Continuando o plano de substituir todos os plugins pagos por plugins gratuitos neste site, vou explicar o que fiz para substituir os recursos exclusivos do plugin Really Simple SSL Pro.

Primeiramente, listo os plugins de segurança que vou continuar utilizando:

1. Antispam Bee;
2. BBQ Firewall;
3. Limit Login Attempts Reloaded; e
4. Really Simple SSL.

Além desses plugins, eu utilizo também o Cloudflare.

Ao desativar o Really Simple SSL Pro, perco acesso aos seguintes recursos:

• Algumas opções da aba Hardening;
• Mixed Content Scan;
• Recommended Security Headers;
• HTTP Strict Transport Security;
• Permissions Policy;
• Content Security Policy;
• Cross Origin Policy.

Passo-a-passo para substituição dos recursos

Opções da Hardening

Disable “anyone can register“: desativei manualmente em Configurações > Geral > Membros: Qualquer pessoa pode se registrar.

Disable XML-RPC: inseri o seguinte filtro no arquivo functions.php (eu faço isso com o plugin Code Snippets):

add_filter( ‘xmlrpc_enabled’, ’_return_false’ );

Disable HTTP methods: não acho necessário.

Rename and randomize your database prefix: eu já tinha mudado o prefixo do banco de dados da minha instalação quando criei o site, mas o plugin Brozzme DB Prefix & Tools Addons cumpre esse objetivo. Tome o cuidado de fazer um backup completo antes de fazer essa mudança.

Change debug.log file location: não sei por que, mas o acesso para /wp-content/debug.log já estava negado. Se no seu caso o arquivo estiver acessível, insira em functions.php:

define( 'WP_DEBUG_LOG', 'wp-content/uploads/debug.log' );

E defina a pasta que você quiser. Ou utilize o plugin Change Debug Log Location.

Disable application passwords: É possível desativar esse recurso adicionando a seguinte linha ao arquivo functions.php:

add_filter( 'wp_is_application_passwords_available', '__return_false' );

Mixed Content Scan

Qualquer medida é desnecessária se você tomou o cuidado de editar o site somente depois do certificado SSL estar funcionando corretamente.

Recommended Security Headers

Instalei o plugin Headers Security Advanced & HSTS WP.

HTTP Strict Transport Security

Essa função é muito boa, mas ela é arriscada em sites que tem certificado SSL gerados automaticamente. Então eu não fiz nada a respeito.

Permissions Policy

Instalei o plugin Headers Security Advanced & HSTS WP.

Content Security Policy

Instalei o plugin Headers Security Advanced & HSTS WP.

Cross Origin Policy

Instalei o plugin Headers Security Advanced & HSTS WP.

Resultado Final

Depois de implantar todas essas modificações, eu testei o site no WebPageTest e consegui A+ no quesito segurança.