Security Blog
Security Blog
Posted By Gregory

Härten von WordPress mit WP Cerber

Es ist einfach, WordPress zu schützen, indem Sie wesentliche WP Cerber-Sicherheitsfunktionen aktivieren.

English version: Hardening WordPress with WP Cerber


Alle vorgeschlagenen Einstellungen werden für die meisten Websites im Internet dringend empfohlen. Wenn Sie aus irgendeinem Grund Zugriff auf die auf dieser Seite aufgelisteten Funktionen und Features von einem bestimmten Computer oder einem IP-Netzwerk aus gewähren müssen, müssen Sie diese zur White IP Access List hinzufügen.

Deaktivieren Sie die REST-API

Das Plugin schränkt den Zugriff auf die WordPress-REST-API ein. Die Möglichkeit, unsichtbare Anfragen an den Kern Ihres WordPress zu senden, macht Hacker noch glücklicher als die Möglichkeit, Websites mit XML-RPC zu hacken. Wenn Sie die WordPress-REST-API nicht verwenden, deaktivieren Sie sie!

Aktivieren Sie REST-API für angemeldete Benutzer zulassen, wenn Sie die Verwendung der REST-API für jeden autorisierten WordPress-Benutzer ohne Einschränkung zulassen möchten.

Die detaillierte Anleitung: Beschränken Sie den Zugriff auf die WordPress REST API

Warum es wichtig ist, den Zugriff auf die WordPress-REST-API einzuschränken

Deaktivieren Sie XML-RPC

Das Plugin blockiert den Zugriff auf den XML-RPC-Server einschließlich Pingbacks und Trackbacks. Wussten Sie, dass Hacker diesen versteckten Zugang nutzen, um heimlich Logins herauszufinden? Haben Sie ein CAPTCHA oder reCAPTCHA in Ihrem Anmeldeformular zum Schutz vor Bots? Seien Sie nicht albern, moderne Bots verwenden XML-RPC und die WP-REST -API, um Ihr WordPress brutal zu erzwingen, und Sie wissen nicht einmal, wie und wann sie das tun, weil kein CAPTCHA für XML-RPC-Anforderungen funktioniert. Heutzutage macht XML-RPC Hacker glücklich und sie lieben es sehr. Nachdem Sie diese Einstellung aktiviert haben, gibt Ihre Website 404 Page Not Found für alle XML-RPC-Anforderungen zurück, es sei denn, Sie machen eine Ausnahme für Hosts mit White IP Access List .

Hinweis: Wenn Sie das Jetpack -Plugin verwenden, das mit wordpress.com kommunizieren muss, deaktivieren Sie XML-RPC nicht.

Beenden Sie die Benutzeraufzählung

Das Plugin blockiert den Zugriff auf spezielle Autorenseiten wie /?author=N und die Möglichkeit, Benutzerdaten über die REST-API abzurufen. Eindringlinge und Hacker können ganz einfach alle Logins aller Benutzer auf Ihrer Website abrufen, indem sie einfach Zahlen von 1 bis zu einer beliebigen Zahl scannen. Dieses Verhalten ist in WordPress absichtlich aktiviert und Hacker auf der ganzen Welt lieben es sehr. Nachdem Sie diese Einstellung aktiviert haben, wird Ihre Website 404 Page Not Found zurückgeben.

Feeds deaktivieren

Das Plugin blockiert den Zugriff auf RSS-, Atom- und RDF-Feeds. Dadurch können Hacker nicht herausfinden, welche Art von Software auf Ihrer Website installiert ist, und zusätzliche hilfreiche Informationen sammeln, um weitere Angriffe auf Ihr WordPress auszurichten. Nachdem Sie diese Einstellung aktiviert haben, wird Ihre Website 404 Page Not Found zurückgeben.

Hinweis: Alle diese oben genannten Einstellungen wirken sich nicht auf Hosts in der White IP Access List aus, und Sie können beispielsweise ganz einfach das Veröffentlichen von Beiträgen über XML-RPC für die IP-Adresse Ihres Heimcomputers zulassen, indem Sie ihn einfach zur White IP Access List hinzufügen.

Wenn Sie Root-Zugriff auf Ihren Webserver haben, wird empfohlen, diese Tipps zu verwenden: Härten von WordPress mit WP Cerber und NGINX

I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments