Buhodemia

Cursos prácticos de desarrollo web y tecnología en internet

SG Security, ¿el mejor plugin de seguridad WordPress?

Como ya lo has notado en el título hoy vamos a hablar de seguridad, cosa bien importante cuando hablamos de crear proyectos en WordPress o cualquier tipo de CMS o lenguaje.

En un anterior post ya habíamos abordado este tema que te lo dejo aquí por si quieres darle un vistazo.

Pero hoy no vamos poner códigos extraños y hacer cosas raras, hoy solo vamos a instalar y configurar un plugin que hace muy poco salió al repositorio y que es de una empresa muy reconocida en el sector de los hosting como los es Site Ground y su nombre es:  SG Security.

Es un plugin de seguridad normal pero este me ha gustado en gran manera por diferentes aspectos.

La gran ventaja de SG Security

Para mi una de las cosas que más me ha gustado es su simplicidad tanto a nivel de interfaz y configuración como en su bajo consumo de recursos y peso.

Siempre que uso plugins de seguridad soy consciente que estoy poniendo en mi Base de Datos hasta 9 o 10 tablas de más (eso estando muy de suerte) y obviamente esto se ve reflejado en el rendimiento de la web.

Además sabemos que muchos plugins de este tipo traen cosas de relleno o que se podría ocupar con otros más livianos.

Pero SG Security a parte que solo inserta 2 tablas en nuestra Base de Datos (si, así como lo lees 2 tablas) también tiene las cosas estrictamente necesarias de las que un plugin de seguridad debe ocuparse y aquí por supuesto te las vamos a explicar cada una.

Opciones de configuración en SG Security

SG Security tiene cuatro grandes bloques de seguridad:

  • Seguridad del Sitio
  • Seguridad para el login
  • Log de actividad
  • Funciones post Hackeo
SG Security - Opciones
SG Security – Opciones

Comencemos por el primer bloque que es:

Seguridad del sitio

La primera opción es la de:

Bloquear y proteger las carpetas del sistema

Cambia las funciones de seguridad de las carpetas y no permite su visualización, acceder a ellas y mucho menos ejecutar algo, establece permisos acordes para cada cosa.

Recordemos que en la parte derecha de cada opción se encuentra un switch para “encender o apagar” cada opción.

Ocultar la versión de WordPress

Esta opción me encanta que venga incluida en un plugin de seguridad porque antes debía hacerlo a mano con un código o montar un plugin no mas para esto, pero ahora con SG nos lo pone más fácil. 

Recuerda que la versión de wordpress se puede ver cuando haces una inspección del código de tu web y pues no es necesario que todo el mundo sepa que wordpress usas y menos si lo tienes desactualizado.

Desactivar el editor de temas y plugins

Esta es otra de esas cosas que antes hacíamos vía código pero ahora solo con un clic.

Aquí lo que logramos es quitar esa opción de “Editar” cada vez que pasamos el mouse sobre el menú de “Apariencia” y de “Plugins” logrando que nadie puede modificar el código ni de los plugins ni del tema desde dentro de nuestro wordpress.

Desactivar XML-RPC

Esta opción podría estar desactivada si no la utilizas, esto sirve para que wordpress se comunique con aplicaciones de terceros pero esta un poco obsoleta desde que salió la Api Rest.

Forzar HTTP con seguridad de transporte estricta (HSTS)

Lo que logramos activando esta opción es que cada navegador se fuerza a usar el protocolo de seguridad de SSL (candadito verde) en esta web.

Desactivar feeds RSS y ATOM

En esta opción si tu web es un blog o un podcast o una web donde estés dando noticias y cosas nuevas dia a dia, es mejor que lo mantengas siempre activado ya que es el que se encarga que los terceros que tengan tu feed estén siempre actualizados con cada cosa nueva que subas o modifiques. 

Ahora si tu web es de esas que son estáticas en cuanto a información como lo son la mayoría de las webs corporativas, estaría bien desactivarlo.

Protección XSS avanzada

Aquí primero debemos saber que es XSS, esto son ataques de inyección de código que se pueden hacer tanto desde el backend como desde el frontend por ejemplo, si alguna vez has intentado poner código JavaScript dentro de una entrada de wordpress seguramente cuando hayas guardado se habrá desaparecido inmediatamente, esto es porque ya wordpress viene con restricciones dentro de su código para estos “ataques”.

Pero también pueden hacerse ataques XSS desde fuera, por ejemplo desde un formulario de contacto o un comentario desde el cual intenten ponerte un script dañino y es aquí donde activando esta opción se generan unas cabeceras o headers de seguridad que evitan este tipo de ataques.

Borrar el «Readme.html» por defecto

Esto es un clásico, cada vez que instalas un wordpress en sus archivos por defecto viene un archivo llamado “Readme.html” que contiene toda la info de tu instalación (info no sensible por su puesto) como versión del wp y otras cosas.

Lo malo de esto es que una vez instales una nueva versión del wp volverá a aparecer en tu carpeta raíz.

Segundo bloque: Seguridad del login

URL de acceso personalizada

La primera opción que nos encontramos es una que me encanta porque antes también debía tener un plugin específico para esto y ahora lo tengo dentro del mismo que utilizo para la seguridad.

Y es poder cambiar la URL de ingreso al administrador de wordpress, aquí podemos darle al botón de “Configurar” que está a la derecha de la opción en cuestión y poner una palabra para cambiar el típico /wp-admin/ para el ingreso.

Por ejemplo puedes poner /Ingreso/ o /entrada/ en últimas lo que tu quieras pero trata de alejarte de palabras como “admin” o “login” la idea es que sea diferente.

Acceso al inicio de sesión

Con esta opción debes tener mucho cuidado, lo que quiere decir es que puedes poner una IP desde la que se puede conectar al admin de wordpress, esto quiere decir que solo desde esa IP que pongas es la que está autorizada para ingresar a tu dashboard de wordpress es decir que si te quieres conectar a tu admin desde otro lugar no te va a dejar.

Identificación de dos factores para los usuarios administradores y editores

Como es muy común hoy en día que cada vez que vas a entrar a tu cuenta de Google por ejemplo o tu Apple ID y tienes avilitado esta opción de dos factores de autenticación te llega un mensaje de texto a tu teléfono móvil o un correo con unos digitos los cuales luego debes poner en la entrada de cada una de las cuentas a entrar.

Eso mismo pasaría con nuestro wordpress y todos los usuarios que esten registrados en él, se les obligaría a tener esta forma de entrar que incluye una segunda autenticación.

Desactivar nombres de usuario comunes

Su nombre es muy claro, no permitirá que nadie utilice nombres de usuario como: admin, login, administrator, etc.

Limitar intentos de acceso

Esta era otra de esas opciones donde debia tener un plugin adicional para limiar el acceso al admin, pero ya nos viene incluida en este maravilloso plugin.

Esto quiere decir que dependiendo del número que pongas al frente de esta opción: 3, 4 o 5 serán los intentos permitidos para errar la contraseña o el usuario.

Por ejemplo si intentas mas de 5 veces ingresar y no puedes se te bloqueará tu ip por una hora, si luego de esa hora lo vuelves a intentar y de nuevo fallas se te bloqueará por 24 horas y si después de estas 24 horas vuelves a fallar se te bloqueará por 7 días.

Bueno y hasta aquí lo configurable del plugin, los dos bloques siguientes podremos ver registros y otras cosas.

Tercer bloque: Log de actividad

En esta parte veremos una lista de todas las IP’s que han intentado o han ingresado a nuestra web, veremos no solo la ip si no que página han visitado, que tipo de visitante es, humano o robot, y que respuesta tuvo al entrar.

Cuarto bloque: Acciones post Hackeo

Y ya para terminar tenemos este último apartado que nos muestra 3 opciones muy sencillas por si ya sospechamos que hemos sido victimas de un malicioso.

Reinstalar todos los plugins gratuitos

¿Para que nos sirve esta opción? pues bien, imagina que has sido victima de un hackeo por medio de un plugin, cuando le das al botón “Reinstalar todo” lo que hace es que todos los plugins gratuitos que tengas instalados volverán a su versión original, o sea se reinstalará la versión que ya tenias, OJO no se borran solo se reinstala la versión.

Esto con el fin de que el core de cada plugin vuelva a ser el original y su código quede limpio de líneas maliciosas.

Forzar restablecimiento de contraseña

Es básico, cuando alguien de los usuarios quiera volver a loguearse en tu wordpress le aparecerá un mensaje que le pedirá cambiar la contraseña por otra.

Desconectar a todos los usuarios 

Y por último tenemos esta opción donde al darle clic al botón “Desconectar a todos los usuarios” pasará eso, todos los que esten en ese momento logueados en tu wordpress saldrán automáticamente sin previo aviso, pero a diferencia de la anterior opción se podrán volver a loguear con la contraseña de siempre.

Hasta aquí hemos visto como configurar este plugin y que puede hacer por nuestra seguridad pero recuerda que no todo depende de un plugin de seguridad…

Hosting seguro

Antes de tan si quiera pensar en montar un wordpress debes tener muy en cuenta la seguridad que te brinda tu hosting.

Averigua primero con el soporte del host que quieres comprar que protocolos de seguridad manejan, que herramientas tienes tu como usuario para hacer de la seguridad algo prioritario y fácil de gestionar.

Recuerda que hay muchos hosting de muy bajo precio pero ese bajo precio muchas veces nos cuesta la seguridad.

Conclusión acerca de SG Security

Recapitulando lo dicho para mi hasta ahora era el plugin que estaba esperando sobre seguridad, primero por su fácil configuración, segundo va al grano y tiene solo lo que un plugin de seguridad debe tener, ni mas, ni menos y tercero no carga mi base de datos con mil tablas.

Además es un plugin totalmente gratuito que lo puedes encontrar en el prepositorio de wordpress y te ahorra la instalación de varios plugins que hacen cosas que ya en este vienen integradas.

Hasta aquí este post y review de este maravilloso plugin

Espero te haya sido de interés este post… nos leemos pronto!

Comparte este post

¿Quieres estar al tanto?

Inscríbete a nuestro boletín y te mantendre informado de todas nuestras novedades: actualizaciones, nuevas lecciones, nuevos cursos y los mejores tips para tu emprendimiento. Tranquilo! puedes darte de baja cuando quieras

Déjame saber tu nombre y... ¡claro tu correo!

Aviso: Se requiere JavaScript para este contenido.
var formDisplay=1;var nfForms=nfForms||[];var form=[];form.id='2';form.settings={"objectType":"Form Setting","editActive":true,"title":"Newsletter","show_title":0,"allow_public_link":0,"embed_form":"","clear_complete":1,"hide_complete":1,"default_label_pos":"hidden","wrapper_class":"","element_class":"","key":"","add_submit":0,"changeEmailErrorMsg":"Introduce una direcci\u00f3n de correo electr\u00f3nico v\u00e1lida.","changeDateErrorMsg":"\u00a1Introduce una fecha v\u00e1lida!","confirmFieldErrorMsg":"Estos campos deben coincidir.","fieldNumberNumMinError":"Error de n\u00famero m\u00ednimo","fieldNumberNumMaxError":"Error de n\u00famero m\u00e1ximo","fieldNumberIncrementBy":"Increm\u00e9ntalo por ","formErrorsCorrectErrors":"Corrige los errores antes de enviar este formulario.","validateRequiredField":"Esto es un campo obligatorio.","honeypotHoneypotError":"Error de Honeypot","fieldsMarkedRequired":"Los campos marcados con * son obligatorios","currency":"","unique_field_error":"Ya se ha enviado un formulario con este valor.","logged_in":false,"not_logged_in_msg":"","sub_limit_msg":"Has alcanzado el l\u00edmite de env\u00edos en el formulario.","calculations":[],"formContentData":["tu_nombre_1587526462571","tu_correo_electronico_1587526477602","he_leido_y_acepto_las_menos_que_a_href_https_buhodemia_com_aviso-legal_style_color_bfbfbf_mas_que_politicas_de_privacidad_menos_que_a_mas_que_1587528535790","boton-newsletter"],"drawerDisabled":false,"repeatable_fieldsets":"","ninjaForms":"Ninja Forms","fieldTextareaRTEInsertLink":"Insertar enlace","fieldTextareaRTEInsertMedia":"Insertar medios","fieldTextareaRTESelectAFile":"Seleccione un archivo","formHoneypot":"Si eres un ser humano y est\u00e1s viendo este campo, por favor d\u00e9jalo vac\u00edo.","fileUploadOldCodeFileUploadInProgress":"Subida de archivo en curso.","fileUploadOldCodeFileUpload":"SUBIDA DE ARCHIVO","currencySymbol":"$","thousands_sep":".","decimal_point":",","siteLocale":"es_ES","dateFormat":"m\/d\/Y","startOfWeek":"1","of":"de","previousMonth":"Mes anterior","nextMonth":"Pr\u00f3ximo mes","months":["Enero","Febrero","Marzo","Abril","Mayo","Junio","Julio","Agosto","Septiembre","Octubre","Noviembre","Diciembre"],"monthsShort":["Ene","Feb","Mar","Abr","Mayo","Jun","Jul","Ago","Sep","Oct","Nov","Dic"],"weekdays":["Domingo","Lunes","Martes","Mi\u00e9rcoles","Jueves","Viernes","S\u00e1bado"],"weekdaysShort":["Dom","Lun","Mar","Mi\u00e9","Jue","Vie","S\u00e1b"],"weekdaysMin":["Do","Lu","Ma","Mi","Ju","Vi","S\u00e1"],"recaptchaConsentMissing":"reCapctha validation couldn't load.","recaptchaMissingCookie":"reCaptcha v3 validation couldn't load the cookie needed to submit the form.","recaptchaConsentEvent":"Accept reCaptcha cookies before sending the form.","currency_symbol":"","beforeForm":"","beforeFields":"","afterFields":"","afterForm":""};form.fields=[{"objectType":"Field","objectDomain":"fields","editActive":false,"order":1,"idAttribute":"id","type":"firstname","label":"Tu nombre","key":"tu_nombre_1587526462571","label_pos":"hidden","required":1,"default":"","placeholder":"Tu nombre","container_class":"","element_class":"","admin_label":"","help_text":"","custom_name_attribute":"fname","personally_identifiable":1,"value":"","drawerDisabled":false,"id":8,"beforeField":"","afterField":"","parentType":"firstname","element_templates":["firstname","input"],"old_classname":"","wrap_template":"wrap"},{"objectType":"Field","objectDomain":"fields","editActive":false,"order":2,"idAttribute":"id","type":"email","label":"Tu correo electr\u00f3nico","key":"tu_correo_electronico_1587526477602","label_pos":"hidden","required":1,"default":"","placeholder":"Tu correo","container_class":"","element_class":"","admin_label":"","help_text":"","custom_name_attribute":"email","personally_identifiable":1,"value":"","drawerDisabled":false,"id":9,"beforeField":"","afterField":"","parentType":"email","element_templates":["email","input"],"old_classname":"","wrap_template":"wrap"},{"objectType":"Field","objectDomain":"fields","editActive":false,"order":3,"idAttribute":"id","type":"checkbox","label":"He le\u00eddo y acepto las pol\u00edticas de privacidad ","key":"he_leido_y_acepto_las_menos_que_a_href_https_buhodemia_com_aviso-legal_style_color_bfbfbf_mas_que_politicas_de_privacidad_menos_que_a_mas_que_1587528535790","label_pos":"right","required":1,"container_class":"","element_class":"","manual_key":false,"admin_label":"","help_text":"","default_value":"unchecked","checked_value":"Marcado","unchecked_value":"Desmarcado","checked_calc_value":"","unchecked_calc_value":"","drawerDisabled":false,"id":11,"beforeField":"","afterField":"","value":"","parentType":"checkbox","element_templates":["checkbox","input"],"old_classname":"","wrap_template":"wrap"},{"objectType":"Field","objectDomain":"fields","editActive":false,"order":4,"idAttribute":"id","type":"submit","label":"Suscr\u00edbete Ahora ;)","processing_label":"Procesando","container_class":"","element_class":"","key":"boton-newsletter","drawerDisabled":false,"manual_key":true,"id":10,"beforeField":"","afterField":"","value":"","label_pos":"hidden","parentType":"textbox","element_templates":["submit","button","input"],"old_classname":"","wrap_template":"wrap-no-label"}];nfForms.push(form);