Security Blog
Security Blog
Posted By Gregory

Fortalecendo o WordPress com WP Cerber

É fácil proteger o WordPress ativando os recursos essenciais do WP Cerber Security.


English version: Hardening WordPress with WP Cerber


Todas as configurações sugeridas são altamente recomendadas para a maioria dos sites na Internet. Se você precisar, por algum motivo, fornecer acesso às funções e recursos listados nesta página a partir de um determinado computador ou rede IP, será necessário adicioná-los à Lista de acesso de IP branco .

Desativar API REST

O plug-in restringe o acesso à API REST do WordPress. A capacidade de enviar solicitações invisíveis para o núcleo do seu WordPress torna os hackers ainda mais felizes do que a capacidade de invadir sites usando XML-RPC. Se você não usa a API REST do WordPress, desative-a!

Marque Permitir API REST para usuários logados se quiser permitir o uso da API REST para qualquer usuário autorizado do WordPress sem limitação.

A instrução detalhada: Restringir o acesso à API REST do WordPress

Por que é importante restringir o acesso à API REST do WordPress

Desativar XML-RPC

O plug-in bloqueia o acesso ao servidor XML-RPC, incluindo Pingbacks e Trackbacks. Você sabia que os hackers usam essa entrada oculta para descobrir logins furtivamente? Você tem um CAPTCHA ou reCAPTCHA em seu formulário de login para se proteger de bots? Não seja bobo, os bots modernos usam XML-RPC e WP REST API para força bruta em seu WordPress e você nem sabe como e quando eles fazem isso porque qualquer CAPTCHA não funciona para solicitações XML-RPC. Hoje em dia o XML-RPC deixa os hackers felizes e eles adoram muito. Depois de ativar esta configuração, seu site retornará 404 Página não encontrada para qualquer solicitação XML-RPC, a menos que você abra uma exceção para hosts com Lista de acesso de IP branco .

Observação: se você usar o plug-in Jetpack , que precisa se comunicar com o wordpress.com, não desative o XML-RPC.

Parar a enumeração do usuário

O plug-in bloqueia o acesso a páginas de autor especiais como /?autor=N e a capacidade de recuperar dados do usuário por meio da API REST. Intrusos e hackers podem obter facilmente todos os logins de todos os usuários em seu site, apenas digitalizando números de 1 a qualquer número que desejarem. Esse comportamento é ativado no WordPress por design e os hackers de todo o mundo adoram muito. Depois de ativar esta configuração, seu site retornará 404 Página não encontrada.

Desativar feeds

O plug-in bloqueia o acesso aos feeds RSS, Atom e RDF. Isso não permite que hackers descubram que tipo de software está instalado em seu site e coletem informações úteis adicionais para ajustar novos ataques ao seu WordPress. Depois de ativar esta configuração, seu site retornará 404 Página não encontrada.

Nota: Todas essas configurações acima não afetam os hosts na White IP Access List e você pode facilmente permitir, por exemplo, publicar postagens via XML-RPC para o endereço IP do seu computador doméstico apenas adicionando-o à White IP Access List.

Se você tiver acesso root ao seu servidor web, é recomendável usar estas dicas: Fortalecendo o WordPress com WP Cerber e NGINX


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments