Continuando o plano de substituir todos os plugins pagos por plugins gratuitos neste site, vou explicar o que fiz para substituir os recursos exclusivos do plugin Really Simple SSL Pro.
Primeiramente, listo os plugins de segurança que vou continuar utilizando:
Além desses plugins, eu utilizo também o Cloudflare.
Ao desativar o Really Simple SSL Pro, perco acesso aos seguintes recursos:
- Algumas opções da aba Hardening;
- Mixed Content Scan;
- Recommended Security Headers;
- HTTP Strict Transport Security;
- Permissions Policy;
- Content Security Policy;
- Cross Origin Policy.
Passo-a-passo para substituição dos recursos
Opções da Hardening
Disable “anyone can register“: desativei manualmente em Configurações > Geral > Membros: Qualquer pessoa pode se registrar.
Disable XML-RPC: inseri o seguinte filtro no arquivo functions.php
(eu faço isso com o plugin Code Snippets):
add_filter( ‘xmlrpc_enabled’, ’_return_false’ );
Disable HTTP methods: não acho necessário.
Rename and randomize your database prefix: eu já tinha mudado o prefixo do banco de dados da minha instalação quando criei o site, mas o plugin Brozzme DB Prefix & Tools Addons cumpre esse objetivo. Tome o cuidado de fazer um backup completo antes de fazer essa mudança.
Change debug.log file location: não sei por que, mas o acesso para /wp-content/debug.log
já estava negado. Se no seu caso o arquivo estiver acessível, insira em functions.php
:
define( 'WP_DEBUG_LOG', 'wp-content/uploads/debug.log' );
E defina a pasta que você quiser. Ou utilize o plugin Change Debug Log Location.
Disable application passwords: É possível desativar esse recurso adicionando a seguinte linha ao arquivo functions.php
:
add_filter( 'wp_is_application_passwords_available', '__return_false' );
Mixed Content Scan
Qualquer medida é desnecessária se você tomou o cuidado de editar o site somente depois do certificado SSL estar funcionando corretamente.
Recommended Security Headers
Instalei o plugin Headers Security Advanced & HSTS WP.
HTTP Strict Transport Security
Essa função é muito boa, mas ela é arriscada em sites que tem certificado SSL gerados automaticamente. Então eu não fiz nada a respeito.
Permissions Policy
Instalei o plugin Headers Security Advanced & HSTS WP.
Content Security Policy
Instalei o plugin Headers Security Advanced & HSTS WP.
Cross Origin Policy
Instalei o plugin Headers Security Advanced & HSTS WP.
Resultado Final
Depois de implantar todas essas modificações, eu testei o site no WebPageTest e consegui A+ no quesito segurança.
Share Your Thoughts