Härten von WordPress mit WP Cerber
Es ist einfach, WordPress zu schützen, indem Sie wesentliche WP Cerber-Sicherheitsfunktionen aktivieren.
English version: Hardening WordPress with WP Cerber
Alle vorgeschlagenen Einstellungen werden für die meisten Websites im Internet dringend empfohlen. Wenn Sie aus irgendeinem Grund Zugriff auf die auf dieser Seite aufgelisteten Funktionen und Features von einem bestimmten Computer oder einem IP-Netzwerk aus gewähren müssen, müssen Sie diese zur White IP Access List hinzufügen.
Deaktivieren Sie die REST-API
Das Plugin schränkt den Zugriff auf die WordPress-REST-API ein. Die Möglichkeit, unsichtbare Anfragen an den Kern Ihres WordPress zu senden, macht Hacker noch glücklicher als die Möglichkeit, Websites mit XML-RPC zu hacken. Wenn Sie die WordPress-REST-API nicht verwenden, deaktivieren Sie sie!
Aktivieren Sie REST-API für angemeldete Benutzer zulassen, wenn Sie die Verwendung der REST-API für jeden autorisierten WordPress-Benutzer ohne Einschränkung zulassen möchten.
Die detaillierte Anleitung: Beschränken Sie den Zugriff auf die WordPress REST API
Warum es wichtig ist, den Zugriff auf die WordPress-REST-API einzuschränken
Deaktivieren Sie XML-RPC
Das Plugin blockiert den Zugriff auf den XML-RPC-Server einschließlich Pingbacks und Trackbacks. Wussten Sie, dass Hacker diesen versteckten Zugang nutzen, um heimlich Logins herauszufinden? Haben Sie ein CAPTCHA oder reCAPTCHA in Ihrem Anmeldeformular zum Schutz vor Bots? Seien Sie nicht albern, moderne Bots verwenden XML-RPC und die WP-REST -API, um Ihr WordPress brutal zu erzwingen, und Sie wissen nicht einmal, wie und wann sie das tun, weil kein CAPTCHA für XML-RPC-Anforderungen funktioniert. Heutzutage macht XML-RPC Hacker glücklich und sie lieben es sehr. Nachdem Sie diese Einstellung aktiviert haben, gibt Ihre Website 404 Page Not Found für alle XML-RPC-Anforderungen zurück, es sei denn, Sie machen eine Ausnahme für Hosts mit White IP Access List .
Hinweis: Wenn Sie das Jetpack -Plugin verwenden, das mit wordpress.com kommunizieren muss, deaktivieren Sie XML-RPC nicht.
Beenden Sie die Benutzeraufzählung
Das Plugin blockiert den Zugriff auf spezielle Autorenseiten wie /?author=N und die Möglichkeit, Benutzerdaten über die REST-API abzurufen. Eindringlinge und Hacker können ganz einfach alle Logins aller Benutzer auf Ihrer Website abrufen, indem sie einfach Zahlen von 1 bis zu einer beliebigen Zahl scannen. Dieses Verhalten ist in WordPress absichtlich aktiviert und Hacker auf der ganzen Welt lieben es sehr. Nachdem Sie diese Einstellung aktiviert haben, wird Ihre Website 404 Page Not Found zurückgeben.
Feeds deaktivieren
Das Plugin blockiert den Zugriff auf RSS-, Atom- und RDF-Feeds. Dadurch können Hacker nicht herausfinden, welche Art von Software auf Ihrer Website installiert ist, und zusätzliche hilfreiche Informationen sammeln, um weitere Angriffe auf Ihr WordPress auszurichten. Nachdem Sie diese Einstellung aktiviert haben, wird Ihre Website 404 Page Not Found zurückgeben.
Hinweis: Alle diese oben genannten Einstellungen wirken sich nicht auf Hosts in der White IP Access List aus, und Sie können beispielsweise ganz einfach das Veröffentlichen von Beiträgen über XML-RPC für die IP-Adresse Ihres Heimcomputers zulassen, indem Sie ihn einfach zur White IP Access List hinzufügen.
Wenn Sie Root-Zugriff auf Ihren Webserver haben, wird empfohlen, diese Tipps zu verwenden: Härten von WordPress mit WP Cerber und NGINX
Gergory, if you use the plugin to block access to RSS feeds, would that affect a podcast feed?
Yes of course. Because any podcast feed use the same RSS feed and engine as regular posts. Do you want to block all RSS feeds except those that contain attached media files?