Security Blog
Security Blog
Posted By Gregory

Utwardzanie WordPressa za pomocą WP Cerber

Łatwo jest zabezpieczyć WordPressa poprzez włączenie podstawowych funkcji bezpieczeństwa WP Cerber.


English version: Hardening WordPress with WP Cerber


Wszystkie sugerowane ustawienia są wysoce zalecane dla większości witryn internetowych. Jeśli z jakiegoś powodu musisz zapewnić dostęp do funkcji i cech wymienionych na tej stronie z określonego komputera lub sieci IP, musisz dodać je do Białej Listy Dostępu IP .

Wyłącz REST API

Wtyczka ogranicza dostęp do WordPress REST API. Możliwość wysyłania niewidocznych żądań do rdzenia WordPressa sprawia, że hakerzy są jeszcze szczęśliwsi niż możliwość hakowania stron internetowych za pomocą XML-RPC. Jeśli nie używasz WordPress REST API, wyłącz je!

Zaznacz opcję Zezwalaj na korzystanie z interfejsu API REST zalogowanym użytkownikom, jeśli chcesz zezwolić na korzystanie z interfejsu API REST wszystkim autoryzowanym użytkownikom WordPressa bez ograniczeń.

Szczegółowa instrukcja: Ogranicz dostęp do interfejsu API REST WordPress

Dlaczego ważne jest ograniczenie dostępu do interfejsu API REST WordPress

Wyłącz XML-RPC

Wtyczka blokuje dostęp do serwera XML-RPC, w tym Pingbacks i Trackbacks. Czy wiesz, że hakerzy używają tego ukrytego wejścia, aby potajemnie znaleźć loginy? Czy masz CAPTCHA lub reCAPTCHA na formularzu logowania, aby chronić się przed botami? Nie bądź głupi, współczesne boty używają XML-RPC i WP REST API do brutalnego ataku na Twojego WordPressa , a Ty nawet nie wiesz, jak i kiedy to robią, ponieważ żadna CAPTCHA nie działa w przypadku żądań XML-RPC. Obecnie XML-RPC uszczęśliwia hakerów i bardzo to lubią. Po aktywowaniu tego ustawienia Twoja witryna zwróci 404 Page Not Found dla wszystkich żądań XML-RPC, chyba że zrobisz wyjątek dla hostów z White IP Access List .

Uwaga: Jeśli używasz wtyczki Jetpack , która musi komunikować się z wordpress.com, nie wyłączaj XML-RPC.

Zatrzymaj enumerację użytkowników

Wtyczka blokuje dostęp do specjalnych stron autora, takich jak /?author=N i możliwość pobierania danych użytkownika za pośrednictwem interfejsu API REST. Intruzi i hakerzy mogą łatwo uzyskać wszystkie loginy wszystkich użytkowników na Twojej stronie internetowej, po prostu skanując liczby od 1 do dowolnej liczby. To zachowanie jest włączone w WordPressie z założenia i hakerzy na całym świecie bardzo je uwielbiają. Po aktywowaniu tego ustawienia Twoja strona internetowa zwróci 404 Page Not Found.

Wyłącz kanały

Wtyczka blokuje dostęp do kanałów RSS, Atom i RDF. Nie pozwala to hakerom dowiedzieć się, jaki rodzaj oprogramowania jest zainstalowany na Twojej stronie internetowej i zebrać dodatkowych pomocnych informacji, aby dostosować dalsze ataki na Twojego WordPressa. Po aktywowaniu tego ustawienia Twoja strona internetowa zwróci 404 Page Not Found.

Uwaga: Wszystkie powyższe ustawienia nie mają wpływu na hosty znajdujące się na białej liście dostępu IP. Możesz łatwo zezwolić np. na publikowanie postów za pomocą XML-RPC dla adresu IP swojego komputera domowego, po prostu dodając go do białej listy dostępu IP.

Jeśli masz dostęp do roota swojego serwera WWW, zalecamy skorzystanie z poniższych wskazówek: Wzmocnienie WordPressa za pomocą WP Cerber i NGINX


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments