Security Blog
Security Blog
Posted By Gregory

Fortalecendo o WordPress com WP Cerber

É fácil proteger o WordPress ativando recursos essenciais do WP Cerber Security.


English version: Hardening WordPress with WP Cerber


Todas as configurações sugeridas são altamente recomendadas para a maioria dos sites na Internet. Se você precisar, por algum motivo, fornecer acesso às funções e recursos listados nesta página de um computador específico ou de uma rede IP, você precisa adicioná-los à White IP Access List .

Desabilitar API REST

O plugin restringe o acesso à API REST do WordPress. A capacidade de enviar solicitações invisíveis ao núcleo do seu WordPress deixa os hackers ainda mais felizes do que a capacidade de hackear sites usando XML-RPC. Se você não usa a API REST do WordPress, desabilite-a!

Marque Permitir API REST para usuários conectados se quiser permitir o uso da API REST para qualquer usuário autorizado do WordPress, sem limitação.

Instruções detalhadas: Restringir o acesso à API REST do WordPress

Por que é importante restringir o acesso à API REST do WordPress

Desabilitar XML-RPC

O plugin bloqueia o acesso ao servidor XML-RPC, incluindo Pingbacks e Trackbacks. Você sabia que hackers usam essa entrada oculta para descobrir logins furtivamente? Você tem um CAPTCHA ou reCAPTCHA no seu formulário de login para se proteger de bots? Não seja bobo, os bots modernos usam XML-RPC e WP REST API para forçar brutamente seu WordPress e você nem sabe como e quando eles fazem isso porque nenhum CAPTCHA funciona para solicitações XML-RPC. Hoje em dia, o XML-RPC deixa os hackers felizes e eles adoram muito. Depois de ativar essa configuração, seu site retornará 404 Página Não Encontrada para quaisquer solicitações XML-RPC, a menos que você faça uma exceção para hosts com White IP Access List .

Observação: se você usar o plugin Jetpack , que precisa se comunicar com o wordpress.com, não desabilite o XML-RPC.

Parar enumeração de usuários

O plugin bloqueia o acesso a páginas especiais de autores como /?author=N e a capacidade de recuperar dados do usuário via REST API. Intrusos e hackers podem facilmente obter todos os logins de todos os usuários em seu site apenas escaneando números de 1 a qualquer número que desejarem. Esse comportamento é habilitado no WordPress por design e hackers ao redor do mundo adoram muito. Após ativar essa configuração, seu site retornará 404 Página Não Encontrada.

Desativar feeds

O plugin bloqueia o acesso aos feeds RSS, Atom e RDF. Isso não permite que hackers descubram que tipo de software está instalado no seu site e coletem informações úteis adicionais para ajustar ataques futuros ao seu WordPress. Após ativar essa configuração, seu site retornará 404 Página Não Encontrada.

Observação: todas essas configurações acima não afetam os hosts na Lista Branca de Acesso IP e você pode facilmente permitir, por exemplo, a publicação de postagens via XML-RPC para o endereço IP do seu computador doméstico apenas adicionando-o à Lista Branca de Acesso IP.

Se você tiver acesso root ao seu servidor web, é recomendável usar estas dicas: Fortalecendo o WordPress com WP Cerber e NGINX


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments

Leave a Reply to Gregory
Cancel Reply