Plugin iThemes Security


Plugin iThemes Security
Plugin iThemes Security

iThemes Security

Gracias a la gran calidad de “iThemes Security“, es el plugin de seguridad WordPress más utilizado.

Y ahora os explicaré por qué:

Sus puntos fuertes son:

  • Anular agujeros habituales.
  • Bloquear ataques automatizados.
  • Asegurar credenciales de usuarios.
  • Copias de seguridad de la base de datos.

También permite:

  • Proteger de ataques de fuerza bruta, informando de las direcciones IP con intentos fallidos de acceso, y bloqueándolas durante el tiempo estipulado.
  • Bloquear usuarios maliciosos y aumenta la calidad de las contraseñas.
  • Detectar y bloquear numerosos ataques a tu sistema de archivos y base de datos
  • Detectar intentos de búsqueda de vulnerabilidades. (bots)
  • Cambiar URLs de la zona de acceso y administración.
  • Desactivar el acceso a la administración de la web durante un periodo de tiempo dado.
  • Cambiar el prefijo de las tablas de la base de datos de WordPress.
  • Cambiar la ruta de wp-content.
  • Eliminar mensajes de error de acceso

Características de iThemes Security, en versión PRO (de pago):

  • Usando aplicaciones móviles como Google Authenticator o Authy; que se encargará de generar un código o de enviar un código generado por correo electrónico.
  • Escanea la web para encontrar malware, y cuando encuentra algo envía un aviso al correo electrónico.
  • Marca una caducidad máxima para la contraseña y obliga a los usuarios a elegir una contraseña mejor.
  • Hace un seguimiento del contenido que editan los usuarios, sus accesos y desconexiones.
  • Y muchos más.

Requisitos mínimos para su utilización:

  • Funciona con Apache o NGINX, para este último necesita configuración concreta.
  • Las copias de seguridad de la base de datos y las comprobaciones de archivos requieren un mínimo de 64MB de RAM.
  • Última Versión de IThemes Security: 6.4.0
  • Funciona correctamente a partir de la versión de WordPress:4.6
  • Probado hasta la versión de WordPress: 4.8

Configuración mínima RECOMENDADA:

En total existen 27 opciones, 5 de ellas son muy avanzadas y deben configurarse con mucha precaución. Valdría con centrarse en las otras 22, de las cuales 7 son de pago.

Apartado “Security Check”:

Para activarlo todo de forma automática: clic en el botón «Configure Settings», a la derecha, y ejecutar configuración automática con el botón «Secure site».

Así se activarán todos los apartados recomendados que se muestran en la figura de arriba.

Para configurar cada apartado manualmente habría que hacer clic en el botón «Configure settings».

Usuarios baneados:

  • En la sección “Banned Users”, activar la casilla “Enable HackRepair.com’s blacklist feature” para usar la lista negra por defecto.
  • Hacer clic en la casilla “Usuarios baneados”.

Protección Local por fuerza bruta:

La protección local de fuerza bruta se activa en los intentos de acceso a tu sitio y bloquea a los usuarios que aparezcan en reglas de bloqueo especificadas.

Activar la casilla «Automatically ban “admin” user» para prohibir el acceso a todo aquél que intente entrar con dicho usuario.

Protección en Red por fuerza bruta:

Para activar esta opción, hay que indicar una dirección de email dentro del campo “Get your iThemes Brute Force Protection API Key”.

El plugin iThemes Security informará automáticamente de las direcciones IP de los intentos y se bloquearán por un periodo.

Aplicación de contraseñas fuertes

Seleccionar el rol mínimo que va a funcionar con contraseñas fuertes.

Otros ajustes:

Es recomendable activar los siguientes apartados:

  • Eliminar cabecera de “Windows Live Writer”
  • Eliminar el cabecera RSD
  • Reducir SPAM
  • Deshabilitar editor de archivos
  • Forzar a los usuarios a elegir un apodo único
  • Desactiva la página de autor de un usuario si su cuenta de puesto es 0.

También es recomendable seleccionar la opción “Desactivar completamente XML-RPC” dentro del desplegable

MUY IMPORTANTE, no olvidar de presionar el botón “Guardar cambios”.

Configuración de seguridad global:

Realizar las siguientes modificaciones:

  • Activar la casilla “Permitir que iThemes Security modique wp-config.php y .htaccess.” en el apartado “Modificar ficheros”.
  • Verificar dirección de e-mail correcta.
  • Hacer clic en el botón “Añadir mi IP actual a la lista blanca”, para poder detectar que no te estás bloqueando a ti mismo.
  • Activar la casilla “Enviar email” para que solo envíe un e-mail de notificaciones al día.
  • Activar la casilla “Activar repetidor de Lista Negra” para bloquear la IP desde la que se esté intentado entrar, un número determinado de veces.

Detección 404

Activar para detectar errores 404.

Detección de cambios de ficheros:

Activar la casilla “Notificaciones por email” para recibir cualquier cambio detectado en ficheros del sitio web.

También se puede monitorizar posibles cambios haciendo clic en el botón “Escanear ficheros ahora” y consultar los logs.

Ajustes del sistema:

Para mayor seguridad es altamente recomendable activar los siguientes apartados:

  • Proteger los archivos del sistema
  • Desactivar la exploración de directorios
  • Deshabilitar PHP en subidas

EN DEFINITIVA,… UN PLUGIN A TENER MUY EN CUENTA.

 

Previous WordPress.com VS WordPress.org : Diferencias
Next PRIMER MEETUP DE LA COMUNIDAD WORDPRESS BADAJOZ ¡PRIMER CONTACTO!

No Comment

Leave a reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *