Security Blog
Security Blog
Posted By Gregory

Fortalecendo o WordPress com WP Cerber

É fácil proteger o WordPress ativando recursos essenciais do WP Cerber Security.


English version: Hardening WordPress with WP Cerber


Todas as configurações sugeridas são altamente recomendadas para a maioria dos sites da Internet. Se você precisar, por algum motivo, fornecer acesso às funções e recursos listados nesta página a partir de um determinado computador ou rede IP, será necessário adicioná-los à Lista de Acesso IP Branca .

Desativar API REST

O plugin restringe o acesso à API REST do WordPress. A capacidade de enviar solicitações invisíveis para o núcleo do seu WordPress deixa os hackers ainda mais felizes do que a capacidade de hackear sites usando XML-RPC. Se você não usa a API REST do WordPress, desative-a!

Marque Permitir API REST para usuários logados se desejar permitir o uso da API REST para qualquer usuário autorizado do WordPress sem limitação.

A instrução detalhada: Restringir o acesso à API REST do WordPress

Por que é importante restringir o acesso à API REST do WordPress

Desativar XML-RPC

O plugin bloqueia o acesso ao servidor XML-RPC incluindo Pingbacks e Trackbacks. Você sabia que os hackers usam essa entrada oculta para descobrir logins furtivamente? Você tem um CAPTCHA ou reCAPTCHA em seu formulário de login para proteção contra bots? Não seja bobo, os bots modernos usam XML-RPC e WP REST API para forçar seu WordPress e você nem sabe como e quando eles fazem isso porque qualquer CAPTCHA não funciona para solicitações XML-RPC. Hoje em dia o XML-RPC deixa os hackers felizes e eles adoram isso. Depois de ativar esta configuração, seu site retornará 404 Page Not Found para quaisquer solicitações XML-RPC, a menos que você abra uma exceção para hosts com White IP Access List .

Nota: Se você usa o plugin Jetpack , que precisa se comunicar com wordpress.com, não desative o XML-RPC.

Parar a enumeração de usuários

O plug-in bloqueia o acesso a páginas especiais do autor, como /?author=N, e a capacidade de recuperar dados do usuário por meio da API REST. Intrusos e hackers podem obter facilmente todos os logins de todos os usuários do seu site apenas digitalizando os números de 1 até qualquer número que desejarem. Esse comportamento é habilitado no WordPress por design e hackers de todo o mundo adoram isso. Depois de ativar esta configuração, seu site retornará 404 Página não encontrada.

Desativar feeds

O plugin bloqueia o acesso aos feeds RSS, Atom e RDF. Isso não permite que hackers descubram que tipo de software está instalado em seu site e coletem informações úteis adicionais para ajustar futuros ataques ao seu WordPress. Depois de ativar esta configuração, seu site retornará 404 Página não encontrada.

Nota: Todas essas configurações acima não afetam os hosts na Lista de Acesso IP Branca e você pode facilmente permitir, por exemplo, a publicação de postagens via XML-RPC para o endereço IP do seu computador doméstico apenas adicionando-o à Lista de Acesso IP Branca.

Se você tiver acesso root ao seu servidor web, é recomendado usar estas dicas: Fortalecendo o WordPress com WP Cerber e NGINX


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments