Éste es un post invitado de Paul Benítez
¿Sabes que una de las formas que puedes emplear para proteger tu blog o web construido con WordPress es instalar un plugin de seguridad? ¿Y cuál es el mejor plugin de seguridad WordPress?
Pues bien, en este artículo voy a hablarte de la versión gratuita de unos de los plugins de seguridad más descargados y mejor valorados del repositorio de WordPress, me refiero al plugin Wordfence, que actualmente cuenta con más de 2,4 millones de descargas (y subiendo) y un ratio de críticas de 4,9 sobre 5, casi nada.
¿Qué es Wordfence (y cómo ayuda a mejorar la seguridad en WordPress) ?
Es un conjunto de 3 herramientas.
- Es un antivirus con un motor de escaneo que, entre otras cosas, compara los archivos de tu WordPress con los archivos originales del repositorio de WordPress y, en caso de discrepancia, te ayuda a solventarlo.
- Es un firewall con un motor de reglas que bloquea tu sitio a los chicos malos, es decir, los que se saltan las reglas ya sean personas o robots.
- Adicionalmente incorpora un motor de cacheo que puede incrementar ente 30 y 50 veces la velocidad de carga de tu sitio web o blog. No puedo dar fe de esto último, pero ahí está.
¿Qué hace Wordfence exactamente para blindar tu seguridad WordPress?
Wordfence monitoriza tu sitio web constantemente y lo protege de aquellos que intentan practicar «malas artes» contra él.
Te da una visión de quién te está visitando, qué están haciendo en tu sitio web o blog y quién ha sido bloqueado, ya sean personas o robots.
La idea de hoy es explicarte de un modo sencillo cada uno de los epígrafes de este plugin para que entiendas cómo funciona y para que tengas unas nociones básicas del mismo. Ya sabes que Wordfence es toda una referencia cuando se trata de ayudarte a proteger tu sitio web o blog de las mentes malintencionadas. Vamos a verlo, paso a paso.
A modo de esquema y siguiendo la propia organización de menú de enlaces que nos presenta el plugin tenemos:
- Scan
- Live Traffic
- Performance Setup
- Blocked IPs
- Cellphone Sign-in
- Country Blocking
- Scan Schedule
- Whois Lookup
- Advanced Blocking
- Options
El listado de las mejores armas de seguridad WordPress, powered by Wordfence
1. Scan (Escanear)
Al acceder al menú Scan una de las cosas que ves es el botón Start a Wordfence Scan (1) que si lo presionas activas un chequeo preconfigurado. Esta preconfiguración se puede modificar y/o ampliar y/o reducir desde el menú Options/Scan to include. Básicamente esta herramienta analiza los archivos de tu web o blog en busca de posibles problemas (vulnerabilidades, archivos sospechosos, profundidad de las contraseñas empleadas, enlaces sospechosos en artículos y páginas, etc.) Éste es el motor antivirus.
En los epígrafes Scan Summary (2) y Scan Detailed Activity (3) puedes ir leyendo el resultado del chequeo y en función del mismo realizar las acciones pertinentes. Cada caso tendrá sus particularidades, por lo que es un tema que dejo a tu discreción.
En la parte inferior de este epígrafe -una vez concluido el chequeo- te muestra una relación de «problemas» que te propone resolver en función de un nivel de «severidad» que el plugin te marca.
En la imagen inferior puedes ver cómo marca como grave el hecho de tener una relación de plugins desactualizados, véase la cruz enorme en rojo que acompaña al texto (recuerda que actualizar los plugins y los temas es una práctica altamente recomendada) y desde este mismo lugar te facilita el poder dar solución a los mismos (Click here to update now).
2. Live Traffic (Tráfico en línea)
Desde este enlace tienes acceso a un conjunto de pestañas informativas relativas a la actividad que se produce en tu web. Se trata de información relevante que te va a permitir tomar decisiones encaminadas a la mejora de seguridad de tu sitio. Todo ello en función de lo que veas, claro está.
- All hits. Registro de todo el tráfico ordenado por fecha.
- Human. Registro del tráfico que obedece a un comportamiento humano (no máquinas o arañas).
- Registered Users. Registro del tráfico que realizan usuarios registrados.
- Crawlers. Arañas. Dicho de otro modo, los robots que visitan tu web con motivo de indexarla (Yahoo, Bing, etc.) Hay bichos malos que también entran dentro de este capítulo.
- Google Crawlers. Arañas de Google. Los robots de Google que visitan tu web con motivo de indexarla.
- Pages Not Found. Registro de páginas no encontradas en tu web o blog.
- Logins and Logouts. Registro de accesos a tu sitio web o blog, tanto las entradas como los cierres de sesión, es decir, cuando terminas.
- Top Consumers. Registro de aquellos que más tráfico consumen.
- Top 404s. Registro de las páginas de error 404 más populares.
La interpretación de la información de estas pestañas te puede dar pistas para tomar acciones en beneficio de tu seguridad, por ejemplo, en la imagen inferior puedes ver en la pestaña Pages Not Found (1) que hace 14 días y 10 horas (2) desde Slovakia (3) se muestra que intentaron acceder a un archivo CSS (4) que no existe. Coincide que se trata de un CSS que aparentemente viene con el plugin MailPoet Newsletter (anteriormente llamado Wysija) muy popular en WordPress, en concreto, un plugin descargado más de 2 millones de veces.
Hasta aquí la cosa no tiene mayor relevancia menos que estés al corriente de que hace poco se descubrió una vulnerabilidad en este plugin que invitaba a los más de 2 millones de usuarios a actualizar a la versión más reciente del mismo que corregía dicha vulnerabilidad.
Si eres usuario de dicho plugin y digamos que, la pereza puede contigo -decides posponer una y otra vez su actualización- has de ser consciente de que estarás expuesto a tener un problema.
Es más, si mientras luchas con tu pereza para actualizar el plugin tu web o blog se ve comprometido, tienes que ser consciente de que los que van con malas artes harán un uso malintencionado. Esto para ti es un problema, por un lado porque te afecta a ti y por otro, porque muy probablemente estarás afectando a terceras personas, tus visitantes, lectores y clientes, es decir, eres responsable de esta situación por no actualizar el plugin. Dicho de otro modo, confío que la pereza no pueda contigo y mantengas tus plugins actualizados.
Otro asunto. Dejo a tu discreción interpretar por qué «alguien» o «algo» está buscando un archivo de un plugin que sabe tiene una vulnerabilidad conocida y lo tienen instalado ni más ni menos que 2 millones de WordPress.
3. Performance Setup (Configuración de rendimiento)
Wordfence incorpora una funcionalidad de cacheo. Si bien esta funcionalidad es quizás menos conocida (o al menos en mi opinión) podemos optar por activarla y ahorrarnos un plugin adicional de caché.
La modalidad Falcon Engine especifica que puede producir un incremento de velocidad de entre 30 y 50 veces la actual velocidad de carga de tu blog o web. No tengo experiencia como para dar fe de este asunto. El tema del caché lo suelo trabajar con otros plugins por lo que dejo a tu discreción emplear esta funcionalidad o, si ya lo haces, te animo a que nos cuentes tu experiencia.
Una idea sencilla para valorar la mejora de velocidad de carga es realizar en primer lugar un test de tu web o blog en pingdom o en gtmetrix sin activar esta opción para, a continuación, en un segundo test hacer el mismo ejercicio con la caché activada. Valora los resultados.
4. Blocked IPs (IPs bloqueadas)
Desde este enlace accedes a una herramienta que te resume las distintas de direcciones IP que han sido bloqueadas, digamos que, por razones sospechosas en base a la configuración del plugin.
- La primera pestaña te muestra IPs que no pueden visitar tu sitio web. En el caso de que una de estas IPs llegue a tu web, se les mostraría un cartelito simpático avisándoles de que su visita no es bienvenida.
- La segunda pestaña te muestra IPs que han sido bloqueadas para loguearse en el sitio web y para emplear el mecanismo interno de WordPress de recuperación de contraseñas.
- La tercera pestaña te muestra IPs que han sido puestas en el punto de mira del plugin por acceder a nuestra web de forma demasiado recurrente o porque están rompiendo una de las reglas del motor de Wordfence. Reglas que veremos en la opción Options.
5. Cellphone Sign-in (Inicio de sesión empleando un móvil)
Como primera característica de pago el plugin permite configurar un factor de autenticación empleando tu teléfono móvil, es decir, que para acceder a la administración del sitio tendrás que introducir un código numérico que te llegará a tu móvil (aparte de tu nombre de usuario y contraseña). El empleo de esta característica lo dejo a tu discreción.
6. Country blocking options (Opciones de bloqueo por país)
Se trata de otra característica de pago que emplea una base de datos de geolocalización muy precisa. Esta herramienta te permite bloquear el acceso a tu blog o web de un modo bastante fino, teniendo la posibilidad de bloquear en base a un rango extenso de diferentes de países.
Se me ocurre que, si en un momento dado detectas actividad malintencionada desde China, puedes optar por bloquear todo lo que venga de ese país y a correr. Dejo a tu discreción contratar la versión premium para hacer uso de esta herramienta.
7. Scan Schedule (Escaneos programados)
Se trata de otra característica de pago. La idea es que tú puedas decidir la regularidad de escaneos de tu sitio frente al escaneo diario y automático que se realiza en la versión gratuita. Igualmente, lo dejo a tu discreción.
8. Whois Lookup (Búsqueda en Whois)
Se trata de una herramienta que te permite sacar información sobre una determinada IP o nombre de dominio. Esto te puede ayudar a aclarar quién está tratando de «hackearte» la web o el blog.
Con esta información en la mano puedes notificarlo a la organización correspondiente. Si en Wordfence ves que se ha detectado una IP maliciosa, emplea WHOIS Lookup, localiza quién es el responsable de esa dirección IP y a continuación envía un mail la cuenta de correo «abuse» para que pongan las medidas oportunas. Mientras tanto puedes bloquear el acceso a tu web de dicha IP.
9. Advanced Blocking (Bloqueo avanzado)
La herramienta de bloqueo avanzada te permite bloquear rangos de IPs (1), direcciones de IP concretas (1) o nombres de agentes que concuerden con una cadena de caracteres que especifiques (2). Nunca está de más añadir la razón del bloqueo. (3)
Si tras realizar un escaneo o con la herramienta Live Traffic detectas algo sospechoso, puedes plantearte hacer uso del bloqueo avanzado y ponerlo a trabajar en función de lo observado en las herramientas anteriores.
10. Options (Opciones)
La configuración de opciones del plugin es la base del comportamiento y la suma de funcionalidades del mismo, es decir, lo que configures en este punto afecta al resto de opciones que hemos visto. Se desglosan en tres: Licencia, Opciones básicas y Opciones avanzadas.
10.1. License (Licencia)
En este apartado encontramos introducida una clave de licencia gratuita. Si decides comprar el servicio de pago, tendrás que introducir en este punto tu licencia. Inmediatamente accederás a todo el conjunto de herramientas premium.
10.2. Basic options (Opciones básicas)
Como opciones de configuración básicas tienes la posibilidad de habilitar y deshabilitar las propias funcionalidades del plugin. Dependiendo de la versión que tengas (gratuita o de pago) tendrás más o menos posibilidades.
- Enable Firewall. Habilitar el firewall.
- Enable login security. Habilitar las opciones de seguridad para acceder al sitio, es decir, donde escribimos el usuario y la clave para entrar a nuestro WordPress.
- Enable Live Traffic View. Habilitar la vista de tráfico en línea.
- Advanced Comment Spam Filter. Filtro avanzado de comentarios. Opción de pago.
- Check if this website is being Spamvertised. Verificar con los servicios de SPAM si mi web aparece en los enlaces de correo de SPAM. Es una opción de pago.
- Check if this website IP is generating spam. Verificar con los servicios de SPAM si la IP de mi sitio web consta como IP desde la que se está haciendo SPAM. De pago también.
- Enable automatic scheduled scans. Habilitar los escaneos automáticos y diarios del sitio web o blog.
- Update Wordfence automatically when a new version is released?. Esta opción que viene desmarcada por defecto lo que te pregunta es si quieres activar la posibilidad de que el plugin se auto-actualice solo cada vez que salga una nueva versión. Personalmente me gusta hacerlo manual y decidir cuándo actualizo los plugins, básicamente porque hago una copia de seguridad antes. Lo dejo a tu discreción.
- Where to email alerts. Al instalar el plugin te pide un correo donde enviar los emails de alerta. Aquí se guarda y aquí lo puedes modificar. Puedes introducir varios emails separados por comas.
- Security Level. Nivel de seguridad. Esta opción te permite autoconfigurar todas las opciones del plugin en base a unos criterios de protección que son los que te explican en cada una de las opciones de la lista desplegable, o dicho de otro modo, dada la cantidad de opciones de configuración que tiene el plugin (puede marear un poco y difiere de la tónica general de WordPress de ser lo más sencillo posible) desde esta opción básica puedes autoconfigurar todo el plugin en base a 5 niveles en función del grado de protección que quieras implementar en tu web o blog.
-
- Level 0. Deshabilita todas las medidas de seguridad de tu blog. O lo que es lo mismo, «apagamos el plugin». En el caso de algún problema de incompatibilidad que pienses que pueda estar causado por alguna funcionalidad de este plugin, podrías configurar este nivel para salir de dudas y/o descartar opciones.
- Level 1. Protección suave. Sólo lo básico.
- Level 2. Protección media. Apropiado para la mayoría de sitios. Al instalar el plugin ésta es la opción que por defecto se auto-selecciona. Suficiente.
- Level 3. Alta seguridad. Emplea esta opción cuando un ataque es inminente. Si pruebas a introducir esta opción verás un cambio significativo que las reglas del firewall (firewall rules) y en las opciones de seguridad de acceso al blog. Observa como han modificado sus valores.
- Level 4. Bloquear. Protege el sitio contra un ataque en curso a costa de los inconvenientes que puedas causar a algunos usuarios de tu sitio web o blog.
- How does Wordfence get IPs. Esta opción determina el mecanismo que emplea Wordfence para recopilar las direcciones IPs de los que te visitan.
10.3. Advanced Options (Opciones avanzadas)
En las opciones avanzadas tenemos la posibilidad de hilar fino en el comportamiento del plugin. A menos que seas un especialista en dicha área o te desenvuelvas bien, en mi opinión, deberías trabajar con las opciones de seguridad preconfiguradas vistas anteriormente en la sección de opciones básicas.
10.3.1. Alerts (Alertas)
Las alertas son opciones de configuración que te permitirán estar informado por email sobre lo que acontece en tu web o blog. Cualquier comportamiento que sea motivo de una alerta generará un email a la cuenta que hayas configurado (where to email alerts). Recuerda que se pueden configurar varias cuentas.
Correo de ejemplo de una alerta recibida
10.3.2. Live Traffic View (Vista del tráfico online)
En este punto tienes la posibilidad de decirle al plugin que no tenga en cuenta ciertas IPs, agentes o usuarios que por las razones que sean no te interesa o no quieres que sean monitorizados por el plugin. Por ejemplo, los usuarios con acceso de publicación al blog o web no son monitorizados (Don’t log signed-in users with publishing access)
10.3.3. Scans to include (Escaneos a realizar)
En este punto se enumeran, muestran y especifican los diferentes tipos de escaneos que hace el plugin. Según que opciones tengas aquí marcadas así se comportará el escaneo que realizas al presionar el botón Start a scan now desde el menú scan. Las opciones que vienen marcadas por defecto, a priori, son suficientes.
Este plugin te puede ayudar a reparar tu sitio web en caso de que éste haya sido hackeado. ¿Cómo lo hace? Gracias a la opción «Scan core files against repository versions for changes» este plugin puede determinar si los archivos de tu WordPress no coinciden con los archivos originales que conforman un WordPress. Si el plugin detecta que hay archivos en tu web o blog que no cuadran con la versión original del repositorio, te propondrá sustituirlos.
10.3.4. Firewall Rules (Reglas del firewall)
En este punto se enumeran, muestran y especifican las diferentes reglas del firewall que te permiten bloquear cualquier «comportamiento sospechoso».
¿Qué es un comportamiento sospechoso? Aquel que excede de los valores definidos.
Por ejemplo, si en las opciones básicas configuras el nivel de seguridad en Level 4, verás que las reglas del firewall se autoajustan. Si te fijas en la opción de la imagen inferior «If a human’s pages not found (404s) exceed« (1), lo que va a suceder a partir de ese momento es que, si las páginas no encontradas (404) por tráfico de personas excede de 60 por minutos entonces, el tráfico será bloqueado.
Si por alguna razón alguien o algo visita tu página y se salta esta regla, éste será bloqueado. Y así con el resto de reglas. Si bien es cierto que se producen ataques constantemente, no es necesario tener configurado el nivel 4 (modo pánico) como norma general, con el nivel 2 es suficiente.
Reglas del firewall configuradas en Level 4
Pues ésta es la tónica general del comportamiento del firewall, marcar unos límites (por defecto tienes 5 niveles preconfigurados en las opciones básicas) y el que se los salte (persona o robot), es bloqueado.
10.3.5. Login Security Options (Opciones de seguridad de acceso a la web)
Desde esta herramienta configuramos las opciones de seguridad para acceder al blog, o lo que es lo mismo, desde aquí podemos limitar los intentos de acceso a aquellos que van con malas artes. También podemos forzar que todos los usuarios de nuestro blog o web empleen contraseñas fuertes. Las opciones Lock out after how many login failure y Lock out after how many forgot password attempts limitan los intentos de acceso al login y limitan los intentos de recuperación de contraseñas.
Igualmente puedes determinar el tiempo que van a estar bloqueados. Recuerda que estas opciones se pueden configuran automáticamente según el nivel de seguridad que definas en las opciones básicas. Si quieres hilar fino, a tu discreción.
El resto de casillas de verificación ayudan en otras tareas de seguridad como prevenir que se pueda ver los nombre de usuarios si se hace una búsqueda tipo ?/author=N»scans» en la URL, evitar que WordPress muestre usuarios válidos al realizar intentos de acceso fallidos y un par de opciones más que por defecto vienen marcadas.
10.3.6. Other Options (Otras opciones)
En esta sección tenemos otras opciones (también preconfiguradas) que mejoran la seguridad de nuestro sitio web o blog.
Entre otras te menciono:
- Ocultar la versión de WordPress.
- Filtrar comentarios de malware y de enlaces de phishing.
- Verificar la profundidad de las contraseñas al actualizar el perfil.
- Participar en la red de seguridad en tiempo real de WordPress. Esta opción es muy interesante en tanto que Wordfence monitoriza en tiempo real la actividad de millones de WordPress que tienen instalado Wordfence en el mundo. Si se detecta que se está llevando a cabo un ataque a un WordPress que tenga Wordfence instalado, automáticamente tu WordPress que tiene Wordfence instalado bloqueará ese ataque. A día de hoy según la web de Wordfence se producen más de 36.000 ataques por minuto a los sitios que tienen instalado Wordfence. Te puedes hacer una idea del volumen y de la importancia que tiene el tema de la seguridad.
Concluyendo esta mega guía sobre Seguridad WordPress
A modo de conclusión, quiero citarte la frase que se muestra como introducción de las opciones avanzadas, traduciéndolo a mi manera me gustaría que te quedaras con este mensaje:
«Simplemente instala Wordfence, tu sitio web y contenido estará protegido. Suficiente. Si necesitas más, tienes las opciones avanzadas para hilar más fino.»
Espero que este artículo te sirva de guía para entender cómo funciona Wordfence, sus posibilidades y si tienes que realizar algún tipo de ajuste seas capaz de hacerlo sin mayores problemas.
Si quieres decir algo, te queda alguna duda o simplemente quieres hacerme una crítica, tienes tu oportunidad en los comentarios. Si quieres aprender un poco más sobre el tema de asegurar tu web o blog construido con WordPress te invito a que te descargues mi Guía Práctica de Seguridad en WordPress (ver indice aquí) suscribiéndote a mi blog www.AdministrandoWP.com (anteriormente www.tecnofilos.net).