Una de las cosas sobre las cuales debes preocuparte al administrar tu sitio de Wordpress es la seguridad.
Hay muchas medidas que puedes tomar para mejorar la seguridad de tu sitio, sin embargo, si no sabes por dónde empezar, un plugin puede ayudarte con esta tarea.
Itheme Security es un plugin que puede ayudarte con la tarea de mantener tu sitio de WordPress seguro.
Aprende más sobre este plugin en esta reseña sobre Itheme Security and Itheme Security Pro
Tabla de Contenidos
- 1 Itheme Security vs Itheme Security Pro
- 2 Seguridad de WordPress: Mi Manera
- 3 Análisis Crítico de Itheme Security
- 3.1 #1 Comprobación de Seguridad
- 3.2 #2 Ajustes Globales
- 3.3 #3 Centro de avisos
- 3.4 #4 Grupos de Usuarios
- 3.5 #5 Detección 404
- 3.6 #7 Usuarios Baneados
- 3.7 #8 Copias de seguridad de bases de datos
- 3.8 #9 Detección de Cambios de Archivo
- 3.9 #10 Permisos de Archivos
- 3.10 Itheme Security Pro (18-27)
- 3.10.1 #18 Enlaces Mágicos
- 3.10.2 #19 Programación del Escaneo de Malware
- 3.10.3 #20 Escalada de Privilegios
- 3.10.4 #21 reCAPTCHA
- 3.10.5 #22 Parámetros de importación y exportación
- 3.10.6 #23 Autenticación de dos Factores
- 3.10.7 #24 Chequeo de seguridad de usuario
- 3.10.8 #25 Acceso del usuario
- 3.10.9 #26 Gestor de versiones
- 3.10.10 #27 Acceso sin Contraseña
- 4 Opciones Avanzadas de Ithemes Security
- 5 Información Relacionada
Itheme Security vs Itheme Security Pro
Una de las cosas que me gusta de Itheme Security es que es un plugin bastante sencillo.
Este plugin no cuenta con un Web Application Firewall (WAF) como otras alternativas como Sucuri y WordFence
Itheme Security es un plugin que cuenta con una versión gratuita y una versión premium.
Yo considero que la versioń gratuita es suficiente y que la funcionalidad premium son una buena adición pero no indispensables para mantener tu sitio de WordPress seguro
Si deseas usar Itheme Security Pro, una licencia para un sitio cuesta $58 dólares al mes.
Seguridad de WordPress: Mi Manera
Antes de empezar con el análisis crítico de las funcionalidades gratuitas y premium de Ithemes Security, debo decir que yo raramente uso plugins de seguridad para proteger mis sitios.
Yo creo en usar paneles de Cloud Hosting para implementar medidas de seguridad a mi servidor.
Yo uso el panel de Cloudways para aumentar la seguridad de mi servidor porque este protege la instalación de WordPress y la base de datos de una manera que pocos proveedores de hosting lo hacen.
También usó reglas de cortafuegos gratuitas de CloudFlare, con las cuales detengo miles de solicitudes maliciosas por dia.
Si deseas probar Cloudways por 3 dias, puedes apoyar este proyecto usando mi enlace afiliado:
Dependiendo del proveedor de hosting que estés usando en este momento, con Cloudways notarás una mejora, no solo en la seguridad, si no también en la velocidad de los sitios que desees alojar.
Sigamos con el análisis de Ithemes Security
Análisis Crítico de Itheme Security
Una de las cosas que me gusta de Itheme Security son las configuraciones del plugins.
Son 34 cosas las que debemos configurar en el plugin. Este es mi análisis sobre cada una de esas configuraciones tomando en cuenta que yo implementó reglas de Firewall de CloudFlare
#1 Comprobación de Seguridad
La comprobacioń de seguridad es la activación de los módulos de seguridad esenciales de Itheme Security.
Esa activación automática puede realizarse una vez instalado el plugin o los módulos puedes activarse individualmente.
En esta sección no es la responsable directa de ninguna implementación de seguridad
#2 Ajustes Globales
Esta es una sección muy importante del plugin ya que da los permisos para configurar archivos importantes de wordpress. No tiene implementación de medidas de seguridad.
#3 Centro de avisos
En esta sección puedes coordinar los avisos por correo enviados por iThemes Security relativos a los distintos módulos de ajustes. Nada crucial en términos de seguridad
#4 Grupos de Usuarios
Esta es una opción para gestionar los permisos de los usuarios. Esta funcionalidad no es necesaria si eres el único usuario del sitio.
#5 Detección 404
Otra de las formas de atacar sitios es la búsqueda de vulnerabilidades. Esa búsqueda de vulnerabilidades por lo general arroja muchas páginas 404.
La configuración por default acepta 20 errores en un umbral de 5 minutos. Una vez que 20 errores 404 son provocados por el mismo usuario, este es bloqueado de tu sitio por un periodo de tiempo que definas.
Esta es una de las funcionalidades que valoro en un plugin de seguridad.
#6 Modo de reposo
Esta es una de las funcionalidades que me gusta de Itheme Security, si tienes completa seguridad que no vas a usar tu sitio de wordpress por un periodo de horas, puedes ponerlo en modo reposo para que nadie tenga acceso a este.
Mi escritorio solo puede ser accesado por mi IP por la implementación de reglas de Firewall en CloudFlare.
#7 Usuarios Baneados
Esta característica te permite banear totalmente servidores y agentes de usuario de tu sitio sin tener que gestionar cualquier configuración de tu servidor.
A las direcciones IP o los agentes de usuario que se encuentran en la lista de abajo no se les permitirá ninguna visita a tu sitio.
Esta sección permite bloquear un lista de agentes de usuarios que han sido catalogados como peligrosos de seguridad.
La lista fue creada por HackRepair.com y basicamente agrega codigo en el archivo htaccess
Yo no soy fan de banear direcciones IP debido a que los hackers se las ingenian para realizar ataques de diferentes IP’s por lo que banearlas todas es una misión imposible y hay miles de Bots por lo que prefiero bloquear únicamente a los que afectan mi web desde CloudFlare.
#8 Copias de seguridad de bases de datos
Las copias de seguridad de la base de datos son necesarias en caso de un eventual hackeo sin embargo es más aconsejable hacer respaldos de tu sitio completo y guardarlos en tu ordenador o en un servicio de almacenamiento como Dropbox
#9 Detección de Cambios de Archivo
La detección de cambio en archivos te dirá qué archivos han cambiado en tu instalación de WordPress, alertando de cambios que no hayas hecho tú mismo.
La utilidad de esta función es para cuando ya estas hackeado.
#10 Permisos de Archivos
Lista los permisos de los archivos y directorios en las áreas clave del sitio pero debes cambiarlos manualmente
Esta sección solo tiene fines prácticas pero esto puedes hacerlo tu mismo usando FileZilla
#11 Activar Protección contra Fuerza Bruta
Los ataques de fuerza bruta aunque no sean exitosos consumen los recursos de tu servidor por lo que estos son un problema a nivel de seguridad, desempeño de tu sitio y los costos asociados con este.
Yo solo permitió tres intentos fallidos ya que uso un gestor de contraseñas en mi teléfono y navegador
Mis páginas de acceso solo pueden accesadas por mi IP por la implementación de reglas de Firewall en CloudFlare.
#12 Protección Contra Fuerza Bruta en la Red
La protección de fuerza bruta de red notifica a Itheme Security sobre las direcciones IP que están realizando ataques de fuerza bruta por lo que esta información es usada para servir y proteger más a la comunidad de Wordpress que usa Itheme Security
Mis páginas de acceso solo pueden accesadas por mi IP por la implementación de reglas de Firewall en CloudFlare
#13 Requisitos de contraseñas
Si eres el único usuario que tiene acceso al sitio, no es necesario hacer uso de esa función.
Lo único que debes de hacer es usar una contraseña segura formado de letras, números y símbolos.Te recomiendo que uses LastPass para generar contraseñas robustas.
#14 SSL
Con esto puedes forzar SSL en tu sitio. Eso es algo que puedes forzar desde el panel de tu proveedor de hosting, configurando el archivo .htaccess o usando CloudFlare
#15 Ajustes del sistema
Ajustes avanzados que mejoran la seguridad cambiando la configuración del servidor de este sitio.
Esto tiene muchas implementaciones de seguridad:
- Restringir acceso a readme.html, readme.txt, wp-config.php, install.php, wp-includes y .htaccess.
- Desactivar la navegación de directorios
- Filtrar métodos de petición
- Filtrar cadenas de petición sospechosas en la URL
- Filtrar los caracteres no ingleses
- Filtrar cadenas de URL largas
- Eliminar permisos de escritura de archivos
- Desactivar PHP en uploads
- Desactivar PHP en los plugins
- Desactivar PHP en temas
Todas estas implementaciones son códigos agregados al HTACCESS. Sobre el cual me he referido y me referire muchas veces en esta publicación.
#16 Salts de WordPress
Actualiza las claves secretas que usa WordPress para incrementar la seguridad en tu sitio.
Este es algo que puedes hacer periódicamente, no necesitas tener el plugin instalado por siempre.
#17 Ajustes de WordPress
Ajustes avanzados que mejoran la seguridad cambiando el comportamiento por defecto de WordPress.
Esto tiene muchas implementaciones de seguridad:
- Quita la cabecera de Windows Live Writer.
- Quitar la cabecera RSD (Really Simple Discovery)
- Reducir comentarios spam
- Desactivar editor de archivos
- Desactivar XML-RPC
- Desactivar los pingbacks
- Desactivar XML-RPC
- Desactivar Wordpress REST-API
- Desactivar mensajes de error de inicio de sesión
- Forzar a los usuarios a elegir un alias único
- Desactiva la página del autor de un usuario si su recuento de publicaciones es 0.
- Alterar enlaces target=”_blank” para protegerte del tabnapping
- Evita que las miniaturas de adjuntos se traspasen a otros archivos.
Itheme Security Pro (18-27)
Estas son las opciones que se encuentran disponibles en la versión Pro de Itheme Security.
#18 Enlaces Mágicos
Esto permite crear un enlace en caso que un usuario de tu sitio sea bloqueado. Algo de poca utilidad si eres el único administrador del sitio
#19 Programación del Escaneo de Malware
Esta es una opción buena para estar pendiente de tu sitio sin embargo esto lo puedes lograr con herramientas en línea como Virus Total y la herramienta gratuita de detección de Sucuri
#20 Escalada de Privilegios
Esto permite darle privilegios a un usuario por un periodo especifico de tiempo. Algo de poca utilidad si eres el único administrador del sitio
#21 reCAPTCHA
La persona tiene que llenar un recaptcha para comentar o intentar hacer sesión.
Debido al hecho que no tengo habilitado comentarios y que mi pagina de acceso esta protegida por IP, esta es no función por la cual no pagaría un dólar.
#22 Parámetros de importación y exportación
Esto permite exportar tu configuración de Ithemes Security de un sitio a otro por lo que no es algo por lo cual estaría dispuesto a pagar.
#23 Autenticación de dos Factores
Esta función genera un código adicional que debes agregar en tu sitio además de tu usuario y contraseña.
Una función innecesaria si bloqueas el escritorio por IP usando el archivo htaccess.
#24 Chequeo de seguridad de usuario
Esto te permite ver las sesiones por otros usuarios del sitio. Puedes cerrar la sesión de quien quieras y cambiar los roles
Poco útil si eres el único usuario del sitio.
#25 Acceso del usuario
Esto es un registro de los acceso realizado por los usuarios del sitio. Algo poco útil si eres el único usuario del sitio y si tienes restringido el acceso por IP
#26 Gestor de versiones
El gestor de versiones comprueba si wordpress, los temas y los plugin están actualizados.
Refuerza la seguridad en caso de no estarlo. Esta función estará disponible en la versión 5.5 de Wordpress por lo que no tiene nada de premium en mi opinión
#27 Acceso sin Contraseña
Esto te permite hacer sesión sin usar una contraseña. Una función innecesaria si bloqueas el escritorio por IP usando el archivo htaccess.
Opciones Avanzadas de Ithemes Security
#28 Cambiar directorio del contenido
Característica avanzada que sirve para renombrar el directorio wp-content a un nombre diferente.
El mismo plugin no recomienda hacer esto con sitio que ya tiene contenido.
#29 Cambiar el Prefijo de la Tabla de la Base de Datos
Si el uso que le das la base de datos es el normal , puedes cambiar el prefijo de tu base de datos sin pensarlo dos veces.
El prefijo cambiará de wp a un prefijo genérico y se mantendrá aunque el plugin sea desinstalado.
Esto lo puedes hacer con muchos plugins sin que esté instalado en el sitio.
#30 Ocultar escritorio
Esta es una de las formas de proteger tu sitio contra los ataques de fuerza bruta. Los sitios por default pueden ser accedidos por medio de la siguiente direccion:
- https://ejemplo.com/wp-admin
Al cambiar esa dirección por otra dirección, haces que el trabajo de hackers y bots sea más complejo. En esta sección, puedes redirigir a los bots y visitantes que buscan esa pagina a otra dirección.
Una función innecesaria si bloqueas el escritorio por IP usando el archivo htaccess.
#31 Reglas de configuración del servidor
Si tu necesitas añadir manualmente reglas generadas por iThemes Security a tu servidor, podrás encontrarlas aquí.
Básicamente es añadir reglas al archivo htaccess
#32 Reglas wp-config.php
Si necesitas añadir reglas en tu wp-config.php
generadas por iThemes Security en tu servidor, puedes hacerlo en este módulo.
Esto lo puedes hacer usando el gestor de archivo de hosting o usando un cliente FTP como Filezilla
#33 Comprobaciones de seguridad Pro
Añade detección segura automática de IPs y comprobaciones de la configuración SSL del servidor.
Información Relacionada
Esta es información que tiene relación con tema de seguridad
- Mi CortaFuegos Personalizado para WordPress
- Reseña Sobre el Plugin BBQ Pro
- Remover Backdoors de tu Sitio WordPress
- Hacker con Acceso Remoto a tu Sitio
- Plugins y Temas GPL: ¿Puedo Usarlos?
- Desactivar el Editor de Temas y Plugins
- Esconder la Versión de WordPress: ¿Sirve de Algo?
- 12 Plugins de Seguridad para WordPress
- 7 Plugins de Auditoría para WordPress
- 7 Plugins para Detectar Malware en WordPress