Нажмите для увеличения
Описание
Защитите свой веб-сайт от атак грубой силы xmlrpc, DOS и DDOS-атак. Этот плагин отключает XML-RPC и трекбэки-пингбеки на вашем веб-сайте WordPress.
ВОЗМОЖНОСТИ ПЛАГИНА
(Это опции, которые вы можете включить или отключить каждую из них)
- Отключите доступ к файлу xmlrpc.php с помощью файла .httacess.
- Автоматически менять разрешение файла htaccess на "только чтение" (0444).
- Отключите X-pingback, чтобы минимизировать загрузку ЦП.
- Отключить выбранные методы из XML-RPC.
- Удалить ссылку pingback-ping из заголовка.
- Отключите трекбэки и пингбеки, чтобы избежать спамеров и хакеров.
- Переименуйте фрагмент XML-RPC по своему усмотрению.
- Черный список IP-адресов для XML-RPC.
- Белый список IP-адресов для XML-RPC.
- Некоторые варианты ускорения вашего сайта WordPress.
- Отключить JSON REST API.
- Скрыть версию WordPress
- Отключить встроенный редактор файлов WordPress.
- Отключить манифест WWW.
- И некоторые другие варианты
Что такое XMLRPC
XML-RPC или вызов удаленных процедур XML - это протокол, который использует XML для кодирования вызовов и HTTP в качестве транспортного механизма.
Начиная с WordPress 3.5, XML-RPC включен по умолчанию. Кроме того, была удалена возможность отключения/включения XML-RPC. По разным причинам владельцы сайтов могут захотеть отключить эту функцию. Этот плагин предоставляет простой способ сделать это.
Почему вам следует отключить XML-RPC
У Xmlrpc есть два основных недостатка.
- Атаки грубой силы:
Злоумышленники пытаются войти в WordPress, используя xmlrpc.php, используя как можно больше комбинаций имени пользователя и пароля. Метод в xmlrpc.php позволяет злоумышленнику использовать одну команду (system.multicall), чтобы угадать сотни паролей. Дэниел Сид из Sucuri хорошо описал это в октябре 2015 года: "Всего с помощью 3 или 4 HTTP-запросов злоумышленники могут перепробовать тысячи паролей, обходя инструменты безопасности, которые предназначены для поиска и блокировки попыток перебора".
- Атаки типа "отказ в обслуживании" через Pingback:
По словам Гура Шаца из Incapsula, еще в 2013 году злоумышленники отправили запросы Pingback через xmlrpc.php примерно к 2500 сайтам WordPress, чтобы "собрать (эти сайты) в добровольный ботнет". "Это дает любому злоумышленнику практически безграничный набор IP-адресов для распространения атаки типа "отказ в обслуживании" по сети, состоящей из более чем 100 миллионов сайтов WordPress, без необходимости их компрометации".
ВОЗМОЖНОСТИ ПЛАГИНА
(Это опции, которые вы можете включить или отключить каждую из них)
- Отключите доступ к файлу xmlrpc.php с помощью файла .httacess.
- Автоматически менять разрешение файла htaccess на "только чтение" (0444).
- Отключите X-pingback, чтобы минимизировать загрузку ЦП.
- Отключить выбранные методы из XML-RPC.
- Удалить ссылку pingback-ping из заголовка.
- Отключите трекбэки и пингбеки, чтобы избежать спамеров и хакеров.
- Переименуйте фрагмент XML-RPC по своему усмотрению.
- Черный список IP-адресов для XML-RPC.
- Белый список IP-адресов для XML-RPC.
- Некоторые варианты ускорения вашего сайта WordPress.
- Отключить JSON REST API.
- Скрыть версию WordPress
- Отключить встроенный редактор файлов WordPress.
- Отключить манифест WWW.
- И некоторые другие варианты
Что такое XMLRPC
XML-RPC или вызов удаленных процедур XML - это протокол, который использует XML для кодирования вызовов и HTTP в качестве транспортного механизма.
Начиная с WordPress 3.5, XML-RPC включен по умолчанию. Кроме того, была удалена возможность отключения/включения XML-RPC. По разным причинам владельцы сайтов могут захотеть отключить эту функцию. Этот плагин предоставляет простой способ сделать это.
Почему вам следует отключить XML-RPC
У Xmlrpc есть два основных недостатка.
- Атаки грубой силы:
Злоумышленники пытаются войти в WordPress, используя xmlrpc.php, используя как можно больше комбинаций имени пользователя и пароля. Метод в xmlrpc.php позволяет злоумышленнику использовать одну команду (system.multicall), чтобы угадать сотни паролей. Дэниел Сид из Sucuri хорошо описал это в октябре 2015 года: "Всего с помощью 3 или 4 HTTP-запросов злоумышленники могут перепробовать тысячи паролей, обходя инструменты безопасности, которые предназначены для поиска и блокировки попыток перебора".
- Атаки типа "отказ в обслуживании" через Pingback:
По словам Гура Шаца из Incapsula, еще в 2013 году злоумышленники отправили запросы Pingback через xmlrpc.php примерно к 2500 сайтам WordPress, чтобы "собрать (эти сайты) в добровольный ботнет". "Это дает любому злоумышленнику практически безграничный набор IP-адресов для распространения атаки типа "отказ в обслуживании" по сети, состоящей из более чем 100 миллионов сайтов WordPress, без необходимости их компрометации".
Похожие товары
Смотреть все
Хит продаж
WordPress
Хит продаж
WordPress
