Security Blog
Security Blog
Posted By Gregory

Indurimento WordPress con WP Cerber

È facile proteggere WordPress abilitando le funzionalità essenziali di WP Cerber Security.


English version: Hardening WordPress with WP Cerber


Tutte le impostazioni suggerite sono altamente raccomandate per la maggior parte dei siti Web su Internet. Se è necessario, per qualche motivo, queste funzioni sono accessibili da un determinato computer o da una rete IP, è possibile aggiungerle facilmente all'elenco di accesso IP bianco .

Disabilita API REST

Il plugin limita l'accesso all'API REST di WordPress. La capacità di inviare richieste invisibili al nucleo di WordPress rende gli hacker ancora più felici della possibilità di hackerare siti Web utilizzando XML-RPC. Se non usi l'API REST di WordPress, disabilitala!

Selezionare Consenti API REST per gli utenti che hanno effettuato l'accesso se si desidera consentire l'utilizzo dell'API REST per qualsiasi utente WordPress autorizzato senza limitazioni.

Le istruzioni dettagliate: Limita l'accesso all'API REST di WordPress

Perché è importante limitare l'accesso all'API REST di WordPress

Disabilita XML-RPC

Il plug-in blocca l'accesso al server XML-RPC che include Pingback e Trackback. Sai che gli hacker usano questa entrata nascosta per scoprire furtivamente gli accessi? Hai un CAPTCHA o reCAPTCHA sul tuo modulo di accesso per proteggerti dai bot? Non essere stupidi, i robot moderni usano API REST XML-RPC e WP per forzare il tuo WordPress e non sai nemmeno come e quando lo fanno perché qualsiasi CAPTCHA non funziona per le richieste XML-RPC. Oggigiorno XML-RPC rende felici gli hacker e lo amano molto. Dopo aver attivato questa impostazione, il sito Web restituirà 404 Page Not Found per qualsiasi richiesta XML-RPC a meno che non si crei un'eccezione per gli host con White IP Access List .

Nota: se si utilizza il plug-in Jetpack , che deve comunicare con wordpress.com, non disabilitare XML-RPC.

Arresta l'enumerazione degli utenti

Il plug-in blocca l'accesso a pagine di autori speciali come /? Author = N e la possibilità di recuperare i dati dell'utente tramite l'API REST. Intrusi e hacker possono facilmente ottenere tutti gli accessi di tutti gli utenti sul tuo sito web semplicemente scansionando i numeri da 1 a qualsiasi numero desiderato. Questo comportamento è abilitato in WordPress dal design e gli hacker di tutto il mondo lo adorano molto. Dopo aver attivato questa impostazione, il sito Web restituirà 404 Page Not Found.

Disabilita i feed

Il plugin blocca l'accesso ai feed RSS, Atom e RDF. Ciò non consente agli hacker di scoprire quale tipo di software è installato sul tuo sito Web e raccogliere ulteriori informazioni utili per regolare ulteriori attacchi al tuo WordPress. Dopo aver attivato questa impostazione, il sito Web restituirà 404 Page Not Found.

Nota: tutte queste impostazioni sopra non influenzano gli host nell'elenco di accesso IP bianco e puoi facilmente consentire, ad esempio, la pubblicazione di post tramite XML-RPC per l'indirizzo IP del tuo computer domestico semplicemente aggiungendolo all'elenco di accesso IP bianco.

Se hai un accesso root al tuo web server, ti consiglio anche di usare questi suggerimenti: Indurire WordPress con WP Cerber e NGINX


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments