Puedes ver el video en el que analizamos más a fondo cada apartado.
Introducción a la seguridad en WordPress
Con la instalación y configuración del plugin Wordfence consegiremos mejorar nuestra seguridad.
¿Qué problemas de seguridad solucionamos?
- Ataques de fuerza bruta: Este tipo de ataque se basa en probar numerosas contraseñas sobre un solo usuario.
- Ejecución de código malicioso en temas y plugins: Lo que comúnmente se conoce como virus. En la mayoría de casos los plugins descargados de lugares poco confiables incluyen código que se ejecuta una vez el plugin ha sido instalado en nuestro sitio. Estos códigos generalmente envían o crean cuentas de administrador y son enviadas al hacker, con esto obtiene acceso a nuestra web.
- Ataques sobre el núcleo de WordPress: Este tipo de ataques se basan en vulnerabilidades que incluye el propio WordPress y que son reparadas con cada actualización.
- Ocultación de la versión de WordPress: Con esto dificultamos que el atacante consiga fácilmente nuestra versión y con ello posibles vías de ataque.
- Obligación de uso de contraseña segura: Obligamos al usuario a generar una contraseña que cumpla con los estándares de seguridad adecuados.
- Bloqueo de ips: El firewall de Wordfence incluye la protección contra ips (usuarios de internet) que se dedican a realizar spam, bloqueando su entrada a tu web.
Instalación y configuración de Wordfence
Instalación
Instalamos y activamos el plugin de seguridad de Wordfence en nuestra web desde la zona de plugins.
Vista de la instalación
Una vez el plugin está listo podemos ver que nos aparece en nuestro menú.
Explicación del menú principal
Desde el menú principal podemos ver las diferentes medidas de seguridad de las que disponemos.
Firewall: Nuestro muro de seguridad que dificultara a los hackers realizar varios tipos de ataques y expulsara a los usuarios que se dediquen al spam.
Scan: Es el encargado de la detección de vulnerabilidades en nuestra web.
Firewall
Como podemos ver en la imagen el firewall tiene 4 secciones principales:
- Web application firewall: El modo de ejecución actual, en principio lo veremos en learning mode, aprendiendo de nuestra web, no tendremos que hacer nada en 1 semana estará totalmente operativo.
- Firewall Rules Community: Las reglas que emplea para proteger nuestra web.
- Real-Time IP Blocklist: En caso de tenerlo activado podríamos bloquear ips en tiempo real.
- Bruteforce protection: Activado, impide ataques de fuerza bruta. Por defecto si introducimos de manera errónea 20 veces la contraseña de un usuario somos bloqueados 4 horas.
Si quieres ver como configurar el firewall puedes ver el video.
Scan
Tres secciones:
- Malware signatures Community: Incluye las firmas o ejecución de los distintos tipos de ataques.
- Reputation Checks: Comprueba el nivel de spam de la web.
- Scan type: Standard: Indica el nivel de escaneo. Dispone de 4 niveles.
- Limited: Para hosting de bajo rendimiento.
- Standard: Por defecto.
- High sensivity: En caso de que estemos siendo atacados este nivel de detección rastrera mas a fondo, consumiendo más recursos del servidor.
- Costum Scan: Análisis personalizado.
Podemos también realizar un escaneo de nuestra página web.
Tools
En esta herramienta podemos ver los usuarios que se han registrado y los fallos de contraseña.
Incluye información como: La ip y la hora de entrada.
Incluye un sistema de colores:
- Verde: Correcto.
- Amarillo: Contraseña incorrecta.
- Gris: Bot.
- Rojo: Bloqueado.
All options
Desde este menú disponemos de todas las opciones disponibles de seguridad.
En el video hacemos hincapié en dos:
- General Wordfence options: Podemos ver nuestro email, a este email se enviarán reportes y entradas.
Activamos la opción “Hide WordPress version” para ocultar nuestra versión de WordPress. Por defectos las actualizaciones automáticas están instaladas, así siempre estaremos al día.
- Activity report: Nos enviara al email una vez por semana un reporte del estado de la seguridad en nuestra página web.
Login security (Factor de doble autentificación)
El factor de doble autentificación consiste en una cifra de 6 dígitos que es generada de manera aleatoria cada 30 segundos. Cuando configuremos y activemos este sistema de seguridad nuestra cuenta de administrador necesitará: usuario, contraseña y los 6 dígitos generados en nuestra app.
Puedes ver en video la configuración.
¿Qué necesitamos?
- Un móvil con cámara.
- Conexión a internet.
¿Cómo lo hacemos?
- Descargamos la app (Autenticador de Google).
- Aceptamos que tenga acceso a la cámara.
- Hacemos clic sobre escanear código qr.
- Una vez escaneado podemos ver el nombre de nuestra página web junto con Wordfence, 6 cifras y un círculo a la derecha y abajo hacemos clic sobre agregar cuenta.
- Ahora solo queda confirmar la unión. Introducimos las 6 cifras y activamos.
Después de esto cada vez que deseemos acceder a nuestra web como administrador será necesario el uso de la clave de 6 cifras del autenticador. Podemos desactivar este medio de seguridad cuando queramos.
Resumen y extras
Ya tenemos nuestra web asegurada contra ataques malintencionados.
En próximos videos analizaremos otros plugins de seguridad y realizaremos una copia de seguridad de nuestra web de WordPress de manera totalmente gratuita.