La configuración de All in One WordPress Security and Firewall es algo laboriosa, sin embargo, una vez esté realizada podemos utilizarla (casi en su totalidad) para otras instalaciones.
Son muchos los trucos que podemos aplicar a una instalación de WordPress: trucos sobre velocidad de carga, tratamiento de imágenes, seguridad, etc. Yo os traigo un truco sobre seguridad (cómo no).
Como sabemos, hay muchos y muy buenos plugins de seguridad en el repositorio de WordPress. Si tuviera que elegir, seleccionaría configuraciones de cada uno de ellos para hacer el “megaplugin” de seguridad. Sin embargo, esto no es posible por el momento, así que mi truco de seguridad está relacionado con el plugin “All in One WP Security and Firewall”.
¿Por qué he escogido este plugin? pues por dos razones, la primera porque posee un montón de características para configurar y creo que prácticamente cubre las más esenciales. La segunda es que todas estas características se pueden exportar a otras instalaciones de WordPress una vez configuradas.
Eso es precisamente de lo que trata este truco, os voy a proporcionar una configuración básica pero bastante potente de este plugin para que en tan solo cuestión de segundos tengáis vuestros WordPress mucho más seguros. ¿Quiere decir esto que debo aplicar esta configuración a todos mis WordPress? pues la verdad es que no, no quiero que penséis que aplicando esta configuración ya estáis seguros y no hay que preocuparse, en temas de seguridad no existe eso de “estoy 100% seguro” y hay que “currárselo” cada día, de echo no puedo hacerme responsable de posibles hackeos o de malas configuraciones de vuestras instalaciones.
Aplicar la configuración de All in One WordPress Security and Firewall
Cada instalación necesita de una configuración diferente, aunque lo que aquí os proporciono es algo básico para asegurar vuestros WordPress deberíais comprobar que se ajusta a cada una de vuestras instalaciones y no presenta incompatibilidades con otros plugins.
Una vez aplicada en tu WordPress dispondrás de:
– Limite de intentos de logueo, limitado a 5.
– Ocultación de la url de acceso al panel de control: a partir del momento de aplicar estas normas, en lugar de añadir “wp-admin” deberás escribir “accesowp” (podrás modificar esta ruta posteriormente desde el mismo plugin en la sección “fuerza bruta”).
– Reglas básicas de firewall.
– Recibe notificaciones por email deberás modificar el email que hay ahora “aqui@tuemail.com” por tu dirección de correo en las secciones:
- “Acceso de usuario”,
- “seguridad base de datos/ Copia de seguridad de base de datos”
- “Escáner”.
– Finaliza la sesión del usuario tras 60 minutos del logueo.
– Bloqueo de acceso a archivos de instalación (readme.html, license.txt y wp-config-sample.php)
Para aplicar estar reglas deberás instalar el plugin “All in One Security and Firewall” de cualquiera de las maneras que supongo ya conoces.
Una vez instalado y activado, dirígete a su sección “Opciones”
pulsa en la pestaña “Importar/exportar”
Copia el siguiente texto:
{"aiowps_enable_debug":"","aiowps_remove_wp_generator_meta_info":"1","aiowps_prevent_hotlinking":"","aiowps_enable_login_lockdown":"1","aiowps_allow_unlock_requests":"","aiowps_max_login_attempts":5,"aiowps_retry_time_period":5,"aiowps_lockout_time_length":1440,"aiowps_set_generic_login_msg":"","aiowps_enable_email_notify":"1","aiowps_email_address":"aqui@tuemail.com","aiowps_enable_forced_logout":"1","aiowps_logout_time_period":60,"aiowps_enable_invalid_username_lockdown":"","aiowps_instantly_lockout_specific_usernames":[],"aiowps_unlock_request_secret_key":"md39ld1owa2k0j22n7on","aiowps_enable_whitelisting":"","aiowps_allowed_ip_addresses":"","aiowps_enable_login_captcha":"","aiowps_enable_custom_login_captcha":"","aiowps_captcha_secret_key":"n6kxhapi6vdoul5d9t70","aiowps_enable_manual_registration_approval":"","aiowps_enable_registration_page_captcha":"","aiowps_enable_random_prefix":"","aiowps_enable_automated_backups":"","aiowps_db_backup_frequency":4,"aiowps_db_backup_interval":"2","aiowps_backup_files_stored":2,"aiowps_send_backup_email_address":"","aiowps_backup_email_address":"aqui@tuemail.com","aiowps_disable_file_editing":"1","aiowps_prevent_default_wp_file_access":"1","aiowps_system_log_file":"error_log","aiowps_enable_blacklisting":"","aiowps_banned_ip_addresses":"","aiowps_enable_basic_firewall":"1","aiowps_enable_pingback_firewall":"","aiowps_disable_xmlrpc_pingback_methods":"","aiowps_block_debug_log_file_access":"1","aiowps_disable_index_views":"","aiowps_disable_trace_and_track":"","aiowps_forbid_proxy_comments":"","aiowps_deny_bad_query_strings":"","aiowps_advanced_char_string_filter":"","aiowps_enable_5g_firewall":"","aiowps_enable_6g_firewall":"","aiowps_enable_custom_rules":"","aiowps_custom_rules":"","aiowps_enable_404_logging":"","aiowps_enable_404_IP_lockout":"","aiowps_404_lockout_time_length":"60","aiowps_404_lock_redirect_url":"http:\/\/127.0.0.1","aiowps_enable_rename_login_page":"1","aiowps_enable_login_honeypot":"","aiowps_enable_brute_force_attack_prevention":"","aiowps_brute_force_secret_word":"","aiowps_cookie_brute_test":"","aiowps_cookie_based_brute_force_redirect_url":"http:\/\/127.0.0.1","aiowps_brute_force_attack_prevention_pw_protected_exception":"","aiowps_brute_force_attack_prevention_ajax_exception":"","aiowps_site_lockout":"","aiowps_site_lockout_msg":"","aiowps_enable_spambot_blocking":"","aiowps_enable_comment_captcha":"","aiowps_enable_autoblock_spam_ip":"","aiowps_spam_ip_min_comments_block":"","aiowps_enable_automated_fcd_scan":"1","aiowps_fcd_scan_frequency":1,"aiowps_fcd_scan_interval":"2","aiowps_fcd_exclude_filetypes":".jpg\r\n.png\r\n.txt","aiowps_fcd_exclude_files":"","aiowps_send_fcd_scan_email":"1","aiowps_fcd_scan_email_address":"aqui@tuemail.com","aiowps_fcds_change_detected":true,"aiowps_copy_protection":"","aiowps_prevent_site_display_inside_frame":"","aiowps_prevent_users_enumeration":"1","aiowps_login_page_slug":"accesowp","aiowps_last_fcd_scan_time":"2017-09-26 19:28:35","aiowps_block_fake_googlebots":"","aiowps_lockdown_enable_whitelisting":"","aiowps_lockdown_allowed_ip_addresses":"","aiowps_enable_registration_honeypot":"","aiowps_enable_lost_password_captcha":"1"}
Pégalo en el campo “Copiar/Pegar importar data:”
Pulsa el botón “Importar ajustes de AIOWPS” y ya tendrás las opciones del plugin aplicadas.
Por supuesto eres libre de modificar estas opciones y ampliarlas según tus necesidades. Te invito a bucear por las distintas secciones del plugin y a modificarlas a tu gusto.
A continuación te dejo un link a un nuevo post donde te enseño paso por paso, a través de un videotutorial, a configurar cada una de las opciones de seguridad de este fantástico plugin. Para que seas tu quien decide las opciones a incluir y las que no.
Ver videotutorial
(Configuración paso por paso de All in One WP Security & Firewall)
Valórame, es gratis, solo te cuesta un click [kkstarratings]
Grande Tomás!!! No conozco demasiado este plugin, suelo usar iThemes Security Pro, pero le voy a echar un buen ojo a este que propones 😉 Un detallazo compartir las reglas de seguridad. 1 abrazote tío!
Muchas gracias Juanka. ¿De eso se trata no? compartir tus conocimientos en bien de la comunidad WordPress 😉
¡Un fuerte abrazo!
Hola Tomás,
Lo primero muchas gracias por la entrada y por el trabajo que haces en general con este blog.
He estado mirando el script que has dejado pero veo 2 cosas:
1. La cadena “aiowps_captcha_secret_key”:”n6kxhapi6vdoul5d9t70″ también hay que sustituirla por nuestra cadena de capcha, ¿verdad?
2. Y lo otro tan solo es comentarte que no me ha resultado demasiado sencillo el poder copiar todo el script.
Muchas gracias por tu ayuda y por hacer que nuestras instalaciones de WordPress sean más seguras.
Un saludo.
Muchas gracias Ángel.
Tienes razón en lo del captcha, cada uno debería poner su propia cadena, gracias por el aporte.
Respecto a la importación del código, tan solo debes hacer 3 clics en cualquier parte de la cadena que te propongo para seleccionarla entera, la copias con CTRL+C.
Después vete al menú “Ajustes” (ha cambiado, antes se llamaba “opciones”) del plugin “All in One”, clic en la pestaña “importar/exportar” y lo pegas ahí. Es bastante simple pero quizá un poco difícil de encontrar.
Espero que te sirva
Un saludo
Otra pregunta, ¿con este plugin evitar limitar el acceso a ciertos paises que intentan meter comentarios en las noticias?
Si no es así ¿qué plugin me recomiendas o es preferible limitar por htaccess?
Gracias de nuevo
En la sección cortafuegos, pestaña “reglas personalizadas”, tienes la opción de bloquear IPs añadiendo las reglas al .htaccess directamente de la siguiente manera
-Para bloquear una IP concreta añade lo siguiente:
order allow, deny
deny from IP
allow from all
(Modifica “IP” por la IP que deseas bloquear)
– Para bloquear IPs de un rango (por ejemplo 170.1.0.x) añade:
order allow,deny
allow from all
deny from 170.1.0.
(Modifica el rango por el/los que deseas)
Muchas gracias Tomás.
Enhorabuena por tu blog. Necesitaría tu ayuda si no es molestia para ti, desde que instalé el All In One WP Security, el enlace del autor de un artículo no funciona me da el siguiente error: Accessing author info via link is forbidden, ¿Cómo puedo arreglarlo? por más que busco no encuentro nada que entienda, en realidad soy una pardilla todavía en WordPress.
Gracias.
Hola Ana, muchas gracias a ti por visitar mi blog.
Prueba a ir al menú “varios” del plugin y ahí dirígete a la pestaña “Enumeración de usuarios”. Una vez dentro, desactiva la casilla que ves y guarda los cambios. Debería estar solucionado.
Cualquier cosa me comentas ¿ok?
Un saludo
Gracias por compartir la configuración!
Abrazo Tomy!
Hola Tomas, primero te felicito por tu blog, no lo conocía pero la verdad es que esta muy bien.
Al respecto de tu configuración:
La configuración que propones esta bien, salvo dos detalles importantes.
1-En general los bloqueos de acceso funcionan a 3 o a 5, todo el mundo lo sabe (los atacantes / intrusos también), por tanto mejor dos o como máximo tres intentos.
2-El tiempo de desconexión en 60 minutos me parece un absurdo, un buen articulo ya cuesta más tiempo. Personalmente esa opción permanece desactivada.
Muchas gracias Sergio.
La configuración que aquí propongo no tiene que ser así al 100%, en todo momento dejo abierta la posibilidad de que cada usuario la modifique acorde a sus necesidades. Estoy de acuerdo contigo en ambas apreciaciones aunque me gustaría matizar algunos aspectos:
1- La experiencia me dice que si configuras el bloqueo a menos de 3 intentos corres un altísimo riesgo de bloquearte a ti mismo por varias razones: o te equivocas al escribir la contraseña dos veces (cosa bastante fácil al teclear) o tienes tantas contraseñas en todas tus cuentas (como debería de ser, y no repetir contraseñas) que a veces dudas de cual es la de un sitio concreto.
Es por estas razones por las que aconsejo 3 o 5 intentos hasta el bloqueo, pero repito, cada uno es libre de configurarlo como desee.
2- El tiempo de desconexión de 60 minutos, realmente es un absurdo por lo que dices, un buen artículo te lleva más tiempo. Yo lo subiría (suele ser frustrante a veces en medio de un post que te desconecte el sistema). Sin embargo, tomando otras medidas de seguridad en la instalación se podría hasta prescindir de esta opción.
Una vez más, muchas gracias por tus comentarios y me alegro que te guste mi blog. Siéntete libre de comentarme cualquier cosa que estaré encantado de responderte 😉