Plugin Seguridad: iThemes Security

Home » Blog » Plugin Seguridad: iThemes Security
Iñigo Mezo Alvarez

Como ya he comentado en alguna entrada y como todos sabemos la seguridad online es un tema muy importante, y más cuando usamos herramientas Open Source en las que el código fuente está al alcance de todo el mundo, buenos y malos. WordPress es como cualquier otro CMS (Prestashop, Magento, Joomla, Drupal, etc) muy seguro, siempre y cuando cumplamos unas reglas que no dejan de ser lógicas pero muy fáciles de obviar por los diseñadores o programadores web.

Listado de aspectos a controlar

En primer lugar vamos a ver qué aspectos debemos controlar o tener en cuenta para que nuestro sitio siga siendo seguro con el paso del tiempo.

  • WordPress necesita una base de datos, a la cual por defecto añade las tablas con el prefijo wp_. Obviamente cambiar ese prefijo es fundamental.
    • En el fichero de WordPress wp-config.php tenemos unos códigos (secret key) que se usan en la generación de cookies, sesiones, etc. Es importante cambiarlo.
  • Obviamente las contraseñas deben ser de calidad (Existen herramientas online que nos ayudan en la generación de contraseñas seguras) y NO compartirlas con nadie, ni dejarlas en lugares inseguros como apuntadas en un Posit pegado en el monitor.
  • WordPress genera un primer administrador que le asigna el id = 1, este administrador deberíamos borrarlo y crear otro con un id diferente. Se trata de poner trabas. ; – ).
  • Antes de instalar un tema o plugin, revisar la calidad del código fuente, si se actualiza con cada nueva versión de WP, ver opiniones de los usuarios, ver si resuelve los problemas que le comentan otros clientes, etc.
  • Actualizar WordPress. WordPress se actualiza constantemente fundamentalmente por 2 motivos.
    • Mantenimiento y depuración del código fuente. La tecnología web no hace más que evolucionar para que todo sea más rápido y mejor optimizado.
    • Seguridad, con cada versión hay cientos de personas testeando la herramienta y cuando se detecta algún problema, se soluciona y se sube como actualización.
  • Actualizar los temas. Estos se actualizan por los mismos motivos, pero en este caso puede ser más problemático porque si hemos hecho cambios en nuestro tema y actualizamos podemos perderlos. Es interesante contar con un tema hijo que sea el que contenga los cambios, el cual hay que depurar sus errores de forma individual mediante el uso del entorno debug de WordPress.
  • Actualizar plugins. Es exactamente el mismo concepto que los temas. Y al igual que con los temas si modificamos un plugin, y lo actualizamos podemos perder esos cambios a no ser que lo hagamos bien (Mediante HOOKS o dentro de nuestro tema)… Pero en ese caso, debemos ocuparnos de actualizar nuestro propio código fuente.
  • En resumen todo código  fuente (no solo WordPress) requiere un mantenimiento, sea de WordPress. org o de los desarrolladores de temas y plugins. Y en última instancia del desarrollar que hace retoques en estos.
  • Para saber que temas se actualizan con frecuencia podemos recurrir a su página en wordpress.org, descarta plugins que no se actualicen a no ser que sean muy simples.
  • Usa adecuadamente los permisos de carpetas, 644 para ficheros y 755 para carpetas.
  • Si eres desarrollador controla él envió de formularios o URLs mediante los nonce y controla el guardado de la información en base de datos con las funciones de WordPress: sanitize_email, sanitize_text_field, etc.
  • Si tu WordPress está dentro de otro proyecto, puedes mover el fichero wp-config.php a una carpeta inicial, WordPress busca el fichero en su carpeta y sino en las carpetas que le preceden.
  • Hacer copias de seguridad, ya que la seguridad al 100% no está garantizada.
  • Usar HTTPS en toda la web.
  • Ocultar versión de WordPress:
function quitar_version_wp() {
return '';
}
add_filter('the_generator', 'quitar_version_wp');

Este listado es un poco lo básico que debemos tener en cuenta como desarrolladores o diseñadores a la hora de montar nuestro sitio.

Pero para ser mucho más seguros recomiendo el uso de un plugin que nos permita:

  • Controlar el acceso de usuarios, limitando los intentos de acceso.
  • Limitar el horario de acceso al administrador.
  • Identificador de doble factor. Este es un sistema novedoso que relaciona una cuenta con un móvil y para acceder necesitas identificarte en la web y en su aplicación del móvil, con lo que es necesario el móvil para loguearte.
  • Avisos de cambios de contraseña cada x días.
  • etc.

Plugin recomendado: iThemes security

En realidad recomendar un plugin es muy complejo, porque depende de:

  • El momento, hoy puedo recomendar este pero dentro de 6 meses otro, porque uno ha evolucionado de una forma y el otro de otra.
  • El sitio web. Cada sitio tiene unos plugins diferentes y cada plugin puede tener sus problemas con determinados plugins, por tanto un mismo plugin configurado igual en 2 sitios se puede comportar de forma muy diferente.

Pero el plugin iThemes Security es un plugin que ofrece garantías a largo plazo ya que no es nuevo y tiene muchos clientes con su versión pro, que garantizan su calidad. Su página oficial es: https://ithemes.com/security/ y su versión gratuita de aquí.

Una vez instalado, aparte de la ayuda, podemos realizar una comprobación de la seguridad. Esta ayuda instalara los módulos básicos del plugin como son:

  • Usuarios baneados.
  • Copias de seguridad de bases de datos.
  • Activar protección contra fuerza bruta.
  • Protección contra fuerza bruta en la red.
  • Contraseñas seguras.
  • Ajustes de WordPress.

Pero vamos a repasar poco a poco todas las opciones del plugin (teniendo en cuenta en que puede sufrir variaciones porque lo actualizan regularmente):

  • En el menú lateral tenemos una opción: registros. Desde aquí podemos controlar los intentos de acceso de los usuarios y ver si ha detectado malware. IMPORTANTE: Borrar esta información de forma regular.
  • Desde ajustes podemos gestionar el resto de módulos, en primer lugar podemos configurar los ajustes globales, se configura: permisos para el plugin, donde deseas recibir las alertas, se configurar diferentes mensajes de email que se envían, cuantas veces se puede bloquear una Ip antes de banearla, el periodo de los bloqueos en minutos, configurar una lista de IPs que nunca deben banearse ni bloquearse (la IP de la empresa por ejemplo), cada cuanto tiempo quieres mantener la lista de registros, etc.
  • El siguiente módulo es detección 404, consiste en bloquear a usuarios (IPs) que en un periodo de tiempo corto obtienen muchos errores 404. Se entiende que están haciendo algo raro en nuestra web. Las opciones del módulo son: Indicar en un periodo de tiempo cuantos errores permitimos (Por ejemplo, en 1 minuto 10, si hay más le bloqueamos) y luego podemos indicarle que ficheros no debe tener en cuenta (Si sabemos que hay una página que da 404 que no la cuente).
  • Modo reposo: El modo reposo permite cerrar el acceso al administrador de WordPress en un periodo determinado por ejemplo si en agosto no se trabaja nadie debería poder acceder al admin de WordPress, o de 22:00 a 05:00.
  • Usuarios baneados: Podemos configurar banear servidores enteros o rangos de IP. También permite conectarse con HackRepair.com que es una lista negra genérica.
  • Activar protección contra fuerza bruta: Puedes tardar más o menos, pero al final adivinaras cualquier contraseña. Los ataques de fuerza bruta son similares, así que podemos configurar el plugin para: Si hay X errores en un tiempo Y bloquear el acceso durante un periodo Z.
  • Copias de seguridad de bases de datos: El mejor ataque es una buena defensa y si la defensa falla tener un respaldo. Desde aquí podemos configurar cuando y como queremos hacer copias de seguridad.
  • Detección de cambios de archivo: Este módulo vigila que no haya cambios en los ficheros. Si alguien entra vía FTP y hace cambios en ficheros, nos enviara un aviso.
  • Permisos de archivo: Realiza un testeo en cuanto los permisos de ficheros y carpetas. Las carpetas deben ser 755 y los ficheros 644 o 444. En este sentido hay que tener presente que hay ciertos plugins que necesitan modificar algunos ficheros y es posible que tengamos que cambiarles los permisos, pero recuerda volver a ponerlos de forma segura.
  • Protección contra fuerza bruta en la red: Este módulo simplemente intenta crear una red de hackers que se intercomunicar entre sí. Si en tu sitio hay un hacker intentando averiguar tus contraseñas, esa IP se compartirá con el resto de sitios para que la metan en una lista negra.
  • SSL: Fuerza el uso de SSL en todo el sitio.
  • Refuerzo de la seguridad de la contraseña: Fuerza a usar contraseñas seguras a partir de los perfiles WordPress establecidos.  Por ejemplo, podemos indicar que la contraseña sea segura solo para administradores, editores y autores, pero para colaboradores y suscriptores no.
  • Ajustes del sistema: Aquí tenemos unos ajustes que pueden hacer más seguro nuestro sitio pero pueden dar problemas con ciertos plugins. Por ejemplo: proteger los ficheros readme, config, htacces, etc., capar el acceso a la rest api, filtrar cadenas de URL demasiado largas, etc.
  • Ajustes de WordPress: Es igual que el módulo anterior, por ejemplo: Desactivar el editor de archivos del administrador, filtrar el spam en los comentarios, ocultar mensajes de error de inicio de sesión, etc.
  • Salts de WordPress: Cambia de forma automática las claves del fichero wp-config. Estas claves se usan para la generación de contraseñas, cookies, etc.

Versión de pago

Si necesitamos más seguridad todavía en la versión de pago del plugin contamos con los siguientes módulos:

  • Programación del escaneo del malware: El sitio se escaneara cada día buscando malware.
  • Caducidad de la contraseña: Añade un tiempo de uso a las contraseñas.
  • Recaptcha: Añade un captcha (una pregunta lógica: como añadir x letras o hacer una suma) en los comentarios o el acceso.
  • Autentificación de 2 factores: Para acceder aparte del usuario y contraseña necesitas un móvil.
  • etc.

Categorías

Foto de Iñigo Mezo Alvarez

IÑIGO MEZO ALVAREZ (IMAcreste)

Diseñador web, consultor SEO y programador web. Desde el 2001. Especializado en SEO técnico, desarrollo WordPress, ChatGPT API con Python y ERPs con SymFony. Autodidacta. Lector incansable. Amante de los animales y la naturaleza.

LinkedIn

Comentarios

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Déjame 1 reseña

Las reseñas son opiniones que las personas dejan en la página local de Google. Si son positivas, estas reseñas ayudarán a mejorar la confianza y credibilidad de una marca.

Escribir una reseña

Gana una Auditoría SEO

Participa en nuestro sorteo enviando un email con tu nombre y el asunto «Sorteo AUDITORÍA SEO». Se realizara un sorteo cada mes.

Participa AHORA!
 
 
 
  Evaluación EXCELENTE  
 A base de 7 reseñas 
 
   
 
 
 
  
 
  
Contactamos con Iñigo para el diseño web de nuestra tienda online y estamos encantados. Su asesoramiento, seguimiento y trato han sido excepcionales. Un verdadero crack. Recomendado al 100%. No dudes en ponerte en contacto con el.
  
 
 erlantz rique 
 
 
 erlantz rique 
 
19/02/2024
 
 
 
 
  
 
  
Un acierto quien elija a Iñigo. Autentico profesional, se preocupó en todo momento que entendiera el funcionamiento de la web. Me explicó todo las veces necesarias hasta entenderlo. Se preocupó y acertó en que la web tuviera lo que le pedí y lo hizo con creces. Muy contento con el servicio prestado. Una vez realizado el trabajo, cualquier duda que tengo me sigue ayudando. Lo recomiendo sin temor a equivocarme.
  
 
 Jose Marlasca 
 
 
 Jose Marlasca 
 
06/02/2024
 
 
 
 
  
 
  
Dió en la clave y nos dió los instrumentos que necesitábamos en esos momentos, y sobre todo entendió a la perfección lo que buscábamos. Lo mejor de web que hemos tenido en 24 años. Eskerrik asko Mezo!!
  
 
 Troka Abentura 
 
 
 Troka Abentura 
 
07/01/2024
 
 
 
 
  
 
  
Compromiso, implicación e innovación en los proyectos. Atento a las necesidades e incansable en la búsqueda de soluciones. Muy buena opción.
  
 
 Jabier Fuertes Udaondo 
 
 
 Jabier Fuertes Udaondo 
 
07/01/2024
 
 
 
 
  
 
  
Si buscas a alguien que además de hacer un diseño web moderno, responsivo y adaptado a tu sector, te explique por qué plantea el diseño web de esa manera y que te explique y ayude en posicionar tu web lo mejor posible en base a los objetivos fijados, ese es Iñigo Mezo y os lo recomiendo al 100%
  
 
 Asier Hermoso 
 
 
 Asier Hermoso 
 
03/01/2024
 
 
 
 
  
 
  
Genial trabajar con él! Además de ser muy buen profesional, experto y responsable, a destacar tanto su implicación en cada proyecto, así como su trato siempre cercano y su paciencia infinita ;)
Un crack!!
  
 
 itxaso zubia 
 
 
 itxaso zubia 
 
15/12/2023
 
 
 
 
  
 
  
El plugin gratuito para integrar productos de Prestashop en Wordpress muy sencillo de utilizar y muy bien documentado, os felicito.
  
 
 Fernando Cózar 
 
 
 Fernando Cózar 
 
02/11/2023