Sucuri: Plugin de Seguridad para WordPress

Sucuri es probablemente uno de los plugins de seguridad más usados en WordPress por el prestigio que este ha ganado con el pasar de los años.

Sucuri tiene un blog, un podcast mensual y un canal de Youtube donde puedes aprender más sobre temas de seguridad.

Consejos de Seguridad de Sucuri

Recientemente tuve la oportunidad de recibir un curso de correo electrónico por Sucuri sobre la seguridad de WordPress por lo que me gustaría resumir algunos de los consejos dados.

#1 Mantener todo Actualizado

Una de las recomendaciones de seguridad menos valoradas es la de mantener tu sitio de wordpress actualizado.

Debes mantener actualizado los plugins, los temas y wordpress además de otro tipos de software que es utilizado tales como la versión de PHP que usas en tu sitio.

#2 Controlar el Acceso

Sucuri indica que la mayoría de los ataques van dirigidos van dirigidos a archivos tales como wp-admin, wp-login.php, and xmlrpc.php por lo que debes de usar un usuario y una contraseña que sea dificil de descifrar.

Debes de asegurarte que los colaboradores de tu sitio tengan el rol que les pertenece. No todos necesitan ser los administradores del sitio.

#3 Restringir Acceso

Sucuri aconseja restringir el acceso por medio de un plugin de autenticación de dos factores de manera que un usuario requiera ingresar el usuario y la contraseña y un codigo de autenticación.

Tambien es importante restringir el numero de intentos que un usuario puede realizar y agregar un captcha para reducir los ataques de fuerza bruta.

Limitar las páginas de acceso a ciertas direcciones IP

#4 Usar un Plugin de Seguridad

Sucuri recomienda usar un plugin de seguridad para prevenir ataques, para detectar malware y para realizar auditorias de tu sitio.

#5 Hosting

Uno de los factores que debes de contemplar para aumentar la seguridad de tu sitio es usar un proveedor de Hosting que haga un esfuerzo por cuidar del servidor donde tu sitio se encuentra alojado.

Una de la maneras de prevenir desastres es mediante la creación de respaldos periodicos de tu sitio.

Otra de los pequeños detalles es que tu proveedor de hosting provea al menos de certificados de Let’s Encrypt

Sucuri: Detalles sobre el Plugin

Estos son algunos detalles sobre Sucuri y las funcionalidad de Seguridad que este ofrece:

#1 Integridad de WordPress

Los archivos que componen la instalación de WordPress son archivos y unas carpetas. En la raíz de tu sitio encontraras varios archivos y 3 carpetas importantes:

  • wp-content dónde están algunos contenidos de tu sitio.
  • wp-admin
  • wp-includes.

Estas carpetas tiene archivos y carpetas dentro de ellos. Hay archivos de la instalación que no son modificados nunca por lo que Sucuri te avisa si esos han sido modificados.

#2 Escáner Externo

Sucuri tambien cuenta con un escáner externo que te indica si hay problemas en tu sitio que son visibles para los visitantes.

#3 Firewall o CortaFuegos

El Cortafuegos de Sucuri es una función Premium por lo que debes pagar una anualidad para poder usar esta función.

El Firewall de Sucuri implica que los hackers no verán la IP de tu sitio porque usará la red de contenido global de Sucuri. Eso permite que el equipo de seguridad de Sucuri proteja tu sitio si tener acceso a este.

#4 Logins

Esta sección tiene relación con la página de acceso, usuarios conectados y otros

#5 La Configuración de Sucuri

Sucuri tiene opciones para proteger tu sitio. En esta sección puedes:

  • Remover la versión de WordPress
  • Bloquear la ejecución de PHP en la carpeta Uploads
  • Bloquear la ejecución de PHP en la carpeta wp-content
  • Bloquear la ejecución de PHP en la carpeta wp-includes
  • Bloquear el archivo read.html
  • Desactivar la edición de archivos desde el editor de temas y plugins
  • Actualización de las llaves secretas.
  • Tiene la opción de resetear los plugins de wordpress.

Análisis de Sucuri

La forma de detener la ejecución de PHP en los diferentes directorios se hace por medio de agregar un archivo .htaccess en la carpeta .

El archivo tiene el siguiente código en wp-includes.

<FilesMatch "\.(?i:php)$">
  <IfModule !mod_authz_core.c>
    Order allow,deny
    Deny from all
  </IfModule>
  <IfModule mod_authz_core.c>
    Require all denied
  </IfModule>
</FilesMatch>

<Files wp-tinymce.php>
  <IfModule !mod_authz_core.c>
    Allow from all
  </IfModule>
  <IfModule mod_authz_core.c>
    Require all granted
  </IfModule>
</Files>

<Files ms-files.php>
  <IfModule !mod_authz_core.c>
    Allow from all
  </IfModule>
  <IfModule mod_authz_core.c>
    Require all granted
  </IfModule>
</Files>

El archivo tiene el siguiente código en la carpeta wp-content y uploads

<FilesMatch "\.(?i:php)$">
  <IfModule !mod_authz_core.c>
    Order allow,deny
    Deny from all
  </IfModule>
  <IfModule mod_authz_core.c>
    Require all denied
  </IfModule>
</FilesMatch>