Fortalecimiento de WordPress con WP Cerber
Es fácil proteger WordPress habilitando las funciones esenciales de WP Cerber Security.
English version: Hardening WordPress with WP Cerber
Todas las configuraciones sugeridas son muy recomendables para la mayoría de los sitios web de Internet. Si, por algún motivo, necesita acceder a las funciones y características de esta página desde un ordenador o una red IP específicos, debe agregarlos a la Lista de Acceso IP Blanca .
Deshabilitar la API REST
El complemento restringe el acceso a la API REST de WordPress. La posibilidad de enviar solicitudes invisibles al núcleo de WordPress hace que los hackers sean aún más felices que la posibilidad de hackear sitios web mediante XML-RPC. Si no usas la API REST de WordPress, ¡desactívala!
Marque Permitir API REST para usuarios registrados si desea permitir el uso de API REST para cualquier usuario autorizado de WordPress sin limitaciones.
Instrucciones detalladas: Restringir el acceso a la API REST de WordPress
Por qué es importante restringir el acceso a la API REST de WordPress
Deshabilitar XML-RPC
El plugin bloquea el acceso al servidor XML-RPC, incluyendo pingbacks y trackbacks. ¿Sabías que los hackers usan esta entrada oculta para descubrir inicios de sesión sigilosamente? ¿Tienes un CAPTCHA o reCAPTCHA en tu formulario de inicio de sesión para protegerte de los bots? No seas tonto, los bots modernos usan XML-RPC y la API REST de WP para forzar tu WordPress , y ni siquiera sabes cómo ni cuándo lo hacen, porque ningún CAPTCHA funciona con solicitudes XML-RPC. Hoy en día, XML-RPC es la opción predilecta de los hackers. Tras activar esta configuración, tu sitio web devolverá el error 404 "Página no encontrada" en cualquier solicitud XML-RPC, a menos que hagas una excepción para los hosts con la Lista de acceso de IP blanca .
Nota: Si usa el complemento Jetpack , que necesita comunicarse con wordpress.com, no desactive XML-RPC.
Detener la enumeración de usuarios
El complemento bloquea el acceso a páginas de autor especiales como /?author=N y la posibilidad de recuperar datos de usuario mediante la API REST. Intrusos y hackers pueden obtener fácilmente todos los datos de inicio de sesión de todos los usuarios de tu sitio web simplemente escaneando números del 1 al que deseen. Este comportamiento está habilitado en WordPress por diseño y es muy popular entre hackers de todo el mundo. Tras activar esta configuración, tu sitio web devolverá el error 404 "Página no encontrada".
Deshabilitar feeds
El complemento bloquea el acceso a las fuentes RSS, Atom y RDF. Esto impide que los hackers descubran el tipo de software instalado en tu sitio web ni recopilen información útil para realizar nuevos ataques a tu WordPress. Tras activar esta configuración, tu sitio web mostrará el error 404 "Página no encontrada".
Nota: Todas estas configuraciones anteriores no afectan a los hosts en la Lista de acceso de IP blanca y usted puede permitir fácilmente, por ejemplo, la publicación de mensajes a través de XML-RPC para la dirección IP de su computadora hogareña simplemente agregándola a la Lista de acceso de IP blanca.
Si tiene acceso root a su servidor web, se recomienda utilizar estos consejos: Fortalecimiento de WordPress con WP Cerber y NGINX
¿Limitar los intentos de inicio de sesión sin un complemento?
WP Cerber Security 2.7.2
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
Gergory, if you use the plugin to block access to RSS feeds, would that affect a podcast feed?
Yes of course. Because any podcast feed use the same RSS feed and engine as regular posts. Do you want to block all RSS feeds except those that contain attached media files?