Fortalecimiento de WordPress con WP Cerber
Es fácil proteger WordPress habilitando las características esenciales de WP Cerber Security.
English version: Hardening WordPress with WP Cerber
Todas las configuraciones sugeridas son muy recomendables para la mayoría de los sitios web en Internet. Si necesita, por algún motivo, brindar acceso a las funciones y características enumeradas en esta página desde una computadora en particular o una red IP, debe agregarlas a la Lista blanca de acceso IP .
Deshabilitar API REST
El complemento restringe el acceso a la API REST de WordPress. La capacidad de enviar solicitudes invisibles al núcleo de su WordPress hace que los piratas informáticos sean aún más felices que la capacidad de piratear sitios web mediante XML-RPC. Si no usa la API REST de WordPress, ¡desactívela!
Marque Permitir API REST para usuarios registrados si desea permitir el uso de API REST para cualquier usuario autorizado de WordPress sin limitación.
La instrucción detallada: Restringir el acceso a la API REST de WordPress
Por qué es importante restringir el acceso a la API REST de WordPress
Deshabilitar XML-RPC
El complemento bloquea el acceso al servidor XML-RPC, incluidos Pingbacks y Trackbacks. ¿Sabes que los piratas informáticos usan esta entrada oculta para descubrir los inicios de sesión de forma sigilosa? ¿Tiene un CAPTCHA o reCAPTCHA en su formulario de inicio de sesión para protegerlo de los bots? No seas tonto, los bots modernos usan XML-RPC y WP REST API para forzar tu WordPress y ni siquiera sabes cómo y cuándo lo hacen porque cualquier CAPTCHA no funciona para solicitudes XML-RPC. Hoy en día, XML-RPC hace felices a los piratas informáticos y les encanta. Después de activar esta configuración, su sitio web devolverá 404 Página no encontrada para cualquier solicitud XML-RPC, a menos que haga una excepción para los hosts con la Lista de acceso de IP blanca .
Nota: si usa el complemento Jetpack , que necesita comunicarse con wordpress.com, no desactive XML-RPC.
Detener la enumeración de usuarios
El complemento bloquea el acceso a páginas de autor especiales como /?author=N y la capacidad de recuperar datos de usuario a través de la API REST. Los intrusos y los piratas informáticos pueden obtener fácilmente todos los inicios de sesión de todos los usuarios de su sitio web simplemente escaneando números del 1 al número que deseen. Este comportamiento está habilitado en WordPress por diseño y a los piratas informáticos de todo el mundo les encanta. Después de activar esta configuración, su sitio web devolverá 404 Página no encontrada.
Deshabilitar fuentes
El complemento bloquea el acceso a las fuentes RSS, Atom y RDF. Esto no permite que los piratas informáticos descubran qué tipo de software está instalado en su sitio web y recopile información útil adicional para ajustar más ataques a su WordPress. Después de activar esta configuración, su sitio web devolverá 404 Página no encontrada.
Nota: Todas estas configuraciones anteriores no afectan a los hosts en la Lista de acceso de IP blanca y puede permitir fácilmente, por ejemplo, publicar publicaciones a través de XML-RPC para la dirección IP de la computadora de su hogar simplemente agregándola a la Lista de acceso de IP blanca.
Si tiene acceso de root a su servidor web, se recomienda utilizar estos consejos: Fortalecimiento de WordPress con WP Cerber y NGINX
WP Cerber Security 6.0
WP Cerber Security 6.1
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
Gergory, if you use the plugin to block access to RSS feeds, would that affect a podcast feed?
Yes of course. Because any podcast feed use the same RSS feed and engine as regular posts. Do you want to block all RSS feeds except those that contain attached media files?