Divi WordPress Theme

在Feature Spotlight帖子中,我们将重点介绍iThemes Security Pro插件中的一项功能,并分享一些有关我们为何开发该功能,该功能的用途以及如何使用该功能的信息。

今天,我们将介绍WordPress Tweaks,这是一组用于保护WordPress网站的工具。

为什么要使用WordPress调整

WordPress的一大优点是与第三方工具和服务的兼容性。 但是,如果您没有利用这些服务,则您的网站上会有不必要的入口点,黑客可能会利用这些入口点。

WordPress还提供了其他便利,允许攻击者放大蛮力攻击甚至对存储在服务器上的文件进行恶意更改。

您应该使用iThemes Security Pro WordPress的“ Tweaks”设置,因为它们是专门设计用于增强WordPress潜在软弱点的一组工具。

使用WordPress Tweaks,您可以:

  • 删除未使用的入口点。
  • 防止敲击。
  • 通过模糊应用各种安全方法。
  • 缓解附件文件遍历攻击。

如何在iThemes Security Pro中使用WordPress调整

要开始使用WordPress Tweaks,请在安全设置主页上启用该模块。

启用模块后,点击 配置设置 按钮以查看可用的WordPress调整。

WordPress的13个调整

iThemes Security Pro包含这13个WordPress调整,所有这些调整都是为了增强WordPress网站的安全性。

1. Windows Live Writer标头

Windows Live Writer标头 删除WLW标头。 如果您不使用Windows Live Writer或其他依赖此文件的博客客户端,则不需要标头。 如果不需要,请删除此入口点。

2. EditURI标头

EditURI标头 设置将删除“真正简单发现”标头。 如果您不将博客与外部XML-RPC服务(例如Flickr)集成,则“ RSD”功能对您几乎毫无用处。 如果不需要,请删除此入口点。

3.减少垃圾评论

减少垃圾评论 选项将通过拒绝没有引荐来源或未标识用户代理的漫游器评论来减少垃圾评论。

虽然“减少垃圾评论数量”选项可以起到帮助作用,但在评论上启用iThemes Security Pro的reCAPTCHA功能将更有效地阻止垃圾邮件机器人。

4.禁用文件编辑器

禁用文件编辑器 设置将禁用插件和主题的WordPress文件编辑器。 禁用WordPress文件编辑器可为您的网站增加大量安全性。

如果黑客可以成功闯入您的网站,则WP文件编辑器将允许他们对存储在您服务器上的文件进行恶意更改。 但是,如果禁用WP文件编辑器,则黑客仍然需要服务器凭据才能对插件和主题进行恶意更改。

5. XML-RPC

WordPress的XML-RPC功能允许外部服务访问和修改站点上的内容。 例如,Jetpack需要XML-RPC才能连接到WordPress网站并修改内容。

XML-RPC iThemes Security Pro中的设置有3个选项:

  • 禁用XML-RPC –在站点上禁用XML-RPC。 如果未使用Jetpack,WordPress移动应用程序,pingback和其他使用XML-RPC的服务,则强烈建议使用此设置。
  • 禁用Pingbacks –仅禁用pingbacks。 其他XML-RPC功能将正常运行。 如果您需要Jetpack或WordPress Mobile应用程序等功能,请选择此设置。
  • 启用XML-RPC – XML-RPC已完全启用,并将正常运行。 仅当站点必须不受限制地使用XML-RPC时才使用此设置。

我们建议使用 禁用XML-RPC 如果您不使用任何使用XML-RPC的服务,则选择该选项。

6.每个XML-RPC请求进行多次身份验证

除了使用登录表单外,还有其他方法可以登录WordPress。 使用XML-RPC,攻击者可以在单个HTTP请求中尝试数百次用户名和密码。

蛮力放大方法使攻击者仅用几个HTTP请求就可以使用XML-RPC进行成千上万的用户名和密码尝试。

每个XML-RPC请求进行多次身份验证 iThemes Security Pro中的设置有两个选项:

  • 堵塞 –阻止包含多个登录尝试的XML-RPC请求。 强烈建议使用此设置。
  • 允许 –允许包含多个登录尝试的XML-RPC请求。 仅在服务需要时使用此设置。

每个XML-RPC请求使用多个身份验证尝试 堵塞 选项将防止每个XML-RPC请求进行多次身份验证尝试。 将每个请求的用户名和密码尝试次数限制为一次,这对保护您的WordPress登录非常有用。

7. REST API

REST API

WordPress REST API是WordPress的一部分,为开发人员提供了管理WordPress的新方法。

默认情况下,REST API可用于访问您认为在您的站点上是私有的信息,包括:

  • 发表的帖子 所有帖子类型中,包括那些看起来不像帖子的类型,例如产品或会员计划。
  • 用户资料 可能包括没有任何已发布帖子或页面的用户。
  • 媒体库条目 该链接可能会公开指向未在任何地方公开链接的下载媒体的链接。 这可能包括用于下载仅会员内容的链接,由某些插件创建的备份或添加到媒体库的任何其他类型的文件的链接。 (请注意,BackupBuddy备份未存储在媒体库中,并且无法通过REST API访问。)

iThemes Security Pro中的REST API设置有两个选项:

  • 禁止进入 –限制对大多数REST API数据的访问。 这意味着大多数请求将需要登录用户或具有特定特权的用户,从而阻止了对潜在私有数据的公共请求。 我们建议选择此选项。
  • 默认访问 –默认保留对REST API数据的访问。 公开发布的帖子,用户详细信息和媒体库条目等信息可供公众访问。

我们建议使用“受限访问”选项来限制对私人信息的访问。

8.禁用登录错误消息

禁用登录错误消息 设置可防止在登录尝试失败时向用户显示错误消息。

隐藏登录错误消息是一种默默无闻的安全性。 晦涩难懂的安全性是依赖于实现系统或系统组件的保密性以保持其安全性。 因此,这有点像隐藏前门而不是将其锁定。

因此,虽然隐藏登录错误消息不会为您的网站增加任何安全性,但可以防止攻击者了解其被锁定的原因。

9.强制唯一昵称

强制唯一昵称 设置会强制用户在更新其个人资料或创建新帐户时选择唯一的昵称。 使用唯一的昵称可以防止漫游器和攻击者从作者页面上的代码中轻松获取用户的登录用户名。 请注意,这不会自动更新现有用户,因为如果使用,它将影响作者供稿URL。

强制用户使用唯一的昵称是通过掩盖安全性的另一个示例。 您最好启用iThemes Security Pro密码要求和两因素身份验证功能以保护WordPress登录。

10.禁用额外的用户档案

iThemes Security Pro中的“禁用额外用户档案”设置使僵尸程序通过为未发布到您网站的用户禁用发布档案来确定用户名变得更加困难。

如果用户的帖子数为0,则禁用其作者页面是通过模糊性实现安全性的另一个示例。 您最好启用iThemes Security Pro密码要求和两因素身份验证功能以保护WordPress登录。

11.防止窃听

启用 防止窃听 iThemes Security Pro中的功能可帮助保护网站访问者(包括登录用户)免受网络钓鱼攻击。 这些网络钓鱼攻击是通过使用 target="_blank" 属性。

iThemes Sync Pro网站审核功能可以运行自动检查,以查看页面上的链接是否使用以下工具链接到另一个站点上的页面: target="_blank" 属性。 最好是消除the窃机会,而不是尝试减轻这种利用。

12.使用电子邮件地址或用户名登录

默认情况下,WordPress允许用户使用电子邮件地址或用户名登录。 这 用电子邮件地址或用户名登录 设置允许您限制登录名以仅接受电子邮件地址或用户名。

iThemes Security Pro中的“使用电子邮件地址或用户名登录”设置具有三个选项:

  • 电子邮件地址和用户名(默认) –允许用户使用其用户的电子邮件地址或用户名登录。 这是默认的WordPress行为。
  • 仅电子邮件地址 –用户只能使用其用户的电子邮件地址登录。 这将禁用使用用户名登录。
  • 仅用户名 –用户只能使用其用户名登录。 这将禁用使用电子邮件地址登录。

将登录名限制为电子邮件地址可能会增加一些防范蛮力攻击的保护。 虽然漫游器可以抓取作者页面上的用户名,但他们抓取网站上的用户电子邮件地址的可能性较小。

但是同样,启用iThemes Security Pro密码要求和两因素身份验证功能来保护WordPress登录会更好。

13.缓解附件文件遍历攻击

我们添加了 缓解附件文件遍历攻击 选项在2018年帮助保护网站免受WordPress附件文件遍历和删除漏洞的侵害。

WordPress在4.7版中修补了该漏洞时,此设置可以帮助缓解对该漏洞和插件和主题的攻击。

总结:WordPress进行调整以增强WordPress安全性

iThemes Security Pro中的WordPress Tweaks专为增强WordPress网站的安全性而设计。 使用iThemes Security Pro插件,您还可以为网站添加这些额外的安全层,包括:

WordPress调整功能的图像

【免费外贸推广营销视频培训教程】
https://school.yooopaaa.com

WordPress著名Avada主题官方优惠
https://1.envato.market/xxPav

WordPress可视化建站Elementor插件
https://elementor.com/?ref=19904

WordPress外贸独立站DIVI主题官方优惠
https://www.elegantthemes.com/affiliates/idevaffiliate.php?id=59787

亚马逊选品工具Jungle Scout官方优惠
https://junglescout.grsm.io/jieqiu1568

独立站SEO优化工具Semrush免费7天试用
https://shareasale.com/r.cfm?b=1577772&u=2541755&m=97231&urllink=&afftrack=