Tecnología y Coaching para Emprendedores

Plugins indispensables para la seguridad de WordPress

plugins-wordpress

Hace poco hubo un ataque masivo a WordPress. Una vez pasado, se diría que no hay peligro, pero si se miran los logs del servidor, en muchos casos se comprobará que los ataques a WordPress persisten. Sin ir más lejos, hoy desde las 9 de la mañana hasta las 7.30 de la tarde la IP 176.57.216.198 ubicada en Rusia ha intentado acceder al panel de administración de esta web nada más y nada menos que 15.685 veces. ¡Se dice rápido!

Estos intentos de hackers nos perjudican en dos sentidos:

  • Ponen en peligro nuestro sitio web en WordPress si no tenemos tomadas medidas de seguridad extremas.
  • Ralentizan el tiempo de carga por un exceso de peticiones de una misma página en un corto período de tiempo.

Esto no es un caso puntual, en lo que va de semana he tenido varios ataques, aunque debo decir que la cifra de hoy ha superado todo los records. Una IP de Ucrania lo intentó más de 2.100 veces en tres horas, pero después desistió. Se ve que los rusos son más persistentes, porque si no les bloqueo la IP aún estarían allí dale que te pego. Me pregunto cuál es el objetivo de estos ataques.

A todo esto, debo reconocer que no me dedico a mirar a diario los logs del servidor, suficiente trabajo tengo. Detecté el problema a raíz de comprobar que en determinados momentos la web tardaba mucho en cargarse a pesar de estar optimizada. Fue entonces cuando lo vi. Lo he solucionado con dos plugins premium de WordPress, uno de ellos lo he configurado de manera que me informa si alguien intenta acceder al directorio /wp-login.php.

wordpress-hackers

Veo muchos clientes que usan contraseñas super fáciles de hackear. ¡La contraseña debe ser a prueba de bombas! Y el nombre de usuario no debe ser admin ni el nombre de la página. Mi contraseña contiene más de 25 caracteres entre letras mayúsculas y minúsculas, números y signos especiales sin ningún sentido. ¡El trabajo ha sido mío para memorizarla! Pero si alguien es capaz de descifrarla, le pueden dar el premio nobel al hacking. Y como seguro que hay alguien capaz de programar una máquina que lo haga, he utilizado un plugin que redirige a la página de error si se intenta acceder al panel de administración de WordPress. Ahora tengo mi propia URL de login, URL que también he habido de memorizar por temas de seguridad.


Plugins para la seguridad de WordPress

La verdad es que ante esta problemática me puse manos a la obra a ver qué podía hacer. Mis conocimientos de servidores son bastante básicos y no estoy ahora para liarme la manta a la cabeza con administración de servidores Linux y temas de seguridad de WordPress. Así que para mí la opción más rápida, fácil y eficiente ha sido comprarme dos plugins que hicieran el trabajo por mí. Soy de la opinión que debemos canalizar la energía hacia aquello que se nos da bien y no dispersarnos con cincuenta mil otras tareas que otros van a saber hacer mejor que nosotros.

Securtiy Ninja (10 USD)

seurity-ninja

Este plugin lo que hace es un análisis exhaustivo de la instalación de WordPress desde el panel de adminsitración. Para acceder a él, simplemente se va a Herramientas > Security Ninja. Le damos a ejecutar al test, y tal y como se ve en la imagen, se marca de color verde lo que está bien y de color rojo lo que se ha de cambiar, pues implica un riesgo a la seguridad de WordPress. Cada uno de los puntos en rojo lleva una explicación adjunta en que se explica (en inglés) que es lo que se ha de hacer para corregir el problema. Hay cosas muy fáciles de cambiar, como por ejemplo borrar un archivo del servidor, y otras más complejas, como modificar el prefijo de la base de datos.

Así, Security Ninja lo que hace es más de 31 tests para comprobar la seguridad de la instalación de WordPress.

Hide My WP (20 USD)

hide-my-wp

Este plugin lleva más de 625 ventas en dos meses y tiene una puntuación de los usuarios de 4.60 sobre 5, lo que no está nada mal. Debo reconocer que a mí al principio me llevó a confusión, porque creía que debía hacer los cambios yo a nivel manual, cuando es mucho más fácil y los hace el propio plugin. ¿En qué consiste exactamente? Básicamente oculta que se trata de un sitio web en WordPress. Si miras el código fuente de esta página, verás que la URL a la carpeta del tema no es /wp-content/themes, sino /template. Hace exactamente lo mismo con todos los directorios de WordPress.

Se puede configurar para que te envíe un correo electrónico cada vez que alguien intente acceder al panel de administración. Así, si hay un ataque, te llegarán muchos correos a la vez con la misma IP y lo único que deberás hacer es bloquear la IP desde el panel de administración del servidor. Observé un único fallo, y es que en robots.txt sí que se ve que es WordPress, pero como modifica la URL de acceso al panel de administración, no es un problema importante.


Better WP Security (Gratis)

Excelente plugin 100% gratuito que trae muchísimas funcionalidades, desde bloquear una IP tras varios intentos de acceso y poner así fin a los ataques de fuerza bruta, a reescribir el prefijo de las tablas de WordPress para hacerlo mucho más seguro. Además te indica en diferentes colores lo que pone en peligro tu WordPress y si haces clic, te ayuda a solucionarlo. Muy bueno.

Nota: Este plugin no es compatible con los otros dos, por lo que sólo lo recomiendo en caso de que no se quieran invertir los 30 dólares que cuestan los otros dos. Yo personalmente me quedo con los plugins premium, pero esto ya es cuestión de preferencias y gustos personales.

Para acabar…

Seamos honestos, a nadie nos gusta ver que atacan nuestro servidor, en sí pone de muy mal humor. Sigo preguntándome cuál es la finalidad de estos ataques. Estoy mucho más tranquila desde que tengo estos dos plugins instalados, pues hacen mucho más robusta la instalación de WordPress de esta web. ¿Has sufrido alguna vez este tipo de ataques? ¿Qué motivación crees que hay? Deja un comentario.


Comentarios

  • Guillermo Urbano

    Hola Sandra, interesante entrada, creo que me pillaré ambos plugins en breve ya que ayer mismo sufrí una intrusión en mi wordpress, ayer de repente no podía acceder por la interfaz de usuario y conseguí entrar de otra forma, viendo que habían cambiado el código del header en entraron las 7 cosas… hoy he descubierto un nuevo usuario Administrador pfff me iba a dar algo, lo he bloqueado y no se exactamente qué más hacer, me ha parecido detectar que el ataque venía de Japón pero no soy técnico, y estoy en un lío enorme, espero que con estos plugins se tapen los posibles agujeros que pueda tener, tengo instalados varios plugins para la seguridad, un Firewall que parecía bastante completo pero llevo dos días ocupado y tampoco le he dedicado mucho tiempo, como has dicho prefiero pagar algo y no perder mi tiempo.

    Gran entrada, un saludo.

    Guillermo.

    • Sandra

      Hola Guillermo,

      te entiendo perfectamente, a mí no me han llegado a entrar, pero el susto que me dí cuando me enteré no me lo quita nadie. Y cuando hoy he visto los más de 15.000 intentos de acceso casi me muero. Desde el log del servidor puedes ver las IPs de acceso, si no sabes acceder, las puedes pedir a tu servidor. Cuando veas una IP con muchos intentos de acceso, entonces te recomiendo que la bloquees. Para saber de dónde es la IP, te recomiendo esta web: ip-lookup.net.

      Suerte!
      Sandra

      • Guillermo Urbano

        Gracias por tu respuesta Sandra, espero tener solucionado el tema de la seguridad pronto. No entiendo el por qué de los ataques.

        Saludos.

  • Jordi Pascual

    Hola Sandra
    Tu artículo es muy interesante y da para pensar a los que tenemos instalado WP.
    tengo este problema (?).
    Con respecto a tu pregunta, te comento una reciente experiencia:
    Recibo un correo “personal” de un contacto (tiene una tienda virtual), en que con un perfecto español me dice que esta en Londres, le han robado documentos y € y me solicita que por favor le envíe una transferencia de 500€ para poder regresar a España.
    Me extrañe muchísimo y actuando con cautela le respondí solicitando más info. Me paso detalles sobre ella. En ese momento me percate del (minúsculo) cambio en el email (habían utilizado una firma completamente igual, salvo en el correo [ymail.com] en lugar de gmail).
    Lo denuncie a la policía y al contacto. NO SE HABÍA PERCATADO de que habían entrado en su servidor, le habían copiado todas las direcciones de correo electrónico, habían falsificado su correo y firma y para “dejarlo mejor” le borraron TODAS las direcciones de correo.
    Esta claro, suplantar la personalidad para estafar a otras personas de una forma económica.
    Un abrazo

    • Sandra

      Pues la verdad es que tela marinera, imagino que lo que quieren es quitarme el acceso para luego cobrarme para devolvérmelo, vamos, estafarme. Ahora el tema de seguridad de mi sitio web es fundamental, y la verdad es que estoy super contenta con estos dos plugins. Hay que ser muy conscientes de que nuestros datos son vulnerables y que debemos protegerlos. Gracias por tu comentario, ayuda a tomar conciencia de lo precavido que se ha de ser en Internet.

  • Daniel Bastida | SEO local

    Hola,

    Buen artículo Sandra. La seguridad en wordpress es un tema esencial.

    Muchos usuarios no lo tienen en cuenta y luego pasa lo que pasa. Esto no debe alarmarnos sobre si wp es o no más vulnerable que otros sistemas CMS. Todos tienen lo suyo.

    Yo recomiendo «Better WP Security», cubre muchas problemas de seguridad en wp y te explica cuales son de forma más o menos sencilla. He usado otros y algunos: o ensucian mucho la base de datos o son demasiado complicados.

    http://wordpress.org/extend/plugins/better-wp-security/

    Lo de los logs que los muestre en wp no me gusta mucho la idea, al principio está bien porque te dice hasta qué punto eras débil antes de tener el plugin. Yo los evito. A nivel práctico… esos logs se quedan en la base de datos, la hacen más grande, más lenta, peor… y no te aportan nada ni a ti ni a tus usuarios, que son lo más importante.

    La idea que me gustaría alcanzar: cubrir la seguridad de wp sin plugins para mejor funcionamiento del wp. Algunas cosas de seguridad ya las hago sin plugins. Gracias a las indicaciones que me ha dado Better WP Security en otros proyectos creo el siguiente haciendo lo que hace él, pero sin él. jejee

    Un saludo!

    • Sandra

      Hola Daniel, quizás me he explicado mal, el plugin no registra los logs en WP, es el servidor el que lo hace. Y el plugin envía un correo de estos intentos de acceso. No conozco el plugin que comentas, yo la verdad es que no me arrepiento de los 30 dólares invertidos en estos dos plugins, me dan una tranquilidad enorme, cosa que antes no tenía. Igualmente es una opción a tener en cuenta si alguien no se puede permitir el invertir en plugins de pago. Muchas gracias por tu aportación!

  • Daniel Bastida | SEO local

    Hola de nuevo,

    Lo de los logs lo comentaba, porque trabajé con un plugin que me los mostraba en wp. Estaba bien pero pasaba lo que he comentado.

    Si el plugin te envia un correo con los intentos de accesos, creo que ese dato lo estará registrando en la base de datos vinculada a tu wp.

    Lo fácil para saberlo: Descargate la base de datos en formato .sql, >> ábrelo con notepad >> busca dentro del texto algo que el plugin de seguridad de haya enviado por correo. Si aparece, te lo está registrando. A mi me pasó eso. Por este motivo cambié a otro y voy haciendo cosas sin el plugin.

    Algunos consumen muchos recursos.

    Un saludo.

    Daniel Bastida

    • Sandra

      Hola Daniel,

      he descargado la base de datos de WordPress y no se registran en ellas las IPs ni los logs de servidor. En sí el plugin sólo detecta el ataque y envía el correo, sin ensuciar la base de datos. Lo que ahora me preocupa es cómo bloqueo las IPs de manera automática tras varios intentos de acceso, pues si bien gracias a este plugin en wp-login.php aparece una página de error 404, estos ataques ralentizan el servidor. He visto varios plugins gratuitos, pero ninguno me funciona como debería.. en fin, sigo preguntándome cuál es la finalidad de estos ataques, hoy mismo ya he tenido que bloquear dos IPs, una de ellas llevaba más de 8.596 intentos de acceso cuando me he dado cuenta y la he bloqueado, sino aún estaría intentando acceder, ¡increíble!

      un saludo :-)
      Sandra

      • Daniel Bastida | SEO local

        Hola Sandra,

        Si el plugin de seguridad no te escribe nada en la base de datos, perfecto!

        Yo había usado WordFence, que lo usa mucha gente, pero lo quité por que me ensuciaba mucho la base de datos.

        http://wordpress.org/plugins/wordfence/

        Comentas de bloquear las IP de forma automàtica, lo que hace Better-wp-security es bloquear el acceso tras tres intentos.

        http://wordpress.org/plugins/better-wp-security/

        También cambia el wp-login por el nombre que tú crees. Además puedes bloquear el acceso a todo el mundo, incluido el administrador para las horas que sabes seguro que no tiene que entrar nadie, horas de la noche… fines de semana, me parece bastante completo y me ahorra sustos.

        Un saludo!

        Daniel

        • Sandra

          Muy buenas aportaciones, Daniel, muchas gracias!
          Sandra

  • Jordi

    Hola, yo estoy sufriendo ataques de China y Rusia y tras varías caídas me he puesto a la búsqueda de algún plugin que me pueda ayudar antes de que pase algo más grave.

    He llegado tu web y me pregunto si estos plugins que recomiendas afectan de manera negativa al consumo de CPU y RAM del sevidor. Es decir, ¿aumentan mucho el consumo de recursos del server?

    Gracias de antemano.

    • Sandra

      No te sé decir, sólo sé que no afecta el tiempo de carga. Y como tengo un buen VPS con Gigas no noto que me afecte a nivel de CPU y RAM. Te recomiendo dejar un comentario en CodeCanyon preguntando directamente al desarrollador del plugin.

  • Sergio

    Hola buenas Sandra interesante lo que comentas de la seguridad. En uno de los blog que llevo si consiguieron entrar e instalar en el servidor unos cuantos archivos, con estos archivos lo que conseguían era tener acceso al alojamiento completo, podía subir, bajar, descargar y borrar lo que quisiesen, lo bueno es que se detectan rápido por que la fecha y la hora de subida de esos archivos coinciden y es facil mirar todas las carpetas de wordpress y localizarlos.
    Yo a partir de eso y los continuos intentos de entrada a wordpress, lo primero que hice fue editar la base de datos, la tabla users y cambiar el usuario admin por otro, cambiándolo directamente desde la BBDD, después instalé esto:

    http://wordpress.org/plugins/limit-login-attempts/

    Con esto limitas las veces que una ip puede intentar entrar con un usuario y contraseña que no son los correctos, a mi me ha parecido muy util, y luego instalé el que comenta Daniel el WordFence, pero probaré estos que comentas a ver que tal funcionan.

    Un saludo
    Sergio

    • Sandra

      Muchas gracias por tu aportación, Sergio! Acabo de instalar el plugin :-)

  • John / Agencia de Publicidad

    Un artículo muy interesante y práctico. Voy a instalar los pluggin ! Gracias.

  • jose

    Gracias por tus consejos. Ultimamente estoy reforzando mi pagina kuvus.com y el tema del login y paswords ya lo tengo solucionado, ahora tengo que solucionar temas de códigos.

    gracias por los consejos de los plugins

    • eSandra

      Me alegro te haya sido útil, suerte con tu página :-)

  • Dody Paz

    Hola Sandra y amigos del blog, creo que todos hemos tenido problemas muy similares y no tomamos conciencia hasta que no nos ocurre como a mi que me tumbaron la pagina completa despues de un arduo trabajo, les dejo dos plugins que son muy simples, pero muy efectivos, que no dejo de instalarlos en cada sitio que monto, el primero es
    limit login attempts, este plugin en menos de un minuto lo configuras y te da la posibilidad de decidir cuantas veces un hacker intenta entrar a tu sitio y no pone vien la clave asi como los robots, yo lo tengo puesto para 3 intentos y lo bloquea por un periodo de tiempo que cada quien le da el que desea, a los 3 intentos haciendo lo mismo lo bloqueas por 24 horas o lo que decidas, es super sencillo.
    el segundo es Si Captcha anti-spam, este de igual forma se coloca para que todos los registros que se hagan en tu pagina, hasta el login al panel de control lleve Captcha y en verdad es super interesante ver como pensaba que nadie entraba a mi sitio y ahora me doy cuenta cuantas personas intentan ataques contra la pagina, esto me tiene mucho mas tranquilo, pero alerta, la seguridad a nuestros sitios nunca es suficiente.
    Saludos

    • eSandra

      Gracias por tu aportación!

  • Dody Paz

    Una ultima recomendacion Sandra, aqui noto en tu blog una debilidad, me tomo la atribucion de decirtela, este formulario de contacto no tiene captcha y para opinar en el no hay que hacer registros ni necesita aprobacion, por eso te sugiero que tomes medidas, en mi blog para que una persona deje su opinion, primero debe registrarse y despues ser aprobado, ademas posee captcha para evitar lo antes expuesto.
    Saludos

    • eSandra

      Yo utilizo el plugin gratuito Akismet que viene con WordPress y me va perfecto. Gracias igualmente por tus sugerencias.