Configurar Ithemes Security 2018

La seguridad es una de los temas prioritarios a los que tenemos que prestar atención en cualquier proyecto web.

Hay infinidad de plugins para ayudarnos con la seguridad. Los más conocidos y usados son:

• All in One WP Security & Firewall
• Wordfence Security
• Securi
• iThemes Security

Nosotros utilizamos el Ithemes Security por sus opciones, facilidad de uso y sus amplias descripciones en todos los apartados muy útiles para usuarios poco experimentados.

En esta guía os vamos a mostrar como instalar y configurar Ithemes Secutiry como nosotros lo hacemos en nuestros proyectos.

Instalación

Para instalar Ithemes Security vamos a utilizar el repositorio de Wordpress.

1. Seleccionamos Plugins->Añadir Nuevo
2. Buscamos “Ithemes Security” en el campo Palabra Clave, normalmente nos aparecerá en primera posición.
3. Pulsamos instalar ahora.

Cuando se termine de instalar el plugin, ese botón cambiara a activar. Lo pulsamos.

Tras la instalación del plugin nos aparecen dos ventanas informativas. Las cerramos pulsando la cruz de cada una de ellas.

En el menú lateral de Wordpress tenemos una nueva entrada: Seguridad. Hacemos click en la opción de Ajustes para configurar Ithemes.

La primera vez que accedas al menú de Ajustes te aparecerá una pantalla de configuraciones básicas y un botón Secure Site para aplicar estas configuraciones. No lo pulsamos y cerramos la pantalla pulsando el botón Cerrar. Aunque no está mal, prefiero configurar yo todas las opciones.

Tras cerrar la ventana anterior nos aparecen las diferentes opciones de configuración. Para dar más claridad al listado vamos a:

1. Ponerlo en modo lista (por defecto está en modo fichas).
2. Mostrar todas las opciones (por defecto sólo aparecen las recomendadas).

Configuración

Voy a explicarte para que sirve cada una de las opciones y como las configuro yo en mis proyectos.

Tú puedes configurarlas o usarlas de otra forma, pero antes de hacer nada te recomiendo tener una copia de tu proyecto con Duplicator, para poder recuperarlo de forma rápida si surge algún problema.

Comprobación de seguridad (1)

Como te comentamos antes, no lo usamos y preferimos configurar el plugin con nuestras opciones.

Ajustes globales (2)

En esta sección tenemos una serie de ajustes importantes. Pulsamos en Configurar ajustes para ver las opciones.

• 2.1 Escribir en los archivos: Activamos esta opción. Al activarla, permites que el plugin modifique los archivos wp-config y htaccess.
• 2.2 Mensaje de bloqueo al servidor: No lo modificamos. Es el mensaje que aparecerá cuando un ordenador es bloqueado.
• 2.3 Mensaje de bloqueo del usuario: No lo modificamos. Es el mensaje que le aparece al usuario si su cuenta ha sido bloqueada.

• 2.4 Mensaje de bloqueo en la comunidad: No lo modificamos. Es el mensaje que le aparece al usuario cuando su IP ha sido marcada como peligrosa.
• 2.5 Lista negra de infractor reincidente: Activamos esta opción. Si un usuario alcanza el número definido de bloqueos, el plugin le incluirá en la lista de usuarios prohibidos.
• 2.6 Umbral de lista negra: Dejamos los 3 bloqueos por defecto. Al superar estos 3 bloqueos, el usuario será baneado.
• 2.7 Período retroactivo Lista Negra: Dejamos los 7 días que nos aparecen por defecto. Es el período en que se recuerda un bloqueo para la cuenta de la lista negra.
• 2.8 Período de bloqueo: Dejamos los 15 minutos que aparecen por defecto. Es el tiempo en que un usuario es baneado después de alcanzar el límite de intentos de logeo fallidos.

• 2.9 Lista blanca de bloqueo: Es el listado de IP que nunca van a ser baneadas. Si tienes una IP fija es interesante que la incluyas en esta lista para evitar ser baneado en tu propia web.
• 2.10 Tipo de registro: Dejamos la opción “Sólo en la base de datos” que viene por defecto. Es el lugar donde se van a guardar los logs del plugin. Podemos elegir fichero, base de datos o ambos.
• 2.11 Días para mantener registros de la Base de datos: Dejamos los 60 días que vienen por defecto. Es el número de días que se guardan los datos en la base de datos.

Si tienes una Base de datos de cierto tamaño, podemos reducirlo a 30 días.Si hemos seleccionado guardar en fichero en la opción anterior, los logs se mantendrán hasta que el archivo supero los 10 Mb de tamaño.

Ruta a Archivos de registro: Dejamos la ruta por defecto. Es la ruta en el servidor donde vamos a guardar el fichero (si hemos seleccionado esta opción) de logs.

• 2.12 Permitir Rastreo de Datos: Yo lo suelo dejar desmarcado (es como viene por defecto). Si lo activamos, mandaremos de forma anónima los datos de uso del plugin a sus desarrolladores.
• 2.13 Anular detección del proxy: Al usar Cloudflare (u otro CDN con proxy) yo siempre lo dejo desmarcado.

• 2.14 Ocultar el menú de seguridad en la barra de administración: En la barra del menú de administración hay un submenú de seguridad. Como casi no lo uso, activo está opción para aligerar menús.
• 2.15 Mostrar códigos de error: En caso de errores en el plugin, esta opción te ayudara a encontrarlos. Como casi siempre el plugin funciona genial, lo dejamos en no activo, que es la opción que viene por defecto.

Por último, no olvidar pulsar el botón “Guardar ajustes” para guardar los cambios que hemos realizado.

Centro de avisos (3)

En esta sección vamos a configurar que avisos recibiremos y como los recibiremos.

Desde la entrada en vigor de la RGPD es muy importante la configuración de este apartado para recibir notificaciones sobre incidencias en tu web. Pulsamos Configurar ajustes para ver las opciones.

• 3.1 Correo Electrónico emisor: La cuenta de correo con  la que Ithemes mandará todos los avisos. Si no ponemos ninguna, usara la dirección por defecto de tu instalación de Wordpress
• 3.2 Destinatarios por defecto: Podemos seleccionar todos los administradores de nuestra instalación o sólo alguno específico.
• 3.3 Bloqueos en el sitio: Nos envía un aviso por cada usuario bloqueado. Recomiendo no activarla. En cuanto tu web comience a tener tráfico, es posible que Ithemes Security comience a bloquear boots, por lo que te llegaran muchos mails diarios. Al final no leerás ninguno y se te puede pasar lo importante. En el desplegable podemos indicar que mande el aviso a los destinatarios definidos en el paso 3.2 o alguno en concreto.

• 3.4 Boletín de seguridad: Correo de resumen de lo ocurrido en tu web. Recomiendo activarlo y configurar la programación a semanalmente. Por defecto lo mandaremos sólo a nuestro usuario admin.
• 3.5 Copia de seguridad de la base de datos: Información de las copias de seguridad realizadas por el módulo de Ithemes. No pongo destinatario ya que uso Updraft plus.

Por último, no olvidar pulsar el botón “Guardar ajustes” para guardar los cambios que hemos realizado.

Detección 404 (4)

Este módulo es importante ya que controla a usuarios que hacen llamadas a páginas inexistentes de nuestra web. Lo que puede parece un error de un usuario, normalmente es un ataque contra nuestra web.

Primero activamos el módulo:

Una vez activado, pulsamos Configurar ajustes para configurarlo:

Parte de los ajustes que utiliza este módulo son los definidos en el apartado (2).

• 4.1 Minutos para recordar el error 404: Intervalo de tiempo para considerar que es un ataque de errores 404. Dejamos los 5 minutos por defecto.
• 4.2 Umbral de error: Cuantos errores 404 dentro del intervalo anterior se tienen que producir para considerar que es un ataque y bloquear al usuario. Por defecto está en 20 errores, pero yo lo suelo bajar a 10.

• 4.3 Lista Blanca de archivo/carpeta 404: Son ficheros que normalmente se encuentran en todas las webs, pero no en la tuya. Los ponemos en esta lista para evitar que sean bloqueados sin razón.

Un ejemplo: todas las páginas tendrían que tener un robots.txt y Google lo usa para indexar tu página. Si tu no lo tienes, ponlo en esta lista, ya que, si no lo tienes, puedes bloquear a Google.

• 4.4 Tipos de archivo ignorados: Tipos de archivos (extensiones de archivos) que no dispararan el bloqueo por 404. Dejamos los que vienen por defecto.

Por último, no olvidar pulsar el botón “Guardar ajustes” para guardar los cambios que hemos realizado.

Usuario Administrador (5).

Esta función cambia el código interno del administrador de nuestro sitio de Wordpress. Es interesante ejecutarlo, pero siempre cuando tengas una copia de seguridad reciente, y a ser posible recién instalado tu sitio de Wordpress. Pulsamos Configurar ajustes.

Marcamos cada usuario administrador del que queramos cambiar el id y pulsamos Guardar ajustes.

Al ejecutar el cambio, la página donde estamos puede que se cierre y nos pida insertar de nuevo el usuario administrador y su password.

Modo de Reposo (6)

Una funcionalidad muy útil del plugin pero hay que tener cuidado en su configuración.

Su función es muy sencilla: impide entrar a nadie a tu web como administrador. Y cuando decimos a nadie, es a nadie y tu estás incluido en esa lista.

Pulsamos “Activar” para activar el bloqueo y Configurar ajustes para acceder a las opciones.

• 6.1 Lo primero comprobamos que tenemos correctamente configurada la hora de nuestro Wordpress. Si no es así, pulsamos en el link que nos ofrece IThemes Security para ir a la página de ajustes.
• 6.2 Tipo de restricción: Si es diaria o una vez (un periodo comprendido entre dos fechas).
• 6.3 Hora de inicio: A que hora comienza el bloqueo.
• 6.4 Hora de finalización: A que hora finaliza el bloqueo.

Por último, pulsamos en Guardar ajustes para no perder los cambios.

Usuarios baneados (7)

Con este módulo vamos a bloquear a determinadas IPs a que accedan a nuestra web. Esto es útil ya que impedirá a usuarios “potencialmente” peligrosos que accedan a nuestra página.

Pulsamos Configurar ajustes para ver que opciones tenemos.

• 7.1 Lista negra por defecto: Usa la lista de servidores “sospechosos” que mantiene la página Hackrepair.com. La activamos.
• 7.2 Lista de baneo: Baneara (bloqueara el acceso a nuestra web) a todos las IPs que añadamos a la caja de Banear servidores y a todos los agentes que añadamos a la caja Banear agentes de usuario. Sigue las instrucciones para rellenar estas cajas.

¿Con que rellenamos estas cajas? Por ejemplo, si tienes un aviso de error 404 con muchos intentos, esa IP puede estar atacándote o buscando vulnerabilidades. Busca información en Google de ella y si no es muy conocida (Google, Yahoo…), ponla en la caja de Banear servidores.

Por último, no olvidar pulsar el botón “Guardar ajustes” para guardar los cambios que hemos realizado.

Cambiar directorio del contenido (8)

Antes de decirte nada, mucho cuidado con esta opción. Puede causarte muchos problemas si no la utilizas con cuidado y teniendo un backup a mano y actualizada.

Con esta opción cambiamos el directorio wp-content donde Wordpress guarda los plugins, temas y muchas más cosas.

Es una medida de seguridad muy efectiva, pero puede causar problemas, como te advierte de forma muy clara Ithemes Security.

Yo sólo la usaría en instalaciones limpias donde lo primero que hago es configurar la seguridad con este plugin. Y luego, ante si tengo problemas con un plugin sería lo primero que investigaría (el cambio de nombre de esta carpeta).

Mi recomendación: No lo cambies si no eres un usuario avanzado.

Cambiarlo es muy fácil: Ponemos el nuevo nombre en Nuevo nombre de directorio y pulsamos “guardar ajustes”. IMPORTANTE: Asegúrate de tener una copia de seguridad.

Cambiar el prefijo de la tabla de la base de datos (9)

Al igual que el módulo anterior, esta opción es de la más efectivas para proteger tu Wordpress pero hay que usarla con cuidado.

Si has seguido mi guía de instalación de Wordpress, no necesitamos tocar nada ya que cambiamos el prefijo en el momento de la instalación de nuestra web, que es cuando hay que hacerlo ya que el riesgo de estropear nada es cero.

Si no lo hiciste en ese momento, cámbialo ahora. Pero antes de tocar nada, asegúrate de tener una copia de seguridad.

Para cambiarlo, ponemos “si” en “cambiar prefijo” y pulsamos en “guardar ajustes”.

Copias de seguridad de base de datos (10)

Nosotros no usamos este módulo. Preferimos Updraft Plus.

Los motivos principales de usar este plugin adicional:

• La opción de guardar las copias de seguridad en Gdrive.
• Ithemes Security sólo hace backup de la base de datos y no de los ficheros de nuestra instalación.

Por este motivo lo dejamos inactivo.

Detección de cambios de archivo (11)

Este es un módulo muy importante, ya que nos avisara de cambios en los archivos de nuestra web.

Si nuestra página es hackeada, casi seguro que los asaltantes tendrán que realizar cambios en algún archivo. El aviso que nos enviará Ithemes Security nos permitirá identificar ese hackeo y tomar las medidas correspondientes lo antes posible.

Pero para evitar falsos avisos es muy importante configurarlo de forma adecuada. Pulsamos Activar y luego Configurar ajustes.

• 11.1 Lista de carpetas y archivos: Carpetas y archivos que no queremos incluir en el control. Añadimos los archivos y carpetas temporales.

 Ignorar tipos de archivos: Los tipos de archivos que no queremos incluir en el control. Dejamos los archivos de imagen y los temporales que vienen por defecto. Si queremos añadir alguno, pulsamos “enter” al final del último de la lista y lo añadimos con el punto. Uno por línea.

• 11.2 Mostrar aviso de cambio de archivos en la administración: El plugin nos avisara de cambios de archivos en dashboard del administrador. Si no tienes configurados los avisos por correo hay que activarla. Si los tienes configurados, yo también la activaría para que estos cambios no pasen desapercibidos.

Como siempre, no olvidar pulsar el botón “Guardar ajustes”.

Permisos de archivo (12)

Al pulsar “Cargar los detalles de los permisos de archivo” nos muestra un listado de los permisos de nuestras carpetas y archivos. También muestra los valores sugeridos según la carpeta.

Si tenemos que cambiar algún permiso, puedes consultar aquí cómo cambiar los permisos de los archivos de Wordpress.

Ocultar escritorio (13)

Este es otro de los módulos más importantes. Lo vamos a activar, pero con cuidado.

Cambia la dirección por defecto para acceder a tu Wordpress. Un hacker necesita 3 cosas para entrar como tú:

• La url para hacer login (entrar con un usuario y un password).
• El usuario.
• La password.

Si dejamos por defecto la url tudominio/wp-admin, ya tiene una de las tres llaves.

Por ese motivo la cambiamos aquí la dirección. Solo se pueden usar caracteres alfanuméricos guiones bajos (_) y guiones normales (-). No están permitidos caracteres especiales como “.” y “/” y se convertirán igual que en el título de una entrada.

Tampoco puedes usar una de las direcciones usadas por Wordpress.

Pero, MUCHO CUIDADO: acuérdate de lo que pones, o no podrás entrar en tu Wordpress.

Ithemes Security te manda un mail informándote del cambio y especificando la nueva dirección.

• 13.1 Slug de Inicio de Sesión: la dirección para entrar a la página de login.
• 13.2 Activar la redirección: Si alguien intentar en las direcciones antiguas de login, le redirigimos a una página.
• 13.3 Slug de redirección: Si hemos activado la opción anterior, la página de nuestra web donde le dirigimos.
• 13.4 Acción de acceso personalizada: Por defecto la dejamos en blanco. La tendremos que usar si algún plugin necesita una acción personalizada.

No olvidar pulsar el botón “Guardar ajustes”.

Activar protección contra fuerza bruta (14)

Este módulo nos va a proteger contra los ataques por fuerza bruta.

Estos ataques se realizan mediante robots que, usando listas con los login más frecuentes de usuarios administradores y password más comunes, intentan descubrir nuestro login y password por prueba y error.

Si además de usar un nombre de usuario y password cumpliendo los estándares de seguridad, activamos este módulo será casi imposible que ningún robot tenga éxito en un ataque te este tipo.

Este módulo usa los ajustes de bloqueo que configuramos en el módulo “Ajustes globales”.

Configuramos las siguientes opciones:

• 14.1 Máximo número de intentos de conexión por host: Intentos de acceso de un servidor antes de bloquearlo. Dejamos los 5 por defecto.
• 14.2 Máximo número de intentos de conexión por usuario: Intentos de acceso de un usuario antes de bloquearlo. Dejamos los 10 por defecto.
• 14.3 Minutos a recordar un intento de inicio de sesión fallido: El periodo en que el plugin recuerda el usuario o host que está intentando acceder. Dejamos los 5 minutos por defecto.
• 14.4 Automáticamente bloquear al usuario “admin”: Es el primer usuario que prueban los hackers. Entendemos que no usas ese nombre para tu usuario.

Pulsamos “Guardar Ajustes” para terminar con este módulo.

Protección contra fuerza bruta en la red (15)

Nos protege de ataque globales.

Le proporcionamos un correo y tu decides si quieres o no recibir mails de la lista de correo (marcando o no la opción de “Recibir actualizaciones por correo electrónico”).

Al pulsar en “Guardar ajustes” nos aparece una pantalla con la clave.

Requisitos de contraseñas (16)

Con este módulo forzamos a los usuarios que se registren en nuestra página a usar contraseñas seguras.

Si solo tú vas a tener usuario en tu web, no hace falta que la actives. Eres consciente de la importancia de tener passwords seguras y has creado la tuya para que sea robusta.

Si va a haber más usuarios registrados, la activamos.

Seleccionamos “Colaborador” como perfil mínimo y pulsamos en guardar ajustes.

SSL (17)

Entiendo que ya has configurado tu página con un certificado SSL. En este caso, este módulo, al activarlo, forzara la redirección de todas las páginas a su versión HTTPS.

Si usas Siteground como hosting y su SG Optimizer u otro plugin similar, no lo actives. En otro caso, actívalo.

Ajustes del sistema (18)

Aunque viene inactivo por defecto, lo vamos a activar y configurar una serie de opciones necesarias. Pulsamos “Activar” y después “Configurar ajustes”.

• 18.1 Archivos de sistema: Protege lo archivos de sistema mediante reglas guardadas en el fichero .htaccess. Lo activamos.
• 18.2 Navegación de directorios: Regla básica que activamos. Impide que un usuario pueda ver un listado de nuestras carpetas y directorios.
• 18.3 Métodos de petición: Activamos. Luego controlaremos el aviso que nos da sobre la REST API.
• 18.4 Cadenas de consulta sospechosas: Es otra de las armas de los hackers, usar links con variables. Lo activamos. Puede que algún plugin use estas variables en la URL y nos de problemas. En ese caso, desactivamos esta opción.
• 18.5 Caracteres no ingleses: Si tu web está en otro idioma que no sea inglés, no lo actives.
• 18.6 Cadenas URL largas: Lo activamos. Otra técnica hacker: mandar comandos por la URL.
• 18.7 Permisos de escritura en archivos: Lo activamos. Quitamos los permisos de escritura en los archivos de sistema. En el módulo “Permisos de archivo”, estos archivos eran uno de los marcados para modificar sus permisos. Ten presente que está opción puede producir problemas en algún plugin que necesite modificar estos archivos. Si se te da esa situación, acuérdate de que tienes activada esta opción.
• 18.8 PHP en uploads: Bloquea la ejecución de archivos php en este directorio. Lo activamos.
• 18.9 PHP en plugins: Bloquea la ejecución de archivos php en este directorio. Lo activamos.
• 18.10 PHP en temas: Bloquea la ejecución de archivos php en este directorio. Lo activamos.

Ya sabes el siguiente paso: pulsar el botón “Guardar ajustes”.

Salts de WordPress (19)

No la activamos.

Ajuste de Wordpress (20)

En este módulo vamos a realizar una serie de ajustes en Wordpress para aumentar la seguridad de nuestra web.

• 20.1 Cabecera Windows Live Writer: Este es un tipo de cabeceras en desuso. Activamos la opción para quitar.
• 20.2 Cabecera EditURI: Posible vulnerabilidad XML-RPC. Activamos la opción para quitar.
• 20.3 Comentarios spam: Reducirá el número de comentarios spam generados por robots.
• 20.4 Editor de archivos: Este editor puede ser una brecha de seguridad. Lo dejamos marcado como viene por defecto. Puede ocasionar algún problema o aviso de algún plugin.
• 20.5 XML-RPC: Si usas Jetpack o la aplicación móvil de Wordpress, selecciona la opción de “desactivar pingbacks”. En otro caso usa “desactivar XML-RPC”.

• 20.6 Múltiples intentos de autenticación por petición XML-RPC: Dejamos la opción por defecto: “Bloquear”.
• 20.7 REST API: Cambiamos a “Acceso restringido”.
• 20.8 Mensajes de error de inicio de sesión: Activamos la opción para no dar pistas en caso de ataque.
• 20.9 Forzar alias único: Con esta opción no usamos el nombre de usuario como alias, por lo que no damos pistas de nombres de usuarios a los hackers. Lo activamos.
• 20.10 Desactivar archivos de usuario adicionales: Desactivamos los archivos asociados a autores que no tengan publicaciones. Activamos la opción.
• 20.11 Protección contra el tabnapping: La activamos para evitar esta vulnerabilidad.
• 20.12 Acceso con dirección de correo electrónico o nombre de usuario: Esta función nos permite usar como usuario al identificarse en Wordpress el nombre del usuario o el mail asociado a ese usuario. Dependiendo del tipo de usuarios que accedan a tu web la configuraremos de una u otra forma. Por defecto tenemos la opción de nombre y correo. Si usas nombres de usuarios largos y complejos, selecciona “solo nombre de usuario”. Si los nombres de usuario son sencillos, usa “solo dirección de correo electrónico” que en principio será mas complicado de adivinar por un hacker.
• 20.13 Mitigar el ataque de archivo de adjunto transversal: La dejamos activada.

Reglas de configuración del servidor (21)

Esta opción nos muestra el contenido del archivo .htaccess en modo lectura. No podemos modificarlo desde aquí.

Reglas wp-config.php (22)

Esta opción nos muestra el contenido del archivo wp-config.php en modo lectura. No podemos modificarlo desde aquí.

Opciones de pago

Si has llegado a este punto de este larguísimo post, eres consciente de la ingente cantidad de opciones que nos da la versión gratuita de Ithemes Security.

Pero también tenemos disponible una versión premium que incluye:

• Enlaces mágicos
• Programación del scaneo del malware
• Escalada de privilegios
• reCAPTCHA
• Parámetros de importación y exportación
• Autentificación de dos factores
• Chequeo de seguridad de usuario
• Acceso del usuario
• Gestor de versiones

El coste anual para una página son 80$ y lo puedes conseguir aquí.

Seguimiento de Registros

Una vez configuradas todos los módulos, está será la única opción que usemos de forma habitual: el seguimiento de avisos que hace el plugin.

Si has configurado el correo para que te llegue esta información, seguramente no entres aquí. Pero no olvides hacer seguimiento de estos avisos de forma periódica para detectar amenazas o posibles ataques.

Por último, recuerda, la seguridad de tu web se basa en un listado de normas, siendo el plugin de seguridad una de ellas. Si pones 1234 de password del administrador, no esperes que Ithemes Security (ni cualquier otro plugin) te salve del desastre.

Si tienes alguna pregunta o algún punto no te ha quedado claro, no dudes de preguntarlo en la sección de comentarios o en nuestras redes sociales.