Better WP Security, plugin de seguridad para WordPress todo en 1

Por Paul

En este artículo te voy a mostrar como puedes implantar en tu web o blog el plugin Better WP Security, un plugin de seguridad para WordPress todo en 1. La idea es que veas como se instala y como se configura.

Las posibilidades de configuración son numerosas y variadas lo que da pie a personalizar a medida de tus necesidades, es decir, puedes ponderar nivel de seguridad con nivel de funcionalidad dado que pueden darse casos en que ciertas configuraciones en el plugin te impidan que otros plugins no funcionen correctamente.

Lo interesante es que puedes deshacer los cambios y quedarte como estabas.

Te voy a mostrar una panorámica de opciones disponibles para que tengas suficientes argumentos para que tomes la decisión de activar una configuración u otra. Hay una serie de opciones que desde mi punto de vista son opciones necesarias y otras no tanto, pero claro depende del conjunto de tu sitio web o blog.

Lo que si tienes que saber es que el hecho de activar las opciones mínimas reduce el riesgo de ver comprometido tu blog o tu web a las primeras de cambio. Además vas a ver que hay ciertas configuraciones básicas muy sencillas de implementar.

¡Vamos a ello!

 

Better WP Security, plugin de seguridad para wordpress todo en 1

 

El desglose de puntos que vamos a tratar son los siguientes

 

  • 1. Descargar e instalar el plugin
  • 2. Acceso al menu de configuración y resumen ampliado de todas las opciones

better-wp-security-plugin-22

    • 2.1. Escritorio
    • 2.2. Usuario
    • 2.3. Away
    • 2.4. Ban
    • 2.5. Dir
    • 2.6. Backup
    • 2.7. Prefix
    • 2.8. Hide
    • 2.9. Detect
    • 2.10. Login
    • 2.11. SSL
    • 2.12. Tweaks
    • 2.13. Logs
  • 3. Configuraciones mínimas desde mi punto de vista y experiencia
  • 4. Webminar. Better WP Security. (Actualizado 10/01/2014)

 

1. Descargar e instalar el plugin

La idea de este punto es mostrarte como se descarga e instala el plugin. Se que para ti puede ser trivial pero no quiero dejar de mostrarlo.

Los pasos son: acceder al epígrafe de plugins, añadir nuevo, escribir en el campo "better wp security" y buscar. El resultado de la búsqueda mostrará una serie de opciones. Te quedarás con la primera.

Presiona en instalar ahora y a continuación no te olvides de activar el plugin.

 

better-wp-security-plugin-21

 

2. Acceso al menú de configuración y resumen práctico de todas las opciones

Una vez activado el plugin vas a ver en el menú lateral izquierdo un nuevo acceso directo con el nombre de "Seguridad" si haces clic accedes a la primera ventana de configuración del plugin donde te muestra lo que ves en la imagen inferior.

 

¿Qué te propone el plugin?

 

  • Crear copia de seguridad de la base de datos

En mi artículo anterior "¿Cómo mejorar la seguridad en WordPress?" una y otra vez te he hecho mención a las copias de seguridad, aquí tienes más argumentos que te dicen que son fundamentales. Si no tienes copia, por favor, hazla.

 

  • No gracias. Ya tengo una copia de seguridad

Tengo otro artículo donde te muestro paso a paso como puedes implementar una rutina de copias de seguridad automatizada en WordPress.

 

better-wp-security-plugin-01

 

Una vez hemos optado por una de las opciones anteriores, en mi caso he optado por "No, gracias. Ya tengo una copia de seguridad" porque ya tengo una rutina de copias de seguridad implementada en mi web con el plugin BackWPup, vemos la siguiente ventana de configuración.

 

2.1. Escritorio - Better WP Security - Estado del sistema

Nuevamente tenemos dos opciones

  • A. Asegurar mi sitio contra ataques básicos
  • B. No gracias, prefiero configurarlo todo yo

La opción A en mi experiencia lo que hace es configurar automáticamente unas opciones muy concretas en el punto 2.12 Tweaks. A mi entender, escaso en relación al número de posibilidades que tenemos. Es mejor alternativa optar por la opción B.

 

better-wp-security-plugin-02

 

Una vez has presionado en la opción "No gracias, prefiero configurarlo todo yo" lo que ves es un resumen de 21 opciones de configuración que trabajándolas una a una permitirán mejorar notablemente la seguridad de WordPress. Como te decía al principio, voy a mostrarte estas opciones pero no las voy a configurar todas, te explicaré porque.

Cada una de estas 21 opciones que componen el estado del sistema está enlazada con algún aspecto de las pestañas superiores de configuración.

 

better-wp-security-plugin-22 res600

 

Te adelanto que, desde mi punto de vista, el uso y empleo de este plugin es suficiente para mantener un nivel de seguridad apropiado y estar tranquilo con tu web o con tu blog, es decir, la inversión en tiempo que hagas en aprender a configurar este plugin junto con las facilidades que nos brinda son suficientes, insisto, para estar tranquilos y mantener un nivel de seguridad apropiado en nuestra web o blog.

Si a ello le unes una rutina de copia de seguridad automatizada, estarás curado en salud notablemente ante los peligros que acechan a tu WordPress. Podrás dedicar tu tiempo a otros menesteres, como por ejemplo a ampliar tu cartera de clientes.

 

better-wp-security-plugin-04

 

Al final de las 21 opciones del sistema verás un código de colores que dice así:

  • Los elementos en verde son completamente seguros. ¡Buen trabajo!
  • Los elementos en naranja son seguros parcialmente. Activa más opciones para asegurar estas áreas completamente.
  • Los elementos en rojo no son seguros. Deberías asegurarlos de inmediato.
  • Los elementos en azul no son completamente seguros pero podrían entrar en conflicto con otros temas, plugins, y el resto de operaciones de tu sitio. Asegúralos si puedes, pero si no puedes no te preocupes por ellos.

La idea es trabajar la configuración del plugin para evitar tener elementos en rojo. Por otro lado tendrémos que valorar como se comporta nuestro WordPress en función de los elementos azules. Los elementos que aparecen en naranja obecederán a ajustes que no queremos implantar por otras razones. Los elementos en verde son evidentes.

 

2.2. Usuario - Cambiar usuario admin

En este punto vamos a cambiar al usuario administrador por defecto admin y su identificador. Desde mi punto de vista esta configuración es más que necesaria.

En mi caso, en la página de pruebas que estoy empleando para crear este tutorial de Better WordPress Security he dejado a propósito el usuario admin como administrador por defecto.

Elegid otro nombre de usuario y hacer clic en el botón correspondiente. Usuarios alternativos: webmaster, webusradm, usradmwebpage. O el que más rabia os de a vosotros.

También es importante cambiar el ID (identificador único) del usuario admin. Con presionar el botón lo tenemos resuelto.

 

better-wp-security-plugin-05

 

 

2.3. Away - Modo admistrador ausente

Esta opción es interesante, desde mi punto de vista, si tienes un horario muy específico y concreto para acceder a la administración de tu WordPress. Si no es el caso, como me pasa a mi, no activaría esta funcionalidad.

Básicamente lo que haces es delimitar un horario concreto para poder logarte. Si lo haces fuera de ese horario, nadie podrá logarse en la parte de administración de tu web o blog.

Lo dejo a tu discreción.

 

better-wp-security-plugin-06

 

 

2.4. Ban - Bloquear usuarios

En este epigrafe tienes la posibilidad de impedir el acceso a tu web a determinadas direcciones IP o a un conjunto de ellas que consideres que son sospechosas de tocarte un poco los pies. En el punto 2.13 donde se registran los logs podrás determinar quien te toca los pies o no e impedirle el acceso configurando este punto.

Existe una lista negra de direcciones IP conocida y publicada en hackrepair.com que puedes cargar automáticamente en la configuración de Better WP Security para que la tenga en cuenta.

Por otro lado, puedes habilitar el bloqueo de usuarios y a continuación emplear los campos adicionales que puedes completar con direcciones IP que consideres sospechosas. Este punto exige un poco de pericia técnica y puedes tranquilamente obviarlo.

 

better-wp-security-plugin-07

 

 

2.5 Dir - Cambiar directorio wp-content

WordPress hace un uso intensivo del directorio wp-content. Esto facilita el trabajo a quien quiere rastrear un sitio web con WordPress para realizar alguna actividad sospechosa.

Better WP Security nos proporciona un modo de cambiarle el nombre a ese directorio para hacerles la vida un poco más dificil a quien va con malas artes.

En un sitio web que ya está en producción, es decir, que ya tienes un conjunto de contenido, plugins, temas instalados y un recorrido, no te aconsejo para nada emplear esta opción. Es muy probable que muchos plugins dejen de funcionarte. En mi experiencia así ha sido por lo que esta opción la he descartado.

Si acabas de instalar tu WordPress y está prácticamente con la instalación inicial y poco más, podría ser interesante activar esta funcionalidad. Es un puntito más a tu favor en la seguridad de tu WordPress pero, en beneficio de tu seguridad podrías incurrir en perdida de funcionalidades en el futuro motivado por esta configuración. Esta es la razón por la que personalmente no te lo aconsejaría. Como siempre en estos casos, lo dejo a tu discreción.

 

better-wp-security-plugin-08

 

 

2.6. Backup - Hacer copia de seguridad de la base de datos de WordPress

Con esta herramienta puedes automatizar las copias de seguridad de la base de datos de WordPress. Solo se hace copia de la base de datos, no de los archivos de contenido, por lo que, en mi caso personal las copias de seguridad prefiero delegarlas al plugin BackWPup que está más especializado en este trabajo.

Mi recomendación es que optes por el plugin de copias de seguridad pero según sea tu caso obra en consecuencia. Lo dejo a tu discreción.

 

better-wp-security-plugin-09

 

 

2.7. Prefix - Cambiar el prefijo de la base de datos

El prefijo de la base de datos por defecto en WordPress es "wp_". Esto facilita a mentes malintencionadas el trabajo de elaborar scripts para las bases de datos por defecto de WordPress puesto que en un gran porcentaje se conoce de antemano el nombre de las tablas.

 

Para curarnos en salud con este asunto, Better WP security nos facilita la labor de cambiar el prefijo de nuestras tablas a golpe de clic de ratón. Desde mi punto de vista esto es fantástico.

 

Haremos clic sobre el botón "Cambiar el prefijo de las tablas" y asunto resuelto. En mi artículo anterior comentaba esta posibilidad del plugin y ahora podéis comprobar lo sencillo que es. Puedes darle al botón todas las veces que quieras, el prefijo cambiará una y otra vez.

En mi experiencia esta modificación no afecta al funcionamiento de otros plugins y como te comentaba en mi anterior artículo es una práctica básica.

 

better-wp-security-plugin-10

 

 

2.8. Hide - Ocultar adminitración de WordPress

Esta funcionalidad permite modificar la URL de acceso a la parte de administración, registro y acceso. Activar esta opción mejora un puntito la seguridad de tu sitio web pero a pesar de ello personalmente no contemplo esta opción como fundamental.

El plugin te permite construir la URL que te parezca oportuna siendo ésta una propuesta es interesante pero, en mi caso, con varios sitios web con WordPress a no ser que decida emplear el mismo patrón para todos los sitios no lo veo para mi. Supondría más un inconveniente que una ventaja.

Si solo tienes un sitio web y te amoldas a esta funcionalidad, tendrás un grado mayor de seguridad en tu sitio. A tu discreción.

 

better-wp-security-plugin-18

 

 

2.9. Detect - Detección de intrusiones

Esta funcionalidad te recomiendo encarecidamente que la actives. Te dará una visión de lo que sucede en tu sitio y que no ves a simple vista.

Se desglosa en dos submenus:

  • Detección 404
  • Detección de cambios de archivos

 

Detección 404

La detección de 404 permite dar con usuarios que estén visitando un número importante de páginas inexistentes, es decir, que están obteniendo muchos errores 404. Se asume que un usuario que genera muchos errores 404 en un breve espacio de tiempo está escaneando tu sitio, posiblemente para localizar vulnerabilidades.

Con la activación de esta funcionalidad podemos controlar que usuarios (direcciones IP) incurren con frecuencia en este tipo de errores para a continuación, si es nuestra decisión banearlos. La actividad registrada por el plugin en relación a estos errores la puedes localizar en el epígrafe "2.13 Logs".

 

Detección de cambios de archivos

La detección de archivos modificados está pendiente de los archivos de instalación de WordPress y te informa de los cambios que en ellos se hayan producido. Te puede ayudar a determinar si tu página web o blog ha sido comprometida o no.

Esta comprobación se realiza una vez al día, por motivos de consumo de recursos del servidor. A pesar de tener frecuencia diaria puede ser suficiente para hacerte una idea.

En un sitio web con mucho tráfico diario esta frecuencia podría resultar ser escasa, pero me imagino que un sitio web así dispondrá de otros recursos además de un plugin de seguridad, entre ellos, personal especializado.

La actividad registrada por el plugin en relación a estos errores la puedes localizar en el epígrafe "2.13 Logs" también.

 

better-wp-security-plugin-19

 

2.10. Login - Limitar intentos de acceso

Te recomiendo encarecidamente también que actives esta funcionalidad. Es bastante frecuente que las webs construidas con WordPress (y por otros gestores de contenidos) se vean sometidas a ataques de fuerza bruta, es decir, imaginate un programa creado por una persona con el objetivo de estar durante un tiempo ilimitado probando una y otra vez distintas contraseñas para tratar de logarse en la administración de tu sitio web para obtener control. Si esto se consigue se puede emplear tu web, entre otras cosas, para hacer SPAM.

Para impedir esta posibilidad podemos habilitar esta funcionalidad de Better WP Security y establecer un techo máximo de intentos. A partir de ese intento se bloquea la administración ese usuario (direccion IP) no podrá durante un tiempo (15 minutos) volver a intentar logarse.

A mi juicio, las opciones por defecto que vienen contempladas en el plugin son suficientes.

 

better-wp-security-plugin-20

 

2.11 SSL

Esta funcionalidad la podrás activar siempre y cuando contrates un certificado SSL y lo pongas en producción en tu servidor web. Puedes hacerlo con la ayuda y colaboración de tu proveedor de alojamiento web o no, depende de ti y de la pericia que tengas.

Si hemos cumplido con lo anterior con la ayuda de este plugin podemos determinar y forzar que partes de mi web tienen que trabajar bajo la capa SSL o capa de seguridad, es decir, forzar a que que la información entre mi PC y el servidor viaje cifrada.

Si tienes una web construida con WordPress y empleas el plugin Woocommerce, desde mi punto de vista es más que recomendable adquirir un certificado SSL para emplearlo en tu web. En este caso como en anteriores, lo dejo a tu discreción.

 

better-wp-security-plugin-14

 

2.12 Tweaks

Esta pestaña de configuración nos brinda más opciones con las que mejorar de forma significativa la seguridad de tu web. Si te fijas, hay numerosas opciones sombreadas en amarillo tratando de advertirte que los ajustes que aquí realices pueden provocar conflictos con otros plugins o temas que estés empleando.

Lo bueno es que puedes probar a activar la configuración y si posteriormente detectas que hay algo que no funciona bien, siempre puedes desconfigurarlo.

Las distintas opciones que tienes disponibles desde esta pestaña son

  • Mejoras del servidor. Activa todo menos la opción "Proteger archivos". Si hay otro plugin que toque el .htaccess impedirás que pueda modificarlo. En mi opinión activar esta opción puede ser más un trastorno que una mejora de seguridad.
  • Mejoras del encabezado. Activa todo y ojo con la opción Eliminar EditURI del encabezado si empleas un plugin de Flickr.
  • Mejoras de escritorio. Activa todo.
  • Mejora de fortaleza de contraseñas. Activa todo y en mi opción, sólo el usuario administrator ha de tener la obligación de las contraseás fuertes. Depende de ti.
  • Otras mejoras. Activa todo menos. Reducir spam en los comentarios, Quitar permisos de escritura en .htaccess y wp-config.php, Desactivar el editor en la administración de WordPress. En mi opinión suponen un trastorno más que una ventaja de seguridad.

La configuración rápida que puedes implementar aquí es la siguiente. Todas las opciones que no están sombreadas en amarillo activalas.

Las que están en amarillo actívalas teniendo en cuenta que puedes incurrir en una incompatibilidad con otros plugins. Si incurres en una incompatibilidad, desactiva la opción y listo.

 

better-wp-security-plugin-15

 

2.13. Logs

En este pestaña tienes un resumen de la actividad que registra el plugin en relación a las configuraciones aplicadas en las pestañas de configuración previa.

Lo que se muestra bajo esta pestaña es

  • Limpiar base de datos
  • Bloqueos actuales
  • Errores 404
  • Intentos de acceso fallidos
  • Todos los bloqueos
  • Archivos modificados

 

Limpiar base de datos

Bajo esta opción tienes la posibildiad de borrar de la base de datos de WordPress la información registrada por la actividad del plugin. Un análisis más pormenorizado de las opciones inferiores determinará si tomas la decisión de borrar los registros o por el contrario decides que es mejor conservarlos.

Bloqueos actuales

En esta opción tienes la posibilidad de ver que servidores y usuarios están bloqueados en el momento de hacer la consulta.

Errores 404

En esta opción tienes disponible con alto nivel de detalle los errores 404 que se han generado en tu web o blog, cuando, desde donde, a que URL y la cantidad de veces que se ha producido el error. Tienes pistas suficientes para sacar conclusiones de actividad malintencionada o no.

Intentos de acceso fallidos

Muestra información de los intentos de acceso fallidos a la administración de tu sitio web. Según los registros puedes determinar actividad sospechosa.

Todos los bloqueos

Muestra información de los bloqueos que el plugin ha llevado a cabo ofreciéndote datos como: la hora, el motivo, el servidor y el usuario afectado.

Archivos modificados

Muestra información de todos los cambios en archivos observados por el plugin.

better-wp-security-plugin-16

 

 

3. Configuraciones mínimas desde mi punto de vista y experiencia

En mi experiencia y viendo las opciones de configuración disponibles creo que es fundamental trabajar al menos las siguientes opciones:

better-wp-security-plugin-22

 

 

Fundamental

Pestañas: Usuario, Prefix, Detect, login, Tweaks.

Opcional

Pestañas: Away, Ban, Dir, Bakcup, Hide, SSL.

 

Espero que este tutorial de Better WP Security junto con mi artículo anterior sobre como mejorar la seguridad en tu wordpress te facilite argumentos y pasos necesarios para aplicar en tu sitio web y en tu blog.

 

4. Webminar. Better WP Security

A continuación te dejo un webminar que han subido a youtube los chicos de ithemes.com. Si no estás al corriente resulta que este proveedor de temas ha metido en nómina al desarrollador del plugin Better WP Security.

En mi opinión, tiene que ser toda una experiencia unirse al equipo de ithemes.com aparte de tema de cuantos ceros detrás del 1 han puesto encima de la mesa para la colaboración. Bueno, por un lado a los chicos de ithemes les viene de perlas tener alguien que les ayude con los temas de seguridad en wordpres pero lo que mola de verdad es el lado comercial del asunto, de cara a verder su plugin de pago BackupBuddy. Resulta que, de un día para otro tienen acceso a 1,2 millones de sitios web y blogs que emplean Better WP Security (son las descargas que tiene este plugin hasta la fecha mas o menos), es decir, millones de clientes potenciales. ¡Casi na!
Te adelanto que aún no he tenido oportunidad de probar BackupBuddy pero es posible que lo haga y cuando suceda escribiré algún tutorial para ti .

A continuación te dejo el Webminar.

Paul Benítez
Soy un tipo corriente al que le encanta la tecnología, los servidores en la nube (VPS) y WordPress. Me gusta publicar artículos didácticos, ebooks, tutoriales, vídeos y recursos para que te desenvuelvas mejor con las herramientas y tomes decisiones mejor informado.

15 comments on “Better WP Security, plugin de seguridad para WordPress todo en 1”

  1. Muy bueno el articulo, una pregunta, instale el plug in y parece que configure mal algo, ya que me llego a mi correo un reporte que decía Files Modified: wp-admin/error_log, y no puedo entrar al wp-admin, me manda a la página de not found, pongo : wwwmisitio.com/wp-admin/error_log, y aparece una lista larga con algo así wp_users' doesn't exist de la base de datos de WordPress para la consulta SELECT, prácticamente para todo el wp-admin, que puedo hacer para poder entrar de nuevo al admin, te agradeceria mucho tu respuesta.

    1. Hola Angel, por lo que describes me da que has podido configurar alguna opción "delicada" del plugin que, como no estés un poco ducho, te puede pasar lo que te ha sucedido a ti.

      Intuyo que has podido ocultar (Hide Login Area) el wp-admin (punto 2.8). Este plugin ahora se llama Ithemes Security y me imagino que es con ese con el que estabas trabajando en tu caso. Por si te sirve de ayuda, verás. En mi caso he ocultado el acceso al wp-admin por wplogin, es decir, que para poder acceder a la administración de mi blog tengo que ir a http://www.administrandowp.com/wplogin si voy a http://www.administrandowp.com/wp-admin me da error. ¿Es posible que hayas hecho tu lo mismo? Haz la prueba y me cuentas. Ahora que he hecho publico el acceso a mi area de adminitración tendré que volver a cambiarla, jejejeje.

      Saludos y ya me cuentas que tal. Paul

  2. Muy bueno y me ha ayudado a decidir por éste pluggin para un sitio en el que estoy trabajando. Muy pero muy didáctico tu post. Saludos cordiales

  3. ME ha encantado este artículo,
    muy sencillo de seguir y muy bien explicado el porqué de cada opción.
    Muchas gracias y felicidades!

    1. Hola evaxarte, me alegro mucho de que lo veas así. Seguiré en esa linea con más tutoriales sobre WordPress. ¡Que tengas un buen día! El mío ya me lo has alegrado tu.

Política de comentarios. Por favor, procura que tus comentarios estén relacionados con la entrada, emplea tu nombre, limita los enlaces y respeta a los demás lectores. Los comentarios off topic, promocionales, ofensivos o ilegales serán editados y borrados. Recuerda. De buena voluntad responderé a tus comentarios pero este sitio no es un soporte técnico oficial aunque lo pueda parecer.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Responsable » Paul Benítez Icatt
Finalidad » gestionar los comentarios.
Legitimación » tu consentimiento.
Destinatarios » los datos que me facilitas estarán ubicados en los servidores de Hetzner (proveedor de www.administrandowp.com) dentro de la UE. Ver política de privacidad de Hetzner*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Top

¿Dónde te envío los ebooks ?

35356

Responsable: Paul Benítez Icatt, siendo la Finalidad; envíarte mis ebooks, mi newsletter y ocasionalmente promociones de productos y/o servicios y recursos exclusivos que merecen la pena. No SPAM. La Legitimación; es gracias a tu consentimiento. Destinatarios: tus datos se encuentran alojados en mi plataforma de email marketing Mautic hospedada en la empresa Alemana Hetzner.com dentro de la UE. Podrás ejercer Tus Derechos de Acceso, Rectificación, Limitación o Suprimir tus datos en [email protected] Para más información puedes consultar la política de privacidad.

linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram