Nunca está demás recordar que la seguridad es un aspecto que no podemos descuidar en nuestra web. Ya hemos hablado de las ventajas de utilizar SSL y de como protegernos de ataques al xmlrpc, pero eso no es mas que el principio.

Hoy veremos como protegernos de una manera mucho más completa  con All In One WP Security & Firewall, una herramienta gratuita y facil de configurar que nos permitirá controlar casi todos los aspectos de nuestra seguridad.

Consejos básicos de seguridad

Antes que todo, quiero indicar algunas normas elementales que debemos seguir siempre

  • 1
    Usar nombres de usuario y contraseñas seguras. Evitar los nombres que aparecen por defecto realizar la instalación. Usar contraseñas fuertes (+6 caracteres, mayúsculas, minusculas, digitos). Mi consejo para que sean fáciles de recordar:  utilizamos una frase cogemos 2 letras de cada palabra, convertimos algunas sílabas en mayúsculas y añadimos los digitos. El resultado sería algo así como ¡Me23caeNtuMU!, que segun Kaspersky puede descifrase en 327 siglos. Gracias Chiquito de la Calzada
  • 2
    Mantener actualizado el sitio, plugins y temas incluidos. No usar software hackeado, buscar alternativas gratuitas 
  • 3
    Realiza copias de seguridad de forma periódica
  • 4
    Proteger los archivos críticos (wp-config.php, .htaccess, carpeta uploads, etc)
  • 5
     Tomar medidas para minimizar spam y no perder de vista la actividad de los usuarios. Si no es necesario, lo ideal es desactivar el registro automático.
  • 6
     Instalar un plugin de seguridad, como por ejemplo All In One WP Security & Firewall

All in One WordPress Security

Me decido por este plugin porque su configuración es muy sencilla y a diferencia del resto no necesitamos comprar la versión premium para desbloquear sus numerosas funciones

Descargamos el plugin desde el repositorio o su web oficial y lo activamos. Inmediatemente recibimos la primera evaluación de nuestro sistema.

El primer panel nos dice hasta donde hemos llegado, el segundo indica que aspectos críticos tenemos pendientes y el tercero nos da la importancia de cada uno dentro del conjunto. Es una forma muy intuitiva de evaluar nuestro estado.

Las pestañas, nos ofrecen información diversa sobre nuestra web y la actividad de los usuarios. ​

Para configurar el plugin repasamos cada uno de sus elementos

Opciones

1.- En todo momento tendremos a nuestra disposición toda la información necesaria para poder decidir si activamos o no una opción. A veces será un texto informativo como muestra el punto 1, otras son enlaces que nos darán informacion extra y recomendaciones.

2.-  Nivel de protección.

3.- Puntuación. Podemos discutir su validez, pero si duda es eficaz una idea de nuestro nivel de seguridad alcanzado.

Como norma general, yo recomiendo activar todo lo que no afecte al funcionamiento de nuestra web, es preferible pecar por exceso que quedar desprotegido. Por suerte tendremos todo lo necesario para decidir correctamente.

Pestañas

Configuración general - Muestra enlaces a las opciones copias de seguridad de los elementos críticos. Permite desactivar total o parcialmente las funcionalidades del plugin en caso de problemas en nuesto sitio. 

Archivos .htaccess y wp-config.php - Realizar backup de estos archivos y/o restaurarlas en caso de problemas

Información de la versión de WP - Recomiendo activarl esta opción. Siempre es preferible ofrecer la menor información posible.

También podemos exportar la configuración para utilizarla en otros sitios.

Cuentas de usuario

Hay  3 pestañas, la primera comprueba que los administradores no utilizen el nombre por defecto. Si fuese el caso lo mejor es eliminar dicha cuenta sustituyéndola por otra

La segunda pestaña comprueba que no se publique el nombre de de usuario. Tendremos un listado con las cuentas en las que esto suceda y debemos modificarlas según corresponda.

Haremos los cambios en el perfil del usuario y seleccionamos como nombre público una variante diferente de la cuenta.

Una vez realizados los cambios veremos que ya estamos al día en ese aspecto. 

Finalmente, en la última pestaña podemos evaluar nuestras contraseñas. 

Acceso de Usuarios

En esta sección se implementan las medidas necesarias para prevenir los ataques por fuerza bruta. Mi recomendación es activar todas las opciones en la primera pestaña, con una excepción: NO permitir solicitudes de desbloqueo automático. Esto es una opinión personal. Los valores por defecto podemos dejarlos como vienen.

Prefiero, como regla, no habilitar listas blancas si no es estrictamente necesario.

Tendremos acceso a la lista de intentos fallidos de acceso, a los últimos 50 inicios de sesión y veremos los usuarios activos en cada momento. Podemos deconectar cualquiera de las sesiones. Estas opciones son útiles para detectar intentos de ataque y en la resolución de otras incidencias.

Opcionalmente podemos limitar el tiempo de conexión de nuestros usuarios administradores.

Seguridad de la base de datos

En esta seccion configuramos las copias de seguridad de la base de datos y podremos cambiar el prefijo de la misma si no lo hicimos durante la instalación. Debemos activar todas las opciones a menos que ya tengamos implementada una solución alternativa.

Al cambiar el prefijo de la base de datos, debemos proceder con cuidado para evitar efectos no deseados

Seguridad de Archivos

Esta función realiza un escaneo de nuestra instalación y si encuentra permisos de acceso diferentes a los recomendados no da la opción de corregirlos. Lo normal es corregirlos.

También recomiendo deshabilitar la edición de los archivos php y el acceso a los archivos comunes de Worpress.Para hacer modificaciones al código, mejor utilizar una herramienta más apropiada como, por ejemplo, NetBeans. Para casos puntuales podemos desactivar temporalmente esta característica.

Si somos curiosos, veremos como mejora nuestra puntuación en la medida que activamos las diferentes medidas de seguridad

Firewall

La activación del firewall modifica el archivo .htaccess incorporando reglas que permiten bloquear a aquellos visitantes con un comportamiento malicioso.

La primera pestaña son ajustes básicos. Ya hemos visto como implementar uno de ellos sin plugin. Si neceistamos ampliar el límite de subida por encima de 10MB, debemos modificar la linea correspondiente en el .htaccess. Para ello buscamos LimitRequestBody 10240000 y lo cambiamos por LimitRequestBody 30720000 si queremos ampliarlo a 30MB. 

Activamos las 3 reglas adicionales. El filtro de cadenas y las consultas maliciosas debemos usarlas con precaución.

Finalmente, activamos las reglas de lista negra 6G, bloqueamos los robots falsos, implementamos la detección de 404 y la prevención de hotlinks. Esta útlima regla evitará que nos roben ancho de banda.

No tocamos las reglas personalizadas, excepto si sabemos lo que hacemos.

Fuerza bruta

Es un conjunto de medidas simples que permiten minimizar el impacto de los ataques por fuerza bruta. 

Este tipo de ataque consume recursos de nuestro servidor y aunque el atacante no logre acceder, puede tener un impacto muy negativo sobre nuestra web.

Lo mínimo que debemos hacer es implementar el HoneyPot, ya que esta medida es la que tendrá menor impacto sobre nuestros usuarios siendo transparente para ellos. Utilizar captcha proporciona un nivel adicional de seguridad sin afectar la funcionalidad, aunque los usuarios legítmos tendran un paso adicional para acceder.

Finalmente podemos cambiar la página de acceso y/o implementar una política de cookies. Debemos ser cuidadosos para no bloquearnos a nosotros mismos.

Posiblemente cada cual necesite su propia combinación. Como con casi todo en este mundo no hay una recomendación universal, óptima para todos los casos.

Prevención de Spam

Poco que decir, Activamos todas las opciones. 

Resto de opciones

Activamos el escaneo automático de nuestros archivos, sin olvidar excluir por ejemplo las imágenes y las carpetas del cache si procede.

En el apartado varios podemos desactivar la enumeración de usarios, el uso de botón derecho, los iframes y la rest API si procede.

No es necesario activar todas las opciones para una protección razonable. Se trata de probar e intentar activar todas las que no afecten el correcto funcionamiento de nuestra web.

Conclusiones

Tenemos ante nosotros un plugin de seguridad muy completo, gratuito y facil de configurar.

Sin lugar a dudas nos ayudará a proteger nuestra web y merece un sitio entre nuestros plugin recomendados

5 1 vote
Valoración del artículo
Suscribir
Notificar de
guest
4 Comentarios
Newest
Oldest Most Voted
Inline Feedbacks
View all comments
joaquin
joaquin
2 años atrás

Sí que es cierto que éste plugin es fácil de configurar. Prácticamente te lleva de la mano y al mismo tiempo te guía. Me surje la duda de si con éste plugin sería suficiente protección antispam o habría que complementarlo con algún otro específico para este menester… ¿Cuál es tú opinión?
Un saludo

joaquin
joaquin
2 años atrás
Reply to  RJCardenas

Supongo que caso de instalar otro plugin ant spam (como Anispam Bee), sobre Akismet, que venía por defecto con la instalación, lo ideal sería desinstalarlo, no?