Portada Wordpress Mejora la Seguridad de WordPress con All In One WP Security & Firewall
Si nuestro gestor de contenidos es WordPress, debes de saber que es el CMS más usado en el mundo y por este motivo, es un objetivo constante por atacantes que buscan cualquier resquicio en la seguridad de una instalación de WordPress para acceder o inyectar malware.
Es algo que en Hostinet vemos todos los días, un WordPress no actualizado desde hace siglos, plugins de pago que se descargan de sitios ”gratuitos”, instalaciones de themes piratas, virus en ordenadores, contraseñas poco seguras o filtradas…
Cada vez existen más motivos para reforzar la seguridad de nuestra instalación de WordPress y no dejarse llevar hasta que sea demasiado tarde.
Por suerte, en WordPress existen plugins de seguridad muy buenos y gratuitos que podemos instalar y configurar según nuestras necesidades, como por ejemplo Wordfence o iThemes Security.
Hoy vamos a hablar de otro plugin muy usado y sencillo de configurar para mejorar la seguridad en WordPress llamado All In One Wp Security & Firewall.
El plugin All In One Wp Security es gratuito y podemos descargarlo desde aquí o simplemente buscarlo en el repositorio de plugins de nuestro WordPress para instalarlo y activarlo.
Al activarlo, tendremos acceso a un nuevo menú llamado Seguridad WP en la barra lateral.
Algo que valorará muchos usuarios es que está en completo español, así que la configuración es más fácil de realizar.
Antes de nada, hay que tener en cuenta que si marcamos todas las opciones sin saber lo que estamos haciendo, es posible que impidamos el acceso incluso a nosotros mismos…, así que hay que tener algo de cuidado.
El plugin tiene muchas opciones, pero no hace falta usarlas todas, así que vamos a darle un repaso rápido a las opciones para que cada usuario lo configure a su gusto.
En el Escritorio podemos ver una especie de resumen de los que tengamos configurado en el plugin.
Por ejemplo, si hemos bloqueado alguna dirección IP, desde el escritorio acceder rápidamente para verlas, estadísticas, etc…
En la sección de Ajustes podemos empezar a configurar cosas, aunque las opciones de Ajustes Generales son enlaces a distintas opciones del plugin que no se configuran desde aquí.
La siguientes pestañas tiene opciones interesantes, como la de realizar copias de seguridad del archivo .htaccess o wp-config.php, así como cargar los backups de estos archivos.
En la pestaña Información de la versión de WP podemos marcar la opción Borrar información de meta WP Generator: para ocultar la versión de WordPress que estamos usando, algo totalmente opcional.
Cuando se instala WordPress, es muy común que el acceso de administrador tenga el nombre de admin.
Así que si un atacante desea atacar WordPress, el primer nombre de usuario que probará será…., si, admin.
Así que para empezar, si nuestro usuario es admin lo debemos cambiar y el plugin no avisa de esto en esta sección.
También tiene una sección muy graciosa en la que nos dice cuanto tiempo tardaría un PC normal en descifrar nuestra contraseña, pero no le hagáis mucho caso y usar siempre una contraseña segura.
En el Acceso de Usuarios, en la primera pestaña llamada Bloqueo de acceso, podemos configurar un límite de intentos de acceso erróneos antes de banearlos.
De esta manera, evitamos cualquier intento de ataque por fuerza bruta que intente acceder a nuestra web.
También se puede configurar la desconexión automática de los usuarios logueados para aumentar la seguridad, pero hay que tener en cuenta que a nosotros también nos afectará a nosotros, lo que no parece ser una buena idea si estamos todo el día trabajando con WordPress.
El registro de usuarios en WordPress es algo muy común, pero si existe alguna brecha de seguridad, es posible que un atacante consiga registrarse como administrador y hacer lo que quiera con nuestro WordPress.
Si activamos la opción de Activar aprobación manual de nuevos registros, solo nosotros podremos activar los nuevos registros, aunque sea de un admin, así que parece una buena idea activarlo.
En contrapartida, si un usuario legítimo se registra no podrá acceder hasta que lo aprobemos.
En la Seguridad de la Base de Datos tenemos dos opciones.
La primera es cambiar el prefijo de las tablas wordpress que por defecto es “wp_” para ponérselo más difícil a los atacantes, pero puede dar problemas, así que es más que recomendable que hagamos una copia de seguridad de la base de datos antes de hacer nada.
La otra opción es automatizar backups de la base de datos y enviarla por email a tu cuenta de correo.
Las BBDD no ocupan mucho si no es una web muy grande y así podemos almacenar backups periódicos de nuestra base de datos en una cuenta de Gmail u Outlook… por lo que pueda pasar.
Desde esta opción, el plugin nos permite cambiar los permisos de los archivos y dos opciones muy interesantes:
Estas dos opciones se activan con un click y pueden ser muy útiles para evitar fisgones o que un atacante pueda inyectar código malicioso en nuestros archivos si consigue acceder a WordPress.
Desde aquí podemos añadir y quitar direcciones IP en una lista negra para que no tenga acceso.
Esto se hace si localizamos a un “pesado” y nos queremos librar de él, pero hay que tener cuidado porque, como avisa el propio plugin, podemos bloquearnos nosotros mismos, en cuyo caso deberemos entrar por FTP y renombrar la carpeta del plugin para poder volver a entrar a WordPress, así que cuidado.
En Cortafuegos podemos añadir y quitar reglas para impedir el acceso a varios sitios y archivos de WordPress, como el acceso a XMLRPC, una archivo que los atacante pueden usar para intentar acceder a WordPress, pero por otro lado es necesario para el correcto funcionamiento de ciertas tareas de WordPress o algún conocido plugin como Jetpack.
Es decir, que podemos activar las reglas que nos indica el plugin, pero debemos comprobar si nuestro WordPress sigue funcionando correctamente después de hacerlo.
Si existe alguna incompatibilidad, habrá que desactivar la regla del cortafuegos o buscar otra alternativa.
El cortafuegos es muy poderoso y puede sernos de gran ayuda para proteger WordPress, pero hay que andarse con ojo para no bloquear algo que no queramos. Usadlo con precaución.
Un ataque por Fuerza Bruta es algo tosco y rudimentario, pero puede ser efectivo si nuestras credenciales no son seguras.
Una forma de evitarlo en WordPress es cambiar la ruta de acceso, es decir, en vez de entrar por:
http://www.midominio.info/wp-admin
Entrar al administrador de WordPress por:
http://www.midominio.info/loquesea
El mayor problema que nos hemos encontrado con esto, son usuarios que no consiguen volver a entrar porque no recuerdan la ruta que pusieron.
Entonces hay que renombrar la carpeta del plugin para poder volver a acceder.
El Spam es un problema para todos. Ya tengas un formulario en los comentarios o de contacto, ten por seguro que si no está protegido, algún bot lo podrá utilizar para usar Spam.
Desde aquí podemos añadir un captcha para evitarlo.
La Exploración puede sernos muy útil en el caso de que algún atacante modifique algunos de los archivos de WordPress.
Desde aquí podemos ver todos los archivos que se hayan modificado en WordPress. A veces las modificaciones serán legítimas, pero en caso de que no lo sean, nos facilitará mucho las cosas saber cuáles son los archivos que un atacante ha modificado.
Esta opción es muy sencilla. Se trata de activar un modo de mantenimiento.
Si queremos que los usuarios no entren a la web por una actualización o por algunos cambios que estemos realizado, podemos activarlo y dejar un mensaje de aviso a los usuarios.
Y por último, tenemos la sección de Varios, desde donde podemos activar alguna opción más o menos interesante, como activar la protección contra el copiado, para que no puedan seleccionar y copiar el texto de nuestra web o activar la protección de iFrame.
Si habéis leído todo el artículo, habréis visto que el plugin All In One Wp Security es muy completo y tiene multitud de opción que podemos activar y desactivar a nuestro gusto.
Tal vez, lo más interesante sea encontrar el equilibrio entre seguridad y funcionalidad.
Parece importante no activar funciones a lo loco para evitar sustos y perder algo de tiempo en encontrar nuestra configuración perfecta, pero sin duda se trata de un buen plugin para reforzar la seguridad de nuestro WordPress