Усиление защиты WordPress с помощью WP Cerber
Защитить WordPress легко, включив основные функции безопасности WP Cerber.
English version: Hardening WordPress with WP Cerber
Все предлагаемые настройки настоятельно рекомендуются для большинства веб-сайтов в Интернете. Если вам по какой-то причине необходимо предоставить доступ к функциям и возможностям, перечисленным на этой странице, с определенного компьютера или IP-сети, вам необходимо добавить их в Белый список доступа IP .
Отключить REST API
Плагин ограничивает доступ к WordPress REST API. Возможность отправлять невидимые запросы в ядро вашего WordPress делает хакеров даже счастливее, чем возможность взламывать веб-сайты с помощью XML-RPC. Если вы не используете WordPress REST API, отключите его!
Установите флажок Разрешить REST API для зарегистрированных пользователей, если вы хотите разрешить использование REST API любому авторизованному пользователю WordPress без ограничений.
Подробная инструкция: Ограничить доступ к WordPress REST API
Почему важно ограничить доступ к WordPress REST API
Отключить XML-RPC
Плагин блокирует доступ к серверу XML-RPC, включая пингбэки и трекбэки. Знаете ли вы, что хакеры используют этот скрытый вход, чтобы тайно узнать логины? У вас есть CAPTCHA или reCAPTCHA на форме входа для защиты от ботов? Не будьте глупыми, современные боты используют XML-RPC и WP REST API для взлома вашего WordPress , и вы даже не знаете, как и когда они это делают, потому что любая CAPTCHA не работает для запросов XML-RPC. В настоящее время XML-RPC радует хакеров, и они это очень любят. После активации этой настройки ваш сайт будет возвращать 404 Страница не найдена для любых запросов XML-RPC, если вы не сделаете исключение для хостов с белым списком доступа IP .
Примечание: если вы используете плагин Jetpack , которому необходимо взаимодействовать с wordpress.com, не отключайте XML-RPC.
Остановить перечисление пользователей
Плагин блокирует доступ к специальным страницам автора, таким как /?author=N, и возможность извлечения данных пользователя через REST API. Злоумышленники и хакеры могут легко получить все логины всех пользователей на вашем сайте, просто сканируя числа от 1 до любого желаемого ими числа. Такое поведение включено в WordPress изначально, и хакеры по всему миру его очень любят. После активации этой настройки ваш сайт будет возвращать 404 Страница не найдена.
Отключить каналы
Плагин блокирует доступ к каналам RSS, Atom и RDF. Это не позволяет хакерам узнать, какое программное обеспечение установлено на вашем сайте, и собрать дополнительную полезную информацию для настройки дальнейших атак на ваш WordPress. После активации этой настройки ваш сайт будет возвращать 404 Страница не найдена.
Примечание: Все эти настройки, указанные выше, не влияют на хосты в списке доступа «Белый IP», и вы можете легко разрешить, например, публикацию сообщений через XML-RPC для IP-адреса вашего домашнего компьютера, просто добавив его в список доступа «Белый IP».
Если у вас есть root-доступ к вашему веб-серверу, рекомендуется воспользоваться этими советами: Усиление защиты WordPress с помощью WP Cerber и NGINX
Gergory, if you use the plugin to block access to RSS feeds, would that affect a podcast feed?
Yes of course. Because any podcast feed use the same RSS feed and engine as regular posts. Do you want to block all RSS feeds except those that contain attached media files?