Security Blog
Security Blog
Posted By Gregory

Utwardzenie WordPress z WP Cerber

Łatwo jest uzyskać ochronę WordPress, włączając podstawowe funkcje WP Cerber Security.


English version: Hardening WordPress with WP Cerber


Wszystkie sugerowane ustawienia są wysoce zalecane dla większości stron internetowych. Jeśli z jakiegoś powodu potrzebujesz tych funkcji z konkretnego komputera lub sieci IP, możesz je łatwo dodać do Białej listy dostępu IP .

Wyłącz interfejs API REST

Wtyczka ogranicza dostęp do API REST WordPress. Możliwość wysyłania niewidocznych żądań do rdzenia WordPressa sprawia, że hakerzy są jeszcze bardziej zadowoleni niż możliwość włamywania się do stron internetowych przy użyciu XML-RPC. Jeśli nie używasz WordPress REST API, wyłącz go!

Sprawdź Zezwalaj na REST API dla zalogowanych użytkowników, jeśli chcesz zezwolić na używanie REST API dla dowolnego autoryzowanego użytkownika WordPress bez ograniczeń.

Szczegółowa instrukcja: Ogranicz dostęp do API REST WordPress

Dlaczego ważne jest ograniczenie dostępu do API REST WordPress

Wyłącz XML-RPC

Wtyczka blokuje dostęp do serwera XML-RPC, w tym Pingbacks i Trackbacks. Czy wiesz, że hakerzy używają tego ukrytego wejścia do ukrycia logowania? Czy posiadasz CAPTCHA lub reCAPTCHA na swoim formularzu logowania, aby chronić się przed botami? Nie bądź głupi, nowoczesne boty używają XML-RPC i WP REST API do brutalnego wymuszenia działania WordPressa i nawet nie wiesz, jak i kiedy to robią, ponieważ każdy CAPTCHA nie działa dla żądań XML-RPC. Obecnie XML-RPC sprawia, że hakerzy są szczęśliwi i bardzo to lubią. Po aktywowaniu tego ustawienia Twoja strona powróci do 404 Page Not Found dla żądań XML-RPC, chyba że zrobisz wyjątek dla hostów z White IP Access List .

Uwaga: Jeśli używasz wtyczki Jetpack , która musi komunikować się z wordpress.com, nie wyłączaj XML-RPC.

Zatrzymaj wyliczanie użytkowników

Wtyczka blokuje dostęp do specjalnych stron autora, takich jak /? Author = N i możliwość pobierania danych użytkownika za pośrednictwem interfejsu API REST. Intruzi i hakerzy mogą łatwo uzyskać wszystkie loginy wszystkich użytkowników na swojej stronie internetowej, skanując numery od 1 do dowolnej liczby. To zachowanie jest włączone w WordPress przez projekt i hakerzy na całym świecie bardzo go kochają. Po aktywowaniu tego ustawienia Twoja witryna zwróci 404 Page Not Found.

Wyłącz kanały

Wtyczka blokuje dostęp do kanałów RSS, Atom i RDF. To nie pozwala hakerom dowiedzieć się, jakie oprogramowanie jest zainstalowane na twojej stronie i zebrać dodatkowe przydatne informacje, aby dostosować dalsze ataki do twojego WordPressa. Po aktywowaniu tego ustawienia Twoja witryna zwróci 404 Page Not Found.

Uwaga: Wszystkie powyższe ustawienia nie wpływają na hosty na Białej liście dostępu IP i można łatwo zezwolić, na przykład, na publikowanie postów za pomocą XML-RPC dla adresu IP komputera domowego, po prostu dodając je do Białej listy dostępu IP.

Jeśli masz dostęp do roota na swoim serwerze internetowym, polecam również skorzystanie z tych wskazówek: Hardening WordPress z WP Cerber i NGINX

Last posts from WordPress security blog


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments