Mejorar la seguridad de WordPress con WPCerber

Mejorar la seguridad de WordPress con WP Cerber

En esta guía te hablaré de WP Cerber, un plugin de seguridad para WordPress, y cómo puedes implementarlo para fortalecer tu sitio web o proyectos web.

Mejorar la seguridad de WordPress con WPCerber

La seguridad de los sitios web de WordPress es crucial, no sólo ahora, sino desde siempre. Desde siempre ha sido considerada como un punto a mejorar en este sistema de gestión de contenidos (CMS). Como resultado de su importancia en el núcleo del sistema, actualmente tenemos un núcleo fuerte y a prueba de muchas fallas, ¡WordPress es seguro! No hay duda de eso.

Pero es el usuario quien convierte una instalación web segura en un «bocado apetecible para usuarios malintencionados» que buscan instalaciones infectadas por malware o con plugins o temas vulnerables, por abandono o falta de actualizaciones, para hacerse con el control y, en muchos casos, utilizarlo como plataforma para tomar el control del servidor escalando privilegios, explotando vulnerabilidades conocidas o 0’days.

Es cierto que al menos la mitad de la seguridad de tu proveedor de alojamiento y sus sistemas de seguridad deberían estar en manos de él, lo que te permite concentrarte en administrar tus webs, vender si tienes una tienda o atraer clientes para tu marca o servicios.

Pero no todos los alojamientos web ofrecen medidas de seguridad sólidas y efectivas, lo que lleva a muchos usuarios que buscan alojamientos web económicos o gratuitos a alojarse de forma precaria para luego ser objetivo de ataques y todo tipo de actividades maliciosas contra sus sitios web.

Aprende a usar un cortafuegos y otras medidas de seguridad adicionales en tu WordPress utilizando un plugin que te ayudará a proteger tu sitio web de cualquier amenaza digital.

Conociendo el plugin WP Cerber Security.

Cerber Tech Inc., un equipo enfocado en la ciberseguridad y el desarrollo de soluciones contra amenazas e intrusiones en sitios web, es el creador del plugin WP Cerber Security, Anti-spam & Malware Scan. Cerber Tech Inc. también opera servidores en Europa, Norteamérica, Australia y Asia para la infraestructura de WP Cerber Security.

Se trata de un plugin que, aparte de las descargas que se hayan realizado desde el propio sitio del autor del plugin, actualmente tiene más de 4 millones de descargas «conocidas» en el directorio de plugins de WordPress, lo que confirma su potencial para fortalecer los sitios de WordPress.

Para descargar el plugin, vista la página de del desarrollador o simplemente haz clic aquí.

Es una solución completa de seguridad para WordPress que lo protege contra ciberataques, malware y spam. Contiene un escáner automático de malware y un verificador de integridad, que te permiten establecer políticas para la eliminación de software malicioso y la recuperación de archivos.

Su cortafuegos detecta problemas de tráfico y evita la actividad maliciosa antes de que tenga un impacto en tu sitio web.

El plugin también tiene un motor antispam fuerte, que es esencial si tu sitio web tiene formularios que recojan información del usuario, como formularios de contacto o comentarios.

Características de WP Cerber Security

Tiene una serie de características que lo convierten en una excelente herramienta de seguridad para usuarios sin experiencia en temas de seguridad, así como para usuarios medios o avanzados que lo implementen en sus instalaciones de WordPress para añadir una capa de seguridad sólida, al margen de las medidas de seguridad aplicadas en el servidor donde se aloje la web.

Un resumen de las características destacadas del plugin:

  • Antispam: Permite reCAPTCHA para formularios de WordPress y WooCommerce.
  • Bloqueos de IP: Bloqueo proactivo de la clase de subred IP C para una dirección IP sospechosa.
  • Bloquear cuenta usuario: Permite bloquear una determinada cuenta de usuario.
  • Compatible con Failban2: Escribe intentos fallidos en el syslog o en el archivo de registro personalizado.
  • Detiene la enumeración de usuarios del sitio: Permite redirigir las solicitudes de consultas de nombre de usuario a una página 404.
  • Desactiva PHP en las subidas de archivos: Bloquea la capacidad de ejecutar scripts PHP desde la carpeta de Medios.
  • Desactiva la visualización de errores PHP: Evita que sean visibles en el frontal del sitio los errores que muestran información sobre ellos y que podría facilitar que el sitio web sea más fácil de atacar.
  • Desactiva XML-RPC: Desactiva el protocolo de llamada a procedimientos remotos (recomendado si no usas Jetpack) sin que tengas que editar manualmente el archivo .htaccess.
  • Desactiva Feeds y RSS: Bloquea el acceso a las URLs de los Feeds/RSS si no tiene suscritos los contenidos a un publicador de enlaces, o si no utilizas pódcast en tu web (necesitan Feeds para propagarse a sitios específicos como iTunes, etc.)
  • Detiene la enumeración de usuarios: Bloquea las solicitudes de la API REST a los datos de los usuarios para evitar el descubrimiento de “usernames”.
  • Desactiva la API REST: Restringe el uso de la API REST salvo excepciones declarables.
  • Filtros de actividad por IP: Se puede ver y filtrar la lista de acciones por IP, nombre de usuario o evento en particular.
  • Información de WHOIS adicional para IP: Información del país, contactos de abuso, propietario de la red y mucho más.
  • Limita los intentos de inicio de sesión: Cuando se inicia sesión por dirección IP o subred Clase C.
  • Limita por IP y rangos: Permite limitar el número de registros de una dirección IP o de un rango (listas negras).
  • Modo Ciudadela: Para bloquear ataques masivos de fuerza bruta.
  • Notificaciones por email: Gestión de notificaciones de correo electrónico configurables con limitación de velocidad.
  • Oculta wp-login.php: Para evitar ataques al formulario de acceso y que devuelva el error HTTP 404.
  • Oculta wp-admin: Oculta el formulario de inicio de sesión y devuelve el error HTTP 404 cuando un usuario no ha iniciado sesión.
  • Permite crear URL de inicio de sesión: Permite la creación de una URL personalizada para iniciar sesión (cambiar el nombre de wp-login.php).
  • Permite REST para ciertos roles: Restringe el uso de la API REST a roles específicos.
  • Permite espacios de nombres: Permite añadir espacios de nombres para plugins activos.
  • Permite API REST a usuarios registrados: Permite que todos los usuarios registrados utilicen la API REST.
  • Protege los scripts del administrador: Bloquea el acceso malicioso a load-scripts.php y load-styles.php.
  • Proxy: Maneja el sitio/servidor detrás de un proxy inverso.

WP Cerber Traffic Inspector (Inspector de Tráfico)

Una de las funcionalidades más importantes del plugin es el Inspector de Tráfico. Se trata de un avanzado cortafuegos de aplicaciones web (WAF) inteligente que analiza y bloquea las peticiones HTTP maliciosas para proteger a WordPress.

Este inspector analiza las solicitudes HTTP entrantes, identifica las solicitudes que parecen sospechosas y las bloquea antes de que puedan tener un impacto en tu sitio web. Este algoritmo de seguridad está activado por defecto y generalmente no necesita configuración.

El cortafuegos analiza y bloquea peticiones maliciosas y potencialmente dañinas, como envíos de formularios, solicitudes con parámetros GET y POST y solicitudes a scripts PHP, cuando el inspector está habilitado.

Si el cortafuegos descubre una petición maliciosa o potencialmente dañina, WP Cerber bloquea la dirección IP, interrumpe el procesamiento de la petición y genera la respuesta 403 Access Forbidden. Estos eventos se almacenan en el registro de actividad, y los detalles de la solicitud se almacenan en el registro de tráfico en vivo si el registro de tráfico está activado.

¿Qué solicitudes no se inspeccionan ni bloquean?

  • Las solicitudes que provienen de direcciones IP de la lista blanca de acceso si está activado.
  • Solicitudes que están en la lista blanca en el campo de configuración de solicitudes de dicha lista.
  • Solicitudes a páginas, entradas, categorías y etiquetas ordinarias de WordPress.

Para desactivar completamente la inspección de tráfico de tu sitio web, visite la página de configuración del inspector de tráfico y desactiva la opción de activar la inspección de tráfico.

No se recomienda desactivarlo porque desactivarás una capa de protección crucial de WordPress. Si tienes problemas con un script de PHP, usa la configuración de la lista blanca de peticiones como te indico más abajo.

Configuraciones de seguridad esenciales de WP Cerber

Aunque WP Cerber parece ser un plugin difícil de administrar, en realidad las configuraciones son bastante accesibles. Basta con leer los enunciados de cada parámetro que el plugin permite configurar para darse cuenta de que se aplica una lógica muy natural y fácil de entender incluso por usuarios sin experiencia en seguridad web.

La mayoría de los plugins para fortalecer las instalaciones de WordPress ofrecen configuraciones básicas que casi siempre ya están aplicadas por defecto. Es como cuando compras un «coche básico» sin extras y sabes que lo podrás conducir sin problemas por los elementos básicos, más allá de los visibles como ruedas, volante o freno de mano, que vienen incluidos y que tendrás luces de cruce cuando las actives en la manecilla junto al volante, ¿Es evidente que es así?

Cuando activas el plugin, WP Cerber Security empieza a funcionar, revisando las conexiones a tu web y analizando el tráfico sospechoso, las subidas de archivos y otros parámetros, que ya te he explicado en el apartado anterior.

¿Cuáles son las cosas que deberías revisar y configurar para mejorar la seguridad del sitio web?

Como todo, es bueno revisar lo que tienes para saber con qué cuentas y qué puedes mejorar o conducir a niveles más altos de desempeño. Pero cuidado, no te bloquees a ti mismo o a tus usuarios legítimos de la web (compradores o clientes).

Las siguientes configuraciones están basadas en las recomendaciones de las prácticas de seguridad para que tu sitio web esté un poco más seguro. El nivel de dureza de la seguridad que implementes dependerá de ti.

Reducir la cantidad de intentos de inicio de sesión

Los inicios de sesión en wp-admin o wp-login.php ocurren con más frecuencia de lo que crees y son uno de los inicios de sesión más activos en muchos sitios WordPress. Pero esto se puede evitar fácilmente limitando los intentos de inicio de sesión en los formularios de acceso de tu sitio web.

Para establecer esta configuración, dirígete a WP Cerber > Dashboard > Ajustes > Login Security (Seguridad de Inicio de Sesión).

Mejorar la seguridad de WordPress con WP Cerber - 1

Aunque todo dependerá del tráfico del Dashboard, ya que será un indicador de si los usuarios malintencionados intentan demasiado con los intentos de acceso, la recomendación es que no abuses de los bloqueos y seas permisivo.

  • Intentos: 5 reintentos permitidos en 30 minutos.
  • Duración de bloqueo: 60 minutos.
  • Cierre agresivo: Aumentar la duración del bloqueo en 24 horas después de 2 bloqueos en las últimas 4 horas.
  • Notificaciones: Notifica al administrador si el número de bloqueos activos por encima de 8.
  • Conexión del sitio: Depende de cómo tu sitio se conecte a Internet.

Lo mejor es hacer pruebas, especialmente si tienes un sitio con una tienda WooCommerce o una academia online. En estos sitios, muchos usuarios pueden acceder sin problemas, pero otros olvidan sus datos de acceso y entonces empiezan a probar todos los datos de acceso hasta que WP Cerber, el servidor de tu hosting o tus medidas de seguridad bloquean sus datos de acceso.

Si tienes clientes, compradores o colaboradores que te dicen que se bloquean al intentar loguearse después de aplicar una configuración restrictiva, es recomendable agregar su IP a una lista blanca para hacer seguimiento de sus sesiones y de paso verificar si continúan bloqueándose después de aplicar esta medida correctiva.

Modo Ciudadela

Debes dejar este modo activado por defecto, es decir, en modo monitor. Esto se debe a que es una protección contra ataques detectados o en curso, como un ataque de diccionario o automatizado contra el formulario de login de WordPress.

Mejorar la seguridad de WordPress con WP Cerber - 2

Puedes establecer la duración de este tipo de bloqueo en caso de producirse, que por defecto es de 60 minutos.

Nadie podrá acceder durante el modo Ciudadela. A menos que el usuario finalice la sesión por su cuenta, las sesiones de los usuarios activos no se verán afectadas.

Normas de seguridad proactivas

Este apartado por defecto incluye todas las opciones desactivadas, ya que se deberían activar sólo en caso de necesidad, especialmente si se considera que WP Cerber Security no es solo un plugin de acción pasiva. Esto significa que, una vez que se aplican las configuraciones, el usuario se olvida de todo, sigue con su vida y WP Cerber resuelve los problemas. Sin embargo, para administradores de sitios, responsables de redes de sitios o personas que administran sitios web, es algo más.

Es aconsejable que tengas precaución al activar algunos de estos componentes, ya que su función es ayudar en situaciones particulares donde necesitas reducir acciones desde una IP específica o un formulario como el de acceso al sitio.

Mejorar la seguridad de WordPress con WP Cerber - 3

Listas de Acceso

Las listas de acceso de WP Cerber Security se dividen en «rangos de IP» o «IPs filtrados», permitiéndoles el acceso «suavizado» o bloqueando completamente el acceso al sitio.

  • Listas blancas: Todas las IPs o rangos añadidos pueden acceder al sitio sin bloqueos y otras restricciones.
  • Listas negras: Todas las IPs o rangos añadidos quedan automáticamente bloqueadas por el Firewall y no podrán acceder o ver el sitio.

Para agregar una dirección IP a la Lista Blanca (o Negra) según corresponda, escribe la dirección IP en el formato XXX.XXX.XXX y, aunque es opcional pero recomendado, una explicación de por qué se le permite o se le deniega el acceso, para recordarlo en el futuro.

Mejorar la seguridad de WordPress con WP Cerber - 4

Nota: el IP del administrador/a no se puede agregar a la Lista Blanca porque ya se añadió cuando se instala y activa WP Cerber. En la Lista de IP’s permitidas es donde se puede ver.

Conclusiones

Mantener un sitio web de WordPress seguro es sencillo, pero dependerá mucho de los plugins adicionales que instales, así como de donde descargues los temas que pruebas o utilizas en tu web. Muchas de las infecciones a sitios web de WordPress provienen de plugins y temas descargados de sitios web de dudosa reputación que infectan con malware los archivos descargables con el fin de propagar aplicaciones maliciosas «o virus» y obtener información adicional

El plugin WP Cerber Security, Anti-spam & Malware Scan está destinado a agregar una serie de capas de seguridad «adicionales» a tu sitio WordPress para que no tenga que hacer un esfuerzo adicional para mantener su web segura.

Una buena manera de monitorear todo lo que sucede en tu WordPress y de paso ¡dormir un poco más tranquilo! es analizar el tráfico de tu web y las acciones de los usuarios en el sitio.

Te recordamos que para mantener tu sitio seguro, es recomendable que tu alojamiento web también lo sea. Revisa nuestros planes de hosting para WordPress optimizados en velocidad y seguridad haciendo clic aquí.

Franco Silvetti
Franco Silvetti

Freelancer especializado en WordPress, con más de 4 años de experiencia.