Security Blog
Security Blog
Posted By Gregory

Усиление безопасности WordPress с помощью WP Cerber

Защитить WordPress легко, включив основные функции WP Cerber Security.


English version: Hardening WordPress with WP Cerber


Все предлагаемые настройки настоятельно рекомендуются для большинства веб-сайтов в Интернете. Если вам по каким-либо причинам необходимо предоставить доступ к функциям и возможностям, перечисленным на этой странице, с определенного компьютера или IP-сети, вам необходимо добавить их в Белый список доступа IP .

Отключить REST API

Плагин ограничивает доступ к REST API WordPress. Возможность отправлять невидимые запросы в ядро вашего WordPress делает хакеров даже более счастливыми, чем возможность взламывать веб-сайты с помощью XML-RPC. Если вы не используете WordPress REST API, отключите его!

Установите флажок Разрешить REST API для вошедших в систему пользователей , если вы хотите разрешить использование REST API любому авторизованному пользователю WordPress без ограничений.

Подробная инструкция: Ограничить доступ к REST API WordPress.

Почему важно ограничить доступ к REST API WordPress

Отключить XML-RPC

Плагин блокирует доступ к серверу XML-RPC, включая пингбэки и трекбэки. Знаете ли вы, что хакеры используют этот скрытый вход, чтобы незаметно узнать логины? Есть ли у вас CAPTCHA или reCAPTCHA в вашей форме входа для защиты от ботов? Не будьте глупыми, современные боты используют XML-RPC и WP REST API для перебора вашего WordPress , и вы даже не знаете, как и когда они это делают, потому что любая CAPTCHA не работает для запросов XML-RPC. Сегодня XML-RPC радует хакеров, и им он очень нравится. После активации этого параметра ваш веб-сайт будет возвращать ошибку 404 Page Not Found для любых запросов XML-RPC, если вы не сделаете исключение для хостов с белым списком доступа IP .

Примечание. Если вы используете плагин Jetpack , которому необходимо взаимодействовать с wordpress.com, не отключайте XML-RPC.

Остановить перечисление пользователей

Плагин блокирует доступ к специальным страницам автора, например /?author=N, и возможность получать пользовательские данные через REST API. Злоумышленники и хакеры могут легко получить все логины всех пользователей вашего сайта, просто отсканировав цифры от 1 до любого числа, которое они захотят. Такое поведение включено в WordPress по умолчанию, и хакерам по всему миру оно очень нравится. После активации этого параметра ваш сайт вернет ошибку 404: Страница не найдена.

Отключить каналы

Плагин блокирует доступ к каналам RSS, Atom и RDF. Это не позволяет хакерам узнать, какое программное обеспечение установлено на вашем сайте, и собрать дополнительную полезную информацию для корректировки дальнейших атак на ваш WordPress. После активации этого параметра ваш сайт вернет ошибку 404: Страница не найдена.

Примечание. Все приведенные выше настройки не влияют на хосты в белом списке доступа IP, и вы можете легко разрешить, например, публикацию сообщений через XML-RPC для IP-адреса вашего домашнего компьютера, просто добавив его в белый список доступа IP.

Если у вас есть root-доступ к вашему веб-серверу, рекомендуется воспользоваться этими советами: Усиление безопасности WordPress с помощью WP Cerber и NGINX.


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments