Security Blog
Security Blog
Posted By Gregory

Renforcer WordPress avec WP Cerber

Il est facile de protéger WordPress en activant les fonctionnalités essentielles de WP Cerber Security.


English version: Hardening WordPress with WP Cerber


Tous les paramètres suggérés sont fortement recommandés pour la plupart des sites Web sur Internet. Si vous avez besoin, pour une raison quelconque, de donner accès aux fonctions et caractéristiques répertoriées sur cette page à partir d'un ordinateur particulier ou d'un réseau IP, vous devez les ajouter à la liste d'accès IP blanche .

Désactiver l'API REST

Le plugin restreint l'accès à l'API REST de WordPress. La possibilité d’envoyer des requêtes invisibles au cœur de votre WordPress rend les pirates encore plus heureux que la possibilité de pirater des sites Web à l’aide de XML-RPC. Si vous n'utilisez pas l'API REST de WordPress, désactivez-la !

Cochez Autoriser l'API REST pour les utilisateurs connectés si vous souhaitez autoriser l'utilisation de l'API REST pour tout utilisateur WordPress autorisé sans limitation.

L'instruction détaillée : Restreindre l'accès à l'API REST de WordPress

Pourquoi il est important de restreindre l'accès à l'API REST de WordPress

Désactiver XML-RPC

Le plugin bloque l'accès au serveur XML-RPC, y compris les Pingbacks et Trackbacks. Savez-vous que les pirates utilisent cette entrée cachée pour découvrir furtivement les connexions ? Avez-vous un CAPTCHA ou reCAPTCHA sur votre formulaire de connexion pour vous protéger des robots ? Ne soyez pas stupide, les robots modernes utilisent XML-RPC et l'API WP REST pour forcer brutalement votre WordPress et vous ne savez même pas comment et quand ils le font, car aucun CAPTCHA ne fonctionne pour les requêtes XML-RPC. De nos jours, XML-RPC fait le bonheur des hackers et ils l’aiment beaucoup. Après avoir activé ce paramètre, votre site Web renverra 404 Page non trouvée pour toute requête XML-RPC, sauf si vous faites une exception pour les hôtes avec liste d'accès IP blanche .

Remarque : Si vous utilisez le plugin Jetpack , qui doit communiquer avec wordpress.com, ne désactivez pas XML-RPC.

Arrêter l'énumération des utilisateurs

Le plugin bloque l'accès aux pages d'auteur spéciales telles que /?author=N et la possibilité de récupérer les données utilisateur via l'API REST. Les intrus et les pirates peuvent facilement obtenir toutes les connexions de tous les utilisateurs de votre site Web en scannant simplement les numéros de 1 à n'importe quel numéro de leur choix. Ce comportement est activé dans WordPress par conception et les pirates du monde entier l’aiment beaucoup. Après avoir activé ce paramètre, votre site Web renverra 404 Page non trouvée.

Désactiver les flux

Le plugin bloque l'accès aux flux RSS, Atom et RDF. Cela ne permet pas aux pirates de découvrir quel type de logiciel est installé sur votre site Web et de collecter des informations supplémentaires utiles pour ajuster d’autres attaques sur votre WordPress. Après avoir activé ce paramètre, votre site Web renverra 404 Page non trouvée.

Remarque : Tous ces paramètres ci-dessus n'affectent pas les hôtes de la liste d'accès IP blanche et vous pouvez facilement autoriser, par exemple, la publication de publications via XML-RPC pour l'adresse IP de votre ordinateur personnel simplement en l'ajoutant à la liste d'accès IP blanche.

Si vous disposez d'un accès root à votre serveur Web, il est recommandé d'utiliser ces conseils : Renforcer WordPress avec WP Cerber et NGINX


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments