Explora todo lo que te ofrecemos en Blogpocket. Por ejemplo, regístrate como miembro, para recibir el boletín semanal y acceder a contenidos exclusivos

En este blog encontrarás noticias, artículos, guías, tutoriales, manuales y cursos sobre WordPress (cómo crear un blog y un sitio web, publicar un medio digital), Redes Descentralizadas (Mastodon), IA; así como información acerca de productividad, minimalismo y slow blogging.

Inicia un tour

-> Consulta el Microblog, donde publicamos notas y apuntes breves con todo lo que estamos pensando y haciendo.

Sigue este blog vía RSS, o vía email.

Nuevo RSS Magazine, la primera revista que se lee solo mediante un lector RSS

Esto es lo que dicen nuestro usuarios

  • No soy informático profesional y me ofreces gran ayuda para conseguir cierta autonomía con WordPress
  • Me gusta más Blogpocket porque encuentro la información que necesito más rápido y sin tanto rollo.
  • Por que lo enseña todo y sin tapujos, facil de entender y de poner en práctica o tomar acción
  • Sigo blogpocket há vários anos. Conteúdos bem organizado, claros e acessíveis. Empatia pessoal pela postura e modo de comunicar de António.
  • Por contener información valiosa, claramente explicada, además de casos prácticos y actuales y explicados por un referente.

Suscríbete a nuestra newsletter «Blogpocket» y descarga los ebooks gratuitos.

Regístrate

Además de las entradas y los episodios del videopodcast, también puedes seguir los fediposts y, puntualmente, la newsletter vía el RSS de Blogpocket.

-> Mira todo lo que tiene el RSS: Últimas publicaciones

Mira todo lo que tiene el RSS: Últimas publicaciones

Cómo configurar el plugin de WordPress iThemes Security

Share to social media
Padlock on computer keyboard
Garantizar la seguridad en tu blog de WordPress es un asunto crucial

La seguridad en WordPress es uno de los temas que te debería preocupar. En este post hallarás toda la información necesaria para optimizar la seguridad de tu blog en dicha plataforma, incluyendo un tutorial para configurar el plugin de WordPress iThemes Security.

El primero que debe garantizar la seguridad de tu blog es el proveedor de tu servicio de hosting. Pero una instalación de WordPress posee algunos puntos débiles que es necesario reforzar utilizando herramientas adicionales.

¿Existe el riesgo cero? Por supuesto que no.

La única forma de garantizar una recuperación completa de tu blog es poseer una copia de seguridad tanto de la base de datos como de los ficheros que componen la instalación. Instala, además, un plugin como iThemes Security, lo que te permitirá proteger tu blog de los principales riesgos de seguridad.

A continuación, se recopila toda la información que necesitas saber sobre este asunto trascendental.

Cómo puedes hacer un backup de WordPress

Te recomiendo que instales el plugin Updraft Plus y planifiques una copia de seguridad diaria de la base de datos. Para los archivos (carpetas «themes», «plugins», «uploads» y aquellas otras dentro de «wp-content») podría ser suficiente un backup mensual, dependiendo del nivel de actualización de tu blog. Si tienes otros archivos (que no correspondan a la instalación de WordPress) en la raiz de tu espacio de almacenamiento (normalmente en «public_html», o similar), cópialos directamente a tu ordenador (por ejemplo «.htaccess» o «favicon.ico»).

Para más información, lee el post siguiente:

 Cómo hacer un backup de WordPress

Instala un CDN

Te recomiendo también que instales un proxy inverso, al estilo de CloudFlare. Este sistema gratuito (con opción de pago) ha sido adoptado por nuevas plataformas como Ghost.

También lo proporcionan, como una función más, algunos proveedores de hosting. Es el caso de SiteGround, donde ahora está alojado Blogpocket precisamente. Si estás buscando un hosting con planes de servidores compartidos, con una excelente relación calidad/precio, haz clic aquí. Yo me llevo un mes de hosting gratis y tú un buen alojamiento para tu blog 😉 .

Cloudflare es ideal para conseguir no solo funciones muy eficaces de protección sino también de caché con lo que se mejoran mucho los tiempos de carga de las páginas y el consumo de recursos.

Lee en el siguiente artículo más información sobre la seguridad y velocidad de tu blog; así como para aprender a configurar CloudFlare:

 Cómo mejorar la velocidad y seguridad de tu blog

Qué otras medidas de seguridad debes adoptar

Además del backup (tu verdadero salvoconducto) y del CDN, puedes llevar a cabo otras acciones importantes. Por ejemplo, usar una contraseña fuerte o mantener siempre actualizados al último nivel tanto la plantilla como los plugins que uses.

Lee, en el siguiente post, todo lo que es suficiente para optimizar la seguridad de tu blog de WordPress:

 Las 10 medidas de seguridad imprescindibles

Instala iThemes Security

Con iThemes Security reforzarás la seguridad de tu blog de WordPress
Con iThemes Security reforzarás la seguridad de tu blog de WordPress

Muchas de las medidas de seguridad aplicables a tu blog de WordPress se pueden llevar a cabo con soluciones específicas y aisladas. Sin embargo, lo mejor es emplear, tal y como te indiqué al principio, un plugin del estilo de iThemes Security, aunque yo te recomiendo éste por su eficacia y facilidad de configuración.

Una vez instalado y configurado, solo te debes preocupar de atender las alertas y revisar periódicamente los logs.

Tutorial para configurar el plugin de WordPress iThemes Security

El plugin se configura muy fácilmente siguiendo las indicaciones del propio plugin, pero a continuación se indican cuáles son los los puntos importantes que debes cuidar.

Antes de empezar, haz un backup completo de tu blog de WordPress (mira el apartado «Cómo puedes hacer un backup de WordPress» en este mismo post que estás leyendo).

Lista de opciones

FIgura 1
FIgura 1

En primer lugar, selecciona las opciones recomendadas (ver figura 1). En total, existen 27 opciones, pero 5 de ellas con avanzadas y no deben configurarse, a menos que seas un usuario experto. Céntrate, al principio, solo en las 22 opciones recomendadas, de las cuales 7 de éstas son de pago.

Security Check

Figura 2
Figura 2

El apartado «Security Check» te ayudará a configurar los aspectos prioritarios. Haz clic en el botón «Configure Settings», a la derecha, y ejecuta la configuración automática con el botón «Secure site».

Con ello, se activarán todos los apartados recomendados que se muestran en la figura 2.

Después, acude a cada uno de esos apartados para completar su configuración.

En algunos casos, te interesará desactivar el apartado. Por ejemplo, en el caso del backup si es que ya usas otro plugin específico. Ve al apartado correspondiente y haz clic en el botón «Disable».

Veamos, ahora, cuál es la configuración que debes adoptar en cada uno de los apartados incluidos en «Security Check». Para ello, haz clic en el botón «Configure settings».

Banned Users

  • En la sección «Banned Users», activa la casilla «Enable HackRepair.com’s blacklist feature» para utilizar la lista negra por defecto.
  • Activa la casilla «Enable ban users».

Local Brute Force Protection

La protección local de fuerza bruta sólo se fija en los intentos de acceso a tu sitio y prohíbe a los usuarios de acuerdo a reglas de bloqueo especificadas localmente.

  • Activa la casilla «Automatically ban «admin» user» para prohibir el acceso a todo aquél que intente entrar con dicho usuario.

Network Brute Force Protection

Para habilitar esta opción, consigue la API introduciendo tu dirección de email. Escriben tu dirección de email dentro del campo «Get your iThemes Brute Force Protection API Key».

Una vez hecho eso, iThemes Security prohibe a los usuarios que han tratado de entrar en otros sitios. De esta forma, se te informará automáticamente de las direcciones IP asociadas a los intentos y se bloquearán por un periodo de tiempo necesario para proteger tu sitio, basándose en el resto de sitios donde se ha visto un ataque similar.

Strong Password Enforcement

Aquí, selecciona en el desplegable el rol mínimo que va a funcionar con passwords fuertes.

WordPress Tweaks

En la sección «WordPress Tweaks», activa la casillas siguientes:

  • «Remove the Windows Live Writer header»
  • «Remove the RSD (Really Simple Discovery) header»
  • «Reduce Comment Spam»
  • «Disable File Editor»
  • «Force users to choose a unique nickname»
  • «Disables a user’s author page if their post count is 0»

También, en esta sección, selecciona la opción «Completely Disable XML-RPC» dentro del desplegable «Disable XML-RPC».

Y, finalmente, selecciona «Block» en el desplegable «Multiple Authentication Attempts per XML-RPC Request».

No te olvides, en todos los casos, de hacer clic en el botón «Save Settings» para guardar cualquier cambio que realices.

Global Settings

En este apartado, realiza lo siguiente:

  • Activa la casilla «Allow iThemes Security to write to wp-config.php and .htaccess.» en «Write to files».
  • Verifica que tu dirección de e-mail es correcta.
  • Haz clic en el botón «Add my current IP to the White List». Esto te permitirá detectar que no te estás bloqueando a ti mismo.
  • Activa la casilla «Send digest email» para que solo se te envíe un e-mail de notificaciones al día.
  • Activa la casilla «Enable Blacklist Repeat Offender», para que se bloquee la IP desde la que se han intentado un número determinado de intentos de acceso. Los número se configuran en la casilla de «Lockouts».

404 Detection

Activa este apartado para detectar errores 404.

File change detection

Activa la casilla «Email file change notifications» para recibir por email cualquier cambio detectado en ficheros de tu sitio.

Puedes escanear posibles cambios haciendo clic en el botón «Scan files now» y consultar los logs.

System tweaks

Activa las siguientes casillas:

  • Protect System Files
  • Disable Directory Browsing
  • Disable PHP in Uploads

Y hasta aquí los apartados importantes.

Lee más en Introducing the New iThemes Security Dashboard

Este plugin tiene una versión Pro. Mira el vídeo para ver las diferencias.

Desinstalación de iThemes Security

WordFence es el otro plugin que le hace la competencia a iThemes Security.

Pero nunca debes tener instalados dos plugins de seguridad. Así que si quieres instalar WordFence, desinstala antes iThemes Security. Aquí está toda la información para desinstalarlo completamente: How to RESET iThemes Security plugin to fix issues.

Conclusiones

No debes menospreciar la importancia de la seguridad en tu blog. WordPress es una de las mejores plataformas auto-alojadas para desarrollar un sitio Web, tan simple como un blog o tan complejo como una tienda online (por ejemplo). No obstante, con ella no estás en absoluto exento de posibles ataques de fuerza bruta, inyección de código malicioso, etc.

En este post has obtenido mucha información valiosa para aprender a optimizar tu blog de cara a la seguridad. ¡No la desaproveches!

En una plataforma auto-alojada, como WordPress.org, no existe el riesgo cero. Pero, con los datos que te he proporcionado en este artículo, al menos, tendrás un buen antidoto para la mayoría de los problemas de seguridad que existen.

Estaré encantado de escuchar tus experiencias al respecto y tu visión del tema. Para participar, usa el sistema de comentarios, que encontrarás un poco más abajo en esta página o las redes sociales.

Antonio Cambronero

,

2 respuestas a «Cómo configurar el plugin de WordPress iThemes Security»

  1. Ana

    Muy interesante el post, gracias!
    Tengo instalado este plugin, y me ha contactado un lector de mi blog informándome que no puede entrar. Le da error 403 forbbiden.
    Mi pregunta es si hay forma de desbloquearlo para que vuelva a acceder al contenido.
    Muchas gracias y un saludo!

    Responder
    1. Antonio Cambronero

      Hola Ana. Hay una opción de lista blanca. Si sabes la IP de ese lector puedes desbloquearlo. Lo que es raro es que le haya bloqueado su IP si más. Habría que averiguar la razón. El plugin iThemes Security bloquea los intentos de acceso al login. Un saludo 🙂

      Responder

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Información básica sobre protección de datos Ver más

  • Responsable: Antonio Cambronero.
  • Finalidad:  Moderar los comentarios.
  • Legitimación:  Por consentimiento del interesado.
  • Destinatarios y encargados de tratamiento: No se ceden o comunican datos a terceros para prestar este servicio. El Titular ha contratado los servicios de alojamiento web a GreenGeeks que actúa como encargado de tratamiento.
  • Derechos: Acceder, rectificar y suprimir los datos.
  • Información Adicional: Puede consultar la información detallada en la Política de Privacidad.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.