Security Blog
Security Blog
Posted By Gregory

Усиление защиты WordPress с помощью WP Cerber

Защитить WordPress легко, включив основные функции безопасности WP Cerber.


English version: Hardening WordPress with WP Cerber


Все предлагаемые настройки настоятельно рекомендуются для большинства веб-сайтов в Интернете. Если вам по какой-то причине необходимо предоставить доступ к функциям и возможностям, перечисленным на этой странице, с определенного компьютера или IP-сети, вам необходимо добавить их в Белый список доступа IP .

Отключить REST API

Плагин ограничивает доступ к WordPress REST API. Возможность отправлять невидимые запросы в ядро вашего WordPress делает хакеров даже счастливее, чем возможность взламывать веб-сайты с помощью XML-RPC. Если вы не используете WordPress REST API, отключите его!

Установите флажок Разрешить REST API для зарегистрированных пользователей, если вы хотите разрешить использование REST API любому авторизованному пользователю WordPress без ограничений.

Подробная инструкция: Ограничить доступ к WordPress REST API

Почему важно ограничить доступ к WordPress REST API

Отключить XML-RPC

Плагин блокирует доступ к серверу XML-RPC, включая пингбэки и трекбэки. Знаете ли вы, что хакеры используют этот скрытый вход, чтобы тайно узнать логины? У вас есть CAPTCHA или reCAPTCHA на форме входа для защиты от ботов? Не будьте глупыми, современные боты используют XML-RPC и WP REST API для взлома вашего WordPress , и вы даже не знаете, как и когда они это делают, потому что любая CAPTCHA не работает для запросов XML-RPC. В настоящее время XML-RPC радует хакеров, и они это очень любят. После активации этой настройки ваш сайт будет возвращать 404 Страница не найдена для любых запросов XML-RPC, если вы не сделаете исключение для хостов с белым списком доступа IP .

Примечание: если вы используете плагин Jetpack , которому необходимо взаимодействовать с wordpress.com, не отключайте XML-RPC.

Остановить перечисление пользователей

Плагин блокирует доступ к специальным страницам автора, таким как /?author=N, и возможность извлечения данных пользователя через REST API. Злоумышленники и хакеры могут легко получить все логины всех пользователей на вашем сайте, просто сканируя числа от 1 до любого желаемого ими числа. Такое поведение включено в WordPress изначально, и хакеры по всему миру его очень любят. После активации этой настройки ваш сайт будет возвращать 404 Страница не найдена.

Отключить каналы

Плагин блокирует доступ к каналам RSS, Atom и RDF. Это не позволяет хакерам узнать, какое программное обеспечение установлено на вашем сайте, и собрать дополнительную полезную информацию для настройки дальнейших атак на ваш WordPress. После активации этой настройки ваш сайт будет возвращать 404 Страница не найдена.

Примечание: Все эти настройки, указанные выше, не влияют на хосты в списке доступа «Белый IP», и вы можете легко разрешить, например, публикацию сообщений через XML-RPC для IP-адреса вашего домашнего компьютера, просто добавив его в список доступа «Белый IP».

Если у вас есть root-доступ к вашему веб-серверу, рекомендуется воспользоваться этими советами: Усиление защиты WordPress с помощью WP Cerber и NGINX


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments