Rafforzare WordPress con WP Cerber
È facile proteggere WordPress abilitando le funzionalità essenziali di WP Cerber Security.
English version: Hardening WordPress with WP Cerber
Tutte le impostazioni suggerite sono altamente raccomandate per la maggior parte dei siti web. Se, per qualche motivo, è necessario fornire l'accesso alle funzioni e alle caratteristiche elencate in questa pagina da un computer o una rete IP specifici, è necessario aggiungerli alla White IP Access List .
Disabilitare l'API REST
Il plugin limita l'accesso alla REST API di WordPress. La possibilità di inviare richieste invisibili al core di WordPress rende gli hacker ancora più felici della possibilità di hackerare siti web tramite XML-RPC. Se non utilizzi la REST API di WordPress, disattivala!
Seleziona Consenti API REST per gli utenti registrati se vuoi consentire l'utilizzo dell'API REST a qualsiasi utente WordPress autorizzato senza limitazioni.
Istruzioni dettagliate: limitare l'accesso all'API REST di WordPress
Perché è importante limitare l'accesso alla REST API di WordPress
Disabilita XML-RPC
Il plugin blocca l'accesso al server XML-RPC, inclusi pingback e trackback. Sapevi che gli hacker usano questo ingresso nascosto per scoprire gli accessi di nascosto? Hai un CAPTCHA o un reCAPTCHA nel tuo modulo di accesso per proteggerti dai bot? Non essere sciocco, i bot moderni usano XML-RPC e le API REST di WP per forzare brute-force il tuo WordPress e non sai nemmeno come e quando lo fanno perché qualsiasi CAPTCHA non funziona per le richieste XML-RPC. Oggigiorno XML-RPC rende felici gli hacker e lo adorano. Dopo aver attivato questa impostazione, il tuo sito web restituirà un errore 404 "Pagina non trovata" per qualsiasi richiesta XML-RPC, a meno che tu non faccia un'eccezione per gli host con una White IP Access List .
Nota: se si utilizza il plugin Jetpack , che deve comunicare con wordpress.com, non disattivare XML-RPC.
Interrompere l'enumerazione degli utenti
Il plugin blocca l'accesso a pagine autore speciali come /?author=N e la possibilità di recuperare i dati utente tramite API REST. Intrusi e hacker possono facilmente ottenere tutti i dati di accesso di tutti gli utenti del tuo sito web semplicemente scansionando numeri da 1 a qualsiasi numero desiderato. Questo comportamento è abilitato in WordPress per impostazione predefinita e gli hacker di tutto il mondo lo apprezzano molto. Dopo aver attivato questa impostazione, il tuo sito web restituirà un errore 404 "Pagina non trovata".
Disabilita i feed
Il plugin blocca l'accesso ai feed RSS, Atom e RDF. Questo impedisce agli hacker di scoprire il tipo di software installato sul tuo sito web e di raccogliere ulteriori informazioni utili per pianificare ulteriori attacchi al tuo sito WordPress. Dopo aver attivato questa impostazione, il tuo sito web restituirà il messaggio 404 "Pagina non trovata".
Nota: tutte le impostazioni sopra indicate non influiscono sugli host presenti nella White IP Access List e puoi facilmente consentire, ad esempio, la pubblicazione di post tramite XML-RPC per l'indirizzo IP del tuo computer di casa semplicemente aggiungendolo alla White IP Access List.
Se hai accesso root al tuo server web, ti consigliamo di seguire questi suggerimenti: Rafforzare WordPress con WP Cerber e NGINX
WP Cerber Security 1.6
WP Cerber Security 1.7
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
Gergory, if you use the plugin to block access to RSS feeds, would that affect a podcast feed?
Yes of course. Because any podcast feed use the same RSS feed and engine as regular posts. Do you want to block all RSS feeds except those that contain attached media files?