Utwardzenie WordPress z WP Cerber
Łatwo jest uzyskać ochronę WordPress, włączając podstawowe funkcje WP Cerber Security.
English version: Hardening WordPress with WP Cerber
Wszystkie sugerowane ustawienia są wysoce zalecane dla większości stron internetowych. Jeśli z jakiegoś powodu potrzebujesz tych funkcji z konkretnego komputera lub sieci IP, możesz je łatwo dodać do Białej listy dostępu IP .
Wyłącz interfejs API REST
Wtyczka ogranicza dostęp do API REST WordPress. Możliwość wysyłania niewidocznych żądań do rdzenia WordPressa sprawia, że hakerzy są jeszcze bardziej zadowoleni niż możliwość włamywania się do stron internetowych przy użyciu XML-RPC. Jeśli nie używasz WordPress REST API, wyłącz go!
Sprawdź Zezwalaj na REST API dla zalogowanych użytkowników, jeśli chcesz zezwolić na używanie REST API dla dowolnego autoryzowanego użytkownika WordPress bez ograniczeń.
Szczegółowa instrukcja: Ogranicz dostęp do API REST WordPress
Dlaczego ważne jest ograniczenie dostępu do API REST WordPress
Wyłącz XML-RPC
Wtyczka blokuje dostęp do serwera XML-RPC, w tym Pingbacks i Trackbacks. Czy wiesz, że hakerzy używają tego ukrytego wejścia do ukrycia logowania? Czy posiadasz CAPTCHA lub reCAPTCHA na swoim formularzu logowania, aby chronić się przed botami? Nie bądź głupi, nowoczesne boty używają XML-RPC i WP REST API do brutalnego wymuszenia działania WordPressa i nawet nie wiesz, jak i kiedy to robią, ponieważ każdy CAPTCHA nie działa dla żądań XML-RPC. Obecnie XML-RPC sprawia, że hakerzy są szczęśliwi i bardzo to lubią. Po aktywowaniu tego ustawienia Twoja strona powróci do 404 Page Not Found dla żądań XML-RPC, chyba że zrobisz wyjątek dla hostów z White IP Access List .
Uwaga: Jeśli używasz wtyczki Jetpack , która musi komunikować się z wordpress.com, nie wyłączaj XML-RPC.
Zatrzymaj wyliczanie użytkowników
Wtyczka blokuje dostęp do specjalnych stron autora, takich jak /? Author = N i możliwość pobierania danych użytkownika za pośrednictwem interfejsu API REST. Intruzi i hakerzy mogą łatwo uzyskać wszystkie loginy wszystkich użytkowników na swojej stronie internetowej, skanując numery od 1 do dowolnej liczby. To zachowanie jest włączone w WordPress przez projekt i hakerzy na całym świecie bardzo go kochają. Po aktywowaniu tego ustawienia Twoja witryna zwróci 404 Page Not Found.
Wyłącz kanały
Wtyczka blokuje dostęp do kanałów RSS, Atom i RDF. To nie pozwala hakerom dowiedzieć się, jakie oprogramowanie jest zainstalowane na twojej stronie i zebrać dodatkowe przydatne informacje, aby dostosować dalsze ataki do twojego WordPressa. Po aktywowaniu tego ustawienia Twoja witryna zwróci 404 Page Not Found.
Uwaga: Wszystkie powyższe ustawienia nie wpływają na hosty na Białej liście dostępu IP i można łatwo zezwolić, na przykład, na publikowanie postów za pomocą XML-RPC dla adresu IP komputera domowego, po prostu dodając je do Białej listy dostępu IP.
Jeśli masz dostęp do roota na swoim serwerze internetowym, polecam również skorzystanie z tych wskazówek: Hardening WordPress z WP Cerber i NGINX
WP Cerber 1.7 z ulepszeń interfejsu administratora
WP Cerber 1.8 z pełnym wsparciem fail2ban
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
Gergory, if you use the plugin to block access to RSS feeds, would that affect a podcast feed?
Yes of course. Because any podcast feed use the same RSS feed and engine as regular posts. Do you want to block all RSS feeds except those that contain attached media files?