Este artículo es el último de una serie que ha sido publicada aquí, en WWWhatsnew.com, por el Equipo de The Shock family: iconshock, wpthemegenerator y jqueryslidershock, responsables también por bypeople.com.
Podéis leer el resto de la serie aquí.
Se ha hablado acerca de algunos plugins bastante útiles para asegurar una instalación de WordPress, ahora serán revisados con mas detalle. Un consejo muy importante que debe recalcarse es revisar cada plugin que se instala para asegurarse de que se tiene una herramienta que cumple su función adecuadamente; siempre es buena idea leer en internet las reseñas hechas por los usuarios al plugin
BackWPup: Más que backup
Este plugin ha recibido muy buenas críticas de la mayoría de sus usuarios; no solamente permite hacer backups, sino que también permite optimizar y reparar la base de datos, y en cuanto al backup, se tienen bastantes opciones como guardar la base de datos en servicios en la nube como Google Storage, Microsoft Azure, Dropbox, RackSpaceCloud etc; también permite guardar la en el servidor FTP, como ZIP entre otras opciones.
Sucuri Security: un escáner de malware de 5 estrellas
Este plugin es capaz de hacer varias tareas para mantener la seguridad del sitio; como detectar malware, inyecciones de spam, páginas deshabilitadas, entre otras, y es gratis. Es actualmente uno de los plugins mas usados; y La razón es que es bastante simple de usar. Después de descargado e instalado, probablemente sólo necesites la opción “1-click-hardening” para tener un sitio bien protegido; los sus usuarios confirman esto con sus críticas positivas.
CloudFlare: Un plugin Antispam
Es básicamente un plugin que le permite a tu instalación de WordPress correr en la plataforma CloudFlare, de este modo podrá mantenerse protegida de hackers y spammers; entre sus ventajas se puede mencionar que reduce en gran medida la cantidad de spam que es enviado a través de comentarios y páginas de contacto, por lo que tal vez sea interesante echar un vistazo a este plugin. Es necesario tener una cuenta en CloudFlare para usar este plugin pero esta puede ser creada en menos de 5 minutos.
Better WP Security: Mejor seguridad en WordPress
Este plugin permite realizar de manera fácil algunas de las prácticas ya mencionadas en este artículo. Permite cambiar las URLs para el escritorio, la página de ingreso; permite también deshabilitar la página de ingreso por un tiempo determinado (away mode); no sólo eso, también permite hacer escaneos rápidos del sitio para determinar vulnerabilidades y arreglarlas en segundos, banear a bots y usuarios problemáticos; así previene ataques de fuerza bruta bloqueando a usuarios con demasiados intentos de acceso fallidos. También incluye la opción de monitoreo permanente.
Wordfence Security
Un plugin bastante similar a Better WP Security, tiene opciones como supervisión en tiempo real, permitiendo hacer discriminación entre IP, usuario y otras opciones. También permite oscurecer información sensitiva evitando que la información que pueda ser usada para atacar la instalación aparezca. Otra característica particular de este plugin es que revisa los archivos de nuestra instalación comparándolos con los archivos oficiales dando la alerta cuando algo diferente es encontrado.
Limit login attempts
Permite al usuario limitar el número de intentos de acceso que un usuario o software pueda hacer; en ejemplo, si alguien intenta acceder 10 veces sin éxito, el plugin se encarga de restringir a esa persona el acceso por un tiempo determinado. Se puede escoger entre limitar el número de intentos para una IP, o el número de intentos permitidos al usar cookies de autenticación, entre muchas otras opciones.
Login Security Solution
Funciona en una manera similar a la de Limit Login Attempts aunque este plugin también incluye otras características como rastreo de direcciones IP, forzar la salida de una cuenta obligando al usuario a usar la opción de cambio de contraseña. Como medida preventiva, el plugin también ralentiza los tiempos de respuesta a usuarios que tengan múltiples intentos fallidos; entre más intentos fallidos, más lenta será la respuesta.
WP-DBManager: Un plugin ideal para administrar la base de datos
Este plugin ha sido ampliamente usado con excelentes resultados para hacer los backups de seguridad de la instalación de WordPress. Permite hacerlos con la frecuencia que se desee y una vez hechos, son enviados a la dirección de correo electrónico; lo que hace por cierto, que la base de datos permanezca por fuera del servidor, protegiendo así al usuario de perder información debido a errores en el mismo servidor. También incluye opciones para reparar y optimizar la base de datos.
WordPress Firewall: un alto a los ataques más obvios
Este plugin investiga peticiones web usando heurística simple de WordPress para identificar y parar los ataques más obvios; aunque hay bastantes módulos que permiten hacer esto, no siempre están instalados en el servidor o su instalación y configuración puede ser bastante difícil. Este plugin no ha sido actualizado recientemente, pero aún se realizan descargas y los usuarios afirman que funciona muy bien con la última versión de WordPress.
Para recapitular y concluir
Los inconvenientes de seguridad en Wordpress no son en gran medida un producto de fallos en software que un atacante explota, pero si son en gran medida derivados de malas prácticas de los administradores. Por algún tiempo se ha estado estudiando las mejores prácticas de seguridad en Wordpress de varias fuentes para completar esta serie; con la esperanza de que puedan ser fácilmente implementadas para reforzar el sitio y así, enfocar el tiempo en el objetivo por el cual el sitio fue creado.
Una consulta..voy a vender un infoproducto y requiero de la protección de la pagina donde se encuentran los links descargables del producto..es decir que el comprador por ejemplo una vez que haga la compra no copie la URL de la página de descarga y la comparta con todo el mundo..Si tienen alguna respuesta les agradecería mucho..