Cómo configurar correctamente iThemes Security

Como seguramente ya sabrás, si tengo que elegir un plugin de seguridad el que siempre recomiendo es iThemes Security, anteriormente conocido como Better WP Security (sinceramente, me parecía mejor nombre, no se porqué lo cambiaron), y es que es una completa suite de seguridad, que cubre las necesidades de cualquier web profesional.

Tiene muchas virtudes, y por supuesto está totalmente en español, para mi un básico a la hora de recomendar plugins a clientes. Pero vamos a ver cómo configurarlo correctamente.

Índice de contenidos

La instalación

No me enrollaré mucho, pero sí quiero comentar un par de cosillas de la instalación del plugin.

Por supuesto, se instala como cualquier otro plugin WordPress, está siempre destacado en los plugins populares del instalador de plugins de tu WordPress, pues tiene cerca de un millón de instalaciones activas, y siempre está actualizado.

Nada más instalarlo y activarlo te muestra un par de avisos (los odio, todos). El primero te anima a ir a su escritorio, que no está mal, así no tienes que buscar donde están sus ajustes, y el otro es por si quieres registrar una API gratuita y así estar conectado con otros sitios que lo usan, para aprender de toda la red a la hora de detectar ataques de fuerza bruta y defenderte de ellos.

Así que le haremos caso, obtendremos la API gratuita y, sobre todo, iremos al escritorio. Más adelante lo tendrás en el nuevo menú de herramientas de tu WordPress, llamado Seguridad.

Si hiciste caso al aviso, y la primera vez que accedas a los ajustes del plugin, te ofrecerá un modo rápido de asegurar tu sitio, que activa una serie de herramientas del mismo.

Mi consejo es que lo actives, pues son medidas de seguridad recomendables para cualquier web, aunque luego las veremos más en detalle.

Comprobación de seguridad

Lo que activa es las utilidades:

  • Usuarios baneados
  • Copias de seguridad de bases de datos
  • Activar protección contra fuerza bruta
  • Protección contra fuerza bruta en la red
  • Contraseñas seguras
  • Ajustes de WordPress

Además de lo que te indica, también pone la API de WordPress en modo restringido, ya verás porqué es interesante también este ajuste.

Hecho esto te llevará al escritorio de iThemes Security, con sus herramientas recomendadas, tanto las gratis como las de pago.

Aquí mis 2 primeros consejos:

  1. Activa la vista de lista
  2. Activa la visualización de todas las herramientas

El primero es porque es más rápido configurar todo en ese modo de visualización, y el segundo es porque sino te perderás algunas de las maravillosas herramientas del plugin.

Además, pasas de 16 herramientas gratuitas a tener 21 a tu disposición, algunas importantes.

¿Vemos una a una y las configuramos bien?

Ajustes globales

Esta ventana tiene montones de ajustes importantes. Y como verás, algo que me gusta mucho de este plugin, explica en cada apartado qué hace cada cosa, algo vital para cualquier usuario que no sea experto en seguridad.

Escribir en los archivos

Activando esto iThemes Security podrá aplicar cambios a los archivos de sistema .htaccess y wp-config.php.

Ajuste recomendado: Activo

Mensaje de bloqueo al servidor

Aquí debes anotar cualquier mensaje que quieras que muestre el plugin a cualquier servidor atacante que bloquee. Admite HTML pero no te compliques, con el ajuste por defecto (Error) es suficiente.

Ajuste recomendado: Error

Mensaje de bloqueo del usuario

Aquí es justo lo contrario, mejor ser más explicativo, pero con el ajuste por defecto te valdrá de sobra.

Ajuste recomendado: Avisar al usuario del motivo por el que ha sido bloqueado (normalmente demasiados intentos seguidos fallidos)

Mensaje de bloqueo en la comunidad

Este ajuste se refiere a bloqueos cuando estás conectado con la API, pues el plugin bloqueará también a usuarios y servidores que la red de usuarios ha detectado como peligrosos.

Ajuste recomendado: Menos es más: Error

Lista negra de infractor reincidente

Este ajuste, si está activo, crea una lista negra de atacantes reincidentes.

Ajuste recomendado: Activo

Umbral de lista negra

Cada cuantos intentos de acceso fallidos se añade a un usuario a la lista negra del ajuste anterior

Ajuste recomendado: 3

Período retroactivo Lista negra

Durante cuantos días se considera reincidente a un usuario de los bloqueos.

Ajuste recomendado: 7

Período de bloqueo

Durante cuanto tiempo se debe bloquear a un usuario tras alcanzar el límite de intentos fallidos (umbral de lista negra).

Ajuste recomendado: 15 minutos

Lista blanca de bloqueo

Aquí puedes añadir las IPs seguras, como la tuya.

Ajuste recomendado: Pon tu IP

Tipo de registro

Dónde guardará el plugin el registro de eventos.

Ajuste recomendado: Solo en base de datos

Días para mantener registros de la Base de datos

Autoexplicativo.

Ajuste recomendado: 30 días

Permitir Rastreo de Datos

Si quieres que el plugin comparta información de tu instalación.

Ajuste recomendado: No activo

Anular detección del proxy

Ajuste solo para servidores muy antiguos, sin cache de servidor ni ningún servicio de entrega de contenidos.

Ajuste recomendado: No activo

Ocultar el menú de seguridad en la barra de administración

Autoexplicativo. Por defecto hay un menú de seguridad en la barra de menú de admin, casi siempre innecesario.

Ajuste recomendado: Activo.

Mostrar códigos de error

Activar esto sirve para depurar errores de plugin. Solo recomendable en caso de problemas con el plugin.

Ajuste recomendado: No activo

Centro de avisos

Este es un panel sencillo pero importante, pues es donde defines si recibirás ciertos avisos o no, algo vital de cara a las obligaciones de la RGPD, por ejemplo.

Bloqueos en el sitio

Si quieres recibir avisos de cada usuario bloqueado.

Ajuste recomendado: No activo

Boletín de seguridad

Correos que manda iThemes Security con noticias de seguridad.

Ajuste recomendado: No activo

Copia de seguridad de la base de datos

A qué dirección(es) mandará el módulo de copias de seguridad de iThemes Security las bases de datos.

Ajuste recomendado: Un email dedicado solo para ello

Detección 404

Este módulo, inicialmente inactivo, es muy importante, pues es una vulnerabilidad que tratan de explotar muchos hackers. Actívalo para luego configurarlo. Además, es un módulo que trabaja en conjunción con los ajustes globales de bloqueo de usurios y servidores.

Minutos para recordar el error 404

Durante cuánto tiempo se considera que algo es un ataque de errores 404.

Ajuste recomendado: 5 minutos

Umbral de error

A partir de cuántos intentos se considera un ataque.

Ajuste recomendado: 20

Lista blanca de archivo/carpeta 404

Listado de archivos y carpetas excluidos de la comprobación. Aquí debes poner los que consideres normal que den en ocasiones 404.

Ajuste recomendado: Por defecto + tus archivos/carpetas temporales

Tipos de archivo ignorados

Qué extensiones de archivo no generarán bloqueos por errores 404. Normalmente archivos de imagen y temporales.

Ajuste recomendado: Por defecto + tus archivos temporales

Modo de reposo

Este módulo es una de las joyas ocultas del plugin. Permite definir a qué hora de inicio y fin NADIE tendrá acceso a la administración de WordPress, ni siquiera tú o cualquier otro administrador.

Es un modo brutal de evitar ataques a horas en las que sepas seguro que no vas a administrar.

Tipo de restricción

Si la restricción de acceso será a diario o días concretos.

Ajuste recomendado: Diario

Hora de inicio y finalización

Aquí piénsate bien las horas de inicio y finalización, que no te pille una tarea de mantenimiento o publicación y tengas que hacer virguerías para poder acceder.

Este módulo está inactivo por defecto. Si no lo tienes claro no lo actives, pero si estás seguro es un modo estupendo de ganar paz durante horas.

Ajuste recomendado: Por defecto – De madrugada

Usuarios baneados

¿Alguna vez has querido prohibir el acceso a tu sitio a servidores, IPs, o dominios que te roban o atacan? Con esta herramienta añades reglas al archivo .htaccess fácilmente para bloquearles.

Lista negra por defecto

Activando esto usas la lista, que se actualiza constantemente, Hack Repair, que añade servidores peligrosos a la lista de bloqueos.

Ajuste recomendado: Activo

Listas de baneo / Banear servidores

Aquí añades tus atacantes personalizados, que irás añadiendo en la siguiente caja de servidores a banear, en la que podrás incluir IPs, rangos e incluso comodines.

Ajuste recomendado: Activo

Banear agentes de usuario

Añade aquí tu lista de bots maliciosos. Si no saes por donde empezar aquí tienes una lista enorme.

Ajuste recomendado: Añade tus bots atacantes y sospechosos

Cambiar directorio del contenido

Una de las medidas de seguridad más efectivas para cualquier WordPress es el cambio del directorio donde se guardan tus contenidos (subidas, plugins, temas, etc) de wp-content a cualquier otro. De este modo evitas la mayoría de atacantes, que lanzan sus bots contra la habitual carpeta por defecto.

Ahora bien, es una utilidad peligrosa, pues algunos plugins o temas podrían no funcionar. Úsalo con precaución, y siempre comprobando que funciona todo tras el cambio. Y siempre haz antes una copia de la base de datos.

Ajuste recomendado: Activo solo en instalaciones nuevas.

Cambiar el prefijo de la base de datos

Otro de los consejos básicos de seguridad es nunca usar el prefijo de las tablas por defecto, el wp_, y en este módulo puedes cambiarlo fácilmente.

Siempre haz copia de seguridad de la base de datos antes pero es bastante seguro el cambio.

Ajuste recomendado: Cambiarlo si el actual es wp_

Copias de seguridad de bases de datos

El plugin también permite programar copias de seguridad de la base de datos, así no necesitas otro plugin.

  • Copia de seguridad completa de base de datosActivar: Hace copia de todas las bases de datos, aunque no sean de esta instalación
  • Método de copia de seguridadSolo correo: Crea una cuenta de correo solo para esto. Las copias locales son los padres, no sirven de nada.
  • Copias de seguridad a guardar0: Infinitas, ya borrarás tú.
  • Comprimir archivos de copia de seguridad: Mejor que ocupen menos espacio.
  • Excluir tablas: Excluye tablas innecesarias. Ante la duda no excluyas nada.
  • Programar copias de seguridad de bases de datosActivar.
  • Intervalo de copia de seguridad1 día.

Detección de cambios de archivo

Este módulo, inactivo por defecto, deberías tenerlo siempre activo. Así el plugin te avisará cuando haya cambios en archivos, en ocasiones debido a hackeos, y así podrás estar al tanto, e informar a tus usuarios, de brechas de seguridad.

Así que actívalo, y vamos a configurarlo.

Escaneo de archivos por partes

Interesante para no sobrecargar los recurso de tu servidor.

Ajuste recomendado: Activo

Incluir / Excluir archivos y carpetas

Puedes decidir incluir o excluir archivos y carpetas seguras de la comprobación.

Ajuste recomendado: Excluir los seleccionados

Lista de carpetas y archivos

Aquí tienes un navegador para ir pulsando el icono de prohibido a aquellos archivos y capetas que quieras excluir de la revisión y avisos.

Ajuste recomendado: Excluir archivos y carpetas temporales

Ignorar tipos de archivos

Aquí haz lista de extensiones de archivos a no incluir en la revisión y avisos.

Ajuste recomendado: Excluir extensiones de archivos de imagen y temporales

Mostrar aviso de cambio de archivos en la administración

Si, además del aviso por correo, o si no lo tienes activo, quires que al entrar en el admin de tu WordPress el plugin te avise de cambios para revisarlos y tomar medidas.

Podrás revisar los cambios en el registro, y ver los detalles del cambio.

Ajuste recomendado: Activo

Permisos de archivo

Esta herramienta solo lee los permisos de escritura de capetas y archivos de tu instalación de WordPress, para que tomes mediadas en caso necesario en el módulo de Ajustes del sistema que veremos más adelante.

Así que pulsa el botón para comprobar el estado actual.

Y si se necesita algún cambio, lo haremos después.

La herramienta nos dirá los valores sugeridos frente a los existentes.

Ocultar escritorio

Vital, imprescindible, obligatorio. Ocultas el acceso mediante wp-login o wp-admin cambiando la dirección por defecto para acceder a WordPress por una a tu elección.

Ocultar escritorio

Ajuste recomendado: Activo

Slug de Inicio de Sesión

Aquí cambias wp-admin y wp-login.php por tu dirección personalizada.

Ajuste recomendado: Lo que sea menos wp-login o wp-admin

Activar la redirección

Manda al usuario que trate de acceder a una dirección por defecto en vez de mostrar un error 403.

Ajuste recomendado: Activo

Slug de redirección

Ajuste recomendado: Un slug real

Acción de acceso personalizada

Ajuste recomendado: Solo si un plugin requiere una acción personalizada.

Activar protección contra fuerza bruta

Estos ajustes se suman e interactúan con los definidos en los Ajustes globales contra bloqueos. Aquí nos defenderemos contra uno de los ataques más comunes, el de las máquinas de adivinar usuarios y claves por fuerza bruta contra la pantalla de acceso.

Máximo número de intentos de conexión por host

¿Cuántas veces un servidor puede hacer intentos fallidos de acceso antes de bloquearlo?

Ajuste recomendado: 5

Máximo número de intentos de conexión por usuario

¿Y un usuario normal?

Ajuste recomendado: 10 (que los hay torpes)

Minutos a recordar un intento de inicio de sesión fallido

Importante. ¿Durante cuánto tiempo seguido fueron los intentos?

Ajuste recomendado: 5 minutos

Automáticamente bloquear al usuario «admin»

El usuario de nombre «admin» será el primero que intenten usar los crackers, así que una medida buena es bloquearlos automáticamente. Eso sí, antes mira que no tengas tú ese usuario. Y si lo tienes crea uno nuevo y borra ese usuario.

Ajuste recomendado: Activo (tras comprobar que no eres tú)

Protección contra fuerza bruta en la red

En ocasiones los ataques de fuerza bruta serán globales, y la red de iThemes puede bloquear atacantes globales. Pon tu correo para que se te asigne una API.

Lo que no es obligatorio es apuntarte a su lista de correo.

Ajuste recomendado: Activo

SSL

Este módulo, inactivo por defecto, permite evitar problemas de contenido mixto, forzando la redirección de todas tus URLs a su versión HTPS.

Si no tienes ya otro sistema o plugin (SG Optimizer por ejemplo) que lo  haga actívalo.

Redirigir todas las peticiones de páginas HTTP a HTTPS

Ajuste recomendado: Activo

También puedes activar el ajuste avanzado y decidir si lo activas solo en admin, solo en portada, en todas partes o decides en qué contenidos, con lo que en el editor aparecerá un selector para decidir en cada publicación para que decidas si irá en HTTP o HTTPS.

Refuerzo de la seguridad de la contraseña

Por defecto, WordPress permite usar contraseñas no seguras. Con este módulo desactivas esa posibilidad.

Ajuste recomendado: Administrador

Ajustes del sistema

Este módulo está inactivo por defecto y ya tardas en activarlo pues hay ajustes importantísimos para asegurar WordPress que debes activar sí o sí.

Aquí te hago resumen de lo que debes activar o no y el motivo:

  • Proteger los archivos del sistemaActivo: Protege los archivos de sistema mediante reglas de .htaccess.
  • Desactivar la navegación de directoriosActivo: Es una regla básica de seguridad que actualmente casi todos los hosting tienen pero por si acaso actívalo.
  • Filtrar métodos de petición – Activo: Si no usas la REST API, evitas métodos de rastreo y seguimiento que la API deja abiertos por defecto. Luego controlaremos la API REST.
  • Filtrar cadenas de petición sospechosas en la URL – Activo: Los hackers suelen usar este tipo de cadenas con URLs con variables. Si ves que algún plugin deja de funcionar desactiva este ajuste, algunos también usan este método.
  • Filtrar los caracteres no inglesesInactivo: Solo se debe activar en sitios en inglés.
  • Filtrar cadenas de URL largasActivo: Técnica muy habitual de los hackers.
  • Eliminar permisos de escritura de archivos – Activo: Quita los permisos de escritura los archivos de sistema que antes, en Permisos de archivos, vimos que tenían valores inseguros.
  • Desactivar PHP en uploads / plugins / temasActivo : Añade un archivo .htaccess a las carpetas de plugins, temas y uploads para que no se pueda ejecutar PHP desde ellas. Los plugins y temas siguen funcionando (pregunta habitual)

Salts de WordPress

Esta herramienta permite cambiar al instante los SALTs del archivo wp-config.php de WordPress, con el resultado de que se fuerza la desconexión de todos los usuarios conectados (tú incluido).

Útil cuando sospechas que ha habido accesos no deseados y necesitas echar a todos par aplicar alguna restricción temporal (como el Modo de reposo).

Si lo necesitas marca la casilla para cambiarlas y guarda los cambios.

Ajustes de WordPress

Ajustes de seguridad muy importantes. Como son muchos los listamos y te indico el ajuste recomendado:

  • Cabecera Windows Live WriterQuitar: Cabecera obsoleta. Es una posible brecha de seguridad y ralentiza la carga de WordPress.
  • Cabecera EditURIQuitar: Cabecera que usa la vulnerabilidad XML-RPC.
  • Comentarios spamQuitar: Bloquea comentarios automáticos de los bots.
  • Editor de archivosDesactivar: Desactiva el editor interno de WordPress de plugins y temas, además del editor de archivos de Yoast SEO y otros plugins. No desactiva el CSS Adicional del Personalizador. Es común que los hackers primero accedan y luego traten de escalar permisos para usar estos editores para inyectar código.
  • XML-RPCDesactivar : Si no usas la aplicación móvil de WordPress, JetPack o los pingbacks (recomendado) harás bien en desactivar esta vieja vulnerabilidad de WordPress.
  • Múltiples intentos de autenticación por petición XML-RPCDesactivar: Aunque tengas activo XML-RPC desactiva esto siempre.
  • REST APIAcceso restringido: Aunque alguna aplicación use la REST API restringe el acceso para que se requiera un usuario conectado.
  • Mensajes de error de inicio de sesiónDesactivar: No des pistas.
  • Forzar alias únicoForzar: Evita usar el nombre de usuario como alias y así no dar pistas a los hackers.
  • Desactivar archivos de usuario adicionalesDesactivar: Si un autor no tiene artículos publicados no genera su archivos de autor para no dar pistas a los hackers.
  • Protección contra el tabnappingActivo: Se evita esta vulnerabilidad añadiendo noopener noreferrer a los enlaces _blank.
  • Acceso con dirección de correo electrónico o nombre de usuarioSolo dirección de correo electrónico: Aunque WordPress permite acceder con el usuario o el correo es más seguro permitirlo solo con el correo electrónico, siempre tiene caracteres especiales y son más largos.que el nombre.

Reglas de configuración del servidor

Aquí se mostrará el contenido del archivo .htaccess, solo para consulta.

Reglas wp-config.php

Aquí se mostrará el contenido del archivo wp-config.php, solo para consulta.

Módulos de pago

Además de los módulos anteriores, gratuitos, también puedes acceder a módulos de pago desde 56$ al año, estos son los más interesantes:

  • Programación de escaneo de malware: (Interesante).
  • Caducidad de la contraseña: Muy interesante en entornos multiusuario.
  • Exportación e importación: Para compartir configuraciones en varios sitios. Una pena que no sea gratuito este módulo.
  • Identificación en dos factores: Mola, pero solo para sitios de un solo usuario y si no tienes la ocultación de escritorio, mucho mejor.

¿Es este el mejor plugin de seguridad par WordPress?

Aunque hay gustos para todo, yo siempre recomiendo iThemes Security por …

  • Está totalmente en español
  • Explica todo muy bien, con mucho texto para saber qué haces y por qué
  • Cuando algo es peligroso lo avisa muy bien
  • Tiene todo lo imprescindible
  • Lo hace todo bien
  • Es fácil de configurar (ahora más con esta guía)
VALORA Y COMPARTE ESTE ARTÍCULO PARA MEJORAR LA CALIDAD DEL BLOG…
(35 votos, promedio: 4.9)

¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!

45 comentarios en “Cómo configurar correctamente iThemes Security”

  1. Fantástico repaso a las opciones de este plugin. Lo tenía casi como muestra el artículo, salvo un par de cosillas. Esto complementa muy bien con una política de copias de seguridad de la BBDD y de la web.

  2. Ana Pérez Bárcenas

    Tan interesante como todas las aportaciones que haces. ¡Gracias Fernando!. Tengo una duda: ¿es compatible con otro plugins de seguridad…como Wordfence o Sucuri?. Gracias

  3. Enrique Gómez C

    Hola Fernando: En Ajustes globales del plugin vi que tenia seleccionado en “Cómo deberían guardarse los registros de eventos” en la base de datos tal y como recomiendas. Desde hace unos dias se crea un log de 90 Mb diarios que llego a saturar la BBDD de WP y a tener problemas de acceso al panel de control. ¿A que crees que se puede deber esta cantidad ingente de datos? Administro varios WP con este plugin y no me pasa esto. Es desde hace un tiempo a esta parte. Muchas gracias por tua yuda. No sabes como tu blog me ha ayudado !!!

  4. Enrique Gómez C

    Hola investigando veo que son errores 404 . Se producen a direcciones de mi dominio antiguas, es decir cuando la web estaba hecha en spip y no en wp. ¿Como puedo evitar que se generen esos accesos a direcciones que no existen? En una hora mas de 2000 intentos. He hecho una captura de la imagen del error aqui https://imgur.com/jFXPv8F

    Perdon Fernando, soy el mismo de abajo lo que ocurre es que me he logeado como wordpress org

      1. Enrique Gómez C

        Hola Fernando, muchas gracias. Me dijo mi proveedor que lo modificara en .httacces He bloqueado estas IP´s en el propio plugin (servidores y usuarios) que modifica el httacces y parece que ya ha parado el abuso. Hoy a estas horas no llega a 1 mb. Muchas gracias por tu ayuda

  5. Fernando, use este plugin por algunos 3 o 4 meses, y al principio ¡parecia maravilloso! Hasta que un día me empezo a dar conflicto con el w3 cache y luego con el wp super cache. Si usas adsense yo no lo recomiendo, al parecer la minificación genera conflictos al igual que la opción rocket en Cloudflare. Hoy usamos rocket como plugin cache y sucuri.net y la performance es buena.

    1. ¿Qué tipo de conflictos? Lo tengo instalado con casi todos los plugins de cache que existen y es la primera noticia que tengo. ¿Y la minimización en qué afecta? Primera noticia

      1. Por ejemplo: Me recusaba usuarios reales en vez de bad bots. Si usas la mayoría de opciones en websites con mucho tráfico el web va muy lento. Tal vez funcione en website pequeños con poca carga en el servidor.

        Te animo a desinstalarlo 1 semana y comparar el tráfico con la anterior, y verás lo que te digo. Tal vez sea algo muy particular con el website que lo tenía instalado, no lo se, pero si te diré que las ganancias en google adsense bajaban de 4 a 10% de lo normal con la compresion del JS y el HTML. activado con el w3 cache (no puedo explicarte por eso sucede).

        Yo usaba la versión Pro, y si bien la mayoría de opciones funcionan otras generaban problemas. Otro ejemplo: A veces no me dejaba entrar al panel de control, por más que colocará mi IP al whitelist y demás, tenía que renombrar mi carpeta de plugins para entrar.

        Cuando activaba el modulo contra fuerza bruta, recibía en un día cientos de e-mails, es lógico que podía desactivar la opción de e-mails, pero yo deseaba saber de donde venian los ataques. Muchos eran falsos positivos.

        Como te digo son mis estadísticas comprobadas con algunos webs. Ya hubiera querido yo que ve vaya como tu dices, por que las opciones de seguridad ¡son fantásticas! pero conmigo la experiencia no fue nada buena.

        El plugin no evita que hagan escraping de tu contenido (en realidad eso es casi imposible) por que esos bots cambian de rangos de IP automáticamente. Sucuri es superior, tanto que iThemes Security usa la base datos de Sucuri por media una de API que hace un scanner simple de tu website. Además el Firewall de Sucuri es un verdadero Firewall.

        Bueno Fernando, espero haberte dado algo de información.

        ¡Muchas gracias por tu respuesta! Un grande abrazo.

        1. Lo revisaré, pero no me ha pasado nada de eso. Igual es por tus configuraciones y conjunciones de plugins.

          Muchas gracias por la amplia información «forense» jeje

  6. Que opinais del plugin All in one security firewall creo que incluso es mas completo que este.
    Que experiencia teneis con el?
    Gracias.

  7. Hola… En primer lugar gracias por el tutorial… Tras configurarlo siguiendo los pasos, no me permite loguearme… Se que es el plugin, pues puedo loguearme si lo desactivo… Tras introducir las claves de acceso vuelve a cargar la página de login, sin mostrar ningún mensaje… y tras 3 intentos me bloquea durante 15 minutos, tal como está establecido… ¿Alguna idea de la causa? ¿Algún consejo? ¿Quizá desinstar y volver a comenzar?

    Gracias de nuevo… Abrazo…

  8. Enhorabuena Fernando por esta Fantástica Guía de este plugin imprescindible para WordPress!
    Como duda, quería preguntarte si es normal que al tener la «advertencia de cambio en archivos» activada, te lleguen cada 2×3 emails avisando cambios en css, js, plugins, etc..
    Es que es un poco tedioso recibir tanto email…
    Muchas gracias!
    Saludos!!

  9. Sobre la opción de los permisos de archivos, si «blindamos» el htacess, el plugin Wprocket nos da el aviso de que necesita permisos de escritura… No desaparece el mensaje si no dejamos el htacess con permisos 644.

      1. Pues vaya!
        Bueno de todas formas como voy a reemplazar todas las instalaciones donde tengo WP Rocket al nuevo Litespeed Caché que dicen que va mejor, pues no tendré este problema se supone, en los hostings donde lo soporta claro.
        Muchas gracias por todo Fernando ;D

    1. para mi gusto se ha quedado atrás, no bloquea xml-rpc ni da la opción, consume muchos recursos y llena la base de datos de roña, además de que no está preparado para traducción ni lo pretende

      1. Muchas gracias Fernando! La verdad es que lo veía bastante bien y actualizado pero he estado un tiempo despegado de WP y me he perdido cosas. Lo bueno es que si quiero cambiar no hay problema porque creo que limpia bien la BBDD al quitarlo

  10. Genial Fernando! Ya lo he cambiado por wordfence. La verdad es que wordfence quizás tiene una interfaz más molona con gráficos y más configuraciones de firewall pero he visto que este tiene muchas más opciones como ocultar la administración que es muy interesante. Mil gracias!

  11. Jesús Agustín

    Hola Fernando:
    En Ajustes de WordPress/Acceso recomiendas «Solo dirección de correo electrónico»y, efectivamente es más seguro configurarlo así. Sin embargo, en WooCommerce, el campo de acceso en ‘Mi cuenta‘ permite elegir «Nombre de usuario o correo electrónico». Esto confunde a los clientes que intentan entrar con su usuario y no pueden, ya que iTemes está configurado solo para correo electrónico. ¿Cómo le cambias el texto a ese campo para quitar «Nombre de usuario»? Gracias.

  12. David Dominguez

    Hola Fernando. El caso que la página amigable 404.php me ha desaparecido desde que active el plugins. Ahora manda todas las solicitudes no encontradas a la página de inicio, perdiendo mucho diseño css de la misma. ¿Cómo puedo recuperar la redirección correcta a la página amigable 404? Gracias de antemano. Saludos.

  13. El plugin es maravilloso y el tutorial ideal para conocer todos sus parámetros. Lo malo es que en algunos apartados (como en ajustes del sistema) me sale un mensaje de error que dice que no se puede escribir en htaccess por problemas de permisos. En el hosting me dicen que los permisos estan dados y que en todo caso es un problema de la aplicación. ¿alguna idea de como solucionar esto?

  14. Hola, muchas gracias por el tutorial de configuracion!
    Soy bastante nueva en el tema de seguridad y en el punto de «Banear agentes de usuario» ofreces una lista…¿recomiendas añadir todos esos robots a la lista? Y en ese caso, es copiar y pegar el nombre del robot malicioso de la lista? Quizás sea una duda absurda pero prefiero asegurarme.
    Gracias!!

  15. Gracias Fernando.
    Desde que lo instalé y configuré tengo problemas con el pago de woocommerce, se realiza correctamente, Redsys lo cobra pero mi panel sigue diciendo «pendiente de pago» y termina por pasar a «cancelado».
    Me indican que da un error 403 y eso me hace pensar que sea alguna de las configuraciones de iThemes. ¿Se te ocurre cual puede ser?.
    Mil gracias
    Saludos

  16. Hola,
    necesito vuestra ayuda.
    Al ir a hacer unos cambios en la web, me he dado cuenta de que me ha desaparecido la opción apariencia>editor, que lo uso para Google Analitics. Lo último que he instalado es iThemes Security, no se si tendra que ver, aunque he leido algo parecido por ahi.
    Probablemente sea cosa de poco, pero es mi primera web y cualquier cosa se me hace un mundo.
    Teneis idea de que opcion o modulo del iThemes Security es la que me esta anulado la edicion?
    Gracias de antemano.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Ir arriba Ir al contenido