Reforzando la seguridad de WordPress con WP Cerber
Es fácil proteger WordPress habilitando las funciones esenciales de WP Cerber Security.
English version: Hardening WordPress with WP Cerber
Se recomienda encarecidamente seguir todas las configuraciones sugeridas para la mayoría de los sitios web en Internet. Si, por algún motivo, necesita otorgar acceso a las funciones y características enumeradas en esta página desde una computadora o red IP específica, debe agregarlas a la Lista Blanca de Acceso IP .
Deshabilitar la API REST
Este plugin restringe el acceso a la API REST de WordPress. La posibilidad de enviar solicitudes invisibles al núcleo de WordPress resulta aún más atractiva para los hackers que la capacidad de hackear sitios web mediante XML-RPC. Si no utilizas la API REST de WordPress, ¡desactívala!
Marque la casilla "Permitir el uso de la API REST para usuarios registrados" si desea permitir el uso de la API REST a cualquier usuario autorizado de WordPress sin limitaciones.
Instrucciones detalladas: Restringir el acceso a la API REST de WordPress.
Por qué es importante restringir el acceso a la API REST de WordPress
Deshabilitar XML-RPC
El plugin bloquea el acceso al servidor XML-RPC, incluyendo Pingbacks y Trackbacks. ¿Sabías que los hackers usan esta entrada oculta para obtener inicios de sesión sigilosamente? ¿Tienes un CAPTCHA o reCAPTCHA en tu formulario de inicio de sesión para protegerte de los bots? No seas ingenuo, los bots modernos usan XML-RPC y la API REST de WP para realizar ataques de fuerza bruta contra tu WordPress y ni siquiera sabes cómo ni cuándo lo hacen porque ningún CAPTCHA funciona para las solicitudes XML-RPC. Hoy en día, XML-RPC hace felices a los hackers y les encanta. Después de activar esta configuración, tu sitio web devolverá un error 404 (Página no encontrada) para cualquier solicitud XML-RPC, a menos que hagas una excepción para los hosts con una Lista Blanca de Acceso IP .
Nota: Si utiliza el plugin Jetpack , que necesita comunicarse con wordpress.com, no desactive XML-RPC.
Detener la enumeración de usuarios
El plugin bloquea el acceso a páginas de autor especiales como /?author=N y la posibilidad de recuperar datos de usuario mediante la API REST. Los intrusos y hackers pueden obtener fácilmente las credenciales de inicio de sesión de todos los usuarios de tu sitio web simplemente escaneando números del 1 al número que deseen. Este comportamiento está habilitado por defecto en WordPress y resulta muy útil para los hackers de todo el mundo. Tras activar esta configuración, tu sitio web mostrará un error 404 (Página no encontrada).
Desactivar las fuentes
El plugin bloquea el acceso a las fuentes RSS, Atom y RDF. Esto impide que los hackers descubran qué software está instalado en tu sitio web y recopilen información útil para realizar ataques posteriores a tu WordPress. Tras activar esta configuración, tu sitio web mostrará el error 404 (Página no encontrada).
Nota: Todas estas configuraciones anteriores no afectan a los hosts en la Lista blanca de acceso IP y puede permitir fácilmente, por ejemplo, la publicación de entradas a través de XML-RPC para la dirección IP de su ordenador doméstico simplemente añadiéndola a la Lista blanca de acceso IP.
Si tienes acceso de administrador a tu servidor web, se recomienda seguir estos consejos: Reforzar la seguridad de WordPress con WP Cerber y NGINX.
WP Cerber Security 6.0
WP Cerber Security 6.1
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
Gergory, if you use the plugin to block access to RSS feeds, would that affect a podcast feed?
Yes of course. Because any podcast feed use the same RSS feed and engine as regular posts. Do you want to block all RSS feeds except those that contain attached media files?