Porque proteger tu WordPress
Buenas si utilizas wordpress a menudo y tienes tropecientas mil webs como yo seguro que has sufrido alguna vez algún ataca, bien sea porque no tenías actualizado algún plugin , la versión tenia exploids o porque pensabas que la seguridad no era para ti , eres un tio/a muy duro/a y no pensabas que ningún ruso como TimurSharovski podría hackear tu web con alguna argucia xD.
En otros artículos te dimos pautas para proteger tu htaccess de robots o crawler maléficos o de la propia competencia.
Video instalación All in one Security & Firewall
Si no quieres leer el post aquí te dejo una configuración de All in one Security & Firewall que funciona bastante bien
De todas formas un dato que posiblemente desconoces, es que la mayoría de los hackeos de wordpress son por culpa del servidor web que utilizamos, por eso intenta siempre utilizar hostings optimizados para wordpress
Como instalar all in one security
Pues tenemos dos alternativas, como siempre, o descargas All in one security desde el repositorio de wordpress o te vas a plugins añadir nuevo y lo buscas e instalas
Como podéis ver All in one security & firewall goza de muchas instalaciones activas y una de una calificación de 5 estrellas en el repositorio de wordpress.
A ver hay más plugins de seguridad con menor puntuación, para mi este es el mejor, lo que no quiere decir que no os funcione mejor otro o que tengáis malas experiencias con este y no queráis ni verlo.
Sinceramente creo que esos 17 despistados le dieron a todos los checks de seguridad y se bloquearon ellos mismos, ojo que este plugin escribe en el htacces y os podéis bloquear o denegar el acceso a todo el mundo a la web.
Pero bueno os daré ciertas pautas que no tienen porque daros problemas, si alguna vez he detectado algún problema con una opción os lo pondré en el tutorial
Configuración de All in one Security & Firewall
Una vez instalados vamos por pasos, esta es la versión 4.2.8 All in one Security & Firewall actualizada a fecha de julio de 2017. Veras que se te ha creado en la columna izquierda de wordpress el acceso de configuración al plugin
Tenemos 15 items posibles a configurar, si te pones encima verás un desplegable, 15? estamos locos? Si 15 pero cuando controles en 10 min lo tendrás hecho y funcionando.
Escritorio
En esta apartado encontrareis como un pequeño resumen del estado del sistema, cuentas bloquedas, últimos accesos, os recomiendo que vayais item por item y esto solo lo utilicéis cuando entrais de vez en cuando para comprobar accesos o listas negras, así que pasamos al otro punto
Opciones All one Security & Firewall
En esta parte en principio solo marcaríamos la opción de ocultar la información de la versión de wordpress del código , así evitamos que puedan buscar exploits si tenemos versiones desfasadas.
Las demás opciones no hace falta tocarlas en el setup inicial excepto si quieres cargar o restaurar un htaccess
Cuentas de usuario
En este punto os recuerda que tenéis que intentar no utilizar usuarios por defecto como admin, en mostrar nombre os recuerda que tenéis que intentar mostrar en los post un nombre diferente al que utilizáis para logearos. Finalmente en el apartado contraseña podéis probar la fuerza que tiene vuestra contraseña y hacerla indestructible xD
Ingresos de usuarios
De este apartado os marco las dos opciones que suelo tocar ya que las otras 3 son informativas a modo log.
En la primera pestaña podéis elegir que bloquee nombres de usuarios distintos a los que hay en el sistema, si descubren la url de acceso y ponen por ejemplo admin, como en mi web no existe el usuario admin ya no deja hacer mas intentos y lo banea durante una hora, puedes elegir banearlo para siempre poniendolo en listas negras.
Yo siempre habilito la opción de que me notifique si se ha baneado a algún acceso ya que si cambiais la url de acceso y el usuario admin no tiene porque haber ningún ataque de este tipo, normalmente son fallos de los usuarios de la web por eso dejo 3 intentos antes de bloquearlo.
Despues podéis elegir la opción de obligar al usuario a relogearse cada cierto tiempo, la verdad es que si trabajais mucho en ese wordpress en concreto no la habiliteis, es un engorro.
Registro de usuarios
Esta opción es muy recomendable ya permite aprobar manualmente la creación de un usuario, si alguien consigue dar de alta un administrador no podrá logearse en el sistema hasta que lo apruebes manualmente, tambien permite poner un captcha al registro.
Seguridad de Base de datos
Aquí te permite cambiar el prefijo por defecto de la tabla de wordpress normalmente wp. Ojo!! no la te aconsejo cambiarla suele darte problemas, mejor que lo hagas cuando realizas la instalación o con una consulta SQL para que no te dejes nada.
También puedes guardar una copia de seguridad de la base de datos cada semana y mantener varias copias en el ftp o enviartelas por mail. Yo personalmente tengo un correo para guardar las copias de las bases de datos , nunca sabes que versión te puede hacer falta. He visto servidores de OVH en los que se jodieron el disco principal y auxiliar y se pudieron recuperar las webs gracias a que teníamos copias de las bases de datos. No suelen alinearse los planetas tanto pero puede pasarte y estarás muy jodido, como una agencia que conozco de cuyo nombre no quiero acordarme jeje. Tener las copias en dos lugares distintos no viene mal
Seguridad del sistema de archivos
Búsqueda Who is
Es una opción mas que nada es informativa por si tenéis curiosidad quien os esta dando por saco, o al menos la ip desde donde se esta conectando
Admistrador de listas negras
Aquí puedes añadir rangos de ips o ips concretas que quieres bloquear, esta muy bien para bloquear comentarios de spamers, pero bueno si lo podeis meter a mano por htaccess mejor porque hay veces que puedes entrarte por ftp por ejemplo y desabilitan el plugin
Cortafuegos
Cortafuegos básico
Este apartado tiene varias opciones os indico los que no dan problemas en casi ningún tema
En la primera opción marcar las 3 no da problemas excepto si usas jetpack, ahora el plugin te avisa pero antes no te avisaba, tener en cuenta si utilizais XMLRPC normalmente este archivo lo gasta jetpack y otras aplicaciones para conectarse a distintas funcionalidades del wordpress, yo personalemente no gasto jetpack y xmlrpc es un archivo muy vulnerable ataques de hecho siempre lo renombro desde que tube un ataque de sitios zombis que atacaban este archivo y se ejecutaban rutinas en php como si no hubiese mañana, en todo el servidor y como podeis imaginar el servidor se fue al hoyo, pero bueno en 2 min lo levantamos y renombramos todos los XMLRPC. Al igual que prefiero controlar los pings, los suelo bloquear para aprobarlos manualmente, eso a gusto del consumidor, vivireis mas tranquilos.
Reglas adicionales Firewall
De las 5 opciones siempre marco estas 3, no me dan problemas. las cadenas de consulta a veces me han creado algún conflicto por eso no las marca, no obstante podéis marcarlas y probar
6G Firewall blacklist rules
Este ajuste funciona a la perfección quitandote muchos ataques automáticos, implementa mecanismos de protección de cortafuegos 5G/6G en la web,
1) Bloquea caracteres prohibidos de uso común en los ataques de explotación.
2) Bloquea caracteres maliciosos URL codificadas como el «.css(» string.
3) Protege contra patrones comunes y exploits específicos en la parte de la raíz de las URL específicas.
4) Detiene los atacantes que manipulen cadenas de consulta al no permitir caracteres ilegales.
Bots de internet
Esta función comprobará si la información del agente de usuario de un bot contiene la cadena «Googlebot», siempre lo marco ya que el plugin verifica si el bot es legítimamente de Google y si lo es permitirá que el bot proceda.
Si el bot no supera las pruebas entonces el plugin lo marcara como un Googlebot falso y lo bloqueará. Todos los demás bots de otras organizaciones tales como «Yahoo», «Bing», etc no se verán afectados por esta función.
Prevenir enlaces activos ( Hotlinks )
Esta opción no la marco prácticamente nunca ya que me crea conflictos con imágenes de los post mas populares o mas leídos que se colocan en el widget o el footer
Detección 404
La otra opción de 404 es para redireccionar los ataques a una ip o dirección de bloqueo no la gasto porque hay veces que bloquea accesos de administrador legítimos
Reglas personalizadas
Aquí puedes añadir reglas como las que te comente en el artículo de los crawlers que he mencionado arriba o reglas personalizadas de expiración de cache, seguridad etc
Fuerza bruta
Para mi la regla mas importante para quitarte muchos ataques básicos e intentos de acceso automáticos y manuales, cambia la url de acceso al administrador, la segundo opción de las cookis me ha dado problemas. La tercera opción del captcha no es necesario si cambias la url de acceso. La lista blanca de ingreso no la aconsejo por si os cambian la ip os tocará renombrar por ftp el plugin para poder acceder . Y la opción de honeypot me crea algún conflicto con thumbails de pots destacados de los widgets
Prevención de Spam
All in one security tambien tiene la opción de bloquear comentarios de spam, personalmente si no gasto buddypress prefiero utilizar disqus y me ahorro todo el spameo
Escaner
Esta opcio te avisa de cualquier cambio en tus archivos puede ser una buena manera de prevenir rápidamente el ataque de un hacker, pero lo tengo desactivado porque es un coñazo, cada vez que actualizas algo te avisa
En general, el núcleo de WordPress y archivos de plugin y los tipos de archivos tales como «.php» o «.js» no deben cambiar a menudo y cuando lo hacen es posible que estés infectado, si solo administras un sitio activalo si eres webmaster no te lo aconsejo te freirán a mails
Mantenimiento
En esta opción puedes poner en mantenimiento el wordpress, no es muy bonita a nivel gráfico pero si es para algo puntual evita que instales ningún plugin adicional
Diverso
Protección copiar
Esta característica te permite desactivar la capacidad de seleccionar y copiar texto
Marcos
Evitar que tu web se muestre en un iframe, evita ataques de denegación de servicios
La otra opción no la gasto , escanea los autores
Alternativa a All in one Security & Firewall
Como instalar Wordfence
Otras consideraciones de seguridad para tu wordpress
Sobre el post del autor
Tony Espín
te has dejado la parte de seguridad de archivos de sistema por describir, has puesto el pantallazo pero no explicas nada. Deberías darle un repaso. Buen aporte. Un saludo.
JOSE MIGUEL MEDINA SILLA
Tienes razon lo cambiaré en la review que tengo que hacer! gracias!
Olga
super!, gracias por tu publicación .. me ayudo a configurar correctamente el plugin
JOSE MIGUEL MEDINA SILLA
gracias! por cierto cuidado con la opción bots de internet donde en teoría bloquea los bots falsos de google porque me ha dado problemas en alguna web con temas diferentes de wordpress, ahora lo estoy desmarcando