Configura iThemes Security para blindar tu WordPress
Uno de los aspectos más importantes que se debe tener en cuenta a la hora de administrar un sitio web WordPress es mantenerlo protegido. Para ello, existen varios plugins, entre los que se encuentra iThemes Security, pensado especialmente para personas que no tienen una extensa experiencia en administrar WordPress. A diferencia de otras herramientas similares, este plugin no satura nuestro correo electrónico con constantes avisos alarmistas, por lo que evita sobresaltos innecesarios.
Instalación de iThemes Security
Lo primero que hemos de hacer es instalar el plugin. Para ello, entramos al panel de administración de nuestro WordPress y en el menú de Plugins y pulsamos Añadir nuevo. Una vez dentro de la sección, buscamos el plugin iThemes Security en el campo donde pone palabra clave. Lo seleccionamos, instalamos y activamos. Si hemos hecho el proceso correctamente, deberá salir un mensaje indicando que el plugin se ha activado y también una serie de accesos directos dentro del menú lateral, que ahora analizaremos.
Comprobación de Seguridad
Entre las novedades que encontraremos tenemos la opción de Comprobación de Seguridad. Al hacer clic nos muestra un cuadro con el botón Secure Site. Si presionamos esta opción, activaremos la configuración recomendada de seguridad por defecto para nuestro WordPress. Aunque podríamos dejarlo así vamos a proceder a realizar algunos cambios para reforzar algunos puntos y ganar funcionalidad en otros.
Registros
Este apartado es muy útil porque nos muestra toda la actividad malintencionada que se ha registrado en el WordPress desde que activamos el plugin. Aquí podemos monitorizar todos los datos de registro, los intentos de sesión incorrectos y los resultados de los escaneos de malware que se han efectuado.
Ajustes
Desde esta opción podemos configurar nuestro plugin y todas sus opciones. Existen dos alternativas: la vista en modo cuadrícula y la vista en modo lista. Elegir una u otra dependerá de la manera de trabajar de cada uno y cuál nos resulte más cómoda y práctica.
En la parte superior izquierda tenemos ambos iconos, de lista y cuadrícula, que podemos clicar para cambiar según nuestras preferencias. En esa misma línea a la derecha, encontramos tres accesos directos que se refieren a modos de configuración de seguridad de iThemes Security, donde podemos elegir entre Todos, Recomendable y Avanzado. Todos integra la totalidad de las opciones de configuración disponibles; la Recomendable incluye las que recomiendan los desarrolladores del plugin y la opción Avanzado cuenta con otras opciones avanzadas.
Opciones de configuración recomendables en iThemes Security
Como comentábamos anteriormente, vamos a reforzar la seguridad que nos proporciona este plugin por defecto, para lo que modificaremos algunas opciones.
Ajustes globales
Cuenta con varios apartados configurables:
- Escribir en los archivos: activaremos el comando para poder escribir en los archivos .htaccess y wp-config.php.
- Email de notificación: aquí indicaremos la dirección o direcciones de email donde queremos que nos lleguen las notificaciones.
- Enviar correo electrónico programado: recomendamos activarlo.
- Email de entrega de respaldo: no es necesario incluirlo, puesto que no utilizaremos este plugin para realizar copias de seguridad. Para estas tareas, te recomendamos consultar nuestros artículos Cómo hacer copias de seguridad de nuestro WordPress y Plugins recomendados para WordPress – Seguridad
- Mensaje de bloqueo al servidor: sirve el que viene por defecto.
- Mensaje de bloqueo al usuario: también es válido el que viene por defecto.
- Mensaje de bloqueo en la comunidad: el mensaje por defecto es perfectamente válido.
- Lista negra de infractor reincidente: es una opción muy interesante de activar, puesto que nos permite controlar a los usuarios que queremos fuera de nuestro sitio.
- Umbral de lista negra: suficiente el valor que viene por defecto.
- Período Retroactivo Lista negra: válido el valor que viene por defecto.
- Período de bloqueo: su valor por defecto es suficiente.
- Lista blanca de bloqueo: aquí hay que escribir nuestra IP para que se añada a la lista blanca.
- Notificaciones de correo electrónico de bloqueo: hay que activarlas.
- Tipo de registro: solamente en la base de datos.
- Días para mantener registros de la Base de Datos: dejamos el valor por defecto.
- Ruta a archivos de registro: no modificaremos la que viene por defecto.
- Permitir rastreo de datos: no hay que activarlo.
- Desactivar el bloqueo de archivos: no activar.
- Anular detección de proxy: no lo activamos.
- Ocultar el menú de seguridad en la barra de administración: esta opción va en gustos.
- Mostrar códigos de error: poner “NO” por defecto.
La detección 404
Es una opción que debería de estar siempre activada y cuya configuración por defecto es más que adecuada, por lo que no es necesario modificarla.
El modo reposo
Este modo sirve para que solamente se pueda acceder al área de administración del WordPress en unos horarios determinados. Por tal motivo, es válido para personas con unas rutinas fijas, pero no para las que se conectan cuando sacan un ratito a lo largo del día para actualizar su site.
Usuarios baneados
Es recomendable activar esta opción dejando la configuración por defecto.
Protección contra fuerza bruta
También es conveniente activarla con sus valores por defecto.
Copias de seguridad de base de datos
Como hemos comentado antes la finalidad principal de este plugin no es la de sacar copias de seguridad de la base de datos. Por tal motivo, no la activaremos. De nuevo, te recomendamos nuestros artículos Cómo hacer copias de seguridad de nuestro WordPress y Plugins recomendados para WordPress – Seguridad
Detección de cambios de archivo
Tampoco es recomendable activarla, puesto que puede generar falsas alarmas.
Permisos de archivo
Esta opción sirve para verificar que las carpetas del WordPress tienen los permisos equivalentes al valor 755 y que tienen los archivos equivalentes al valor 444. Si coinciden el resultado que se muestra es correcto (OK) y se verá en color verde. Si no coincide, el resultado muestra ADVERTENCIA y el estado se verá de color amarillo.
Protección contra fuerza bruta en la red
Es una opción muy interesante que beneficia a todos los WordPress que tengan instalado este plugin y activada esta opción a nivel mundial. Cuando se detecte una alarma de seguridad en cualquiera de estos WordPress, activa un mecanismo de seguridad que impide que el resto de los WordPress se vean afectados, minimizando el impacto y garantizando un sistema de seguridad férreo. Por todo esto, es recomendable activarla, para ello basta con introducir nuestro correo electrónico y clicar en Guardar ajustes.
SSL
No es necesario activarla. En caso de tener que pasar de http a https, hazlo manualmente o desde el propio .htcaccess. Te recomendamos consultar el artículo Cómo instalar un certificado SSL en WordPress.
Refuerzo de la seguridad de la contraseña
Siempre viene bien que las contraseñas sean seguras y difíciles de obtener y el propio plugin se encargará de que así sea.
Ajustes del sistema
Sirven para aumentar la seguridad del WordPress y se consideran ajustes avanzados. Tiene varios apartados configurables:
- Archivos de sistema: activándolo se impide que se pueda acceder a los archivos del sistema, que contienen información delicada sobre la instalación.
- Navegación de directorios: si se activa impediremos la navegación por las carpetas del WordPress.
- Métodos de petición: activaremos la opción.
- Cadenas de consulta sospechosas: activaremos la opción.
- Caracteres no ingleses: es mejor no activarla.
- Cadenas URL largas: activaremos la opción.
- Permisos de escritura en archivos: no es recomendable activarla desde un punto de vista funcional.
- PHP en uploads: activaremos la opción.
- PHP en plugins: activaremos la opción.
- PHP en temas: activaremos la opción.
Ajustes de WordPress
- Cabecera Windows Live Writer: conviene activarla.
- Cabecera EditURL: se recomienda activarla.
- Comentarios spam: conviene activarla.
- Editor de archivos: por cuestión de funcionalidad es mejor tener el editor de archivos activo.
- XML-RPC: clicaremos en Desactivar XML-RPC.
- Múltiples intentos de autenticación por petición XML-RPC: pondremos Bloquear.
- REST API: dejaremos la opción Acceso restringido.
- Reemplazar jQuery con una versión segura: desmarcar.
- Mensajes de error de inicio de sesión: mejor marcarla.
- Forzar alias único: mejor marcarla.
- Deshabilitar archivos de usuarios adicionales: marcar esta opción.
- Protección contra el tabnapping: mejor marcarla.
Claves secretas
Es recomendable activar esta opción.
Opciones avanzadas de iThemes Security
A continuación vamos a estudiar cuáles son estas opciones avanzadas y si es conveniente o no activarlas.
- Ocultar escritorio. Esta opción permite cambiar la URL de acceso al login. Presenta la ventaja de dificultar el acceso a personas ajenas a nuestro WordPress; pero a su vez puede ser un arma de doble filo, porque si olvidamos la URL de acceso, tenemos activada la Protección de fuerza bruta e intentamos acceder reiteradamente sin éxito, el plugin bloqueará el WordPress.
- Usuario administrador. Cuando instalamos el WordPress se crea un primer usuario administrador, al que por defecto se le asigna el valor ID 1. Gracias a esta opción podemos modificar en un futuro a este administrador, con el fin de incrementar la seguridad en nuestro sitio.
- Cambiar el prefijo de la tabla de la base de datos. Si el prefijo de la base de datos del WordPress tiene el valor exacto wp_, es recomendable activar esta opción, cambiando la opción Cambiar prefijo a Sí y guardar los cambios.
- Reglas de configuración del servidor. Se trata de una opción informativa que nos explica todos los cambios que hemos ido efectuando durante la configuración del plugin. No hay que cambiar nada aquí.
- Reglas del archivo wp-config.php. Al igual que en el caso anterior, se trata de una opción que nos brinda información sobre los cambios que ha sufrido el archivo wp-config.php durante la configuración del plugin.
Con estos sencillos pasos de configuración y unas cuantas precauciones lógicas conseguiremos un WordPress seguro tanto para nosotros mismos como para nuestros usuarios y lectores.