Cómo proteger tu blog en WordPress con Wordfence plugin de seguridad y evitar ataques

Desde hace varios meses he notado que gente mal intencionada ha querido entrar o violar el acceso de mi blog mediante el usuario de administrador, debido a lo anterior he decidido realizar algunos cambios para protegerlo un poco más y los cuales te voy a platicar en este post, nunca esta de más otro candado de seguridad 😉

Es importante que si tienes un blog en WordPress cuentes con plugins que te ayuden a detectar a estos intrusos y tomar cartas en el asunto 😉

Uno de los plugins que te van a ayudar a detectar posibles ataques a tu blog es Wordfence Security, a continuación te voy a platicar y a mostrar a que parte le puedes mover para pulir la configuración de Wordfence y así reforzar la seguridad en tu blog.

Wordfence Security.

Primero lo que tienes que hacer es instalar el plugin mediante el administrador de plugin de wordpress o descargarlo y subirlo por FTP para luego activarlo.

¿Qué es Wordfence security? Es un plugin de seguridad para wordpress muy interesante ya que tiene varias funcionalidades, entre ellas:

• Permite el bloqueo de ataques en tiempo real.
• Escanea archivos en busca de malware.
• Te permite ver quienes han intentando entrar a tu blog con el usuario administrador.
• Análisis de enlaces maliciosos.
• Puedes bloquear ataques por IP o por bloques de redes.
• Te muestra el país origen del ataque.
• Analiza el tráfico en tiempo real, humanos, robots, páginas no encontradas.
• Firewall el cual se puede configurar mediante reglas establecidas.

Una vez instalado te debe de aparecer de lado derecho el siguiente menú:

Lo siguiente es realizar un scan completo de tu sitio web o blog, para ello debes dar clic en la opción de Scan y luego en el botón azul (Start a Wordfence Scan), una vez escaneado el sitio entonces debe quedar de la siguiente manera:

De forma muy general lo que realiza este escaneo es un análisis de todo lo que tienes instalado en tu sitio, te menciona la cantidad de archivos, número de plugins, temas instaladas.

En mi caso me ha detectado un issue el cual tiene que ver con la actualización de mi tema 😛

Ahora veamos algunas de las secciones de Wordfence.

Live Traffic.

Al entrar a la opción de Live Traffic te debe aparecer el siguiente menú:

En esta sección unas de las cosas que podremos analizar es quienes han entrado o han intentado entrar a nuestro sitio web, por ejemplo en estos últimos días se ha disparado los intentos desde España.

Para detectar lo anterior mencionado debes de dirigirte a la pestaña de Logins a Logouts y te puedes encontrar una sorpresa como la siguiente:

Algunas otras veces  los intentos vienes de países como China, Francia, Rumania, Bulgaria, todavía se me hace lógico España pero china y queriendo entrar al admin, eso si que esta extraño, no creo que estas visitas estén interesados en mi contenido 😛

Así que mucho ojo y no dejes de utilizar el link de block para bloquearlos.

Pages Not Found

Otra pestaña interesante de Wordfences es la de Pages Not Found en la cual podrás observar que páginas no han sido encontradas en tu blog, pero algo que llama la atención, es que mediante dicha sección también vas a observar algunas curiosidades interesantes, como por ejemplo habrá quienes quieran intentar vulnerar algún archivo para entrar a tu blog.

Aquí te pongo un ejemplo de lo que encontré en mi revisión:

Es importante que bloquear a IPs que solo quieren entrar por ejemplo al área de administración de tu blog, en mi caso aparece una de Noruega y otra de EUA, que yo sepa no le he dado mi usuario a ningún amigo noruego 😛

Lo que hice después de observar lo anterior fue bloquear dichas IPs para evitar un daño o posible ataque en mi blog.

Options

Options es una pestaña que te va a permitir configurar ciertos detalles a tu gusto, principalmente el nivel de seguridad que le quieres colocar a tu blog, desde una configuración básica hasta elevar el nivel de seguridad si estas siendo atacado.

Al entrar a la pestaña de Options vas a ver una primera sección titulada Basic Options en la cual vas a encontrar las siguientes opciones:

• Enable firewall. Opción de check box para habilitar o no el firewall, para una configuración más avanzada o con más detalle entonces te vas a tener que ir un poco más abajo y definir tus propias reglas.
• Enabled login security. Al activar esta opción vas a controlar por ejemplo cuantas veces puede un usuario fallar al entrar al blog, entre otras cosas, dicha opción tiene una sección abajo para que la configures a detalle.
• Enable Live Traffic View. Con esta opción vas a poder ver quienes entran a tu blog, pero si también si te vas abajo a la configuración avanzada vas a poder excluir o ignorar usuarios o IPs.
• Enable automatic scheduled scans. Esta función permite realizar un scan de tu blog de manera automática, pero lo que veo esta opción funciona solo en la versión de paga.
• Where to emails alerts. Aquí debes especificar a que correos quieres que te lleguen la notificaciones, puedes colocar varios correos separándolos por una coma.
• Security Level. Si no quieres quebrarte la cabeza configurando wordfence esta opción te va a ayudar mucho, aquí puedes escoger configuraciones predeterminadas como por ejemplo: Medium Protection. Suitable for most sites.

Configuración avanzada de Wordfence Alerts

Aquí te muestro la configuración que le deje en la sección de Wordfence alerts.

En la imagen anterior solo quite el check de la opción “Alert me when someone with administrator access signs in” para que no me estuvieran llegando notificaciones de este tipo.

Login Security Options

En la siguiente sección puedes configurar el número de intentos fallidos permitidos y luego bloquear, en mi caso lo deje de la siguiente manera:

Como te habrás dado cuenta yo puse la regla que solo acepto cinco intentos fallidos, y es una forma de reforzar la seguridad ya que veo que desde hace un tiempo varias personas sin que hacer andan buscando dañar mi blog.

Hasta aquí los puntos más importantes que yo he modificado, espero te puedan dar alguna idea para proteger más tu blog.

Backup

Una carta que debes de tener siempre bajo la manga es el contar con respaldos de tu blog o web, aunque tengas instalados muchos plugins de seguridad no esta de mas tener un backup actualizado, para realizar un respaldo puedes encontrar en Internet muchos plugins.

Yo deje de utilizar plugins para realizar backups y me incline mejor por contratar el servicio de CodeGuard el cual es una Herramienta para automatizar el Backup de tu Blog o Website.

 Conclusión

Si tienes un blog o sitio web es importante reforzarlo con algo de seguridad y no descuidar este aspecto, y con ello evitar posibles frustraciones, en verdad te recomiendo que instales el plugin de wordfence no te va a llevar más de 15 minutos ya configurado.

Es mejor prevenir a lamentar, por cierto otra recomendación es mantener siempre actualizado la versión de WordPress y procura utilizar passwords fuerte, es decir combinación de letras, números, signos.

Por último, si quieres externar otro punto de vista, algún otro consejo, experiencia respecto al tema, adelante, me gustaría leerla, puedes expresarte a través de la sección de comentarios y desde luego si te ha gustado y te ha parecido interesante anímate a compartirlo en tus redes sociales, te lo voy agradecer infinitamente 😉

Photo credit. 

Por Gerardo Hernández Arias

@gerardoharias