Ahora descuentos del 21% y 30% en Hosting WordPress de Alta Capacidad    Ver planes y contratar »

Lunes, 24 Febrero 2014 23:49

Como mejorar la seguridad de WordPress con Wordfence Security

Escrito por 
CMS:  WordPress |  Versión:  Todas |  Nivel de dificultad:  Básico |  Tiempo estimado de lectura:  20 minutos


Wordfence SecuritySeguramente has odio muchas veces eso de que WordPress es inseguro, que es un CMS que tiene muchas vulnerabilidades y que es constantemente atacado, pero es importante que sepas que el núcleo de WordPress es uno de los más seguros en los sistemas de gestión de contenidos de código abierto que hay en la actualidad.

Incluso los más recientes intentos por parte de atacantes no han sido blanco del software propiamente dicho ya que han consistido en ataques de fuerza bruta contra sitios web de WordPress con usuarios y contraseñas débiles.

La frecuencia actual de los ataques a sitios de WordPress que ejecutan Wordfence es de 7.860 ataques por minuto. En el Mapa de Wordfence se muestra actualmente el 6% de todos los ataques para evitar sobrecargar el navegador web por lo que imaginar el 100% hace pensar en la necesidad de implementar protecciones de este tipo para garantizar la seguridad de un sitio WordPress.

Para hacer frente a cualquier tipo de ataque, vulnerabilidad y otros, vamos a utilizar el plugin Wordfence Security desarrollado por Feedjit Inc. que está disponible en el WordPress Plugin Directory de forma gratuita (aunque dispone de una versión mucho más completa de pago).

WordPress

Wordfence Security

Wordfence es un plugin de seguridad para WordPress.

Se trata de un plugin de seguridad de clase empresarial gratuito que incluye un servidor de seguridad, escaner anti-virus, sistema de autenticación de dos pasos mediante token (móvil), análisis de enlaces maliciosos y tráfico en tiempo real incluyendo rastreadores.

Wordfence es actualmente el único plugin de seguridad para WordPress que puede verificar y reparar el núcleo del CMS, el theme y los archivos del plugin, incluso si no se dispone de copias de seguridad.

Este plugin ofrece también una clave API Premium que da acceso desde dispositivos móviles a través de SMS, permite bloquear países y programar los análisis para momentos específicos, siendo también compatible con multisitios.

Características de Wordfence Security:

  • Permite el bloqueo en tiempo real de atacantes conocidos. Si otro sitio que usa Wordfence es atacado y bloquea al atacante, tu sitio quedará protegido automáticamente.
  • Puedes acceder utilizando tu contraseña y tu teléfono móvil para mejorar notablemente la seguridad de inicio de sesión (autenticación en dos pasos).
  • Obligar a los administradores, editores y usuarios de un sitio web WordPress a cumplir con el uso de contraseñas seguras, mejorando con ello la seguridad del inicio de sesión.
  • Puede escanear archivos principales, themes y plugins contra versiones del repositorio WordPress.org para comprobar su integridad. (Verifica la seguridad de la fuente, evitando la instalación de plugins fake).
  • Incluye un cortafuegos para bloquear amenazas de seguridad comunes como Googlebots falsos, exploraciones maliciosos de atacantes y botnets.
  • Permite el bloqueo completo de redes maliciosas. Incluye IP avanzada y WHOIS del dominio (solo para dominios globales .com, .org, .net, etc.) en el reporte de IP maliciosas o redes y bloquea redes enteras utilizando el firewall, informando de las amenazas de seguridad al dueño de la red.
  • Monitoriza el cambio en los archivos de WordPress y opcionalmente repara archivos modificados que son un amenaza a la seguridad.
  • Analiza en busca de firmas de más de 44.000 variantes de malware conocidas.
  • Analiza en busca puertas traseras conocidas que crean agujeros de seguridad que incluyen shells como C99, R57, RootShell, Crystal Shell, Matamu, Cybershell, W4cking, Sniper, Predator, Jackal, Phantasma, GFS, Dive, Dx y muchas más.
  • Continuamente analiza el sitio en busca de malware y todas las URLs de phishing en la lista de navegación segura de Google, en todos sus comentarios, mensajes y archivos que pudieran ser amenazas a la seguridad.
  • Realiza análisis heurísticos en busca de puertas traseras, troyanos, códigos sospechosos y otros problemas de seguridad.
  • Comprueba la intensidad de todas las contraseñas de los usuarios y de administradores para mejorar la seguridad del inicio de sesión.
  • Vigila la seguridad de sus DNS para informar de los cambios de DNS no autorizados.
  • Puedes bloquear aquellos bots, crawlers o scrapers que pueden afectar a tus reglas de seguridad.
  • Incluye conexión de seguridad para bloquear hacks por fuerza bruta y detener WordPress para evitar revelar información que ponga en peligro la seguridad.
  • Puedes visualizar todo el tráfico en tiempo real, incluyendo robots, seres humanos, errores 404, accesos y salidas y en que se consume la mayor parte de tu contenido. Mejora tu conocimiento de la situación de las posibles amenazas de seguridad a las que tu sitio está haciendo frente.
  • Muestra una visión en tiempo real de todo el tráfico que incluye bots automatizados que a menudo constituyen amenazas a la seguridad y análisis de paquetes JavaScript que nunca se muestran.
  • El tráfico en tiempo real incluye DNS inversa y geolocalización a nivel de ciudad. Permite conocer la zona geográfica de las amenazas de seguridad.
  • Monitoriza el espacio en disco, valor que está relacionado con la seguridad, ya que muchos ataques DDoS tratan de consumir todo el espacio en disco para generar un denegación de servicio.
  • Es compatible con WordPress Multisitios.
  • También analiza todos los mensajes y comentarios en todos los blogs de un panel de administración (multisitios).
  • Los usuarios Premium también pueden bloquear países y programar los análisis para momentos específicos y con una mayor frecuencia.

Como instalar Wordfence Security y empezar a proteger tu sitio web WordPress:

  1. Instala el plugin Wordfence Security desde el dashboard, Plugins, Añadir nuevo.
  2. Activa el plugin una vez instalado.
  3. Acepta (si se desean recibir notificaciones) la propuesta de recibir avisos de seguridad en tu email.
  4. Ir al menú de escaneo y comenzar la primera exploración de seguridad. También se habilitará el análisis de seguridad programado.
  5. Una vez que la primera exploración se ha completado aparecerá una lista de las amenazas de seguridad. Revisarlas todas para asegurar tu sitio.
  6. Opcionalmente, cambia el nivel de seguridad o ajusta las opciones avanzadas para configurar el análisis de seguridad individual y opciones de protección para tu sitio.
  7. Haz clic en la opción de menú "Traffic Live" para ver la actividad de tu sitio en tiempo real. El conocimiento del estado de las cosas es una parte MUY importante de la seguridad del sitio web.

Cambios a partir de la versión 5.2.4 - (Septiembre 2014)

A partir de la versión 5.2.4 (la versión 5.2.3 y anteriores son vulnerables) es requisito para poder realizar un escaneo del sitio web disponer de la API Key:



Esta opción está solo disponible para versiones "premium" del plugin.



Que operaciones se llevan a cabo durante un escaneo?

  • Se realiza una colecta de datos de los archivos de WordPress, de los plugins y de los themes para comprobar que no tienen código malicioso incorporado.
  • Recolecta datos de malware de la base de datos de Wordfence.
  • Compara los archivos del nucleo de WordPress con los de la instalación.
  • Escanea los themes en busca de Malware.
  • Escanea los plugins en busca de Malware.
  • Escanea otros archivos en busca de Malware.
  • Escanea las URLs del sitio con Google Safe Browsing List.
  • Escanea las URLs de los comentarios sitio con Google Safe Browsing List.
  • Escanea las contraseñas.
  • Escanea cambios no autorizados de DNS.
  • Comprueba si hay espacio disponible en disco.
  • Escanea themes y plugins antiguos.

Otras opciones avanzadas que podemos configurar en Wordfence Security:

  • Establecer reglas del Firewall.
  • Ocultar la versión de WordPress.
  • Activar o desactivar el Firewall.
  • Activar o desactivar opciones de seguridad en la autentificación.
  • Activar o desactivar Live Traffic.
  • Activar o desactivar programación de escaneos.
  • Comprobación de la fortaleza de las contraseñas usadas.
  • Permite configurar el nivel de seguridad (4 niveles).
  • Permite configurar que alertas se dispararan.
  • Permite ignorar elementos de Live Traffic (IP, usuarios o navegador).
  • Permite elegir que elementos se analizaran durante el escaneo.
  • Permite especificar límites de utilización de memoria.
  • Permite configurar un correo electrónico al que enviar las alertas.

Wordfence Security es un plugin muy recomendado en WordPress, ya que permite proteger y analizar el comportamiento de muchos vectores que suelen ser fuente de ataques y añadir capas de seguridad adicionales para evitar que nuestro sitio web sea vulnerado.

En el siguiente vídeo realizamos la instalación, configuraciones básicas y análisis en tiempo real de lo que sucede en una instalación de WordPress bajo el ojo de Wordfence Security.



Cabe recordar que recientemente el plugin Better WP Security para WordPress, concretamente la versión 3.6.3 se ha reportado como versión vulnerable frente ataques XSS (con exploit en el mercado negro a la venta) y hasta el momento no hay parche ni versión corregida disponible por parte de Bit51 (desarrolladores de este popular plugin de seguridad), lo que deja expuestos cientos de miles de sitios que actualmente hacen uso de este plugin. Quizás sea un buen momento para dar el paso a Wordfence Security y evaluar todas las posibilidades de las que os hemos hablado en este artículo y explorar cada una de las excelentes funcionalidades que incorpora.

Ya ha sido liberada una nueva versión, la 3.6.4, de Better WP Security que resuelve la vulnerabilidad XSS que venia afectando desde hace 1 semana a este plugin por lo que previa copia de seguridad se recomienda actualizar a quienes utilicen en sus instalaciones de WordPress el plugin citado.

Wordfence Security es un plugin muy completo y actualizado constantemente por el equipo de Feedjit Inc. para incorporar las últimas funciones de seguridad y especializado en la caza de amenazas de seguridad más recientes a sitios web WordPress y la monitorización de accesos.



¿Te ha resultado interesante este artículo?

Suscríbete para recibir consejos exclusivos para WordPress, Joomla y PrestaShop



Luis Méndez Alejo

Miembro del equipo técnico de Webempresa.
Coordinador de contenidos en el Blog y en Youtube.
Google+