Reseña sobre Ithemes Security

Una de las cosas sobre las cuales debes preocuparte al administrar tu sitio de WordPress es la seguridad.

Hay muchas medidas que puedes tomar para mejorar la seguridad de tu sitio sin embargo si no sabes por dónde empezar, un plugin puede ayudarte con esta tarea.

Una de las cosas que me gusta de Itheme Security es que es un plugin bastante sencillo.

Itheme Security es un plugin que cuenta con una versión gratuita y una versión premium.

Yo considero que la versioń gratuita es suficiente y que la funcionalidad premium son una buena adicioń pero no indispensables para manejar tu sitio.

Análisis Crítico de Itheme Security

Una de las cosas que me gusta de Itheme Security son las configuraciones del plugins.

Son 34 cosas las que debemos configurar en el plugin. Este es mi análisis sobre cada una de esas configuraciones tomando en cuenta que yo implementó reglas de Firewall de CloudFlare

#1 Comprobación de Seguridad

La comprobacioń de seguridad es la activación de los módulos de seguridad esenciales de Itheme Security.

Esa activación automática puede realizarse una vez instalado el plugin o los módulos puedes activarse individualmente.

En esta sección no es la responsable directa de ninguna implementación de seguridad

#2 Ajustes Globales

Esta es una sección muy importante del plugin ya que da los permisos para configurar archivos importantes de wordpress. No tiene implementación de medidas de seguridad.

#3 Centro de avisos

En esta sección puedes coordinar los avisos por correo enviados por iThemes Security relativos a los distintos módulos de ajustes. Nada crucial en términos de seguridad

#4 Grupos de Usuarios

Esta es una opción para gestionar los permisos de los usuarios. Esta funcionalidad no es necesaria si eres el único usuario del sitio.

#5 Detección 404

Otra de las formas de atacar sitios es la búsqueda de vulnerabilidades. Esa búsqueda de vulnerabilidades por lo general arroja muchas páginas 404.

La configuración por default acepta 20 errores en un umbral de 5 minutos. Una vez que 20 errores 404 son provocados por el mismo usuario, este es bloqueado de tu sitio por un periodo de tiempo que definas.

Esta es una de las funcionalidades que valoro en un plugin de seguridad.

#6 Modo de reposo

Esta es una de las funcionalidades que me gusta de Itheme Security, si tienes completa seguridad que no vas a usar tu sitio de wordpress por un periodo de horas, puedes ponerlo en modo reposo para que nadie tenga acceso a este.

Mi escritorio solo puede ser accesado por mi IP por la implementación de reglas de Firewall en CloudFlare.

#7 Usuarios Baneados

Esta característica te permite banear totalmente servidores y agentes de usuario de tu sitio sin tener que gestionar cualquier configuración de tu servidor.

A las direcciones IP o los agentes de usuario que se encuentran en la lista de abajo no se les permitirá ninguna visita a tu sitio.

Esta sección permite bloquear un lista de agentes de usuarios que han sido catalogados como peligrosos de seguridad.

La lista fue creada por HackRepair.com y basicamente agrega codigo en el archivo htaccess

Yo no soy fan de banear direcciones IP debido a que los hackers se las ingenian para realizar ataques de diferentes IP’s por lo que banearlas todas es una misión imposible y hay miles de Bots por lo que prefiero bloquear únicamente a los que afectan mi web desde CloudFlare.

#8 Copias de seguridad de bases de datos

Las copias de seguridad de la base de datos son necesarias en caso de un eventual hackeo sin embargo es más aconsejable hacer respaldos de tu sitio completo y guardarlos en tu ordenador o en un servicio de almacenamiento como Dropbox

#9 Detección de Cambios de Archivo

La detección de cambio en archivos te dirá qué archivos han cambiado en tu instalación de WordPress, alertando de cambios que no hayas hecho tú mismo. 

La utilidad de esta función es para cuando ya estas hackeado.

#10 Permisos de Archivos

Lista los permisos de los archivos y directorios en las áreas clave del sitio pero debes cambiarlos manualmente

Esta sección solo tiene fines prácticas pero esto puedes hacerlo tu mismo usando FileZilla

#11 Activar Protección contra Fuerza Bruta

Los ataques de fuerza bruta aunque no sean exitosos consumen los recursos de tu servidor por lo que estos son un problema a nivel de seguridad, desempeño de tu sitio y los costos asociados con este.

Yo solo permitió tres intentos fallidos ya que uso un gestor de contraseñas en mi teléfono y navegador

Mis páginas de acceso solo pueden accesadas por mi IP por la implementación de reglas de Firewall en CloudFlare.

#12 Protección Contra Fuerza Bruta en la Red

La protección de fuerza bruta de red notifica a Itheme Security sobre las direcciones IP que están realizando ataques de fuerza bruta por lo que esta información es usada para servir y proteger más a la comunidad de WordPress que usa Itheme Security

Mis páginas de acceso solo pueden accesadas por mi IP por la implementación de reglas de Firewall en CloudFlare

#13 Requisitos de contraseñas

Si eres el único usuario que tiene acceso al sitio, no es necesario hacer uso de esa función.

Lo único que debes de hacer es usar una contraseña segura formado de letras, números y símbolos.Te recomiendo que uses LastPass para generar contraseñas robustas.

#14 SSL

Con esto puedes forzar SSL en tu sitio. Eso es algo que puedes forzar desde el panel de tu proveedor de hosting, configurando el archivo .htaccess o usando CloudFlare

#15 Ajustes del sistema

Ajustes avanzados que mejoran la seguridad cambiando la configuración del servidor de este sitio.

Esto tiene muchas implementaciones de seguridad:

  • Restringir acceso a readme.html, readme.txt, wp-config.php, install.php, wp-includes y .htaccess.
  • Desactivar la navegación de directorios
  • Filtrar métodos de petición
  •  Filtrar cadenas de petición sospechosas en la URL
  •  Filtrar los caracteres no ingleses
  •  Filtrar cadenas de URL largas
  •  Eliminar permisos de escritura de archivos
  • Desactivar PHP en uploads
  • Desactivar PHP en los plugins
  • Desactivar PHP en temas

Todas estas implementaciones son códigos agregados al HTACCESS. Sobre el cual me he referido y me referire muchas veces en esta publicación.

#16 Salts de WordPress

Actualiza las claves secretas que usa WordPress para incrementar la seguridad en tu sitio.

Este es algo que puedes hacer periódicamente, no necesitas tener el plugin instalado por siempre.

#17 Ajustes de WordPress

Ajustes avanzados que mejoran la seguridad cambiando el comportamiento por defecto de WordPress.

Esto tiene muchas implementaciones de seguridad:

  • Quita la cabecera de Windows Live Writer.
  • Quitar la cabecera RSD (Really Simple Discovery)
  • Reducir comentarios spam
  • Desactivar editor de archivos
  • Desactivar XML-RPC 
  • Desactivar los pingbacks
  • Desactivar XML-RPC 
  • Desactivar WordPress REST-API
  • Desactivar mensajes de error de inicio de sesión
  • Forzar a los usuarios a elegir un alias único
  • Desactiva la página del autor de un usuario si su recuento de publicaciones es 0.
  • Alterar enlaces target=”_blank” para protegerte del tabnapping
  •  Evita que las miniaturas de adjuntos se traspasen a otros archivos.

Itheme Security Pro (18-27)

Estas son las opciones que se encuentran disponibles en la versión Pro de Itheme Security.

#18 Enlaces Mágicos

Esto permite crear un enlace en caso que un usuario de tu sitio sea bloqueado. Algo de poca utilidad si eres el único administrador del sitio

#19 Programación del Escaneo de Malware

Esta es una opción buena para estar pendiente de tu sitio sin embargo esto lo puedes lograr con herramientas en línea como Virus Total y la herramienta gratuita de detección de Sucuri

#20 Escalada de Privilegios

Esto permite darle privilegios a un usuario por un periodo especifico de tiempo. Algo de poca utilidad si eres el único administrador del sitio

#21 reCAPTCHA

La persona tiene que llenar un recaptcha para comentar o intentar hacer sesión.

Debido al hecho que no tengo habilitado comentarios y que mi pagina de acceso esta protegida por IP, esta es no función por la cual no pagaría un dólar.

#22 Parámetros de importación y exportación

Esto permite exportar tu configuración de Ithemes Security de un sitio a otro por lo que no es algo por lo cual estaría dispuesto a pagar.

#23 Autenticación de dos Factores

Esta función genera un código adicional que debes agregar en tu sitio además de tu usuario y contraseña.

Una función innecesaria si bloqueas el escritorio por IP usando el archivo htaccess.

#24 Chequeo de seguridad de usuario

Esto te permite ver las sesiones por otros usuarios del sitio. Puedes cerrar la sesión de quien quieras y cambiar los roles

Poco útil si eres el único usuario del sitio.

#25 Acceso del usuario

Esto es un registro de los acceso realizado por los usuarios del sitio. Algo poco útil si eres el único usuario del sitio y si tienes restringido el acceso por IP

#26 Gestor de versiones

El gestor de versiones comprueba si wordpress, los temas y los plugin están actualizados.

Refuerza la seguridad en caso de no estarlo. Esta función estará disponible en la versión 5.5 de WordPress por lo que no tiene nada de premium en mi opinión

#27 Acceso sin Contraseña

Esto te permite hacer sesión sin usar una contraseña. Una función innecesaria si bloqueas el escritorio por IP usando el archivo htaccess.

Opciones Avanzadas de Ithemes Security

#28 Cambiar directorio del contenido

Característica avanzada que sirve para renombrar el directorio wp-content a un nombre diferente.

El mismo plugin no recomienda hacer esto con sitio que ya tiene contenido.

#29 Cambiar el Prefijo de la Tabla de la Base de Datos

Si el uso que le das la base de datos es el normal , puedes cambiar el prefijo de tu base de datos sin pensarlo dos veces.

El prefijo cambiará de wp a un prefijo genérico y se mantendrá aunque el plugin sea desinstalado.

Esto lo puedes hacer con muchos plugins sin que esté instalado en el sitio.

#30 Ocultar escritorio

Esta es una de las formas de proteger tu sitio contra los ataques de fuerza bruta. Los sitios por default pueden ser accedidos por medio de la siguiente direccion:

  • https://ejemplo.com/wp-admin

Al cambiar esa dirección por otra dirección, haces que el trabajo de hackers y bots sea más complejo. En esta sección, puedes redirigir a los bots y visitantes que buscan esa pagina a otra dirección.

Una función innecesaria si bloqueas el escritorio por IP usando el archivo htaccess.

#31 Reglas de configuración del servidor

Si tu necesitas añadir manualmente reglas generadas por iThemes Security a tu servidor, podrás encontrarlas aquí.

Básicamente es añadir reglas al archivo htaccess

#32 Reglas wp-config.php

Si necesitas añadir reglas en tu wp-config.php generadas por iThemes Security en tu servidor, puedes hacerlo en este módulo.

Esto lo puedes hacer usando el gestor de archivo de hosting o usando un cliente FTP como Filezilla

#33 Comprobaciones de seguridad Pro

Añade detección segura automática de IPs y comprobaciones de la configuración SSL del servidor.

Información Relacionada

Esta es información que tiene relación con tema de seguridad

  1. Mi CortaFuegos Personalizado para WordPress
  2. Reseña Sobre el Plugin BBQ Pro
  3. Remover Backdoors de tu Sitio WordPress
  4. Hacker con Acceso Remoto a tu Sitio
  5. Plugins y Temas GPL: ¿Puedo Usarlos?
  6. Desactivar el Editor de Temas y Plugins
  7. Esconder la Versión de WordPress: ¿Sirve de Algo?
  8. 12 Plugins de Seguridad para WordPress
  9. 7 Plugins de Auditoría para WordPress
  10. 7 Plugins para Detectar Malware en WordPress