Introdução ao WP Cerber Security
Não se preocupe. A segurança do WordPress não é mais ciência de foguetes.
English version: Getting Started with WP Cerber Security
Após instalar e ativar o plugin , ele carrega automaticamente um conjunto de configurações essenciais. Elas permitem que o WP Cerber proteja efetivamente seu WordPress. No entanto, para o uso ideal do WP Cerber e para garantir o mais alto nível de proteção para seu site, é necessária uma configuração cuidadosa do plugin.
1. Certifique-se de que o Cerber detecta endereços IP corretamente
- Abra a página Qual é meu endereço IP no seu navegador
- Abra uma segunda aba do navegador (janela) e vá para a aba Ferramentas / Diagnóstico da instalação do WP Cerber no seu site.
- Encontre a linha “Seu endereço IP foi detectado como” na seção “Informações do sistema”.
- Compare o endereço IP na página Qual é meu endereço IP com o endereço IP mostrado na linha “Seu endereço IP foi detectado como”.
- Você deve ver dois endereços IP idênticos. Se você vir dois endereços IP diferentes, você precisa verificar Meu site está atrás de um proxy reverso nas Configurações principais do plugin e repetir os passos acima.
- Se você ainda vir dois endereços IP diferentes e o site não estiver atrás de um proxy, siga estas instruções: Resolvendo o problema com detecção incorreta de endereço IP
- Mais um passo se o seu WordPress estiver no Cloudflare
2. Habilite o carregamento do plugin no modo Padrão
Vá para Configurações principais e defina a configuração do mecanismo de segurança de carga para o modo Padrão .
3. Certifique-se de receber notificações por e-mail
Quando você ativa o plugin, ele envia um e-mail de boas-vindas para o e-mail do administrador do site. Se você não recebeu o e-mail de boas-vindas, certifique-se de que o endereço de e-mail que você vê na aba Notificações esteja correto e que os e-mails do plugin não vão para a pasta de spam. Se você não recebeu o e-mail de boas-vindas, muito provavelmente, você não receberá outras notificações importantes. Você pode inserir endereços de e-mail alternativos no campo de texto Endereço de e-mail . Para testar a entrega, clique em qualquer link de teste Clique para enviar .
Leia mais: Como configurar notificações móveis no seu smartphone
4. Habilite sua página de login e registro personalizada
Para ocultar a página de login padrão do WordPress wp-login.php de ataques automatizados e registros de spam, especifique sua própria URL de login personalizada (página de login) e desative wp-login.php. Nota: Se você usar um plugin de cache (como W3 Total Cache ou WP Super Cache), você tem que adicionar sua URL de login personalizada à lista de páginas que não devem ser armazenadas em cache.
Como configurar URL de login personalizado para WordPress
5. Adicione o endereço IP da sua casa ou escritório à lista de acesso IP branco
Se você trabalha em casa ou no escritório em um computador com um endereço IP estático, é razoável adicionar esse endereço IP (ou toda a rede da empresa) à White IP Access List. Você pode atingir dois objetivos. Isso evita que você seja bloqueado do seu site por acaso e permite que você restrinja o acesso a XML-RPC, REST API e outras partes vitais do WordPress.
Leia mais: Como usar listas de acesso para WordPress
6. Ative a proteção contra spam
O mecanismo antispam do Cerber é compatível com a maioria dos construtores de formulários do WordPress e capaz de proteger praticamente qualquer formulário. Na página de administração do Antispam, habilite todos os recursos necessários na seção Mecanismo antispam do Cerber . Depois de habilitar o antispam, certifique-se de que os formulários no seu site funcionem normalmente. Se alguns dos recursos do site pararem de funcionar, habilite Usar políticas menos restritivas (permitir AJAX) .
Por fim, deixe o plugin limpar a bagunça com comentários de spam. Escolha negar comentários de spam completamente ou apenas marcá-los como spam . Ative a movimentação automática de spam para a lixeira.
- Como impedir registros de usuários de spam no seu WordPress
- Como impedir envios de formulários de spam no seu WordPress
- Como configurar o reCAPTCHA para WordPress
7. Restringir o acesso à API REST e XML-RPC
- Acesse a página de administração do Hardening .
- Marque Disable REST API . Especifique exceções de namespace para REST API se necessário. Por exemplo, se você usar Contact Form 7, o namespace será
contact-form-7, e para Jetpack serájetpack. - Marque Permitir API REST para usuários conectados se quiser permitir o uso da API REST para qualquer usuário autorizado do WordPress, sem limitação.
- Marque Disable XML-RPC se você não usar o plugin Jetpack. Se você usar XML-RPC somente de hosts específicos, adicione seus endereços IP à White IP Access List .
Leia mais: Restringir acesso à API REST do WordPress
8. Especifique uma lista de nomes de usuários proibidos
Vá para a página de administração de usuários do plugin e, se sua lista ainda estiver vazia, é aconselhável colocar nela os seguintes nomes de usuário: admin, administrator, manager, editor, user, demo, test .
Leia mais sobre nomes de usuários proibidos
9. Habilite a autenticação de dois fatores
Para proteger as contas dos usuários e evitar a tomada de conta, habilite a autenticação de dois fatores. Ela fornece uma camada adicional de segurança que requer um segundo fator de identificação além de apenas um nome de usuário e senha do WordPress.
Leia mais: Autenticação de dois fatores para WordPress
10. Habilite atualizações automáticas para WP Cerber
Atualizações regulares do WP Cerber são cruciais para uma segurança forte do WordPress, pois aprimoramos continuamente seus algoritmos, implementamos proteção contra ameaças emergentes e corrigimos bugs de software. Você pode habilitá-los em alguns cliques: Como habilitar atualizações automáticas para o WP Cerber.
11. Habilitar mascaramento de campos de formulário para o Traffic Inspector
Se você habilitou o salvamento de campos de formulário no log ( Salvar campos de solicitação está habilitado) e usa um plugin que gera o formulário de login para seu site, você precisa adicionar o nome do campo de formulário de senha em Mascarar esses campos de formulário na página de configurações do Traffic Inspector. O WP Cerber sempre mascara o campo de senha no formulário de login padrão do WordPress e os seguintes campos de formulário: 'pwd', 'pass', 'password'.
Inspetor de tráfego e registro de como fazer
12. Habilitar o envio de endereços IP maliciosos para o laboratório do Cerber
Deixe a equipe do plugin melhorar os algoritmos de segurança no plugin e otimizar seu desempenho. Vá para Main Settings , na seção Activity habilite a conexão Cerber Lab . Para melhor segurança, defina o protocolo Cerber Lab como HTTPS. Leia mais sobre Cerber Lab .
13. Habilite alertas móveis e notificações por e-mail
Se você quiser ficar de olho em uma atividade específica ou ser notificado quando um usuário se registrar ou fizer login no seu site, filtre uma atividade específica na aba Activity e clique em Create Alert . Leia mais: Notificações do WordPress simplificadas .
Tem alguma dúvida ou precisa de ajuda com o WP Cerber?
"Obtenha
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.