Última actualización 17 septiembre 2018

Vuelvo a la carga con un artículo didáctico para que no te pierdas detalle. Hoy vengo a hablarte de iThemes Security, un plugin todo en uno que sirve para proteger tu WordPress.

Cuando eres el administrador de tu WordPress una de tus responsabilidades, aunque no seas consciente de ello, es protegerlo de todos los que van con malas intenciones.

Si eres el dueño de una tienda online con Woocommerce donde vendes productos o servicios o un emprendedor digital knowmada que tiene un WordPress configurado para vender cursos de formación online, o sencillamente tienes a tu cargo un sitio web WordPress, en todos estos casos, te recomiendo que seas precavido y trates de proteger tu activo digital antes de que puedas tener un problema mayor que te impida incluso vender.

Verás, en mi experiencia probando unas cosas y otras, leyendo mucha literatura aquí y allá, analizando archivos de registro de actividad de diferentes sitios y eliminando infecciones en WordPress he visto mucha actividad malintencionada que, afortunadamente está automatizada y se puede bloquear, al menos, con las herramientas que actualmente tenemos a nuestra disposición. Coincido con Jeff Starr y lo que explica en capítulo de seguridad de su libro Tao of WordPress.

Dado que hay diferentes herramientas y ajustes de configuración para proteger tu sitio, hoy me voy a centrar en explicarte paso a paso lo que puedes hacer con iThemes Security, un plugin que me gusta implementar cuando los asuntos técnicos no son la especialidad de la persona que administra el sitio.

Así que, si estás listo y quieres hacerlo tu mismo, en modo DIY (do it yourself), aquí tienes un articulo de ithemes security en español.

Te lo recomiendo por delante de otras opciones como por ejemplo Wordfence, no porque sea mejor o peor sino porque es menos alarmista y menos propenso a despistarte.

Te voy a contar como me gusta a mi dejarlo configurado para que el plugin haga su trabajo y no genere ruido innecesario enviando avisos constantemente al correo electrónico, que más que nada, como te decía despistan y alarman más de la cuenta.

Esta configuración es la que llevo aplicando durante varios años y es la misma que les recomendamos a los alumnos del nivel 1 de la Academia y a los clientes con los que colaboro.

Hasta la fecha me ha dado buenos resultados y no he tenido que lamentarme.

Así que vamos allá, si estás interesado en poner medidas de protección a tu plataforma online, echa un vistazo y mira como configurar el plugin ithemes security. Hoy dormirás más tranquilo y seguro. ¡A por ello!

Instalar y configurar el plugin ithemes security

Vamos por partes. Primero lo primero, la instalación.

La instalación del plugin se realiza como el resto de plugins de WordPress.

Te diriges al menú de Plugins y añades un nuevo plugin (1) , escribes el nombre del mismo en el campo “palabra clave” (2) y das una orden de buscar. A continuación, tras ver los resultados verifica que instalas y activas iThemes Security (anteriormente Better WP Security) (3).

Instalar ithemes security

Tras la activación del plugin te aparecen dos cintas informativas. No les hagas ni caso. Ciérralas tal cual ves en la imagen inferior.

Descartar las cintas informativas de ithemes security

Observa también que tras la instalación se ha creado en tu WordPress los siguientes accesos directos en el menú lateral derecho.

El acceso directo a la opción de ajustes en el menu de iThemes Security

Ajustes

Al hacer clic en comprobación de seguridad (2) te muestra lo que ves en la imagen inferior.

Comprobación de seguridad de ithemes security

Lo que aquí te dicen es que si presionas el botón “secure site” le das orden al plugin para realizar unos cambios de configuración de seguridad en tu WordPress que se corresponden con aquellos cambios que los desarrolladores del plugin piensan que son los mínimos que has de tener activados.

Yo no comparto el mismo criterio, por lo que, te voy a sugerir cerrarlo sin presionar el botón. Listo. Tu tranquilo que yo te oriento.

Registros

Si haces clic en el acceso directo “Registros” aterrizas en la página que ves en la imagen inferior.

El acceso directo a la opción de registros en el menu de Ithemes Security

Aquí tienes acceso a los registros almacenados de actividad malintencionada que se genera con el paso del tiempo sobre tu sitio.

En este caso tendrías una lista de los distintos inicios de sesión incorrectos a tu web junto con el resultado de los escaneos de malware.

Puede de mucho interés en ciertos escenarios, pero ahora mismo con que te quedes que esa información se guarda ahí es suficiente.

Los tipos de registro de iThemes Security

Hazte pro

Si haces clic en Hazte pro (4) accedes a una página de aterrizaje donde puedes invertir en la versión de pago del este plugin.

Si estás interesado en invertir en plugins de seguridad de pago, yo prefiero invertir en NinjaFirewall.

Ajustes

Desde el acceso directo Ajustes (1) entras a la configuración del plugin y a todas sus opciones.

Lo primero que quiero que observes son los dos modos de vista que tienes a tu disposición:

  • Vista en modo cuadrícula
  • Vista en modo lista

Modo cuadrícula

El modo vista cuadrícula de iThemes Security

Modo lista

Personalmente trabajo más cómodo con la vista en modo lista. Esa es la que dejo configurada siempre y la que te recomiendo.

El modo lista de opciones de configuración de iThemes Security

Antes de entrar en la configuración de cada elemento de seguridad que te proporciona el plugin quiero que te fijes también en los accesos directos: Todos (29), Recomendable (24) y Avanzado (5).

Accesos directos de iThemes Security: Todos (29), Recomendable (24), Avanzado (5)

  • Todos (29). Básicamente te lista las 29 opciones de configuración disponibles, la suma de las recomendables y avanzadas.
  • Opciones de configuración recomendables. Lista sólo las 24 opciones de seguridad a configurar que los desarrolladores del plugin tienen definidas como recomendables.
  • Opciones de configuración avanzadas. Lista sólo las 5 opciones de seguridad a configurar que los desarrolladores del plugin consideran avanzadas.

Te voy a contar qué opciones de configuración te recomiendo activar y que opciones no, tanto las recomendables como las avanzadas.

Dentro de esto, hay algunas opciones que son meramente informativas y no hay que activar ni hacer nada al respecto.

Te voy a explicar el criterio que sigo yo para configurar este plugin que pienso que combina elementos de seguridad y de funcionalidad, es decir, no quiero que las opciones de seguridad que actives, en el futuro te limiten las funcionalidades de otros plugins o incluso de WordPress.

La experiencia me dice que puede ser un poco locura en caso de no hacerlo así.

Vamos a empezar por las opciones recomendables y después las avanzadas.

Las opciones de configuración recomendables de iThemes Security

Los ajustes globales

La configuración de los ajustes globales dibuja el comportamiento de la protección que vamos a aplicar a todo nuestro sitio de modo general.

Las opciones de ajustes globales de iThemes Security

Te indico cómo puedes configurar cada uno de estas opciones.

  • Escribir en los archivos. Activar. Necesitas que el plugin pueda escribir en el archivo htaccess de WordPress.
  • Email de notificación. Introduce tu correo electrónico principal o cambialo por otro. Puedes añadir varios por si alguien colabora contigo para que esté al corriente también.
  • Enviar correo eletrónico programado. Activar. Lo prefiero.
  • Email de entrega de respaldo. No vas a hacer copias de seguridad con este plugin, por lo que, tener o no un email aquí no es relevante.
  • Mensaje de bloqueo al servidor. El que viene por defecto es suficiente.
  • Mensaje de bloqueo del usuario. El que viene por defecto es suficiente.
  • Mensaje de bloqueo en la comunidad. El que viene por defecto es suficiente.
  • Lista negra de infractor reincidente. Activar. Esta opción dará de alta a tu lista negra a los usuarios que se pasen de listos.
  • Umbral de lista negra. El valor por defecto es suficiente.
  • Período retroactivo Lista negra. El valor por defecto es suficiente.
  • Período de bloqueo. El valor por defecto es suficiente.
  • Lista blanca de bloqueo. Añade tu IP a la lista blanca.
  • Notificaciones de correo electrónico de bloqueo. Activa esta opción.
  • Tipo de registro. Solo en la base de datos.
  • Días para mantener registros de la Base de datos. El valor por defecto es suficiente.
  • Ruta a Archivos de registro. La ruta por defecto es correcta. No la modifiques.
  • Permitir Rastreo de Datos. No activar.
  • Desactivar el bloqueo de archivos. No activar
  • Anular detección del proxy. No activar.
  • Ocultar el menú de seguridad en la barra de administración. A mi personalmente me gusta activar esta opción.
  • Mostrar códigos de error. Deja el valor “NO” por defecto.

La detección 404

La detección 404 es una opción que te recomiendo activar y además, te invito a no modificar las opciones que por defecto propone el plugin.

Esta configuración considero que es correcta para la mayoría de los casos.

Las opciones de configuración 404 de iThemes Security

El modo reposo

El modo reposo no te recomiendo activarlo. Te explico por qué, verás.

La idea detrás de esta opción reside en permitir el acceso al login de WordPress sólo durante el tiempo que tu decidas que vas a acceder a la administración de tu blog.

Pueden ser 4 horas por la mañana, o 4 horas por la tarde, o solo los Lunes, etc. El abanico de configuraciones es amplio.

¿Cual es el problema?

Pues que si a ti te pasa como a mi y hoy puedes acceder a la administración de tu blog por la mañana, otro día accedes por la tarde y otro día por la noche, pues se me antoja difícil poder configurar esta opción y adaptarla a mis horarios.

Así que, a menos que lo tengas muy muy claro, no te recomiendo activar esta opción.

El modo reposo de Ithemes Security

Los usuarios baneados

Te recomiendo activar esta opción y dejar activadas las opciones por defecto. Nada más que comentar aquí.

Los usuarios baneados de Ithemes Security

 La protección contra fuerza bruta

Esta opción te recomiendo activarla y dejar todas las opciones de configuración por defecto.

Activar la protección de fuerza bruta de IThemes Security

Copias de seguridad de bases de datos

Esta opción no te recomiendo activarla.

Las copias de seguridad de la base de datos no las vas a hacer con este plugin, sino con otro.

Luego caso omiso y no actives nada.

Copias de seguridad de bases de datos de IThemes Security

 Detección de cambios de archivo

Esta opción tampoco te recomiendo activarla. En mi experiencia puede generar mucho ruido y despistarte con falsas alarmas.

La deteccion de cambios de archivos en iThemes Security

Permisos de archivo

Esta opción es meramente informativa. Te explico.

Al hacer clic en el botón “Volver a cargar los detalles de los permisos de archivo” te aparece una pequeña tabla con la información de los permisos sugeridos para las carpetas y los archivos wp-config.php y .htaccess”.

Esta opción verifica que las carpetas de tu WordPress tienen los permisos equivalentes al valor numérico “755” y los archivos al valor numérico “444”.

Si el valor sugerido coincide con valor real, el resultado te lo pone en OK y el estado te lo marca en color verde.

Si no coincide, el resultado te lo pone como ADVERTENCIA y el estado te lo marca en color amarillo.

Los permisos de archivo en iThemes Security

En este caso particular estas viendo que la sugerencia para los archivos wp-config.php y htaccess es que tenga un valor 444 cuando el resultado es un valor 644.

Yo te recomiendo dejar los permisos con un valor 644 en dichos archivo y no hacer caso a la sugerencia. La razón de esto radica está en un tema funcional, es decir, desde un punto de vista de seguridad es conveniente dejar los permisos en valor 444, pero desde un punto de vista funcional y de operativa yo abogo por dejarlos en 644.

Si en el futuro instalas un plugin que tenga que hacer cambios en el esos archivos, con unos permisos 444, no los podrás modificar y el plugin no funcionará correctamente.

Por esta razón te recomiendo mejor dejarlos con un valor 644.

Protección contra fuerza bruta en la red

Esta opción si que te recomiendo activarla. Para ello tienes que introducir tu correo electrónico y hacer clic en el botón “Guardar ajustes”.

Esta opción permite beneficiarte de la red global de seguridad de iThemes Security que básicamente se compone de la suma de todos los WordPress alrededor del mundo que tienen instalado este plugin y está opción activada.

Cualquier alarma de seguridad que se manifieste en uno de estos WordPress activará una notificación a la red global que activará los mecanismos para que el resto de sitios de la red no se vean afectados, consiguiendo así minimizar el impacto.

Actívala.

La protección de fuerza bruta en la red de iThemes Security

SSL

Esta opción no te recomiendo activarla.

El paso de http a https de tu sitio es una tarea que a mi juicio es mejor hacerla manualmente sin la ayuda de plugins, evitando así depender de los mismo.

Nada más que decir aquí.

SSL en iThemes Security

Refuerzo de la seguridad de la contraseña

Esta opción fuerza a definir cual es es perfil de WordPress mínimo al que obligar a que siempre se le definida una contraseña potente y segura.

Vamos, lo que viene a ser una política de seguridad de contraseñas.

Por ejemplo, tal y como ves en la imagen inferior, si creas un usuario nuevo con perfil de administrador y le configuras la contraseña ”123456” el plugin te va a impedir que la puedas guardar y te recordará que no cumple el criterio de refuerzo de la seguridad de la contraseña.

Refuerzo de la seguridad de la contraseña

Los ajustes del sistema

Estos ajustes son ajustes avanzados que tenemos a nuestro alcance gracias a iThemes Security y que nos van a permitir incrementar un poco más la seguridad de nuestro sitio.

  • Archivos del sistema. Te recomiendo activar esta opción. Al hacerlo impides que se pueda leer o acceder a estos archivos que contienen información sensible de tu instalación.
  • Navegación de directorios. Te recomiendo activar esta opción para asegurarte que se impide la navegación por carpetas en tu WordPress.
  • Métodos de petición. Te recomiendo activar esta opción.
  • Cadenas de consulta sospechosas. Activa esta opción.
  • Caracteres no ingleses. No actives esta opción.
  • Cadenas URL largas. Activa esta opción.
  • Permisos de escritura en archivos. No te recomiendo activar esta opción. Cambiar los permisos a los archivos wp-config.php y htaccess desde un punto de vista de seguridad es recomendable, pero desde un punto de vista funcional no tanto. El día de mañana es posible que un plugin necesite escribir en estos archivos para funcionar y si dejas marcada esta opción no podrá. Entonces tendrás que acordarte que tenias esto marcado y tendrán que desmarcarlo para luego volver a empezar. Un lío vaya. Por tanto, no te recomiendo activar esta opción.
  • PHP en uploads. Te recomiendo activar esta opción.
  • PHP en plugins. Te recomiendo activar esta opción.
  • PHP en temas. Te recomiendo activar esta opción.

Ajustes de sistema

Los ajustes de WordPress

  • Cabecera Windows Live Writer. Te recomiendo activar esta opción.
  • Cabecera EditURI. Te recomiendo activar esta opción.
  • Comentarios spam. Te recomiendo activar esta opción.
  • Editor de archivos. No te recomiendo activar esta opción. En ocasiones has de hacer pequeñas modificaciones de archivos y tener el editor de archivos activo ayuda. Le doy prioridad al tema funcional más que a la seguridad.
  • XML-RPC. Deja la opción por defecto Desactivar XML-RPC. Interpreto que no empleas jetpack. En caso contrario.
  • Múltiples intentos de autenticación por petición XML-RPC. Deja activada la opción por defecto: “Bloquear”.
  • REST API. Deja la opción por defecto “Acceso restringido”.
  • Reemplazar jQuery con una versión segura. Esta opción suelo tenerla siempre desmarcada.
  • Mensajes de error de inicio de sesión. Esta opción te recomiendo que la marques.
  • Forzar alias único. Esta opción te recomiendo que la marques.
  • Deshabilitar archivos de usuario adicionales. Esta opción te recomiendo que la marques.
  • Protección contra el tabnapping. Esta opción te recomiendo que la marques.

Los ajustes de WordPress en iThemes Security

Las claves secretas

Las claves secretas son una opción de configuración que están disponibles en WordPress desde la versión 2.6.

Sin entrar en detalles técnicos, te recomiendo que actives esta opción tal y como ves en la imagen inferior.

Nota. Al presionar sobre el botón “Guardar ajustes” automáticamente se cerrará tu sesión de WordPress y tendrás que volver a introducir tu usuario y contraseña de nuevo para continuar con la configuración del plugin.

Este comportamiento es totalmente correcto. No te alarmes y a seguir.

Salts de WordPress o la configuración de las claves secretas con iThemes Security

Las opciones avanzadas de iThemes Security

Vamos con las opciones avanzadas.

Las opciones de configuración avanzadas de iThemes Security

Ocultar escritorio

Esta opción no te recomiendo activarla. Al activar esta casilla podrás cambiar la URL de acceso al login. En vez de emplear /wp-admin podrás emplear otra URL al gusto.

El login viene a ser la puerta de acceso a tu WordPress. Si escondes la puerta para acceder a la administración de tu WordPress, los que van con malas artes “no la encontrarán” y se lo pondrás un poquito más difícil, lo que redunda un incremento de seguridad.

El problema que le veo a esta opción es que en el futuro no recuerdes la URL que configuraste y tengas dificultades innecesariamente. En este sentido, te recomendaría no activarla.

Recuerda que tienes activada la protección de fuerza bruta, lo que significa que si algo o alguien intenta reiteradamente probar usuarios y claves reiteradamente el plugin lo bloqueará.

Ocultar escritorio en iThemes Security

Usuario administrador

Si en tu WordPress conservas como usuario administrador al usuario “admin” con esta opción podrás modificarlo al igual que podrás modificar su identificador único, que coincide que tiene el valor 1.

Te explico. Todos los WordPress tienen un primer usuario administrador, que es el usuario que se crea en la instalación de tu WordPress.

Este puede coincidir que se llame “admin” o no. En cualquiera de los dos casos a este primer usuario se le asigna siempre un identificador único (por temas técnicos que tienen relación con bases de datos) que coincide que siempre tiene el valor 1.

Con esta opción sencillamente cambiarás dicho valor y dado el caso te propondrá cambiar al usuario si coincide que es el “admin”.

La idea de esta opción es facilitarnos la labor como administradores de WordPress con la idea de poner las cosas un poco más difícil a los que van con malas artes.

Te recomiendo por tanto, marcar la opción para cambiar el identificador único y guardar los cambios. Al hacerlo tendrás que volver a iniciar sesión en tu WordPress. Es un comportamiento coherente con esta opción.

El usuario administrador en iThemes Security

Cambiar el prefijo de la tabla de la base de datos

Te recomiendo emplear esta opción cuando el prefijo de la base de datos de tu WordPress tenga el valor exacto “wp_”.

En ese caso, modifica la opción “Cambiar prefijo” a “si” y guarda los cambios.

Esta opción la puedes emplear todas las veces que quieras, pero con emplearla una sola vez es suficiente.

Fíjate en la imagen que el valor es distinto a “wp_”, por tanto, no tengo que hacer nada.

Cambiar el prefijo de la tabla de la base de datos en iThemes Security

Reglas de configuración del servidor

Esta es una opción meramente informativa, es decir, no tienes que definir nada en este punto.

Est opción tan solo te informa de los cambios que el plugin ha realizado en el archivo htaccess fruto de las opciones que has activado durante la configuración del plugin.

En este caso, la configuración que nosotros hemos hecho si que afecta este archivo y lo que ves aquí es el resultado de esa configuración. Todos los cambios que el plugin realiza en el archivo htaccess están perfectamente comentados, por lo que podemos saber con total precisión a que se refiere cada línea de este archivo.

No es necesario hacerlo, tan solo confiar en su criterio y listo.

Tan solo quédate con la idea de que esta opción es meramente informativa.

Reglas de configuración del servidor

Reglas del archivo wp-config.php

Esta es una opción meramente informativa, es decir, no tienes que definir nada en este punto.

Est opción tan solo te informa de los cambios que el plugin ha realizado en el archivo de WordPress wp-config.php fruto de las opciones que hayas activado durante la configuración del plugin.

En nuestro caso, la configuración que nosotros hemos hecho no afecta en modo alguno a este archivo, por tanto, verás lo mismo que ves en la imagen inferior.

Reglas del archivo wp-config.php en iThemes Security

Contenido exclusivo

Si has llegado hasta aquí, decirte que suscribiéndote al blog tienes a tu disposición (aparte del ebook Protege tu WordPress) un vídeo de 45 minutos para ver como configurar este plugin paso a paso junto con una checklist para imprimir y configurar cada una de las opciones. 

Solo disponible para suscriptores del blog.

¿Te animas? Suscríbete desde el formulario de suscripción a pie de artículo.

Para terminar

Te he mostrado en este artículo todos los detalles de la configuración de este plugin. Creo que es material suficiente para ayudarte en la tarea de proteger tu WordPress.

Soy de la opinión que si pretendes crear un blog serio, profesional que incluso te traiga clientes y oportunidades creo que es importante enfocar esfuerzos en este aspecto. No protegerás sólo tu proyecto y tu trabajo también estarás protegiendo a tus lectores y a las personas que te visitan.

Pero recuerda que la seguridad no consiste únicamente en configurar un plugin, la protección de tu WordPress un proceso vivo donde participan:

  • El sentido común.
  • Las buenas prácticas como emplear contraseñas fuertes en todos tus sitios.
  • Las tareas de actualizar tus plugins, tu tema y el propio WordPress.
  • Un plan de copias de seguridad bien articulado, al que yo le añadiría un plan de contingencia en caso de catástrofe total.

Todas estas tareas tienen que estar dentro de tus quehaceres frecuentes.

¿Tienes algo que decir?

Por favor, tomate la libertad de comentar lo que te ha parecido el artículo, si quieres aportar otro punto de vista, etc. Te invito a ello. Nada más, te veo en los comentarios o en el próximo artículo.

21 comentarios en “Te explico cómo configurar el plugin de seguridad iThemes Security. El tutorial que buscas para proteger tu WordPress.”

  1. cuando cambio la cable de id del usuario, tengo la versión pro, me saca y me lleva al login pero al querer entrar de nuevo me pide un code que supuestamente lo mando al correo determinado, llega un correo pero sin el código, que puede pasar?

    1. Hola Rubén.

      No se lo que puede estar sucediéndote pero dado que tienes la versión PRO habla con el soporte técnico oficial del plugin. Ellos te orientarán.

      Un abrazo.

  2. Hola Paul, excelente artículo, mejor se daña jeje. Comencé hace más o menos una semana a usarlo porque cambie a un servidor VPS y honestamente estoy al punto de la locura, porque no soy muy diestra en esto que digamos, tengo casi 5258 logs principalmente de 404 y se han bloqueado unos cuantos servidores, ahora bien al principio la función WP-CRON se ejecutaba todos los días, pero un día me dió un error fatal y más nunca la he visto que hace el escaneo “Cambio en archivos | Error fatal | El escaneo falló | hace 2018-09-24 14:37:20 – 1 semana | Ver detalles”, entonces mi pregunta es, y perdona mi ignorancia, se ha dañado el archivo WP-CRON o me han hackeado, o sea que ha pasado, veo que todo esta normal, pero tengo ansiedad que hayan robado info de mis usuarios o algo. Gracias.

  3. Ocultar escritorio
    Esta opción no te recomiendo activarla. Al activar esta casilla podrás cambiar la URL de acceso al login. En vez de emplear /wp-admin podrás emplear otra URL al gusto.
    El problema que le veo a esta opción es que en el futuro no recuerdes la URL que configuraste y tengas dificultades innecesariamente. En este sentido, te recomendaría no activarla.
    Pues es exactamente lo que me ha pasado¡¡¡. No puedo acceder a mi pagina¡¡¡
    Por favor ayuda.

    1. Hola Miguel, tienes que desactivar el plugin accediendo por FTP. Sencillamente tienes que renombrar la carpeta del plugin. Una vez hecho automáticamente se desactiva y podrás logarte en tu WordPress desde la URL tradicional. Confio que me entiendas.

      Cuéntanos cómo lo resuelves.

      Un saludo.

  4. ¡Hola Paul! Muy bueno el artículo. Acabo de encontrar el tutorial porque WordFence me ha dado un par de problema.

    Tengo sólo una duda… En “Ajustes de sistema” al editar PHP en uploads, en plugins y en temas no me queda claro si debo marcar la casilla para ‘desactivar’ o dejarla no marcada por default (entonces estarían activadas las opciones de PHP).

    Quedo atento a tu respuesta. ¡Saludos!

    1. Hola Davide, márcalas para un mayor nivel de seguridad.

      Si luego ves que te da problemas con el tema o algun plugin, vuelvela a desmarcar.

      Un saludo.

  5. El boton Escanear la portada para buscar malware que esta en la barra lateral derecha, en la version gratuita del plugin funciona o solo funciona en la version de pago?
    Haciendo pruebas en un servidor descargue e instale varios plugins con malware y no detecto nada en cambio Worfence detecto todos y se pudo limpiar, Worfence es muy pesado por eso prefiero Ithemes aunque en el caso de que la version gratuita de Ithemes no tenga la opcion de detecion y limpieza de malware prefiero usar All in one security & firewall que es igual de bueno o mejor en funciones pero consume menos de la mitad.
    Que opinas de All in one security & firewall crees que es mejor opcion que Ithemes?

    Gracias.

    1. Hola Neoset, iThemes Security es un plugin que funciona como un escudo, en el sentido de que su cometido no consiste en detectar malware si no más bien en bloquear todas las puertas conocidas susceptibles de ser vulneradas para evitar que tu WordPress se infecte de malware. Esto lo hace en base a las configuraciones que tu le hagas al plugin.

      El escaneo programado que ves en la barra lateral corre por cuenta de Sucuri, una empresa especializada en limpiar sitios web infectados bien sean WordPress o de otro tipo.

      Lo que hace iThemes es redirigir tu petición al motor de escaneo de Sucuri que te analiza solo la home de tu web y si funciona.

      Lo que tu mismo puedes hacer aquí: https://sitecheck.sucuri.net/?clickid=1CARkqWs8UiAXZwXHB3wKScnUkjXpT0ZiVpFTE0

      Es un análisis superficial y para algo más profundo necesitas la versión pro, pero no de iThemes, sino de Sucuri.

      Wordfente aparte de actuar como un escudo incorpora también un motor de detección de malware, por eso te los detecta, al menos los que tiene reconocidos como tal.

      En mi experiencia ambos plugins se pueden complementar, es decir, que los puedes tener instalados a la vez en tu WordPress, lo que pasa es que aumenta la complejidad de la instalación y puede darte algún dolor de cabeza extra.

      Yo los he tenido durante mucho tiempo juntos. Ahora ya no, ahora soy partidario de NinjaFirewall junto con otras medidas de seguridad que tengo configuradas.

      Si gustas, te dejo un tutorial de NinjaFirewall
      https://www.administrandowp.com/ninjafirewall/

      All in one security & firewall es una buena opción. ¿Mejor que ithemes? No necesariamente pero tampoco peor.

      Yo tengo muy buenas sensaciones con este Plugin y me gusta mucho que documenten cada punto de configuración que puedes activar y además que los cuantifiquen numericamente, es decir, que con cada ajuste de configuración que activas sumas puntos.

      Con esto se consigue que tengas la sensación visual de que incrementas la seguridad a medida que vas activando opciones. Ese punto es único de este plugin y me gusta mucho.

      No por ello protege más o mejor, pero si que ayuda a tener esa experiencia de que la seguridad se está incrementando.

      En general yo creo que el conjunto de configuraciones de All in one security & firewall está alineado con lo que te ofrece iThemes Security.

      El trasfondo de estos plugins es ayudarte a incrementar la seguridad de tu instalación facilitando la configuración de medidas de seguridad en tu WordPress, medidas de seguridad que ponen al alcance de cualquier persona y que de otro modo se tendrían que hacer manualmente y ya no serían accesibles para todos los públicos.

      Este trasfondo lo puedes hacer tanto con uno como con el otro. En este caso no te recomendaría tener los dos plugins en la misma instalación porque intuyo que no se complementan bien. No tengo la experiencia pero creo que no me equivocaría.

      Una última cosa que has de tener en cuenta. La línea de trabajo a seguir cuando tienes un sitio infectado es diferente a la linea de trabajo a seguir cuando tu sitio está limpio.

      El objetivo en el último caso es evitar que “la mierda” entre en tu casa mientras que en el primer caso el objetivo es “limpiar de mierda” tu casa.

      Te dejo un tutorial para “limpiar la mierda de casa” o como limpiar de malware tu WordPress. Es un caso real que traté en primera persona para un cliente.
      https://www.administrandowp.com/como-desinfectar-wordpress/

      Pues dicho todo esto, espero que aclare un poco tus dudas.

      Un abrazo.

      1. Muchas gracias Paul, has sido el unico capaz de solucionarme esta duda, gracias por la investigacion, ya tienes un seguidor recurrente en la web.

        Muchas gracias y un enorme saludo.

  6. Hola gracias por el artículo, estoy justo ahora instalándolo.

    Veo que lo tienes en español, lo descargaste así, o es algo extra que tienes para que traduzca todo, porque yo solamente lo he encontrado en inglés

    Gracias!

    1. Hola Caribay, si tienes WordPress en castellano, el plugin se instala en castellano. Si esto no es así entonces es que algo pasa con tu WordPress que se está comportando de un modo distinto. Revísalo y nos comentas.

      Un abrazo.

  7. Hola Paul,
    buen artículo. Utilizo Ithemes Security en todas las webs que no tengo pasarela de pago instalada, porque no sé qué configuración de ithemes security hace que se dé un error 403 en la conexión con Servired.
    Para esas webs con comercio electrónico utilizo Shield Security for WordPress, que no me da esos problemas.
    Saludos

    1. Hola Sergio, tiene pinta de que alguna opción de configuración que activas es la que está provocando ese comportamiento. Algo similar a lo que me describes llegó a mi radar hace tiempo atrás y la causa era la opción de configuración Metodos de petición dentro de los Ajustes de Sistema. En aquel caso se resolvió desactivando esa opción.

      Un abrazo.

  8. Un post excelente!!! estaba angustiada con las alarmas de modificación de archivos… configuré todo como está en tu articulo y espero que todo vaya a mejor, no conocía esta web, voy a revisar a ver qué más cosas encuentro por aquí! Gracias por la info.
    Abrazo!

    1. Hola Carol, me alegro de que te haya servido de guía el artículo. Ese es su cometido, jejeje.

      Espero que encuentres cosas interesantes en mi blog que te ayuden en tu labor como responsable de tu blog.

      Vuelve por aquí las veces que quieras.

      Un abrazote.

    1. Hola Alirio, me alegro que tengas esa opinión. Mi propósito es facilitar y educar a las personas en asuntos tecnológicos, lo que considero perfectamente alineado con tu comentario.

      Un abrazo y que tengas un buen día.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Responsable » Paul Benítez Icatt
Finalidad » gestionar los comentarios.
Legitimación » tu consentimiento.
Destinatarios » los datos que me facilitas estarán ubicados en los servidores de SiteGround (proveedor de hosting de AdministrandoWP) dentro de la UE. Ver política de privacidad de SiteGround. (https://www.siteground.es/privacidad.htm).
Derechos » podrás ejercer tus derechos, entre otros, a acceder, rectificar, limitar y suprimir tus datos.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.