All in one wp Security & Firewall. Seguridad para WordPress sobresaliente

En un post anterior hemos visto como implementar la seguridad en WordPress. Que es lo que debes saber sobre la seguridad y como configurar manualmente casi todo. Pero a veces es mucho más sencillo instalar un plugin que nos haga el trabajo sin tener que estar pendiente de este u otro archivo.

También te comenté que hay varios plugins muy interesantes, como pueden ser All in one WP Security & Firewall, Ithemes Security y Wordfence entre otros.

Hasta no hace mucho había plugins muy buenos dedicados a funcionalidades de seguridad muy concretas. Teníamos que instalar varios, pero ahora, parece que el desarrollo y las actualizaciones han quedado en el olvido. Instalarlos podría ser en si mismo un problema de seguridad. Algunos hace más de un año que no se actualizan.

Podrían presentarse problemas de incompatibilidad con las versiones mas recientes de WordPress. Me imagino que el hecho de que los plugins actuales “todo en uno” sean tan completos, ha provocado que sencillamente no compense continuar con el desarrollo, el soporte y las actualizaciones..

No te preocupes. Cualquier de las opciones que he mencionado son realmente buenas y completas.

En este tutorial, voy a explicarte como funciona All in one WP Security & Firewall. No porque sea mejor.

Sencillamente es muy completo, gratis y es el que mejor conozco. Ni más ni menos.

También voy a profundizar en ciertos aspectos, porque más que ver lo que hago, creo que es más interesante que entiendas porque lo hago.

Instalar All in one WP Security & Firewall

All in one Wp Security & Firewall - Seguridad para WordPress

Bueno, esto es muy sencillo. Ve a plugins, añadir nuevo y busca “All in one WP Security”. Click en instalar y luego en activar.

Verás que ahora te aparece en el menú de administración un nuevo apartado llamado WP Security o Seguridad WordPress. click en él.

Este plugin es realmente muy completo con muuuchas cosas. Asi que, paciencia. Está traducido casi por completo al español, lo cual es una verdadera ventaja, aunque hay partes que aun siguen en inglés.

Antes de nada, quiero aclararte algo.

La generalidad nos dice que el plugin va a funcionar más o menos igual en todas las webs. Pero… “más o menos igual” es exactamente eso.

Quiero decir que, no todo lo que me funciona a mi tiene que funcionarte a ti y viceversa.

No es un problema de WordPress. Tu configuración de hosting, php y Apache pueden provocar que el funcionamiento no sea igual que a mi.

Por eso, mi primera recomendación es que no te limites a copiar y pegar. Haz tus pruebas y verifica exactamente lo que mejor funcione para tu web.

Como siempre, te recomiendo que hagas copia de seguridad de tu web y la base de datos, antes de meterte a cambiar cosas, sobre todo si es la primera vez que lo haces.

Dashboard

Te mostraré la pantalla principal de cada sección. Los subtítulos pertenecen a las pestañas que incorporan cada una de las secciones.

all_in_one_1_dashboard

Pestaña Escritorio

Aqui tienes una panorámica del estado de seguridad de tu web.

Velocímetro o medidor de seguridad

El velocímetro es una original manera de decirte si la seguridad es buena o no. Te asignan unos puntos en función de las reglas que tengas configuradas.

Tampoco  es que tengamos que tener los 470 puntos. Hay algunas funciones que al activarlas pueden producir algún problema y es mejor tenerlas desactivadas, por lo menos en mi caso.

No todos los themes y plugins funcionan de la misma manera. Lo que me funciona a mi, puede no funcionarte a ti y viceversa.

Análisis puntos de Seguridad

Aquí te muestra a través de un gráfico los puntos esenciales y su nivel de importancia en la seguridad de tu WordPress.

Estado modo de mantenimiento

Este plugin te permite poner tu web en modo mantenimiento con un click. Una opción que podrás configurar a tu gusto, con los mensajes que quieras que vean tus visitantes en caso de que tengas que poner la web en este modo.

Rename Login page

Te indica la dirección que tienes puesta para tu página de login y administración. Yo lo tengo tapado para que no sea evidente.

Locked Ip Addreses

Te indica las últimas Ip que han sido bloqueadas por el sistema

Estado Características de seguridad

Te indica el estado actual de las medidas esenciales que debes tener activadas como mínimo para tener una seguridad básica.

File Change Detection

Te indica si ha detectado algún cambio en los archivos esenciales de WordPress

Usuarios conectados

Te dice cuantos usuarios hay en este momento en la web conectados.

Pestaña Información del sistema

Te muestra un resumen de la información de tu instalación, datos del servidor, información de php y los plugins que tienes activos.

Pestaña Direcciones Ip bloqueadas

Te muestra una relación completa de las IP que tienes bloqueadas.

AIOWPS Logs

Te permite visualizar los logs que genera el plugin para ver cualquier posible error.

Configuración

all_in_one_2_opciones

Opciones

Configuración general

Desde aquí puedes activar o desactivar rápidamente diversas características si por alguna razón tu web ha dejado de funcionar bien o se ha roto alguna funcionalidad.

Fichero . htaccess

Te permite ver el fichero .htaccess. Crear una copia de seguridad e incluso restaurarlo si fuese necesario si tienes alguna copia guardada anteriormente

Fichero wp.config

Lo mismo, pero para este fichero. Ver el contenido, guardar una copia y restaurar

WP meta info

Te permite eliminar el generador de meta etiquetas de wordpress. Debes activar esta casilla y guardar los cambios. Recuerda, esto se refiere a eliminar entre otras cosas, información sobre la versión de tu WordPress.

Importar/exportar

Te permite exportar para guardar la configuración del plugin para usarlo en otra instalación. También puedes importar la configuración si la guardaste previamente o desde otra instalación.

Cuentas de usuario

all_in_one_3_cuentas_de_usuario

Nombre de usuario admin

Aqui te indica una recomendación básica en WordPress. Cambiar o eliminar el usuario Admin.

Si no creas un usuario específico, WordPress crea como administrador predeterminado un usuario llamado Admin. Esto es fatal…

Los hackers que lo saben, lo primero que intentan es hacer login con ese usuario. Tienen la mitad del trabajo hecho, solo han de adivinar la contraseña. Lo bueno de esta herramienta, es que pueds editar el usuario sin tener que crear uno, salir, borrar… Lo haces directamente.

Te muestra un listado de los usuarios. Si todo está bien, te aparecerá en verde.

Nombre a mostrar

Cuando se crea un usuario, WordPress te permite visualizar el nombre de usuario, el nombre completo, un apodo… Si eliges la opción visualizar usuario, esto es lo que aparecerá en los post o entradas y los hackers tendrán una pista muy clara de con que usuario pueden intentar hacer login.

Lo mejor es evitar que el nombre de usuario sea visible, con lo que puedes poner tu nombre completo o bien un apodo.

Aquí te indica que cambies la opción a mostrar para que no coincida con tu nombre de usuario y a cuales de los usuarios es aplicable esta regla.

Utilidad de contraseña

Una curiosa utilidad que te dice cuanto tiempo podrían tardar en descifrar tu contraseña. Sirve para que midas lo fuerte que puede ser cualquier contraseña.

La herramienta utiliza un algoritmo que calcula el tiempo que le llevaría a un PC actual con un buen procesador descifrar esa contraseña. Es muy curioso y llamativo.

A partir de aqui, ya nos metemos en harina…

User Login

all_in_one_4_bloqueo_login

Bloqueos de login

Desde este apartado vamos a configurar nuestra defensa ante los ataques de fuerza bruta.

Debes activar esta opción.

Muchos bots intentan acceder a tu wordpress una y otra vez. Si no lo bloqueamos pueden pasarse horas intentando descifrar la contraseña y esto es un auténtico problema porque además de la seguridad, afecta negativamente a los recursos del servidor.

Con esta opción le decimos. Te dejo X intentos, por ejemplo 3. Si te equivocas bloqueo tu IP por x tiempo (5 minutos, 5 horas, 5 días, 5 meses)

Esta herramienta es muy configurable y debes usarla con cuidado. Me explico:

Si tienes usuarios registrados, podrías bloquearlos en caso de que se olviden de su nombre de usuario o contraseña y hagan diferentes intentos. En este caso debes dejar un margen y no hacer bloqueos prolongados.

Pero cuando solo accedes tú, puedes bloquearlos sin problema el tiempo que quieras. Yo en mi caso, no perdono. Los bloqueo durante meses y la web deja de existir para ellos.

Para que te hagas una idea, imagínate por un momento que tuvieses en la puerta de tu casa a alguien intentando entrar. Lo tienes ahi durante horas intentándolo… Pero la cosa puede ser peor, imagínate que no es uno, son varios intentándolo una y otra vez durante horas…¿a que es una agonía?.

Imagínate que pudieras darle a un botón y la casa desaparece. Pues no les queda otra que irse por donde han venido. Eso es lo que hace esta herramienta.

Para quedarte tranquilo puedes programar que recibas un mail cuando se produce un bloqueo y así valorar que medidas tomar.

¡Ojo!. No te olvides o equivoques tú o correrás la misma suerte. ¿menudo lío, no?

Activar característica de bloqueo de inicio de sesión

Aquí activas esta opción.

Allow Unlock Requests

Si marcas esta opción, permitirías crear un enlace automático para desbloquear la cuenta de un usuario en caso de ser bloqueado

Intentos máximos de ingreso

Defines la cantidad de intentos que permitirás para hacer login antes de bloquear al usuario

Login Retry Time Period (min)

Indica el periodo de tiempo en el que permitimos los intentos de Login. Si un usuario intenta acceder en un plazo de 5 minutos más de tres veces, el plugin bloquea la ip.

Duración del tiempo de bloqueo
Puedes indicar cuanto tiempo en minutos quieres bloquear una IP. Si en tu web solo entras tú y no tienes usuarios registrados, puedes poner un valor muy alto si quieres.

Mostrar mensaje de error genérico

Puedes crear tu propia página de error o marcar esta opción para que salga un mensaje genérico al bloquear un usuario.

Instantly Lockout Invalid Usernames

Esta es una opción interesante cuando solo accedes tú a la web como usuario. Al seleccionarla bloqueas de inmediato los intentos de conexión con nombres de usuario que no existen en el sistema.

Notificar por correo

Si quieres recibir un aviso por mail cuando se produzca un bloqueo, marca esta opción y pon tu correo electrónico.

Registros fallidos de Login

Te muestra un listado de los intentos fallidos de login que se han producido en la web

Forzar salir

Yo lo tengo desactivado por defecto porque soy un usuario único. Si activas esta opción lo que hace el sistema es forzar la salida de cualquier usuario pasados los minutos que hayas establecido.

Registros de actividad de la cuenta

Te muestra una relación de los accesos que se producen a tu web

Usuarios conectados

Te muestra una relación de los usuarios que están conectados en este momento.

Registro de Usuarios

all_in_one_5_registro_de_usuario

Aprobación manual

Si utilizas en tu web el registro de usuarios, al activar esta opción añades una capa extra de seguridad al no aceptar de manera automática el registro de cada usuario. Tendrás que dar tú la aprobación definitiva para poder activarlos.

Captcha en el registro

El captcha es un sistema de prevención muy simple y a la vez eficaz. Lo que hace es añadir en los formularios, en este caso en el de registro, una pregunta que el bot no podrá contestar, por lo que no podrá registrar usuarios. Te recomiendo su activación.

Seguridad base de datos

all_in_one_6_base_de_datos

Prefijo DB

Esta es una joyita para la seguridad de la base de datos. Desde aquí puedes cambiar el prefijo de una forma super fácil.

La base de datos es el activo más importante de la web. Ahí está guardado absolutamente todo. Es el objetivo para los hackers a través de métodos como las inyecciones de SQL y los códigos maliciosos.

WordPress crea las tablas con el mismo prefijo, que es “wp_ “. Si lo cambias a otro será difícil para los hackers adivinarlo.

El proceso es limpio y transparente. Tan sencillo como poner un nuevo prefijo y hacer clik en Cambiar prefijo DB.

Por favor, antes de hacer nada, es muy importante que hagas una copia de seguridad de la base de datos. A mi nunca me ha fallado, pero… nunca se sabe. No juegues con esto.

Respaldo DB

Como ves hacer una copia de seguridad de la base de datos es muy sencillo con este plugin. Puedes programarlo para que haga una copia por horas, días o semanas Puedes indicar cuantas copias quieres que se vayan guardando y además puedes enviártelas por correo electrónico.

Permisos de archivos

all_in_one_7_permisos_de_archivo

Permisos de archivo

Aquí te muestra la relación de archivos y carpetas sensibles que tiene wordpress. Aparece todo en verde, porque está todo bien. Pero si alguno fuese incorrecto, aparecería en rojo.

Siendo ese el caso, sencillamente es hacer click en un botón para que se cambien los permisos al modo correcto. Ya ves que no te rompes la cabeza para nada…

Edición de archivos PHP

Al activar esto, proteges la edición de cualquier archivo con extensión PHP. Si no lo haces, existe el riesgo de que puedan acceder a algún archivo y modificar el código.

WP acceso archivo

Al activar esto, proteges la edición de archivos de WordPress, como readme.html, license.txt y wp-config-sample.php.

Host system logs

Aqui puedes configurar el nombre del archivo para los logs de error que genera tu hosting. Y también puedes revisarlo.

Búsqueda de Whois

all_in_one_8_whois

Esta es una estupenda herramienta que te permite hacer un Whois cuando tienes una Ip que te da mucho la lata y no sabes muy bien que hacer con ella- Con un Whois puedes obtener información para saber si debes banearla o no.

También te facilito una herramienta gratuita externa para verificar una IP. Es una base de datos mundial que te indica si es una IP que debes banear urgentemente o no. Es bueno que la tengas a mano.

Country ip blocks

Administrar Listas negras

all_in_one_9_listas_negras

Aquí  podrás banear manualmente y de forma permanente direcciones ip y bots. Es tan sencillo como introducir la Ip que quieres banear (recuadro de superior) o el nombre del bot (recuadro inferior). El programa lo que hace es modificar el archivo .htaccess e incluye las directivas necesarias para ello.

Firewall

all_in_one_10_firewall

Aquí voy a pararme un poco más y pondré una pantalla de cada opción. Yo he tenido algunos problemas al aplicar algunas reglas de Firewall.

Eso no quiere decir, que tú los vayas a tener. También puede ser que funcionalidades que me van bien a mí no te vayan bien a ti. Hay que hacer pruebas.

Te explico mi configuración.

Las configuraciones que se hacen aquí modifican el archivo .htaccess.

Opciones de Firewall

Yo tengo activado las opciones básicas de Firewall y la protección a la vulnerabilidad de los Pingbacks.

Reglas adicionales

all_in_one_10_firewal_reglas

Como ves, aquí activo las tres primeras opciones.

Lo que hace la primera es impedir que un hacker tenga acceso desde un navegador al un listado de los directorios de la instalación.

En la segunda impido el acceso a cookies y otra información importante. Activada

Su misión es impedir el uso de los comentarios, cuando el visitante accede desde un proxy. La mayoría de los comentarios de spam se producen de esta forma. Yo la tengo activada

Lo que hace es impedir consultas a través de XSS, pero algunos plugins o temas dejan de funcionar con esta opción. A mi me ocurre y por tanto, la tengo que desactivar.

Filtro de cadena de caracteres Avanzado

Se trata de un filtro para cadena de caracteres avanzados y previene ataques procedentes de XSS. Pero ocurre lo mismo que con el anterior y algunas funcionalidades no funcionan. Yo la tengo desactivada.

Reglas 5G de lista negra

all_in_one_10_firewall_reglas_5g

Yo la tengo desactivada

Verás, esta función permite activar reglas de protección de seguridad tipo firewall 5G diseñados y producidos por Perishable Press.

Las reglas 5G son una lista que ayuda a reducir el número de peticiones de URL maliciosas que afecten a tu web.

En teoría han sido probados y confirmados por la comunidad de PerishablePress.com y a priori es un conjunto de reglas optimizadas y menos perjudiciales que las normas generales de seguridad con .htaccess para sitios WordPress que se ejecutan en un servidor Apache o similar.

En principio no deberían tener ningún impacto en la funcionalidad de la web, pero mira tu por donde, a mi si que me producen un impacto, jajaja.

Recuerda, a mi sí, pero posiblemente a ti no. Es cuestión de que hagas pruebas. Si no te funciona, lo desactivas. Eso sí, por favor, haz una copia de seguridad del archivo .htaccess, por lo que pueda pasar.

Internet Bots

all_in_one_10_firewall_bots

Algunos bots son muy “listos”. Como saben que los podemos canear se “disfrazan” de guayss. Dicho de una manera más seria…

Algunos se hacen pasar por arañas de Google o Bing, pero no lo son. El plugin los detecta y si activas esta opción los para en seco…

Yo la tengo activada sin problema.

Hotlinking

all_in_one_10_firewall_hotlinking

El hot-linking no es que sea un problema grave de seguridad. ¡En realidad es más un problema de morro…!

Lo que pasa con el hot-linking es lo siguiente.

Tu tienes una fotos, imágenes o archivos en tu web. Alguien entra, le gusta y decide que la quiere para su web.

Lo habitual es que se las descargue. Pero algunos van un poco más allá.

En vez de descargarlas, la enlazan en su web contra la tuya. Dicho de otra manera… que se ve en la suya, pero en realidad se descarga desde la tuya. Lo que te digo, mucho morro…

La importancia de esto es, si por ejemplo, tienes con tu hosting un nivel de transferencia mensual. Y resulta que lo enlazan en una web con muchas visitas.

Pues de la manera mas tonta, utilizan tus imágenes y tus recursos para verlas en su web. Tu nivel de transferencia y recursos en general se pueden ver afectados seriamente si algo así ocurre.

No te digo nada, si aun por encima es una imagen que mucho peso y lo peor de todo, que no sea solo una imagen, sino varias….Saca tus propias conclusiones.

A priori, no debería de provocar problemas, pero no me preguntes por qué, a mi esta opción me los da y la tengo desactivada.

Te digo lo mismo, prueba y si todo va bien, déjalo activado. Si algo falla desactívalo.

Si tienes esta opción desactivada y notas que de repente se dispara el nivel de transferencia sin una causa aparente y justificada, revisa si el tráfico viene de distintas IP o desde la misma. Si es la misma, quizá tengas un problema de este tipo.

Errores 404

Para mi, esta es la opción que más me gusta.

Al activarla bloqueamos todas las ip que buscan insistentemente archivos y direcciones que no existen. Indicamos cuanto tiempo queremos bloquearlas y cual es el la página de destino que encuentran cuando son bloqueadas.

all_in_one_10_firewall_errores_404

Tengo la sensación de que en muchas ocasiones no somos conscientes de verdad sobre lo que ocurre en nuestra web. No queremos verlo o sencillamente pensamos que esto no nos va a pasar a nosotros.

Digo esto porque yo también pensaba así, hasta que me encontré con los primeros problemas. ¿Sabes como me di cuenta de todo esto? Justamente con esta herramienta.

Tengo que decir que para esto, Wordfence es fantástico. Te chiva un montón de información.

La detección de errores 404 es una herramienta muy útil que nos dice de una forma muy efectiva como de gordos son los ataques que recibe diariamente una web.

Gracias a esto descubres que:

  • Intentan acceder por fuerza bruta a tu web.
  • Buscan los plugins instalados que tienes por sus posibles vulnerabilidades.
  • Buscan themes que saben que tienen agujeros de seguridad e intentan explotar alguna vulnerabilidad conocida.
  • Intentan modificar o insertar código malicioso de algunos archivos que ejecuten scripts.

Te pondré varios ejemplos para que puedas verlo por ti mismo/a.

Fíjate en la siguiente pantalla y mira lo que ocurre. Tenemos la ip 23.94.29.35

Fíjate que cada varios segundos envía una petición al servidor buscando diferentes archivos. Como no existen, el sistema lanza un error 404 y lo registra. Mira como busca en las carpetas de plugins, uploads y algunas más. Y además busca un archivo concreto casi siempre. ¿Curioso, no?

Esto solo es un extracto, pero hay muchas más peticiones.

all_in_one_10_firewall_errores_404_1

Conclusión: Este bot, no es un amigo y solo busca hacer daño, además de hacer un uso intensivo de nuestros recursos. Lo mejor, banearlo de por vida.

Otro ejemplo interesante. Aqui vemos como esta Ip busca directamente la carpeta wp-admin. Como tengo la dirección cambiada no le aparece.

all_in_one_10_firewall_errores_404_2

Otro ejemplo. Mira como busca en la carpeta plugins un archivo readme.html de un plugin que se llama wp-symposium (redes sociales)

all_in_one_10_firewall_errores_404_3

Otro ejemplo. En este caso busca un plugin para newsletter y también busca un archivo de texto…

all_in_one_10_firewall_errores_404_4

Otro ejemplo. Aquí esta IP busca un plugin llamado advanced custom files y mira como intenta encontrar un archivo css…

all_in_one_10_firewall_errores_404_5

Otro ejemplo. Aqui busca un plugin llamado ultimate product catalogue y esta buscando un archivo css

all_in_one_10_firewall_errores_404_6

Otro ejemplo. Aqui, el mismo bot busca ahora un archivo en la carpeta donde está instalada la plantilla de WordPress. Y busca un theme determinado

all_in_one_10_firewall_errores_404_7

Aqui puedes ver más con la misma IP… buscando diferentes plugins y themes

all_in_one_10_firewall_errores_404_8

Interesante, ¿verdad? Lo mejor es banear permanentemente estas Ip. Te ahorrarás muchos disgustos.

Una medida de seguridad adicional, que no viene implementada en ningún plugin (yo al menos no lo he visto) es cambiar el nombre de la carpeta al theme, porque como ya te habrás dado cuenta, hay una base de datos de themes y plugins que es usada por estos bots para buscar vulnerabilidades conocidas.

Esta es muy buena idea hacerlo cuando lo instalas por primera vez, ya que no te afectará al funcionamiento.

Pero si lo haces después de que lleves tiempo usándolo te vas a encontrar con varios problemas si lo haces. Entre otros, podrías perder la configuración, widgets, menús… Abordaré este problema en un post independiente más adelante para poder hacerlo con garantía.

Bueno, creo que es suficiente para que te des cuenta de la seriedad que tiene este asunto. No es para que te asustes, ni mucho menos, pero sí para que te lo tomes en serio.

Custom rules

Esta opción permite que desde aquí puedas añadir reglas a tu archivo .htaccess. Hazlo solo si sabes lo que haces, de lo contrario, mejor no toques…Toquetear este archivo de forma incorrecta, puede inutilizar tu web.

all_in_one_10_firewall_custom_rules

Fuerza bruta

Renombrar página de login

all_in_one_11_login_page_1

Como has visto antes, los bots que quieren acceder a tu web buscan siempre la página /wp-admin/ o bien /wp-login.php. Desde ahí intentan hacerse con el control de la web.

Si ponemos otro nombre, se volverán locos y no podrán acceder a donde ellos quieren. Con esto ya evitamos muchas cosas, entre otras, el uso de nuestros recursos de manera indiscriminada. Si no lo encuentran acabarán por irse.

Cookie based Brute Force Prevention

La idea de esta funcionalidad es prevenir ataques por fuerza bruta, utilizando y configurando las cookies, con una palabra secreta, pero… si usas esta posibilidad, no puedes usar la anterior.

A decir verdad, esta es una opción un tanto compleja, que podría dar mas problemas de los que puede solucionar. Yo particularmente la tengo desactivada. Prefiero la opción de renombrar la dirección de login. Prueba y decide tu lo que consideres más oportuno.

Login Captcha

Aqui te permite elegir incluir un captcha en la página de login, registro y en recuperar contraseña. Lo que hace es añadir una pregunta que el bot no podrá contestar y no le permitirá continuar…Yo tengo las tres opciones activadas.

Lista blanca de ingreso

Aqui puedes definir ip de usuarios o la tuya propia para que pase lo que pase, siempre puedas acceder. El problema de esto es que las ip son dinámicas, y si cambia tu IP ya no servirá de mucho. Con otros usuarios pasaría lo mismo. Tú decides… Sencillamente es una pequeña comodidad para ti.

Honeypot

Esto es muy interesante…

Esta funcionalidad añade un campo oculto especial “honeypot” en la página de inicio de sesión de WordPress, pero solo es visible para los robots y no para los seres humanos.

Los robots suelen rellenar todos los campos de entrada de un formulario y casi seguro que rellenará el honeypot oculto, si eso ocurre, el mismo se está delatando y el plugin lo redirige automáticamente a la dirección http://127.0.0.1… ¡vamos, a ninguna parte!

Yo lo tengo activado

Prevención de Spam

all_in_one_12_prevencion_spam

Comentario Spam

Esto añade una pregunta matemática a los comentarios y el bot tendría que contestarla para enviar el comentario. En principio no podrá hacerlo…

Bloquear comentarios de Spambot

Esta opción minimiza en gran medida el tráfico y carga innecesaria que resulta de comentarios SPAM mediante el bloqueo de todas las solicitudes de comentarios que no sean originarios de tu dominio.
Dicho de otra manera. Si el comentario no fue hecho por una persona en la web, será bloqueado.

Monitoreo IP comentario Spam

Te permite monitorizar las ip que generan spam

Buddypress

Si tienes activado Buddypress en tu web, esta funcionalidad insertará un captcha en el login. Si no lo tienes , pues nada…

Escáner

all_in_one_13_scaner

Desde aquí puedes escanear archivos y directorios para ver si algo ha cambiado misteriosamente. Puedes programarlo para que lo haga automáticamente cada x horas, días o semanas.

También puedes ignorar la revisión de ciertos archivos o directorios.

Si se detecta algo extraño, puedes configurarlo para que te envíe un correo electrónico.

Las opciones de Malware Scan y Db Scan aun no están operativas.

Mantenimiento

Bueno, pues desde aquí puedes activar el mantenimiento web diseñando un mensaje en caso de que sea necesario dejar la web en standby por algún motivo.

Miscellaneo

Copy protection

Pues una opción para que puedas evitar que copien texto de tu web

Frames

Una opción que permite prevenir el uso de iframes en tu web. Si lo activas, quizá no puedas poner videos de Youtube en tu web…

Hemos terminado….!!!!

Ya ves que la seguridad es un tema extenso, pero muy necesario. Creo que con estos dos post sobre seguridad en WordPress, tienes una buena base como punto de partida, sobre todo si estás empezando.

Espero que te haya ayudado. Si es así, comparte este tutorial con otras personas.

Quizá sepas algo que yo no sé o te ha hayas dado cuenta de que falta algo importante que he pasado por alto. ¿Qué tal si lo compartes en los comentarios?