Lo primero que hay que tener claro al crear y mantener una web es que es imposible hacerla completamente segura. Puedes impedir gran parte de los ataques automatizados, spam, etc., pero si alguien habilidoso y con conocimientos de php y mysql quiere tener acceso a ella, es una simple cuestion de tiempo.
Despues de varias pruebas y alguna metedura de pata, nos decantamos por una solución sencilla pero segura: Wordfence. Un plugin. Ni más ni menos. Funciona maravillosamente y no lleva demasiado tiempo ponerlo a punto.
Para instalarlo, visita su página de plugin para wordpress. El proceso es lo mismo que cualquier otro plugin: instalar y activar. El soporte para WordPress Network (Multisite) es perfecto, y te quitarás muchas preocupaciones de encima.
Las principales ventajas que aporta esta pequeña joya de código son:
- Protección en tiempo real contra intentos de logueo de «fueza bruta». Normalmente intentan ingresar en el administrador de WordPress con ataques automatizados que usan el usuario ‘admin’ o el del autor de los post, y el robot se dedica a probar contraseñas una y otra vez hasta que haya suerte. Así que Wordfence bloquea las ip’s (las direcciones de los ordenadores de los que provienen) que lo intentan. Más adelante explicaré la configuración para que esto funcione eficientemente.
- Escaneo diario de los archivos de tu instalación de WordPress. Puedes incluír también los temas y los plugins. Además los compara con los archivos originales alojados en wordpress.org en busca de cambios que puedan indicar alteraciones no deseadas.
- Aviso de actualizaciónes de plugins. Si intentas mantener segura tu web, una de las tareas obligatorias es la actualización de plugins, temas y del propio WordPress. Wordfence puede ser configurado para que cuando haya actualizaciones seas avisado por email
Configuración
Vete al menú Wordfence – Options. Aquí lo más sencillo es usar los 4 perfiles que vienen incluídos con el plugin, con lo que te ahorras dolores de cabeza.
Las opciones básicas recomiendo activarlas todas, con lo que tienes un firewall preparado, escaneos periódicos de tus archivos, protección en el logueo y registro del tráfico en tiempo real. También deberías poner un correo donde quieras recibir las notificaciones, como intentos de acceso o actualizaciones disponibles. Y por último, elige un perfil de protección para tu web. Yo recomiendo el nivel 2, que se adapta a la mayoría de las necesidades. Además, puedes modificar las opciones individualmente más abajo, para conseguir que se adapte perfectamente a lo que quieres.
Ahora veremos las opciones avanzadas más importantes y una posible configuración.
- Alertas. Yo las tengo todas activadas. Me gusta conocer lo que sucede en la red de blogs en lo referente a seguridad. Puede que el aviso de los accesos de usuarios registrados quieras tenerlo desactivado, pero las demás deberías dejarlas habilitadas.
- Tráfico en vivo. No he tocado nada. Lo que significa que registrará todo el tráfico de la web.
- Incluir en los escaneos. Yo las tengo todas activadas menos la última (archivos fuera de la carpeta de WordPress). Es algo personal, pero deberías tener en cuenta que si tienes muchos archivos la tarea se puede prolongar mucho en el tiempo, y eso significa menos recursos del servidor disponibles. También comprobará url’s que puedan tener malware, etc. En resumen, una maravilla.
- Reglas del Firewall. No tocar. Creo que con las opciones por defecto funciona para todo el mundo, así que no profundizo más en lo que hacen.
- Opciones de seguridad para el acceso. Esto es una parte muy importante de la seguridad. Mi configuración es esta (clic para ampliar):
Resumiendo, fuerzo a los usuarios a escoger contraseñas fuertes. Además, soy MUY ESTRICTO sobre los bloqueos de ip para errores de usuario y/o contraseña. 2 errores en el usuario o contraseña en un día y te bloquea la ip durante 2 meses. La razón para esto es que es raro el día que no se bloqueen varias ip’s en este blog, y como los administradores usamos gestores de contraseñas y no las escribimos, y además tenemos nuestras ip’s en la lista blanca, pues nos lo podemos permitir. Si gestionas una red de blogs, deberías ser un poco más permisivo con estas opciones. Por lo general, intenta ser poco tolerante, y si hay demasiados problemas vete ajustando opciones hasta llegar al punto en que funcione para todos. Ten en cuenta que puedes desbloquear cualquier ip en cualquier momento, así que tampoco en un proceso definitivo. Sobre las tres últimas opciones, recomiendo activar las dos últimas en todos los casos, y la antepenúltima supongo que es algo personal. En mi caso no la uso ya que pueden equivocarse una vez, pero a la segunda ya les bloqueo la ip así que no me aporta nada especial.
- Otras opciones. Lista blanca de ip’s, que nunca serán bloqueadas, es una buena opción para administradores, aunque debes tener siempre la misma ip, así que si sueles apagar tu router esta opción no es para ti. Las cuatro primeras déjalas activadas, son temas como ocultar la versión de WordPress, moderar comentarios y escanearlos por malware, etc. Sobre la memoria para escanear, yo he puesto 60M, esto depende de tu servidor, pero si usas uno compartido no pongas un valor por encima de ese. El resto de opciones no recomiendo cambiarlas.
Hasta aquí la configuración para el plugin. En este punto debería funcionar todo correctamente. Si quieres una explicación más concreta sobre las posibilidades e información que nos ofrece Wordfence, sigue leyendo la segunda parte de esta estrada. Como siempre, si tienes alguna pregunta no dudes en usar los comentarios, que para eso están. Un saludo.
Hola, yo tengo el problema de que alguien intenta acceder a mi wordpress de forma constante, casi todos los dias recibo 2 o 3 intentos de conexion, que puedo hacer??