Plugins WordPress. Ithemes Security
Bienvenidos a este nuevo tutorial, hoy vamos a profundizar en la seguridad de nuestro portal creado en WordPress con el Plugin Ithemes Security.
Para comenzar, como siempre, vamos a instalar el plugin, para ello nos vamos a: plugins > añadir nuevo. Al ser un plugin muy utilizado, podemos irnos a la pestaña de “populares”, y utilizar el buscador que tenemos en la parte superior derecha, y rápidamente encontraremos nuestro plugin, ahora solo tendremos que instalarlo y activarlo.
Una vez instalado y configurado, veremos que se genera un nuevo botón en el menú de la izquierda llamado Security, desde donde accederemos al panel de control de nuestro módulo, una vez ahí hacemos clic en “dashboard”, si es la primera vez que ejecutamos el plugin, nos indicará que realicemos 4 pasos, que a continuación os detallo:
Make a backup.- Que permitimos la creación de la copia de seguridad.
Allow file updates.- Que permitimos la actualización de los archivos.
One-click secure.- Permitimos que proteja nuestro sitio.
Yes, i´d like to help.- Nos propone ayudarles con una encuesta, si no deseamos hacerlo, presionamos el botón “dismiss” en la parte inferior derecha.
Una vez resueltos estos pasos, no deja en el dashboard, donde si hacemos scroll hacia abajo, veremos como nos señala mediante colores, la prioridad de temas a solventar para la mejora de la seguridad. Como podrás intuir, debemos prestar atención prioritaria a los problemas que nos encontramos en rojo, amarillo y azul, por este orden. Para solucionar estos problemas, deberemos hacer clic sobre el botón “Fix It”, seguidamente nos llevará a la sección settings, donde nos propondrá la solución al problema encontrado, ¿sencillo verdad?. Pues, vamos a revisar las incidencias más comunes que suele detectarnos
High Priority(Color rojo)
Malware scanning is not enabled.- Nos indica que no tenemos un malware activado, si hacemos clic en Fix It, lo solucionamos, de la siguiente manera:
Verificamos la casilla donde nos indica “Enable Malware Scaning”
Ahora nos solicita una Api Key, para finalizar con la activación, para ello nos dirigimos a la web virustotal.com, nos vamos a la parte superior derecha, nos registramos, uniéndonos a la comunidad, una vez hecho esto, nos enviará un verificación a nuestro correo, hacemos clic en este enlace e iniciamos sesión.
Una vez iniciada sesión, nos vamos a la parte superior derecha, hacemos clic sobre nuestro nombre de usuario, y se nos desplegará un menú, hacemos clic en “Mi ApiKey”, podréis ver como nos saldrá una Key muy larga compuesta de caracteres alfanuméricos, la copiamos y pegamos en nuestro Itheme Security.
La primera incidencia que nos notifica, ya la hemos resuelto, continuamos
Medium Priority
Your website is not protected against bots looking for known vulnerabilities. Consider turning on 404 protection.- Ya sabemos que el mayor problema que podemos tener de cara al posicionamiento, son los errores 404, con esta opción nos aseguramos de bloquear a aquel usuario que nos esté causando gran cantidad de este tipo de errores.
Para una correcta configuración, deberemos de dar los siguientes pasos:
A user with id 1 still exists.- Cuando creamos el primer usuario en nuestro wordpress, se nos asigna el id 1, con esta opción conseguiremos cambiar esto.
Your WordPress Dashboard is available 24/7. Do you really update 24 hours a day? Consider using Away Mode.- Con esto conseguimos deshabilitar nuestra administración en los horarios que sepamos que no vamos a trabajar con WordPress, de esta manera si alguien intenta acceder en esa franja horaria, le dará un error.
Para ello verificamos la opción Enable Away Mode, una vez hecho esto nos pedirá que indiquemos en que horario deseamos restringir el acceso a la administración.
Salvamos y continuamos
Your login area is partially protected from brute force attacks. We recommend you use both network and local blocking for full security.- Con esta opción activada conseguiremos que no se puedan hacer intentos ilimitados de acceso a nuestra administración. Al activar esta opción no solo nos protegemos de quienes hayan intentado entrar de forma reiterada en nuestra web, si no también de quienes hayan intentado hacerlo en otros sitios, bloqueando sus ip.
Your website is not looking for changed files. Consider turning on file change detections.- Hay múltiples maneras en las que podemos recibir visitas no deseadas a nuestra web. Activando esta función recibiremos notificaciones cuando haya algún cambio dentro de alguno de nuestros ficheros. Podremos configurar las extensiones, archivos o carpetas que pueden ser modificados sin que se activen las modificaciones.
Your WordPress Dashboard is using the default addresses. This can make a brute force attack much easier.- Con esta medida, “escondemos” la entrada a la administración de nuestro wordpress, pudiendo cambiar el conocido “wp-admin”, por lo que nosotros deseemos. Nos permite habilitar la compatibilidad entre distintos temas. Podremos elegir a donde redigirir a quien intente entrar desde la url predeterminada.
You are not protecting common WordPress files from access. Click here to protect WordPress files.- Si activamos esta opción prohibimos el acceso al público al readme. Txt, readme.html, wp-config.php, wp-includes y .htaccess. Estos archivos pueden dar mucha información importante del sitio, y no sirve para nada al visitante de nuestra web.
Your WordPress site is not blocking suspicious looking information in the URL. Click here to block users from trying to execute code that they should not be able to execute.- Si activamos esta opción y se detecta que alguien está tratando de acceder, se pueden bloquear plugins y temas.
Your WordPress installation is allowing users without a user agent to post comments. Fix this to reduce comment spam.- Con esta opción activada lograremos reducir el SPAM de los comentarios, ya que bloqueará los robots sin remitente o usuario identificado.
XML-RPC is available on your WordPress installation. Attackers can use this feature to attack your site. Click here to disable access to XML-RPC.- Activando esta opción, tenemos tres opciones:
OFF.- Está todo habilitado y el funcionamiento será normal.
Only Disable Trackbacks/Pingbacks.- Nuestro sitio no será susceptible de ataques de denegación de servicio a través de la función Trackback/Pingback. Necesitamos tener esta opción activada si trabajamos con aplicaciones como Jetpack o WordPress Mobile.
Completely Disable XMLRPC.- Con esto estará completamente desactivado.
Users can execute PHP from the uploads folder.- Con esta opción se deshabilita la ejecución de PHP en nuestro directorio de archivos. Con esto lograremos evitar la carga de scripts maliciosos.
Your database table prefix should not be wp_.- Activándolo cambiamos los prefijos de la base de datos de WordPress.
Para configurarlo, seguimos estos pasos:
Lo primero introducimos nuestro correo y decidimos si queremos o no recibir actualizaciones de seguridad para WordPress de Ithemes.
Ahora activamos la protección sobre entrada por fuerza bruta(Enable local brute force protection.)
Low Priority
You are not blocking any users that are known to be a problem. Consider turning on the Ban Users feature.- Nos pemite bloquear bots de formamanual.
You are not requiring a secure connection for logins or for the admin area.- Obliga que todos los inicios de sesión sean realizados desde una conexión segura SSL.
You are enforcing strong passwords, but not for all users.- Habilitamos la mejora de reforzamiento de las contraseñas. Nos permite seleccionar el rol de usuario, a partir del cual se debe forzar el uso de reforzamiento de contraseña.
You have not disabled directory browsing on your site. Click here to prevent a user from seeing every file present in your WordPress site.- Con esta opción deshabilitamos la posibilidad de exploración de los directorios de nuestro sitio.
You are not blocking HTTP request methods you do not need. Click here to block extra HTTP request methods that WordPress should not normally need.- Activando bloqueamos la petición http de métodos que wordpress habitualmente no necesita, y pueden causar un problema de seguridad.
Your WordPress site is not blocking non-english characters in the URL. Click here to fix this.- Al utilizar el idioma español, obviamos esta opción
Your installation accepts long (over 255 character) URLS. This can lead to vulnerabilities. Click here to fix this.- Activamos esta opción para no permitir que las url´s de nuestras páginas superen los 255 caracteres.
Your wp-config.php and .htaccess files are writeable. This can lead to vulnerabilities. Click here to fix this.- Podemos activar esta opción para cambiar los permisos de nuestros archivos.
Users can edit plugin and themes files directly from within the WordPress Dashboard. Click here to fix this.- Activando esta opción evitamos que los usuarios puedan editar plugin y temas directamente desde el panel wordpress.
You should rename the wp-content directory of your site.- Activamos para cambiar el nombre del directorio wp-content.
Si seguimos bajando nos encontramos con los permisos que actualmente tenemos habilitados y las recomendaciones para cada fichero.
En resumen, ve revisando uno a uno todos problemas que Ithemes Security vaya encontrando, los vas solucionando, y conseguirás hacer tu página mucho más segura.
Espero que te sea de utilidad, próximamente, te seguiré presentando los plugins que creo pueden ser interesantes para tu página.