iThemes Security Pro 功能聚焦 – WordPress 調整

在 Feature Spotlight 帖子中，我們將重點介紹 iThemes Security Pro 插件中的一項功能，並分享一些關於我們開發該功能的原因、該功能適用於誰以及如何使用該功能的一些信息。

今天我們將介紹 WordPress Tweaks，這是一組保護 WordPress 網站安全的工具。

為什麼你應該使用 WordPress 調整

WordPress 的一大優勢是它與第三方工具和服務的兼容性。 但是，如果您不利用這些服務，您的網站上就會有不必要的入口點，黑客可能會利用這些入口點。

WordPress 還提供了其他便利，允許攻擊者放大暴力攻擊，甚至對存儲在服務器上的文件進行惡意更改。

您應該使用 iThemes Security Pro WordPress Tweaks 設置，因為它們是一組專門設計用於強化 WordPress 的一些潛在弱點的工具。

如何在 iThemes Security Pro 中使用 WordPress 調整

要開始使用 WordPress Tweaks，請單擊安全菜單中的高級鏈接。

進入高級菜單後。 單擊WordPress 調整選項卡。

WordPress 調整設置

WordPress 調整分為 2 個部分，API 訪問和用戶。 讓我們仔細看看這些設置。

接口訪問

1.XML-RPC

禁用文件編輯器設置禁用插件和主題的 WordPress 文件編輯器。 禁用 WordPress 文件編輯器可為您的網站增加大量安全性。

如果黑客可以成功入侵您的網站，WP 文件編輯器將允許他們對存儲在您服務器上的文件進行惡意更改。 但是，如果您禁用 WP 文件編輯器，黑客仍然需要服務器憑據才能對您的插件和主題進行惡意更改。

WordPress 的 XML-RPC 功能允許外部服務訪問和修改站點上的內容。 例如，Jetpack 需要 XML-RPC 連接到 WordPress 網站並修改內容。

iThemes Security Pro 中的XML-RPC設置有 3 個選項：

• 禁用 XML-RPC – 在站點上禁用 XML-RPC 。 如果不使用 Jetpack、WordPress 移動應用程序、pingback 和其他使用 XML-RPC 的服務，則強烈建議使用此設置。
• 禁用 Pingbacks – 僅禁用 Pingbacks。 其他 XML-RPC 功能將正常工作。 如果您需要 Jetpack 或 WordPress 移動應用程序等功能，請選擇此設置。
• 啟用 XML-RPC – XML-RPC 已完全啟用並將正常運行。 僅當站點必須不受限制地使用 XML-RPC 時才使用此設置。

如果您不使用任何使用 XML-RPC 的服務，我們建議您使用禁用 XML-RPC選項。

2. 每個 XML-RPC 請求的多次身份驗證嘗試

除了使用登錄表單之外，還有其他方法可以登錄 WordPress。 使用 XML-RPC，攻擊者可以在單個 HTTP 請求中進行數百次用戶名和密碼嘗試。

蠻力放大方法允許攻擊者在幾個 HTTP 請求中使用 XML-RPC 進行數千次用戶名和密碼嘗試。

iThemes Security Pro 中每個 XML-RPC 請求的多重身份驗證嘗試設置有兩個選項：

• 阻止– 阻止包含多次登錄嘗試的 XML-RPC 請求。 強烈推薦此設置。
• 允許– 允許包含多次登錄嘗試的 XML-RPC 請求。 僅當服務需要時才使用此設置。

使用多個身份驗證嘗試每個 XML-RPC 請求塊選項將阻止每個 XML-RPC 請求的多個身份驗證嘗試。 將每個請求的用戶名和密碼嘗試次數限制為一次，將大大有助於保護您的 WordPress 登錄。

3. REST API

WordPress REST API 是 WordPress 的一部分，為開發人員提供了管理 WordPress 的新方法。

默認情況下，REST API 可用於訪問您可能認為在您的站點上是私有的信息，包括：

• 所有帖子類型的已發布帖子，包括那些看起來不像帖子的帖子，例如產品或會員計劃。
• 可能包括沒有任何已發布帖子或頁面的用戶的用戶詳細信息。
• 媒體庫條目可能會公開未在任何地方公開鏈接的下載媒體的鏈接。 這可能包括下載會員專享內容的鏈接、由某些插件創建的備份或添加到媒體庫的任何其他類型的文件。 （請注意，BackupBuddy 備份未存儲在媒體庫中，並且無法通過 REST API 訪問。）

iThemes Security Pro 中的 REST API 設置有兩個選項。：

• 受限訪問– 限制對大多數 REST API 數據的訪問。 這意味著大多數請求將需要登錄用戶或具有特定權限的用戶，從而阻止對潛在私有數據的公開請求。 我們建議選擇此選項。
• 默認訪問– 對 REST API 數據的訪問保留為默認設置。 包括已發布帖子、用戶詳細信息和媒體庫條目在內的信息可供公眾訪問。

我們建議使用受限訪問選項來限制對私人信息的訪問。

用戶

1. 禁用文件編輯器

禁用文件編輯器設置禁用插件和主題的 WordPress 文件編輯器。 禁用 WordPress 文件編輯器可為您的網站增加大量安全性。

如果黑客可以成功入侵您的網站，WP 文件編輯器將允許他們對存儲在您服務器上的文件進行惡意更改。 但是，如果您禁用 WP 文件編輯器，黑客仍然需要服務器憑據才能對您的插件和主題進行惡意更改。

2.強制唯一暱稱

強制唯一暱稱設置強制用戶在更新其個人資料或創建新帳戶時選擇唯一暱稱。 使用唯一的暱稱可以防止機器人和攻擊者從作者頁面上的代碼中輕鬆獲取用戶的登錄用戶名。 請注意，這不會自動更新現有用戶，因為如果使用它會影響作者提要 URL。

強制用戶使用唯一的暱稱是通過默默無聞來確保安全的另一個例子。 您最好啟用 iThemes Security Pro 密碼要求和雙重身份驗證功能來保護您的 WordPress 登錄。

3.禁用額外的用戶檔案

iThemes Security Pro 中的禁用額外用戶檔案設置通過禁用未發佈到您網站的用戶的發布檔案，使機器人更難確定用戶名。

如果用戶的帖子數為 0，則禁用用戶的作者頁面是通過默默無聞實現安全的另一個示例。 您最好啟用 iThemes Security Pro 密碼要求和雙因素身份驗證功能來保護您的 WordPress 登錄。

4. 使用電子郵件地址或用戶名登錄

默認情況下，WordPress 允許用戶使用電子郵件地址或用戶名登錄。 使用電子郵件地址或用戶名登錄設置允許您將登錄限制為僅接受電子郵件地址或用戶名。

iThemes Security Pro 中的使用電子郵件地址或用戶名登錄設置有三個選項：

• 電子郵件地址和用戶名（默認） - 允許用戶使用其用戶的電子郵件地址或用戶名登錄。 這是默認的 WordPress 行為。
• 僅限電子郵件地址- 用戶只能使用其用戶的電子郵件地址登錄。 這將禁用使用用戶名登錄。
• 僅用戶名- 用戶只能使用其用戶名登錄。 這將禁用使用電子郵件地址登錄。

將登錄限製到電子郵件地址可能會增加一些防止暴力攻擊的保護。 雖然機器人可以抓取作者的頁面以獲取用戶名，但它們不太可能抓取網站以獲取用戶電子郵件地址。

但同樣，您最好啟用 iThemes Security Pro 密碼要求和雙因素身份驗證功能來保護您的 WordPress 登錄。

總結：WordPress 調整以加強 WordPress 安全性

iThemes Security Pro 中的 WordPress 調整專門設計用於加強 WordPress 網站的安全性。 使用 iThemes Security Pro 插件，您還可以為您的網站添加這些額外的安全層，包括：

• 兩步驗證
• 無密碼登錄
• 文件更改檢測
• 本地蠻力保護

邁克爾·摩爾

每週，Michael 都會匯總 WordPress 漏洞報告，以幫助確保您的網站安全。 作為 iThemes 的產品經理，他幫助我們繼續改進 iThemes 產品陣容。 他是一個巨大的書呆子，喜歡學習所有新舊技術。 你可以找到邁克爾和他的妻子和女兒一起出去玩，在不工作的時候閱讀或聽音樂。