Sécuriser WordPress avec WP Cerber

English version: Hardening WordPress with WP Cerber

Tous les paramètres suggérés sont fortement recommandés pour la plupart des sites web. Si, pour une raison quelconque, vous devez autoriser l'accès aux fonctions et fonctionnalités listées sur cette page depuis un ordinateur ou un réseau IP spécifique, vous devez les ajouter à la liste blanche d'accès IP .

Désactiver l'API REST

Ce plugin restreint l'accès à l'API REST de WordPress. La possibilité d'envoyer des requêtes invisibles au cœur de votre installation WordPress est une aubaine pour les pirates informatiques, bien plus que la possibilité de pirater des sites web via XML-RPC. Si vous n'utilisez pas l'API REST de WordPress, désactivez-le !

Cochez la case « Autoriser l'API REST pour les utilisateurs connectés » si vous souhaitez autoriser l'utilisation de l'API REST pour tout utilisateur WordPress autorisé, sans limitation.

Instructions détaillées : Restreindre l’accès à l’API REST de WordPress

Pourquoi il est important de restreindre l'accès à l'API REST de WordPress

Désactiver XML-RPC

Ce plugin bloque l'accès au serveur XML-RPC, y compris les pingbacks et les trackbacks. Saviez-vous que les pirates informatiques exploitent cette faille pour découvrir discrètement les identifiants de connexion ? Utilisez-vous un CAPTCHA ou un reCAPTCHA sur votre formulaire de connexion pour vous protéger des robots ? Attention ! Les robots modernes utilisent XML-RPC et l'API REST de WordPress pour attaquer par force brute votre site WordPress , et vous ignorez souvent comment et quand ils procèdent, car aucun CAPTCHA ne fonctionne avec les requêtes XML-RPC. De nos jours, XML-RPC fait le bonheur des pirates informatiques, qui l'apprécient beaucoup. Après l'activation de ce paramètre, votre site web renverra une erreur 404 (Page introuvable) pour toute requête XML-RPC, sauf si vous autorisez les hébergeurs disposant d' une liste blanche d'adresses IP .

Remarque : Si vous utilisez l’extension Jetpack , qui doit communiquer avec wordpress.com, ne désactivez pas XML-RPC.

Arrêter l'énumération des utilisateurs

Ce plugin bloque l'accès aux pages d'auteur spécifiques, comme /?author=N, et la possibilité de récupérer les données utilisateur via l'API REST. Les intrus et les pirates informatiques peuvent ainsi facilement obtenir tous les identifiants de connexion de votre site web en scannant simplement des nombres de 1 à n'importe quel nombre. Ce comportement est activé par défaut dans WordPress et fait le bonheur des pirates du monde entier. Après l'activation de ce paramètre, votre site web renverra une erreur 404 (Page introuvable).

Désactiver les flux

Ce plugin bloque l'accès aux flux RSS, Atom et RDF. Ainsi, les pirates informatiques ne peuvent pas identifier les logiciels installés sur votre site web ni recueillir d'informations supplémentaires pour préparer de futures attaques contre votre installation WordPress. Après l'activation de ce paramètre, votre site web affichera une erreur 404 (Page introuvable).

Remarque : Tous les paramètres ci-dessus n’affectent pas les hôtes figurant sur la liste blanche d’accès IP et vous pouvez facilement autoriser, par exemple, la publication de messages via XML-RPC pour l’adresse IP de votre ordinateur personnel simplement en l’ajoutant à la liste blanche d’accès IP.

Si vous disposez d'un accès root à votre serveur web, il est recommandé de suivre ces conseils : Sécuriser WordPress avec WP Cerber et NGINX