Mejor plugin de seguridad WordPress : All in one Security & Firewall

Porque proteger tu WordPress

Buenas si utilizas wordpress a menudo y tienes tropecientas mil webs como yo seguro que has sufrido alguna vez algún ataca, bien sea porque no tenías actualizado algún plugin , la versión tenia exploids o porque pensabas que la seguridad no era para ti , eres un tio/a muy duro/a y no pensabas que ningún ruso como TimurSharovski podría hackear tu web con alguna argucia xD.

En otros artículos te dimos pautas para proteger tu htaccess de robots o crawler maléficos o de la propia competencia.

Video instalación All in one Security & Firewall

Si no quieres leer el post aquí te dejo una configuración de All in one Security & Firewall que funciona bastante bien

Hoy te traemos una guía de como proteger tu wordpress con All in one Security que valdrá de poco si tienes un wordpress que tiene mas años que Jordi Urtado o eres más pirata que jack Sparrov y trabajas con temas y plugins piratas, os sorprenderías de la gente que en proyectos serios no tiene ni el tema comprado y ratea 60 euricos.

De todas formas un dato que posiblemente desconoces, es que la mayoría de los hackeos de wordpress son por culpa del servidor web que utilizamos, por eso intenta siempre utilizar hostings optimizados para wordpress

Como instalar all in one security

Pues tenemos dos alternativas, como siempre, o descargas All in one security desde el repositorio de wordpress o te vas a plugins añadir nuevo y lo buscas e instalas

Como podéis ver All in one security & firewall goza de muchas instalaciones activas y una de una calificación de 5 estrellas en el repositorio de wordpress.

A ver hay más plugins de seguridad con menor puntuación, para mi este es el mejor, lo que no quiere decir que no os funcione mejor otro o que tengáis malas experiencias con este y no queráis ni verlo.

Sinceramente creo que esos 17 despistados le dieron a todos los checks de seguridad y se bloquearon ellos mismos, ojo que este plugin escribe en el htacces y os podéis bloquear o denegar el acceso a todo el mundo a la web.

Pero bueno os daré ciertas pautas que no tienen porque daros problemas, si alguna vez he detectado algún problema con una opción os lo pondré en el tutorial

Configuración de All in one Security & Firewall

Una vez instalados vamos por pasos, esta es la versión 4.2.8 All in one Security & Firewall actualizada a fecha de julio de 2017. Veras que se te ha creado en la columna izquierda de wordpress el acceso de configuración al plugin

Tenemos 15 items posibles a configurar, si te pones encima verás un desplegable,  15? estamos locos? Si 15  pero cuando controles en 10 min lo tendrás hecho y funcionando.

Escritorio

En esta apartado encontrareis como un pequeño resumen del estado del sistema, cuentas bloquedas, últimos accesos, os recomiendo que vayais item por item y esto solo lo utilicéis cuando entrais de vez en cuando para comprobar accesos o listas negras, así que pasamos al otro punto

 

Opciones All one Security & Firewall

En esta parte en principio solo marcaríamos la opción de ocultar la información de la versión de wordpress del código , así evitamos que puedan buscar exploits si tenemos versiones desfasadas.

Las demás opciones no hace falta tocarlas en el setup inicial excepto si quieres cargar o restaurar un htaccess

Cuentas de usuario

En este punto os recuerda que tenéis que intentar no utilizar usuarios por defecto como admin, en mostrar nombre os recuerda que tenéis que intentar mostrar en los post un nombre diferente al que utilizáis para logearos. Finalmente en el apartado contraseña podéis probar la fuerza que tiene vuestra contraseña y hacerla indestructible xD

Ingresos de usuarios

De este apartado os marco las dos opciones que suelo tocar ya que las otras 3 son informativas a modo log.

En la primera pestaña podéis elegir que bloquee nombres de usuarios distintos a los que hay en el sistema, si descubren la url de acceso y ponen por ejemplo admin, como en mi web no existe el usuario admin ya no deja hacer mas intentos y lo banea durante una hora, puedes elegir banearlo para siempre poniendolo en listas negras.

Yo siempre habilito la opción de que me notifique si se ha baneado a algún acceso ya que si cambiais la url de acceso y el usuario admin no tiene porque haber ningún ataque de este tipo, normalmente son fallos de los usuarios de la web por eso dejo 3 intentos antes de bloquearlo.

Despues podéis elegir la opción de obligar al usuario a relogearse cada cierto tiempo, la verdad es que si trabajais mucho en ese wordpress en concreto no la habiliteis, es un engorro.

Registro de usuarios

Esta opción es muy recomendable ya permite aprobar manualmente la creación de un usuario, si alguien consigue dar de alta un administrador no podrá logearse en el sistema hasta que lo apruebes manualmente, tambien permite poner un captcha al registro.

Seguridad de Base de datos

Aquí te permite cambiar el prefijo por defecto de la tabla de wordpress normalmente wp. Ojo!! no la te aconsejo cambiarla suele darte problemas, mejor que lo hagas cuando realizas la instalación o con una consulta SQL para que no te dejes nada.

También puedes guardar una copia de seguridad de la base de datos cada semana y mantener varias copias en el ftp o enviartelas por mail. Yo personalmente tengo un correo para guardar las copias de las bases de datos , nunca sabes que versión te puede hacer falta. He visto servidores de OVH en los que se jodieron el disco principal y auxiliar y se pudieron recuperar las webs gracias a que teníamos copias de las bases de datos. No suelen alinearse los planetas tanto pero puede pasarte y estarás muy jodido, como una agencia que conozco de cuyo nombre no quiero acordarme jeje. Tener las copias en dos lugares distintos no viene mal

Seguridad del sistema de archivos

Búsqueda Who is

Es una opción mas que nada es informativa por si tenéis curiosidad quien os esta dando por saco, o al menos la ip desde donde se esta conectando

Admistrador de listas negras

Aquí puedes añadir rangos de ips o ips concretas que quieres bloquear, esta muy bien para bloquear comentarios de spamers, pero bueno si lo podeis meter a mano por htaccess mejor porque hay veces que puedes entrarte por ftp por ejemplo y desabilitan el plugin

Cortafuegos

Cortafuegos básico

Este apartado tiene varias opciones os indico los que no dan problemas en casi ningún tema

En la primera opción marcar las 3 no da problemas excepto si usas jetpack, ahora el plugin te avisa pero antes no te avisaba, tener en cuenta si utilizais XMLRPC normalmente este archivo lo gasta jetpack y otras aplicaciones para conectarse a distintas funcionalidades del wordpress, yo personalemente no gasto jetpack y xmlrpc es un archivo muy vulnerable ataques de hecho siempre lo renombro desde que tube un ataque de sitios zombis que atacaban este archivo y se ejecutaban rutinas en php como si no hubiese mañana, en todo el servidor y como podeis imaginar el servidor se fue al hoyo, pero bueno en 2 min lo levantamos y renombramos todos los XMLRPC. Al igual que prefiero controlar los pings, los suelo bloquear para aprobarlos manualmente, eso a gusto del consumidor, vivireis mas tranquilos.

Reglas adicionales Firewall

De las 5 opciones siempre marco estas 3, no me dan problemas. las cadenas de consulta a veces me han creado algún conflicto por eso no las marca, no obstante podéis marcarlas y probar

6G Firewall blacklist rules

Este ajuste funciona a la perfección quitandote muchos ataques automáticos, implementa mecanismos de protección de cortafuegos 5G/6G en la web,

1) Bloquea caracteres prohibidos de uso común en los ataques de explotación.

2) Bloquea caracteres maliciosos URL codificadas como el «.css(» string.

3) Protege contra patrones comunes y exploits específicos en la parte de la raíz de las URL específicas.

4) Detiene los atacantes que manipulen cadenas de consulta al no permitir caracteres ilegales.

Bots de internet

Esta función comprobará si la información del agente de usuario de un bot contiene la cadena «Googlebot», siempre lo marco ya que el plugin verifica si el bot es legítimamente de Google y si lo es permitirá que el bot proceda.

Si el bot no supera las pruebas entonces el plugin lo marcara como un Googlebot falso y lo bloqueará. Todos los demás bots de otras organizaciones tales como «Yahoo», «Bing», etc no se verán afectados por esta función.

Prevenir enlaces activos ( Hotlinks )

Esta opción no la marco prácticamente nunca ya que me crea conflictos con imágenes de los post mas populares o mas leídos que se colocan en el widget o el footer

Detección 404

La otra opción de 404 es para redireccionar los ataques a una ip o dirección de bloqueo no la gasto porque hay veces que bloquea accesos de administrador legítimos

Reglas personalizadas

Aquí puedes añadir reglas como las que te comente en el artículo de los crawlers que he mencionado arriba o reglas personalizadas de expiración de cache, seguridad etc

Fuerza bruta

Para mi la regla mas importante para quitarte muchos ataques básicos e intentos de acceso automáticos y manuales, cambia la url de acceso al administrador, la segundo opción de las cookis me ha dado problemas. La tercera opción del captcha no es necesario si cambias la url de acceso. La lista blanca de ingreso no la aconsejo por si os cambian la ip os tocará renombrar por ftp el plugin para poder acceder . Y la opción de honeypot me crea algún conflicto con thumbails de pots destacados de los widgets

Prevención de Spam

All in one security tambien tiene la opción de bloquear comentarios de spam, personalmente si no gasto buddypress prefiero utilizar disqus y me ahorro todo el spameo

Escaner

Esta opcio te avisa de cualquier cambio en tus archivos puede ser una buena manera de prevenir rápidamente el ataque de un hacker, pero lo tengo desactivado porque es un coñazo, cada vez que actualizas algo te avisa
En general, el núcleo de WordPress y archivos de plugin y los tipos de archivos tales como «.php» o «.js» no deben cambiar a menudo y cuando lo hacen es posible que estés infectado, si solo administras un sitio activalo si eres webmaster no te lo aconsejo te freirán a mails

Mantenimiento

En esta opción puedes poner en mantenimiento el wordpress, no es muy bonita a nivel gráfico pero si es para algo puntual evita que instales ningún plugin adicional

Diverso

Protección copiar

Esta característica te permite desactivar la capacidad de seleccionar y copiar texto

Marcos

Evitar que tu web se muestre en un iframe, evita ataques de denegación de servicios

La otra opción no la gasto , escanea los autores

Alternativa a All in one Security & Firewall

Como instalar Wordfence

Otras consideraciones de seguridad para tu wordpress