¡Alerta! Protege WordPress con WordFence Security

Esta habiendo un ataque en marcha y tu web puede ser la siguiente en ser atacada.

¿Realidad o Ficción?

Bueno, en realidad tampoco conviene exagerar, pero si, deberías saber que estos días esta teniendo lugar un ataque masivo contra webs hechas con WordPress (nos referimos a Febrero del 2014).

Pero que ya me estés leyendo en fechas posteriores no quiere decir que ya no haya peligro.

No es el único ataque que recibe un CMS tan popular como es WordPress. Y no es el único que los recibe. Otros CMS también tienen lo suyo.

WordPress tiene un núcleo bastante solido, por lo que manteniendolo actualizado estas a salvo de la mayoría de ataques.

El mayor punto débil son los plugins. De ahí que solo los instales desde el repositorio oficial y los mantengas actualizado, y por supuesto usar el mínimo imprescindible.

Y otro punto débil son los temas. Solo usa temas originales desde el repositorio, o premiums de empresas de calidad como StudioPress o Gavick (ambos enlaces de afiliado – ¡Gracias!) y actualiza siempre.

Mantén seguro tu sitio WordPress

Este tema da para hablar largo y tendido, porque consejos y aspectos para tener en cuenta hay muchos, pero básicamente te aconsejo:

  • Haz copias de seguridad regularmente. ¿Que aún no te he explicado como hacerlas? Espera que me lo apunto y mañana te cuento.
  • Usa un plug-in de seguridad como WordFence Security.
  • Contrata un hosting de calidad, que implemente por si mismo medidas de seguridad a nivel de PHP, MySQL y Apache.

Como ya te contare, la parte de las copias de seguridad es sencillo, y es simplemente tener un seguro por si todo va mal, no lo pierdas todo.

Con un hosting de calidad te evitaras muchos tipos de ataques, e incluso revisarán y monitorizaran tu sitio avisándote si hay algo raro. Además también suelen realizar copias de seguridad constantes.

Pero instalar un plug-in de seguridad como WordFence Security te ayudara en muchos aspectos que te detallare más adelante.

¿Pero es el único que funciona bien?

La respuesta es NO.

Tienes otros muchos plug-ins para mejorar la seguridad e incluso suites como a la que hago referencia.

Simplemente yo he elegido este porque me ahorra tener varios plug-ins y funciona bien.

Una alternativa por ejemplo es el plug-in Better WP Security.

Que hace WordFence Security por ti.

Te cuento que inlcuye este plug-in, y porque te vas a ahorrar tantos otros:

  • En primer lugar es gratuito. Pero es realmente completa. Con la versión de pago ($39 al año) consigues análisis remotos y programados, así como soporte premium y alguna cosa más.
  • Trafico en tiempo real de humanos y bots, pudiendo analizar por IPs y más. Bloqueo de GoogleBots falsos. Bloqueo por IPs. Escaneo para cambios de DNS.
  • Limite de intentos de acceso. Ocultación de mensajes de error en página de login. Forzar a contraseñas fuertes. Chequear las contraseñas existentes. Comprobar los mayores consumidores de contenido.
  • Escaneo de archivos malware conocidos, comprobación de integridad de los ficheros de tu instalación. Escaneo los comentarios en busca de URLs sospechosas. Chequeo de los ficheros de temas y plugins. Monitoriza el disco. …
  • Completo Firewall con reglas personalizables. Aunque realmente no hay casi que tocar para configurar, ya que trae reglas predefinidas según los niveles de ataques detectados.

¿Quieres usarlo en tu sitio WordPress?

Pues es realmente fácil.

Dirigete a Plugins/Añadir Nuevo, y busca WordFence Security. El primer resultado que sale, ese con cinco estrellas es el que debes instalar.

Después nos dirigimos a sus opciones para configurarlo.

wordfence-security-01

Veremos una larga vista de opciones. En verdad no hay que tocar tanto:

  • Basic Options: Añade tu email para las alertas en «Where to email alerts«
  • Basic Options: Elige el nivel de seguridad en Security Level. Ahora te explico cada uno. Este es el primer paso a elegir, ya que una vez lo pongas, si activas lo siguiente se cambiara a custom.
  • Basic Options: Dile a WordFence Security de donde coger las IPs. La opción normal es «Use PHP’s built in REMOTE_ADDR…«
  • Scans to include: Marca la opción «Scan theme files…» y «Scan plugin files..» para que compruebe tu tema y plugins.
  • Other Options: Incluye tu IP en la lista Blanca, donde pone «Whitelisted IP…«. Recuerda que si tienes IP dinamica esta ira cambiando y debieras actualizarla. Este paso no es obligatorio, pero si recomendable para evitar que te bloquee a ti mismo.
  • Other Options: Yo tengo marcado «Participe in the Real-Time WordPress Security Network«. Esto lo que hace que si un sitio WordPress es atacado, y WordFence tiene activa esta opción, el resto de sitios que tenga este plugin bloquea a ese atacante.

¡Y listo! Fácil, ¿no?.

Realmente el truco esta en el el nivel de seguridad. Es lo primero a elegir, para que según el nivel se activen unas opciones u otras, y ya luego personalizas con lo que te puse antes.

  1. Level 0: Desactivas toda la protección de WordFence. Solo se usa para probar si WordFence te esta ralentizando la web o momentos puntuales.
  2. Level 1: Pretección ligera, solo para sitios locales o intranets.
  3. Level 2. El nivel normal por defecto que deberías tener.
  4. Level 3. Sabes que un ataque es eminente, y quieres estar defendido.
  5. Level 4. Ataque en curso. Es la opción mas fuerte, peor no conviene que este siempre en este nivel ya que puede afectar a tus usuarios.

Recuerda, una vez elegido el nivel y guardado, personaliza el resto que te he dicho, aunque cambie a custom, ya tienes ese nivel configurado.

Tu primer análisis

Una vez guardadas las opciones, ejecuta tu primer escaneo en WordFence/Scan.

Si tienes un tema premium, o no hiciste una instalación de WordPress desde el repositorio, es fácil que te de falsos positivos.

Esto quiere decir que habrá ficheros que detecte modificados, pero puedes ver cuales son esos cambios.

Si apuntan a URLs sospechosas o ves algo raro puedes consultar por foros o blogs, y si son solo cambios tipo nombre empresa, etc.. de tu tema, puedes ignorar esos avisos.

En todo caso WordFence Security puede reparar esos ficheros por ti.

¿Pero alguna pega debe tener?

La mayor pega puede ser que aumenta el tamaño de las bases de datos lógicamente, pero nada que un plugin como WP-Optimize no pueda arreglar.

En general yo no he detectado problemas de rendimiento en el blog.

Javier, ¿necesito saber algo más?

Poca cosa más. Si quieres estar al día de ataques de seguridad puedes suscribirte a mi newsletter, y además de recibir contenidos como este, te mandare las alertas de ataques que conozca a partir de ahora.

Así que ya sabes, una de las mejores formas de proteger tu WordPress es suscribirte. ¿Te interesa? Déjame aquí abajo tu nombre y correo y te mantendré informado. Prometo no mandarte SPAM (lo odio tanto como tu).

11 comentarios en “¡Alerta! Protege WordPress con WordFence Security”

  1. Como estas Javier, muy bueno el post. Esta muy bueno el plugin que comentás.
    Mi blog fue uno de los tantos atacados, y de momento estoy intentando solucionar los problemas, por lo que estoy offline 🙁 no estava enterado que fue algo masivo lo de los ataques. Sin dudas, cuando mi blog este online nuevamente, este será uno de los plug ins que agregare. Saludos y muchas gracias!

    1. Vaya Adrian. Siento que tu post fuera uno de los afectados. Si necesitas ayuda con algun aspecto ponte en contacto conmigo a ver si te pudo ayudar.
      Ten en cuenta que este plugin (WordFence), te ayuda a detectar los ficheros modificados y los repara. Por si te sirve.
      Un saludo y que estés pronto online!

  2. Excelente post Javier.

    Sin duda la seguridad es un aspecto que debemos tener muy presente en nuestros sitios web, aunque normalmente se le comienza a prestar atención cuando somos víctimas de un ataque.

    Yo utilizo el Better WP Security desde hace bastante tiempo y hasta la fecha ha funcionado muy bien.

    Un abrazo.

    1. Desde luego José Antonio. Es cierto que el tema de copias de seguridad o protegernos siempre lo dejamos para lo último, y es de lo primero que debería estar en nuestro Blog.
      El plugin que comentas lo pongo como la otra opción porque es de los más completos para mi junto a Wordfence, así que desde luego es un buen consejo el tuyo.
      Un abrazo.

  3. Hola Javier,

    gracias por la información sobre cómo configurar este plugin. Me ha servido muchísimo.

    Después de dos ataques a mi web, instalé Better WP Security y se acabaron los problemas. Como parte del proceso en la configuración de este plugin, cambié la página wp-login.php por otra y todo iba a las mil maravillas. Sin embargo, hace unos días, la nueva url no respondía y la pantalla se quedaba en blanco.

    Analizando las tablas de opciones de WordPress, había una entrada que apuntaba a no recuerdo muy bien qué del plugin. Cambié el valor de «activate» a «deactivate» y de nuevo tuve mi wp-login.php funcionando.

    Ahora mismo tengo exclusivamente como plugin de seguridad WordFence Security y junto a «SI CAPTCHA Anti-Spam» creo que estoy bien protegido.

    Aprovecho para preguntarte si crees que debo instalar algún otro plugin para proteger wp-login.php, renombrarlo o cualquier otra cosa.

    Por último, te ruego que me «apuntes» en tu lista de correos para que me mantengas informado.

    Gracias y un saludo.

    Sergio
    Las Palmas de Gran Canaria.

    1. Buenos días Sergio!
      Desde luego es importante estar bien protegido! Es raro lo que te paso con Better WP Security, ahora IThemes Security, yo lo use un tiempo y sin problemas, aunque es verdad que prefiero Wordfence, aunque no toque tantas cosas.
      Para ocultar el wp-login sin plugin hay que tocar código. Una opción es usar el Stealth login, o usar latch (https://latch.elevenpaths.com/) para «apagar» el login de wordpress. Pero en todo caso si te fue mal con Better WP, eso es digamos mas avanzado y se puede liar. Como minimo limita los intentos de login desde Wordfence.

      Yo no te puedo dar de alta en la newsletter, tienes que confirmarlo tu mismo, para evitar que recibas SPAM. Puedes darte de alta tu mismo en la URL https://hormigasenlanube.com/curso-protege-tu-blog/, y así recibes gratis el ebook con un checklist para repasar la seguridad de tu web y un mini-curso.
      Un abrazo.

  4. Hola Javier.

    Excelente post como todos los que estoy leyendo desde que he descubierto tu blog.

    Yo utilizo hasta la fecha el plugin «Acunetix Secure WordPress», ¿lo conoces?. ¿Mejoraría la seguridad combinándolo con «Wordfence»? O son incompatibles y hay que optar por uno u otro. Y en ese caso, ¿cuál es mejor?

  5. Hola Carlos. Pus aunque no uso nisuelo instalar Acunetix, me parece un plugin del estilo de iThemes Security. Yo no lo usaria con Wordfence, pues puede ser incompatible en algunos aspectos, y te ralentizaria mucho el blog.
    Por lo que he visto es un buen plugin de seguridad, aunque no sea de los más famosos.

    Yo de momento con Wordfence, combinado con Sucuri me parece una combinacion a nivel de plugins poderosa, parte de otras medidas de seguridad que ya no tienen que ver con plugins.

    Pero si te va bien con este, prueba a combinarlo con el plugin de sucuri.

    Un abrazo.

  6. Hola, he leído varios posts tuyos muy buenos por cierto.

    Tengo una duda, no tiene nada que ver con el tema del post pero quisiera saber qué plugin utilizar para «maquillar» la url de los enlaces de afiliado?

    1. jaja, si Sergio, la verdad es que sale un poco fuera del «tiesto», pero te digo que puedes usar plugins como Simple URLS,pretty links, o Go Codes. Con eso creas redirecciones «más bonitas» a tus links de afiliado. Yo uso Simple Urls.

      Un saludo.

Los comentarios están cerrados.

Acceso gratuito
a la Academia de
Hormigas en la Nube

+20 cursos disponibles sobre herramientas, marketing y ventas

Por tiempo limitado estoy regalando el acceso a la librería de recursos de la Academia de Hormigas en la Nube.

Cursos de ActiveCampaign, Elementor, Beaver Builder, WordPress, Copywriting, ventas, email marketing y más te estan esperando dentro. Disponible gratis por tiempo limitado.

Mockup escritorio herramientas
Ir arriba