Posted By Gregory

Pierwsze kroki z zabezpieczeniami WP Cerber

Bez obaw. Bezpieczeństwo WordPressa to już nie nauka o rakietach.


English version: Getting Started with WP Cerber Security


Po zainstalowaniu i aktywacji wtyczki ładuje ona zestaw niezbędnych ustawień. Pozwalają WP Cerber skutecznie chronić Twoją witrynę. Niemniej jednak, aby jak najlepiej wykorzystać WP Cerber i chronić WordPressa w najskuteczniejszy sposób, musisz starannie skonfigurować wtyczkę.

1. Upewnij się, że Cerber poprawnie wykrywa adresy IP

  1. Otwórz stronę Jaki jest mój adres IP w przeglądarce
  2. Otwórz drugą kartę przeglądarki (okno) i przejdź do zakładki Narzędzia / Diagnostyka instalacji WP Cerber na swojej stronie internetowej.
  3. Znajdź wiersz „Twój adres IP został wykryty jako” w sekcji „Informacje o systemie”.
  4. Porównaj adres IP na stronie Jaki jest mój adres IP z adresem IP wyświetlonym w wierszu „Twój adres IP został wykryty jako”.
  5. Powinieneś zobaczyć dwa identyczne adresy IP. Jeśli widzisz dwa różne adresy IP, musisz sprawdzić , czy Moja witryna znajduje się za zwrotnym serwerem proxy w głównych ustawieniach wtyczki i powtórzyć powyższe kroki.
  6. Jeśli nadal widzisz dwa różne adresy IP, a witryna nie znajduje się za serwerem proxy, postępuj zgodnie z poniższymi instrukcjami: Rozwiązywanie problemu z nieprawidłowym wykrywaniem adresu IP
  7. Jeszcze jeden krok, jeśli Twój WordPress jest pod Cloudflare

2. Włącz ładowanie wtyczki w trybie standardowym

Przejdź do Ustawień głównych i ustaw opcję Mechanizm zabezpieczeń obciążenia na Tryb standardowy .

3. Upewnij się, że otrzymujesz powiadomienia e-mail

Po aktywacji wtyczki wysyła ona wiadomość powitalną na adres e-mail administratora witryny. Jeśli nie otrzymałeś powitalnego e-maila, upewnij się, że adres e-mail widoczny na karcie Powiadomienia jest poprawny, a e-maile z wtyczki nie trafiają do folderu ze spamem. Jeśli nie otrzymałeś powitalnego e-maila, najprawdopodobniej nie będziesz otrzymywać innych ważnych powiadomień. Możesz wprowadzić alternatywne adresy e-mail w polu tekstowym Adres e-mail . Aby przetestować dostawę, kliknij dowolny link Kliknij, aby wysłać test .

Czytaj więcej: Jak skonfigurować powiadomienia mobilne na smartfonie

4. Włącz niestandardową stronę logowania i rejestracji

Aby ukryć domyślną stronę logowania wp-login.php WordPress przed automatycznymi atakami i rejestracjami spamu, podaj własny niestandardowy adres URL logowania (strona logowania) i wyłącz wp-login.php. Uwaga: jeśli używasz wtyczki buforującej (takiej jak W3 Total Cache lub WP Super Cache), musisz dodać swój niestandardowy adres URL logowania do listy stron, które nie mają być buforowane.

Jak skonfigurować niestandardowy adres URL logowania do WordPress

5. Dodaj swój domowy lub biurowy adres IP do listy White IP Access

Jeśli pracujesz w domu lub w biurze na komputerze ze statycznym adresem IP, rozsądne jest dodanie tego adresu IP (lub całej sieci firmowej) do białej listy dostępu IP. Możesz osiągnąć dwa cele. Zapobiega przypadkowemu zablokowaniu dostępu do Twojej witryny i umożliwia ograniczenie dostępu do XML-RPC, REST API i innych ważnych części WordPress.

Przeczytaj więcej: Jak korzystać z list dostępu dla WordPress

6. Włącz ochronę przed spamem

Silnik antyspamowy Cerbera jest kompatybilny z większością narzędzi do tworzenia formularzy WordPress i jest w stanie chronić praktycznie każdy formularz. Na stronie administratora modułu antyspamowego włącz wszystkie niezbędne funkcje w sekcji silnika antyspamowego Cerber . Po włączeniu ochrony przed spamem upewnij się, że formularze w Twojej witrynie działają normalnie. Jeśli niektóre funkcje w witrynie przestały działać, włącz opcję Użyj mniej restrykcyjnych zasad (zezwól na AJAX) .

Wreszcie, pozwól wtyczce posprzątać bałagan ze spamowymi komentarzami. Wybierz całkowicie odrzucaj komentarze będące spamem lub oznaczaj je tylko jako spam . Włącz automatyczne przenoszenie spamu do kosza.

7. Ogranicz dostęp do REST API i XML-RPC

  1. Przejdź do strony administratora Hardening .
  2. Zaznacz Wyłącz interfejs API REST . W razie potrzeby określ wyjątki przestrzeni nazw dla interfejsu API REST. Na przykład, jeśli używasz formularza kontaktowego 7, przestrzeń nazw to contact-form-7 , a dla Jetpack to jetpack .
  3. Zaznacz Zezwalaj na REST API dla zalogowanych użytkowników, jeśli chcesz zezwolić na korzystanie z REST API każdemu autoryzowanemu użytkownikowi WordPressa bez ograniczeń.
  4. Zaznacz Wyłącz XML-RPC, jeśli nie używasz wtyczki Jetpack. Jeśli używasz XML-RPC tylko z określonych hostów, dodaj ich adresy IP do białej listy dostępu IP .

Czytaj więcej: Ogranicz dostęp do WordPress REST API

8. Określ listę zabronionych nazw użytkowników

Przejdź do strony administratora wtyczki Users i jeśli twoja lista jest nadal pusta, zalecamy umieszczenie na niej następujących nazw użytkowników: admin, administrator, manager, editor, user, demo, test .

Przeczytaj więcej o zabronionych nazwach użytkowników

9. Włącz uwierzytelnianie dwuskładnikowe

Aby chronić konta użytkowników i zapobiec przejmowaniu kont, włącz uwierzytelnianie dwuskładnikowe. Zapewnia dodatkową warstwę bezpieczeństwa wymagającą drugiego czynnika identyfikacji poza samą nazwą użytkownika i hasłem WordPress.

Czytaj więcej: Uwierzytelnianie dwuskładnikowe dla WordPress

10. Włącz maskowanie pól formularzy dla Traffic Inspector

Jeżeli włączyłeś zapisywanie pól formularzy do dziennika ( opcja Zapisz pola żądania jest włączona) i korzystasz z wtyczki generującej formularz logowania do Twojej witryny, musisz dodać nazwę pola formularza hasła do pola Maskuj te pola formularza na stronie ustawień Inspektora ruchu. WP Cerber zawsze maskuje pole hasła w domyślnym formularzu logowania WordPress oraz następujące pola formularza: „pwd”, „pass”, „password”.

Inspektor ruchu i rejestrowanie, jak to zrobić

11. Włącz wysyłanie złośliwych adresów IP do laboratorium Cerbera

Pozwól zespołowi ds. wtyczek udoskonalić algorytmy bezpieczeństwa we wtyczce i zoptymalizować jej wydajność. Przejdź do Ustawień głównych , w sekcji Aktywność włącz połączenie Cerber Lab . Dla lepszego bezpieczeństwa ustaw protokół Cerber Lab na HTTPS. Przeczytaj więcej o Laboratorium Cerbera .

12. Włącz alerty mobilne i powiadomienia e-mail

Jeśli chcesz mieć oko na określoną aktywność lub otrzymywać powiadomienia, gdy użytkownik zarejestruje się lub zaloguje w Twojej witrynie, odfiltruj określoną aktywność na karcie Aktywność i kliknij Utwórz powiadomienie . Przeczytaj więcej: Łatwe powiadomienia WordPress .

Masz pytanie lub potrzebujesz pomocy z WP Cerber?

"Uzyskaj

I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.