All in one wp Security & Firewall. Seguridad para WordPress sobresaliente
En un post anterior hemos visto como implementar la seguridad en WordPress. Que es lo que debes saber sobre la seguridad y como configurar manualmente casi todo. Pero a veces es mucho más sencillo instalar un plugin que nos haga el trabajo sin tener que estar pendiente de este u otro archivo.
También te comenté que hay varios plugins muy interesantes, como pueden ser All in one WP Security & Firewall, Ithemes Security y Wordfence entre otros.
Hasta no hace mucho había plugins muy buenos dedicados a funcionalidades de seguridad muy concretas. Teníamos que instalar varios, pero ahora, parece que el desarrollo y las actualizaciones han quedado en el olvido. Instalarlos podría ser en si mismo un problema de seguridad. Algunos hace más de un año que no se actualizan.
Podrían presentarse problemas de incompatibilidad con las versiones mas recientes de WordPress. Me imagino que el hecho de que los plugins actuales «todo en uno» sean tan completos, ha provocado que sencillamente no compense continuar con el desarrollo, el soporte y las actualizaciones..
No te preocupes. Cualquier de las opciones que he mencionado son realmente buenas y completas.
En este tutorial, voy a explicarte como funciona All in one WP Security & Firewall. No porque sea mejor.
Sencillamente es muy completo, gratis y es el que mejor conozco. Ni más ni menos.
También voy a profundizar en ciertos aspectos, porque más que ver lo que hago, creo que es más interesante que entiendas porque lo hago.
Instalar All in one WP Security & Firewall
Bueno, esto es muy sencillo. Ve a plugins, añadir nuevo y busca «All in one WP Security». Click en instalar y luego en activar.
Verás que ahora te aparece en el menú de administración un nuevo apartado llamado WP Security o Seguridad WordPress. click en él.
Este plugin es realmente muy completo con muuuchas cosas. Asi que, paciencia. Está traducido casi por completo al español, lo cual es una verdadera ventaja, aunque hay partes que aun siguen en inglés.
Antes de nada, quiero aclararte algo.
La generalidad nos dice que el plugin va a funcionar más o menos igual en todas las webs. Pero… «más o menos igual» es exactamente eso.
Quiero decir que, no todo lo que me funciona a mi tiene que funcionarte a ti y viceversa.
No es un problema de WordPress. Tu configuración de hosting, php y Apache pueden provocar que el funcionamiento no sea igual que a mi.
Por eso, mi primera recomendación es que no te limites a copiar y pegar. Haz tus pruebas y verifica exactamente lo que mejor funcione para tu web.
Como siempre, te recomiendo que hagas copia de seguridad de tu web y la base de datos, antes de meterte a cambiar cosas, sobre todo si es la primera vez que lo haces.
Dashboard
Te mostraré la pantalla principal de cada sección. Los subtítulos pertenecen a las pestañas que incorporan cada una de las secciones.
Pestaña Escritorio
Aqui tienes una panorámica del estado de seguridad de tu web.
Velocímetro o medidor de seguridad
El velocímetro es una original manera de decirte si la seguridad es buena o no. Te asignan unos puntos en función de las reglas que tengas configuradas.
Tampoco es que tengamos que tener los 470 puntos. Hay algunas funciones que al activarlas pueden producir algún problema y es mejor tenerlas desactivadas, por lo menos en mi caso.
No todos los themes y plugins funcionan de la misma manera. Lo que me funciona a mi, puede no funcionarte a ti y viceversa.
Análisis puntos de Seguridad
Aquí te muestra a través de un gráfico los puntos esenciales y su nivel de importancia en la seguridad de tu WordPress.
Estado modo de mantenimiento
Este plugin te permite poner tu web en modo mantenimiento con un click. Una opción que podrás configurar a tu gusto, con los mensajes que quieras que vean tus visitantes en caso de que tengas que poner la web en este modo.
Rename Login page
Te indica la dirección que tienes puesta para tu página de login y administración. Yo lo tengo tapado para que no sea evidente.
Locked Ip Addreses
Te indica las últimas Ip que han sido bloqueadas por el sistema
Estado Características de seguridad
Te indica el estado actual de las medidas esenciales que debes tener activadas como mínimo para tener una seguridad básica.
File Change Detection
Te indica si ha detectado algún cambio en los archivos esenciales de WordPress
Usuarios conectados
Te dice cuantos usuarios hay en este momento en la web conectados.
Pestaña Información del sistema
Te muestra un resumen de la información de tu instalación, datos del servidor, información de php y los plugins que tienes activos.
Pestaña Direcciones Ip bloqueadas
Te muestra una relación completa de las IP que tienes bloqueadas.
AIOWPS Logs
Te permite visualizar los logs que genera el plugin para ver cualquier posible error.
Configuración
Opciones
Configuración general
Desde aquí puedes activar o desactivar rápidamente diversas características si por alguna razón tu web ha dejado de funcionar bien o se ha roto alguna funcionalidad.
Fichero . htaccess
Te permite ver el fichero .htaccess. Crear una copia de seguridad e incluso restaurarlo si fuese necesario si tienes alguna copia guardada anteriormente
Fichero wp.config
Lo mismo, pero para este fichero. Ver el contenido, guardar una copia y restaurar
WP meta info
Te permite eliminar el generador de meta etiquetas de wordpress. Debes activar esta casilla y guardar los cambios. Recuerda, esto se refiere a eliminar entre otras cosas, información sobre la versión de tu WordPress.
Importar/exportar
Te permite exportar para guardar la configuración del plugin para usarlo en otra instalación. También puedes importar la configuración si la guardaste previamente o desde otra instalación.
Cuentas de usuario
Nombre de usuario admin
Aqui te indica una recomendación básica en WordPress. Cambiar o eliminar el usuario Admin.
Si no creas un usuario específico, WordPress crea como administrador predeterminado un usuario llamado Admin. Esto es fatal…
Los hackers que lo saben, lo primero que intentan es hacer login con ese usuario. Tienen la mitad del trabajo hecho, solo han de adivinar la contraseña. Lo bueno de esta herramienta, es que pueds editar el usuario sin tener que crear uno, salir, borrar… Lo haces directamente.
Te muestra un listado de los usuarios. Si todo está bien, te aparecerá en verde.
Nombre a mostrar
Cuando se crea un usuario, WordPress te permite visualizar el nombre de usuario, el nombre completo, un apodo… Si eliges la opción visualizar usuario, esto es lo que aparecerá en los post o entradas y los hackers tendrán una pista muy clara de con que usuario pueden intentar hacer login.
Lo mejor es evitar que el nombre de usuario sea visible, con lo que puedes poner tu nombre completo o bien un apodo.
Aquí te indica que cambies la opción a mostrar para que no coincida con tu nombre de usuario y a cuales de los usuarios es aplicable esta regla.
Utilidad de contraseña
Una curiosa utilidad que te dice cuanto tiempo podrían tardar en descifrar tu contraseña. Sirve para que midas lo fuerte que puede ser cualquier contraseña.
La herramienta utiliza un algoritmo que calcula el tiempo que le llevaría a un PC actual con un buen procesador descifrar esa contraseña. Es muy curioso y llamativo.
A partir de aqui, ya nos metemos en harina…
User Login
Bloqueos de login
Desde este apartado vamos a configurar nuestra defensa ante los ataques de fuerza bruta.
Debes activar esta opción.
Muchos bots intentan acceder a tu wordpress una y otra vez. Si no lo bloqueamos pueden pasarse horas intentando descifrar la contraseña y esto es un auténtico problema porque además de la seguridad, afecta negativamente a los recursos del servidor.
Con esta opción le decimos. Te dejo X intentos, por ejemplo 3. Si te equivocas bloqueo tu IP por x tiempo (5 minutos, 5 horas, 5 días, 5 meses)
Esta herramienta es muy configurable y debes usarla con cuidado. Me explico:
Si tienes usuarios registrados, podrías bloquearlos en caso de que se olviden de su nombre de usuario o contraseña y hagan diferentes intentos. En este caso debes dejar un margen y no hacer bloqueos prolongados.
Pero cuando solo accedes tú, puedes bloquearlos sin problema el tiempo que quieras. Yo en mi caso, no perdono. Los bloqueo durante meses y la web deja de existir para ellos.
Para que te hagas una idea, imagínate por un momento que tuvieses en la puerta de tu casa a alguien intentando entrar. Lo tienes ahi durante horas intentándolo… Pero la cosa puede ser peor, imagínate que no es uno, son varios intentándolo una y otra vez durante horas…¿a que es una agonía?.
Imagínate que pudieras darle a un botón y la casa desaparece. Pues no les queda otra que irse por donde han venido. Eso es lo que hace esta herramienta.
Para quedarte tranquilo puedes programar que recibas un mail cuando se produce un bloqueo y así valorar que medidas tomar.
¡Ojo!. No te olvides o equivoques tú o correrás la misma suerte. ¿menudo lío, no?
Activar característica de bloqueo de inicio de sesión
Aquí activas esta opción.
Allow Unlock Requests
Si marcas esta opción, permitirías crear un enlace automático para desbloquear la cuenta de un usuario en caso de ser bloqueado
Intentos máximos de ingreso
Defines la cantidad de intentos que permitirás para hacer login antes de bloquear al usuario
Login Retry Time Period (min)
Indica el periodo de tiempo en el que permitimos los intentos de Login. Si un usuario intenta acceder en un plazo de 5 minutos más de tres veces, el plugin bloquea la ip.
Duración del tiempo de bloqueo
Puedes indicar cuanto tiempo en minutos quieres bloquear una IP. Si en tu web solo entras tú y no tienes usuarios registrados, puedes poner un valor muy alto si quieres.
Mostrar mensaje de error genérico
Puedes crear tu propia página de error o marcar esta opción para que salga un mensaje genérico al bloquear un usuario.
Instantly Lockout Invalid Usernames
Esta es una opción interesante cuando solo accedes tú a la web como usuario. Al seleccionarla bloqueas de inmediato los intentos de conexión con nombres de usuario que no existen en el sistema.
Notificar por correo
Si quieres recibir un aviso por mail cuando se produzca un bloqueo, marca esta opción y pon tu correo electrónico.
Registros fallidos de Login
Te muestra un listado de los intentos fallidos de login que se han producido en la web
Forzar salir
Yo lo tengo desactivado por defecto porque soy un usuario único. Si activas esta opción lo que hace el sistema es forzar la salida de cualquier usuario pasados los minutos que hayas establecido.
Registros de actividad de la cuenta
Te muestra una relación de los accesos que se producen a tu web
Usuarios conectados
Te muestra una relación de los usuarios que están conectados en este momento.
Registro de Usuarios
Aprobación manual
Si utilizas en tu web el registro de usuarios, al activar esta opción añades una capa extra de seguridad al no aceptar de manera automática el registro de cada usuario. Tendrás que dar tú la aprobación definitiva para poder activarlos.
Captcha en el registro
El captcha es un sistema de prevención muy simple y a la vez eficaz. Lo que hace es añadir en los formularios, en este caso en el de registro, una pregunta que el bot no podrá contestar, por lo que no podrá registrar usuarios. Te recomiendo su activación.
Seguridad base de datos
Prefijo DB
Esta es una joyita para la seguridad de la base de datos. Desde aquí puedes cambiar el prefijo de una forma super fácil.
La base de datos es el activo más importante de la web. Ahí está guardado absolutamente todo. Es el objetivo para los hackers a través de métodos como las inyecciones de SQL y los códigos maliciosos.
WordPress crea las tablas con el mismo prefijo, que es «wp_ «. Si lo cambias a otro será difícil para los hackers adivinarlo.
El proceso es limpio y transparente. Tan sencillo como poner un nuevo prefijo y hacer clik en Cambiar prefijo DB.
Por favor, antes de hacer nada, es muy importante que hagas una copia de seguridad de la base de datos. A mi nunca me ha fallado, pero… nunca se sabe. No juegues con esto.
Respaldo DB
Como ves hacer una copia de seguridad de la base de datos es muy sencillo con este plugin. Puedes programarlo para que haga una copia por horas, días o semanas Puedes indicar cuantas copias quieres que se vayan guardando y además puedes enviártelas por correo electrónico.
Permisos de archivos
Permisos de archivo
Aquí te muestra la relación de archivos y carpetas sensibles que tiene wordpress. Aparece todo en verde, porque está todo bien. Pero si alguno fuese incorrecto, aparecería en rojo.
Siendo ese el caso, sencillamente es hacer click en un botón para que se cambien los permisos al modo correcto. Ya ves que no te rompes la cabeza para nada…
Edición de archivos PHP
Al activar esto, proteges la edición de cualquier archivo con extensión PHP. Si no lo haces, existe el riesgo de que puedan acceder a algún archivo y modificar el código.
WP acceso archivo
Al activar esto, proteges la edición de archivos de WordPress, como readme.html, license.txt y wp-config-sample.php.
Host system logs
Aqui puedes configurar el nombre del archivo para los logs de error que genera tu hosting. Y también puedes revisarlo.
Búsqueda de Whois
Esta es una estupenda herramienta que te permite hacer un Whois cuando tienes una Ip que te da mucho la lata y no sabes muy bien que hacer con ella- Con un Whois puedes obtener información para saber si debes banearla o no.
También te facilito una herramienta gratuita externa para verificar una IP. Es una base de datos mundial que te indica si es una IP que debes banear urgentemente o no. Es bueno que la tengas a mano.
Administrar Listas negras
Aquí podrás banear manualmente y de forma permanente direcciones ip y bots. Es tan sencillo como introducir la Ip que quieres banear (recuadro de superior) o el nombre del bot (recuadro inferior). El programa lo que hace es modificar el archivo .htaccess e incluye las directivas necesarias para ello.
Firewall
Aquí voy a pararme un poco más y pondré una pantalla de cada opción. Yo he tenido algunos problemas al aplicar algunas reglas de Firewall.
Eso no quiere decir, que tú los vayas a tener. También puede ser que funcionalidades que me van bien a mí no te vayan bien a ti. Hay que hacer pruebas.
Te explico mi configuración.
Las configuraciones que se hacen aquí modifican el archivo .htaccess.
Opciones de Firewall
Yo tengo activado las opciones básicas de Firewall y la protección a la vulnerabilidad de los Pingbacks.
Reglas adicionales
Como ves, aquí activo las tres primeras opciones.
Lo que hace la primera es impedir que un hacker tenga acceso desde un navegador al un listado de los directorios de la instalación.
En la segunda impido el acceso a cookies y otra información importante. Activada
Su misión es impedir el uso de los comentarios, cuando el visitante accede desde un proxy. La mayoría de los comentarios de spam se producen de esta forma. Yo la tengo activada
Lo que hace es impedir consultas a través de XSS, pero algunos plugins o temas dejan de funcionar con esta opción. A mi me ocurre y por tanto, la tengo que desactivar.
Filtro de cadena de caracteres Avanzado
Se trata de un filtro para cadena de caracteres avanzados y previene ataques procedentes de XSS. Pero ocurre lo mismo que con el anterior y algunas funcionalidades no funcionan. Yo la tengo desactivada.
Reglas 5G de lista negra
Yo la tengo desactivada
Verás, esta función permite activar reglas de protección de seguridad tipo firewall 5G diseñados y producidos por Perishable Press.
Las reglas 5G son una lista que ayuda a reducir el número de peticiones de URL maliciosas que afecten a tu web.
En teoría han sido probados y confirmados por la comunidad de PerishablePress.com y a priori es un conjunto de reglas optimizadas y menos perjudiciales que las normas generales de seguridad con .htaccess para sitios WordPress que se ejecutan en un servidor Apache o similar.
En principio no deberían tener ningún impacto en la funcionalidad de la web, pero mira tu por donde, a mi si que me producen un impacto, jajaja.
Recuerda, a mi sí, pero posiblemente a ti no. Es cuestión de que hagas pruebas. Si no te funciona, lo desactivas. Eso sí, por favor, haz una copia de seguridad del archivo .htaccess, por lo que pueda pasar.
Internet Bots
Algunos bots son muy «listos». Como saben que los podemos canear se «disfrazan» de guayss. Dicho de una manera más seria…
Algunos se hacen pasar por arañas de Google o Bing, pero no lo son. El plugin los detecta y si activas esta opción los para en seco…
Yo la tengo activada sin problema.
Hotlinking
El hot-linking no es que sea un problema grave de seguridad. ¡En realidad es más un problema de morro…!
Lo que pasa con el hot-linking es lo siguiente.
Tu tienes una fotos, imágenes o archivos en tu web. Alguien entra, le gusta y decide que la quiere para su web.
Lo habitual es que se las descargue. Pero algunos van un poco más allá.
En vez de descargarlas, la enlazan en su web contra la tuya. Dicho de otra manera… que se ve en la suya, pero en realidad se descarga desde la tuya. Lo que te digo, mucho morro…
La importancia de esto es, si por ejemplo, tienes con tu hosting un nivel de transferencia mensual. Y resulta que lo enlazan en una web con muchas visitas.
Pues de la manera mas tonta, utilizan tus imágenes y tus recursos para verlas en su web. Tu nivel de transferencia y recursos en general se pueden ver afectados seriamente si algo así ocurre.
No te digo nada, si aun por encima es una imagen que mucho peso y lo peor de todo, que no sea solo una imagen, sino varias….Saca tus propias conclusiones.
A priori, no debería de provocar problemas, pero no me preguntes por qué, a mi esta opción me los da y la tengo desactivada.
Te digo lo mismo, prueba y si todo va bien, déjalo activado. Si algo falla desactívalo.
Si tienes esta opción desactivada y notas que de repente se dispara el nivel de transferencia sin una causa aparente y justificada, revisa si el tráfico viene de distintas IP o desde la misma. Si es la misma, quizá tengas un problema de este tipo.
Errores 404
Para mi, esta es la opción que más me gusta.
Al activarla bloqueamos todas las ip que buscan insistentemente archivos y direcciones que no existen. Indicamos cuanto tiempo queremos bloquearlas y cual es el la página de destino que encuentran cuando son bloqueadas.
Tengo la sensación de que en muchas ocasiones no somos conscientes de verdad sobre lo que ocurre en nuestra web. No queremos verlo o sencillamente pensamos que esto no nos va a pasar a nosotros.
Digo esto porque yo también pensaba así, hasta que me encontré con los primeros problemas. ¿Sabes como me di cuenta de todo esto? Justamente con esta herramienta.
Tengo que decir que para esto, Wordfence es fantástico. Te chiva un montón de información.
La detección de errores 404 es una herramienta muy útil que nos dice de una forma muy efectiva como de gordos son los ataques que recibe diariamente una web.
Gracias a esto descubres que:
- Intentan acceder por fuerza bruta a tu web.
- Buscan los plugins instalados que tienes por sus posibles vulnerabilidades.
- Buscan themes que saben que tienen agujeros de seguridad e intentan explotar alguna vulnerabilidad conocida.
- Intentan modificar o insertar código malicioso de algunos archivos que ejecuten scripts.
Te pondré varios ejemplos para que puedas verlo por ti mismo/a.
Fíjate en la siguiente pantalla y mira lo que ocurre. Tenemos la ip 23.94.29.35
Fíjate que cada varios segundos envía una petición al servidor buscando diferentes archivos. Como no existen, el sistema lanza un error 404 y lo registra. Mira como busca en las carpetas de plugins, uploads y algunas más. Y además busca un archivo concreto casi siempre. ¿Curioso, no?
Esto solo es un extracto, pero hay muchas más peticiones.
Conclusión: Este bot, no es un amigo y solo busca hacer daño, además de hacer un uso intensivo de nuestros recursos. Lo mejor, banearlo de por vida.
Otro ejemplo interesante. Aqui vemos como esta Ip busca directamente la carpeta wp-admin. Como tengo la dirección cambiada no le aparece.
Otro ejemplo. Mira como busca en la carpeta plugins un archivo readme.html de un plugin que se llama wp-symposium (redes sociales)
Otro ejemplo. En este caso busca un plugin para newsletter y también busca un archivo de texto…
Otro ejemplo. Aquí esta IP busca un plugin llamado advanced custom files y mira como intenta encontrar un archivo css…
Otro ejemplo. Aqui busca un plugin llamado ultimate product catalogue y esta buscando un archivo css
Otro ejemplo. Aqui, el mismo bot busca ahora un archivo en la carpeta donde está instalada la plantilla de WordPress. Y busca un theme determinado
Aqui puedes ver más con la misma IP… buscando diferentes plugins y themes
Interesante, ¿verdad? Lo mejor es banear permanentemente estas Ip. Te ahorrarás muchos disgustos.
Una medida de seguridad adicional, que no viene implementada en ningún plugin (yo al menos no lo he visto) es cambiar el nombre de la carpeta al theme, porque como ya te habrás dado cuenta, hay una base de datos de themes y plugins que es usada por estos bots para buscar vulnerabilidades conocidas.
Esta es muy buena idea hacerlo cuando lo instalas por primera vez, ya que no te afectará al funcionamiento.
Pero si lo haces después de que lleves tiempo usándolo te vas a encontrar con varios problemas si lo haces. Entre otros, podrías perder la configuración, widgets, menús… Abordaré este problema en un post independiente más adelante para poder hacerlo con garantía.
Bueno, creo que es suficiente para que te des cuenta de la seriedad que tiene este asunto. No es para que te asustes, ni mucho menos, pero sí para que te lo tomes en serio.
Custom rules
Esta opción permite que desde aquí puedas añadir reglas a tu archivo .htaccess. Hazlo solo si sabes lo que haces, de lo contrario, mejor no toques…Toquetear este archivo de forma incorrecta, puede inutilizar tu web.
Fuerza bruta
Renombrar página de login
Como has visto antes, los bots que quieren acceder a tu web buscan siempre la página /wp-admin/ o bien /wp-login.php. Desde ahí intentan hacerse con el control de la web.
Si ponemos otro nombre, se volverán locos y no podrán acceder a donde ellos quieren. Con esto ya evitamos muchas cosas, entre otras, el uso de nuestros recursos de manera indiscriminada. Si no lo encuentran acabarán por irse.
Cookie based Brute Force Prevention
La idea de esta funcionalidad es prevenir ataques por fuerza bruta, utilizando y configurando las cookies, con una palabra secreta, pero… si usas esta posibilidad, no puedes usar la anterior.
A decir verdad, esta es una opción un tanto compleja, que podría dar mas problemas de los que puede solucionar. Yo particularmente la tengo desactivada. Prefiero la opción de renombrar la dirección de login. Prueba y decide tu lo que consideres más oportuno.
Login Captcha
Aqui te permite elegir incluir un captcha en la página de login, registro y en recuperar contraseña. Lo que hace es añadir una pregunta que el bot no podrá contestar y no le permitirá continuar…Yo tengo las tres opciones activadas.
Lista blanca de ingreso
Aqui puedes definir ip de usuarios o la tuya propia para que pase lo que pase, siempre puedas acceder. El problema de esto es que las ip son dinámicas, y si cambia tu IP ya no servirá de mucho. Con otros usuarios pasaría lo mismo. Tú decides… Sencillamente es una pequeña comodidad para ti.
Honeypot
Esto es muy interesante…
Esta funcionalidad añade un campo oculto especial «honeypot» en la página de inicio de sesión de WordPress, pero solo es visible para los robots y no para los seres humanos.
Los robots suelen rellenar todos los campos de entrada de un formulario y casi seguro que rellenará el honeypot oculto, si eso ocurre, el mismo se está delatando y el plugin lo redirige automáticamente a la dirección http://127.0.0.1… ¡vamos, a ninguna parte!
Yo lo tengo activado
Prevención de Spam
Comentario Spam
Esto añade una pregunta matemática a los comentarios y el bot tendría que contestarla para enviar el comentario. En principio no podrá hacerlo…
Bloquear comentarios de Spambot
Esta opción minimiza en gran medida el tráfico y carga innecesaria que resulta de comentarios SPAM mediante el bloqueo de todas las solicitudes de comentarios que no sean originarios de tu dominio.
Dicho de otra manera. Si el comentario no fue hecho por una persona en la web, será bloqueado.
Monitoreo IP comentario Spam
Te permite monitorizar las ip que generan spam
Buddypress
Si tienes activado Buddypress en tu web, esta funcionalidad insertará un captcha en el login. Si no lo tienes , pues nada…
Escáner
Desde aquí puedes escanear archivos y directorios para ver si algo ha cambiado misteriosamente. Puedes programarlo para que lo haga automáticamente cada x horas, días o semanas.
También puedes ignorar la revisión de ciertos archivos o directorios.
Si se detecta algo extraño, puedes configurarlo para que te envíe un correo electrónico.
Las opciones de Malware Scan y Db Scan aun no están operativas.
Mantenimiento
Bueno, pues desde aquí puedes activar el mantenimiento web diseñando un mensaje en caso de que sea necesario dejar la web en standby por algún motivo.
Miscellaneo
Copy protection
Pues una opción para que puedas evitar que copien texto de tu web
Frames
Una opción que permite prevenir el uso de iframes en tu web. Si lo activas, quizá no puedas poner videos de Youtube en tu web…
Hemos terminado….!!!!
Ya ves que la seguridad es un tema extenso, pero muy necesario. Creo que con estos dos post sobre seguridad en WordPress, tienes una buena base como punto de partida, sobre todo si estás empezando.
Espero que te haya ayudado. Si es así, comparte este tutorial con otras personas.
Quizá sepas algo que yo no sé o te ha hayas dado cuenta de que falta algo importante que he pasado por alto. ¿Qué tal si lo compartes en los comentarios?
Estupendo manual que volveré a consultar cuando configure el plugin All in one….
En este momento estoy esperando a que el hosting desactive el plugin de marras por que ya es la segunda vez que me bloquea el blog.
Y precisamente es eso lo que quiero saber, si estos bloqueos que sufro son, como imagino, a consecuencia del firewall.
Puedes indicarme cómo configurar el plugin para evitar esto?
Muchas gracias y enhorabuena por este manual.
Un saludo
Hola Manuel. Debes incluir tu Ip en la lista blanca. Con esto, el plugin no bloqueará nunca tu IP. Ten en cuenta que las IP suelen ser dinámicas y que pueden cambiar, si el router se apaga, reinicia o incluso por su cuenta, en cuyo caso tendrás que volver a poner la Ip que corresponda. Tal vez también lo tengas muy reestrictivo. Revisa las opciones y observa si hay alguna que pueda afectarte, por ejemplo, el acceso al backend. Si te equivocas demasiadas veces seguidas, el Firewall te va a bloquear.
Saludos
Mil gracias por el artículo.
Solo una pregunta, ¿es normal tener ataques de fuerza bruta casi a diario?
Si Esther, lamentablemente es demasiado normal. En todas las web ocurre…
Muchas gracias,
Un manual muy completo. Se agradece.
Buenos días Fabián,
Que puedo decir que no lo hayan hecho mis compañeros anteriores. SUBLIME!!!
Primero darte las gracias por el tiempo y dedicación que te has tomado para iluminarnos el camino.
Y ahora viene la cuestión, que seguro para ti será una tontería pero me está volviendo loco, ya que tengo que realizar unos cambios en una web a punto de terminar y no me deja entrar al gestor.
Le modifiqué en la configuración que cambiase la url de entrada de wp-admin a ges-admin.
Bueno, ahora, después de días trabajando sin problemas, me dice que no encuentra la página y me redirecciona a la IP que viene por defecto en la configuración del plugin.
Me estoy volviendo locooooooo.
SOCORROOOOOOOO!!!!
Muchas gracias y un saludo, Crack!
Hola Txema. Te he respondido por mail. Lo que te ocurre (o entiendo que te ocurre no es normal). Estás mezclando varias cosas, como direcciones e ip. No acabo de entender. Revisa tu email y haz lo que te comento.
Saludos
Hola acabo de cambiar lo del panel envede admin he puesto otra cosa me acuerdo de lo que puesto pero me da error 404
Hola Marcos, disculpa la demora en contestarte. No entiendo bien lo que me dices. Cambiar el usuario no debe provocar un error 404.
Excelente post con una explicación al detalle, muchas gracias por realizarlo.
Saludos.
Hola Pablo. Disculpa la demora en contestar. Te agradezco tus palabras, gracias por comentar.
Saludos
Muchas gracias por el post Fabián.
Me ha sido de gran ayuda. Anteriormente utilizaba el WordFence Security, pero, con el tiempo, me ha dado en varias ocasiones problemas con algunas tablas.
Enhorabuena por el post. Muy claro y didáctico.
hola fabian cuando cambio el nombre de wp-admin por cualquier otro. no me entra o me sale que la nueva pagian no existe o en el mejor de los casos me deja poner usuario y contraseña pero no ingresa y regresa como si no existiera la pagina :( me tiene loco esto.
Hola Joe. La verdad es que pueden ser mil cosas. Yo lo uso para todas las webs que gestiono y no tengo problemas, salvo alguna vez que me dice que las cookies no estan soportadas por el navegador, pero le vuelvo a insistir y accedo sin problemas.
Asegúrate de desconectar cualquier caché que tengas para hacer las pruebas. Doy por hecho que no tienes cualquier otro plugin de seguridad instalado a la vez que all in one…Asegurate de que el htacces es accesible para el plugin. Si no te funciona, tendría que verlo.
Saludos
Buenas tardes Fabian.
Despues del tiempo que has dedicado a explicar el plugin me sentía casi obligado a darte las gracias.
Yo hasta ahora he utilizado en bastantes proyectos Wordfence pero la verdad es que genera una tabla en las base datos bastante voluminosa y me parece que interfiere excesivamente en el rendimiento de la página.
Para combatir el SPAM en los comentarios o formularios te recomiendo utilizar el plugin de Clean Talk. https://es.wordpress.org/plugins/cleantalk-spam-protect/ Funciona bastante bien y te evita el uso de captchas o preguntas en la web.
¡Un saludo!
Hola Jose Antonio. Gracias por tu comentario y tus amables palabras.
No solo le pasa a Wordfence… prácticamente a todos los programas de este tipo que generan algún tipo de log les pasa. All in one tambien puede engordar la tabla con los errores 404, pero tiene un botón que te permite borrar los datos y de esa manera puedes limpiar cada cierto tiempo.
Gracias por tu aportación. No conocía este plugin y he de probarlo.
Saludos !!!
Hola Fabian
Enhorabuena por tu post, no es normal encontrar cosas así, en la que te explican con detalle el porqué de las cosas.
Soy un usuario con conocimientos muy básicos.
Tengo una tienda online y he seguido tus recomendaciones para configurar el plugins All in one WP Security & Firewall.
No sé si como consecuencia de la instalación del plugin o tal vez como consecuencia de otra cosa, me pasa lo siguiente:
Al intentar entrar en la administracion de la web, te pide el usuario y la contraseña y te aparece debajo un enlace que te dice ¿Has perdido tu contraseña ?
Se supone que si este fuera el caso, al pinchar aquí, deberia enviarte a una pagina en la que te pide el mail, de tal forma que al teclearlo, el sistema te envia a ese correo una nueva contraseña.
Pues bien, esto no es así y cuando pincho en «he perdido mi contraseña» me lleva a la «home» de tal forma que no puedo recuperar la contraseña.
Esto mismo le pasa a los clientes que se han registrado y al no recordar la contraseña, intentan recuperar una nueva contraseña.
¿Es posible que esto que me ocurre, pueda deberse a la configuracion que he hecho del plugin?
¿Si no fuera así, se te ocurre porque me puede estar pasando esto?
En todo caso, gracias por tu atencion
Hola Javier, gracias por pasarte por aquí. Disculpa la demora en contestar.
En principio, es posible que sea por la configuración del plugin. La configuración de all in one no puede ser igual para un blog o una web normal donde no es necesario el registro de usuarios, que en una tienda donde si es necesario. De todas maneras hay otros factores o incluso plugins que podrían estar afectando al comportamiento general, pero sin verlo es muy difícil saberlo. Me he pasado por tu web y he visto algunos pequeños detalles extraños, como por ejemplo, un problema en el footer, donde la web permite seguir escroleando y se queda en blanco.
El primer paso para descartar si es una configuración del plugin es desconectarlo. Es decir, si lo desconectas y todo vuelve a la normalidad, está claro que es del plugin, si no es así, entonces no es de All in one.
Si fuese el caso, entonces debes revisar algunas posibilidades.
1º: Registro de usuarios: Verifica que no tienes activada la opción de aprobación manual. Supongo que no, pero si estuviese habilitado, desconéctalo.
2º: Revisa que tienes bien configurada la página de Lost Password. Cuando tenemos instalado Woocommerce, WordPress deja de tener el control y de alguna manera lo toma Woocommerce. Establece algunas páginas concretas para el funcionamiento de la tienda y una de ellas es a de Lost Password. Cuando haces click en recuperar contraseña, debería llevarte a esa página, y si no la encuentra, te llevará a una página de error 404 o tal vez a la home si lo tienes reedirigido.
Eso lo puedes configurar en las opciones de Woocommerce-Ajustes-mi cuenta-Variables de cuenta.
A priori, si el problema no está por aquí, habría que ver que tipo de configuraciones tienes y como interactúan los plugins instalados que tienes, que por lo que he podido ver son unos cuantos y variados.
Ya me contarás!!!
Saludos
Hola Fabian.
Efectivamente era la pagina de Lost Password. No era la que tenia predeterminada en la opción para recuperar la contraseña.
Al igual que tus post, repuestas muy completas y detalladas.
Gracias de nuevo
Me alegra que te haya sido de ayuda.
Saludos!!!
Hace poco fui victima de ataque en uno de los wordpress que monté… la verdad peque por confiado y en las que me vi para recuperar la web.
ya monte los niveles de seguridad y segui tu guia y excelente… MUCHAS GRACIAS
Hola Sergio. Gracias por decirlo. Me alegro que te haya ayudado. La seguridad es muy importante y lamentablemente debemos estar lo mas preparados posibles para evitar males mayores.
Gracias por comentar.
Saludos
Muchas gracias, muy claro y útil.
Gracias Kike, me alegro que te sea útil.
Saludos