Усиление безопасности WordPress с помощью WP Cerber
Защитить WordPress легко, включив основные функции WP Cerber Security.
English version: Hardening WordPress with WP Cerber
Все предлагаемые настройки настоятельно рекомендуются для большинства веб-сайтов в Интернете. Если вам по каким-либо причинам необходимо предоставить доступ к функциям и возможностям, перечисленным на этой странице, с определенного компьютера или IP-сети, вам необходимо добавить их в Белый список доступа IP .
Отключить REST API
Плагин ограничивает доступ к REST API WordPress. Возможность отправлять невидимые запросы в ядро вашего WordPress делает хакеров даже более счастливыми, чем возможность взламывать веб-сайты с помощью XML-RPC. Если вы не используете WordPress REST API, отключите его!
Установите флажок Разрешить REST API для вошедших в систему пользователей , если вы хотите разрешить использование REST API любому авторизованному пользователю WordPress без ограничений.
Подробная инструкция: Ограничить доступ к REST API WordPress.
Почему важно ограничить доступ к REST API WordPress
Отключить XML-RPC
Плагин блокирует доступ к серверу XML-RPC, включая пингбэки и трекбэки. Знаете ли вы, что хакеры используют этот скрытый вход, чтобы незаметно узнать логины? Есть ли у вас CAPTCHA или reCAPTCHA в вашей форме входа для защиты от ботов? Не будьте глупыми, современные боты используют XML-RPC и WP REST API для перебора вашего WordPress , и вы даже не знаете, как и когда они это делают, потому что любая CAPTCHA не работает для запросов XML-RPC. Сегодня XML-RPC радует хакеров, и им он очень нравится. После активации этого параметра ваш веб-сайт будет возвращать ошибку 404 Page Not Found для любых запросов XML-RPC, если вы не сделаете исключение для хостов с белым списком доступа IP .
Примечание. Если вы используете плагин Jetpack , которому необходимо взаимодействовать с wordpress.com, не отключайте XML-RPC.
Остановить перечисление пользователей
Плагин блокирует доступ к специальным страницам автора, например /?author=N, и возможность получать пользовательские данные через REST API. Злоумышленники и хакеры могут легко получить все логины всех пользователей вашего сайта, просто отсканировав цифры от 1 до любого числа, которое они захотят. Такое поведение включено в WordPress по умолчанию, и хакерам по всему миру оно очень нравится. После активации этого параметра ваш сайт вернет ошибку 404: Страница не найдена.
Отключить каналы
Плагин блокирует доступ к каналам RSS, Atom и RDF. Это не позволяет хакерам узнать, какое программное обеспечение установлено на вашем сайте, и собрать дополнительную полезную информацию для корректировки дальнейших атак на ваш WordPress. После активации этого параметра ваш сайт вернет ошибку 404: Страница не найдена.
Примечание. Все приведенные выше настройки не влияют на хосты в белом списке доступа IP, и вы можете легко разрешить, например, публикацию сообщений через XML-RPC для IP-адреса вашего домашнего компьютера, просто добавив его в белый список доступа IP.
Если у вас есть root-доступ к вашему веб-серверу, рекомендуется воспользоваться этими советами: Усиление безопасности WordPress с помощью WP Cerber и NGINX.
WP Cerber Security 1.6
WP Cerber Security 1.7
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
Gergory, if you use the plugin to block access to RSS feeds, would that affect a podcast feed?
Yes of course. Because any podcast feed use the same RSS feed and engine as regular posts. Do you want to block all RSS feeds except those that contain attached media files?