El ojo crítico

Blog de fotografía personal

3 plugins de seguridad para WordPress imprescindibles.

seguridad-wordpress-300x285En todas mis instalaciones de WordPress no han de faltar 3 plugins que yo considero de vital importancia para mantener una seguridad mínima en nuestra aplicación. Os hablo de BruteProtect, BulletProof Security y Wordfence Security.

Wordfence Security

Wordfence Security está disponible en el WordPress Plugin Directory de forma gratuita (aunque dispone de una versión mucho más completa de pago).

Se trata de un plugin de seguridad de clase empresarial gratuito que incluye un servidor de seguridad, escaner anti-virus, sistema de autenticación de dos pasos mediante token (móvil), análisis de enlaces maliciosos y tráfico en tiempo real incluyendo rastreadores.

Wordfence es actualmente el único plugin de seguridad para WordPress que puede verificar y reparar el núcleo del CMS, el theme y los archivos del plugin, incluso si no se dispone de copias de seguridad.

Este plugin ofrece también una clave API Premium que da acceso desde dispositivos móviles a través de SMS, permite bloquear países y programar los análisis para momentos específicos, siendo también compatible con multisitios.

Características de Wordfence Security:

  • Permite el bloqueo en tiempo real de atacantes conocidos. Si otro sitio que usa Wordfence es atacado y bloquea al atacante, tu sitio quedará protegido automáticamente.
  • Puedes acceder utilizando tu contraseña y tu teléfono móvil para mejorar notablemente la seguridad de inicio de sesión (autenticación en dos pasos).
  • Obligar a los administradores, editores y usuarios de un sitio web WordPress a cumplir con el uso de contraseñas seguras, mejorando con ello la seguridad del inicio de sesión.
  • Puede escanear archivos principales, themes y plugins contra versiones del repositorio WordPress.org para comprobar su integridad. (Verifica la seguridad de la fuente, evitando la instalación de plugins fake).
  • Incluye un cortafuegos para bloquear amenazas de seguridad comunes como Googlebots falsos, exploraciones maliciosos de atacantes y botnets.
  • Permite el bloqueo completo de redes maliciosas. Incluye IP avanzada y WHOIS del dominio (solo para dominios globales .com, .org, .net, etc.) en el reporte de IP maliciosas o redes y bloquea redes enteras utilizando el firewall, informando de las amenazas de seguridad al dueño de la red.
  • Monitoriza el cambio en los archivos de WordPress y opcionalmente repara archivos modificados que son un amenaza a la seguridad.
  • Analiza en busca de firmas de más de 44.000 variantes de malware conocidas.
  • Analiza en busca puertas traseras conocidas que crean agujeros de seguridad que incluyen shells como C99, R57, RootShell, Crystal Shell, Matamu, Cybershell, W4cking, Sniper, Predator, Jackal, Phantasma, GFS, Dive, Dx y muchas más.
  • Continuamente analiza el sitio en busca de malware y todas las URLs de phishing en la lista de navegación segura de Google, en todos sus comentarios, mensajes y archivos que pudieran ser amenazas a la seguridad.
  • Realiza análisis heurísticos en busca de puertas traseras, troyanos, códigos sospechosos y otros problemas de seguridad.
  • Comprueba la intensidad de todas las contraseñas de los usuarios y de administradores para mejorar la seguridad del inicio de sesión.
  • Vigila la seguridad de sus DNS para informar de los cambios de DNS no autorizados.
  • Puedes bloquear aquellos bots, crawlers o scrapers que pueden afectar a tus reglas de seguridad.
  • Incluye conexión de seguridad para bloquear hacks por fuerza bruta y detener WordPress para evitar revelar información que ponga en peligro la seguridad.
  • Puedes visualizar todo el tráfico en tiempo real, incluyendo robots, seres humanos, errores 404, accesos y salidas y en que se consume la mayor parte de tu contenido. Mejora tu conocimiento de la situación de las posibles amenazas de seguridad a las que tu sitio está haciendo frente.
  • Muestra una visión en tiempo real de todo el tráfico que incluye bots automatizados que a menudo constituyen amenazas a la seguridad y análisis de paquetes JavaScript que nunca se muestran.
  • El tráfico en tiempo real incluye DNS inversa y geolocalización a nivel de ciudad. Permite conocer la zona geográfica de las amenazas de seguridad.
  • Monitoriza el espacio en disco, valor que está relacionado con la seguridad, ya que muchos ataques DDoS tratan de consumir todo el espacio en disco para generar un denegación de servicio.
  • Es compatible con WordPress Multisitios.
  • También analiza todos los mensajes y comentarios en todos los blogs de un panel de administración (multisitios).
  • Los usuarios Premium también pueden bloquear países y programar los análisis para momentos específicos y con una mayor frecuencia.

En webempresa.com te van a explicar con mucho más detenimiento que yo en esta entrada sobre la insstalación y funcionamiento de este, para mi, estupendo plugin. http://www.webempresa.com/blog/item/1377-como-mejorar-la-seguridad-de-wordpress-con-wordfence-security.html

BulletProof Security

Para la web seguridadwordpress.com BulletProof Security se ha convertido a efectos prácticos en el mejor plugin de seguridad para WordPress. Existen muchos,y muy buenos, pero no tan completos y con funcionalidades tan avanzadas como ofrece la última versión BPS .46.1 que ocupa 760KB y consume 100KB de memoria RAM del server.

Este plugin es un completo firewall para tu CMS con un máster .htaccess capaz de redireccionar a un error 404 cuando un bot o un usuario intentan lanzar un script malicioso y son detectados. Además, cuenta con un panel avanzado de administración para manejar desde el propio dashboard que muestra:

  • Detalles e información general del sistema
  • Información extendida acerca de la versión PHP
  • Información de la base de datos y la estructura del blog
  • Módulos avanzados (sólo en la versión BPS Pro)

La extensa lista de características y propiedades relacionadas con la seguridad de wordpress se detallan a continuación:

  • Bloqueo de inyecciones SQL mediante .htaccess
  • Hacking mediante XSS bloqueado mediante .htaccess
  • Protección del wp-config.php mediante .htaccess
  • Protección de php.ini y php5.ini desde .htaccess
  • Protección de archivos readme.html y wp-admin/install.php
  • No permite indexación ni listado de directorios mediante -indexes
  • Deniega la visualización de errores en la base de datos
  • Deniega la visualización de la versión WP y el metatag generator de éste
  • Comprueba la existencia del usuario admin
  • Chequea todos los permisos de las carpetas
  • Permite realizar copias de seguridad y recuperación online de los ficheros .htaccess
  • Permite dejar wordpress en modo mantenimiento de forma segura

La gente de AITpro ha realizado un buen trabajo con este magnífico plugin, tanto en su versión free como en la versión profesional. Para ello, han escrito extensamente una guía de instalación y ayuda (la última versión es del 9 Abril del 2011) que puedes ver en el siguiente enlace: Guía de instalación y ayuda de BPS.

La versión BPS Pro no verá la luz hasta el próximo 15 de Mayo y su instalación se realizará mediante un key de activación (desde la web de los autores) que tendrá un precio de 25.00$ con soporte técnico gratuito y actualizaciones ilimitadas. Vamos, una licencia de por vida. La versión BPS Free se puede descargar sin problemas, y contiene la mayoría de las funcionalidades comentadas. Puede descargarse desde la página oficial de wordpress.org en este enlace: BulletProof BPS Free Plugin.

BruteProtect

A diferencia de los hacks que se centran en las vunerabilidades del software, los ataques de fuerza bruta se centran en obtener acceso a nuestro sitio mediante el viejo sistema de “prueba y error” de usuarios y contraseñas, de manera continuada. Con los dos consejos anteriores, retrasamos en gran medida que “acierten” con el usuario y contraseña, pero con tiempo y el software de hack adecuado, es posible que acierten y se hagan con el control de nuestro WordPressBruteProtect evita estos ataques, bloqueando los intentos máximos que se puedean realizar desde una IP.

próximo puesto

Atrás puesto

© 2017 El ojo crítico

Tema de Anders Norén