Renforcer WordPress avec WP Cerber
Il est facile de protéger WordPress en activant les fonctionnalités essentielles de WP Cerber Security.
English version: Hardening WordPress with WP Cerber
Tous les paramètres suggérés sont fortement recommandés pour la plupart des sites web. Si, pour une raison quelconque, vous devez autoriser l'accès aux fonctionnalités listées sur cette page depuis un ordinateur ou un réseau IP spécifique, vous devez les ajouter à la liste blanche d'accès IP .
Désactiver l'API REST
Le plugin restreint l'accès à l'API REST de WordPress. La possibilité d'envoyer des requêtes invisibles au cœur de votre WordPress est encore plus prisée des pirates que celle de pirater des sites web via XML-RPC. Si vous n'utilisez pas l'API REST de WordPress, désactivez-la !
Cochez Autoriser l'API REST pour les utilisateurs connectés si vous souhaitez autoriser l'utilisation de l'API REST pour tout utilisateur WordPress autorisé sans limitation.
Instructions détaillées : restreindre l'accès à l'API REST de WordPress
Pourquoi il est important de restreindre l'accès à l'API REST de WordPress
Désactiver XML-RPC
Le plugin bloque l'accès au serveur XML-RPC, y compris les Pingbacks et les Trackbacks. Saviez-vous que les pirates utilisent cette porte d'entrée secrète pour obtenir des identifiants de connexion en toute discrétion ? Avez-vous un CAPTCHA ou un reCAPTCHA sur votre formulaire de connexion pour vous protéger des robots ? Ne soyez pas bête, les robots modernes utilisent XML-RPC et l'API REST de WP pour forcer votre WordPress. Vous ignorez même comment et quand ils le font, car aucun CAPTCHA ne fonctionne pour les requêtes XML-RPC. De nos jours, XML-RPC fait le bonheur des pirates et ils l'apprécient beaucoup. Après avoir activé ce paramètre, votre site web affichera une erreur 404 « Page introuvable » pour toutes les requêtes XML-RPC, sauf si vous faites une exception pour les hôtes disposant d' une liste d'accès IP blanche .
Remarque : si vous utilisez le plugin Jetpack , qui doit communiquer avec wordpress.com, ne désactivez pas XML-RPC.
Arrêter l'énumération des utilisateurs
Le plugin bloque l'accès aux pages d'auteur spéciales comme /?author=N et la récupération des données utilisateur via l'API REST. Les intrus et les pirates peuvent facilement obtenir les identifiants de tous les utilisateurs de votre site web en scannant simplement les chiffres de 1 à n'importe quel nombre. Ce comportement est activé par défaut dans WordPress et est très apprécié des pirates du monde entier. Après avoir activé ce paramètre, votre site web affichera une erreur 404 (Page introuvable).
Désactiver les flux
Le plugin bloque l'accès aux flux RSS, Atom et RDF. Cela empêche les pirates de découvrir le type de logiciel installé sur votre site web et de collecter des informations utiles pour anticiper d'éventuelles attaques contre votre WordPress. Après l'activation de ce paramètre, votre site web affichera une erreur 404. Page introuvable.
Remarque : tous ces paramètres ci-dessus n'affectent pas les hôtes de la liste d'accès IP blanche et vous pouvez facilement autoriser, par exemple, la publication de messages via XML-RPC pour l'adresse IP de votre ordinateur personnel simplement en l'ajoutant à la liste d'accès IP blanche.
Si vous avez un accès root à votre serveur Web, il est recommandé d'utiliser ces conseils : Renforcer WordPress avec WP Cerber et NGINX
WP Cerber Security 6.0
WP Cerber Security 6.1
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
Gergory, if you use the plugin to block access to RSS feeds, would that affect a podcast feed?
Yes of course. Because any podcast feed use the same RSS feed and engine as regular posts. Do you want to block all RSS feeds except those that contain attached media files?