[WordPress] 外掛分享： Apocalypse Meow

內容簡介

Apocalypse Meow 的主要重點是解決關於使用者帳號和登入相關的 WordPress 安全問題，包括以下事項：

暴力登入保護；
可自訂的密碼強度需求；
XML-RPC 存取控制；
帳戶存取警告；
可搜尋的存取記錄（包括失敗的登入嘗試和暫時封鎖）；
使用者列舉（user enumeration）預防；
註冊垃圾郵件保護；
雜項的核心和模板選項，使有針對性的駭客更難入手；

安全問題雖然是個技術性的議題，但 Apocalypse Meow 勇於幫助「一般」使用者了解常見的網路攻擊特性、緩和方法等等。每個選項都有詳細的解釋和連結到外部資源提供額外資訊。

知識就是力量啊！

需求

由於外掛的某些進階特性，需要比 WordPress 本身所需的更多伺服器需求：

WordPress 4.4+。
PHP 7.3 或以上版本。
PHP 擴展：（bcmath 或 gmp）, date, filter, json, pcre。
CREATE 和 DROP MySQL grants。
單網站安裝（多網站不受支援）。

請注意：在一個已到達「生命週期終止」的 PHP 版本上執行 WordPress 是不安全的。未來的外掛更新、錯誤修復和新功能可能會因必要的原因而無法支援舊和無維護的 PHP 版本。為了確保能夠繼續收到更新，請務必保持 PHP 更新至最新版。 🙂

記錄監控

有些機器人非常笨，即使登入表單已被取代也會繼續嘗試提交登入憑證，浪費系統資源，並阻塞登入記錄表。緩解這個問題的一種方法是使用像 Fail2Ban 或 OSSEC 這樣的伺服器端日誌監控程式來通過防火牆禁止使用者。

當被封鎖的使用者請求登入表單時，Apocalypse Meow 會產生一個 403 錯誤。因此，您的日誌監控規則應該搜尋重複的 403 響應至 wp-login.php。此外，有些機器人無法跟隨重新導向；如果您的登入表單需要 SSL，您還應該禁止重複的 301/302 響應以捉住這些笨蛋。

如果您啟用了使用者列舉預防，使用 die() 選項時，要求 ?author=X 的請求將產生類似的 400 響應代碼，同樣可以跟踪。

隱私政策

當啟用時，此外掛會保留每個 CMS 後端登入嘗試的安全記錄。 這些資訊 - 包括最終使用者的公用 IP 地址，使用者名稱和他或她嘗試的狀態 - 用於幫助防止未經授權的系統存取，並為所有網站訪客維護良好的服務質量。

這些資訊完全屬於托管網站，並且除非啟用了社群池特性，否則不會與任何第三方分享。如果啟用了這些特性，負責集中式資料庫的 Blobfolio, LLC 可能會定期共用對您的網站進行攻擊的任何 IP 地址。如果這些 IP 地址隨後被多個獨立來源識別，它們將被發佈到公開的封鎖列表 (由 Blobfolio 托管)。

數據保留完全由網站操作員決定，但在預設情況下，舊記錄會在 90 天後自動刪除。

請注意：Apocalypse Meow 不會整合您的任何網站資料，並不會在您的網站上顯示廣告或進行其他任何行動。

外掛標籤

開發者團隊

原文外掛簡介

Apocalypse Meow’s main focus is addressing WordPress security issues related to user accounts and logins. This includes things like:

Brute-force login-in protection;
Customizable password strength requirements;
XML-RPC access controls;
Account access alerts;
Searchable access logs (including failed login attempts and temporary bans);
User enumeration prevention;
Registration SPAM protection;
Miscellaneous Core and template options to make targeted hacks more difficult;
Anonymize/scrub leaky remote request headers;

Security is an admittedly technical subject, but Apocalypse Meow strives to help educate “normal” users about the nature of common web attacks, mitigation techniques, etc. Every option contains detailed explanations and links to external resources with additional information.
Knowledge is power!
Requirements
Due to the advanced nature of some of the plugin features, there are a few additional server requirements beyond what WordPress itself requires:

WordPress 4.4+.
PHP 7.3 or later.
PHP extensions: (bcmath or gmp), date, filter, json, pcre.
CREATE and DROP MySQL grants.
Single-site Installs (i.e. Multi-Site is not supported).

Please note: it is not safe to run WordPress atop a version of PHP that has reached its End of Life. Future releases of this plugin might, out of necessity, drop support for old, unmaintained versions of PHP. To ensure you continue to receive plugin updates, bug fixes, and new features, just make sure PHP is kept up-to-date. 🙂
Log Monitoring
Some robots are so dumb they’ll continue trying to submit credentials even after the login form is replaced, wasting system resources and clogging up the log-in history table. One way to mitigate this is to use a server-side log-monitoring program like Fail2Ban or OSSEC to ban users via the firewall.
Apocalypse Meow produces a 403 error when a banned user requests the login form. Your log-monitoring rule should therefore look for repeated 403 responses to wp-login.php. Additionally, some robots are unable to follow redirects; if your login form requires SSL, you should also ban repeated 301/302 responses to catch those fools.
If you have enabled user enumeration protection with the die() option, requests for ?author=X will produce a 400 response code which can be similarly tracked.
Privacy Policy
When active, this plugin retains security logs of every sign-in attempt made to the CMS backend. This information — including the end user’s public IP address, username, and the status of his or her attempt — is used to help prevent unauthorized system access and maintain Quality of Service for all site visitors.
This information resides fully on the hosting web site and is not shared with any third parties.
Data retention is entirely up to the site operator, but by default old records are automatically removed after 90 days.
Please note: Apocalypse Meow DOES NOT integrate with any WordPress GDPR “Personal Data” features. (Selective erasure of audit logs would undermine the security mechanisms provided by this plugin. Haha.)

延伸相關外掛

Wordfence Security – Firewall, Malware Scan, and Login SecurityWordfence Security 是最受歡迎的 WordPress 安全防護外掛，...Hostinger ToolsHostinger Tools 是一款多合一網站管理外掛，協助 WordPress ...Really Simple Security – Simple and Performant Security (formerly Really Simple SSL)le Plugins include Complianz GDPR, Disable Updates Manage...Jetpack – WP Security, Backup, Speed, & GrowthJetpack 是一款多合一 WordPress 外掛，整合網站安全防護、自...Limit Login Attempts Reloaded – Login Security, Brute Force Protection, FirewallLimit Login Attempts Reloaded 是一款WordPress外掛，可阻止...ManageWP WorkerManageWP Worker 是一款專為管理多個 WordPress 網站而設計的...Security Optimizer – The All-In-One Protection Plugin透過精心挑選且易於配置的功能，SiteGround Security 外掛提...Safe SVGSafe SVG 可以讓你安心地在 WordPress 中上傳 SVG 檔案！ 它...LoginizerLoginizer 是一款 WordPress 安全防護外掛，主要用於阻擋暴力...All-In-One Security (AIOS) – Security and FirewallAll-In-One Security (AIOS) 是一款功能全面的 WordPress 安...User Role Editor「User Role Editor」WordPress 外掛讓您輕鬆更改使用者角色...MainWP Child – Securely Connects to the MainWP Dashboard to Manage Multiple SitesMainWP Child 外掛可將你的 WordPress 網站安全連線至自架的 ...Solid Security – Password, Two Factor Authentication, and Brute Force Protectioning iThemes Security Plugin can benefit you: 保護您的 Wor...Sucuri Security – Auditing, Malware Scanner and Security HardeningSucuri Security 外掛旨在保護您的 WordPress 網站，提供全面...SiteGuard WP Plugin版本: 1.6.7 您可以在日文網頁和英文網頁上找到文件、常見問...