Durcissement WordPress avec WP Cerber

English version: Hardening WordPress with WP Cerber

Tous les paramètres suggérés sont fortement recommandés pour la plupart des sites Web sur Internet. Si vous avez besoin, pour une raison quelconque, que ces fonctions soient accessibles à partir d'un ordinateur ou d'un réseau IP particulier, vous pouvez facilement les ajouter à la liste d'accès IP blanche .

Désactiver l'API REST

Le plugin restreint l'accès à l'API WordPress REST. La possibilité d’envoyer des requêtes invisibles au cœur de votre WordPress rend les hackers encore plus heureux que de pirater des sites Web à l’aide de XML-RPC. Si vous n'utilisez pas l'API WordPress REST, désactivez-la!

Cochez Autoriser l'API REST pour les utilisateurs connectés si vous souhaitez autoriser l'utilisation de l'API REST pour tout utilisateur WordPress autorisé sans limitation.

L'instruction détaillée: Restreindre l'accès à l'API REST WordPress

Pourquoi est-il important de limiter l'accès à l'API WordPress REST

Désactiver XML-RPC

Le plugin bloque l'accès au serveur XML-RPC, y compris les Pingbacks et les Trackbacks. Savez-vous que les pirates utilisent cette entrée cachée pour découvrir des connexions furtivement? Avez-vous un CAPTCHA ou un reCAPTCHA sur votre formulaire de connexion pour vous protéger des robots? Ne soyez pas stupide, les robots modernes utilisent XML-RPC et WP REST API pour forcer brutalement votre WordPress et vous ne savez même pas comment et quand ils le font, car aucun CAPTCHA ne fonctionne pour les requêtes XML-RPC. De nos jours, XML-RPC rend les pirates heureux et les aime beaucoup. Une fois ce paramètre activé, votre site Web renverra 404 pages non trouvées pour toute demande XML-RPC, à moins que vous ne fassiez une exception pour les hôtes dotés d' une liste d'accès IP blanche .

Remarque: Si vous utilisez le plug-in Jetpack , qui doit communiquer avec wordpress.com, ne désactivez pas XML-RPC.

Arrêter l'énumération des utilisateurs

Le plugin bloque l'accès à des pages auteur spéciales telles que /? Author = N et la possibilité de récupérer des données utilisateur via l'API REST. Les intrus et les pirates informatiques peuvent facilement obtenir toutes les connexions de tous les utilisateurs de votre site Web en numérisant simplement les numéros de 1 à tout nombre souhaité. Ce comportement est activé dans WordPress par la conception et les hackers du monde entier l’adorent beaucoup. Après avoir activé ce paramètre, votre site Web renverra 404 pages non trouvées.

Désactiver les flux

Le plugin bloque l'accès aux flux RSS, Atom et RDF. Cela ne permet pas aux hackers de savoir quel type de logiciel est installé sur votre site web et de collecter des informations utiles supplémentaires pour ajuster les attaques à votre WordPress. Après avoir activé ce paramètre, votre site Web renverra 404 pages non trouvées.

Remarque: Tous les paramètres ci-dessus n'affectent pas les hôtes de la liste d'accès IP blanche et vous pouvez facilement autoriser, par exemple, la publication de publications via XML-RPC pour l'adresse IP de votre ordinateur personnel en les ajoutant simplement à la liste d'accès IP blanche.

Si vous avez un accès root à votre serveur Web, je vous recommande également d’utiliser ces conseils: Renforcement de WordPress avec WP Cerber et NGINX