La seguridad en WordPress debería ser una de tus principales preocupaciones. Y para tener este tema más que cubierto te presento al que considero el mejor plugin de seguridad para WordPress: iThemes Security.
Tal vez no te suene del todo el nombre de este plugin, pero es que iThemes Security es el conocido anteriormente con el nombre Better WP Security (o WordPress Security).
Obviamente, ahora está mucho más actualizado y con múltiples opciones para mejorar la seguridad de WordPress y evitar el malware con un blindaje a prueba de cualquier tipo de desastre que nos pudiera ocurrir en nuestra web.
Se han dado casos de ataques masivos a WordPress o a páginas concretas, así que no te arriesgues, instala el plugin de seguridad de WordPress Ithemes Security y te aseguro que podrás dormir tranquilo todos los días.
Si estás empezando a crear un blog o llevas poco tiempo, quizás todo este tema de la seguridad de WordPress te resulte un poco abrumador.
Así que no te preocupes, con este artículo pretendo que sepas cómo proteger tu web o blog de aquellas personas que van con malas intenciones de una forma fácil y sencilla.
Te aviso de que es un post bastante largo porque hay mucho que configurar, pero créeme; vale la pena.
Aunque tiene versión pro de pago, la versión gratuita de este plugin entra dentro de mi Top 21 de Plugins Gratuitos y Esenciales para WordPress.
Otro plugin también muy bueno es Wordfence Security pero en este artículo voy a hablarte de forma exclusiva de cómo configurar iThemes Security, que es el que considero mejor plugin de seguridad en WordPress.
Contenidos del Post
Instalar plugin iThemes Security
Como para cualquier otro plugin, instalarlo es bastante sencillo:
Desde Plugins > Añadir nuevo > Teclerar ithemes security en el campo de búsqueda > Instalar y activar el plugin llamado iThemes Security (formerly Better WP Security).
O si lo prefieres, puedes descargar el plugin desde el repositorio oficial de plugins de WordPress y subirlo desde la misma sección de plugins.
Cómo Configurar iThemes Security
Una vez tengamos el plugin instalado, en la barra lateral izquierda de WordPress podemos encontrar el apartado Security, dentro de este haz click en Settings y pasemos a configurar iThemes Security paso a paso.
En esta sección nos encontraremos con 28 áreas diferentes para configurar cualquier aspecto de nuestra seguridad de WordPress. De estas áreas, 22 son recomendables y 6 son avanzadas. 7 de estas secciones son de la versión pro así que esas no las vamos a ver.
Opciones Avanzadas de Seguridad
Primero vamos a ver algunas de las opciones avanzadas que son:
- Admin User – Usuario Administrador
- Hide Backend – Ocultar Escritorio
- Change Content Directory – Cambiar contenido del directorio
- Change Database Table Prefix – Cambiar el prefijo de la tabla de la base de datos
- Server Config Rules – Reglas de configuración del servidor
- wp-config.php Rules – Reglas de wp-config.php
Admin User – Usuario Administrador
El nombre de usuario que utilizas al loguearte en WordPress debería ser distinto de «Admin».
Como la mayoría de los ataques son automatizados, muchos de los ataques pondrán en el nombre de usuario Admin para poder entrar a tu WordPress.
Así que poner un nombre de usuario diferente a Admin, administrador, administrator, etc., es la primera medida de seguridad que deberías tomar.
Si ya tienes un usuario diferente a Admin puedes saltarte este paso o incluso puede que no tengas esta opción visible.
Una vez puesto el nombre de usuario, WordPress no te permite cambiarlo por uno más seguro, pero gracias a este apartado podrás cambiar el nombre de usuario o cambiar la ID de tu nombre de usuario.
¿Qué es esa ID?
Cada vez que un usuario crea un nombre de usuario WordPress le asigna una ID numérica para identificarlo. El primer nombre de usuario siempre viene con la ID 1. Con esta opción puedes cambiar la ID para que no sea 1 y sea más difícil de identificar por extraños.
Solo tienes que marcar la única casilla que hay y guardarlo. Ya tendrás la ID cambiada.
Tras hacerlo te sacará de WordPress y tendrás que volver a loguearte.
Si has marcado la casilla se habrá cambiado la ID y podrás ver que el apartado Admin User ha desaparecido de las opciones del plugin de WordPress iThemes Security.
Esto indica que este apartado de seguridad de WordPress ya está solucionado. Pasemos al siguiente.
Hide Backend – Ocultar Escritorio
Aquí puedes ocultar la página por la que tú accedes a tu WordPress (como normal general sería tu url acabada en /wp-admin).
Si la ocultas haces que sea más difícil que los ataques automáticos detecten la página de login a tu WordPress.
Si habilitas la casilla de Hide Backend podrás cambiar la URL del login (/wp-admin por defecto) a la que tú decidas.
Esta opción solo te la recomiendo si eres usuario avanzado de WordPress.
Si eres nuevo no te la recomiendo por el simple hecho de que todos los cursos, guías y recursos que encuentres sobre WordPress te hablarán de la URL de login por defecto y si la has cambiado puedes hacerte un lío.
Change Content Directory – Cambiar contenido del directorio
Esta área es muy similar a la anterior.
En este caso te cambia el directorio por defecto (/wp-content) por el que tú especifiques.
No te la recomiendo salvo que sepas lo que haces y seas un usuario con experiencia.
Ten cuidado con esta alternativa porque si cambias el directorio wp-content por otro puede dejar de funcionar los temas y los plugins que tengas instalados que, por defecto, se guardan en este directorio.
Change Database Table Prefix – Cambiar el prefijo de la tabla de la base de datos
El prefijo de las tablas de la base de datos de WordPress es wp_.
Te recomiendo configurar ithemes security con esta opción activada. No afecta en nada a la usabilidad o a las carpetas de WordPress y es un plus de seguridad muy importante.
Esta sección te permite cambiar este prefijo por defecto por otro aleatorio que te será indicado cuando hayas seleccionado la opción Sí o Yes y le hayas dado a Guardar Ajustes o Save Settings.
Gracias a esta simple tontería impedirás que puedan encontrar vulnerabilidades y mejorar la seguridad de tu base de datos puesto que estará oculta a todos los ataques automáticos y a la mayoría de los ataques manuales que intenten hacerte.
El mismo plugin te informa que deberías hacer una copia de la base de datos de tu WordPress antes de habilitar esta medida de seguridad. Te recomiendo hacerla por lo que pueda pasar pero te puedo asegurar que jamás me ha dado ningún problema en ninguno de los WordPress donde la he habilitado (que han sido unos cuantos).
Ithemes Security también te permite hacer copias de seguridad pero yo prefiero hacerlas con otro plugin que me las envíe a Dropbox.
En el artículo Top 21 plugins gratis y esenciales para WordPress puedes encontrar un plugin gratuito para hacer copias de seguridad y que te las envíe donde le indiques.
Server Config Rules y wp-config.php Rules – Reglas de configuración del servidor y de wp-config.php
Como puedes ver en la imagen de las opciones avanzadas, estos dos apartados te deberían salir en gris y sin nada que configurar dentro.
Es posible que tras terminar con el resto de configuraciones del post, te aparezca algún tipo de texto en estas áreas.
Déjalos según te vienen.
[thrive_leads id=’1399′]
Opciones Recomendables
Y vamos ahora con la parte más larga.
Sé que puede ser muy tedioso tener tantas opciones y saber cuáles hay que configurar y cómo, pero ten en cuenta que el beneficio que nos aporta cada una de estas opciones vale su peso (en este caso bytes) en oro.
Global Settings – Ajustes Globales
Aquí nos encontramos una configuración básica sobre dónde puede actuar este plugin.
Para que iThemes Security pueda modificar los aspectos de seguridad que le indiquemos en los archivos wp-config.php y htaccess, la primera casilla donde dice «Permitir a iThemes Security modificar los archivos wp-config.php y .htaccess.» debe estar activada.
En email de notificación pon tu correo electrónico. En caso de que se te deba notificar por algo, te lo enviarán a tu correo electrónico.
Recomiendo activar también la casilla Send Digest Email o Enviar correo electrónico programado.
Con esta casilla activada permites que iThemes Security te condense en un solo email por día todas las notificaciones que te enviaría en caso de ataques continuados u otra serie de notificaciones seguidas.
En Backup Delivery Email o Email de Entrega de Respaldo puedes poner tu email para que te envíe las copias de seguridad a él.
Como ya dije antes, este plugin puede hacer backups o copias de seguridad pero yo prefiero tener otro plugin específico para eso, así que aquí no tengo puesto nada.
Si prefieres que iThemes Security se encargue de hacer las copias de seguridad no te olvides de poner ahí tu email.
El resto de opciones van referidas a evitar los intentos de login en tu WordPress sin tu consentimiento y los bloqueos a los usuarios y equipos que lo intentan, así como a enviarte un email cada vez que algún extraño intenta entrar a tu WordPress.
Estas configuraciones están bien como vienen por defecto así que te aconsejo dejarlas como están.
En el apartado Lockout White List o Lista Blanca de Bloqueo puedes poner tu IP para que el plugin no te confunda con usuarios o equipos con malas intenciones y no te bloquee.
404 Detection – Detección 404
Habilita este apartado y ve a Configurar Ajustes o Configure Settings.
404 Detection sirve para detectar y bloquear a los usuarios o herramientas que, de forma sistemática y malintencionada, intenten entrar en URLs que no existen (salta el error 404) para intentar atacarte.
Por defecto está bien configurada.
Away Mode – Modo de Reposo
Como norma general esta área estará desactivada si sueles entrar con frecuencia a WordPress o no tienes unas horas determinadas al día para usarlo.
Sin duda, iThemes Security te ofrece una opción que es muy interesante si siempre dispones de la misma franja horaria para entrar a tu WordPress y quieres tenerlo más seguro el resto del día.
También es un punto extra de seguridad al utilizarla si tienes una empresa y quieres que tu empleado solo pueda acceder al WordPress de la empresa en un horario en concreto.
Away Mode sirve para limitar el acceso a tu WordPress unos días o a unas horas determinadas.
Por ejemplo; si siempre entras a WordPress de 8 a 11 de la mañana todos los días, puedes limitar el acceso a este el resto del día durante todos los días.
Banned Users – Usuarios Baneados
Sirve para mejorar la seguridad de WordPress al banear usuarios o equipos desde este plugin sin tener que configurar nada de tu servidor.
Activa las dos casillas para tener la lista negra actualizada de todos aquellos usuarios o equipos indeseables recogidos por HackRepair.com.
Local Brute Force Protection – Activar Protección contra Fuerza Bruta
Habilita esta medida de seguridad para protegerte contra los ataques por fuerza bruta que intentan acceder a tu WordPress login.
Limita los intentos fallidos que un usuario o una herramienta puede utilizar para acceder a tu WordPress ya sea desde un mismo servidor o por un ataque masivo.
La última casilla es conveniente activarla: se encarga de banear directamente a todo aquel que intenta entrar en tu WordPress usando «Admin» como nombre de usuario.
Como ya vimos antes, Admin es el nombre de usuario que WordPress da por defecto y es el nombre de usuario que más usan los sistemas de hackeos para entrar en WordPress ajenos así que totalmente recomendable tener esta casilla activada.
Database Backups – Copias de Seguridad de Bases de Datos
Personalmente utilizo un plugin diferente para realizar las copias de seguridad en WordPress ya que me gusta tener un plugin más especializado y que los backups me lleguen a mi Dropbox. Así que la tengo desactivada.
Si prefieres utilizar la copia de seguridad que ofrece iThemes Security habilita esta opción y activa las 3 casillas para poder tener tus backups y programarlas para que se hagan cada el periodo de tiempo que indiques.
Ten en cuenta que las copias de seguridad se enviarán al email que hayas indicado en la opción Global Settings > Backup Delivery Email.
File Change Detection – Detección de Cambios de Archivo
Esta área detecta cualquier cambio que se hagan en los archivos internos de tu WordPress.
Te aconsejo tenerla desactivada ya que cualquier modificación como la actualización de plugins o del theme, la instalación de plugins, cualquier cambio en algún tema o al incluir o eliminar algún archivo por FTP, sería detectada por esta medida de seguridad.
File Permissions – Permisos de archivos
Aquí puedes ver los permisos que tienen las diferentes carpetas de tu directorio, su estatus y su valor sugerido.
No considero muy importante esta característica.
Network Brute Force Protection – Protección contra fuerza bruta en la red
Activando este apartado te unes a un red de sitios WordPress que reportan y te protegen contra equipos malos que circulan por internet.
Cualquier usuario con malas intenciones que haya sido pillado en algún sitio WordPress será también bloqueado en el tuyo.
Si quieres activar esta medida de seguridad tendrás que introducir tu correo electrónico para que te pongan directamente la clave de activación.
Muy recomendable, incluso diría que imprescindible.
SSL
Es el certificado del protocolo HTTPS para aumentar la seguridad de tu WordPress.
Todos los datos entre tu sitio, tu servidor y los usuarios irán cifrados por lo que es imposible detectarlos.
Puedes activar esta opción para proteger todo nuestro sitio web o para algunas páginas en concreto.
Antes de activarla asegúrate de que tu servidor de hosting soporte el certificado SSL.
Una medida muy recomendable que he implementado hace poco en este blog. No olvides contactar con tu empresa de hosting para asegurarte de poder implementar esta medida y de seguir esta guía para pasar tu web de http a https.
Además, Google está teniendo esto muy en cuenta a la hora de posicionar una web, así que no lo pases por alto.
Strong Password Enforcement – Refuerzo de la Seguridad de la contraseña
Esta alternativa se utiliza para obligar a todos los usuarios que se registren que utilicen una contraseña muy fuerte (con números, caracteres, mayúsculas y minúsculas) para poder registrarse.
Puede resultar interesante tener esta opción activada si gestionas un foro o un zona privada donde los usuarios tengan que registrarse y quieras que lo hagan con una contraseña muy fuerte.
Para blogs o webs con pocos o un usuario no la recomiendo.
System Tweaks – Ajustes del sistema
Aquí puedes aumentar la seguridad en WordPress cambiando la configuración de ithemes security con este apartado.
Para que no haya problemas de conflictos con este u otros plugins las casillas que recomiendo tener activadas son:
- Filtrar Métodos de Petición o Filter Requests Methods
- Filtrar cadenas de petición sospechosas en el URL o Filter Suspicious Query Strings in the URL
- Filtrar cadenas de URL largas o Filter Long URL Strings
- Desactivar PHP en uploads o Disable PHP in Uploads
Si no utilizas el Framework Genesis también deberías activar la opción Disable Directory Browsing (Genesis y sus temas hijos ya lo incluyen) para que los usuarios no puedan acceder a archivos y directorios que no quieres que vean de tu sitio como por ejemplo el directorio /uploads/.
Aquí puedes ver mi caja de herramientas donde recomiendo el Framework Génesis.
WordPress Tweaks – Ajustes de WordPress
Con esta elección puedes aumentar la seguridad modificando algún comportamiento de WordPress.
En cuanto a las casillas de esta ventana, aconsejo tener activadas todas excepto estas dos:
- Desactivar editor de archivos o Disable File Editor
- Enlista una versión segura de jQuery o Enqueue a safe version of jQuery
Además hay dos secciones que hablan de XML-RPC donde debes elegir entre una de las opciones:
- En la primera tendrás que seleccionar «Enable XML-RPC» si utilizas el plugin Jetpack o la app para móviles de WordPress. Si no los utilizas elige la alternativa «Disable XML-RPC».
- En la segunda sección es muy recomendable elegir «Block». Hasta iThemes Security dice que es altamente recomendable utilizarla.
Quiero hacer incapié en la opción con casilla Deshabilitar mensajes de error de inicio de sesión o Disable login error messages.
La considero muy importante y recomiendo activarla para que, si alguien intenta acceder a tu WordPress y falla, no le salga el mensaje: «Error: la contraseña que has introducido para el usuario X es incorrecta. ¿Has perdido tu contraseña? (Con un link para restablecer la contraseña)».
Si no le sale este mensaje al fallar el intento de login consigues dos cosas:
- Que el usuario o la herramienta no sepa si el nombre de usuario que ha puesto es el correcto.
- No facilitarle un enlace para recuperar la contraseña al haber acertado con el nombre de usuario.
WordPress Salts – Salts de WordPress
Es un mecanismo interno del CMS WordPress (tú no notarás nada) que añade elementos aleatorios a las contraseñas.
Con esto conseguirás que sea muchísimo más difícil romper las capas de seguridad del sitio web o blog WordPress.
Si ya utilizas unas contraseñas muy fuertes (cosa que te aconsejo rotundamente), al implementar esta funcionalidad será casi imposible que un programa pueda dar con cualquier de tus contraseñas.
A ti no te supone ningún inconveniente ni cambia ninguna de tus contraseñas.
Al activar la casilla y guardar los cambios saldrás de WordPress y tendrás que volver a hacer login con la misma contraseña que tenías.
Si vuelves a meterte en esta sección, verás la casilla desactivada y parecerá que no ha pasado nada, pero internamente se han generado unas contraseñas bastante fuertes que puedes ver en tu archivo wp-config.php (desde el cPanel).
Y hasta aquí la guía de seguridad de WordPress y de cómo configurar el plugin iThemes Security.
Si has seguido todo el post habrás visto que la diferencia entre tener instalado este plugin de seguridad en WordPress y no tenerlo es abismal. Por no hablar de que tener una página web segura es importante para posicionar mejor en Google.
Como te prometí, ya puedes dormir tranquilo por las noches sabiendo que todo lo que puedes hacer por la seguridad de WordPress está más que cubierto.
Si te ha gustado esta guía para configurar ithemes security de WordPress paso a paso no te olvides de comentarme qué te ha parecido.
Suscríbete para no perderte ninguna actualización (no te olvides de tu regalo) y comparte en las redes sociales para que nadie se quede con su WordPress desnudo a merced de cualquier malhechor.
¡Nos leemos!
Muy bueno y sencillo. Muchas gracias por la ayuda. Soy nuevo en estos medios. Gracias.
Gracias José Luis, me alegro de que te haya ayudado.
Muchísimas gracias. ¡Qué gran ayuda! Y muy bien explicado.
De nada Elvira, me alegro de que te sea de ayuda!
Hola David
Uso este plugin desde que abrí el blog y me parece estupendo, así que encuentro tu artículo muy oportuno y útil para quienes no lo conozcan. Tiene muchos ajustes y tu guía es estupenda para orientar a quienes somos blogueros pero no tenemos conocimientos técnicos.
Pero tengo una consulta que hacerte. Tengo activada la dtección de cambios de archivos (al contrario de lo que recomiendas en este artículo). No me sirve de mucho, porque, como te digo, no tengo conocimientos técnicos, así que, cada día recibo un aviso de cambios de archivos que para mí no significa nada.
Pero desde hace unos días estoy recibiendo un aviso con otro formato, más llamativo y no sé si realmente estoy teniendo problemas y hay alguien enredando en las tripas del blog, o es simplemente un cambio de formato de iThemes Security en su comunicación.
Copio y pego los encabezados:
File Scan Report for 10 noviembre, 2017
File Change Warning
A file (or files) on your site have been changed. Please review the report below to verify changes are not the result of a compromise.
Scan Summary
Added
20
Removed
17
Modified
405
Detalles del escaneo
Added Files
¿Crees que es como para preocuparse?
En principio no comenta nada raro, esos cambios pueden deberse a alguna actualización, subidas de imágenes, etc.
En mi opinión desactivaría esa opción ya que con el resto están más que protegidos los archivos y te olvidas de tanto mensaje.
Saludos!
Gracias, David.
Un saludo
Muchas gracias, todo muy bien explicado y muy sencillo, felicidades gran trabajo.
Gracias Juanjo!
Espero que te sea útil!
Hola. Muy buena guía donde apoyarse cuando no se conocen todos los términos usados.
Muchas gracias.
Excelente muy bueno