Proteger tu WordPress con iThemes Security es como un videojuego

WordPress es el sistema de blogging más popular que existe en la actualidad. Esto implica que, precisamente por ser tan conocido, hay todo un ejército de crackers ahí fuera dispuesto a tumbar los websites de los desprevenidos que no toman la medidas de seguridad básicas. Hay que progeterse.

Como ya hemos comentado en varias ocasiones, esto no quiere decir que WordPress sea inseguro; muy al contrario, es seguro. Como se trata de un sistema de software abierto los errores y ataques que se descubren (cosa desafortunadamente inherente al mundo del software) siempre se pueden arreglar rápidamente si uno toma las medidas adecuadas.

iThemes Security Pro

1. ¿Qué plugins de seguridad hay para WordPress?

Existen varios plugins de seguridad que pueden ayudarte a reforzar la seguridad de tu blog, algunos de los más populares son:

Cada una de estas soluciones viene de fábrica con unas características específicas que la diferencian de las demás. No encontrarás dos herramientas de seguridad iguales.

Los plugins de seguridad para WordPress suelen tener dos versiones: una gratuita y otra premium de pago que viene con soporte técnico. Este es el modelo de negocio de las compañías que desarrollan este tipo de aplicaciones.

Las versiones premium tienen características adicionales más avanzadas que las versiones gratuitas, se lo ponen extremadamente difícil a los crackers que quieren entrar a tu WordPress, vaya. Por ejemplo, algunas versiones premium de los plugins que hemos citado antes vienen con mecanismos de autenticación de dos factores.

En general, la versión gratuita de los plugins de seguridad es suficiente para asegurar tu blog. Si no te quedas del todo tranquilo siempre puedes complementar tu plugin gratuito con otros plugins que refuerzan la seguridad, por ejemplo:

2. iThemes Security a fondo

Hoy vamos a analizar a fondo iThemes Security, el plugin de seguridad para WordPress más descargado y valorado de todos. En el camino repasaremos varios aspectos de seguridad importantes que todo administrador WordPress debe conocer.

Descargas y valoraciones de iThemes Security

Figura 1. iThemes Security es el plugin de seguridad para WordPress más descargado y valorado

2.1. Menú principal de iThemes

Tras instalar iThemes te tiene que aparecer la nueva opción Security en el menú principal del dashboard WordPress:

Menú principal de iThemes

Figura 2. Menú principal de iThemes

Estas opciones también están disponibles en todo momento en la barra de navegación principal del plugin, en la pantala de gestión:

iThemes dashboard

Figura 3. Barra de navegación principal de iThemes Security

2.1.1. Dashboard

Como su nombre indica, se trata del tablero de mandos principal que proporciona una visión general de la seguridad de tu blog. Personalmente me gusta mucho esta pantalla porque permite configurar tu iThemes de forma muy amigable.

El dashboard de iThemes Security se organiza en ítems de prioridad alta, media y baja, que tienes que ir completando hasta construir tu sistema WordPress seguro. ¡Es como un videojuego!

Por ejemplo, nada más instalar el plugin, las tareas de alta prioridad que tienes que completar son estas:

Tareas de alta prioridad

Figura 4. Tareas de alta prioridad por completar

Abajo del todo en la pantalla hay un cuadro de tareas completadas que indica los ítems de seguridad que están completados:

Ítems completados

Figura 5. Ítems completados

De modo que hay que ir pinchando los botones Fix it para ir solucionado los problemas de prioridad alta, media y baja. Cuando pinchas en un botón Fix it, iThemes te redirige a la pestaña Settings para que completes la acción.

Una imagen vale más que 1000 palabras. Vamos a arreglar el problema de prioridad alta Your login area is not protected from brute force attacks para ver cómo funciona todo esto:

Protegiendo la pantalla de login

Figura 6. Protegiendo la pantalla de login de los ataques de fuerza bruta

Como decimos es muy fácil, solo hay que pinchar en el botón Fix it y el plugin nos redirigirá a la sección Settings correspondiente para que nosotros confirmemos la acción.

Confirmar acción

Figura 7. Confirmando la acción en la pestaña Settings

Además del videojuego anterior, porque configurar la seguridad con iThemes Security es como un videojuego de niños, el dashboard también ofrece algunas informaciones técnicas de tu instalación PHP y WordPress: directivas de configuración, información del servidor y de la base de datos, etc.

Joypad

Como norma general, cuando tú arreglas un problema de seguridad, 1º pinchando en un botón Fix it y luego confirmando esa acción en Settings, justo a continuación se añaden unas reglas nuevas a tu archivo de configuración principal .htaccess, de modo que tienes que asegurarte de que WordPress tiene permisos de escritura en .htaccess.

2.1.2. Settings

Como hemos visto en la sección anterior, Settings es una vista avanzada para personas con conocimientos técnicos. Si sabes lo que estás haciendo, puedes configurar la seguridad de tu WordPress directamente en Settings sin pasar antes por la vista amigable del Dashboard.

Personalmente, encuentro que se puede mejorar la usabilidad de esta pantalla. Recuerda que todos los ítems que aparecen en Dashboard van a parar aquí. Y ahora mismo hay tantas opciones que resulta un poco incómodo configurar las cosas directamente desde Settings.

Los usuarios profesionales y avanzados sabrán parametrizar las diferentes opciones que hay en esta pantalla, pero desde luego es mucho más rápido pasar por los ítems del Dashboard de iThemes Security y dejar que la aplicación te redirija a la sección correspondiente de Settings para que tú luego confirmes la acción allí.

2.1.3. Advanced

Esta pestaña contiene un grupo de settings potencialmente peligrosos que deben ser realizados con mucho cuidado por personas que cuenten con conocimientos avanzados de WordPress, PHP y MySQL.

En esta pestaña puedes realizar los siguientes cambios:

  • Cambiar algunos atributos de los usuarios de tu WordPress que pueden dar pistas a los crackers sobre cómo está configurado tu sistema, por ejemplo, puedes cambiar el id de usuario o el nombre predeterminado admin.
  • Cambiar el directorio predeterminado wp-content para dificultar el escaneo malicioso. Esta tarea es peligrosa porque algunos plugins y temas se podrían romper.
  • Cambiar el prefijo wp predeterminado de las tablas de la base de datos WordPress.

Se recomienda hacer una copia de seguridad de tu WordPress y de tu base de datos antes de cambiar estos settings.

2.1.4. Backups

Permite hacer copias de seguridad de la base de datos, y de los archivos que forman WordPress con BackupBuddy.

2.1.5. Logs

Contiene logs varios recogidos por iThemes, para que sepas en todo momento qué está ocurriendo en tu website.

2.1.6. Help

Esta pantalla tiene unos botones para acceder directamente al soporte gratuito de WordPress, el que está disponible en el mismo directorio de plugins, y también al soporte de iThemes Security Pro. Los clientes de iThemes Security Pro disponen de 1 año de asistencia por parte del equipo de soporte, para que te puedan ayudar cuando lo necesitas.

3. Conclusión

iThemes Security es una opción muy buena para gestionar la seguridad de tu blog. Las gestiones de seguridad se llevan a cabo de forma muy amigable desde la pestaña Dashboard, pero también se pueden hacer desde Settings siempre que tu perfil sea el de un usuario avanzado.

Aunque viene con dos versiones, una de pago y otra gratuita, la versión gratuita proporciona una capa de seguridad suficiente. Si aún así no te quedas tranquilo tienes estas opciones para mejorar la seguridad de tu sistema:

  • Instalar más plugins de seguridad que complementen lo que le falta a iThemes
  • Comprar iThemes Security Pro

La primera opción es recomendable para usuarios avanzados, y la segunda es mejor para aquellas personas que prefieren delegar la seguridad en expertos profesionales.

Los plugins de seguridad para WordPress suelen trabajar a nivel de .htaccess. Como alternativa o complemento, los expertos también pueden gestionar la seguridad del sistema a otros niveles, por ejemplo con mod_security de Apache, o con ufw firewall.