Reforçando a segurança do WordPress com o WP Cerber
É fácil proteger o WordPress ativando os recursos essenciais do WP Cerber Security.
English version: Hardening WordPress with WP Cerber
Todas as configurações sugeridas são altamente recomendadas para a maioria dos sites na Internet. Se, por algum motivo, você precisar conceder acesso às funções e recursos listados nesta página a partir de um computador ou rede IP específica, será necessário adicioná-los à Lista de IPs Permitidos .
Desativar API REST
O plugin restringe o acesso à API REST do WordPress. A possibilidade de enviar requisições invisíveis ao núcleo do seu WordPress deixa os hackers ainda mais satisfeitos do que a capacidade de invadir sites usando XML-RPC. Se você não usa a API REST do WordPress, desative-o!
Marque a opção "Permitir API REST para usuários conectados" se desejar permitir o uso da API REST para qualquer usuário autorizado do WordPress, sem limitações.
Instruções detalhadas: Restringir o acesso à API REST do WordPress
Por que é importante restringir o acesso à API REST do WordPress?
Desativar XML-RPC
O plugin bloqueia o acesso ao servidor XML-RPC, incluindo Pingbacks e Trackbacks. Você sabia que hackers usam essa entrada oculta para descobrir logins furtivamente? Você tem um CAPTCHA ou reCAPTCHA no seu formulário de login para se proteger de bots? Não seja ingênuo, bots modernos usam XML-RPC e a API REST do WordPress para realizar ataques de força bruta no seu WordPress , e você nem sabe como e quando eles fazem isso, porque nenhum CAPTCHA funciona para requisições XML-RPC. Hoje em dia, o XML-RPC é a ferramenta preferida dos hackers. Após ativar essa configuração, seu site retornará o erro 404 (Página Não Encontrada) para qualquer requisição XML-RPC, a menos que você crie uma exceção para hosts com a Lista de Acesso de IPs Permitidos .
Observação: Se você usa o plugin Jetpack , que precisa se comunicar com o wordpress.com, não desative o XML-RPC.
Interromper enumeração de usuários
O plugin bloqueia o acesso a páginas de autor especiais, como /?author=N, e a capacidade de recuperar dados do usuário via API REST. Intrusos e hackers podem facilmente obter todos os logins de todos os usuários do seu site, simplesmente escaneando números de 1 a qualquer número que desejarem. Esse comportamento é habilitado por padrão no WordPress e é muito apreciado por hackers do mundo todo. Após ativar essa configuração, seu site retornará o erro 404 (Página Não Encontrada).
Desativar feeds
O plugin bloqueia o acesso aos feeds RSS, Atom e RDF. Isso impede que hackers descubram quais softwares estão instalados no seu site e coletem informações adicionais úteis para realizar ataques futuros ao seu WordPress. Após ativar essa configuração, seu site retornará o erro 404 (Página Não Encontrada).
Observação: Todas as configurações acima não afetam os hosts na Lista de Acesso IP Permitido e você pode facilmente permitir, por exemplo, a publicação de posts via XML-RPC para o endereço IP do seu computador doméstico, simplesmente adicionando-o à Lista de Acesso IP Permitido.
Se você tiver acesso root ao seu servidor web, é recomendável usar estas dicas: Reforçando a segurança do WordPress com WP Cerber e NGINX
WP Cerber Security 1.4
Configurações de segurança recomendadas para WP Cerber
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
Gergory, if you use the plugin to block access to RSS feeds, would that affect a podcast feed?
Yes of course. Because any podcast feed use the same RSS feed and engine as regular posts. Do you want to block all RSS feeds except those that contain attached media files?