Security Blog
Security Blog
Posted By Gregory

Endurecimento WordPress com WP Cerber

É fácil proteger o WordPress, habilitando os recursos essenciais do WP Cerber Security.


English version: Hardening WordPress with WP Cerber


Todas as configurações sugeridas são altamente recomendadas para a maioria dos sites na Internet. Se você precisar, por algum motivo, que essas funções estejam acessíveis em um determinado computador ou em uma rede IP, você poderá adicioná-las facilmente à Lista de acesso IP branca .

Desativar API REST

O plugin restringe o acesso à API REST do WordPress. A capacidade de enviar solicitações invisíveis para o núcleo do seu WordPress torna os hackers ainda mais felizes do que a capacidade de hackear sites usando o XML-RPC. Se você não usa a API REST do WordPress, desative-a!

Marque Permitir API REST para usuários que efetuaram login se você quiser permitir o uso da API REST para qualquer usuário autorizado do WordPress sem limitação.

A instrução detalhada: Restringir o acesso à API REST do WordPress

Por que é importante restringir o acesso à API REST do WordPress?

Desativar o XML-RPC

O plug-in bloqueia o acesso ao servidor XML-RPC, incluindo pingbacks e trackbacks. Você sabia que os hackers usam essa entrada oculta para descobrir logins furtivamente? Você tem um CAPTCHA ou reCAPTCHA em seu formulário de login para proteger contra bots? Não seja bobo, os bots modernos usam XML-RPC e WP REST API para forçar o WordPress e você nem sabe como e quando eles fazem isso porque qualquer CAPTCHA não funciona para solicitações XML-RPC. Hoje em dia o XML-RPC deixa os hackers felizes e adoram muito. Depois de ativar essa configuração, seu site retornará 404 Páginas não encontradas para qualquer solicitação XML-RPC, a menos que você faça uma exceção para os hosts com a Lista de acesso IP branco .

Nota: Se você usar o plug-in Jetpack , que precisa se comunicar com o wordpress.com, não desabilite o XML-RPC.

Parar a enumeração do usuário

O plug-in bloqueia o acesso a páginas de autor especiais como /? Author = N e a capacidade de recuperar dados do usuário por meio da API REST. Intrusos e hackers podem facilmente obter todos os logins de todos os usuários em seu site apenas digitalizando números de 1 para qualquer número que quiserem. Esse comportamento é habilitado no WordPress pelo design e os hackers de todo o mundo adoram muito. Depois de ativar essa configuração, seu site retornará 404 Página não encontrada.

Desativar feeds

O plug-in bloqueia o acesso aos feeds RSS, Atom e RDF. Isso não permite que os hackers descubram que tipo de software está instalado em seu site e coletam informações úteis adicionais para ajustar novos ataques ao seu WordPress. Depois de ativar essa configuração, seu site retornará 404 Página não encontrada.

Nota: Todas essas configurações acima não afetam os hosts na Lista de Acesso IP Branco e você pode facilmente permitir, por exemplo, publicar mensagens via XML-RPC para o endereço IP do seu computador doméstico apenas adicionando-o à Lista de Acesso IP Branco.

Se você tem acesso root ao seu servidor web, eu também recomendo usar estas dicas: Endurecimento do WordPress com WP Cerber e NGINX


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments