[WordPress] 外掛分享： REST API Shield & XML-RPC Blocker

內容簡介

**總結：**
這個外掛旨在根本加強你的 WordPress 網站安全性，避免未經授權的使用者存取 REST API 導致信息外洩的風險，同時預防暴力攻擊。

**問題與答案：**

1. 這個 WordPress 外掛的目的是什麼？
- 這個外掛旨在根本加強你的 WordPress 網站安全性。

2. WordPress 預設的行為可能導致什麼風險？
- WordPress 預設公開 REST API 的端點給未經授權的使用者，例如使用者列表 (/wp/v2/users)，可能導致信息外洩風險，同時成為暴力攻擊的跳板。

3. 透過這個外掛，你可以如何調整安全設置？
- 可以從「設置」->「一般」頁面進入管理區域，細調以下安全設置。

4. 這個外掛的重要安全功能有哪些？
- REST API 匿名存取限制
- 可以設定核心端點 (如使用者、評論、媒體) 和插件添加的廣泛路由作為黑名單。
- 可以選擇將必要用於部落格顯示的路由 (如 wp/v2/posts) 設為白名單，免受限制。
- 可以配置 HTTP 狀態碼（例如 403 禁止）和自訂錯誤訊息，在拒絕存取時回應，防止攻擊者獲取你的網站結構洞見。

- 完全 XML-RPC 封鎖
- 在 WordPress 核心層級完全禁用 XML-RPC 功能 (xmlrpc.php)。
- 當攻擊者嘗試存取時，外掛會回應指定的 HTTP 狀態碼和自訂錯誤訊息，虛假地拒絕存取。

5. 哪些 WordPress 網站強烈建議使用這個外掛？
- 這個外掛非常推薦所有需要增強安全性的 WordPress 網站使用。

開發者團隊

原文外掛簡介

This plugin is designed to fundamentally strengthen the security of your WordPress site.
By default, WordPress exposes REST API endpoints like the user list (/wp/v2/users) even to unauthenticated users (anonymous users). This poses a risk of information leakage and can serve as a stepping stone for brute-force attacks by enabling username enumeration.
Using this plugin, you can finely adjust the following security settings from the “Settings” -> “General” page in the administration area.
Key Security Features
REST API Anonymous Access Restriction:

Core endpoints (such as users, comments, media) and broad routes added by plugins can be specified as a blacklist.

Routes necessary for blog display (such as wp/v2/posts) can be specified as a whitelist to exempt them from restrictions.

Configure the HTTP status code (e.g., 403 Forbidden) and a custom error message to return upon access denial, preventing attackers from gaining insight into your site structure.

Complete XML-RPC Blocking:

Completely disable the XML-RPC functionality (xmlrpc.php) at the core WordPress level.

When an attacker attempts access, the plugin responds with a specified HTTP status code and a custom error message, deceptively denying access.

This plugin is highly recommended for all WordPress sites that require enhanced security.

延伸相關外掛

Yoast SEO – Advanced SEO with real-time guidance and built-in AIYoast SEO 是全球最多人使用的 WordPress SEO 外掛，提供即時...Elementor Website Builder – more than just a page builderElementor 是全球領先的無代碼拖放式 WordPress 網站建置工具...Contact Form 7Contact Form 7 可以管理多個聯絡表單，並且您可以使用簡單的...Classic EditorClassic Editor 是由 WordPress 團隊維護的官方外掛程式，可...WooCommerceWooCommerce 是基於 WordPress 的開源電子商務平台，提供免費...LiteSpeed CacheLiteSpeed Cache 是一款全方位的 WordPress 網站加速外掛，提...WPForms – Easy Form Builder for WordPress – Contact Forms, Payment Forms, Surveys, & MoreWPForms 是一款易於使用且功能強大的 WordPress 表單建構外掛...Akismet Anti-spam: Spam ProtectionAkismet會檢查您的評論和聯繫表單提交，將它們與全球垃圾郵件...Wordfence Security – Firewall, Malware Scan, and Login SecurityWordfence Security 是最受歡迎的 WordPress 安全防護外掛，...Site Kit by Google – Analytics, Search Console, AdSense, SpeedSite Kit 是 Google 官方提供的 WordPress 外掛，旨在提供有...All-in-One WP Migration and BackupAll-in-One WP Migration and Backup 是全球超過六千萬網站採...WP Mail SMTP by WPForms – The Most Popular SMTP and Email Log PluginWordPress Mail SMTP外掛 如果您的WordPress網站無法正確發送...Yoast Duplicate PostYoast Duplicate Post 外掛允許使用者輕鬆複製任何類型的文章...Hostinger ToolsHostinger Tools 是一款多合一網站管理外掛，協助 WordPress ...UpdraftPlus: WP Backup & Migration PluginUpdraftPlus 是全球最多人使用的 WordPress 備份與搬家外掛，...