iThemes Security Pro Feature Spotlight - WordPress Tweaks

În postările Feature Spotlight, vom evidenția o caracteristică din pluginul iThemes Security Pro și vă vom împărtăși un pic despre motivul pentru care am dezvoltat funcția, pentru cine este destinată funcția și despre modul de utilizare a funcției.

Astăzi vom acoperi WordPress Tweaks, o colecție de instrumente pentru securizarea site-ului dvs. WordPress.

De ce ar trebui să utilizați WordPress Tweaks

Unul dintre marile avantaje ale WordPress este compatibilitatea sa cu instrumente și servicii terțe. Cu toate acestea, dacă nu profitați de aceste servicii, aveți puncte de intrare inutile pe site-ul dvs. pe care un hacker le-ar putea exploata.

WordPress oferă, de asemenea, alte facilități care ar permite unui atacator să amplifice un atac de forță brută sau chiar să aducă modificări rău intenționate fișierelor stocate pe serverul dvs.

Ar trebui să utilizați setările iThemes Security Pro WordPress Tweaks, deoarece acestea sunt un set de instrumente special concepute pentru a întări unele dintre potențialele puncte moi ale WordPress.

Cum se utilizează WordPress Tweaks în iThemes Security Pro

Pentru a începe să utilizați WordPress Tweaks, faceți clic pe linkul Advanced din meniul Security.

Odată ce sunteți în meniul Advanced. faceți clic pe fila WordPress Tweaks .

Setările WordPress Tweaks

WordPress Tweaks sunt împărțite în 2 secțiuni, acces API și utilizatori. Să aruncăm o privire mai atentă asupra acestor setări.

Acces API

1. XML-RPC

Setarea Disable File Editor dezactivează editorul de fișiere WordPress pentru pluginuri și teme. Dezactivarea editorului de fișiere WordPress adaugă o cantitate uriașă de securitate site-ului dvs. web.

Dacă un hacker poate intra cu succes pe site-ul dvs., editorul de fișiere WP le va permite să facă modificări rău intenționate la fișierele stocate pe serverul dvs. Cu toate acestea, dacă dezactivați editorul de fișiere WP, hackerul ar avea în continuare nevoie de acreditări de server pentru a face modificări rău intenționate pluginurilor și temelor dvs.

Funcția WordPress-XML-RPC permite serviciilor externe să acceseze și să modifice conținutul de pe site. De exemplu, Jetpack necesită XML-RPC pentru a se conecta la site-urile web WordPress și a modifica conținutul.

Setarea XML-RPC din iThemes Security Pro are 3 opțiuni:

• Dezactivați XML-RPC - XML-RPC este dezactivat pe site. Această setare este foarte recomandată dacă Jetpack, aplicația mobilă WordPress, pingbacks și alte servicii care utilizează XML-RPC nu sunt utilizate.
• Dezactivează Pingback-urile - Dezactivează numai pingback-urile. Alte caracteristici XML-RPC vor funcționa normal. Selectați această setare dacă aveți nevoie de funcții precum Jetpack sau aplicația WordPress Mobile.
• Activați XML-RPC - XML-RPC este complet activat și va funcționa normal. Utilizați această setare numai dacă site-ul trebuie să utilizeze fără restricții XML-RPC.

Vă recomandăm să utilizați opțiunea Dezactivare XML-RPC dacă nu utilizați niciun serviciu care utilizează XML-RPC.

2. Încercări de autentificare multiplă pentru fiecare cerere XML-RPC

Există și alte modalități de a vă conecta la WordPress pe lângă utilizarea unui formular de autentificare. Folosind XML-RPC, un atacator poate efectua sute de încercări de nume de utilizator și parolă într-o singură cerere HTTP.

Metoda de amplificare a forței brute permite atacatorilor să facă mii de încercări de nume de utilizator și parolă folosind XML-RPC în doar câteva solicitări HTTP.

Setarea Încercări de autentificare multiplă pentru fiecare cerere XML-RPC din iThemes Security Pro are două opțiuni:

• Blocare - Blochează cererile XML-RPC care conțin mai multe încercări de autentificare. Această setare este foarte recomandată.
• Permite - Permite solicitări XML-RPC care conțin mai multe încercări de autentificare. Folosiți această setare numai dacă un serviciu o solicită.

Utilizarea opțiunilor de încercare de autentificare multiplă pentru opțiunea de blocare a cererilor XML-RPC va preveni încercările de autentificare multiplă pentru fiecare cerere XML-RPC. Limitarea numărului de încercări de nume de utilizator și parolă la una pentru fiecare solicitare va ajuta mult în asigurarea autentificării dvs. WordPress.

3. API REST

API-ul WordPress REST face parte din WordPress și oferă dezvoltatorilor noi modalități de a gestiona WordPress.

În mod implicit, API-ul REST poate fi utilizat pentru a accesa informații despre care ați putea crede că sunt private pe site-ul dvs., inclusiv:

• Postări publicate de toate tipurile de postări, inclusiv cele care nu par postări, cum ar fi produse sau programe pentru membri.
• Detalii despre utilizatori care pot include utilizatori care nu au postări sau pagini publicate.
• Intrări de bibliotecă media care pot expune linkuri pentru a descărca suporturi media care nu sunt conectate public nicăieri. Aceasta ar putea include linkuri pentru a descărca conținut exclusiv pentru membri, copii de siguranță create de unele plugin-uri sau orice alt tip de fișier adăugat la biblioteca media. (Rețineți că backupurile BackupBuddy nu sunt stocate în biblioteca media și nu sunt accesibile prin intermediul API-ului REST.)

Setarea API REST din iThemes Security Pro are două opțiuni:

• Acces restricționat - restricționează accesul la majoritatea datelor API REST. Aceasta înseamnă că majoritatea cererilor vor necesita un utilizator conectat sau un utilizator cu privilegii specifice, blocând cererile publice pentru date potențial private. Vă recomandăm să selectați această opțiune.
• Acces implicit - Accesul la datele API REST este lăsat ca implicit. Informațiile, inclusiv postările publicate, detaliile utilizatorului și intrările din biblioteca media sunt disponibile pentru acces public.

Vă recomandăm să utilizați opțiunea Acces restricționat pentru a limita accesul la informații private.

Utilizatori

1. Dezactivați Editorul de fișiere

Setarea Disable File Editor dezactivează editorul de fișiere WordPress pentru pluginuri și teme. Dezactivarea editorului de fișiere WordPress adaugă o cantitate uriașă de securitate site-ului dvs. web.

Dacă un hacker poate intra cu succes pe site-ul dvs., editorul de fișiere WP le va permite să facă modificări rău intenționate la fișierele stocate pe serverul dvs. Cu toate acestea, dacă dezactivați editorul de fișiere WP, hackerul ar avea în continuare nevoie de acreditări de server pentru a face modificări rău intenționate pluginurilor și temelor dvs.

2. Forțează porecla unică

Setarea Forțează porecla unică îi obligă pe utilizatori să aleagă o poreclă unică atunci când își actualizează profilul sau creează un cont nou. Utilizarea unei porecle unice împiedică roboții și atacatorii să colecteze cu ușurință numele de utilizator de conectare ale utilizatorilor din codul de pe paginile autorului. Rețineți că acest lucru nu actualizează automat utilizatorii existenți, deoarece va afecta adresele URL ale feedului autorului dacă este utilizat.

Forțarea utilizatorilor să folosească o poreclă unică este un alt exemplu de securitate prin obscuritate. Ar fi mai bine să activați cerințele de parolă iThemes Security Pro și funcțiile de autentificare în doi factori pentru a vă securiza datele de conectare la WordPress.

3. Dezactivați Arhivele de utilizator suplimentare

Setarea Dezactivați arhivele utilizatorilor suplimentari din iThemes Security Pro face mai greu pentru roboți să stabilească numele de utilizator prin dezactivarea arhivelor de postare pentru utilizatorii care nu postează pe site-ul dvs.

Dezactivarea paginii de autor a unui utilizator dacă numărul de postări este 0 este un alt exemplu de securitate prin obscuritate. Ar fi mai bine să activați cerințele de parolă iThemes Security Pro și funcțiile de autentificare în doi factori pentru a vă securiza datele de conectare la WordPress.

4. Conectați-vă cu adresa de e-mail sau numele de utilizator

În mod implicit, WordPress permite utilizatorilor să se conecteze utilizând fie o adresă de e-mail, fie un nume de utilizator. Setarea Conectare cu adresă de e-mail sau nume de utilizator vă permite să restricționați conectările să accepte numai adrese de e-mail sau nume de utilizator.

Setarea Conectare cu adresă de e-mail sau nume de utilizator din iThemes Security Pro are trei opțiuni:

• Adresa de e-mail și numele de utilizator (implicit) - Permiteți utilizatorilor să se conecteze utilizând adresa de e-mail a utilizatorului sau numele de utilizator. Acesta este comportamentul WordPress implicit.
• Numai adresă de e-mail - Utilizatorii se pot conecta numai utilizând adresa de e-mail a utilizatorului lor. Aceasta dezactivează conectarea utilizând un nume de utilizator.
• Numai numele de utilizator - Utilizatorii se pot conecta numai utilizând numele de utilizator al utilizatorului. Aceasta dezactivează conectarea utilizând o adresă de e-mail.

Limitarea autentificărilor la adresele de e-mail poate adăuga un pic de protecție împotriva unui atac de forță brută. În timp ce un bot poate răzuie pagina autorului pentru nume de utilizator, este mai puțin probabil să răzuiască un site web pentru adresele de e-mail ale utilizatorilor.

Dar, din nou, ați fi mai bine să activați cerințele de parolă iThemes Security Pro și funcțiile de autentificare în doi factori pentru a vă securiza datele de conectare la WordPress.

Încheierea: ajustări WordPress pentru a consolida securitatea WordPress

WordPress Tweaks din iThemes Security Pro au fost concepute special pentru a întări securitatea site-ului dvs. WordPress. Cu pluginul iThemes Security Pro, puteți adăuga, de asemenea, aceste straturi suplimentare de securitate pe site-ul dvs. web, inclusiv:

• Autentificare cu doi factori
• Conectări fără parolă
• Detectarea modificării fișierului
• Protecție locală a forței brute

Michael Moore

În fiecare săptămână, Michael realizează Raportul de vulnerabilitate WordPress pentru a vă menține site-urile în siguranță. În calitate de manager de produs la iThemes, el ne ajută să continuăm să îmbunătățim gama de produse iThemes. Este un tocilar uriaș și iubește să învețe despre toate lucrurile tehnice, vechi și noi. Îl poți găsi pe Michael stând cu soția și fiica sa, citind sau ascultând muzică atunci când nu funcționează.