Últimamente muchos WordPress están sufriendo problemas serios de seguridad que afectan al uptime y a la estabilidad del sitio web, y en muchos casos hasta afectan a la estabilidad del servidor.
Una de las grandes ventajas de WordPress es que es el gestor de contenidos más utilizado, pero al mismo tiempo también es el gestor de contenidos al que le encuentran más rápido los fallos de seguridad debido a la gran cantidad de plugins y themes que existen, cualquier plugin o theme puede ser un fallo de seguridad importante si no se actualiza o si está mal desarrollado.
Hace un par de semanas hablamos bastante de CryptPHP, un malware que afecto a muchos de nuestros clientes, ya que su modo de difusión es a través de plugins y themes nulled o piratas, menos mal que las consecuencias no eran demasiado notables y que lo único que tuvimos que solucionar era un puñado de direcciones IP incluidas en las principales listas de spam y malware web.
Y ahora viene la reflexión, aparte de prevenir y tener cuidado con el contenido nulled y de dudosa reputación, ¿Qué más podemos hacer? ¿Qué nos puede proteger de este tipo de malware? Pues en este artículo vamos a listar 5 plugins de seguridad para WordPress que te pueden resultar interesantes para proteger tu web o blog WordPress.
ALL IN ONE WP SECURITY & FIREWALL
Recientemente he descubierto este plugin en uno de los blogs ingleses ligados a WordPress que suelo leer a diario.
La principal ventaja de un All in One, como su nombre indica, es que incluye varios servicios de seguridad en un único plugin: antivirus, firewall, auditor de seguridad, firewall y algunas funcionalidades más que resultan muy interesantes para securizar WordPress.
Una de las cosas que más me gustan de All in One WP Security & Firewall es la gestión del archivo .htaccess y la gestión del archivo wp-config.php, dos de los archivos más importantes en el funcionamiento de WordPress y en su seguridad (aunque él .htaccess se puede sustituir en caso de no usar Apache o LiteSpeed).
En All In One WP Security & Firewall me he encontrado herramientas para controlar todo tipo de parámetros: seguridad de cuentas, seguridad de bases de datos, seguridad de acceso y login, seguridad contra inyecciones de código malicioso en archivos, seguridad de permisos de archivo y carpeta, protección contra ataques de fuerza bruta, protección contra iframes y ventanas emergentes, protección contra copia de textos y muchas otras funcionalidades más.
WORDFENCE SECURITY
WordFence es uno de los plugins más utilizados para reforzar y mejorar la seguridad de WordPress, y aunque tiene bastante tiempo es uno de los más efectivos ya que nos permite proteger WordPress desde varios frentes al mismo tiempo.
Uno de los puntos fuertes de WordFence es que dispone de un buen motor de análisis de archivos que han cambiado o que han sido inyectados con código, lo malo es que a veces puede dar demasiados falsos positivos en los análisis, además nos permitirá ver en tiempo real el análisis de visitantes, aunque esto aumente de forma importante el consumo de recursos si el sitio web tiene tráfico.
Wordfence intenta tener un mínimo impacto sobre el rendimiento del sitio web, por esta razón trae implementado un pequeño sistema de cache que se puede aprovechar al máximo en servidores web compatibles con .htaccess como Apache.
Por otro lado, WordFence dispone de un firewall muy potente que nos permite bloquear visitantes por país, zona del mundo o incluso por proveedor y user-agent.
Al igual que en el caso de All in One WP Security & Firewall, para aprovechar al máximo el potencial de WordFence debemos configurar el plugin entero, algo que requiere conocimientos avanzados para no tener problemas.
ITHEMES SECURITY
iThemes Security antes se llamaba Better WP Security y desde hace un par de meses (más de medio año) se ha convertido en una solución muy completa para proteger WordPress, ya que nos permite realizar algunos cambios de parámetros que nos ayudaran a mantener WordPress fuera del alcance de intrusos y hackers.
Aunque muchos de nuestros clientes utilizan iThemes Security en sus instalaciones de WordPress, a nosotros personalmente no nos gusta debido a la cantidad de parámetros de configuración que tiene y lo difícil que nos puede poner el uso de WordPress como administradores a cambio de mucha más seguridad.
Aunque parece que iThemes Security te lleva de la mano durante todo el proceso de securizacion del sitio, la realidad no es así y si quieres aprovechar todo el potencial del plugin debes configurar bastantes parámetros, si no sabes muy bien como configurarlos lo recomendable es no hacerlo, ya que un paso en falso puede dejar tu WordPress inaccesible.
iThemes Security no dispone de ningún modulo que le permita limpiar virus o malware, pero si que dispone de un firewall con bloqueo muy potente y personalizable y un sistema que nos permite personalizar muchas partes de WordPress con el fin de mejorar su seguridad y prevenir posibles infecciones futuras.
CENTRORA SECURITY
Centrora Security es una suite de seguridad para WordPress bastante potente y que por ello requiere una instalación muy profunda dentro de WordPress, integrándose con todas las partes del CMS y protegiendo la instalación en su totalidad.
Desgraciadamente no todo puede ser tan bonito, y es que la completa protección que ofrece Centrora impacta directamente en el rendimiento del sitio web o blog WordPress.
Por otro lado, Centrora ofrece algunas funcionalidades gratis, pero otras muchas son de pago, como es el caso del módulo “antivirus”.
En la parte gratuita Centrora nos ofrece un firewall bastante potente y muy configurable siguiendo un esquema de reglas normal, y una herramienta bastante buena que nos permitirá auditar la seguridad de nuestro sitio web para reforzar aquellas partes más indefensas.
Otro punto fuerte de Centrora es que nos protege contra posibles ataques o intentos de inyección usando parámetros GET en la URL, es decir, usando variables.
ANTIVIRUS PARA WORDPRESS
Quizás este plugin es el más “flojo” de la lista de cinco, ya que solo tiene una funcionalidad: antivirus y antimalware para WordPress.
El funcionamiento del plugin es simple y simplemente dispone de una pantalla de configuración donde podemos realizar un análisis bajo petición de los archivos del theme para detectar código malicioso.
El propio plugin se encarga de analizar los archivos del theme una vez al dia para detectar malware y si es así nos avisa mediante un correo electrónico previamente configurado.
Desgraciadamente el plugin, en su intento por analizar de la forma más exaustiva el código, suele detectar bastantes patrones erróneos que provocan falsos positivos, por lo que no es un plugin recomendable para usuarios principiantes de WordPress.
No Comment