Seguridad WordPress: Los plugins de seguridad más usados

La im­po­r­ta­n­cia de una co­n­tra­se­ña segura suele ser su­b­e­s­ti­ma­da. Sin embargo, los usuarios de WordPress deben seguir, en la medida de lo posible, los consejos de seguridad; usar plugins adi­cio­na­les puede pro­po­r­cio­nar pro­te­c­ción extra. La he­rra­mie­n­ta Limit Login Attempts  resulta es­pe­cia­l­me­n­te útil contra los llamados ataques de fuerza bruta. Con este tipo de ataques, los hackers intentan descifrar la in­fo­r­ma­ción de acceso de los usuarios mediante la co­m­bi­na­ción de co­n­tra­se­ñas con nombres fre­cue­n­tes de usuario. Recuerda que un inicio de sesión no au­to­ri­za­do co­n­lle­va­rá a pérdida de datos o a cambios no au­to­ri­za­dos del código fuente.  Este tipo de ataque consiste en tratar miles de co­n­tra­se­ñas por minuto hasta lograr de­s­ci­frar­la. Sin embargo, usando plugins como este, el usuario tiene un número limitado de intentos de acceso, es­ta­ble­cie­n­do así, por ejemplo, que después de cuatro intentos fallidos, la cuenta sea bloqueada por un de­te­r­mi­na­do periodo de tiempo. Debido a que este plugin detecta la IP del usuario, el ad­mi­ni­s­tra­dor nunca tendrá problemas para acceder. Es muy común que la mayoría de so­lu­cio­nes “todo en uno” ofrezcan el llamado Brute-Force-Firewall como una ca­ra­c­te­rí­s­ti­ca avanzada para una mayor seguridad de WordPress.

Usando el plugin WP Secure Login Plugin es posible proteger tus co­n­tra­se­ñas con una instancia adicional. Esta co­n­tra­se­ña adicional se renueva pe­rió­di­ca­me­n­te y solo se puede ver a través de la app de Google. El plugin Two-Factor Au­the­n­ti­ca­tion ofrece un nivel adicional de pro­te­c­ción, pues le permite al usuario usar un segundo nombre de usuario, así como una segunda co­n­tra­se­ña, para su ve­ri­fi­ca­ción.

Las llamadas so­lu­cio­nes “todo en uno” combinan di­fe­re­n­tes funciones de pro­te­c­ción en un solo plugin de seguridad para WordPress. El objetivo es contar con una sola función que se encargue de detectar y reparar las vu­l­ne­ra­bi­li­da­des de seguridad latentes o exi­s­te­n­tes. La mayor ventaja de las so­lu­cio­nes “todo en uno”, como iThemes Security, es que resultan perfectas para los usuarios menos ex­pe­ri­me­n­ta­dos. Este último se utiliza para mo­ni­to­rear páginas web con el objetivo de de­te­r­mi­nar posibles fallos de seguridad. Una vez ide­n­ti­fi­ca­dos, el usuario recibirá re­co­me­n­da­cio­nes y he­rra­mie­n­tas para la solución de tales problemas. Gracias a sus funciones avanzadas, estos plugins pueden ser también una he­rra­mie­n­ta idónea para usuarios ex­pe­ri­me­n­ta­dos. El plugin Acunetix WP Security ofrece, por ejemplo, un generador de co­n­tra­se­ñas y una he­rra­mie­n­ta especial para la gestión de bases de datos. El plugin Bu­lle­t­proof Security tiene como función principal defender contra ataques es­pe­cí­fi­cos como por ejemplo XSS, RFI, CRLF, CSRF, Base64, inyección de código e inyección SQL. Los archivos es­pe­cia­les que contienen el código fuente se en­cue­n­tran bajo pro­te­c­ción especial.

En el WordPress hosting de IONOS es posible encontrar algunos plugins prei­n­s­ta­la­dos. Otros plugins de seguridad WordPress, así como sus ac­tua­li­za­cio­nes, pueden ser in­s­ta­la­das fá­ci­l­me­n­te por los mismos usuarios. Sin embargo, para sacarle el máximo provecho a estas ca­ra­c­te­rí­s­ti­cas es necesario ac­tua­li­zar fre­cue­n­te­me­n­te los plugins. Es im­po­r­ta­n­te prestar atención al uso de fuentes de confianza, así como a su ac­tua­li­dad. Por ejemplo, WP Update Notifier se encarga de alertar sobre posibles ac­tua­li­za­cio­nes. Este permite, además, descubrir y tratar vu­l­ne­ra­bi­li­da­des rá­pi­da­me­n­te. El WP Update Notifier no es en sí un plugin de seguridad, pero se encarga de informar sobre las versiones más actuales y por ende, las más seguras, de plugins, temas y otras in­s­ta­la­cio­nes. Los clientes de IONOS pueden valerse del alo­ja­mie­n­to de WordPress ge­s­tio­na­do, también llamado Safe Mode. Si este se activa durante la in­s­ta­la­ción, todas las apli­ca­cio­nes se ac­tua­li­za­rán de forma au­to­má­ti­ca.

Para comprobar el estado de seguridad de tu página web, el plugin Security Ninja hace alrededor de 30 pruebas por web – además de simular un ataque de fuerza bruta. De esta forma, el plugin ide­n­ti­fi­ca y subsana, con la ayuda de otras ex­te­n­sio­nes, posibles de­fi­cie­n­cias en materia de seguridad.