Wyróżnienie funkcji iThemes Security Pro – poprawki WordPress

W postach Feature Spotlight wyróżnimy funkcję we wtyczce iThemes Security Pro i podzielimy się nieco o tym, dlaczego opracowaliśmy tę funkcję, dla kogo jest przeznaczona i jak z niej korzystać.

Dzisiaj omówimy WordPress Tweaks, zbiór narzędzi do zabezpieczania Twojej witryny WordPress.

Dlaczego powinieneś używać poprawek WordPress

Jedną z wielkich zalet WordPressa jest jego kompatybilność z narzędziami i usługami innych firm. Jeśli jednak nie korzystasz z tych usług, masz niepotrzebne punkty wejścia w swojej witrynie, które haker może potencjalnie wykorzystać.

WordPress zapewnia również inne udogodnienia, które pozwolą atakującemu wzmocnić atak brute force, a nawet wprowadzić złośliwe zmiany w plikach przechowywanych na serwerze.

Powinieneś użyć ustawień iThemes Security Pro WordPress Tweaks, ponieważ są to zestaw narzędzi zaprojektowanych specjalnie w celu wzmocnienia niektórych potencjalnych słabych punktów WordPressa.

Jak korzystać z poprawek WordPress w iThemes Security Pro

Aby rozpocząć korzystanie z WordPress Tweaks, kliknij łącze Zaawansowane w menu Zabezpieczenia.

Gdy znajdziesz się w menu Zaawansowane. kliknij zakładkę Poprawki WordPress .

Ustawienia poprawek WordPress

Ulepszenia WordPressa są podzielone na 2 sekcje: Dostęp do API i Użytkownicy. Przyjrzyjmy się bliżej tym ustawieniom.

Dostęp do API

1. XML-RPC

Ustawienie Wyłącz edytor plików wyłącza edytor plików WordPress dla wtyczek i motywów. Wyłączenie edytora plików WordPress zwiększa bezpieczeństwo Twojej witryny.

Jeśli hakerowi uda się włamać do Twojej witryny, edytor plików WP pozwoli mu na wprowadzenie złośliwych zmian w plikach przechowywanych na serwerze. Jeśli jednak wyłączysz edytor plików WP, haker nadal będzie potrzebował poświadczeń serwera, aby wprowadzić złośliwe zmiany w twoich wtyczkach i motywach.

Funkcja XML-RPC WordPressa umożliwia zewnętrznym usługom dostęp i modyfikowanie zawartości witryny. Na przykład Jetpack wymaga XML-RPC do łączenia się z witrynami WordPress i modyfikowania treści.

Ustawienie XML-RPC w iThemes Security Pro ma 3 opcje:

• Wyłącz XML-RPC — XML-RPC jest wyłączony w witrynie. To ustawienie jest wysoce zalecane, jeśli Jetpack, aplikacja mobilna WordPress, pingbacki i inne usługi korzystające z XML-RPC nie są używane.
• Wyłącz pingbacki – Wyłącz tylko pingbacki. Inne funkcje XML-RPC będą działać normalnie. Wybierz to ustawienie, jeśli potrzebujesz funkcji, takich jak Jetpack lub aplikacja mobilna WordPress.
• Włącz XML-RPC — XML-RPC jest w pełni włączony i będzie działać normalnie. Użyj tego ustawienia tylko wtedy, gdy witryna musi mieć nieograniczone korzystanie z XML-RPC.

Zalecamy użycie opcji Wyłącz XML-RPC , jeśli nie korzystasz z żadnych usług korzystających z XML-RPC.

2. Wiele prób uwierzytelnienia na żądanie XML-RPC

Istnieją inne sposoby logowania się do WordPressa poza użyciem formularza logowania. Korzystając z XML-RPC, osoba atakująca może wykonać setki prób podania nazwy użytkownika i hasła w jednym żądaniu HTTP.

Metoda amplifikacji brute force umożliwia atakującym tysiące prób nazwy użytkownika i hasła przy użyciu XML-RPC w zaledwie kilku żądaniach HTTP.

Ustawienie Wiele prób uwierzytelnienia na żądanie XML-RPC w iThemes Security Pro ma dwie opcje:

• Blokuj — blokuje żądania XML-RPC, które zawierają wiele prób logowania. To ustawienie jest wysoce zalecane.
• Zezwól — zezwala na żądania XML-RPC, które zawierają wiele prób logowania. Używaj tego ustawienia tylko wtedy, gdy wymaga tego usługa.

Użycie opcji Wiele prób uwierzytelnienia na blok żądań XML-RPC zapobiegnie wielokrotnym próbom uwierzytelnienia na żądanie XML-RPC. Ograniczenie liczby prób podania nazwy użytkownika i hasła do jednego na każde żądanie znacznie pomoże w zabezpieczeniu logowania do WordPressa.

3. REST API

WordPress REST API jest częścią WordPressa i zapewnia programistom nowe sposoby zarządzania WordPressem.

Domyślnie REST API może służyć do uzyskiwania dostępu do informacji, które Twoim zdaniem są prywatne w Twojej witrynie, w tym:

• Opublikowane posty wszystkich typów, w tym te, które nie wyglądają jak posty, takie jak produkty lub programy członkowskie.
• Dane użytkownika, które mogą obejmować użytkowników, którzy nie mają żadnych opublikowanych postów ani stron.
• Wpisy w bibliotece multimediów, które mogą udostępniać łącza do multimediów do pobrania, które nie są nigdzie publicznie połączone. Może to obejmować łącza do pobierania treści tylko dla członków, kopii zapasowych utworzonych przez niektóre wtyczki lub dowolnego innego rodzaju pliku dodanego do biblioteki multimediów. (Pamiętaj, że kopie zapasowe BackupBuddy nie są przechowywane w bibliotece multimediów i nie są dostępne za pośrednictwem interfejsu API REST.)

Ustawienie REST API w iThemes Security Pro ma dwie opcje.:

• Ograniczony dostęp — ogranicz dostęp do większości danych REST API. Oznacza to, że większość żądań będzie wymagała zalogowanego użytkownika lub użytkownika z określonymi uprawnieniami, blokując publiczne żądania dotyczące potencjalnie prywatnych danych. Zalecamy wybranie tej opcji.
• Dostęp domyślny – dostęp do danych REST API jest pozostawiony jako domyślny. Informacje, w tym opublikowane posty, dane użytkownika i wpisy biblioteki multimediów, są dostępne publicznie.

Zalecamy korzystanie z opcji Ograniczony dostęp, aby ograniczyć dostęp do prywatnych informacji.

Użytkownicy

1. Wyłącz edytor plików

Ustawienie Wyłącz edytor plików wyłącza edytor plików WordPress dla wtyczek i motywów. Wyłączenie edytora plików WordPress zwiększa bezpieczeństwo Twojej witryny.

Jeśli hakerowi uda się włamać do Twojej witryny, edytor plików WP pozwoli mu na wprowadzenie złośliwych zmian w plikach przechowywanych na serwerze. Jeśli jednak wyłączysz edytor plików WP, haker nadal będzie potrzebował poświadczeń serwera, aby wprowadzić złośliwe zmiany w twoich wtyczkach i motywach.

2. Wymuś unikalny pseudonim

Ustawienie Wymuś unikalny pseudonim zmusza użytkowników do wybrania unikalnego pseudonimu podczas aktualizacji profilu lub tworzenia nowego konta. Używanie unikalnego pseudonimu uniemożliwia botom i atakującym łatwe pozyskiwanie nazw logowania użytkowników z kodu na stronach autorów. Pamiętaj, że nie powoduje to automatycznej aktualizacji istniejących użytkowników, ponieważ w przypadku ich użycia wpłynie to na adresy URL kanału autora.

Zmuszenie użytkowników do używania unikalnego pseudonimu to kolejny przykład zabezpieczenia przez ukrywanie. Lepiej byłoby włączyć wymagania dotyczące hasła iThemes Security Pro i funkcje uwierzytelniania dwuskładnikowego, aby zabezpieczyć logowanie do WordPressa.

3. Wyłącz dodatkowe archiwa użytkowników

Ustawienie Wyłącz dodatkowe archiwa użytkowników w iThemes Security Pro utrudnia botom określenie nazw użytkowników poprzez wyłączenie archiwów postów dla użytkowników, którzy nie publikują postów w Twojej witrynie.

Wyłączenie strony autora użytkownika, jeśli liczba jego postów wynosi 0, to kolejny przykład zabezpieczenia przez ukrywanie. Lepiej byłoby włączyć wymagania dotyczące hasła iThemes Security Pro i funkcje uwierzytelniania dwuskładnikowego, aby zabezpieczyć logowanie WordPress.

4. Zaloguj się za pomocą adresu e-mail lub nazwy użytkownika

Domyślnie WordPress umożliwia użytkownikom logowanie się przy użyciu adresu e-mail lub nazwy użytkownika. Ustawienie Zaloguj się za pomocą adresu e-mail lub nazwy użytkownika pozwala ograniczyć logowanie do akceptowania tylko adresów e-mail lub nazw użytkowników.

Ustawienie Zaloguj się za pomocą adresu e-mail lub nazwy użytkownika w iThemes Security Pro ma trzy opcje:

• Adres e-mail i nazwa użytkownika (domyślnie) — umożliwia użytkownikom logowanie się przy użyciu adresu e-mail lub nazwy użytkownika. To jest domyślne zachowanie WordPressa.
• Tylko adres e-mail — użytkownicy mogą logować się tylko przy użyciu adresu e-mail swojego użytkownika. Wyłącza to logowanie przy użyciu nazwy użytkownika.
• Tylko nazwa użytkownika — Użytkownicy mogą logować się tylko przy użyciu nazwy użytkownika. Wyłącza to logowanie za pomocą adresu e-mail.

Ograniczenie logowania do adresów e-mail może zapewnić nieco ochronę przed atakiem typu brute force. Podczas gdy bot może zeskrobać stronę autora w poszukiwaniu nazw użytkowników, jest mniej prawdopodobne, że zeskrobuje witrynę w poszukiwaniu adresów e-mail użytkowników.

Ale znowu, lepiej byłoby włączyć wymagania dotyczące hasła iThemes Security Pro i funkcje uwierzytelniania dwuskładnikowego, aby zabezpieczyć logowanie WordPress.

Podsumowanie: poprawki WordPress w celu wzmocnienia bezpieczeństwa WordPress

Poprawki WordPress w iThemes Security Pro zostały specjalnie zaprojektowane, aby wzmocnić bezpieczeństwo Twojej witryny WordPress. Dzięki wtyczce iThemes Security Pro możesz również dodać te dodatkowe warstwy bezpieczeństwa do swojej witryny, w tym:

• Uwierzytelnianie dwuskładnikowe
• Logowanie bez hasła
• Wykrywanie zmiany pliku
• Lokalna ochrona przed brutalną siłą

Michael Moore

Co tydzień Michael opracowuje raport na temat luk w zabezpieczeniach WordPressa, aby pomóc chronić Twoje witryny. Jako Product Manager w iThemes pomaga nam w dalszym ulepszaniu linii produktów iThemes. Jest wielkim kujonem i uwielbia uczyć się wszystkich rzeczy technicznych, starych i nowych. Możesz znaleźć Michaela spędzającego czas z żoną i córką, czytającego lub słuchającego muzyki, gdy nie pracuje.