ithemes security

iThemes Security: Siente la protección del veterano en seguridad

A estas alturas debe preocuparte la seguridad en WordPress. Tu blog no esta nada seguro si no usas algún plugin de seguridad.

Y que no te confunda el nombre, hablamos del veterano Better WP Security, que ha cambiado de nombre.

Y con respecto a la seguridad en WordPress hay dos grandes verdades:

  1. Debes preocuparte por la seguridad de tu blog. Se producen contantes intentos de login, y de vez en cuando hay ataques masivos a WordPress.
  2. No es algo que deba quitarte el sueño. Duerme tranquilo, instala un plugin para mejorar la seguridad de WordPress como Wordfence o iThemes Security.

La seguridad es lo primero en lo que pensar al montar tu sitio WordPress.

La seguridad en WordPress es un tema serio y que debes tratar desde el principio. No pienses que un blog recién abierto y con unas pocas visitas cada día no recibe ataques.

Los objetivos que persiguen estos ataques suelen ser fundamentalmente tres:

  • Crear redes de botnet para ataques mayores a webs más importantes, usando la potencia combinada de todos los sitios bajo su control.
  • Redes para envío de SPAM desde tu servidor.
  • Instalación de malware en tu servidor que infectara a tus visitantes.

Los tipos de ataques que se realizan entre otros son:

  • Inyecciones de código malicioso, aprovechando vulnerabilidades del código de WordPress o sus plugins.
  • Ataques de fuerza bruta para acceder como administrador.

La forma de defenderse de estos ataques es realmente muy sencilla, y ese es el objetivo de este post, que aprendas a defenderte desde el primer momento con un veterano de los plugins de seguridad y con algunos consejos básicos.

Como proteger WordPress de ataques

Como te iba contando, es bien sencillo. Te enumero algunas buenas practicas para mejorar la seguridad de WordPress.

  • Descarga e instala WordPress desde su web oficial, o desde el panel de tu hosting si este es de confianza (debería serlo). Mantenlo siempre actualizado.
  • Instala los plugins desde el repositorio oficial, desde la propia administración de tu WordPress, o descargarlo de sitios de confianza si son de pago. Nuevamente ocúpate de mantenerlos siempre actualizados, y usa el mínimo imprescindible. El mayor agujero de seguridad son los plugins.
  • Usa temas premium o desde el repositorio de WordPress. Desconfía de las descargas gratuitas de temas. Los temas basados en Génesis o Gavern son ideales para la seguridad.
  • Usa un plugin para mejorar la seguridad de WordPress. Mi sugerencia es que uses iThemes Security o Wordfence.
  • Usa un hosting de calidad que de por si aplique medidas de seguridad. Mira esta entrevista a Gerard Martínez y descubre como Webempresa te ayuda a proteger tu WordPress.

icon-gears iThemes Security. Conjunto de herramientas para asegurar tu tranquilidad.

Es un plugin todo en uno dedicado a proteger la instalación de WordPress aplicando para ello varias técnicas.

Ocultandote

  • Remover el meta generador de etiquetas.
  • Cambiar las direcciones o urls del escritorio de  WordPress dashboard incluidas por defecto en login, admin, y más.
  • Desactiva la posibilidad de mantenerte loggeado por un determinado período de tiempo (away mode)
  • Remueve las notificaciones de actualización, temas, plugins en los usuarios que no tienen permisos.
  • Remueve información del header en Windows Live Write.
  • Remueve información del header en RSD
  • Renombra la cuenta “admin”
  • Cambia en ID en el usuario con ID 1
  • Cambia los prefijos en las bases de datos de WordPress.
  • Cambia la ruta al contenido de WP alojado en wp-content
  • Remueve mensajes de error de  login
  • Muestra un mensaje aleatorio del número de versión a los usuarios que no son administrativos.

Protegiendote

  • Analiza tu sitio para decirte al instante que vulnerabilidades ahi y arreglarlas en segundos.
  • Bloquea bots y agentes problemáticos y otros hosts
  • Prevenir ataques de fuerza bruta baneando hosts y usuarios con demasiados intentos de inicio de sesión no válidos.
  • Fortalecer la seguridad del servidor.
  • Obligar al uso de contraseñas seguras para todas las cuentas configurando un rol mínimo.
  • En servidores que lo soporten obliga al uso de SSL para las páginas de administración o páginas y posts.
  • Deshabilita la edición de archivos desde dentro del área de administración de WordPress.
  • Detectar y bloquear numerosos ataques a su sistema de archivos y base de datos.

Y esto entre otros beneficios. Además es realmente sencillo de usar.

Un paseo por iThemes Security.

Tras instalarlo de la manera habitual, desde plugin /añadir nuevo, y activarlo, os aparecerá en la barra derecha un nuevo menú llamado Seguridad.

Si entramos, el primer aviso será que realicemos una copia de seguridad de la base de datos. ¡No te lo saltes!.

En el segundo paso, nos preguntara si queremos una protección básica. Ideal para principiantes y con esto ya nos podemos relajar.

Tendrás casi todo en verde y lo que no tengas tampoco te debe preocupar tanto. De verdad, si no quieres complicarte con esto no necesitas nada más.

Ten en cuenta que una mayor protección puede interferir en el buen funcionamiento de plugins o tu tema, o molestar a los usuarios de tu web.

Si aun así te gusta llegar más al fondo de todo, elije la forma manual.

Te cuento un poco algunas opciones interesantes.

Lo primero el escritorio.

En el escritorio veras una serie de mensajes sobre el estado del sistema.

  • Lo que esta en verde esta perfecto.
  • En azul te indica lo que esta bastante protegido, suele ser el caso de opciones que dejamos sin activar para no interferir con plugins o temas. No debes preocuparte.
  • En naranja deberías revisarlo, solo proteges una pequeña parte.
  • En rojo, revisando a la de Ya!. No has protegido ese aspecto de tu WordPress.

Lo mejor es que si tienes algo que corregir te pone un enlace que te lleva a la sección correspondiente, para que lo corrijas.

Anteriormente el plugin estaba en Español, por lo que era más fácil de configurar. Ahora en la nueva versión a mi por lo menos me sale en Ingles.

De por si te digo: ¡no tiene porque estar todo verde! Pero si que no debería haber ningún rojo, a no ser que descubramos que interfiere con el normal funcionamiento de nuestro WordPress.

En la diferentes secciones, además hay opciones que están resaltadas en amarillo. Esas tienes que estar muy seguro para activarlas, porque son las que suelen interferir con alguna otra parte de tu instalación.

 icon-arrow-circle-right Un repaso a las demás pestañas

  • En la pestaña Usuario, aplica el cambio de usuario admin y la ID del usuario administrador.
    En mi Web esta semana recibo todos los días varios intentos de login con el usuario «admin». Debes usar un nombre personalizado, y ocultarlo con tu propio nombre.
  • En Away podrás configurar un modo ausente.
    Imagina que te vas de vacaciones. Nadie tiene porque entrar a tu WordPress. Lo activas y no se podrá acceder en ese tiempo (aviso, ¡ni siquiera tu!). O por ejemplo durante la madrugada. ¡Usar con cautela!
  • Pestaña Ban. Útil para bloquear por IPs o Bots.
  • En la pestaña Dir, podéis renombrar el directorio wp-content, que es el que por defecto contiene los ficheros de nuestra instalación. Esta opción no usarla en sitios ya con contenidos, solo para sitios recién instalados.
  • En Backup podéis configurar copias de seguridad, pero os aconsejo mejor realizar las copias de seguridad en WodPress con BackWPup que las hace a servicios en la nube.
  • Prefix: Sustituye el prefijo de las tablas de WordPress. Útil para evitar ataques por inyección de SQLi. Hacer una copia de seguridad por si las moscas y ejecutarlo.
  • En Hide puedes ocultar las URLs de administración, login o registro, modificando la ruta para acceder y que no sea la de por defecto. ¡Bastante útil!
  • La pestaña 404 sirve para bloquear visitantes que vistan muchas páginas inexistentes, y eso suele ser porque te están escaneando. Aquí se puede configurar el umbral.
  • Con Login, podéis entre otras cosas habilitar limites de acceso y te evita los ataques por fuerza bruta.
  • Si disponéis de certificado SSL en vuestro servidor, con esta pestaña podéis forzar su uso.
  • Tweaks es la pestaña más completa. Encontraras multitud de opciones. Cuidado con las que están marcadas en amarillo. Pruebalas con cautela. Puedes ir activando de una en una e ir probando la mayoría de funcionalidades y plugins de tu sitio.
    Si todo esta Ok dejala activa, si ves algo raro, mejor desactivarla lógicamente.
  • La última pestaña es Logs. Aquí encontraras información de ataques, vulnerabilidades encontradas, etc… Interesante repasarla de vez en cuando.

iThemes Security contra otras suites de seguridad.

Personalmente solo me atrevo a enfrentar iThemes Security contra Wordfence.

Para mi es la única suite de seguridad a la altura de iThemes Security.

  • Pros de Wordfence: Su configuración por niveles, que de una manera sencilla fortalece más tu WordPress sin tener que tocar manualmente.
  • Pros de iThemes Security: Esta en español, entiendes lo que tocas, y no ralentiza tanto el servidor. La diferencia es apenas medio segundo en mis mediciones, pero lo suficiente.

Conclusión final, ¿y ahora que haces?

Es verdad, tu lo único que querías es relajarte mientras tu WordPress esta bien protegido. Pues sigue estos 4 pasos:

  1. Usa una buena empresa de hosting que se encargue de protegerte también. Que tu dinero este bien empleado.
  2. Sigue los consejos de seguridad que has leído en este post.
  3. Instala el plugin iThemes Security.
  4. Suscribete y no te pierdas nuevos consejos sobre seguridad y como mejorar tu WordPress.

Sigue estos pasos y relájate. Y no olvides que la mejor manera de estar protegido es estar informado.

¡Y ahora comparte este post! No dejes que otros se pierdan como proteger sus instalaciones de WordPress.

Nota: Este post es una actualización del que publique en haciaelautoempleo.com sobre Better WP Security.

EN ESTE ARTÍCULO:

comparte este artículo

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on telegram
Share on email

no dejes de leer...

13 comentarios en “iThemes Security: Siente la protección del veterano en seguridad”

  1. Gracias por tus indicaciones, Javier.
    ¿Has probado la opción de renombrar la carpeta wp-content con la versión WP3.9.1?
    Una vez implementado el sitio se cuelga.
    Lo he probado en varias instalaciones (localhost) con MAMP y con el tema AVADA.
    Agradeceré tus sugerencias.
    Saludos

    1. No lo he llegado a probar, porque en mi blog uso Wordfence, pero es sobre esta opción te comento que no lo haría sobre un sitio ya existente nunca. En todo caso, en un blog o wordpress recién instalado, y que va a empezar desde cero, puede ser una opción, pero en uno con ya cierto rodaje se me ocurren cientos de puntos de fallo, por lo que no la usaría.
      Existen otras opciones para protegerte de un escaneo de plugins, por ejemplo.
      Un saludo!

  2. Hola Javier,
    Me apunté a tu curso gratuito ‘Protege tu Blog’ y he ido siguiendo tus indicaciones que en él se comentan, me ha parecido muy interesante y útil, en especial para los que como yo estamos empezando con el WordPress y no tenemos mucha idea.
    Pero quería comentarte algo que me ha pasado hace unos días:
    Cuando yo cree mi primer usuario al instalar WordPress le cambié el nombre y no se llama ‘Admin’ (lo hice por sentido común, no me imaginaba entonces todos los problemas de seguridad que tiene WordPress), pero claro se quedó con el ID=1 (algo que entonces tampoco sabía que existía).
    Gracias a tu curso ‘Protege tu Blog’ he aprendido que hay que cambiar el ID=1 y para ello he utilizado el pluguin iTHEMES SECURITY que permite hacerlo de una forma fácil.
    Pero claro antes de utilizar y parametrizar iTHEMES SECURITY, por si acaso, me creé otros dos usuarios Administradores (teniendo en conjunto 3 usuarios Administradores en mi WordPress).
    Después cambié el ID=1 de mi primer usuario administador con iTHEMES SECURITY y el cambio fue bien, aparentemente todo funciona bien en mi WordPress (en pruebas).
    Pero ahora con este cambio de ID=1 el campo ‘Información biográfica’ en ‘Acerca de ti’ de mi perfil de usuario NO FUNCIONA, ya no muestra nada en la portada de mi WordPress, es como si no hiciese caso a lo que hay escrito en dicho campo.
    Yo entiendo que esto ha debido ser por el cambio de ID=1 y no porque haya creado otros dos usuarios administradores más.
    Creo haber leído en el Blog ‘ayudawp’ a un usuario que le había pasado algo parecido, pero no he podido encontrarlo para releerlo.
    Por último comentarte que estoy utilizando el Theme ‘eleven40 Pro’ de ‘Genesis Framework’.
    ¿Qué opinas Javier?, ¿por qué crees que no se mostrará ahora la información del campo ‘Información biográfica’?, ¿debo hacer algo?.
    Muchas gracias por tu ayuda.
    Un principiante

    1. Hola Jose.

      Pues muy bien tu precaución, solo que una vez hecho eso, ya no necesitabas cambiar el id del usario 1, simplemente podias haberlo eliminado, y haber usado uno de los otros usuarios admin.

      Sobre lo del perfil, pues es bastante extraño, e imagino que te refieres a http://tendenciadefondo.com/. Lo que veo es que has puesto el widget de genesis para mostrar la info del autor. Prueba a refrescarlo, pues probablemente si entras en el se quedo en blanco. Seleeciona otro autor, y luego de nuevo el que quieres mostrar, ya que aunque aparentemente no funciona por id, le ha podido afectar el cambio. Tras esto debería de funcionar Ok.
      Ya me cuentas!
      Un saludo.

      1. Hola Javier,
        gracias era justo lo que tú decías, el Widget ‘Genesis – Perfil de usuario’ estaba como pillado
        y no mostaraba la información. Hice lo que comentas y ha vuelto a funcionar.
        Gracias
        Jose

  3. Hola 🙂 anoche acabo de instalar el pluguin esta muy bueno, el problema es que hoy de mañana intente acceder a la administracion y la propia seguridad que he aplicado no me lo permite, debo haber hecho algo muy tonto que ahora no se revertir, existe alguna manera de solucionar esto manualmente o debo borrar todo y subir el respaldo que tenia antes de los pluguins? gracias

    1. Hola Ginny. Lo primero prueba a acceder desde el administrador de ficheros de tu hosting, o por FTP, y cambia el nombre del directorio del plugin que esta en /wp-content/plugins/. Esto lo desactivara (ahora mismo no se si se llamara better-wp-security, o ya ithemes-security). Con que añadas un old al final sirve.

      Otra opcion es que hayas bloqueado tu IP, y eso ya hay que desbloquearla a traves de base de datos. Pero pasado un tiempo se desbloquea sola (el que este configurado).

      Espero que esto lo solucione, si no contacta conmigo por el formulario de conatcto.

      Un saludo.

  4. Hola, Javier
    Fue precisamente buscando información sobre este plugin como acabé en tu web (gracias por tu información). Lo instalé hará cosa de ¿un mes? y, como dices, me quedé muy tranquila.

    Pero ayer vi que el plugin se había desinstalado. He intentado instalarlo varias veces y en todas las ocasiones me dice:

    «Descargando el archivo de instalación de https://downloads.wordpress.org/plugin/better-wp-security.4.8.0.zip…

    Descomprimiendo…

    Instalando el plugin…

    La carpeta ya existe.

    Fallo en la instalación del plugin.»

    No sé cómo salir de esta (no conozco nada de programación): si se puede hacer algo en la carpeta que existe o si me instalo el Wordfence directamente. Pero imagino que antes habrá que borrar esta carpeta para que no haya problemas…

    En fin, que si puedes ayudarme, te lo agradecería infinito.
    Un saludo

    1. Hola Pilar.

      Se ha podido desactivar por un fallo en la actualización. Puedes probar a borrar la carpeta del plugin dentro de wp-content/plugins por ftp y volver a instalar. Otra alternativa es borrarla de todas formas, e instalarte Wordfence, otra solución que te va a dejar la mar de tranquila tambien.

      En todo caso, antes borra la carpeta por FTP, porque parece que ha fallado.

      Un abrazo.

      1. Mil gracias, Javier!

        Voy a intentarlo, aunque no sé si sabré localizar la carpeta del plugin, jajaja 😉
        Pero probar es la única manera de aprender ¿no?

        Un abrazo entusiástico!

      2. Todo solucionado, Javier: el iThemes Security ya está de nuevo funcionando.

        Qué pases unas vacaciones reparadoras. Un abrazo.

  5. Hola,

    Tengo varios sitios web con el plugin iThemes Security y en todos tengo el mismo problema. Me pone que hay una nueva versión para actualizar, pero cuando la actualizo me da error y me pone lo siguiente: «Error en la actualización: Actualización de plugin fallida.»

    ¿Qué puedo hacer para actualizar este plugin?

    Saludos

Los comentarios están cerrados.

Acceso gratuito
a la Academia de
Hormigas en la Nube

+20 cursos disponibles sobre herramientas, marketing y ventas

Por tiempo limitado estoy regalando el acceso a la librería de recursos de la Academia de Hormigas en la Nube.

Cursos de ActiveCampaign, Elementor, Beaver Builder, WordPress, Copywriting, ventas, email marketing y más te estan esperando dentro. Disponible gratis por tiempo limitado.

Mockup escritorio herramientas
Ir arriba