Security Blog
Security Blog
Posted By Gregory

Utwardzanie WordPressa za pomocą WP Cerber

Zabezpieczenie WordPressa jest łatwe, włączając podstawowe funkcje WP Cerber Security.


English version: Hardening WordPress with WP Cerber


Wszystkie sugerowane ustawienia są zdecydowanie zalecane dla większości witryn internetowych. Jeśli z jakiegoś powodu potrzebujesz zapewnić dostęp do funkcji i właściwości wymienionych na tej stronie z konkretnego komputera lub sieci IP, musisz dodać je do Białej Listy Dostępu IP .

Wyłącz interfejs API REST

Wtyczka ogranicza dostęp do API REST WordPressa. Możliwość wysyłania niewidocznych żądań do rdzenia WordPressa sprawia, że hakerzy są jeszcze szczęśliwsi niż możliwość włamywania się do stron internetowych za pomocą XML-RPC. Jeśli nie korzystasz z API REST WordPressa, wyłącz je!

Zaznacz opcję Zezwalaj na interfejs API REST dla zalogowanych użytkowników , jeśli chcesz zezwolić na korzystanie z interfejsu API REST każdemu autoryzowanemu użytkownikowi WordPress bez ograniczeń.

Szczegółowa instrukcja: Ogranicz dostęp do API REST WordPress

Dlaczego ważne jest ograniczenie dostępu do API REST WordPress

Wyłącz XML-RPC

Wtyczka blokuje dostęp do serwera XML-RPC, w tym Pingbacków i Trackbacków. Czy wiesz, że hakerzy wykorzystują to ukryte wejście, aby potajemnie poznać dane logowania? Czy masz CAPTCHA lub reCAPTCHA w formularzu logowania, aby chronić się przed botami? Nie bądź głupi, nowoczesne boty używają XML-RPC i WP REST API do brutalnego wymuszania na WordPressie , a nawet nie wiesz, jak i kiedy to robią, ponieważ żadna CAPTCHA nie działa w przypadku żądań XML-RPC. Obecnie XML-RPC uszczęśliwia hakerów i bardzo go kochają. Po aktywowaniu tego ustawienia Twoja witryna wyświetli komunikat 404 Nie znaleziono strony dla żadnych żądań XML-RPC, chyba że zrobisz wyjątek dla hostów z białą listą dostępu IP .

Uwaga: Jeśli używasz wtyczki Jetpack , która musi komunikować się z wordpress.com, nie wyłączaj XML-RPC.

Zatrzymaj wyliczanie użytkowników

Wtyczka blokuje dostęp do specjalnych stron autorskich takich jak /?author=N oraz możliwość pobierania danych użytkownika poprzez REST API. Intruzi i hakerzy mogą łatwo uzyskać wszystkie loginy wszystkich użytkowników w Twojej witrynie, po prostu skanując liczby od 1 do dowolnej liczby. To zachowanie jest włączone w WordPressie od projektu i hakerzy na całym świecie bardzo to uwielbiają. Po włączeniu tego ustawienia Twoja witryna wyświetli komunikat 404 Nie znaleziono strony.

Wyłącz kanały

Wtyczka blokuje dostęp do kanałów RSS, Atom i RDF. Nie pozwala to hakerom dowiedzieć się, jakie oprogramowanie jest zainstalowane w Twojej witrynie i zebrać dodatkowych przydatnych informacji w celu dostosowania dalszych ataków na Twój WordPress. Po włączeniu tego ustawienia Twoja witryna wyświetli komunikat 404 Nie znaleziono strony.

Uwaga: Wszystkie powyższe ustawienia nie mają wpływu na hosty znajdujące się na białej liście dostępu IP i możesz łatwo zezwolić na przykład na publikowanie postów za pośrednictwem XML-RPC dla adresu IP swojego komputera domowego, po prostu dodając go do białej listy dostępu IP.

Jeśli masz dostęp root do swojego serwera internetowego, zaleca się skorzystanie z tych wskazówek: Hartowanie WordPressa za pomocą WP Cerber i NGINX


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments