Seguridad Avanzada en WordPress con Bulletproof Security

Categorias: Wordpress

Seguridad Avanzada en WordPress con Bulletproof Security

Si no estás metido en una cueva últimamente, habrás visto varias noticias sobre brechas de seguridad, filtraciones de contraseñas y un sin fin de problemas relacionados con la seguridad online.

Si eres el responsable de un sitio creado con WordPress, deja que te advierta de una cosa: Eres un objetivo para los atacantes.

Es muy común entre los usuarios de WordPress pensar que nuestro proyecto web no es nada especial o no tiene la magnitud necesaria para que un atacante se fije en nosotros, pensar así es un error importante.

Los atacantes intentarán entrar a cualquier WordPress que se encuentren sin valorar si es un sitio grande o pequeño, lo harán porque pueden hacerlo, no porque quieran hacernos daño a nosotros de manera específica, solo seremos un WordPress más hackeado entre muchos otros.

Tampoco es que WordPress sea fácil de hackear, pero el eslabón más débil siempre son los usuarios y es más fácil encontrar un WordPress desactualizado porque su responsable no lo tenga al día que cualquier otro CMS.

Esto es así por estadística. WordPress es el gestor de contenidos más usado en el mundo y por lo tanto hay más posibilidades de encontrar un WordPress vulnerable.

Toda esta parrafada es para que seáis conscientes de lo importante que es preocuparse por la seguridad en WordPress y no ponérselo fácil a los atacantes.

Existen 4 puntos importantes para mantener WordPress seguro:

Sobre este último punto, existen varios plugins, como Wordfence, All In One Wp Security o Cerber Security & Antispam, pero hoy queríamos hablar de plugin BulletProof Security, el cual ofrece opciones muy interesantes para reforzar la seguridad en WordPress.

Plugin BulletProof Security

El plugin BulletProof Security nos ofrece dos versiones, una gratuita y otra de pago.

La versión gratuita ofrece un montón de posibilidades y será suficiente para la mayoría de los usuarios de WordPress, pero siempre esta bien tener una opción más avanzada por si fuera necesaria.

La versión gratuita podemos descargarla desde aquí o buscarla e instalarla desde la sección de plugins de nuestra instalación de WordPress.

Ofrece muchas opciones interesantes y desde su web destacan las siguientes:

Son muchas cosas, así que vamos a ver como se comporta el plugin BulletProof Security.
 

Cómo Usar el PLugin BulletProof Security en WordPress

Vamos a probar este plugin por primera vez y vamos a contaros nuestra primera experiencia como usuarios de WordPress para ver qué tal es la experiencia de usuario.

Todo el plugin está en ingles pero casi todo entendible y si no es así, Google Translate es tu amigo.

Nada más activar el plugin BulletProof Security, veremos que tenemos dos avisos.

Uno hace referencia a una configuración automática:

configuracion automatica bps WordPress

La otra es una noticia que hace referencia al registro de direcciones IP y la normativa de protección de datos RGPD, pudiendo desactivar esta opción si así lo creemos necesario:

bps rgpd WordPress

También encontraremos un nuevo menú llamado BPS Security con un montón de opciones de configuración.

bps security menu WordPress

Vamos a ir a lo fácil y pulsar en el botón de BPS Setup Wizard Notification.

Al pulsar el botón, lo primero que hace es un serie de comprobaciones. Si muestra algo en rojo o en azul, debemos prestarle atención antes de seguir.

Hay que ser conscientes de que esta acción provoca cambios en el archivo .htaccess y estructura de nuestro WordPress, así que es imprescindible realizar una copia de seguridad antes de usarlo.

IMPORTANTE: Este plugin cambia nuestro archivo .htaccess y estructura de WordPress así que es importante hacer una copia de seguridad antes de nada.

Nosotros no hemos encontrado ninguna alerta, así que hemos procedido a pulsar el botón Setup Wizard.

bps security wizard WordPress

En un instante ha hecho todos los cambios necesarios y nos ha informado de todo lo que ha hecho. Tampoco nos ha mostrado ningún error:

bps security verificacion y error WordPress

Los cambios que ha realizado son extensos, así que hemos estado un rato navegando por la web por si había “roto” algo, pero todo sigue funcionando perfectamente. ¡Minipunto para BPS Security!.

Vamos a ver la opciones más interesantes que nos ofrece desde el menú.


Htaccess Core

El archivo .htaccess es muy importante en los servidores Apache y sirve para muchas cosas.

WordPress lo usa y el plugin BPS Security realiza cambios profundos en este archivo. En la opción htaccess Core podemos reconfigurar este aspecto.

Prácticamente todas las opciones se pueden activar o desactivar con un simple botón, otra cosa es saber qué estamos haciendo, así que es mejor no tocar nada si no se tiene muy claro qué estamos haciendo.

htaccess core opciones WordPress


MScan

El plugin BPS Security nos ofrece un antivirus para buscar cualquier código malicioso que haya podido insertarse en nuestro WordPress.

Si tenemos sospechas de que algo malo está en nuestro WordPress o solo queremos asegurarnos, entramos en el menú MScan y pulsamos sobre Star Scan.

bps security mscan WordPress

El tiempo del escáner dependerá del tamaño de nuestro WordPress y una vez finalizado nos mostrará los archivos maliciosos encontrados y las opciones que tenemos, ¡como en el antivirus de nuestro ordenador!

bps security mscan archivos maliciosos WordPress


Login Security

Desde esta opción, Login Security podemos determinar cuantos intentos de logueo permitimos antes de bloquear al usuario.

Si alguien está probando contraseñas para acceder al admin de nuestro WordPress, ¡será baneado!

bps security login WordPress


DB Backup

Algo importante en todo WordPress y demás sitios web, es la base de datos.

Es importante hacer backups periódicos para poder recuperarla en caso de problemas, pero lo malo de hacer backups es, precisamente, tener que hacerlos.

El plugin BPS Security no facilita esta tarea desde el menú DB Backup, pudiendo programar las copias de seguridad y además, podemos decirle que comprima el backup en .zip y nos la envíe por correo electrónico.

Esto solo será válido para bases de datos que no ocupen demasiado espacio, pero es una opción muy buena en muchos casos y así nos aseguramos de tener un historial de backups de nuestra base de datos sin preocuparnos de nada más.

bps security db backup WordPress

 

Maintenance Mode

El modo mantenimiento es muy útil para evitar problemas con los usuarios y clientes de nuestro WordPress cuento estamos realizando actualizaciones o cambios en la web.

Mostrar un error al intentar acceder o dejar una compra a medias no es algo que queramos, así que es mejor crear una página advirtiendo que se están realizando cambios y que volveremos en breve.

Desde la opción Maintenance Mode podemos hacer esto, además nos permite crear un mensaje personalizado en cuestión de segundos.

bps security modo mantenimiento WordPress

Cosas a Tener en Cuenta

El plugin BPS Security es un buen plugin y ofrece un buen catálogo de opciones extra de seguridad para nuestro WordPress.

Solo hemos probado la versión gratuita y las opciones que ofrece son abrumadoras.

No es el plugin más bonito y sencillo de usar, pero para un usuario con conocimientos medios / avanzados en seguridad puede ser la opción perfecta.

Por suerte, para el resto de usuario existe la opción de configuración automática o Wizard, la cual nos ha funcionado perfectamente.

Realmente no hemos cambiado nada de la configuración Wizard y a falta de más test en otras instalaciones, nos ha funcionado perfectamente en WordPress 5.xx y 4.9.xx

Si duda, BPS Security es una opción a tener en cuenta para mejorar la seguridad de nuestro WordPress.
 

Hosting WordPress con un Toque Extra de Seguridad

En Hostinet la seguridad es una prioridad y el equipo técnico se encarga de atajar cualquier intento de ataque a nuestros servidores.

Por desgracia no podemos controlar todo lo que se instala en nuestros servidores, si un usuario de WordPress usa un theme pirata o no lo mantiene actualizado, un atacante puede conseguir añadir un código malicioso.

Para ayudaros a solucionar este tipo de problemas, Hostinet escanéa todos sus servidores en busca de cualquier malware inyectado.

Si detectamos algo mal en tu WordPress, aislaremos los archivos y te avisaremos de inmediato para que puedas reemplazarlos o limpiar el código malicioso de los archivos infectados.

¡¡Es como su contaras con un antivirus personal en tu hosting del que se encarga Hostinet!!

Hosting WordPress