Renforcer WordPress avec WP Cerber
Il est facile de protéger WordPress en activant les fonctionnalités essentielles de WP Cerber Security.
English version: Hardening WordPress with WP Cerber
Tous les paramètres suggérés sont fortement recommandés pour la plupart des sites Web sur Internet. Si vous avez besoin, pour une raison quelconque, de fournir un accès aux fonctions et fonctionnalités répertoriées sur cette page à partir d'un ordinateur particulier ou d'un réseau IP, vous devez les ajouter à la liste blanche d'accès IP .
Désactiver l'API REST
Le plugin restreint l'accès à l'API WordPress REST. La possibilité d'envoyer des requêtes invisibles au cœur de votre WordPress rend les pirates encore plus heureux que la possibilité de pirater des sites Web à l'aide de XML-RPC. Si vous n'utilisez pas l'API WordPress REST, désactivez-la !
Cochez Autoriser l'API REST pour les utilisateurs connectés si vous souhaitez autoriser l'utilisation de l'API REST pour tout utilisateur WordPress autorisé sans limitation.
L'instruction détaillée : Restreindre l'accès à l'API WordPress REST
Pourquoi il est important de restreindre l'accès à l'API WordPress REST
Désactiver XML-RPC
Le plugin bloque l'accès au serveur XML-RPC, y compris les pingbacks et les trackbacks. Savez-vous que les pirates utilisent cette entrée cachée pour découvrir furtivement les connexions ? Avez-vous un CAPTCHA ou un reCAPTCHA sur votre formulaire de connexion pour vous protéger des bots ? Ne soyez pas stupide, les bots modernes utilisent XML-RPC et WP REST API pour forcer brutalement votre WordPress et vous ne savez même pas comment et quand ils le font car aucun CAPTCHA ne fonctionne pour les requêtes XML-RPC. De nos jours, XML-RPC rend les hackers heureux et ils l'aiment beaucoup. Après avoir activé ce paramètre, votre site Web renverra 404 Page introuvable pour toutes les requêtes XML-RPC, sauf si vous faites une exception pour les hôtes avec une liste d'accès IP blanche .
Remarque : Si vous utilisez le plug-in Jetpack , qui doit communiquer avec wordpress.com, ne désactivez pas XML-RPC.
Arrêter l'énumération des utilisateurs
Le plugin bloque l'accès aux pages d'auteur spéciales comme /?author=N et la possibilité de récupérer les données utilisateur via l'API REST. Les intrus et les pirates peuvent facilement obtenir toutes les connexions de tous les utilisateurs de votre site Web en scannant simplement les numéros de 1 à n'importe quel numéro de leur choix. Ce comportement est activé dans WordPress par conception et les pirates du monde entier l'aiment beaucoup. Après avoir activé ce paramètre, votre site Web renverra 404 page introuvable.
Désactiver les flux
Le plugin bloque l'accès aux flux RSS, Atom et RDF. Cela ne permet pas aux pirates de savoir quel type de logiciel est installé sur votre site Web et de collecter des informations utiles supplémentaires pour ajuster d'autres attaques à votre WordPress. Après avoir activé ce paramètre, votre site Web renverra 404 page introuvable.
Remarque : tous ces paramètres ci-dessus n'affectent pas les hôtes de la liste d'accès IP blanche et vous pouvez facilement autoriser, par exemple, la publication de publications via XML-RPC pour l'adresse IP de votre ordinateur personnel simplement en l'ajoutant à la liste d'accès IP blanche.
Si vous avez un accès root à votre serveur Web, il est recommandé d'utiliser ces conseils : Durcissement de WordPress avec WP Cerber et NGINX
WP Cerber Security 1.7
WP Cerber Security 1.8
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
Gergory, if you use the plugin to block access to RSS feeds, would that affect a podcast feed?
Yes of course. Because any podcast feed use the same RSS feed and engine as regular posts. Do you want to block all RSS feeds except those that contain attached media files?