Proteggere WordPress con WP Cerber
È facile proteggere WordPress abilitando le funzionalità essenziali di WP Cerber Security.
English version: Hardening WordPress with WP Cerber
Tutte le impostazioni suggerite sono altamente raccomandate per la maggior parte dei siti web su Internet. Se, per qualche motivo, è necessario consentire l'accesso alle funzioni e alle caratteristiche elencate in questa pagina da un computer o da una rete IP specifici, è necessario aggiungerli alla White IP Access List .
Disabilita l'API REST
Questo plugin limita l'accesso all'API REST di WordPress. La possibilità di inviare richieste invisibili al cuore del tuo sistema WordPress rende gli hacker ancora più felici rispetto alla possibilità di violare siti web tramite XML-RPC. Se non utilizzi l'API REST di WordPress, disabilitala!
Seleziona "Consenti API REST per gli utenti autentificati" se desideri consentire l'utilizzo delle API REST a qualsiasi utente WordPress autorizzato senza limitazioni.
Istruzioni dettagliate: Limitare l'accesso all'API REST di WordPress
Perché è importante limitare l'accesso all'API REST di WordPress
Disabilita XML-RPC
Questo plugin blocca l'accesso al server XML-RPC, inclusi Pingback e Trackback. Lo sapevi che gli hacker utilizzano questo punto di accesso nascosto per scoprire furtivamente le credenziali di accesso? Hai implementato un CAPTCHA o un reCAPTCHA nel tuo modulo di accesso per proteggerti dai bot? Non sottovalutare l'importanza di questo aspetto: i bot moderni utilizzano XML-RPC e l'API REST di WordPress per forzare il tuo sito senza che tu te ne accorga, perché nessun CAPTCHA funziona con le richieste XML-RPC. Oggi XML-RPC è molto apprezzato dagli hacker. Dopo aver attivato questa impostazione, il tuo sito web restituirà un errore 404 Pagina non trovata per qualsiasi richiesta XML-RPC, a meno che tu non aggiunga un'eccezione per gli host con una White IP Access List .
Nota: se utilizzi il plugin Jetpack , che necessita di comunicare con wordpress.com, non disabilitare XML-RPC.
Interrompi l'enumerazione degli utenti
Questo plugin blocca l'accesso a pagine autore speciali come /?author=N e la possibilità di recuperare i dati utente tramite API REST. Intrusi e hacker possono facilmente ottenere tutti i login di tutti gli utenti del tuo sito web semplicemente scansionando numeri da 1 a qualsiasi numero desiderato. Questo comportamento è abilitato in WordPress per impostazione predefinita e gli hacker di tutto il mondo lo apprezzano molto. Dopo aver attivato questa impostazione, il tuo sito web restituirà un errore 404 Pagina non trovata.
Disabilita i feed
Il plugin blocca l'accesso ai feed RSS, Atom e RDF. Ciò impedisce agli hacker di scoprire quale software è installato sul tuo sito web e di raccogliere ulteriori informazioni utili per sferrare attacchi futuri al tuo sito WordPress. Dopo aver attivato questa impostazione, il tuo sito web restituirà un errore 404 Pagina non trovata.
Nota: tutte le impostazioni sopra descritte non influiscono sugli host presenti nell'elenco IP consentiti e puoi facilmente consentire, ad esempio, la pubblicazione di post tramite XML-RPC per l'indirizzo IP del tuo computer di casa semplicemente aggiungendolo all'elenco IP consentiti.
Se hai accesso root al tuo server web, ti consigliamo di seguire questi suggerimenti: Proteggere WordPress con WP Cerber e NGINX
WP Cerber Security 1.4
Impostazioni di sicurezza consigliate per WP Cerber
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
Gergory, if you use the plugin to block access to RSS feeds, would that affect a podcast feed?
Yes of course. Because any podcast feed use the same RSS feed and engine as regular posts. Do you want to block all RSS feeds except those that contain attached media files?