Nunca está demás recordar que la seguridad es un aspecto que no podemos descuidar en nuestra web. Ya hemos hablado de las ventajas de utilizar SSL y de como protegernos de ataques al xmlrpc, pero eso no es mas que el principio.
Hoy veremos como protegernos de una manera mucho más completa con All In One WP Security & Firewall, una herramienta gratuita y facil de configurar que nos permitirá controlar casi todos los aspectos de nuestra seguridad.
Consejos básicos de seguridad
Antes que todo, quiero indicar algunas normas elementales que debemos seguir siempre
- 1Usar nombres de usuario y contraseñas seguras. Evitar los nombres que aparecen por defecto realizar la instalación. Usar contraseñas fuertes (+6 caracteres, mayúsculas, minusculas, digitos). Mi consejo para que sean fáciles de recordar: utilizamos una frase cogemos 2 letras de cada palabra, convertimos algunas sílabas en mayúsculas y añadimos los digitos. El resultado sería algo así como ¡Me23caeNtuMU!, que segun Kaspersky puede descifrase en 327 siglos. Gracias Chiquito de la Calzada
- 2Mantener actualizado el sitio, plugins y temas incluidos. No usar software hackeado, buscar alternativas gratuitas
- 3Realiza copias de seguridad de forma periódica
- 4Proteger los archivos críticos (wp-config.php, .htaccess, carpeta uploads, etc)
- 5Tomar medidas para minimizar spam y no perder de vista la actividad de los usuarios. Si no es necesario, lo ideal es desactivar el registro automático.
- 6Instalar un plugin de seguridad, como por ejemplo All In One WP Security & Firewall.
All in One WordPress Security
Me decido por este plugin porque su configuración es muy sencilla y a diferencia del resto no necesitamos comprar la versión premium para desbloquear sus numerosas funciones
Descargamos el plugin desde el repositorio o su web oficial y lo activamos. Inmediatemente recibimos la primera evaluación de nuestro sistema.
El primer panel nos dice hasta donde hemos llegado, el segundo indica que aspectos críticos tenemos pendientes y el tercero nos da la importancia de cada uno dentro del conjunto. Es una forma muy intuitiva de evaluar nuestro estado.
Las pestañas, nos ofrecen información diversa sobre nuestra web y la actividad de los usuarios.
Para configurar el plugin repasamos cada uno de sus elementos
Opciones
1.- En todo momento tendremos a nuestra disposición toda la información necesaria para poder decidir si activamos o no una opción. A veces será un texto informativo como muestra el punto 1, otras son enlaces que nos darán informacion extra y recomendaciones.
2.- Nivel de protección.
3.- Puntuación. Podemos discutir su validez, pero si duda es eficaz una idea de nuestro nivel de seguridad alcanzado.
Como norma general, yo recomiendo activar todo lo que no afecte al funcionamiento de nuestra web, es preferible pecar por exceso que quedar desprotegido. Por suerte tendremos todo lo necesario para decidir correctamente.
Pestañas
Configuración general - Muestra enlaces a las opciones copias de seguridad de los elementos críticos. Permite desactivar total o parcialmente las funcionalidades del plugin en caso de problemas en nuesto sitio.
Archivos .htaccess y wp-config.php - Realizar backup de estos archivos y/o restaurarlas en caso de problemas
Información de la versión de WP - Recomiendo activarl esta opción. Siempre es preferible ofrecer la menor información posible.
También podemos exportar la configuración para utilizarla en otros sitios.
Cuentas de usuario
Hay 3 pestañas, la primera comprueba que los administradores no utilizen el nombre por defecto. Si fuese el caso lo mejor es eliminar dicha cuenta sustituyéndola por otra
La segunda pestaña comprueba que no se publique el nombre de de usuario. Tendremos un listado con las cuentas en las que esto suceda y debemos modificarlas según corresponda.
Haremos los cambios en el perfil del usuario y seleccionamos como nombre público una variante diferente de la cuenta.
Una vez realizados los cambios veremos que ya estamos al día en ese aspecto.
Finalmente, en la última pestaña podemos evaluar nuestras contraseñas.
Acceso de Usuarios
En esta sección se implementan las medidas necesarias para prevenir los ataques por fuerza bruta. Mi recomendación es activar todas las opciones en la primera pestaña, con una excepción: NO permitir solicitudes de desbloqueo automático. Esto es una opinión personal. Los valores por defecto podemos dejarlos como vienen.
Prefiero, como regla, no habilitar listas blancas si no es estrictamente necesario.
Tendremos acceso a la lista de intentos fallidos de acceso, a los últimos 50 inicios de sesión y veremos los usuarios activos en cada momento. Podemos deconectar cualquiera de las sesiones. Estas opciones son útiles para detectar intentos de ataque y en la resolución de otras incidencias.
Opcionalmente podemos limitar el tiempo de conexión de nuestros usuarios administradores.
Seguridad de la base de datos
En esta seccion configuramos las copias de seguridad de la base de datos y podremos cambiar el prefijo de la misma si no lo hicimos durante la instalación. Debemos activar todas las opciones a menos que ya tengamos implementada una solución alternativa.
Al cambiar el prefijo de la base de datos, debemos proceder con cuidado para evitar efectos no deseados
Seguridad de Archivos
Esta función realiza un escaneo de nuestra instalación y si encuentra permisos de acceso diferentes a los recomendados no da la opción de corregirlos. Lo normal es corregirlos.
También recomiendo deshabilitar la edición de los archivos php y el acceso a los archivos comunes de Worpress.Para hacer modificaciones al código, mejor utilizar una herramienta más apropiada como, por ejemplo, NetBeans. Para casos puntuales podemos desactivar temporalmente esta característica.
Si somos curiosos, veremos como mejora nuestra puntuación en la medida que activamos las diferentes medidas de seguridad
Firewall
La activación del firewall modifica el archivo .htaccess incorporando reglas que permiten bloquear a aquellos visitantes con un comportamiento malicioso.
La primera pestaña son ajustes básicos. Ya hemos visto como implementar uno de ellos sin plugin. Si neceistamos ampliar el límite de subida por encima de 10MB, debemos modificar la linea correspondiente en el .htaccess. Para ello buscamos LimitRequestBody 10240000 y lo cambiamos por LimitRequestBody 30720000 si queremos ampliarlo a 30MB.
Activamos las 3 reglas adicionales. El filtro de cadenas y las consultas maliciosas debemos usarlas con precaución.
Finalmente, activamos las reglas de lista negra 6G, bloqueamos los robots falsos, implementamos la detección de 404 y la prevención de hotlinks. Esta útlima regla evitará que nos roben ancho de banda.
No tocamos las reglas personalizadas, excepto si sabemos lo que hacemos.
Fuerza bruta
Es un conjunto de medidas simples que permiten minimizar el impacto de los ataques por fuerza bruta.
Este tipo de ataque consume recursos de nuestro servidor y aunque el atacante no logre acceder, puede tener un impacto muy negativo sobre nuestra web.
Lo mínimo que debemos hacer es implementar el HoneyPot, ya que esta medida es la que tendrá menor impacto sobre nuestros usuarios siendo transparente para ellos. Utilizar captcha proporciona un nivel adicional de seguridad sin afectar la funcionalidad, aunque los usuarios legítmos tendran un paso adicional para acceder.
Finalmente podemos cambiar la página de acceso y/o implementar una política de cookies. Debemos ser cuidadosos para no bloquearnos a nosotros mismos.
Posiblemente cada cual necesite su propia combinación. Como con casi todo en este mundo no hay una recomendación universal, óptima para todos los casos.
Prevención de Spam
Poco que decir, Activamos todas las opciones.
Resto de opciones
Activamos el escaneo automático de nuestros archivos, sin olvidar excluir por ejemplo las imágenes y las carpetas del cache si procede.
En el apartado varios podemos desactivar la enumeración de usarios, el uso de botón derecho, los iframes y la rest API si procede.
No es necesario activar todas las opciones para una protección razonable. Se trata de probar e intentar activar todas las que no afecten el correcto funcionamiento de nuestra web.
Conclusiones
Tenemos ante nosotros un plugin de seguridad muy completo, gratuito y facil de configurar.
Sin lugar a dudas nos ayudará a proteger nuestra web y merece un sitio entre nuestros plugin recomendados
Sí que es cierto que éste plugin es fácil de configurar. Prácticamente te lleva de la mano y al mismo tiempo te guía. Me surje la duda de si con éste plugin sería suficiente protección antispam o habría que complementarlo con algún otro específico para este menester… ¿Cuál es tú opinión?
Un saludo
Hola, la protección antispam de AIO WordPress Security está dirigida a bloquear los comentarios de robots. Lo puedes complementar con Antispam Bee. Es un plugin ligero y bastante eficaz. Empezará a funcionar apenas lo actives y tendrás control total sobre todos los detalles.
Saludos
Supongo que caso de instalar otro plugin ant spam (como Anispam Bee), sobre Akismet, que venía por defecto con la instalación, lo ideal sería desinstalarlo, no?
Si, no tiene sentido tener 2 plugins que realicen la misma función. Aunque Akismet es efectivo en su trabajo, es un plugin «pesado», que depende de conexiones externas a la API de wordpress.com para funcionar y no es gratuito para sitios profesionales. Por eso uso Antispam Bee en su lugar
Echale un vistazo a https://raiolanetworks.es/blog/anti-spam-vs-akismet-vs-antispam-bee/, a mi me convenció