Better WP Security: el plugin que vigila tu WordPress mientras duermes

Hoy tengo el placer de contar en mi blog con Javier Gobea.

Nos viene a hablar de un tema muy muy relevante (y más últimamente) como es la seguridad en WordPress y los ataques masivos. Concretamente, nos explicará a fondo por qué debemos contar con el plugin Better WP Security.

(Este es un post invitado de Javier Gobea, de www.hormigasenlanube.com)

 

¿Te preocupa la seguridad de WordPress? ¿Es algo que te quita el sueño?

Si la respuesta a las dos preguntas es negativa, te diré algo: Te equivocas en ambas.

  1. Debes preocuparte por la seguridad de tu blog. Se producen constantes intentos de login, y de vez en cuando hay ataques masivos a WordPress.
  2. No es algo que deba quitarte el sueño. Duerme tranquilo, instala Better WP Security.

Better WP Security

icon-bullhorn La seguridad es lo primero en lo que pensar al montar tu sitio WordPress.

La seguridad en WordPress es un tema serio y que debes tratar desde el principio. No pienses que un blog recién abierto y con unas pocas visitas cada día no recibe ataques.

Los objetivos que persiguen estos ataques suelen ser fundamentalmente tres:

  • Crear redes de botnet para ataques mayores a webs más importantes, usando la potencia combinada de todos los sitios bajo su control.
  • Redes para envío de SPAM desde tu servidor.
  • Instalación de malware en tu servidor que infectara a tus visitantes.

Los tipos de ataques que se realizan entre otros son:

  • Inyecciones de código malicioso, aprovechando vulnerabilidades del código de WordPress o sus plugins.
  • Ataques de fuerza bruta para acceder como administrador.

La forma de defenderse de estos ataques es realmente muy sencilla, y ese es el objetivo de este post, que aprendas a defenderte desde el primer momento.

icon-shield Como proteger WordPress de ataques

Como te iba contando, es bien sencillo. Te enumero algunas buenas practicas para mejorar la seguridad de WordPress.

  • Descarga e instala WordPress desde su web oficial, o desde el panel de tu hosting si este es de confianza (debería serlo). Mantenlo siempre actualizado.
  • Instala los plugins desde el repositorio oficial, desde la propia administración de tu WordPress, o descargarlo de sitios de confianza si son de pago. Nuevamente ocúpate de mantenerlos siempre actualizados, y usa el mínimo imprescindible. El mayor agujero de seguridad son los plugins.
  • Usa temas premium o desde el repositorio de WordPress. Desconfía de las descargas gratuitas de temas. Los temas basados en Génesis o Gavern son ideales para la seguridad.
  • Usa un plugin para mejorar la seguridad de WordPress. Mi sugerencia es que uses Better WP Security.
  • Usa un hosting de calidad que de por si aplique medidas de seguridad. Lee esta entrevista a Gerard Martínez y descubre como Webempresa te ayuda a proteger tu WordPress.

icon-gears Better WP Security. Conjunto de herramientas para asegurar tu tranquilidad.

Es un plugin todo en uno dedicado a proteger la instalación de WordPress aplicando para ello varias técnicas.

Ocultándote

  • Remover el meta generador de etiquetas.
  • Cambiar las direcciones o urls del escritorio de WordPress dashboard incluidas por defecto en login, admin, y más.
  • Desactiva la posibilidad de mantenerte loggeado por un determinado período de tiempo (away mode)
  • Remueve las notificaciones de actualización, temas, plugins en los usuarios que no tienen permisos.
  • Remueve información del header en Windows Live Write.
  • Remueve información del header en RSD.
  • Renombra la cuenta “admin”.
  • Cambia en ID en el usuario con ID 1.
  • Cambia los prefijos en las bases de datos de WordPress.
  • Cambia la ruta al contenido de WP alojado en wp-content.
  • Remueve mensajes de error de login.
  • Muestra un mensaje aleatorio del número de versión a los usuarios que no son administrativos.

Protegiéndote

  • Analiza tu sitio para decirte al instante que vulnerabilidades ahi y arreglarlas en segundos.
  • Bloquea bots y agentes problemáticos y otros hosts.
  • Prevenir ataques de fuerza bruta baneando hosts y usuarios con demasiados intentos de inicio de sesión no válidos.
  • Fortalecer la seguridad del servidor.
  • Obligar al uso de contraseñas seguras para todas las cuentas configurando un rol mínimo.
  • En servidores que lo soporten obliga al uso de SSL para las páginas de administración o páginas y posts.
  • Deshabilita la edición de archivos desde dentro del área de administración de WordPress.
  • Detectar y bloquear numerosos ataques a su sistema de archivos y base de datos.

Y esto entre otros beneficios. Además es realmente sencillo de usar.

icon-thumbs-o-up Un paseo por Better WP Security.

Tras instalarlo de la manera habitual, desde plugin/añadir nuevo, y activarlo, os aparecerá en la barra derecha un nuevo menú llamado Seguridad.

Si entramos, el primer aviso será que realicemos una copia de seguridad de la base de datos. ¡No te lo saltes!.

En el segundo paso, nos preguntará si queremos una protección básica. Ideal para principiantes y con esto ya nos podemos relajar.

Tendrás casi todo en verde y lo que no tengas tampoco te debe preocupar tanto. De verdad, si no quieres complicarte con esto no necesitas nada más.

Ten en cuenta que una mayor protección puede interferir en el buen funcionamiento de plugins o tu tema, o molestar a los usuarios de tu web.

Si aun así te gusta llegar más al fondo de todo, elije la forma manual.

Te cuento un poco algunas opciones interesantes. Lo mejor: este plugin está en español, por lo que leyendo sabrás que hace cada opción que activas.

icon-dashboard Lo primero el escritorio.

En el escritorio veras una serie de mensajes sobre el estado del sistema:

  • Lo que esta en verde esta perfecto.
  • En azul te indica lo que esta bastante protegido, suele ser el caso de opciones que dejamos sin activar para no interferir con plugins o temas. No debes preocuparte.
  • En naranja deberías revisarlo, solo proteges una pequeña parte.
  • En rojo, revisando a la de Ya!. No has protegido ese aspecto de tu WordPress.

Lo mejor es que si tienes algo que corregir te pone un enlace que te lleva a la sección correspondiente, para que lo corrijas.

De por si te digo: ¡no tiene porque estar todo verde! Pero si que no debería haber ningún rojo, a no ser que descubramos que interfiere con el normal funcionamiento de nuestro WordPress.

En la diferentes secciones, además hay opciones que están resaltadas en amarillo. Esas tienes que estar muy seguro para activarlas, porque son las que suelen interferir con alguna otra parte de tu instalación.

icon-arrow-circle-right Un repaso a las demás pestañas

  • En la pestaña Usuario, aplica el cambio de usuario admin y la ID del usuario administrador.
    En mi Web esta semana recibo todos los días varios intentos de login con el usuario «admin». Debes usar un nombre personalizado, y ocultarlo con tu propio nombre.
  • En Away podrás configurar un modo ausente.
    Imagina que te vas de vacaciones. Nadie tiene porque entrar a tu WordPress. Lo activas y no se podrá acceder en ese tiempo (aviso, ¡ni siquiera tu!). O por ejemplo durante la madrugada. ¡Usar con cautela!
  • Pestaña Ban. Útil para bloquear por IPs o Bots.
  • En la pestaña Dir, podéis renombrar el directorio wp-content, que es el que por defecto contiene los ficheros de nuestra instalación. Esta opción no usarla en sitios ya con contenidos, solo para sitios recién instalados.
  • En Backup podéis configurar copias de seguridad, pero os aconsejo mejor realizar las copias de seguridad en WodPress con BackWPup que las hace a servicios en la nube.
  • Prefix: Sustituye el prefijo de las tablas de WordPress. Útil para evitar ataques por inyección de SQLi. Hacer una copia de seguridad por si las moscas y ejecutarlo.
  • En Hide puedes ocultar las URLs de administración, login o registro, modificando la ruta para acceder y que no sea la de por defecto. ¡Bastante útil!
  • La pestaña 404 sirve para bloquear visitantes que vistan muchas páginas inexistentes, y eso suele ser porque te están escaneando. Aquí se puede configurar el umbral.
  • Con Login, podéis entre otras cosas habilitar limites de acceso y te evita los ataques por fuerza bruta.
  • Si disponéis de certificado SSL en vuestro servidor, con esta pestaña podéis forzar su uso.
  • Tweaks es la pestaña más completa. Encontraras multitud de opciones. Cuidado con las que están marcadas en amarillo. Pruebalas con cautela. Puedes ir activando de una en una e ir probando la mayoría de funcionalidades y plugins de tu sitio.
    Si todo esta Ok dejala activa, si ves algo raro, mejor desactivarla lógicamente.
  • La última pestaña es Logs. Aquí encontrarás información de ataques, vulnerabilidades encontradas, etc… Interesante repasarla de vez en cuando.

Better WP Security contra otras suites de seguridad.

Personalmente solo me atrevo a enfrentar Better WP Security contra Wordfence.

Para mi es la única suite de seguridad a la altura de Better WP Security.

  • Pros de Wordfence: Su configuración por niveles, que de una manera sencilla fortalece más tu WordPress sin tener que tocar manualmente.
  • Pros de Better WP Security: Está en español, entiendes lo que tocas, y no ralentiza tanto el servidor. La diferencia es apenas medio segundo en mis mediciones, pero lo suficiente..

Conclusión final, ¿y ahora que haces?

Es verdad, tú lo único que querías es dormir tranquilo mientras tu WordPress esta bien protegido. Pues sigue estos 4 pasos:

  1. Usa una buena empresa de hosting que se encargue de protegerte también. Que tu dinero esté bien empleado.
  2. Sigue los consejos de seguridad que has leído en este post.
  3. Instala el plugin Better WP Security. Es el usado por este Blog, y de total confianza.
  4. Suscríbete y no te pierdas nuevos consejos sobre seguridad y como mejorar tu WordPress. ¡Omar sabe lo que se hace!

Sigue estos pasos y relájate. Y no olvides que la mejor manera de estar protegido es estar informado.

¡Y ahora comparte este post! No dejes que otros se pierdan como proteger sus instalaciones de WordPress.

Foto_Javier_Gobea

Javier Gobea:
Guía para ayudarte a diseñar tu página Web en modo DIY, Hazlo tu mismo. Te ayuda en Hormigas en la Nube, blog donde despliega técnicas para crear tu web con WordPress, así como trucos de diseño gráfico o web. Si quieres tener tu negocio en la nube, ¡no dejes de conocerme! Twitter | Google+

sombra

Herramientas y cursos
para emprendedores online

Si aún no has visto en qué consiste mi formación en Titanes Warpress...

TIENES QUE VERLO

Formación para todos los niveles, echa un vistazo...

Logotipo_sin_fondo_amarillo_OK

Actualmente contamos con 18 cursos actualizados en los que podrás aprender, entre otras cosas, a todo esto:

  • Crear tu web desde cero, desde el hosting hasta el diseño.
  • Utilizar plantillas Premium de WordPress como Astra o GeneratePress (incluidas dentro de la plataforma)
  • Maquetar tus contenidos con Elementor, el mejor editor visual del mercado (incluido dentro de la plataforma)
  • Gestionar tu email marketing con proveedores tan conocidos como MailChimp o Active Campaign.
  • Vender con webinars automatizados, manejar Photoshop, grabar y editar vídeos con Camtasia Studio... y mucho más.

¿Te interesa algo de todo esto?

No te vayas sin dejar tu comentario...

15 comentarios en “Better WP Security: el plugin que vigila tu WordPress mientras duermes”

  1. Hola omar excelente publicacion yo hace mas de dos meses que uso este plugin y es maravillosos.
    Solo tengo una pregunta si habilito modo ausente durante un tiempo porque estoy de vacaciones, pero a mediados necesito modificar algo de mis publicaciones puedo de alguna manera desabilitar el modo ausente entrando en los archivos por medio ftp?
    Y que archivo tendria que modificar.
    Gracias desde ya por tu respuesta.

    1. Omar de la Fuente

      Hola Jose,

      no controlo tanto el plugin como para poder responderte a esa pregunta, lo siento.

      Un saludo.

  2. Gracias Javier Gorbea y Omar.
    Acabo de hacerlo, y todo correcto. Muy tranquilo estaba yo.
    Muchas gracias por todo y un saludo.

  3. Alvaro Faiña

    Genial!! Una información super útil, lo acabo de instalar en mi blog, en dos clics lo tienes todo listo! 🙂

  4. ¡Hola Omar!

    Yo uso el WP Better desde hace un montón y estoy muy contenta porque nada más instalarlo en su día hubo un ataque masivo a instalaciones WordPress (que salió hasta en las noticias) y yo no tuve ningún problema incluso cuando intentaron muchísimas veces entrar.

    Me gusta mucho la opción de poder desactivar el acceso a la administración del blog durante el tiempo que quieras (a determinadas horas de la noche o en vacaciones, por ejemplo).

    La cosa es que me ha llamado la atención la coincidencia de tu publicación con un aviso de mi hosting avisando de que se había detectado en el WP Better una vulnerabilidad (que todavía no han solucionado mediante actualización) y me aconsejaban desinstalarlo de momento y usar alguna otra opción de seguridad hasta que hubiera actualización de WP Better.

    A ver si lo actualizan pronto, porque no quiero cambiar.

    1. El fallo al que te refieres es este: http://packetstormsecurity.com/files/125219/WordPress-Better-WP-Security-3.6.3-XSS-Disclosure.html. ¡Yo también me entere hoy mismo!.
      Seguro que lo arreglan pronto. Yo no aconsejo tan fácil ir cambiando de plugin de seguridad a oto, ya que cada cual toca en base de datos y ficheros para asegurarlos, y unos cambios pueden ser incompatibles con otros.
      La otra alternativa segura como comento en el post es Wordfence. Si dominas algo de ingles puedes usarlo, y no chocara mucho con Better WP.
      Si quieres usar Wordfence aqi tienes una miniguia: http://hormigasenlanube.com/wordfence-security/

    2. Omar de la Fuente

      Gracias Teresa por pasarte y a Javier también por ampliarnos información sobre el tema de ese fallo.

      Yo tampoco recomendaría cambiar mucho ese tipo de plugins, bueno en general para todo soy de los de que si algo funciona… mejor no tocarlo mucho jejeje 😉

      Un abrazo.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Responsable » Omar de la Fuente Prieto (servidor)
Finalidad » gestionar los comentarios.
Legitimación » tu consentimiento.
Destinatarios » los datos que me facilitas estarán ubicados en los servidores de Webempresa (proveedor de hosting de Haciaelautoempleo) dentro de la UE. Ver política de privacidad de Webempresa. (https://www.webempresa.com/aviso-legal.html).
Derechos » podrás ejercer tus derechos, entre otros, a acceder, rectificar, limitar y suprimir tus datos.

Ir arriba
megafono.png
especial 7º aniversario
Días
Horas
Minutos
Segundos