Reseña sobre All in One WP Security and Firewall

Reseña sobre All in One WP Security and Firewall

Uno de los mejores plugins con una gran variedad de funciones para proteger tu sitio de WordPress es el plugin All in One WP Security and Firewall.

Es un plugin completamente gratuito y que cubre una gran variedad de aspectos de seguridad de WordPress.

Es un plugin para dar los primeros pasos en el mundo de la seguridad.

Habiendo dicho esto creo el plugin complementa muy bien con el servicio gratuito que ofrece CloudFlare.

All in One WP Security and Firewall: Explicado

All in One WP Security and Firewall es un plugin que te da una calificación conforme realizas la implementación de mucha de sus funcionalidades.

El máximo puntaje que puedes obtener es 515 pero nunca lo he alcanzado debido a que hay muchas medidas que no las he implementado por lo redudante que son.

Por ejemplo.

Cambiar la dirección de acceso, usar una palabra secreta y bloquear la dirección de acceso nos son necesarias ya que el bloqueo por IP es super efectivo.

En esta publicación, estaré valorando si una cuenta gratuita de CloudFlare tiene la capacidad de protegerte tambien.

#1 Escritorio

La sección que se llama Escritorio no tiene elementos de protección pero en esta puedes encontrar información sobre la implementación de los diferentes módulos, las direcciones IP bloqueadas, lista de bloqueos permanentes y algunos detalles sobre este plugin y tu sitio.

Básicamente esta sección busca dar información

#2 Ajustes

La sección de ajustes tiene opciones para deshabilitar funciones del plugin, algo útil si crees que el plugin tiene completo con otras funciones de tu sitio.

Este plugin tambien tiene las opciones de respaldar dos archivos importantes de tu sitio y la sección de ajustes.

En esta parte tenemos la opción de remover la información de nuestro sitio que le hace saber a los bots que se esta usando WordPress y la versión que usas.

Si estás usando la última versión de WordPress que tiene todas las implementaciones de seguridad, considero que no hay nada de qué preocuparse.

#3 Cuenta de Usuario

El siguiente punto es la cuenta de usuario, esta parte básicamente consiste en usar un nombre de usuario que no tenga relación con:

  1. La palabra admin
  2. Nombre del sitio
  3. Nombre del autor

y que este tenga una contraseña robusto.

Esta recomendación de seguridad no requiere de un plugin, usa LastPass para generar contraseñas robustas y que sean diferentes a las de los demás sitios y cuentas que tienes

#4 Acceso de Usuario

Esta sección del plugin te permite:

  • Restringir el número de intentos que pueden ser realizados por un usuario en la página de acceso.
  • Bloquear usuarios cuyo nombres de usuario no están registrados en el sistema.
  • Ver número de intentos fallidos y los usuarios conectados.
  • Forzar que los usuarios sean desconectados después de un periodo de tiempo.
  • Ver un registro de acceso y el numero de usuarios conectados.

#5 Registro de Usuario

Esta sección tiene que ver con el registro de usuarios nuevos en el sitio.

Este sección requiere la aprobación de nuevos usuarios, el llenado de un captcha de registro y el uso de honeycomb para detener a bots que intentan registrarse en el sitio.

#6 Seguridad de la Base de Datos

La base de datos es uno de los elementos más importantes debido a que la información crucial del sitio se encuentra disponible en ella.

La recomendacioń de All in One WP Security and Firewall permite cambiar el prefijo de la base de datos.

Este plugin tambien es capaz de hacer un respaldo de la base de datos.

#7 Seguridad del Sistema de Archivos

La seguridad del sistema de archivos se asegura que estos tengan el permiso correcto.

Los permiso recomendados son los siguientes:

/public_html/0755
public_html/wp-includes0755
/public_html/.htaccess0644
/public_html/wp-admin/index.php0644
/public_html/wp-admin/js/0755
/public_html/wp-content/themes0755
/wp-content/plugins0755
/public_html/wp-admin0755
/public_html/wp-content0755
/public_html/wp-config.php0640

Las otras opciones impide a los administradores editar archivos de PHP e impedir el acceso a archivos tales como readme.html, license.txt y wp-config-sample.php 

#8 Lista Negra

La lista negra lo que permite es añadir las direcciones IP’s de usuarios no gratos a tu sitio para que no tengan acceso a ninguna parte de este.

La función de bloquear usuarios tambien esta disponible en CloudFlare sin embargo CloudFlare se encarga de esto de una mejor manera.

CloudFlare permite que le des un desafio de seguridad que provienen de ciertos países que no deberían estar revisando tu sitio o que son populares por el uso de bots y demás.

#9 CortaFuegos

El cortafuegos realiza varias funciones divididas en varias pestañas

Reglas Basicas de CortaFuegos

  1. Protege tu archivo htaccess al negar el acceso al mismo.
  2. Desactiva la firma del servidor.
  3. Limita el tamaño de subida de archivos (10MB).
  4. Protege tu archivo wp-config.php al negar el acceso al mismo.
  5. Bloquea la funcionalidad XML-RPC de WP
  6. bloquear el acceso al archivo debug.log

Reglas Adicionales del Cortafuegos

  1. desactivar el listado de archivos y directorios. 
  2. desactivar el rastreo y seguimiento.
  3. prohibir el proxy en la publicación de comentarios.
  4. Prohibir consultas maliciosas a través de XSS.
  5. bloquear coincidencias de caracteres XSS maliciosos.

Reglas del Cortafuego de la Lista Negra 6G

  1. Implementación de cortafuegos 5G
  2. Implementación de cortafuegos 6G

HotLinking y Otros

  1. Bloquear bots de Internet
  2. Evitar Hotlinking
  3. Detección de Errores 404

#10 Fuerza Bruta

Esta opcioń te permite cambiar la dirección de acceso. Adicionalmente tambien puedes tener acceso a esta por medio de una palabra secreta, mediante el uso de una lista de acceso.

Esta opción tambien permite agregar un señuelo.

#11 Prevencíon de Spam

En mi caso personal, yo no creo que los comentarios sean importantes en un sitio por varias razones.

Los comentarios son una fuente de SPAM y en realidad las buenas conversaciones las encontraras en diferentes redes sociales.

Si deseas leer más sobre mi posición sobre los comentarios, lee mi opinión sobre el porque deberías desactivar los comentarios en WordPress

#12 El Explorador

El explorador de este plugin es muy útil porque te indica sobre los cambios que recientemente fueron realizados en tu sitio.

#13 Mantenimiento

La opcioń de mantenimiento te permite poner tu sitio en «modo de mantenimiento» bloqueando a todos los visitantes excepto a los usuarios conectados con privilegios de super administrador.

Mi opinion

Mi opinión es que debes de tener un respaldo, si crees que tu sitio ha sido vulnerado, restaura el sitio y empieza con la instalación de detectores de Malware.

#14 Varios

La opción varios se encarga de varios detalles que no tienes que ver con la seguridad estrictamente

  • Desactivar el «clic derecho», la «selección de texto» y la opción «Copiar» en tu sitio.
  • Evitar que otros sitios muestren tu contenido en un marco o un iframe.
  • Detener la enumeración de usuarios.
  • Evitar el acceso a la REST API a no conectados en las solicitudes.

¿Es este Plugin Necesario?

Este plugin cubre 14 puntos de seguridad, repasemos su utilidad:

Sección #1

La sección que se describe como escritorio tiene únicamente información sobre el uso del plugin.

Sección #2

La sección de configuración únicamente tiene la opción de remover la versión de WordPress de todas las páginas.

WP White Security, un blog sobre seguridad o sobre plugins afirma que ocultar que usas WordPress no es medida de seguridad.

Desde el punto práctico, yo tengo habilitada esta opción y siempre obtengo errores 404 de personas buscando plugins en mi sitio que han sido explotados por hackers en el pasado.

Si tu sitio cuenta con las últimas actualizaciones, no deberías de preocuparte por esto porque los ataques a sitios web son computarizados en gran escala.

La última versión por si misma no es un problema de seguridad en si.

Sección #3

La sección #3 tiene que ver con las cuentas, esto no requiere el uso de un plugin, solo debes de usar un usuario y una contraseña que sean difíciles de descifrar.

Yo recomiendo que uses LastPass para tener una contraseña robusta.

Seccioń #4

La opción de limitar los intentos fallidos, la considero importante mientras que las otras opciones son un buen complemento pero no tan cruciales en temas de seguridad.

Un plugin de autenticación de dos factores es más que suficiente. La verdad es que no debes preocuparte en exceso por un registro si tiene una buena medida de seguridad

Sección #5

Si tu sitio no es un sitio de membresia o un sitio de ventas por Internet, simplemente desactiva la opción de permitir nuevos registros y ya tienes un problema resuelto.

Sección #6

Cambia el prefijo de la base de datos con este plugin una vez y que los respaldos de la base de datos y de tu sitio se guarden en sitios externos.

Sección #7

Esta sección le pone los permisos correctos a los archivos, eso es algo que haces de manera muy conveniente desde el plugin pero tambien puedes hacerlo con Filezilla.

Este archivo permite bloquear la edición de archivos PHP desde el escritorio, lo problemático es que un hacker si entro por medio de fuerza bruta, lo puede desactivar sin problemas.

El bloqueo de la edición de archivos se puede desactivar mediante un código en el archivo wp-config.php

Los archivos como readme.html, licence.txt y wp-config-sample.php se puede realizar mediante CloudFlare y agregando código en el archivo .htaccess.

Sección #8

El bloquear direcciones y user agents es un proceso agotador y bastante distractor, puedes usar el Firewall de CloudFlare para evitar añadir más código al archivo .htaccess.

Sección #9 (Lo Mejor de All in One WP Security and Firewall)

Esta sección es la que vale la pena ya que esta sección contiene el Firewall que impide ataques.

Sección #10 (Lo Mejor de All in One WP Security and Firewall)

Esta es una sección que considero valioso porque permite renombrar la dirección de acceso a lo que quieras y autorizar solo una serie de direcciones IP para que tengan acceso a esta.

Sección #11

Yo no le encuentro valor a los comentarios cuando la conversación sobre tema de WordPress por lo general es mucho mejor en Grupos de Facebook.

Sección #12

Esta sección es un remedio ya que te ayuda a determinar que sitios archivos han sido modificados desde que tu sitio fue vulnerado.

Sección #13

La sección de Mantenimiento es de poco uso para la mayoria de usuarios

Sección #14

La numeración de usuario no es tan problemática si tienes una buena contraseña o si tu página de acceso fue cambiada y bloqueada por IP.

El usar el contenido de tu sitio mediante Iframe en sitios externos se puede prevenir mediante el uso de CloudFlare pero no presenta problemas de seguridad.

Resumen de Puntos no Necesarios

Este es mi resumen sobre las funcionalidades del plugin, ver sección anterior que detalla mis razones.

#1EscritorioNo tiene medidas de Seguridad
#2ConfiguraciónFuncionalidad no Necesaria
#3Cuenta de UsuarioNo requiere uso de Plugin
#4AccesoUso otro Plugin de Seguridad
#5Registro de UsuarioFuncionalidad no Necesaria
#6 Seguridad de Base de DatosFuncionalidad no Necesaria
#7Archivos del SistemaControl con FileZilla y .HTACCESS
#8Lista NegraFuncionalidad no Necesaria
#9FirewallUna buena Funcionalidad
#10Fuerza BrutaUna buena Funcionalidad
#11SPAMFuncionalidad no Necesaria
#12ScannerLimpia el Sitio Mejor
#13MantenimientoFuncionalidad no Necesaria
#14MiscellaneousFuncionalidad no Necesaria