Security Blog
Security Blog
Posted By Gregory

El endurecimiento WordPress con WP Cerber

Es fácil obtener WordPress protegido habilitando las funciones esenciales de WP Cerber Security.


English version: Hardening WordPress with WP Cerber


Todas las configuraciones sugeridas son altamente recomendables para la mayoría de los sitios web en Internet. Si necesita, por alguna razón, se puede acceder a estas funciones desde una computadora en particular o desde una red IP, puede agregarlas fácilmente a la Lista de acceso IP blanca .

Deshabilitar la API REST

El complemento restringe el acceso a la API REST de WordPress. La capacidad de enviar solicitudes invisibles al núcleo de su WordPress hace que los piratas informáticos sean aún más felices que la capacidad de piratear sitios web utilizando XML-RPC. Si no usa la API REST de WordPress, ¡desactívela!

Marque Permitir REST API para usuarios registrados si desea permitir el uso de REST API para cualquier usuario autorizado de WordPress sin limitación.

La instrucción detallada: restringir el acceso a la API REST de WordPress

Por qué es importante restringir el acceso a la API REST de WordPress

Desactivar XML-RPC

El complemento bloquea el acceso al servidor XML-RPC incluyendo Pingbacks y Trackbacks. ¿Sabe que los piratas informáticos utilizan esta entrada oculta para descubrir inicios de sesión de forma sigilosa? ¿Tiene un CAPTCHA o reCAPTCHA en su formulario de inicio de sesión para protegerse de los bots? No seas tonto, los bots modernos utilizan XML-RPC y WP REST API para forzar tu WordPress y ni siquiera sabes cómo y cuándo lo hacen porque cualquier CAPTCHA no funciona para las solicitudes de XML-RPC. Hoy en día, XML-RPC hace felices a los hackers y les encanta mucho. Después de activar esta configuración, su sitio web devolverá la página 404 no encontrada para cualquier solicitud de XML-RPC a menos que haga una excepción para los hosts con la Lista de acceso IP blanca .

Nota: Si usa el complemento Jetpack , que necesita comunicarse con wordpress.com, no desactive XML-RPC.

Detener enumeración de usuarios

El complemento bloquea el acceso a páginas de autor especiales como /? Author = N y la capacidad de recuperar datos de usuario a través de la API REST. Los intrusos y piratas informáticos pueden obtener fácilmente todos los inicios de sesión de todos los usuarios en su sitio web con solo escanear los números del 1 al número que deseen. Este comportamiento está habilitado en WordPress por diseño y los hackers de todo el mundo lo aman mucho. Después de activar esta configuración, su sitio web devolverá 404 páginas no encontradas.

Desactivar feeds

El complemento bloquea el acceso a las fuentes RSS, Atom y RDF. Eso no permite a los piratas informáticos descubrir qué tipo de software está instalado en su sitio web y recopilar información adicional útil para ajustar ataques adicionales a su WordPress. Después de activar esta configuración, su sitio web devolverá 404 páginas no encontradas.

Nota: Todas estas configuraciones anteriores no afectan a los hosts en la Lista de acceso IP blanca y puede permitir, por ejemplo, fácilmente publicar publicaciones a través de XML-RPC para la dirección IP de su computadora en el hogar simplemente agregándolas a la Lista de acceso IP blanca.

Si tiene acceso de root a su servidor web, también le recomiendo seguir estos consejos: Cómo reforzar WordPress con WP Cerber y NGINX


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments

Leave a Reply to Jim Saporito
Cancel Reply