Mejora la Seguridad de WordPress con All In One WP Security & Firewall

Categorias: Wordpress

Si nuestro gestor de contenidos es WordPress, debes de saber que es el CMS más usado en el mundo y por este motivo, es un objetivo constante por atacantes que buscan cualquier resquicio en la seguridad de una instalación de WordPress para acceder o inyectar malware.

Es algo que en Hostinet vemos todos los días, un WordPress no actualizado desde hace siglos, plugins de pago que se descargan de sitios ”gratuitos”, instalaciones de themes piratas, virus en ordenadores, contraseñas poco seguras o filtradas…

Cada vez existen más motivos para reforzar la seguridad de nuestra instalación de WordPress y no dejarse llevar hasta que sea demasiado tarde.

Por suerte, en WordPress existen plugins de seguridad muy buenos y gratuitos que podemos instalar y configurar según nuestras necesidades, como por ejemplo Wordfence o iThemes Security.

Hoy vamos a hablar de otro plugin muy usado y sencillo de configurar para mejorar la seguridad en WordPress llamado All In One Wp Security & Firewall.

Plugin All In One Wp Security & Firewall

El plugin All In One Wp Security es gratuito y podemos descargarlo desde aquí o simplemente buscarlo en el repositorio de plugins de nuestro WordPress para instalarlo y activarlo.

Al activarlo, tendremos acceso a un nuevo menú llamado Seguridad WP en la barra lateral.

all in one security menu WordPress

Algo que valorará muchos usuarios es que está en completo español, así que la configuración es más fácil de realizar.

Antes de nada, hay que tener en cuenta que si marcamos todas las opciones sin saber lo que estamos haciendo, es posible que impidamos el acceso incluso a nosotros mismos…, así que hay que tener algo de cuidado.

El plugin tiene muchas opciones, pero no hace falta usarlas todas, así que vamos a darle un repaso rápido a las opciones para que cada usuario lo configure a su gusto.
 

All In One Wp Security – Escritorio

all in one security - escritorio WordPress

En el Escritorio podemos ver una especie de resumen de los que tengamos configurado en el plugin.

Por ejemplo, si hemos bloqueado alguna dirección IP, desde el escritorio acceder rápidamente para verlas, estadísticas, etc…


All In One Wp Security – Ajustes

all in one security - ajustes - WordPress

En la sección de Ajustes podemos empezar a configurar cosas, aunque las opciones de Ajustes Generales son enlaces a distintas opciones del plugin que no se configuran desde aquí.

La siguientes pestañas tiene opciones interesantes, como la de realizar copias de seguridad del archivo .htaccess o wp-config.php, así como cargar los backups de estos archivos.

En la pestaña Información de la versión de WP podemos marcar la opción Borrar información de meta WP Generator: para ocultar la versión de WordPress que estamos usando, algo totalmente opcional.


All In One Wp Security – Cuentas de Usuario

all in one security - cuentas usuarios - WordPress

Cuando se instala WordPress, es muy común que el acceso de administrador tenga el nombre de admin.

Así que si un atacante desea atacar WordPress, el primer nombre de usuario que probará será…., si, admin.

Así que para empezar, si nuestro usuario es admin lo debemos cambiar y el plugin no avisa de esto en esta sección.

También tiene una sección muy graciosa en la que nos dice cuanto tiempo tardaría un PC normal en descifrar nuestra contraseña, pero no le hagáis mucho caso y usar siempre una contraseña segura.


All In One Wp Security – Acceso de Usuario

all in one security - acceso usuarios - WordPress

En el Acceso de Usuarios, en la primera pestaña llamada Bloqueo de acceso, podemos configurar un límite de intentos de acceso erróneos antes de banearlos.

De esta manera, evitamos cualquier intento de ataque por fuerza bruta que intente acceder a nuestra web.

También se puede configurar la desconexión automática de los usuarios logueados para aumentar la seguridad, pero hay que tener en cuenta que a nosotros también nos afectará a nosotros, lo que no parece ser una buena idea si estamos todo el día trabajando con WordPress.


All In One Wp Security – Registro de Usuario

all in one security - registro usuarios - WordPress

El registro de usuarios en WordPress es algo muy común, pero si existe alguna brecha de seguridad, es posible que un atacante consiga registrarse como administrador y hacer lo que quiera con nuestro WordPress.

Si activamos la opción de Activar aprobación manual de nuevos registros, solo nosotros podremos activar los nuevos registros, aunque sea de un admin, así que parece una buena idea activarlo.

En contrapartida, si un usuario legítimo se registra no podrá acceder hasta que lo aprobemos.


All In One Wp Security – Seguridad de la Base de Datos

all in one security - seguridad base datos - WordPress

En la Seguridad de la Base de Datos tenemos dos opciones.

La primera es cambiar el prefijo de las tablas wordpress que por defecto es “wp_” para ponérselo más difícil a los atacantes, pero puede dar problemas, así que es más que recomendable que hagamos una copia de seguridad de la base de datos antes de hacer nada.

La otra opción es automatizar backups de la base de datos y enviarla por email a tu cuenta de correo.

Las BBDD no ocupan mucho si no es una web muy grande y así podemos almacenar backups periódicos de nuestra base de datos en una cuenta de Gmail u Outlook… por lo que pueda pasar.


All In One Wp Security – Seguridad del Sistema de Archivos

all in one security - seguridad sistema archivos - WordPress

Desde esta opción, el plugin nos permite cambiar los permisos de los archivos y dos opciones muy interesantes:

Estas dos opciones se activan con un click y pueden ser muy útiles para evitar fisgones o que un atacante pueda inyectar código malicioso en nuestros archivos si consigue acceder a WordPress.


All In One Wp Security – Administrador de la Lista Negra

all in one security - administrar lista negra - WordPress

Desde aquí podemos añadir y quitar direcciones IP en una lista negra para que no tenga acceso.

Esto se hace si localizamos a un “pesado” y nos queremos librar de él, pero hay que tener cuidado porque, como avisa el propio plugin, podemos bloquearnos nosotros mismos, en cuyo caso deberemos entrar por FTP y renombrar la carpeta del plugin para poder volver a entrar a WordPress, así que cuidado.


All In One Wp Security – Cortafuegos

all in one security - cortafuegos - WordPress

En Cortafuegos podemos añadir y quitar reglas para impedir el acceso a varios sitios y archivos de WordPress, como el acceso a XMLRPC, una archivo que los atacante pueden usar para intentar acceder a WordPress, pero por otro lado es necesario para el correcto funcionamiento de ciertas tareas de WordPress o algún conocido plugin como Jetpack.

Es decir, que podemos activar las reglas que nos indica el plugin, pero debemos comprobar si nuestro WordPress sigue funcionando correctamente después de hacerlo.

Si existe alguna incompatibilidad, habrá que desactivar la regla del cortafuegos o buscar otra alternativa.

El cortafuegos es muy poderoso y puede sernos de gran ayuda para proteger WordPress, pero hay que andarse con ojo para no bloquear algo que no queramos. Usadlo con precaución.


All In One Wp Security – Fuerza Bruta

all in one security - fuerza bruta - WordPress

Un ataque por Fuerza Bruta es algo tosco y rudimentario, pero puede ser efectivo si nuestras credenciales no son seguras.

Una forma de evitarlo en WordPress es cambiar la ruta de acceso, es decir, en vez de entrar por:

http://www.midominio.info/wp-admin

Entrar al administrador de WordPress por:

http://www.midominio.info/loquesea

El mayor problema que nos hemos encontrado con esto, son usuarios que no consiguen volver a entrar porque no recuerdan la ruta que pusieron.

Entonces hay que renombrar la carpeta del plugin para poder volver a acceder.


All In One Wp Security – Prevención de Spam

ll in one security - prevencion spam - WordPress

El Spam es un problema para todos. Ya tengas un formulario en los comentarios o de contacto, ten por seguro que si no está protegido, algún bot lo podrá utilizar para usar Spam.

Desde aquí podemos añadir un captcha para evitarlo.
 

All In One Wp Security – Exploración

all in one security - exploracion - WordPress

La Exploración puede sernos muy útil en el caso de que algún atacante modifique algunos de los archivos de WordPress.

Desde aquí podemos ver todos los archivos que se hayan modificado en WordPress. A veces las modificaciones serán legítimas, pero en caso de que no lo sean, nos facilitará mucho las cosas saber cuáles son los archivos que un atacante ha modificado.


All In One Wp Security – Mantenimiento

all in one security - mantenimiento - WordPress

Esta opción es muy sencilla. Se trata de activar un modo de mantenimiento.

Si queremos que los usuarios no entren a la web por una actualización o por algunos cambios que estemos realizado, podemos activarlo y dejar un mensaje de aviso a los usuarios.


All In One Wp Security – Varios

all in one security - varios - WordPress

Y por último, tenemos la sección de Varios, desde donde podemos activar alguna opción más o menos interesante, como activar la protección contra el copiado, para que no puedan seleccionar y copiar el texto de nuestra web o activar la protección de iFrame.


Cosas a Tener en Cuenta

Si habéis leído todo el artículo, habréis visto que el plugin All In One Wp Security es muy completo y tiene multitud de opción que podemos activar y desactivar a nuestro gusto.

Tal vez, lo más interesante sea encontrar el equilibrio entre seguridad y funcionalidad.

Parece importante no activar funciones a lo loco para evitar sustos y perder algo de tiempo en encontrar nuestra configuración perfecta, pero sin duda se trata de un buen plugin para reforzar la seguridad de nuestro WordPress

¿Necesitas un Hosting WordPress SSD?

  • WordPress 1Hosting especializado en WordPress con discos SSDdesde4´38€/mes
  • WordPress 2Hosting especializado en WordPress con discos SSDdesde5´54€/mes
  • WordPress 3Hosting especializado en WordPress con discos SSDdesde8´34€/mes
  • WordPress 1Hosting especializado en WordPress con discos SSDdesde4´38€/mes
  • WordPress 2Hosting especializado en WordPress con discos SSDdesde5´54€/mes
  • WordPress 3Hosting especializado en WordPress con discos SSDdesde8´34€/mes
    • Almacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSD
    • El espacio en disco es la suma del espacio que ocupan los archivos que forman la web y el correo electrónico.
    • La transferencia de datos mensual es la cantidad total de información que se descargan los visitantes de nuestra web en cada acceso más nuestro uso a través de FTP y correo.
    • Ideado para sacar el máximo partido a tu WordPress
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Elige la versión de PHP que necesites
    • Certificado SSL autofirmadoCertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUI
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM, .INFO, .NET, .ORG ó .EU.
    • Migramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a Hostinet
    • Ideado para sacar el máximo partido a tu WordPress
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Hosting específicamente preparado para sacar el máximo rendimiento a tu Wordpress
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM, .INFO, .NET, .ORG ó .EU.
    • Cada dominio alojado muestra un contenido único y diferente del resto
    • Aparcando un dominio secundario en el alojamiento de nuestro dominio principal conseguimos que ambos dominios resuelvan indistintamente con la misma página que tenemos colgada.
    • Cuentas de correo gestionables a través de POP, IMAP y servicio Webmail
    • Tus buzones de correo y mails limpios de virus y con un potente filtro antispam
    • Centro de datos en Madrid (España)
    • Opción de contratación de IP dedicadaPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUI
    • Opción de contratación de certificados SSL. Se requiere Ip dedicada.Puedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUI
    • Bases de datos MySQL disponibles para su uso en cada alojamiento web
    • ¿Quieres realizar desarrollos con Python? En Hostinet innovamos dia a dia en tu beneficio y por ello te presentamos como última novedad en todos nuestros servidores Web la posibilidad de desplegar tus aplicaciones con Python directamente desde el cPanel de tu Hosting.
    • ¿Quieres desarrollar tus aplicaciones con Ruby? En Hostinet te presentamos como última novedad en todos nuestros servicios de Hosting Web la posibilidad de desplegar tus aplicaciones con Ruby on Rails directamente desde el panel de control cPanel.
    • El fichero .htaccess permite modificar diferentes variables en la configuración de nuestra cuenta de alojamiento en el servidor.
    • El módulo mod_rewrite permite crear direcciones URL alternativas a las dinámicas generadas por la programación de nuestros sitio web (blog, foro, portal…), de tal modo que sean más legibles y fáciles de recordar
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web. Soporte en español por personal de Hostinet.
    • Completa recopilación de tutoriales sobre Hosting, Dominios y Wordpress
    • 30 dias para probar tu servicio de Hosting y si no te convence el servicio... te devolvemos el dinero!!
VN:F [1.9.22_1171]
Rating: 0.0/5 (Votos: 0)

¿NECESITAS AYUDA? Llama a nuestro soporte técnico 946 545 762

De Lunes a Viernes de 08:00 a 20:00 horas.


Contactar