Utwardzanie WordPressa za pomocą WP Cerber
Ochrona WordPressa jest łatwa dzięki włączeniu podstawowych funkcji WP Cerber Security.
English version: Hardening WordPress with WP Cerber
Wszystkie sugerowane ustawienia są wysoce zalecane dla większości stron internetowych. Jeśli z jakiegoś powodu musisz zapewnić dostęp do funkcji i funkcji wymienionych na tej stronie z określonego komputera lub sieci IP, musisz dodać je do Białej Listy Dostępu IP .
Wyłącz interfejs API REST
Wtyczka ogranicza dostęp do WordPress REST API. Możliwość wysyłania niewidocznych żądań do rdzenia twojego WordPressa sprawia, że hakerzy są jeszcze szczęśliwsi niż możliwość hakowania stron internetowych za pomocą XML-RPC. Jeśli nie korzystasz z WordPress REST API, wyłącz je!
Zaznacz Zezwalaj na REST API dla zalogowanych użytkowników , jeśli chcesz zezwolić na korzystanie z REST API każdemu autoryzowanemu użytkownikowi WordPressa bez ograniczeń.
Szczegółowa instrukcja: Ogranicz dostęp do WordPress REST API
Dlaczego ważne jest, aby ograniczyć dostęp do WordPress REST API
Wyłącz XML-RPC
Wtyczka blokuje dostęp do serwera XML-RPC, w tym Pingbacks i Trackbacks. Czy wiesz, że hakerzy używają tego ukrytego wejścia, aby potajemnie znaleźć dane logowania? Czy masz CAPTCHA lub reCAPTCHA w formularzu logowania, aby chronić się przed botami? Nie bądź głupi, nowoczesne boty używają XML-RPC i WP REST API do brutalnego wymuszania WordPressa , a nawet nie wiesz, jak i kiedy to robią, ponieważ żadna CAPTCHA nie działa dla żądań XML-RPC. Obecnie XML-RPC uszczęśliwia hakerów i bardzo im się podoba. Po aktywowaniu tego ustawienia Twoja witryna zwróci komunikat 404 Nie znaleziono strony w przypadku jakichkolwiek żądań XML-RPC, chyba że zrobisz wyjątek dla hostów z białą listą dostępu IP .
Uwaga: Jeśli używasz wtyczki Jetpack , która musi komunikować się z wordpress.com, nie wyłączaj XML-RPC.
Zatrzymaj wyliczanie użytkowników
Wtyczka blokuje dostęp do specjalnych stron autorskich, takich jak /?author=N oraz możliwość pobierania danych użytkownika przez REST API. Intruzi i hakerzy mogą łatwo uzyskać wszystkie loginy wszystkich użytkowników w Twojej witrynie, po prostu skanując numery od 1 do dowolnego numeru. To zachowanie jest włączone w WordPress zgodnie z projektem, a hakerzy na całym świecie bardzo to uwielbiają. Po aktywowaniu tego ustawienia Twoja witryna zwróci komunikat 404 Nie znaleziono strony.
Wyłącz kanały
Wtyczka blokuje dostęp do kanałów RSS, Atom i RDF. Nie pozwala to hakerom dowiedzieć się, jakie oprogramowanie jest zainstalowane na Twojej stronie internetowej i zebrać dodatkowe pomocne informacje, aby dostosować dalsze ataki do Twojego WordPressa. Po aktywowaniu tego ustawienia Twoja witryna zwróci komunikat 404 Nie znaleziono strony.
Uwaga: Wszystkie powyższe ustawienia nie mają wpływu na hosty znajdujące się na białej liście dostępu IP i można łatwo zezwolić na przykład na publikowanie postów przez XML-RPC dla adresu IP komputera domowego, po prostu dodając go do białej listy dostępu IP.
Jeśli masz uprawnienia administratora do swojego serwera internetowego, zalecamy skorzystanie z tych wskazówek: Wzmacnianie WordPressa za pomocą WP Cerber i NGINX
WP Cerber Security 1.4
Zalecane ustawienia bezpieczeństwa dla WP Cerber
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
Gergory, if you use the plugin to block access to RSS feeds, would that affect a podcast feed?
Yes of course. Because any podcast feed use the same RSS feed and engine as regular posts. Do you want to block all RSS feeds except those that contain attached media files?