Aunque es tan grande el trabajo de Automattic y de la comunidad de WordPress por mantener a WordPress lo más seguro posible, su popularidad hace que siga siendo blanco de numerosos ataques que aprovechan hasta el menor de los espacios para llevarse a cabo. Pues bien, con ayuda de Hongkiat, revisamos hoy media docena de plugins de buscan mitigar el riesgo a sufrir por las vulnerabilidades y el código malicioso (malware), no son perfectos pero sí logran aumentar la protección considerablemente:
Theme Authenticity Checker (TAC)
Una herramienta que analiza a fondo, en busca de código malicioso y/o indeseado que luego listará detalladamente para su eliminación, los respectivos ficheros que componen cada theme instalado en nuestro WordPress. Por código indeseado nos referimos a algunos enlaces ocultos que algunos themes pueden incluir en el pie de página y hasta codificaciones en Base64.
Exploit Scanner
Para la detección también de código malicioso tanto en la base de datos del sitio web (tablas de artículos y comentarios) como en los ficheros de WordPress, alertando sobre actividad sospechosa encontrada. Eso sí, como su nombre lo indica, se trata de un escáner y no ejecutará medidas más que de detección así que las correcciones, en particular, la supresión de archivos, debe realizarse manualmente.
Sucuri Security
Un kit de protección que incluye software antimalware, auditorías de actividad sospechosa, revisión de la integridad de ficheros, monitoreo guiado por sistemas de blacklists, notificaciones, refuerzo de medidas de seguridad actuales, CloudProxy como Firewall (para protegerse de ataques DOS/DDOS, sin embargo, es un complemento de pago) y un acceso rápido a acciones a ejecutar tras un “hackeo”.
Anti-Malware and Brute-Force Security
Éste sí incluye eliminación automática de “amenazas conocidas” y mantiene al tanto (aunque hace falta registrarse) sobre nuevas “definiciones” de malware conseguidas. Además del básico escaneo que ejecutan todos los plugins del listado y que incluye opciones para su personalización, también realiza ajustes avanzados en el wp-login.php para disminuir las posibilidades de un ataque de fuerza bruta
AntiVirus For WordPress
Una sencilla pero poderosa opción de protección que también registra los ficheros de cada theme en busca de inyecciones de código malicioso y SPAM. Revisiones diarias con notificaciones vía email, escaneo de la base de datos, alerta de virus en el panel principal de WordPress, tareas de limpieza tras la eliminación de determinado plugin y hasta integración de la información de Google Safe Browsing para ayudar a garantizar la seguridad frente al malware y al phishing, hacen parte de sus características.
Wordfence
Compatible con WordPress Multisite y otros plugins como el de WooCommerce, ofrece en su versión gratuita protección en tiempo real (optimizada vía Falcon Engine) incluyendo ante recientes ataques reportados por otros usuarios de Wordfence, escaneo de ficheros y registro de sus modificaciones, defensa antiphishing, reportes discriminados por el tipo de consultas generadas al sitio, firewall y bloqueo de IP”™s. La verificación en dos pasos para el login se incluye pero únicamente en su versión de pago, sin embargo, ya hemos mencionado varias herramientas para tal tarea.
Imagen inicial: Plugin AntiVirus for WordPress