrotnym proxy w Ustawieniach głównych wtyczki i powtórz powyższe kroki
  4. Jeśli nadal widzisz dwa różne adresy IP, a strona nie znajduje się za serwerem proxy, postępuj zgodnie z poniższą instrukcją: Rozwiązywanie problemu z nieprawidłowym wykrywaniem adresu IP
  5. Jeszcze jeden krok, jeśli Twój WordPress jest w CloudFlare

2. Upewnij się, że otrzymujesz powiadomienia e-mail

Po aktywowaniu wtyczki wysyła on wiadomość powitalną na adres e-mail administratora strony. Jeśli nie otrzymałeś e-maila powitalnego, upewnij się, że adres e-mail, który widzisz na stronie administratora powiadomień, jest poprawny, a wiadomości e-mail z wtyczki nie trafiają do folderu ze spamem. Jeśli nie otrzymałeś e-maila powitalnego, najprawdopodobniej nie otrzymasz innych ważnych powiadomień. Możesz wprowadzić alternatywne, wiele adresów e-mail w polu tekstowym Adres e-mail na stronie Administratora powiadomień . Aby przetestować dostawę, przejdź do strony Ustawienia główne i kliknij dowolne Kliknij, aby wysłać link testowy .

Przeczytaj więcej: Jak skonfigurować powiadomienia mobilne na smartfonie

3. Włącz ładowanie wtyczki w trybie standardowym

Przejdź do Main Settings i ustaw ustawienie Load security engine na tryb Standard .

4. Dodaj adres IP domu lub biura do listy White Access

Jeśli pracujesz w domu lub biurze na komputerze ze statycznym adresem IP, rozsądne jest dodanie tego adresu IP (lub całej sieci firmowej) do Białej listy dostępu IP. Możesz osiągnąć dwa cele. Zapobiega przypadkowemu zablokowaniu Twojej witryny i pozwala ograniczyć dostęp do XML-RPC, REST API i innych istotnych części WordPress.

Przeczytaj więcej: Jak korzystać z list dostępu do WordPress

5. Włącz niestandardową stronę logowania i rejestracji

Aby ukryć domyślną stronę logowania WP-login.php WordPress z automatycznych ataków i rejestracji spamu, podaj swój własny niestandardowy adres URL logowania (strona logowania) i wyłącz wp-login.php. Uwaga: Jeśli używasz wtyczki buforującej (takiej jak W3 Total Cache lub WP Super Cache), musisz dodać niestandardowy adres URL logowania do listy stron, które nie są buforowane.

Jak skonfigurować niestandardowy adres URL logowania do WordPress

6. Włącz ochronę antyspamową

Silnik antyspamowy Cerber jest kompatybilny z większością programów do tworzenia formularzy i jest w stanie chronić praktycznie każdą formę. Na stronie administracyjnej Antyspamu sprawdź wszystkie niezbędne funkcje w sekcji silnika antyspamowego Cerber . Upewnij się, że formularze w witrynie działają prawidłowo. Jeśli niektóre funkcje witryny przestały działać, włącz opcję Użyj mniej restrykcyjnych zasad (zezwalaj na AJAX) .

Wreszcie niech wtyczka oczyści bałagan za pomocą komentarzy spamowych. Wybierz całkowicie odrzuć komentarze spamowe lub zaznacz je jako spam . Włącz automatyczne przenoszenie spamu do kosza.

7. Ogranicz dostęp do REST API i XML-RPC

  1. Przejdź do strony administracyjnej Hardening .
  2. Zaznacz opcję Wyłącz interfejs API REST . Określ wyjątki przestrzeni nazw dla REST API, jeśli jest to konieczne. Na przykład, jeśli używasz Formularza kontaktowego 7, przestrzeń nazw to contact-form-7 , a dla Jetpack to jetpack .
  3. Sprawdź Zezwalaj na REST API dla zalogowanych użytkowników, jeśli chcesz zezwolić na używanie REST API dla dowolnego autoryzowanego użytkownika WordPress bez ograniczeń.
  4. Zaznacz opcję Wyłącz XML-RP C, jeśli nie używasz wtyczki Jetpack. Jeśli używasz XML-RPC z określonych hostów, dodaj ich adresy IP do Białej listy dostępu .

Czytaj więcej: Ogranicz dostęp do API REST WordPress

8. Określ listę zabronionych nazw użytkowników

Przejdź do strony administracyjnej Użytkownicy wtyczek, a jeśli lista jest nadal pusta, zaleca się umieszczenie na tej liście następujących nazw użytkowników: admin, administrator, manager, edytor, użytkownik, demo, test .

Przeczytaj więcej o zabronionych nazwach użytkowników

9. Skonfiguruj maskowanie pól formularzy dla Traffic Inspector

Rejestrator wtyczek Cerber Security zawsze maskuje pole hasła w domyślnym formularzu logowania WordPress i następujące pola formularza: „pwd”, „pass”, „password”. Jeśli włączyłeś zapisywanie pól formularza do dziennika ( pola Zapisz żądanie są włączone) i używasz wtyczki generującej formularz logowania, tak jak niektóre członkostwa lub wtyczki do formularza logowania pop-up, musisz dodać nazwę formularza hasła pola do maski w polu pól formularza na stronie ustawień Traffic Inspector.

Traffic Inspector i logowanie się

10. Włącz wysyłanie złośliwych adresów IP do programisty wtyczki

Niech zespół wtyczek ulepszy algorytmy bezpieczeństwa w wtyczce i zoptymalizuje jego wydajność, dzięki czemu będziesz stale ulepszał ochronę swojej witryny. Przejdź do Main Settings , w sekcji Activity zaznacz pole wyboru Cerber Lab . Dla lepszego bezpieczeństwa ustaw protokół Cerber Lab na HTTPS. Przeczytaj więcej o Cerber Lab .

11. Ustaw powiadomienia o zdarzeniach

Jeśli chcesz mieć oko na określoną czynność lub być powiadamianym, gdy użytkownik zarejestrował się lub zalogował do Twojej witryny, odfiltruj określone działanie na karcie Aktywność i kliknij link Subskrybuj. Czytaj więcej: powiadomienia WordPress są łatwe .

Masz pytanie lub masz problem?

"Uzyskaj

Last posts from WordPress security blog


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.