Configurar iThemes Security para WordPress

Diogenes Mata

Tener nuestro WordPress seguro es una de esas tareas de nunca acabar. Horas enteras revisando registros de acceso, actualizando plugins, leyendo boletines de nuevos bugs: es bastante agotador 🙄 . Afortunadamente con plugins como iTthemes Security  esto se hace más sencillo.

En este post te mostraré cómo hacer tu WordPress más seguro con Ithemes  Security, para que le dediques tiempo a lo que realmente importa: el contenido.

Plugins de seguridad, ¿Para qué sirven?

Estos plugins agregan capas adicionales de seguridad al WordPress, con el objetivo de que hasta los más novatos no deban preocuparse mucho por este tema.

WordPress es bastante robusto por sí solo, tiene muchos años con nosotros, lo que le ha permitido cubrir muchos de los huecos de seguridad que han surgido.

Pero aun así, cada día tenemos personas que se dedican a descubrir nuevos fallos: es el cuento del gato y el ratón, y aunque no lo creas, muchas veces esto nos beneficia.

Por ejemplo, ¡te suena Snowden!, el hombre que descubrió la infraestructura de espionaje masiva que tenía el gobierno de Estados Unidos en todo el mundo. Pues, ese señor era un hacker.

Así que ni todos los hackers son malos, ni las compañías que fabrican muchos del software que usamos diario, son hermanas de la caridad. Necesitamos a estos tipos para que descubran las trampas que nos montan sin que nosotros tengamos ni idea.

Te diré que esos mismos hackers, fabrican aplicaciones para protegernos de los otros hackers que si quieren arruinarnos el día.

Existen muchos plugins sobre esta temática: Wordfense, All In One WP Security & Firewall, Sucuri Security, entre otros. iThemes Security es uno de los más populares con más de 800.000 instalaciones activas.

Características de iThemes Security

preserntacion ithemes security

Dentro de las ventajas mas resaltantes que nos ofrece, tenemos:

  • Comprobación de seguridad en un clic.
  • Protección contra ataque de fuerza bruta.
  • Bloqueo de accesos repetidos.
  • Baneo de bots y usuarios sospechosos.
  • Escaneo de tu web en busca de malware.
  • Copias de seguridad automática.
  • Restricción de acceso programado.

Este plugin tiene una versión gratis con la mayoría de las opciones más importantes para la seguridad de nuestro WordPress, y también está la versión de Pro, que es de pago, con algunas adicionas que complementan la experiencia.

Los agregados en la versión Pro, los podemos conseguir con otros plugins, y en mi opinión no se echan de menos. iThemes Security de esta manera no ha primado su versión de pago sobre la gratis. Esto habla muy bien de ellos, ya que muchos plugins te ofrecen catarraware 😈 en sus versiones gratuitas para que te decantes por la Premium.

Mejorando la seguridad

Ahora vamos al corazón de este post: configurar el iThemes Security para hacer más seguro tu WordPress.

Importante

Como leí alguna vez por ahí: nada sustituye al sentido común. Los plugins de seguridad pueden ofrecerte muchas capas y protocolos para que no se cuelen en tu sitio, pero si tú mismo le abres las puertas a los extraños nadie podrá protegerte.

No le des la contraseña de tu sitio a nadie (sobre todo la del administrador), coloca contraseñas difíciles de descifrar, cuida lo que instalas en tu computadora y por ultimo: desconfía de esos correos sospechosos que te piden cambiar la clave a través de un vínculo 😉

Esta guía está basada en la versión gratis del plugin.

Para comenzar la configuración dirígete a: Seguridad > Ajustes en el panel de administración. Aquí encontrarás  las pestañas que permiten configurar el iThemes Security.

Procura seleccionar Todos, así  podrás visualizar todos los módulos disponibles, esto lo encontrarás en la parte superior a la derecha.

Existen aproximadamente más de 30 módulos configurables, me enfocare en los que considero importantes y darán un valor agregado a la seguridad de tu WordPress.

Te explico las opciones que debes seleccionar en cada renglón de los módulos. Si existen algunas que no selecciono, es debido a que las considero poco útiles o que son más los inconvenientes que acarrea que los que soluciona.

No olvides guardar los cambio al terminar de ajustar cada módulo para que tengan efecto; esto lo haces presionando Guardar ajustes, al final a la izquierda.

Ajustes globales

Dentro de las opciones disponibles tenemos:

  • Permitir a iThemes Security modificar los archivos wp-config.php y .htaccess: con esto lo habilitamos para modificar estos archivos del WordPress que son cruciales para su funcionamiento. Habilítalo.
  • Email de Notificación: coloca en este cuadro el email donde quieres que se te envíen las alertas de seguridad y los boletines.
  • Enviar correo con resumen de la actividad: recomendable para reducir el número de correos que te pueden enviar diariamente. Si eres de los paranoicos que quieres saberlo todo, no marques esta opción.
  • Email de entrega de respaldo: en este correo a diferencia del anterior, es donde te llegarán los respaldos que haga el iThemes Security. Si habilitas el módulo de respaldos de la base de datos.
  • Lista negra de infractor reincidente: habilita que se envíen los usuarios que molestan constantemente nuestra web a la lista de IP baneadas. Esto se selecciona si o si.
  • Umbral de lista negra, Período retroactivo Lista negra y Período de bloqueo: estas tres opciones configuran la cuenta atrás para que se baneé un usuario de tu sitio web, una vez sea encontrado en actitudes sospechosas. A mayor cantidad de días más flexible eres y viceversa. Con las opciones predeterminadas de: 3, 7 y 15 días debería ser suficiente.
  • Lista blanca de bloqueo: en este espacio debes colocar aquellas IPs en las cuales confías y no quieres que se sean bloqueadas por el iThemes.
  • Notificaciones de correo electrónico de bloqueo: habilítala para que te llegue otro correo de notificación.

Las demás opciones las dejamos por defecto.

Detección 404

error 404 ithemes security

Este módulo sirve para configura el tratamiento que queramos darle a los usuarios que hacen muchas peticiones erróneas (error 404) a nuestro sitio web.

Esto muchas veces puede ocurrir porque un usuario no encuentra una determinada página, generalmente por referencia de un buscador o de otro sitio web.

Pero esta práctica es típicamente usada por atacantes para saber que plugins están instalados en tu WordPress, si encuentran alguno con un bug conocido pueda ser explotados por ellos. También sirve para exploración de usuarios, entre otros.

Te recomiendo estas opciones:

  • Minutos para recordar el error 404 (período de comprobación): aquí se configura cuanto tiempo (minutos) se recordará el error, esto sirve para bloquear la IP del usuario. 20 minutos es suficiente.
  • Umbral de error: ¿Cuántas errores 404 quieres permitirle al usuario antes de bloquearlo?, te recomiendo un valor de 15.

Modo de reposo

Este módulo nos permite bloquear el acceso al administrador de WordPress a determinadas horas. Por ejemplo: si tu costumbre es no trabajar de las ocho noche a las cinco de la mañana, lo configuras para que se bloquee la entrada de la administración del sitio en ese horario, así evitarás que posibles atacantes tampoco pueden hacerlo.

Un modulo muy peligroso que no recomiendo habilitar, ya si por algún imprevisto necesitaras entrar a la administración, deberás esperar que pase la hora que programaste. Un fail en toda regla 😕 .

Usuarios baneados

Se configura en esta pestaña los usuarios que según las reglas de otros módulos  serán bloqueados permanentemente de WordPress. O dicho de otra manera, aquí van a para las IP indeseables.

Las dos opciones disponibles para marcar: Habilitar la funcionalidad de lista negra de HackRepair.com y Activar listas de baneo. Selecciónalas.

En el recuadro de Banear servidores se irán colocando las IP que se bloqueen de tu web; tú también puedes agregarlas manualmente.

En el siguiente espacio se agregan los agentes de usuario, un ejemplo de estos son los bots automatizados.

Activar protección contra fuerza bruta

Te recomiendo configures como sigue:

  • Máximo número de intentos de conexión por host: 5
  • Máximo número de intentos de conexión por usuario: 10
  • Minutos a recordar un intento de inicio de sesión fallido (revisar período): 5

La opción de Automáticamente bloquear al usuario “admin” debes seleccionarla si tu nombre de usuario administrador es distinto a: admin. Este es el nombre de usuario por defecto, como también lo saben los atacantes intentarán loguearse con él.

Con esta opción marcada, cada vez que alguien intente loguearse con ese usuario (que obviamente no existe) será baneado de tu sitio 😉 .

Es recomendable cambiar el nombre del usuario admin, para ello puedes hacer uso de este plugin o con estos pasos:

  1. Entra al phpMyAdmin de tu servidor.
  2. Selecciona la base de datos de tu sitio web en el menú a la izquierda.
  3. Selecciona la tabla wp_users. A la derecha te aparecerán los usuarios que tengas en WordPress.
  4. Dale clic a Editar (icono lápiz) al usuario admin (lo observas en la columna user_login).
  5. En el campo que pone user_login deberías observar que aparece: admin. Reemplázalo por el nombre que quieras (sin espacios ni caracteres especiales).
  6. Para finalizar haz clic en Continuar para que se guarden los cambios.

cambiar usuario admin phpmyadmin

Copias de seguridad de bases de datos

Esta opción del iThemes Security es muy útil si no tienes un plugin de respaldo (que deberías tenerlo, échale un ojo a este artículo) ya que te enviará al correo electrónico previamente configurado una copia de la base de datos de manera periódica.Te recomiendo activarlo y dejarlo con las opciones predeterminadas.

Detección de cambios de archivo

Una de las tácticas típicas de los atacantes si logran acceder a tu sitio, es la de cambiar tus archivos de sistema inyectando código malicioso.

Este módulo compara tus archivos actuales contra la última versión que tenias en el escaneo anterior.

Es una opción que viene por defecto, aunque suele mostrar muchos falsos positivos: como los cambios automáticos en los plugin de caché, el cual es un procedimiento totalmente válido y normal en ellos.

Actívalo y déjalo con las opciones que por defecto.

Permisos de archivo

Aquí podremos observar los permisos asignados de archivos a los archivos cruciales de WordPress, así como las sugerencias del iThemes. No los cambia por ti, por lo que deberás hacerlo manualmente dentro de tu servidor. Recuerda que las carpetas deben tener al menos 755 y los archivos 644.

Ocultar escritorio
ocultar backend

En esta pestaña ocultamos el acceso a la administración de nuestra web, por defecto es wp-login.php y wp-admin. Recomiendo habilitar esta funcionalidad con las siguientes selecciones:

  • Habilita la función ocultar escritorio: márcalo para habilitarlo.
  • Slug de Inicio de Sesión: coloca aquí como quieras que quede la nueva dirección de acceso, por ejemplo: si colocas nuevoadmin, quedaría la dirección de entrada como http://midominio.com/nuevoadmin (de todas maneras la explicación en este apartado es muy descriptiva)
  • Activar la redirección: selecciónalo si quieres redirigir a alguna página en especial.
  • Slug de redirección: aquí debes colocar el slug (dirección sin espacio en blanco ni caracteres especiales) donde desees redireccionar, por defecto coloca not_found.
  • Acción de acceso personalizada: déjala en blanco.

Protección contra fuerza bruta en la red

Actívala, si no lo está por defecto, para obtener una clave API, y selecciona la opción IP bloqueadas notificadas.

Refuerzo de la seguridad de la contraseña

Por defecto viene habilitada, dejala como esta.

Tip
Las claves no deben tener menos de 10 caracteres, con una combinación de letras minúsculas, mayúsculas, números y al menos un carácter especial. De esta manera las combinaciones posibles son de miles de millones, lo cual tardaría miles de años en descifrar con las computadoras actuales.

Ajustes del sistema

Recomiendo habilitar estas opciones:

  • Archivos del sistema
  • Navegación de directorios
  • Métodos de petición
  • Cadenas de consulta sospechosas
  • Cadenas URL largas
  • PHP en uploads

Ajustes de WordPress

Esta pestaña tiene opciones adicionales y recomiendo habilitar:

  • Cabecera Windows Live Writer: a menos que uses este servicio
  • Cabecera Windows Live Writer
  • Editor de archivos
  • XML-RPC: este archivo bastante polémico y que a menudo es víctima de los ataques de hackers, debes dejarlo habilitado si usas plugin que dependan de él, como por ejemplo Jetpack.
  • Múltiples intentos de autenticación por petición XML-RPC: bloquear.
  • REST API: habilitado.
  • Mensajes de error de inicio de sesión
  • Deshabilitar archivos de usuario adicionales
  • Protección contra el tabnapping

Utilidades adicionales

Como seguramente te habrás dado cuenta, en iThemes Security existen otras pestañas que no he mencionado,  ya que habilitarlo puede crear conflictos dentro de tu WordPress.

La seguridad debe sumar en nuestra labor, no estorbarnos.

[clickToTweet tweet=”Cuando la seguridad reste más de lo que sume, prescinde de ella y busca otras opciones.” quote=”Cuando la seguridad reste más de lo que sume, prescinde de ella y busca otras opciones.”]

Una utilidad que considero crucial se encuentra en: Seguridad > Registros en el panel de administración. Aquí se guardan los logs (registros de acceso) de los usuarios con comportamiento inusuales y que el plugin asume que puedan ser intentos de atacar tu sitio web.

Te recomiendo lo observes de vez en cuando para que tengas una idea de que tan apetecible es tu sitio para otras personas 😛 y puedas tomar cartas en el asunto.

También tienes la posibilidad de escanear la página principal en busca de Malware, este botón lo encontraras a la izquierda.

Con esto último finalizamos, espero te sea de utilidad mi post J. Te invito a compartir en los comentarios tus inquietudes.

Califica este articulo

Puntuación promedio 5 / 5. Votos: 2

No hay votos hasta ahora. Sé el primero en calificar esta publicación.

Deja un comentario

El responsable de este sitio web es Diógenes Mata. La finalidad de los datos es gestionar los comentarios en este blog. El destinatario (donde se almacenan los datos) es el hosting de este blog: Banahosting, ubicado en EEUU. La legitimidad es el consentimiento que otorgas en el formulario. Tienes derecho a acceder, rectificar, limitar y suprimir tus datos según la política de privacidad.