Укрепление WordPress с помощью WP Cerber
Защитить WordPress легко, включив основные функции WP Cerber Security.
English version: Hardening WordPress with WP Cerber
Все предлагаемые настройки настоятельно рекомендуются для большинства веб-сайтов в Интернете. Если вам по какой-либо причине необходимо предоставить доступ к функциям и возможностям, перечисленным на этой странице, с определенного компьютера или IP-сети, вам необходимо добавить их в Белый список IP-доступа .
Отключить REST-API
Плагин ограничивает доступ к WordPress REST API. Возможность отправлять невидимые запросы к ядру вашего WordPress делает хакеров еще более счастливыми, чем возможность взламывать веб-сайты с помощью XML-RPC. Если вы не используете WordPress REST API, отключите его!
Установите флажок Разрешить REST API для зарегистрированных пользователей , если вы хотите разрешить использование REST API для любого авторизованного пользователя WordPress без ограничений.
Подробная инструкция: Ограничить доступ к WordPress REST API
Почему важно ограничить доступ к WordPress REST API
Отключить XML-RPC
Плагин блокирует доступ к серверу XML-RPC, включая Pingbacks и Trackbacks. Знаете ли вы, что хакеры используют этот скрытый вход, чтобы тайком узнать логины? У вас есть CAPTCHA или reCAPTCHA в форме входа для защиты от ботов? Не глупите, современные боты используют XML-RPC и WP REST API для грубой силы вашего WordPress , и вы даже не знаете, как и когда они это делают, потому что никакая CAPTCHA не работает для запросов XML-RPC. В настоящее время XML-RPC делает хакеров счастливыми, и они его очень любят. После активации этого параметра ваш веб-сайт будет возвращать 404 Страница не найдена для любых запросов XML-RPC, если вы не сделаете исключение для хостов с белым списком доступа IP .
Примечание. Если вы используете подключаемый модуль Jetpack , которому необходимо обмениваться данными с wordpress.com, не отключайте XML-RPC.
Остановить перечисление пользователей
Плагин блокирует доступ к специальным авторским страницам, таким как /?author=N, и возможность получения пользовательских данных через REST API. Злоумышленники и хакеры могут легко получить все логины всех пользователей на вашем сайте, просто сканируя числа от 1 до любого числа, которое они хотят. Это поведение включено в WordPress по дизайну, и хакерам во всем мире это очень нравится. После активации этой настройки ваш сайт будет возвращать 404 Страница не найдена.
Отключить фиды
Плагин блокирует доступ к каналам RSS, Atom и RDF. Это не позволяет хакерам узнать, какое программное обеспечение установлено на вашем сайте, и собрать дополнительную полезную информацию для настройки дальнейших атак на ваш WordPress. После активации этой настройки ваш сайт будет возвращать 404 Страница не найдена.
Примечание. Все эти настройки выше не влияют на хосты в белом списке доступа по IP-адресам, и вы можете легко разрешить, например, публикацию сообщений через XML-RPC для IP-адреса вашего домашнего компьютера, просто добавив его в белый список доступа по IP-адресам.
Если у вас есть root-доступ к вашему веб-серверу, рекомендуется использовать эти советы: Повышение безопасности WordPress с помощью WP Cerber и NGINX .
Gergory, if you use the plugin to block access to RSS feeds, would that affect a podcast feed?
Yes of course. Because any podcast feed use the same RSS feed and engine as regular posts. Do you want to block all RSS feeds except those that contain attached media files?