Utwardzanie WordPressa za pomocą WP Cerber
Łatwo jest zabezpieczyć WordPressa poprzez włączenie podstawowych funkcji bezpieczeństwa WP Cerber.
English version: Hardening WordPress with WP Cerber
Wszystkie sugerowane ustawienia są zdecydowanie zalecane dla większości stron internetowych. Jeśli z jakiegoś powodu potrzebujesz dostępu do funkcji i opcji wymienionych na tej stronie z konkretnego komputera lub sieci IP, musisz dodać je do Białej Listy Dostępu IP .
Wyłącz interfejs API REST
Wtyczka ogranicza dostęp do interfejsu REST API WordPressa. Możliwość wysyłania niewidocznych żądań do rdzenia WordPressa uszczęśliwia hakerów jeszcze bardziej niż możliwość hakowania stron internetowych za pomocą XML-RPC. Jeśli nie korzystasz z interfejsu REST API WordPressa, wyłącz go!
Zaznacz opcję Zezwalaj na korzystanie z interfejsu API REST zalogowanym użytkownikom, jeśli chcesz zezwolić na korzystanie z interfejsu API REST wszystkim autoryzowanym użytkownikom WordPressa bez ograniczeń.
Szczegółowa instrukcja: Ogranicz dostęp do interfejsu API REST WordPress
Dlaczego ważne jest ograniczenie dostępu do interfejsu API REST WordPress
Wyłącz XML-RPC
Wtyczka blokuje dostęp do serwera XML-RPC, w tym pingbacki i trackbacki. Czy wiesz, że hakerzy korzystają z tego ukrytego wejścia, aby potajemnie poznać loginy? Czy masz CAPTCHA lub reCAPTCHA w formularzu logowania, aby chronić się przed botami? Nie bądź głupi, współczesne boty używają XML-RPC i WP REST API do ataków bruteforce na Twojego WordPressa , a Ty nawet nie wiesz, jak i kiedy to robią, ponieważ CAPTCHA nie działa dla żądań XML-RPC. Obecnie XML-RPC cieszy hakerów i bardzo go lubią. Po aktywacji tego ustawienia Twoja witryna będzie zwracać błąd 404 Page Not Found dla wszystkich żądań XML-RPC, chyba że zrobisz wyjątek dla hostów z białą listą dostępu IP .
Uwaga: Jeśli używasz wtyczki Jetpack , która musi komunikować się z wordpress.com, nie wyłączaj XML-RPC.
Zatrzymaj wyliczanie użytkowników
Wtyczka blokuje dostęp do specjalnych stron autora, takich jak /?author=N, oraz możliwość pobierania danych użytkownika przez API REST. Intruzi i hakerzy mogą łatwo uzyskać dostęp do wszystkich loginów wszystkich użytkowników Twojej witryny, skanując cyfry od 1 do dowolnej innej. To rozwiązanie jest domyślnie włączone w WordPressie i hakerzy na całym świecie bardzo je cenią. Po aktywacji tego ustawienia Twoja witryna zwróci błąd 404 Page Not Found (Strona nie została znaleziona).
Wyłącz kanały
Wtyczka blokuje dostęp do kanałów RSS, Atom i RDF. Uniemożliwia to hakerom sprawdzenie, jakie oprogramowanie jest zainstalowane na Twojej stronie internetowej, i zebranie dodatkowych, przydatnych informacji, które pomogłyby w dalszych atakach na WordPressa. Po aktywacji tego ustawienia Twoja strona będzie zwracać błąd 404 Page Not Found (Strona nie została znaleziona).
Uwaga: Wszystkie powyższe ustawienia nie mają wpływu na hosty znajdujące się na Białej Liście Dostępu IP. Możesz łatwo zezwolić np. na publikację postów za pomocą XML-RPC dla adresu IP swojego komputera domowego, po prostu dodając go do Białej Listy Dostępu IP.
Jeśli masz dostęp do roota na swoim serwerze WWW, zalecamy skorzystanie z poniższych wskazówek: Wzmocnienie WordPressa za pomocą WP Cerber i NGINX
WP Cerber Security 1.4
Zalecane ustawienia zabezpieczeń dla WP Cerber
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
Gergory, if you use the plugin to block access to RSS feeds, would that affect a podcast feed?
Yes of course. Because any podcast feed use the same RSS feed and engine as regular posts. Do you want to block all RSS feeds except those that contain attached media files?