Обзор функций iThemes Security Pro - настройки WordPress

В сообщениях Feature Spotlight мы выделим функцию в плагине iThemes Security Pro и расскажем, почему мы разработали эту функцию, для кого эта функция предназначена и как ее использовать.

Сегодня мы рассмотрим WordPress Tweaks, набор инструментов для защиты вашего сайта WordPress.

Почему вам следует использовать твики WordPress

Одним из больших преимуществ WordPress является его совместимость со сторонними инструментами и службами. Однако, если вы не пользуетесь этими услугами, на вашем веб-сайте есть ненужные точки входа, которые потенциально может использовать хакер.

WordPress также предоставляет другие удобства, которые позволят злоумышленнику усилить атаку методом грубой силы или даже внести злонамеренные изменения в файлы, хранящиеся на вашем сервере.

Вам следует использовать настройки iThemes Security Pro WordPress Tweaks, потому что они представляют собой набор инструментов, специально предназначенных для защиты некоторых потенциальных слабых мест WordPress.

Как использовать настройки WordPress в iThemes Security Pro

Чтобы начать использовать WordPress Tweaks, щелкните ссылку « Дополнительно» в меню «Безопасность».

Как только вы окажетесь в расширенном меню. перейдите на вкладку WordPress Tweaks .

Настройки WordPress Tweaks

Настройки WordPress разбиты на 2 раздела: Доступ к API и Пользователи. Давайте подробнее рассмотрим эти настройки.

Доступ к API

1. XML-RPC

Параметр « Отключить редактор файлов» отключает редактор файлов WordPress для плагинов и тем. Отключение редактора файлов WordPress значительно повышает безопасность вашего сайта.

Если хакер может успешно взломать ваш веб-сайт, редактор файлов WP позволит ему внести злонамеренные изменения в файлы, хранящиеся на вашем сервере. Однако, если вы отключите редактор файлов WP, хакеру все равно потребуются учетные данные сервера для внесения вредоносных изменений в ваши плагины и темы.

Функция WordPress XML-RPC позволяет внешним службам получать доступ и изменять контент на сайте. Например, Jetpack требует XML-RPC для подключения к веб-сайтам WordPress и изменения содержимого.

Параметр XML-RPC в iThemes Security Pro имеет 3 варианта:

• Отключить XML-RPC - на сайте отключен XML-RPC . Этот параметр настоятельно рекомендуется, если не используются Jetpack, мобильное приложение WordPress, пингбеки и другие службы, использующие XML-RPC.
• Отключить пингбеки - отключить только пингбеки. Остальные функции XML-RPC будут работать в обычном режиме. Выберите этот параметр, если вам требуются такие функции, как Jetpack или мобильное приложение WordPress.
• Включить XML-RPC - XML-RPC полностью включен и будет работать в обычном режиме. Используйте этот параметр, только если на сайте должно быть неограниченное использование XML-RPC.

Мы рекомендуем использовать параметр « Отключить XML-RPC», если вы не используете какие-либо службы, использующие XML-RPC.

2. Множественные попытки аутентификации на запрос XML-RPC

Есть и другие способы входа в WordPress, помимо формы входа. Используя XML-RPC, злоумышленник может сделать сотни попыток ввода имени пользователя и пароля за один HTTP-запрос.

Метод усиления грубой силы позволяет злоумышленникам делать тысячи попыток ввода имени пользователя и пароля с помощью XML-RPC всего за несколько HTTP-запросов.

Параметр « Множественные попытки аутентификации на запрос XML-RPC» в iThemes Security Pro имеет два варианта:

• Блокировать - блокирует запросы XML-RPC, содержащие несколько попыток входа в систему. Настоятельно рекомендуется использовать этот параметр.
• Разрешить - разрешает запросы XML-RPC, содержащие несколько попыток входа в систему. Используйте этот параметр, только если он требуется службе.

Использование нескольких попыток аутентификации на XML-RPC запрос Блок опции позволит предотвратить несколько попыток аутентификации за запрос XML-RPC. Ограничение количества попыток ввода имени пользователя и пароля до одной для каждого запроса будет иметь большое значение для защиты вашего входа в WordPress.

3. REST API

WordPress REST API является частью WordPress и предоставляет разработчикам новые способы управления WordPress.

По умолчанию REST API может использоваться для доступа к информации, которая, по вашему мнению, является частной на вашем сайте, в том числе:

• Опубликованные сообщения всех типов сообщений, включая те, которые не похожи на сообщения, такие как продукты или программы для участников.
• Сведения о пользователях, которые могут включать пользователей, у которых нет опубликованных сообщений или страниц.
• Записи библиотеки мультимедиа, которые могут предоставлять ссылки для загрузки мультимедиа, на которые нигде нет публичных ссылок. Это могут быть ссылки для загрузки содержимого, предназначенного только для участников, резервные копии, созданные некоторыми плагинами, или файлы любого другого типа, добавленные в медиатеку. (Обратите внимание, что резервные копии BackupBuddy не хранятся в медиатеке и недоступны через REST API.)

Параметр REST API в iThemes Security Pro имеет два варианта:

• Ограниченный доступ - ограничьте доступ к большинству данных REST API. Это означает, что для большинства запросов потребуется зарегистрированный пользователь или пользователь с определенными привилегиями, блокирующими общедоступные запросы для потенциально конфиденциальных данных. Мы рекомендуем выбрать этот вариант.
• Доступ по умолчанию - доступ к данным REST API оставлен по умолчанию. Информация, включая опубликованные сообщения, сведения о пользователях и записи библиотеки мультимедиа, доступна для общего доступа.

Мы рекомендуем использовать параметр «Ограниченный доступ», чтобы ограничить доступ к личной информации.

Пользователи

1. Отключить редактор файлов.

Параметр « Отключить редактор файлов» отключает редактор файлов WordPress для плагинов и тем. Отключение редактора файлов WordPress значительно повышает безопасность вашего сайта.

Если хакер может успешно взломать ваш веб-сайт, редактор файлов WP позволит ему внести злонамеренные изменения в файлы, хранящиеся на вашем сервере. Однако, если вы отключите редактор файлов WP, хакеру все равно потребуются учетные данные сервера для внесения вредоносных изменений в ваши плагины и темы.

2. Принудительное использование уникального псевдонима

Параметр Force Unique Nickname заставляет пользователей выбирать уникальный псевдоним при обновлении своего профиля или создании новой учетной записи. Использование уникального псевдонима не позволяет ботам и злоумышленникам легко собирать имена пользователей для входа в систему из кода на страницах авторов. Обратите внимание, что это не обновляет автоматически существующих пользователей, так как это повлияет на URL-адреса каналов авторов, если они используются.

Принуждение пользователей к использованию уникального псевдонима - еще один пример защиты от неизвестности. Вам было бы лучше включить требования к паролю iThemes Security Pro и функции двухфакторной аутентификации для защиты вашего входа в WordPress.

3. Отключите дополнительные пользовательские архивы.

Параметр «Отключить дополнительные пользовательские архивы» в iThemes Security Pro усложняет ботам определение имен пользователей, отключая архивы сообщений для пользователей, которые не публикуют сообщения на вашем сайте.

Отключение страницы автора пользователя, если его количество сообщений равно 0, - еще один пример защиты от неизвестности. Вам было бы лучше включить требования к паролю iThemes Security Pro и функции двухфакторной аутентификации для защиты вашего входа в WordPress.

4. Войдите в систему, используя адрес электронной почты или имя пользователя.

По умолчанию WordPress позволяет пользователям входить в систему, используя адрес электронной почты или имя пользователя. Параметр « Вход с адресом электронной почты» или «Имя пользователя» позволяет ограничить вход в систему, чтобы принимать только адреса электронной почты или имена пользователей.

Настройка входа с адресом электронной почты или имени пользователя в iThemes Security Pro имеет три варианта:

• Адрес электронной почты и имя пользователя (по умолчанию) - разрешить пользователям входить в систему, используя адрес электронной почты или имя пользователя. Это поведение WordPress по умолчанию.
• Только адрес электронной почты - пользователи могут входить в систему только с использованием адреса электронной почты своего пользователя. Это отключает вход с использованием имени пользователя.
• Только имя пользователя - пользователи могут входить в систему только под своим именем пользователя. Это отключает вход с использованием адреса электронной почты.

Ограничение логинов адресами электронной почты может добавить немного защиты от атаки методом грубой силы. Хотя бот может очистить страницу автора на предмет имен пользователей, они с меньшей вероятностью будут очищать веб-сайт на предмет адресов электронной почты пользователей.

Но опять же, вам было бы лучше включить требования к паролю iThemes Security Pro и функции двухфакторной аутентификации для защиты вашего входа в WordPress.

Подведение итогов: настройки WordPress для повышения безопасности WordPress

Настройки WordPress в iThemes Security Pro были специально разработаны для усиления безопасности вашего веб-сайта WordPress. С помощью плагина iThemes Security Pro вы также можете добавить эти дополнительные уровни безопасности на свой веб-сайт, в том числе:

• Двухфакторная аутентификация
• Вход без пароля
• Обнаружение изменения файла
• Локальная защита от перебора

Майкл Мур

Каждую неделю Майкл составляет отчет об уязвимостях WordPress, чтобы обеспечить безопасность ваших сайтов. Как менеджер по продукту в iThemes, он помогает нам продолжать улучшать линейку продуктов iThemes. Он большой ботаник и любит узнавать обо всем, что есть в технологиях, старом и новом. Вы можете увидеть, как Майкл гуляет с женой и дочерью, читает или слушает музыку, когда не работает.