Cómo configurar correctamente iThemes Security

Índice de contenidos

Como seguramente ya sabrás, si tengo que elegir un plugin de seguridad el que siempre recomiendo es iThemes Security, anteriormente conocido como Better WP Security (sinceramente, me parecía mejor nombre, no se porqué lo cambiaron), y es que es una completa suite de seguridad, que cubre las necesidades de cualquier web profesional.

Tiene muchas virtudes, y por supuesto está totalmente en español, para mi un básico a la hora de recomendar plugins a clientes. Pero vamos a ver cómo configurarlo correctamente.

La instalación

No me enrollaré mucho, pero sí quiero comentar un par de cosillas de la instalación del plugin.

Por supuesto, se instala como cualquier otro plugin WordPress, está siempre destacado en los plugins populares del instalador de plugins de tu WordPress, pues tiene cerca de un millón de instalaciones activas, y siempre está actualizado.

Nada más instalarlo y activarlo te muestra un par de avisos (los odio, todos). El primero te anima a ir a su escritorio, que no está mal, así no tienes que buscar donde están sus ajustes, y el otro es por si quieres registrar una API gratuita y así estar conectado con otros sitios que lo usan, para aprender de toda la red a la hora de detectar ataques de fuerza bruta y defenderte de ellos.

Así que le haremos caso, obtendremos la API gratuita y, sobre todo, iremos al escritorio. Más adelante lo tendrás en el nuevo menú de herramientas de tu WordPress, llamado Seguridad.

Si hiciste caso al aviso, y la primera vez que accedas a los ajustes del plugin, te ofrecerá un modo rápido de asegurar tu sitio, que activa una serie de herramientas del mismo.

Mi consejo es que lo actives, pues son medidas de seguridad recomendables para cualquier web, aunque luego las veremos más en detalle.

Comprobación de seguridad

Lo que activa es las utilidades:

  • Usuarios baneados
  • Copias de seguridad de bases de datos
  • Activar protección contra fuerza bruta
  • Protección contra fuerza bruta en la red
  • Contraseñas seguras
  • Ajustes de WordPress

Además de lo que te indica, también pone la API de WordPress en modo restringido, ya verás porqué es interesante también este ajuste.

Hecho esto te llevará al escritorio de iThemes Security, con sus herramientas recomendadas, tanto las gratis como las de pago.

Aquí mis 2 primeros consejos:

  1. Activa la vista de lista
  2. Activa la visualización de todas las herramientas

El primero es porque es más rápido configurar todo en ese modo de visualización, y el segundo es porque sino te perderás algunas de las maravillosas herramientas del plugin.

Además, pasas de 16 herramientas gratuitas a tener 21 a tu disposición, algunas importantes.

¿Vemos una a una y las configuramos bien?

Ajustes globales

Esta ventana tiene montones de ajustes importantes. Y como verás, algo que me gusta mucho de este plugin, explica en cada apartado qué hace cada cosa, algo vital para cualquier usuario que no sea experto en seguridad.

Escribir en los archivos

Activando esto iThemes Security podrá aplicar cambios a los archivos de sistema .htaccess y wp-config.php.

Ajuste recomendado: Activo

Mensaje de bloqueo al servidor

Aquí debes anotar cualquier mensaje que quieras que muestre el plugin a cualquier servidor atacante que bloquee. Admite HTML pero no te compliques, con el ajuste por defecto (Error) es suficiente.

Ajuste recomendado: Error

Mensaje de bloqueo del usuario

Aquí es justo lo contrario, mejor ser más explicativo, pero con el ajuste por defecto te valdrá de sobra.

Ajuste recomendado: Avisar al usuario del motivo por el que ha sido bloqueado (normalmente demasiados intentos seguidos fallidos)

Mensaje de bloqueo en la comunidad

Este ajuste se refiere a bloqueos cuando estás conectado con la API, pues el plugin bloqueará también a usuarios y servidores que la red de usuarios ha detectado como peligrosos.

Ajuste recomendado: Menos es más: Error

Lista negra de infractor reincidente

Este ajuste, si está activo, crea una lista negra de atacantes reincidentes.

Ajuste recomendado: Activo

Umbral de lista negra

Cada cuantos intentos de acceso fallidos se añade a un usuario a la lista negra del ajuste anterior

Ajuste recomendado: 3

Período retroactivo Lista negra

Durante cuantos días se considera reincidente a un usuario de los bloqueos.

Ajuste recomendado: 7

Período de bloqueo

Durante cuanto tiempo se debe bloquear a un usuario tras alcanzar el límite de intentos fallidos (umbral de lista negra).

Ajuste recomendado: 15 minutos

Lista blanca de bloqueo

Aquí puedes añadir las IPs seguras, como la tuya.

Ajuste recomendado: Pon tu IP

Tipo de registro

Dónde guardará el plugin el registro de eventos.

Ajuste recomendado: Solo en base de datos

Días para mantener registros de la Base de datos

Autoexplicativo.

Ajuste recomendado: 30 días

Permitir Rastreo de Datos

Si quieres que el plugin comparta información de tu instalación.

Ajuste recomendado: No activo

Anular detección del proxy

Ajuste solo para servidores muy antiguos, sin cache de servidor ni ningún servicio de entrega de contenidos.

Ajuste recomendado: No activo

Ocultar el menú de seguridad en la barra de administración

Autoexplicativo. Por defecto hay un menú de seguridad en la barra de menú de admin, casi siempre innecesario.

Ajuste recomendado: Activo.

Mostrar códigos de error

Activar esto sirve para depurar errores de plugin. Solo recomendable en caso de problemas con el plugin.

Ajuste recomendado: No activo

Centro de avisos

Este es un panel sencillo pero importante, pues es donde defines si recibirás ciertos avisos o no, algo vital de cara a las obligaciones de la RGPD, por ejemplo.

Bloqueos en el sitio

Si quieres recibir avisos de cada usuario bloqueado.

Ajuste recomendado: No activo

Boletín de seguridad

Correos que manda iThemes Security con noticias de seguridad.

Ajuste recomendado: No activo

Copia de seguridad de la base de datos

A qué dirección(es) mandará el módulo de copias de seguridad de iThemes Security las bases de datos.

Ajuste recomendado: Un email dedicado solo para ello

Detección 404

Este módulo, inicialmente inactivo, es muy importante, pues es una vulnerabilidad que tratan de explotar muchos hackers. Actívalo para luego configurarlo. Además, es un módulo que trabaja en conjunción con los ajustes globales de bloqueo de usurios y servidores.

Minutos para recordar el error 404

Durante cuánto tiempo se considera que algo es un ataque de errores 404.

Ajuste recomendado: 5 minutos

Umbral de error

A partir de cuántos intentos se considera un ataque.

Ajuste recomendado: 20

Lista blanca de archivo/carpeta 404

Listado de archivos y carpetas excluidos de la comprobación. Aquí debes poner los que consideres normal que den en ocasiones 404.

Ajuste recomendado: Por defecto + tus archivos/carpetas temporales

Tipos de archivo ignorados

Qué extensiones de archivo no generarán bloqueos por errores 404. Normalmente archivos de imagen y temporales.

Ajuste recomendado: Por defecto + tus archivos temporales

Modo de reposo

Este módulo es una de las joyas ocultas del plugin. Permite definir a qué hora de inicio y fin NADIE tendrá acceso a la administración de WordPress, ni siquiera tú o cualquier otro administrador.

Es un modo brutal de evitar ataques a horas en las que sepas seguro que no vas a administrar.

Tipo de restricción

Si la restricción de acceso será a diario o días concretos.

Ajuste recomendado: Diario

Hora de inicio y finalización

Aquí piénsate bien las horas de inicio y finalización, que no te pille una tarea de mantenimiento o publicación y tengas que hacer virguerías para poder acceder.

Este módulo está inactivo por defecto. Si no lo tienes claro no lo actives, pero si estás seguro es un modo estupendo de ganar paz durante horas.

Ajuste recomendado: Por defecto – De madrugada

Usuarios baneados

¿Alguna vez has querido prohibir el acceso a tu sitio a servidores, IPs, o dominios que te roban o atacan? Con esta herramienta añades reglas al archivo .htaccess fácilmente para bloquearles.

Lista negra por defecto

Activando esto usas la lista, que se actualiza constantemente, Hack Repair, que añade servidores peligrosos a la lista de bloqueos.

Ajuste recomendado: Activo

Listas de baneo / Banear servidores

Aquí añades tus atacantes personalizados, que irás añadiendo en la siguiente caja de servidores a banear, en la que podrás incluir IPs, rangos e incluso comodines.

Ajuste recomendado: Activo

Banear agentes de usuario

Añade aquí tu lista de bots maliciosos. Si no saes por donde empezar aquí tienes una lista enorme.

Ajuste recomendado: Añade tus bots atacantes y sospechosos

Cambiar directorio del contenido

Una de las medidas de seguridad más efectivas para cualquier WordPress es el cambio del directorio donde se guardan tus contenidos (subidas, plugins, temas, etc) de wp-content a cualquier otro. De este modo evitas la mayoría de atacantes, que lanzan sus bots contra la habitual carpeta por defecto.

Ahora bien, es una utilidad peligrosa, pues algunos plugins o temas podrían no funcionar. Úsalo con precaución, y siempre comprobando que funciona todo tras el cambio. Y siempre haz antes una copia de la base de datos.

Ajuste recomendado: Activo solo en instalaciones nuevas.

Cambiar el prefijo de la base de datos

Otro de los consejos básicos de seguridad es nunca usar el prefijo de las tablas por defecto, el wp_, y en este módulo puedes cambiarlo fácilmente.

Siempre haz copia de seguridad de la base de datos antes pero es bastante seguro el cambio.

Ajuste recomendado: Cambiarlo si el actual es wp_

Copias de seguridad de bases de datos

El plugin también permite programar copias de seguridad de la base de datos, así no necesitas otro plugin.

  • Copia de seguridad completa de base de datosActivar: Hace copia de todas las bases de datos, aunque no sean de esta instalación
  • Método de copia de seguridadSolo correo: Crea una cuenta de correo solo para esto. Las copias locales son los padres, no sirven de nada.
  • Copias de seguridad a guardar0: Infinitas, ya borrarás tú.
  • Comprimir archivos de copia de seguridad: Mejor que ocupen menos espacio.
  • Excluir tablas: Excluye tablas innecesarias. Ante la duda no excluyas nada.
  • Programar copias de seguridad de bases de datosActivar.
  • Intervalo de copia de seguridad1 día.

Detección de cambios de archivo

Este módulo, inactivo por defecto, deberías tenerlo siempre activo. Así el plugin te avisará cuando haya cambios en archivos, en ocasiones debido a hackeos, y así podrás estar al tanto, e informar a tus usuarios, de brechas de seguridad.

Así que actívalo, y vamos a configurarlo.

Escaneo de archivos por partes

Interesante para no sobrecargar los recurso de tu servidor.

Ajuste recomendado: Activo

Incluir / Excluir archivos y carpetas

Puedes decidir incluir o excluir archivos y carpetas seguras de la comprobación.

Ajuste recomendado: Excluir los seleccionados

Lista de carpetas y archivos

Aquí tienes un navegador para ir pulsando el icono de prohibido a aquellos archivos y capetas que quieras excluir de la revisión y avisos.

Ajuste recomendado: Excluir archivos y carpetas temporales

Ignorar tipos de archivos

Aquí haz lista de extensiones de archivos a no incluir en la revisión y avisos.

Ajuste recomendado: Excluir extensiones de archivos de imagen y temporales

Mostrar aviso de cambio de archivos en la administración

Si, además del aviso por correo, o si no lo tienes activo, quires que al entrar en el admin de tu WordPress el plugin te avise de cambios para revisarlos y tomar medidas.

Podrás revisar los cambios en el registro, y ver los detalles del cambio.

Ajuste recomendado: Activo

Permisos de archivo

Esta herramienta solo lee los permisos de escritura de capetas y archivos de tu instalación de WordPress, para que tomes mediadas en caso necesario en el módulo de Ajustes del sistema que veremos más adelante.

Así que pulsa el botón para comprobar el estado actual.

Y si se necesita algún cambio, lo haremos después.

La herramienta nos dirá los valores sugeridos frente a los existentes.

Ocultar escritorio

Vital, imprescindible, obligatorio. Ocultas el acceso mediante wp-login o wp-admin cambiando la dirección por defecto para acceder a WordPress por una a tu elección.

Ocultar escritorio

Ajuste recomendado: Activo

Slug de Inicio de Sesión

Aquí cambias wp-admin y wp-login.php por tu dirección personalizada.

Ajuste recomendado: Lo que sea menos wp-login o wp-admin

Activar la redirección

Manda al usuario que trate de acceder a una dirección por defecto en vez de mostrar un error 403.

Ajuste recomendado: Activo

Slug de redirección

Ajuste recomendado: Un slug real

Acción de acceso personalizada

Ajuste recomendado: Solo si un plugin requiere una acción personalizada.

Activar protección contra fuerza bruta

Estos ajustes se suman e interactúan con los definidos en los Ajustes globales contra bloqueos. Aquí nos defenderemos contra uno de los ataques más comunes, el de las máquinas de adivinar usuarios y claves por fuerza bruta contra la pantalla de acceso.

Máximo número de intentos de conexión por host

¿Cuántas veces un servidor puede hacer intentos fallidos de acceso antes de bloquearlo?

Ajuste recomendado: 5

Máximo número de intentos de conexión por usuario

¿Y un usuario normal?

Ajuste recomendado: 10 (que los hay torpes)

Minutos a recordar un intento de inicio de sesión fallido

Importante. ¿Durante cuanto tiempo seguido fueron los intentos?

Ajuste recomendado: 5 minutos

Automáticamente bloquear al usuario “admin”

El usuario de nombre “admin” será el primero que intenten usar los crackers, así que una medida buena es bloquearlos automáticamente. Eso sí, antes mira que no tengas tú ese usuario. Y si lo tienes crea uno nuevo y borra ese usuario.

Ajuste recomendado: Activo (tras comprobar que no eres tú)

Protección contra fuerza bruta en la red

En ocasiones los ataques de fuerza bruta serán globales, y la red de iThemes puede bloquear atacantes globales. Pon tu correo para que se te asigne una API.

Lo que no es obligatorio es apuntarte a su lista de correo.

Ajuste recomendado: Activo

SSL

Este módulo, inactivo por defecto, permite evitar problemas de contenido mixto, forzando la redirección de todas tus URLs a su versión HTPS.

Si no tienes ya otro sistema o plugin (SG Optimizer por ejemplo) que lo  haga actívalo.

Redirigir todas las peticiones de páginas HTTP a HTTPS

Ajuste recomendado: Activo

También puedes activar el ajuste avanzado y decidir si lo activas solo en admin, solo en portada, en todas partes o decides en qué contenidos, con lo que en el editor aparecerá un selector para decidir en cada publicación para que decidas si irá en HTTP o HTTPS.

Refuerzo de la seguridad de la contraseña

Por defecto, WordPress permite usar contraseñas no seguras. Con este módulo desactivas esa posibilidad.

Ajuste recomendado: Administrador

Ajustes del sistema

Este módulo está inactivo por defecto y ya tardas en activarlo pues hay ajustes importantísimos para asegurar WordPress que debes activar sí o sí.

Aquí te hago resumen de lo que debes activar o no y el motivo:

  • Proteger los archivos del sistemaActivo: Protege los archivos de sistema mediante reglas de .htaccess.
  • Desactivar la navegación de directoriosActivo: Es una regla básica de seguridad que actualmente casi todos los hosting tienen pero por si acaso actívalo.
  • Filtrar métodos de petición – Activo: Si no usas la REST API, evitas métodos de rastreo y seguimiento que la API deja abiertos por defecto. Luego controlaremos la API REST.
  • Filtrar cadenas de petición sospechosas en la URL – Activo: Los hackers suelen usar este tipo de cadenas con URLs con variables. Si ves que algún plugin deja de funcionar desactiva este ajuste, algunos también usan este método.
  • Filtrar los caracteres no inglesesInactivo: Solo se debe activar en sitios en inglés.
  • Filtrar cadenas de URL largasActivo: Técnica muy habitual de los hackers.
  • Eliminar permisos de escritura de archivos – Activo: Quita los permisos de escritura los archivos de sistema que antes, en Permisos de archivos, vimos que tenían valores inseguros.
  • Desactivar PHP en uploads / plugins / temasActivo : Añade un archivo .htaccess a las carpetas de plugins, temas y uploads para que no se pueda ejecutar PHP desde ellas. Los plugins y temas siguen funcionando (pregunta habitual)

Salts de WordPress

Esta herramienta permite cambiar al instante los SALTs del archivo wp-config.php de WordPress, con el resultado de que se fuerza la desconexión de todos los usuarios conectados (tú incluido).

Útil cuando sospechas que ha habido accesos no deseados y necesitas echar a todos par aplicar alguna restricción temporal (como el Modo de reposo).

Si lo necesitas marca la casilla para cambiarlas y guarda los cambios.

Ajustes de WordPress

Ajustes de seguridad muy importantes. Como son muchos los listamos y te indico el ajuste recomendado:

  • Cabecera Windows Live WriterQuitar: Cabecera obsoleta. Es una posible brecha de seguridad y ralentiza la carga de WordPress.
  • Cabecera EditURIQuitar: Cabecera que usa la vulnerabilidad XML-RPC.
  • Comentarios spamQuitar: Bloquea comentarios automáticos de los bots.
  • Editor de archivosDesactivar: Desactiva el editor interno de WordPress de plugins y temas, además del editor de archivos de Yoast SEO y otros plugins. No desactiva el CSS Adicional del Personalizador. Es común que los hackers primero accedan y luego traten de escalar permisos para usar estos editores para inyectar código.
  • XML-RPCDesactivar : Si no usas la aplicación móvil de WordPress, JetPack o los pingbacks (recomendado) harás bien en desactivar esta vieja vulnerabilidad de WordPress.
  • Múltiples intentos de autenticación por petición XML-RPCDesactivar: Aunque tengas activo XML-RPC desactiva esto siempre.
  • REST APIAcceso restringido: Aunque alguna aplicación use la REST API restringe el acceso para que se requiera un usuario conectado.
  • Mensajes de error de inicio de sesiónDesactivar: No des pistas.
  • Forzar alias únicoForzar: Evita usar el nombre de usuario como alias y así no dar pistas a los hackers.
  • Desactivar archivos de usuario adicionalesDesactivar: Si un autor no tiene artículos publicados no genera su archivos de autor para no dar pistas a los hackers.
  • Protección contra el tabnappingActivo: Se evita esta vulnerabilidad añadiendo noopener noreferrer a los enlaces _blank.
  • Acceso con dirección de correo electrónico o nombre de usuarioSolo dirección de correo electrónico: Aunque WordPress permite acceder con el usuario o el correo es más seguro permitirlo solo con el correo electrónico, siempre tiene caracteres especiales y son más largos.que el nombre.

Reglas de configuración del servidor

Aquí se mostrará el contenido del archivo .htaccess, solo para consulta.

Reglas wp-config.php

Aquí se mostrará el contenido del archivo wp-config.php, solo para consulta.

Módulos de pago

Además de los módulos anteriores, gratuitos, también puedes acceder a módulos de pago desde 80$ al año, estos son los más interesantes:

  • Programación de escaneo de malware: (Interesante).
  • Caducidad de la contraseña: Muy interesante en entornos multiusuario.
  • Exportación e importación: Para compartir configuraciones en varios sitios. Una pena que no sea gratuito este módulo.
  • Identificación en dos factores: Mola, pero solo para sitios de un solo usuario y si no tienes la ocultación de escritorio, mucho mejor.

¿Es este el mejor plugin de seguridad par WordPress?

Aunque hay gustos para todo, yo siempre recomiendo iThemes Security por …

  • Está totalmente en español
  • Explica todo muy bien, con mucho texto para saber qué haces y por qué
  • Cuando algo es peligroso lo avisa muy bien
  • Tiene todo lo imprescindible
  • Lo hace todo bien
  • Es fácil de configurar (ahora más con esta guía)

Valora este artículo para mejorar la calidad del blog ...

Al hacer una valoración se recoge una cookie con la IP de tu dispositivo

FlojitoNo está malEstá bienMe ha servidoFantástico (11 votos, promedio: 4,64 de 5)
Cargando…

Autor: Fernando Tellado

Fernando Tellado, apasionado de WordPress, profesor, consultor y ponente. Maquero cansino, padre de tres hijos y de una perrita Beagle, Bilbaíno de nacimiento, Español de corazón y ciudadano de donde me quieran. Autor del libro WordPress - La tela de la araña. Mi blog personal es Navegando con red, donde he crecido como escritor en la red y ofrezco mis visiones acerca de la Web 2.0 y la blogosfera.

Comparte esta entrada en
468 ad

Al dejar un comentario se solicitan datos como tu correo y nombre que se almacenan en una cookie para que no tengas que volver a completarlos en próximas visitas. Para enviar un comentario debes aceptar nuestra política de privacidad | Responsable de los datos: Fernando Tellado García | Finalidad: Gestión y moderación de comentarios | Legitimación: Tu consentimiento expreso | Destinatario: Disqus (acogido a EU-US Privacy Shield) | Derechos: Tienes derecho al derecho al acceso, rectificación, supresión, limitación, portabilidad y olvido de sus datos

Centro de preferencias de privacidad

Cookies imprescindibles

Se usan para almacenar tu nombre, correo, IP y demás datos que dejas en los formularios de comentarios, contacto, acceso y tus preferencias de privacidad.

AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY, NONCE_KEY, comment_author, comment_author_email, comment_author_url, rated, gdpr, gawdp

Cookies de terceros

Usamos cookies de terceros en las que se almacenan externamente para conocer tus usos de navegación, si ya estás suscrito al boletín y los elementos compartidos en redes sociales

cfduit_, intercom-id, intercom-lou, mailerlite:language, mailerlite:webform, _ga, _gid
cfduit_, intercom-id, intercom-lou, mailerlite:language, mailerlite:webform
_ga, _gid

¿Quieres cerrar tu cuenta?

Se cerrará tu cuenta y todos los datos se borrarán de manera permanente y no se podrán recuperar ¿Estás seguro?

Pin It on Pinterest