WP Cerber で WordPress を強化する

English version: Hardening WordPress with WP Cerber

推奨されるすべての設定は、インターネット上のほとんどの Web サイトで強く推奨されます。何らかの理由で、このページにリストされている機能や機能へのアクセスを特定のコンピューターまたは IP ネットワークから提供する必要がある場合は、それらをWhite IP Access Listに追加する必要があります。

REST API を無効にする

プラグインは WordPress REST API へのアクセスを制限します。目に見えないリクエストを WordPress のコアに送信する機能は、XML-RPC を使用して Web サイトをハッキングする機能よりも、ハッカーをさらに喜ばせます。 WordPress REST API を使用しない場合は、無効にしてください。

許可された WordPress ユーザーに制限なく REST API の使用を許可する場合は、ログインしているユーザーに REST API を許可する をオンにします。

詳細な手順: WordPress REST API へのアクセスを制限する

WordPress REST API へのアクセスを制限することが重要な理由

XML-RPC を無効にする

このプラグインは、ピンバックやトラックバックを含む XML-RPC サーバーへのアクセスをブロックします。ハッカーがこの秘密の入り口を使って、こっそりとログインを見つけ出すことを知っていますか?ボットから保護するために、ログイン フォームにCAPTCHAまたはreCAPTCHAを使用していますか?愚かなことはしないでください。最新のボットは XML-RPC と WP REST API を使用して WordPress を総当たり攻撃しますが、CAPTCHA は XML-RPC 要求に対して機能しないため、いつ、どのようにそれを行うかさえわかりません.今日では、XML-RPC はハッカーを喜ばせ、大いに気に入っています。この設定を有効にすると、 White IP Access Listを持つホストを例外にしない限り、Web サイトは XML-RPC リクエストに対して 404 Page Not Found を返します。

注: wordpress.com と通信する必要があるJetpackプラグインを使用する場合は、XML-RPC を無効にしないでください。

ユーザー列挙の停止

このプラグインは、/?author=N などの特別な作成者ページへのアクセスと、REST API を介してユーザー データを取得する機能をブロックします。侵入者やハッカーは、1 から任意の番号までスキャンするだけで、Web サイト上のすべてのユーザーのすべてのログインを簡単に取得できます。この動作は WordPress で設計により有効化されており、世界中のハッカーに愛されています。この設定を有効にすると、Web サイトは 404 Page Not Found を返します。

フィードを無効にする

プラグインは、RSS、Atom、および RDF フィードへのアクセスをブロックします。これにより、ハッカーが Web サイトにインストールされているソフトウェアの種類を見つけ出し、WordPress へのさらなる攻撃を調整するために役立つ追加情報を収集することはできなくなります。この設定を有効にすると、Web サイトは 404 Page Not Found を返します。

注:上記のすべての設定は、ホワイト IP アクセス リストのホストには影響しません。たとえば、ホワイト IP アクセス リストに追加するだけで、ホーム コンピューターの IP アドレスの XML-RPC 経由で投稿を公開することを簡単に許可できます。

Web サーバーへの root アクセス権がある場合は、次のヒントを使用することをお勧めします: WP Cerber と NGINX で WordPress を強化する