Security Blog
Security Blog
Posted By Gregory

Rafforzare WordPress con WP Cerber

È facile proteggere WordPress abilitando le funzionalità essenziali di WP Cerber Security.


English version: Hardening WordPress with WP Cerber


Tutte le impostazioni suggerite sono altamente raccomandate per la maggior parte dei siti web. Se, per qualche motivo, è necessario fornire l'accesso alle funzioni e alle caratteristiche elencate in questa pagina da un computer o una rete IP specifici, è necessario aggiungerli alla White IP Access List .

Disabilitare l'API REST

Il plugin limita l'accesso alla REST API di WordPress. La possibilità di inviare richieste invisibili al core di WordPress rende gli hacker ancora più felici della possibilità di hackerare siti web tramite XML-RPC. Se non utilizzi la REST API di WordPress, disattivala!

Seleziona Consenti API REST per gli utenti registrati se vuoi consentire l'utilizzo dell'API REST a qualsiasi utente WordPress autorizzato senza limitazioni.

Istruzioni dettagliate: limitare l'accesso all'API REST di WordPress

Perché è importante limitare l'accesso alla REST API di WordPress

Disabilita XML-RPC

Il plugin blocca l'accesso al server XML-RPC, inclusi pingback e trackback. Sapevi che gli hacker usano questo ingresso nascosto per scoprire gli accessi di nascosto? Hai un CAPTCHA o un reCAPTCHA nel tuo modulo di accesso per proteggerti dai bot? Non essere sciocco, i bot moderni usano XML-RPC e le API REST di WP per forzare brute-force il tuo WordPress e non sai nemmeno come e quando lo fanno perché qualsiasi CAPTCHA non funziona per le richieste XML-RPC. Oggigiorno XML-RPC rende felici gli hacker e lo adorano. Dopo aver attivato questa impostazione, il tuo sito web restituirà un errore 404 "Pagina non trovata" per qualsiasi richiesta XML-RPC, a meno che tu non faccia un'eccezione per gli host con una White IP Access List .

Nota: se si utilizza il plugin Jetpack , che deve comunicare con wordpress.com, non disattivare XML-RPC.

Interrompere l'enumerazione degli utenti

Il plugin blocca l'accesso a pagine autore speciali come /?author=N e la possibilità di recuperare i dati utente tramite API REST. Intrusi e hacker possono facilmente ottenere tutti i dati di accesso di tutti gli utenti del tuo sito web semplicemente scansionando numeri da 1 a qualsiasi numero desiderato. Questo comportamento è abilitato in WordPress per impostazione predefinita e gli hacker di tutto il mondo lo apprezzano molto. Dopo aver attivato questa impostazione, il tuo sito web restituirà un errore 404 "Pagina non trovata".

Disabilita i feed

Il plugin blocca l'accesso ai feed RSS, Atom e RDF. Questo impedisce agli hacker di scoprire il tipo di software installato sul tuo sito web e di raccogliere ulteriori informazioni utili per pianificare ulteriori attacchi al tuo sito WordPress. Dopo aver attivato questa impostazione, il tuo sito web restituirà il messaggio 404 "Pagina non trovata".

Nota: tutte le impostazioni sopra indicate non influiscono sugli host presenti nella White IP Access List e puoi facilmente consentire, ad esempio, la pubblicazione di post tramite XML-RPC per l'indirizzo IP del tuo computer di casa semplicemente aggiungendolo alla White IP Access List.

Se hai accesso root al tuo server web, ti consigliamo di seguire questi suggerimenti: Rafforzare WordPress con WP Cerber e NGINX


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments