Anteriormente ya hemos traido a ustedes artículos de seguridad como la instalación de Sucuri AntiMalware o sobre cómo migrar WordPress a HTTPS para aumentar su seguridad. Y hoy vamos a hablar de como proteger WordPress utilizando uno de los mejores plugins de seguridad: iThemes Security.
Una de las razones más habituales para no prestar atención a la seguridad pensar que nunca seremos un blanco de ataque porque no tenemos un blog o una web conocida, o nuestra información es publica y creamos que no tiene valor, sin embargo la mayoría de los ataques no son para destruir o robar datos de los sitios sino infectarlos con malware, que es por decirlo de una manera simple: virus para la web.
¿Como eligen a una pagina para ser atacada? Casi siempre peinando Internet de forma automatizada mediante programas buscando sitios que cumplan ciertos requisitos, por ejemplo que tengan un WordPress instalado, preferiblemente desactualizado o de una versión especifica ya que contiene un agujero de seguridad conocido listo para explotarlo y que les sirva como punto de entrada, en cada momento millones de paginas webs son atacadas en forma constante con el fin de infectar esos sitios, no por su contenido sino para usarla para alojar Malware, para enviar spam o para lanzar ataques a otras webs y un sin fin de actividades delictivas.
Cómo configurar iThemes Security (better WP security)
Hay varios vectores de ataques que se suele utilizar para vulnerar una web, el gestor de contenido desactualizado, plugins en la misma condición, incluso hasta el theme, es decir hasta el diseño del sitio puede ser vulnerado y usado como punto de entrada para infectar la web, por dicha razón siempre es fundamental actualizar WordPress, la instalación y los plugins que usemos.
En el caso de WordPress afortunadamente tenemos plugins de muy buena calidad que nos ayudaran a proteger nuestro sitio, tal es el caso de iThemes Security un fantástico complemento, muy completo que si bien tiene una versión de pago aun en su versión gratuita incluye funciones avanzadas y muy útiles, y de esta ultima versión gratuita es de la que vamos a mostrar hoy.
Para instalar el plugin es muy fácil, luego de ingresar a nuestro administrador WordPress vamos a plugins, luego a Añadir Nuevo.
En el buscador de la derecha escribimos iThemes Security y presionamos enter, cuando lo encontremos pulsamos en Instalar Ahora y seguimos los pasos de instalación
En este punto ya tenemos el plugin instalado y listo para configurar, desde el menú de la izquierda vamos a la opción Seguridad y nos mostrara la pantalla principal de configuración de nuestro plugin
Desde este panel podemos configurar todo el plugin, las opciones son bastante extensas, vamos a repasar los puntos mas importantes como por ejemplo la comprobación de seguridad en la cual si nos apareciera algo en amarillo o en rojo nos conviene arreglarlo, por eso dentro de Comprobación de seguridad pulsamos Mostrar los Detalles.
En la imagen anterior vemos la opción comprobación de seguridad, una vez que ingresemos nos aparecerá la siguiente ventana de abajo de este texto, indicándonos que se va a comprobar, una vez que pulsemos el botón Secure Site se iniciara el proceso, luego nos mostrara los resultados de, si nos aparece los tics en verde quiere decir que esta todo bien, si aparece en otro color nos conviene revisar de que se trata y solucionarlo dado que son recomendaciones básicas aunque muy importantes.
Una vez analizado el punto anterior todavía hay otras configuraciones que también nos conviene revisar y ajustar como son las secciones de Activar protección contra fuerza bruta, Ajustes del Sistema y Ajustes de WordPress
Activar protección contra fuerza bruta
Una de las principales desventajas de WordPress en cuanto a seguridad es que permite a un atacante probar una y otra vez contraseñas al azar para ver si con alguna puede abrir el sitio, puede llegar a probar cientos de contraseñas por segundo así que con suficiente tiempo un atacante puede «adivinar» nuestra contraseña, esto es lo que se conoce como ataque de fuerza bruta, por suerte este plugin cuenta con protección contra este tipo de ataques limitando la cantidad de contraseñas erróneas que un atacante puede introducir y luego bloquearlo, esto lo podemos configurar desde Activar protección contra fuerza bruta .
Ajustes del sistema y Ajustes de WordPress
Dentro de Ajustes de Wordpress hay dos valor que nos conviene ajustar porque son susceptibles de ataques por fuerza bruta al igual que el login y estos son las opciones de XML-RPC y Múltiples intentos de autenticación por petición XML-RPC, si nuestro sitio no hace uso de XML-RPC nos conviene desactivarlo por lo que lo marcamos como Desactivar XML-RPC.
En el caso de Múltiples intentos de autenticación por petición XML-RPC marcamos la opción Bloquear ya este es uno de los principales blancos de ataques de fuera bruta, tal como muestra la siguiente imagen.
Con resto de los ajustes hay que tener cuidado debido a que si bien detienen ataques también pueden bloquear otros plugins así que sino tenemos claro que es entonces es mejor dejarlo con la configuración por defecto.
Detección de cambios de archivo
La detección cambios en los archivos es una utilidad interesante aunque puede resultar un tanto molesta también dependiendo de como usemos el sitio, la función consiste en controlar día a día todos los archivos que cambian en el sitio y te mostrara una lista, si nuestro sitio no subimos contenido seguido es muy útil para detectar Malware por ejemplo.
Sin embargo si subimos archivos o fotos seguido o usamos un plugin de cache por ejemplo, la lista de archivo modificados diariamente puede contener cientos o incluso miles de archivos modificados todos los días lo que puede volverse complicado de comprobar diariamente, la recomendación es habilitarlo y si nos molesta podremos des habilitarlo mas tarde igual.
Copias de seguridad de bases de datos
Una de las tareas mas importantes de cada webmaster es realizar respaldos periódicos de nuestro sitio por si ocurre un desastre, desde aquí puedes programar la realización de copias de seguridad de la base de datos y configurar donde y como quieres guardarlos.
Conclución
Siguiendo estos sencillos pasos daremos un gran salto en cuanto a seguridad de nuestro sitio aunque todavía este plugin tiene mucho más por ofrecer, hay muchas mas funciones por descubrir que podremos ir configurando a medida que lo vayamos conociendo mejor.
