Усиление безопасности WordPress с помощью WP Cerber
Защитить WordPress очень просто: достаточно включить основные функции безопасности WP Cerber.
English version: Hardening WordPress with WP Cerber
Все предложенные настройки настоятельно рекомендуются для большинства веб-сайтов в Интернете. Если по какой-либо причине вам необходимо предоставить доступ к функциям и возможностям, перечисленным на этой странице, с определенного компьютера или IP-сети, вам необходимо добавить их в белый список доступа по IP-адресам .
Отключить REST API
Этот плагин ограничивает доступ к REST API WordPress. Возможность отправлять невидимые запросы к ядру вашего WordPress делает хакеров еще счастливее, чем возможность взламывать веб-сайты с помощью XML-RPC. Если вы не используете REST API WordPress, отключите его!
Установите флажок «Разрешить REST API для авторизованных пользователей», если вы хотите разрешить использование REST API любому авторизованному пользователю WordPress без ограничений.
Подробная инструкция: Ограничьте доступ к REST API WordPress.
Почему важно ограничить доступ к REST API WordPress
Отключить XML-RPC
Этот плагин блокирует доступ к XML-RPC-серверу, включая пингбэки и трекбэки. Знаете ли вы, что хакеры используют этот скрытый вход, чтобы незаметно получать доступ к логинам? Есть ли у вас CAPTCHA или reCAPTCHA в форме входа для защиты от ботов? Не будьте глупыми, современные боты используют XML-RPC и WP REST API для перебора паролей вашего WordPress , и вы даже не знаете, как и когда они это делают, потому что ни одна CAPTCHA не работает для запросов XML-RPC. Сегодня XML-RPC радует хакеров, и им это очень нравится. После активации этой настройки ваш веб-сайт будет возвращать ошибку 404 «Страница не найдена» для любых запросов XML-RPC, если вы не сделаете исключение для хостов с белым списком доступа к IP-адресам .
Примечание: Если вы используете плагин Jetpack , которому необходимо взаимодействовать с wordpress.com, не отключайте XML-RPC.
Остановить перечисление пользователей
Плагин блокирует доступ к специальным страницам авторов, таким как /?author=N, и возможность получения данных пользователей через REST API. Злоумышленники и хакеры могут легко получить доступ ко всем логинам всех пользователей вашего сайта, просто сканируя числа от 1 до любого другого числа. Эта функция включена в WordPress по умолчанию, и хакерам по всему миру она очень нравится. После активации этой настройки ваш сайт будет возвращать ошибку 404 «Страница не найдена».
Отключить ленты новостей
Плагин блокирует доступ к RSS, Atom и RDF-каналам. Это не позволяет хакерам узнать, какое программное обеспечение установлено на вашем сайте, и собрать дополнительную полезную информацию для дальнейших атак на ваш WordPress. После активации этой настройки ваш сайт будет выдавать ошибку 404 «Страница не найдена».
Примечание: Все указанные выше настройки не влияют на хосты в списке разрешенных IP-адресов, и вы можете легко разрешить, например, публикацию сообщений через XML-RPC для IP-адреса вашего домашнего компьютера, просто добавив его в список разрешенных IP-адресов.
Если у вас есть root-доступ к вашему веб-серверу, рекомендуется использовать следующие советы: Усиление безопасности WordPress с помощью WP Cerber и NGINX
WP Cerber Security 1.7
WP Cerber Security 1.8
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
Gergory, if you use the plugin to block access to RSS feeds, would that affect a podcast feed?
Yes of course. Because any podcast feed use the same RSS feed and engine as regular posts. Do you want to block all RSS feeds except those that contain attached media files?