Security Blog
Security Blog
Posted By Gregory

Rafforzare WordPress con WP Cerber

È facile proteggere WordPress abilitando le funzionalità essenziali di WP Cerber Security.


English version: Hardening WordPress with WP Cerber


Tutte le impostazioni suggerite sono altamente consigliate per la maggior parte dei siti Web su Internet. Se hai bisogno, per qualche motivo, di fornire l'accesso alle funzioni e caratteristiche elencate in questa pagina da un particolare computer o una rete IP, devi aggiungerli alla White IP Access List .

Disabilita l'API REST

Il plugin limita l'accesso all'API REST di WordPress. La capacità di inviare richieste invisibili al cuore del tuo WordPress rende gli hacker ancora più felici della capacità di hackerare siti web utilizzando XML-RPC. Se non utilizzi l'API REST di WordPress, disabilitala!

Seleziona Consenti API REST per gli utenti registrati se desideri consentire l'utilizzo dell'API REST per qualsiasi utente WordPress autorizzato senza limitazioni.

Le istruzioni dettagliate: Limita l'accesso all'API REST di WordPress

Perché è importante limitare l'accesso all'API REST di WordPress

Disabilita XML-RPC

Il plugin blocca l'accesso al server XML-RPC inclusi Pingback e Trackback. Sapevi che gli hacker utilizzano questa entrata nascosta per scoprire di nascosto gli accessi? Hai un CAPTCHA o reCAPTCHA sul tuo modulo di accesso per proteggerti dai bot? Non essere sciocco, i bot moderni utilizzano XML-RPC e l'API WP REST per forzare il tuo WordPress e non sai nemmeno come e quando lo fanno perché qualsiasi CAPTCHA non funziona per le richieste XML-RPC. Al giorno d'oggi XML-RPC rende felici gli hacker e lo adorano moltissimo. Dopo aver attivato questa impostazione, il tuo sito web restituirà 404 Pagina non trovata per qualsiasi richiesta XML-RPC a meno che tu non faccia un'eccezione per gli host con White IP Access List .

Nota: se utilizzi il plug-in Jetpack , che deve comunicare con wordpress.com, non disattivare XML-RPC.

Arresta l'enumerazione degli utenti

Il plug-in blocca l'accesso a pagine di autori speciali come /?author=N e la possibilità di recuperare i dati dell'utente tramite API REST. Intrusi e hacker possono facilmente ottenere tutti gli accessi di tutti gli utenti del tuo sito web semplicemente scansionando i numeri da 1 a qualsiasi numero desiderino. Questo comportamento è abilitato in WordPress in base alla progettazione e gli hacker di tutto il mondo lo adorano molto. Dopo aver attivato questa impostazione, il tuo sito web restituirà 404 Pagina non trovata.

Disabilita feed

Il plugin blocca l'accesso ai feed RSS, Atom e RDF. Ciò non consente agli hacker di scoprire che tipo di software è installato sul tuo sito web e di raccogliere ulteriori informazioni utili per adattare ulteriori attacchi al tuo WordPress. Dopo aver attivato questa impostazione, il tuo sito web restituirà 404 Pagina non trovata.

Nota: tutte queste impostazioni di cui sopra non influiscono sugli host nella White IP Access List e puoi facilmente consentire, ad esempio, la pubblicazione di post tramite XML-RPC per l'indirizzo IP del tuo computer di casa semplicemente aggiungendolo alla White IP Access List.

Se disponi dell'accesso root al tuo server web, ti consigliamo di utilizzare questi suggerimenti: Rafforzare WordPress con WP Cerber e NGINX


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments

Leave a Reply to Jim Saporito
Cancel Reply