Security Blog
Security Blog
Posted By Gregory

Закалка WordPress с WP Cerber

WordPress легко защитить, включив основные функции WP Cerber Security.


English version: Hardening WordPress with WP Cerber


Все предлагаемые настройки настоятельно рекомендуются для большинства веб-сайтов в Интернете. Если по какой-либо причине вам нужны эти функции с определенного компьютера или IP-сети, вы можете легко добавить их в Белый список доступа IP .

Отключить REST API

Плагин ограничивает доступ к API WordPress REST. Возможность отправлять невидимые запросы в ядро вашего WordPress делает хакеров даже счастливее, чем возможность взломать сайты с помощью XML-RPC. Если вы не используете WordPress REST API, отключите его!

Установите флажок Разрешить REST API для зарегистрированных пользователей, если вы хотите разрешить использование REST API для любого авторизованного пользователя WordPress без ограничений.

Подробная инструкция: Ограничить доступ к WordPress REST API

Почему важно ограничить доступ к WordPress REST API

Отключить XML-RPC

Плагин блокирует доступ к серверу XML-RPC, включая Pingbacks и Trackbacks. Знаете ли вы, что хакеры используют этот скрытый вход для скрытного обнаружения логинов? У вас есть CAPTCHA или reCAPTCHA в форме входа для защиты от ботов? Не будь глупым, современные боты используют XML-RPC и WP REST API для грубой силы вашего WordPress, и вы даже не знаете, как и когда они это делают, потому что любая CAPTCHA не работает для запросов XML-RPC. В настоящее время XML-RPC делает хакеров счастливыми, и им это очень нравится. После активации этого параметра ваш веб-сайт вернет страницу 404 Страница не найдена для любых запросов XML-RPC, если вы не сделаете исключение для хостов с Белым списком доступа IP .

Примечание. Если вы используете плагин Jetpack , который должен взаимодействовать с wordpress.com, не отключайте XML-RPC.

Остановить перечисление пользователей

Плагин блокирует доступ к специальным страницам автора, таким как /? Author = N, и возможность извлечения пользовательских данных через REST API. Злоумышленники и хакеры могут легко получить все логины всех пользователей на вашем сайте, просто сканируя номера от 1 до любого числа, которое они хотят. Такое поведение включено в WordPress дизайном, и хакерам по всему миру это очень нравится. После активации этой настройки ваш сайт вернется на страницу 404 Not Found.

Отключить каналы

Плагин блокирует доступ к каналам RSS, Atom и RDF. Это не позволяет хакерам выяснить, какое программное обеспечение установлено на вашем сайте, и собрать дополнительную полезную информацию для настройки дальнейших атак на ваш WordPress. После активации этой настройки ваш сайт вернется на страницу 404 Not Found.

Примечание. Все эти настройки выше не влияют на хосты в Белом списке доступа IP, и вы можете легко разрешить, например, публикацию постов через XML-RPC для IP-адреса вашего домашнего компьютера, просто добавив его в Белый список доступа IP.

Если у вас есть root-доступ к вашему веб-серверу, я также рекомендую использовать следующие советы: Укрепление WordPress с WP Cerber и NGINX


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments