Como mantener tu sitio seguro con iThemes Security.

Instalando iThemes Security.

Lo primero que tenemos que hacer es, añadir el plugin the iTheme Security, para eso nos vamos a ir a Plugins en nuestro escritorio y en la barra de buscar vamos a introducir iThemes Security, y vamos a elegir este plugin, damos clic en instalar y después en activar.

imagen del plugin iThemes Security

Configurando iThemes Security.

Ahora nos vamos a ir al panel de iThemes Security para ajustar las configuraciones que necesitemos y darle mayor seguridad a nuestro WordPress.

Para eso en nuestro escritorio nos vamos a dirigir a Seguridad y vamos a dar clic en Ajustes.

imagen panel de ithemes security

Comprobación de seguridad.

Lo primero que vamos hacer es, dar clic en Mostrar los detalles dentro de la opción de comprobación de seguridad para configurar automáticamente los ajustes.

En la opción que nos aparece, vamos a dar clic en secure site para hacer la comprobación de seguridad.

imagen configuración de itheme security

Una vez que das clic en secure site, este es el resultado que debes obtener.

imagen itheme security configuración

Ajustes Globales.

Ahora vas a dar clic en configurar ajustes para realizar los cambios necesarios.

Lo primero que tenemos que hacer en ajustes globales es permitir que iThemes Security pueda modificar los archivos para estar bien protegidos.

imagen de itheme security ajustes globales

Vamos a activar la opción de la lista negra, para que iTheme security bloquee a esas personas que automáticamente intentar ingresar en nuestro sitio después de haber echo varios intentos.

Para eso tenemos 3 opciones.

  • Bloques.
  • Días.
  • Minutos.
  • BLOQUEOS – aquí vas a decidir después de cuántos intentos fallidos se bloqueara esa IP.
  • DIAS – el numero de días que hay que recordar un bloqueo para que cumplir con la cuenta de la lista negra.
  • MINUTOS – lo que tardara un servidor o usuario en ser bloqueado, tras alcanzar el limite de accesos incorrectos en este sitio.

Una vez que un servidor o usuario alcance los limites que tenemos marcados aquí, se añadirá automáticamente a la lista negra y no nos molestara mas.

imagen de ithemes security ajustes globales

También podemos añadir nuestra IP a la lista blanca para que nunca seamos bloqueados, o las IP de algunas de las personas con las que estemos trabajando, así nos evitaremos algunos problemas.

imagen de ithemes security ajustes globales

Ahora solo da clic en guardar ajustes.

Centro de notificaciones.

En centro de notificaciones no tenemos muchos cambios que hacer, si tienes un correo personalizado por defecto dentro de tu WordPress para recibir tus notificaciones puedes usar ese automáticamente aquí sin necesidad de ingresarlo.

Lo cambios que podemos hacer aquí son activar o desactivar si quieres o no recibir notificaciones diarias, lo que te puedo recomendar es que si te gusta recibir notificaciones lo cambies a semanalmente.

imagen de ithemes security centro de notificaciones

Recuerda siempre hacer clic después de hacer cualquier cambio.

Detección 404.

Cuando un robot te escanea, suele escanear muchas URL buscando puntos débiles, y normalmente esas URL no existen, eso va a provocar que se den muchos errores 404 en muy poco tiempo.

Si iThemes security detecta que en un periodo de X minutos hay mas de X errores desde un IP, provocara un bloqueo a esa IP, eso quiere decir que hay algo que esta escaneándonos y les dará errores 404.

imagen de ithemes security error 404

Los siguientes ficheros iThemes security los pone en una lista blanca porque es típico que se estén escaneando y den error 404, por defecto iThemes los mete ahí para que no sean tomados en cuenta.

Modo de reposo.

Esta opción lo que te permite es poner un horario de acceso al escritorio de WordPress en el que no quieres que se pueda tener acceso, lo que no es muy recomendable activarla, porque si en algún momento decides que necesitas entrar a tu WordPress no podrás hacerlo hasta que el periodo de tiempo finalice.

Usuarios baneados.

Aquí en usuarios baneados podemos especificar direcciones IP o que se va a bloquear, vamos a activar la lista negra por defecto y lista de baneos.

Con estas 2 opciones tenemos configurado esta sección, y como te puedes dar cuenta en el ejemplo, puedes ver como se han agregado servidores automáticamente a la lista de baneados para que no vuelvan a atacar.

imagen de ithemes security usuarios baneados

Copias de seguridad de bases de datos.

Si no tienes otra forma de hacer tus copias de seguridad te recomiendo que actives esta opción, y la configures para que puedas tener la opción de recuperas tus datos en caso de que los pierdas.

Vas a dar clic en Activar y después en configurar ajustes.

Opciones a configurar.

  • Vas a habilitar la opción de copia de seguridad completa de bases de datos.
  • Elige el método en el que quieres que se guarde la copia de seguridad.
  • EL numero de copias a guardar.
  • Si quieres comprimir o no los archivos de copias de seguridad.
  • Activa la casilla de programar las copias d seguridad.
  • Decide el intervalo de días en qué se van hacer las copias de seguridad.
imagen de ithemes security copias de seguridad.

Detección de cambios de archivo.

Esta opción no la vamos a activar, porque de lo contrario vamos a estar recibiendo notificaciones cada vez que cambien los ficheros o cada vez que se actualice un plugin.

Activar protección contra fuerza bruta.

Al activar un límite a los intentos de acceso se prohíbe que el usuario de un servidor pueda intentar iniciar sesión de nuevo tras alcanzar un número determinado de accesos erróneos.

Limita los accesos editando estas opciones.

  • Si alguien intenta acceder desde una misma IP mas de 5 veces será bloqueado.
  • Si un usuario intenta acceder mas de 10 veces y no sabe la contraseña será bloqueado.
  • Se bloqueara por 5 minutos a cualquiera que no cumpla con los limites que hemos establecidos.
  • Automáticamente se bloqueara a cualquier servidor que intente iniciar sesión utilizando el nombre de usuario «admin».
  • Es típico que usen el usuario «admin» por defecto para realizar ataques, por eso es recomendable cambiarlo.
magen ithemes security proteccion contra fuerza bruta.

Protección contra fuerza bruta en la red.

Si al momento de activar el plugin no te aparece la opción de obtener tu clave API gratis, puedes registrarte y activarla en esta sección para que automáticamente se bloqueen las IP que están conocidas como problemáticas en la red.

Requisitos de contraseñas.

Esta opción te permite que cualquier usuario que trabaje contigo y tenga acceso a tu WordPress utilice una contraseña fuerte para poder ingresar, eligiendo desde que perfil necesitas que se utilice la contraseña fuerte.

En este ejemplo solo la tengo para el administrador pero puedes cambiarla de acuerdo a tus necesidades.

imagen de ithemes security - requisitos de contraseña.

SSL.

Si cuentas con un certificado SSL lo puedes configurar desde iThemes Security para forzar que todo cargue sobre SSL, se van a dirigir todas las páginas de http a https.

  • En Avanzado tienes la opción de elegir sitio completo, esto forzara a todo el sitio a usar SSL.
  • SSL en el escritorio, fuerza cualquier acceso al escritorio a ser servido sobre una conexión SSL.
imagen de ithemes security - Servicios SSL.

Ajustes del sistema.

En ajustes del sistema solo vamos a activar algunas de las opciones que nos ofrecen, no vamos a tocar lo que no conocemos para no realizar algún cambio brusco, si llegas a notar que algo no funciona bien solo desactivas esa opción.

opciones a activar.

  • Archivos del sistema.
  • Navegación de directorios.
  • Métodos de petición.
  • Cadenas de consulta sospecha.
  • PHP en uploads.
imagen de ithemes security - ajustes del sistema.

Salts de wordpress.

Las salts son unos códigos que se almacenan en las cookies de sesión de tu web y a través de no tener estos códigos configurados nos podrían atacar por un robo de cookies y así acceder a nuestra web, es importante mantener actualizados estos códigos.

Cuando los actualizas te sacaran del sitio web y tendrás que volver a iniciar sesión de nuevo.

imagen de ithemes security - salts de wordpress.

Ajustes de wordpress.

Estos ajustes pueden utilizarse para fortalecer aun más la seguridad de tu WordPress.

Algunos de estos ajustes podrían entrar en conflicto con otros plugins o temas, así que comprueba tu sitio después de activar cada ajuste.

Estos son los que podemos editar.

  • Windows live lo podemos activar si no lo estamos usando.
  • La cabecera EditURI la podemos activar también.
  • Activar la opción de reducir los comentarios de spam.

Ocultar escritorio.

Esta opción la encontraras si te vas a la esquina superior derecha y das clic en avanzado.

Aquí puedes cambiar la forma que trae por defecto WordPress al iniciar sesión para reforzarla con una palabra o conjunto de palabras.

Esto te ayudara a poner las cosas mas complicadas ante los ataques, ya que por defecto suelen intentar usar la palabra de «wp-admin» para ingresar a tu sitio.

Por defecto para ingresar a nuestro wordpress nos viene así.

www.midominio.com/wp-admin, refuérzalo cambiando el wp-admin por una palabra o palabras como en el siguiente ejemplo.

imagen de ithemes security - ocultar escritorio.

Activa la casilla de ocultar escritorio, pones tu palabra en el slug de inicio de sesión y listo.

COMPARTE ESTA ENTRADA

Share on facebook
Share on twitter
Share on linkedin
Share on pinterest
Share on whatsapp

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Regístrate a la Newsletter

Suscríbete a la newsletter para recibir lo mas reciente del blog.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies
Ir arriba