iThemes Security Pro 功能聚焦 – WordPress 调整

在 Feature Spotlight 帖子中，我们将重点介绍 iThemes Security Pro 插件中的一项功能，并分享一些关于我们开发该功能的原因、该功能适用​​于谁以及如何使用该功能的一些信息。

今天我们将介绍 WordPress Tweaks，这是一组保护 WordPress 网站安全的工具。

为什么你应该使用 WordPress 调整

WordPress 的一大优势是它与第三方工具和服务的兼容性。 但是，如果您不利用这些服务，您的网站上就会有不必要的入口点，黑客可能会利用这些入口点。

WordPress 还提供了其他便利，允许攻击者放大蛮力攻击，甚至对存储在服务器上的文件进行恶意更改。

您应该使用 iThemes Security Pro WordPress Tweaks 设置，因为它们是一组专门设计用于强化 WordPress 潜在弱点的工具。

如何在 iThemes Security Pro 中使用 WordPress 调整

要开始使用 WordPress Tweaks，请单击安全菜单中的高级链接。

进入高级菜单后。 单击WordPress 调整选项卡。

WordPress 调整设置

WordPress 调整分为 2 个部分，API 访问和用户。 让我们仔细看看这些设置。

接口访问

1. XML-RPC

禁用文件编辑器设置禁用插件和主题的 WordPress 文件编辑器。 禁用 WordPress 文件编辑器可为您的网站增加大量安全性。

如果黑客可以成功入侵您的网站，WP 文件编辑器将允许他们对存储在您服务器上的文件进行恶意更改。 但是，如果您禁用 WP 文件编辑器，黑客仍然需要服务器凭据才能对您的插件和主题进行恶意更改。

WordPress 的 XML-RPC 功能允许外部服务访问和修改站点上的内容。 例如，Jetpack 需要 XML-RPC 连接到 WordPress 网站并修改内容。

iThemes Security Pro 中的XML-RPC设置有 3 个选项：

• 禁用 XML-RPC – 在站点上禁用 XML-RPC 。 如果不使用 Jetpack、WordPress 移动应用程序、pingback 和其他使用 XML-RPC 的服务，则强烈建议使用此设置。
• 禁用 Pingbacks – 仅禁用 Pingbacks。 其他 XML-RPC 功能将正常工作。 如果您需要 Jetpack 或 WordPress 移动应用程序等功能，请选择此设置。
• 启用 XML-RPC – XML-RPC 已完全启用并将正常运行。 仅当站点必须不受限制地使用 XML-RPC 时才使用此设置。

如果您不使用任何使用 XML-RPC 的服务，我们建议您使用禁用 XML-RPC选项。

2. 每个 XML-RPC 请求的多次身份验证尝试

除了使用登录表单之外，还有其他方法可以登录 WordPress。 使用 XML-RPC，攻击者可以在单个 HTTP 请求中进行数百次用户名和密码尝试。

蛮力放大方法允许攻击者在几个 HTTP 请求中使用 XML-RPC 进行数千次用户名和密码尝试。

iThemes Security Pro 中每个 XML-RPC 请求的多重身份验证尝试设置有两个选项：

• 阻止– 阻止包含多次登录尝试的 XML-RPC 请求。 强烈推荐此设置。
• 允许– 允许包含多次登录尝试的 XML-RPC 请求。 仅当服务需要时才使用此设置。

使用多个身份验证尝试每个 XML-RPC 请求块选项将阻止每个 XML-RPC 请求的多个身份验证尝试。 将每个请求的用户名和密码尝试次数限制为一次，将大大有助于保护您的 WordPress 登录。

3. REST API

WordPress REST API 是 WordPress 的一部分，为开发人员提供了管理 WordPress 的新方法。

默认情况下，REST API 可用于访问您可能认为在您的站点上是私有的信息，包括：

• 所有帖子类型的已发布帖子，包括那些看起来不像帖子的帖子，例如产品或会员计划。
• 可能包括没有任何已发布帖子或页面的用户的用户详细信息。
• 媒体库条目可能会公开未在任何地方公开链接的下载媒体的链接。 这可能包括下载会员专享内容的链接、由某些插件创建的备份或添加到媒体库的任何其他类型的文件。 （请注意，BackupBuddy 备份未存储在媒体库中，并且无法通过 REST API 访问。）

iThemes Security Pro 中的 REST API 设置有两个选项。：

• 受限访问– 限制对大多数 REST API 数据的访问。 这意味着大多数请求将需要登录用户或具有特定权限的用户，从而阻止对潜在私有数据的公开请求。 我们建议选择此选项。
• 默认访问– 对 REST API 数据的访问保留为默认设置。 包括已发布帖子、用户详细信息和媒体库条目在内的信息可供公众访问。

我们建议使用受限访问选项来限制对私人信息的访问。

用户

1. 禁用文件编辑器

禁用文件编辑器设置禁用插件和主题的 WordPress 文件编辑器。 禁用 WordPress 文件编辑器可为您的网站增加大量安全性。

如果黑客可以成功入侵您的网站，WP 文件编辑器将允许他们对存储在您服务器上的文件进行恶意更改。 但是，如果您禁用 WP 文件编辑器，黑客仍然需要服务器凭据才能对您的插件和主题进行恶意更改。

2.强制唯一昵称

强制唯一昵称设置强制用户在更新其个人资料或创建新帐户时选择唯一昵称。 使用唯一的昵称可以防止机器人和攻击者从作者页面上的代码中轻松获取用户的登录用户名。 请注意，这不会自动更新现有用户，因为如果使用它会影响作者提要 URL。

强制用户使用唯一的昵称是通过默默无闻来确保安全的另一个例子。 您最好启用 iThemes Security Pro 密码要求和双重身份验证功能来保护您的 WordPress 登录。

3.禁用额外的用户档案

iThemes Security Pro 中的禁用额外用户档案设置通过禁用未发布到您网站的用户的发布档案，使机器人更难确定用户名。

如果用户的帖子数为 0，则禁用用户的作者页面是通过默默无闻实现安全的另一个示例。 您最好启用 iThemes Security Pro 密码要求和双因素身份验证功能来保护您的 WordPress 登录。

4. 使用电子邮件地址或用户名登录

默认情况下，WordPress 允许用户使用电子邮件地址或用户名登录。 使用电子邮件地址或用户名登录设置允许您将登录限制为仅接受电子邮件地址或用户名。

iThemes Security Pro 中的使用电子邮件地址或用户名登录设置有三个选项：

• 电子邮件地址和用户名（默认） - 允许用户使用其用户的电子邮件地址或用户名登录。 这是默认的 WordPress 行为。
• 仅限电子邮件地址- 用户只能使用其用户的电子邮件地址登录。 这将禁用使用用户名登录。
• 仅用户名- 用户只能使用其用户名登录。 这将禁用使用电子邮件地址登录。

将登录限制到电子邮件地址可能会增加一些防止暴力攻击的保护。 虽然机器人可以抓取作者的页面以获取用户名，但它们不太可能抓取网站以获取用户电子邮件地址。

但同样，您最好启用 iThemes Security Pro 密码要求和双因素身份验证功能来保护您的 WordPress 登录。

总结：WordPress 调整以加强 WordPress 安全性

iThemes Security Pro 中的 WordPress 调整专门设计用于加强 WordPress 网站的安全性。 使用 iThemes Security Pro 插件，您还可以为您的网站添加这些额外的安全层，包括：

• 两步验证
• 无密码登录
• 文件更改检测
• 本地蛮力保护

迈克尔·摩尔

每周，Michael 都会汇总 WordPress 漏洞报告，以帮助确保您的网站安全。 作为 iThemes 的产品经理，他帮助我们继续改进 iThemes 产品阵容。 他是一个巨大的书呆子，喜欢学习所有新旧技术。 你可以找到迈克尔和他的妻子和女儿一起出去玩，在不工作的时候阅读或听音乐。