Configurar iThemes Security 2019
Darío Valenzuela
03/09/2019
¡Suscríbete a nuestra newsletter y recibe nuestras ofertas, novedades y descuentos directamente en tu email!
Hoy vamos a aprender a configurar iThemes Security 2019. Este maravilloso plugin de seguridad reúne todas las prácticas necesarias que nuestro sitio esté limpio y seguro de manos maliciosas.
En mowomo preferimos usar este plugin frente a otros, debido a que es sencillo de configurar e incluye todas las opciones que necesitamos. Aquí os voy a enseñar cómo configurar sus opciones y porqué.
Contenido
- 1 Instalación
- 2 Configuración
- 2.1 Ajustes globales
- 2.2 Centro de avisos
- 2.3 Detección 404
- 2.4 Usuario administrador
- 2.5 Modo reposo
- 2.6 Usuarios baneados
- 2.7 Cambiar directorio del contenido
- 2.8 Cambiar el prefijo de la tabla de la base de datos
- 2.9 Copias de seguridad de bases de datos
- 2.10 Detección de cambios de archivo
- 2.11 Permisos de archivos
- 2.12 Ocultar escritorio
- 2.13 Activar protección contra fuerza bruta
- 2.14 Protección contra fuerza bruta en la red
- 2.15 Requisitos de contraseñas
- 2.16 SSL
- 2.17 Ajustes del sistema
- 2.18 Salts de WordPress
- 2.19 Ajustes de WordPress
- 3 Registros
- 4 Hazte PRO
- 5 Terminar de Configurar iThemes Security 2019
Instalación
Para instalar el plugin seguiremos el siguiente recorrido: Plugins -> Añadir nuevo y en el buscador pondremos «ithemes». Y añadimos iThemes Security (anteriormente Better WP Security).
Le daremos a instalar y después a activar, como todos los plugins.
En el menú lateral aparecerá una nueva entrada: Seguridad. Le daremos a la opción de Ajustes para configurar iThemes Security.
Configuración
La primera vez que entremos en los ajustes del plugin tendremos unas opciones predeterminadas muy útiles. No son obligatorias, pero excepto por un par de opciones, el resto nos viene bien.
Además, te recomiendo que uses la vista en lista y que tengas todas las opciones por delante, básicamente para que no te saltes ningún paso. A mí me ha pasado, pasa en las mejores familias.
Ajustes globales
Soy consciente de que la primera opción era «Comprobación de seguridad», pero es literalmente la configuración inicial del primer paso, así que ya está hecha.
Aquí, lo más importante es añadir a la lista blanca tu propia IP, usando el botón azul que dice Añadir mi dirección IP a la lista blanca para poder hacer las pruebas necesarias y que no te bloquee tu propio sitio. Aunque se tiene que activar la primera opción para que el plugin haga los cambios efectivos. Si quieres cambiar algún otro parámetro es el momento, aunque tal como está te protegerá lo necesario.
Centro de avisos
Este paso es muy importante para configurar iThemes Security 2019, porque si no lo configuras bien, los correos de avisos le llegarán a usuarios que no deberían. Para ello, en los destinatarios por defecto, indica personalizados y tu usuario, o al que quieras que le llegue exclusivamente. Si no tienes otros usuarios, con configurar bien tu correo estará todo solucionado.
Me veo en la obligación de advertirte que Bloqueos en el sitio manda un correo cada vez que se bloquea a un servidor o una IP, así que el número de correos que recibas puede llegar a resultar molesto. Estos correos son meramente informativos, porque el plugin ya hizo el trabajo sucio, así que te recomiendo no activarlo y leer el Boletín de Seguridad diario.
Detección 404
Este paso viene desactivado y sigo sin entender por qué.
Simplemente con activarlo todas las opciones son interesantes y correctas. Básicamente, este punto bloquea a aquellos que empiecen a buscar páginas no existentes, una práctica para encontrar cosas que no se deberían ver.
Usuario administrador
En esta opción no toques nada. Me explico: como bien te avisa el plugin, puedes fastidiar cosas. A no ser que este sea tu primer plugin en el sitio, una muy buena práctica es que no lo actives.
Modo reposo
Esta opción es potente, pero tienes que estar bien coordinado con todos los usuarios de tu sitio. Lo que hace es literalmente bloquear la posibilidad de entrar en el escritorio de WordPress en el horario que especifiques.
Si crees que nadie debería entrar en el sitio durante la madrugada, por poner un ejemplo de tramo horario, actívalo para evitar que malvadas mentes intenten entrar en tu sitio.
Usuarios baneados
Aquí es dónde podemos impedir a ciertas IPs entrar a nuestro sitio, algo habrán hecho.
En la primera opción, que viene desactivada, tenemos ya un buen número de IPs, que ya son mundialmente conocidos como mala gente. De todas maneras, si estás 100% seguro de que esa persona te ha intentado hackear, añádelo aquí.
Cambiar directorio del contenido
Literalmente hay 3 avisos en rojo en esta sección. Como ya mencioné antes, si este es tu primer plugin en tu sitio, estas opciones puedes activarlas sin miedo, y son muy recomendables.
Cambiar el prefijo de la tabla de la base de datos
Otro punto delicado. Esta vez la única medida que tienes que tomar es tener una copia de seguridad de la base de datos, por si algo sale mal. No debería.
Esta opción existe porque la opción predeterminada es wp_, es una práctica hacker muy común intentar entrar por esta vulnerabilidad. Normalmente, este prefijo no es usado una vez creada la base de datos. Te recomiendo que le des un golpe al teclado y lo que salga es tu prefijo. Sé que soy mucho de bromas, pero esta no lo es.
Copias de seguridad de bases de datos
Yo soy muy paranoico, así que cuantas más copias de seguridad existen en este mundo mejor duermo. Lo normal es confiar en otro plugin de copias de seguridad para este punto, pero yo considero que no está mal. Las bases de datos no mutan mucho en el tiempo y pesan poco, simplemente tienes que ser ordenado con tu correo.
El intervalo de copia de seguridad predeterminado es de 3 días, yo te recomiendo que lo subas, normalmente yo uso 7 días.
Detección de cambios de archivo
Si tienes conocimientos de WordPress y quieres estar totalmente seguro de que tu sitio está seguro, actívalo. Cada vez que se haga un cambio en los archivos de tu sitio recibirás un correo de todo lo que ha pasado en tu sitio. La mayor parte del tiempo son cambios en logs, por lo que no termina de ser una herramienta útil.
Permisos de archivos
Aquí solo te muestran los permisos de los archivos más importantes de tu sitio, no hay nada que configurar, pasamos al siguiente paso.
Ocultar escritorio
Con esta casilla podrás cambiar el acceso de tu sitio, ya no será /wp-admin, así que si eres tan despistado y olvidadizo como yo no lo cambies, porque si no te acuerdas no podrás entrar. Los hackers lo tendrán más difícil pero, si el resto de opciones están bien configuradas, es innecesario cambiar este acceso.
Activar protección contra fuerza bruta
Esto sí. Con esto evitamos la gran mayoría de ataques que podría recibir tu sitio.
El único detallito que hay que tener en cuenta es que si tu usuario administrador es admin (mal, muy mal) no actives la última casilla, porque te va a bloquear cada vez que quieras entrar en tu sitio. Si tienes un usuario administrador que no se llama admin, que es el predeterminado, actívalo, porque es lo primero que van a intentar las fuerzas oscuras.
Protección contra fuerza bruta en la red
En este paso sólo tienes que poner tu correo. Hecho, simple y sencillo.
Requisitos de contraseñas
Esta opción viene activada por defecto, y si no te sale, recarga la página, es útil aunque tiene un pero. Si tus usuarios son de poner contraseñas poco seguras, actívalo, y la próxima vez que se conecten tendrán que cambiarla por una en condiciones. Aunque, si esto va a sembrar el caos en tu sitio y vas a tener que estar cambiando las contraseñas de los demás usuarios dos veces a la semana, pues no lo toques.
SSL
No lo toques, ni aunque te paguen. Da más problemas que soluciones. Confía en otro plugin para esto.
Ajustes del sistema
Configurar iThemes Security 2019 sin habilitar esta opción es impensable, pero viene desactivada y tiene 0 sentido de que aparezca así. Lo único que no te recomiendo es que actives el Filtrar los caracteres no ingleses, a no ser que tu sitio esté completamente en inglés. Esta opción impide que en la URL aparezca un carácter que no esté en el alfabeto inglés. Pobre Ñ.
Salts de WordPress
Absolutamente nada que hacer aquí.
Tan inútil que no está ni traducido, imagínate.
Ajustes de WordPress
En este paso hay que activar prácticamente todo. Lo único que es cuestionable es el REST API , que si tu sitio usa alguna, no lo restringas.
Registros
Cada vez que pase algo malicioso tendremos el historial aquí. Desde las copias de seguridad, los accesos bloqueados, spam bloqueado… un largo etcétera.
Hazte PRO
No solo de aire vive la humanidad, así que si nos vamos a esta opción nos redirigirá a su web para contratar el paquete PRO. Añade 1 año de soporte de tickets, 1 año de actualización de plugins y 10 sitios sincronizados con iThemes Sync. En tu bolsillo queda saber si es útil o no.
Terminar de Configurar iThemes Security 2019
Para finalizar te recomiendo unas prácticas que siempre tomo y me previenen de dolores de cabeza.
- Mirar el correo en el cual recibimos las notificaciones regularmente, aquí es dónde nos va a llegar toda la información.
- Si ves algún problema, de repente, con un plugin, puede ser por conflictos con iThemes Security.
- Si te ahogas en un mar de correos notificando cosas, desactiva los correos.
Para mayor seguridad de tu WordPress o WooCommerce, échale un vistazo a nuestros planes de mantenimiento y empieza a vivir tranquilo.
¡Suscríbete a nuestra newsletter y recibe nuestras ofertas, novedades y descuentos directamente en tu email!
