Skip to content

Protege tu WordPress con un solo clic

Existen multitud de extensiones de seguridad para WordPress repletas de opciones y páginas de configuración. Lo cual está muy bien si sabes qué hacer con todo eso…

La mayoría de las veces no necesitas tantas opciones o no sabes cuales activar y cuales no. Y puedes terminar bloqueando cosas que no querías bloquear.

SAR  One Click SecuritySi ese es tu caso, te vendrá muy bien la nueva extensión para WordPress que acabo de publicar: SAR One Click Security. Con esta nueva extensión podrás hacer tu WordPress más seguro con un solo clic, simplemente activándola. Y de igual modo, si quieres eliminar las protecciones que añade, sólo tienes que desactivarla.

Está disponible en el repositorio oficial de WordPress.org, por lo que la puedes instalar desde el menú de extensiones/plugins de tu WordPress simplemente buscando por SAR One Click Security o si lo prefieres descargando el archivo zip e instalándola manualmente.

Requisitos:

  • Servidor web Apache2 (el que usan la inmensa mayoría de hostings).

Protecciones que añade a WordPress

  • Desactiva la directiva ServerSignature, que revela información acerca de tu servidor web cuando está activada.
  • Desactiva el listado de los contenidos de los directorios, evitando que hostings mal configurados dejen al descubierto tus archivos.
  • Bloquea el acceso público (desde la web) a los siguientes archivos que pueden revelar información sobre tu instalación: .htacces, license.txt, readme.html, wp-config.php, wp-config-sample.php
  • Bloquea los intentos de registro en sitios WordPress que tienen el registro deshabilitado. Cuando esto ocurre WordPress los reenvía automáticamente a la página de login, pero el plugin bloqueará ese reenvío.
  • Bloquea las peticiones en busca del script timthumb.php, reduciendo así la carga del servidor causada por bots que lo buscan (*).
  • Bloquea las peticiones de tipo TRACE y TRACK, previniendo ataques XST.
  • Bloquea la publicación de comentarios directamente al archivo wp-comments-post.php (la mayoría de spammers hacen esto) y también los acceso con User Agent en blanco, reduciendo así el spam y la carga del servidor.
  • Bloquea el acceso directo a archivos PHP en el directorio wp-content (esto incluye lo subdirectorios como plugins y themes). Protegiéndote de un gran número de vulnerabilidades 0day.
  • Bloquea el envío de credenciales de forma directa al archivo wp-login.php y también los accesos con User Agent en blanco, previniendo así la gran mayoría de ataques por fuerza-bruta y reduciendo la carga del servidor cuando se producen.

(*) Si tu theme usa TimThumb puedes desactivar esta regla, encontrarás las instrucciones en el apartado FAQ del plugin.

Aparte de la facilidad de uso de SAR One Click Security, otra gran ventaja de esta extensión comparada con otras mucho más complejas, es que a la hora de decidir qué protecciones incluir he tenido en cuenta no sólo su utilidad, sino también el hecho de que no causaran ninguna interferencia con las funcionalidades de WordPress o WooCommerce.

O dicho de otro modo, he creado esta extensión pensando en una forma fácil de añadir medidas de seguridad que ayuden a proteger WordPress con la tranquilidad de que no limitan su funcionalidad.

Antes de publicarla la he tenido en fase de pruebas con resultados óptimos en distintos tipos de webs, incluyendo tiendas gestionadas con WooCommerce, y en distintos tipos de hosting, desde servidores dedicados hasta alojamientos compartidos clásicos de algunos proveedores muy conocidos como HostGator o Godaddy. Todo ello para asegurar una buena compatibilidad.

Seguramente iré añadiendo algunas protecciones más, siempre con la misma filosofía, si tienes alguna sugerencia deja un comentario.

Published inPluginsWordPress

4 Comments

  1. Jesús Fernández Jesús Fernández

    Hola Samuel,

    Estoy sufriendo ataques a mi archivo de login, y mi proveedor de hosting bloquea continuamente el archivo dejando sus permisos en 000. El caso es que tengo un foro en la página, con lo que está bloqueando el uso del foro ya que inhabilita el acceso. aunque yo restaure los permisos, estos no duran ni 1 minuto y al rato ya me los vuelven a capar.
    Hostalia me dice que es un script de seguridad porque tengo muchos intentos de acceso y que no pueden inhabilitar esa función, que es responsabilidad mía evitar esos intentos de acceso.
    He intentado con wordfence en nivel alto de seguridad, con Cloudflare, con un plugin que cambia el archivo login (este no funcionaba bien de todos modos, debía de entrar en conflicto con algo). Pero el problema persiste y no sé si la única solución va a ser cambiar de proveedor.
    Mi pregunta es si tu plugin podría proteger el archivo login de tal manera que no saltara constantemente el script de defensa del servidor, y que al tiempo permitiera el libre acceso a todos los foreros registrados.

    Gracias y un saludo,

    • Samuel Aguilera Samuel Aguilera

      Jesús, lo que hace mi plugin es ayudar a prevenir determinados ataques. Por ejemplo en el caso del login, deniega el acceso al archivo wp-login.php en el caso de que quien intenta identificarse no lo haga desde tu propio dominio (es decir, usando el formulario) o tenga el User Agent vacío. Teniendo en cuenta que la mayoría de robots intentan hacer login enviando la información directamente a wp-login.php, sin utilizar el formulario, con esta medida puedes frenar muchos intentos de login. Y esto te protege de ese tipo de ataques.

      Ahora bien, desconozco cómo funciona el script de Hostalia, si toma en cuenta simplemente los intentos de acceso a wp-login.php, aunque tú los hayas denegado, no te va a servir nada de lo que intentes. Porque, en ese supuesto, aunque tú bloqueases todos los intentos de entrar a tu WordPress, y tu WordPress estuviese seguro por tanto, el script seguiría pensando que tienes un problema.

      Como te digo no tengo ni idea de los detalles del script que mencionas de Hostalia, por lo que lo que te comento en el párrafo anterior es sólo una suposición.

      Otra cosa distinta podría ser que en realidad lo que ocurre es que tengas WordPress infectado, y se te estén colando por todos lados. O que tengas miles de spammers registrados en tu web, haciendo login todo el día… O simplemente usuarios legítimos que hacen login y según los parámetros de Hostalia eso “no es normal”.

      A mí desde luego no me parece una buena práctica lo que Hostalia te está haciendo, quizás deberías plantearte lo del cambio de hosting.

  2. Verónica Verónica

    Hola Samuel:

    Me parece muy interesante tu extensión sobretodo por el nivel de protección con un solo click, quería instalar en lla web de un cliente pero veo que no esta probada para la versión 4.3.1. de WordPress, me indicas si sigues con este proyecto y lo vas a actualizar.

    Saludos cordiales,

    Verónica

    • Samuel Aguilera Samuel Aguilera

      Que no esté probada no quiere decir que no funcione. Simplemente quiere decir que yo no he tenido tiempo de probarla o de actualizar la información del readme. En este caso es lo segundo.

Leave a Reply to Jesús Fernández Cancel reply

Your email address will not be published. Required fields are marked *