Configuración de All in One WordPress Security and Firewall

All in One WP Security & Firewall

La configuración de All in One WordPress Security and Firewall es algo laboriosa, sin embargo, una vez esté realizada podemos utilizarla (casi en su totalidad) para otras instalaciones.

All in One WordPress Security and Firewall

 

Son muchos los trucos que podemos aplicar a una instalación de WordPress: trucos sobre velocidad de carga, tratamiento de imágenes, seguridad, etc. Yo os traigo un truco sobre seguridad (cómo no).
Como sabemos, hay muchos y muy buenos plugins de seguridad en el repositorio de WordPress. Si tuviera que elegir, seleccionaría configuraciones de cada uno de ellos para hacer el “megaplugin” de seguridad. Sin embargo, esto no es posible por el momento, así que mi truco de seguridad está relacionado con el plugin “All in One WP Security and Firewall”.

¿Por qué he escogido este plugin? pues por dos razones, la primera porque posee un montón de características para configurar y creo que prácticamente cubre las más esenciales. La segunda es que todas estas características se pueden exportar a otras instalaciones de WordPress una vez configuradas.

Eso es precisamente de lo que trata este truco, os voy a proporcionar una configuración básica pero bastante potente de este plugin para que en tan solo cuestión de segundos tengáis vuestros WordPress mucho más seguros. ¿Quiere decir esto que debo aplicar esta configuración a todos mis WordPress? pues la verdad es que no, no quiero que penséis que aplicando esta configuración ya estáis seguros y no hay que preocuparse, en temas de seguridad no existe eso de “estoy 100% seguro” y hay que “currárselo” cada día, de echo no puedo hacerme responsable de posibles hackeos o de malas configuraciones de vuestras instalaciones.

Aplicar la configuración de All in One WordPress Security and Firewall

Cada instalación necesita de una configuración diferente, aunque lo que aquí os proporciono es algo básico para asegurar vuestros WordPress deberíais comprobar que se ajusta a cada una de vuestras instalaciones y no presenta incompatibilidades con otros plugins.

Una vez aplicada en tu WordPress dispondrás de:

– Limite de intentos de logueo, limitado a 5.

– Ocultación de la url de acceso al panel de control: a partir del momento de aplicar estas normas, en lugar de añadir “wp-admin” deberás escribir “accesowp” (podrás modificar esta ruta posteriormente desde el mismo plugin en la sección “fuerza bruta”).

– Reglas básicas de firewall.

– Recibe notificaciones por email deberás modificar el email que hay ahora “aqui@tuemail.com” por tu dirección de correo en las secciones:

  • “Acceso de usuario”,
  • “seguridad base de datos/ Copia de seguridad de base de datos”
  • “Escáner”.

– Finaliza la sesión del usuario tras 60 minutos del logueo.

– Bloqueo de acceso a archivos de instalación (readme.html, license.txt y wp-config-sample.php)

Para aplicar estar reglas deberás instalar el plugin “All in One Security and Firewall” de cualquiera de las maneras que supongo ya conoces.
Una vez instalado y activado, dirígete a su sección “Opciones”

Pantallazo menú ajustes de aiowps

 

pulsa en la pestaña “Importar/exportar”

importar exportar

 

 

Copia el siguiente texto:

{"aiowps_enable_debug":"","aiowps_remove_wp_generator_meta_info":"1","aiowps_prevent_hotlinking":"","aiowps_enable_login_lockdown":"1","aiowps_allow_unlock_requests":"","aiowps_max_login_attempts":5,"aiowps_retry_time_period":5,"aiowps_lockout_time_length":1440,"aiowps_set_generic_login_msg":"","aiowps_enable_email_notify":"1","aiowps_email_address":"aqui@tuemail.com","aiowps_enable_forced_logout":"1","aiowps_logout_time_period":60,"aiowps_enable_invalid_username_lockdown":"","aiowps_instantly_lockout_specific_usernames":[],"aiowps_unlock_request_secret_key":"md39ld1owa2k0j22n7on","aiowps_enable_whitelisting":"","aiowps_allowed_ip_addresses":"","aiowps_enable_login_captcha":"","aiowps_enable_custom_login_captcha":"","aiowps_captcha_secret_key":"n6kxhapi6vdoul5d9t70","aiowps_enable_manual_registration_approval":"","aiowps_enable_registration_page_captcha":"","aiowps_enable_random_prefix":"","aiowps_enable_automated_backups":"","aiowps_db_backup_frequency":4,"aiowps_db_backup_interval":"2","aiowps_backup_files_stored":2,"aiowps_send_backup_email_address":"","aiowps_backup_email_address":"aqui@tuemail.com","aiowps_disable_file_editing":"1","aiowps_prevent_default_wp_file_access":"1","aiowps_system_log_file":"error_log","aiowps_enable_blacklisting":"","aiowps_banned_ip_addresses":"","aiowps_enable_basic_firewall":"1","aiowps_enable_pingback_firewall":"","aiowps_disable_xmlrpc_pingback_methods":"","aiowps_block_debug_log_file_access":"1","aiowps_disable_index_views":"","aiowps_disable_trace_and_track":"","aiowps_forbid_proxy_comments":"","aiowps_deny_bad_query_strings":"","aiowps_advanced_char_string_filter":"","aiowps_enable_5g_firewall":"","aiowps_enable_6g_firewall":"","aiowps_enable_custom_rules":"","aiowps_custom_rules":"","aiowps_enable_404_logging":"","aiowps_enable_404_IP_lockout":"","aiowps_404_lockout_time_length":"60","aiowps_404_lock_redirect_url":"http:\/\/127.0.0.1","aiowps_enable_rename_login_page":"1","aiowps_enable_login_honeypot":"","aiowps_enable_brute_force_attack_prevention":"","aiowps_brute_force_secret_word":"","aiowps_cookie_brute_test":"","aiowps_cookie_based_brute_force_redirect_url":"http:\/\/127.0.0.1","aiowps_brute_force_attack_prevention_pw_protected_exception":"","aiowps_brute_force_attack_prevention_ajax_exception":"","aiowps_site_lockout":"","aiowps_site_lockout_msg":"","aiowps_enable_spambot_blocking":"","aiowps_enable_comment_captcha":"","aiowps_enable_autoblock_spam_ip":"","aiowps_spam_ip_min_comments_block":"","aiowps_enable_automated_fcd_scan":"1","aiowps_fcd_scan_frequency":1,"aiowps_fcd_scan_interval":"2","aiowps_fcd_exclude_filetypes":".jpg\r\n.png\r\n.txt","aiowps_fcd_exclude_files":"","aiowps_send_fcd_scan_email":"1","aiowps_fcd_scan_email_address":"aqui@tuemail.com","aiowps_fcds_change_detected":true,"aiowps_copy_protection":"","aiowps_prevent_site_display_inside_frame":"","aiowps_prevent_users_enumeration":"1","aiowps_login_page_slug":"accesowp","aiowps_last_fcd_scan_time":"2017-09-26 19:28:35","aiowps_block_fake_googlebots":"","aiowps_lockdown_enable_whitelisting":"","aiowps_lockdown_allowed_ip_addresses":"","aiowps_enable_registration_honeypot":"","aiowps_enable_lost_password_captcha":"1"}

Pégalo en el campo “Copiar/Pegar importar data:”

copiar pegar aiowps

 

Pulsa el botón “Importar ajustes de AIOWPS” y ya tendrás las opciones del plugin aplicadas.

Por supuesto eres libre de modificar estas opciones y ampliarlas según tus necesidades. Te invito a bucear por las distintas secciones del plugin y a modificarlas a tu gusto.

 

Valórame, es gratis, solo te cuesta un click 

Configuración de All in One WordPress Security and Firewall
5 (100%) 5 votes

 

 

Recuerda suscribirte a mi lista de correo para estar informado de vulnerabilidades, videotutoriales, noticias, avisos de seguridad y muchas cosas más sobre seguridad en la red y en WordPress.

 

Tomás Sierra

Trabajo en el departamento de seguridad de Netkia (Grupo Pitma), soy desarrollador web, maestro y formador. Coorganizo la "WordCamp Santander" y el Congreso de Seguridad Informática “Sh3llcon”. Siempre me apasionó la informática y todo lo relacionado con internet. Comencé en el desarrollo web como freelance, dedicándole muchas horas de mi tiempo libre.Me interesé por la seguridad al comprobar la desprotección que sufrían los más pequeños en la red y comencé a formarme para ello. Descubrí WordPress en 2012 y desde ese instante he desarrollado muchos proyectos con este CMS en el que me he especializado y soy miembro activo de la comunidad intentando aportar mi granito de arena.

También te podría gustar...

10 Respuestas

  1. Grande Tomás!!! No conozco demasiado este plugin, suelo usar iThemes Security Pro, pero le voy a echar un buen ojo a este que propones 😉 Un detallazo compartir las reglas de seguridad. 1 abrazote tío!

  2. Hola Tomás,

    Lo primero muchas gracias por la entrada y por el trabajo que haces en general con este blog.
    He estado mirando el script que has dejado pero veo 2 cosas:
    1. La cadena “aiowps_captcha_secret_key”:”n6kxhapi6vdoul5d9t70″ también hay que sustituirla por nuestra cadena de capcha, ¿verdad?
    2. Y lo otro tan solo es comentarte que no me ha resultado demasiado sencillo el poder copiar todo el script.
    Muchas gracias por tu ayuda y por hacer que nuestras instalaciones de WordPress sean más seguras.

    Un saludo.

    • Tomás dice:

      Muchas gracias Ángel.
      Tienes razón en lo del captcha, cada uno debería poner su propia cadena, gracias por el aporte.
      Respecto a la importación del código, tan solo debes hacer 3 clics en cualquier parte de la cadena que te propongo para seleccionarla entera, la copias con CTRL+C.
      Después vete al menú “Ajustes” (ha cambiado, antes se llamaba “opciones”) del plugin “All in One”, clic en la pestaña “importar/exportar” y lo pegas ahí. Es bastante simple pero quizá un poco difícil de encontrar.
      Espero que te sirva
      Un saludo

  3. Otra pregunta, ¿con este plugin evitar limitar el acceso a ciertos paises que intentan meter comentarios en las noticias?
    Si no es así ¿qué plugin me recomiendas o es preferible limitar por htaccess?

    Gracias de nuevo

    • Tomás dice:

      En la sección cortafuegos, pestaña “reglas personalizadas”, tienes la opción de bloquear IPs añadiendo las reglas al .htaccess directamente de la siguiente manera

      -Para bloquear una IP concreta añade lo siguiente:

      order allow, deny
      deny from IP
      allow from all

      (Modifica “IP” por la IP que deseas bloquear)

      – Para bloquear IPs de un rango (por ejemplo 170.1.0.x) añade:
      order allow,deny
      allow from all
      deny from 170.1.0.

      (Modifica el rango por el/los que deseas)

  4. Ana Mesa dice:

    Enhorabuena por tu blog. Necesitaría tu ayuda si no es molestia para ti, desde que instalé el All In One WP Security, el enlace del autor de un artículo no funciona me da el siguiente error: Accessing author info via link is forbidden, ¿Cómo puedo arreglarlo? por más que busco no encuentro nada que entienda, en realidad soy una pardilla todavía en WordPress.

    Gracias.

    • Tomás dice:

      Hola Ana, muchas gracias a ti por visitar mi blog.
      Prueba a ir al menú “varios” del plugin y ahí dirígete a la pestaña “Enumeración de usuarios”. Una vez dentro, desactiva la casilla que ves y guarda los cambios. Debería estar solucionado.
      Cualquier cosa me comentas ¿ok?

      Un saludo

  5. Gracias por compartir la configuración!
    Abrazo Tomy!

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

veinte − 19 =

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Share This