Configura la seguridad de tu WordPress de una manera sencilla con el plugin iThemes Security

Aunque en este blog normalmente te hablo sobre temas relacionados con el desarrollo de WordPress me parece que es muy importante adoptar unas medidas mínimas de seguridad para que en las webs que administres no se pierda o desluzca tu trabajo por esta expuesto a riesgos innecesarios. Así que he hecho esta excepción para contarte que plugin utilizo habitualmente para aumentar la seguridad de mis sitios WordPress. 

Las medidas de seguridad, a la hora de desarrollar un plugin, ya os las pongo de serie en cualquier artículo que escribo. Pero recuerda que una cadena siempre se parte por el eslabón más débil, así que te recomiendo vigilar todos los frentes. 

iThemes Security es mi plugin favorito de seguridad en WordPress. Fácil de configurar para un usuario medio te protege de una gran cantidad de amenazas incluso en su versión gratuita. Por ello recomiendo instalarlo, activarlo y configurarlo en todos tus sitios WordPress. A no ser que ya uses otro claro.

Ficha de descarga e instalación del plugin

Una vez instalado y activado, accede al panel de configuración y allí encontrarás un cuadro de diálogo que te recomienda activar una serie de módulos básicos para asegurar tu sitio. Pulsa sobre Secure Site para activar estas medidas de seguridad básicas.

Configuración básica del plugin tras instalarlo, configura las medidas básicas de seguridad

Una vez hecho esto ver√°s una serie de fichas b√°sicas, algunas activadas otras no, que configuran distintos aspectos de seguridad. Cada una de estas fichas es un peque√Īo plugin en s√≠ mismo y de vez en cuando a√Īaden alguna ficha nueva.

Fichas con los diferente módulos de iThemes Security

Adem√°s de la seguridad que obtienes ‚Äúde serie‚ÄĚ al ejecutar la opci√≥n Secure Site que te acabo de comentar, hay otras medidas interesantes que puedes activar:

  • Detecci√≥n 404: si un usuario o un bot intenta buscar rendijas de seguridad en tu web ir√° accediendo de forma insistente a p√°ginas al azar. Cuando estas no existen tu web genera un error 404. Si activas este filtro en iThemes el plugin rechazar√° nuevas conexiones desde cualquier direcci√≥n IP que haga m√°s de 20 intentos de conexi√≥n a p√°ginas inexistentes.
  • Modo de reposo: los ataques m√°s peligrosos a tu red pueden producirse mientras duermes. Seguro que hay un periodo del d√≠a en el que casi nunca vas a acceder a tu escritorio de WordPress. Durante esas horas puedes prevenir ataques deshabilitando el acceso a la zona de administraci√≥n. Con este m√≥dulo puedes configurar ese bloqueo horario a tu gusto. Si un d√≠a concreto sabes que vas a necesitar acceder a una hora bloqueada basta que lo deshabilites de manera temporal cuando todav√≠a est√°s en periodo de acceso autorizado.
  • Detecci√≥n de cambios de archivos: este es un poco latoso por la cantidad de falsos positivos que genera y que llegar√°n a tu correo. Pero te lo recomiendo si quieres enterarte cuando se realicen cambios de archivos en tu instalaci√≥n. Hay que saber discernir cu√°ndo estos cambios son autorizados, debidos a actualizaciones, o son obra de alg√ļn usuario malicioso que se nos haya colado.
  • Permisos de archivos: este es un poco m√°s avanzado porque hay que tocar los permisos en el servidor o hosting. Comprueba la configuraci√≥n actual de permisos de las carpetas y archivos m√°s sensibles de WordPress y te se√Īala cuales est√°n correcta o incorrectamente configurados con una sugerencia sobre la estructura ideal de permisos. No es muy complicado, te puede evitar alg√ļn susto pero tienes que saber modificar permisos en el servidor.¬†
  • SSL: si tienes un certificado SSL para que tus visitantes accedan de manera segura (algo muy recomendable por cierto), es importante que nadie entre por http pues estar√≠a menos protegidos. Con este m√≥dulo fuerzas que cualquier intento de acceder por http se redirija a https.
  • Requisitos de contrase√Īas: cualquier usuario con cuenta en tu sitio deber√≠a utilizar una contrase√Īa segura (recuerda lo del eslab√≥n m√°s d√©bil). Con la configuraci√≥n por defecto de iThemes el requisito de contrase√Īa segura se establece s√≥lo para los administradores, pero te recomiendo que lo apliques al perfil m√°s bajo que aparezca en tu lista, en mi caso Suscriptor, para que afecte a todos los perfiles de usuario.¬†

Alg√ļn efectos colateral:

  • Bloqueo de REST API: Este es uno de los¬†bloqueos que iThemes Security activa por defecto cuando aseguras tu sitio con las opciones por defecto. En algunos casos es recomendable dejarlo as√≠ porque la REST API¬†¬†puede dar acceso p√ļblico a informaci√≥n de tu sitio que piensas que es privada. El problema es que algunos plugins y servicios necesitan que est√© activada. As√≠ que si la activas y ves que no te perjudica en nada, d√©jala as√≠ y si ves que te quita algo ‚Äúimprescindible‚ÄĚ para ti puedes desbloquearla accediendo desde la ficha Ajustes de WordPress y en REST API escoges la opci√≥n Acceso por defecto. En uno de mis blogs esta opci√≥n hac√≠a que el panel que me mostraba los resultados de Google Analytics en el escritorio me dejara de funcionar. Pero c√≥mo puedo consultar estos datos desde otras herramientas he preferido dejar la API REST bloqueada de momento.
Módulo REST API, ofrece dos opciones: acceso restringido y acceso por defecto
  • Avisos de bloqueo e intentos de acceso: de vez en cuando recibir√°s un correo de que cierta IP se ha bloqueado o que un usuario ha intentado entrar como ‚Äúadmin‚ÄĚ. Esto es normal, son cosas que pasaban en tu sitio pero no lo sab√≠as, ahora ser√°s un poco m√°s consciente y tendr√°s cuidado de no tener una cuenta que se llame ‚Äúadmin‚ÄĚ, de usar buenas contrase√Īas y de estar un poco m√°s pendiente de la seguridad de tu sitio pero sin volverte paranoico tampoco.

Recuerda que los sitios web reciben ataques casi a diario, aunque no seamos conscientes de ello y toma estas precauciones de seguridad nos puede ahorrar muchos dolores de cabeza con muy poco esfuerzo. 

Si tienes alguna duda sobre este art√≠culo, alguna aportaci√≥n para mejorarlo o simplemente sientes un deseo refrenable de compartirlo con otros. No lo dudes, d√©jame un comentario o comparte un enlace en tu red social favorita. Recuerda que el karma exista y que las buenas acciones se nos devuelven multiplicadas ūüėČ

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *