Security Blog
Security Blog
Posted By Gregory

Fortalecimiento de WordPress con WP Cerber

Es fácil proteger WordPress habilitando las funciones esenciales de WP Cerber Security.


English version: Hardening WordPress with WP Cerber


Todas las configuraciones sugeridas son altamente recomendadas para la mayoría de los sitios web en Internet. Si necesita, por algún motivo, proporcionar acceso a las funciones y características enumeradas en esta página desde una computadora en particular o una red IP, debe agregarlas a la Lista blanca de acceso a IP .

Deshabilitar API REST

El complemento restringe el acceso a la API REST de WordPress. La capacidad de enviar solicitudes invisibles al núcleo de WordPress hace que los piratas informáticos sean incluso más felices que la capacidad de piratear sitios web utilizando XML-RPC. Si no utiliza la API REST de WordPress, ¡desactívela!

Marque Permitir API REST para usuarios registrados si desea permitir el uso de API REST para cualquier usuario autorizado de WordPress sin limitación.

La instrucción detallada: restringir el acceso a la API REST de WordPress

Por qué es importante restringir el acceso a la API REST de WordPress

Deshabilitar XML-RPC

El complemento bloquea el acceso al servidor XML-RPC, incluidos Pingbacks y Trackbacks. ¿Sabías que los piratas informáticos utilizan esta entrada oculta para descubrir los inicios de sesión de forma sigilosa? ¿Tiene un CAPTCHA o reCAPTCHA en su formulario de inicio de sesión para protegerse de los bots? No seas tonto, los robots modernos usan XML-RPC y WP REST API para aplicar fuerza bruta a tu WordPress y ni siquiera sabes cómo y cuándo lo hacen porque ningún CAPTCHA no funciona para solicitudes XML-RPC. Hoy en día, XML-RPC hace felices a los piratas informáticos y les encanta. Después de activar esta configuración, su sitio web devolverá 404 Página no encontrada para cualquier solicitud XML-RPC a menos que haga una excepción para los hosts con Lista blanca de acceso a IP .

Nota: Si utiliza el complemento Jetpack , que necesita comunicarse con wordpress.com, no desactive XML-RPC.

Detener enumeración de usuarios

El complemento bloquea el acceso a páginas de autores especiales como /?author=N y la capacidad de recuperar datos del usuario a través de la API REST. Los intrusos y piratas informáticos pueden obtener fácilmente todos los inicios de sesión de todos los usuarios de su sitio web simplemente escaneando los números del 1 al número que deseen. Este comportamiento está habilitado en WordPress por diseño y a los piratas informáticos de todo el mundo les encanta. Después de activar esta configuración, su sitio web devolverá 404 Página no encontrada.

Deshabilitar feeds

El complemento bloquea el acceso a los canales RSS, Atom y RDF. Esto no permite a los piratas informáticos descubrir qué tipo de software está instalado en su sitio web y recopilar información útil adicional para realizar más ataques a su WordPress. Después de activar esta configuración, su sitio web devolverá 404 Página no encontrada.

Nota: Todas estas configuraciones anteriores no afectan a los hosts en la Lista de acceso de IP blanca y puede permitir fácilmente, por ejemplo, la publicación de publicaciones a través de XML-RPC para la dirección IP de la computadora de su hogar simplemente agregándola a la Lista de acceso de IP blanca.

Si tiene acceso root a su servidor web, se recomienda seguir estos consejos: Reforzando WordPress con WP Cerber y NGINX


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments

Leave a Reply to Gregory
Cancel Reply