All in One WP Security: Plugin de Protección y Seguridad de WordPress

All in one WP security es un plugin para configurar la seguridad y resguardo de su sitio web con el más alto nivel de calidad y soporte profesional, para la máxima tranquilidad de su negocio.

La mejor seguridad debe obtenerse primero en un buen hosting, cuya garantía de servicio debe cubrir el resguardo de su página web, reforzada luego con un plugin ágil y liviano como All in one WP security.

Este plugin de seguridad atiende todos lo puntos vulnerables de la instalación WordPress y funciona como antivirus, firewall, antimalware, antispam, con copias de seguridad, bloqueo de IPs y más.

Otra de las cosas resaltantes de All in One WP Security & Firewall es la gestión del archivo .htaccess y la gestión del archivo wp-config.php, dos de los archivos más importantes en el funcionamiento de WordPress.

Adicional con All In One WP Security & Firewall se puede controlar todo tipo de parámetros de: seguridad de cuentas, seguridad de bases de datos, seguridad de acceso y login, seguridad contra inyecciones de código malicioso en archivos, seguridad de permisos de archivo y carpeta, protección contra ataques de fuerza bruta, protección contra iframes y ventanas emergentes, protección contra copia de textos y muchas otras funcionalidades.

Ventajas de usar All in one WP security

Hay razones de peso para considerar el uso de este plugin:

  • La facilidad de configuración si no tenemos necesidad de acceder a sus ajustes avanzados.
  • Es muy completo y tiene el plus de permitir hacer copias de seguridad de la base de datos de forma periódica.
  • Tiene una alta valoración en el repositorio de WordPress y una mayor cantidad de instalaciones activas.
  • Está traducido completamente al español.

Pasos para configurar All in one WP security

El plugin All In One WP Security no disminuye la velocidad de su sitio web y es de uso gratuito.

All In One Wp Security – Escritorio

  • Después de instalar el plugin, aparece un submenú en el escritorio de tu WordPress llamado «Seguridad WP«.
  • El «Escritorio» del plugin sirve para recabar datos sobre la seguridad de tu instalación. Aquí se muestra un resumen gráfico de los indicadores de seguridad de tu sitio. Por ejemplo, si se ha bloqueado alguna dirección IP.

All In One Wp Security – Ajustes

  • Solo marcaremos la opción de ocultar la información de la versión de wordpress del código, para así evitar que la puedan buscar exploits si la versión está desfasada. Ir a la pestaña «Información de la versión WP» y marcar la opción «Eliminar información de meta WP Generator«.

All In One Wp Security – Cuentas de Usuario

  • Nombre de usuario de WP: Cuando se instala WordPress, es muy común que el acceso de administrador tenga el nombre de admin. Debe cambiar el nombre del usuario «admin».
  • Nombre visible: Si tiene un usuario que no utiliza alias debe cambiarlo.
  • Contraseña: Debe cambiar la contraseña a una más fuerte.

All In One Wp Security – Acceso de Usuario

  • Pestaña: Bloqueo de acceso
    • Opciones de bloque de acceso
      • Activar la función de bloqueo de acceso: Debe bloquear el acceso a los posibles atacantes que tratan de adivinar la contraseña, e intentan repetidamente el acceso para lograrlo.
      • No activar Permitir solicitudes de desbloqueo: Para generar un enlace de solicitud de desbloqueo automático que desbloqueará la cuenta.
      • Intentos máximos de acceso: Dejar por defecto.
      • Período de reintento de acceso (minutos): Dejar por defecto.
      • Duración del tiempo de bloqueo (minutos): Dejar por defecto.
      • No activar Mostrar mensaje de error genérico..
      • No activar Bloqueo instantáneo de nombres de usuario no válidos.
      • Bloqueo instantáneo de nombres de usuario específicos: Dejar vacío por defecto.
      • Activar Notificar por correo electrónico: Marcar para que le notifiquen por correo y estar avisado en caso de ataque.
    •  Ajustes de la lista blanca de bloqueo de IP
      • No Activar lista blanca de bloqueo por IP.
      • Listado de las direcciones IP en lista blanca: Dejar vacio por los momentos.
  • Pestaña: Registro de accesos fallidos
    • Listado de accesos fallidos
      • IP
      • ID Usuario
      • Nombre de Usuaio
      • Fecha
    • Exportar a CSV
    • Borrar lista
  • Forzar desconexión
    • Activar el forzado de desconexión de usuarios de WP: Después del periodo de tiempo configurado.
    • Desconectar al usuario de WP después de XX minutos: Colocarle 30 inicialmente.
  • Registros de actividad de la cuenta
    • Información sobre la actividad de los usuarios en tu sitio web.
    • Opción de exportar la información en formato CSV.
  • Usuarios conectados
    • Muestra los usuarios conectados en tiempo real, identificando el usuario y dirección IP.

All In One Wp Security – Registro de Usuarios

  • Pestaña: Aprobación Manual:
    • Activar aprobación manual de nuevos registros: Si es que no deseamos que un usuario pueda registrarse sin nuestra aprobación.
    • Aprobar usuarios registrados: Puede aprobar, bloquear, eliminar usuarios registrados.
  • Pestaña: Captcha en el registro
    • Activar captcha en la página de registro: Para insertar un formulario CAPTCHA en la página de registro de usuario de WordPress si se está permitiendo.
  • Pestaña: Señuelo de registro
    • Activar señuelo (honeypot) en la página de registro.

All In One Wp Security – Seguridad de la Base de Datos

La base de datos es el activo más importante de tu web ya que contiene una gran cantidad de valiosa información de tu sitio.

En la seguridad de la base de datos se tienen dos opciones:

  • Prefijo de la base de datos
    • Visualización del prefijo actual de tabla de la BD: La que configuró al momento de instalar su tema WordPress.
    • Generar nuevo prefijo de tabla de la BD: Para evitar problemas inicialmente lo mejor es no activar esta ópcion. Hay que tener precaución y realizar antes el backups ó copia de seguridad de la base de datos.
  • Copia de seguridad de la base de datos
    • Puede ser copia de seguridad manual
    • Ó puede ser copias de seguridad programadas automáticas:
      • Activar copias de seguridad programadas: Para que el sistema genere automáticamente las copias.
      • Intervalo de tiempo de copia de seguridad: Dejar por defecto.
      • Número de archivos de copia de seguridad a guardar: Dejar por defecto.
      • No activar «Enviar archivo de copia de seguridad por correo electrónico»: Dejar por defecto.

All In One Wp Security – Seguridad del Sistema de Archivos

  • Permisos de archivos
    • Exploración de permisos de archivos: Muestra un listado con todos los archivos y carpetas de WordPress con los permisos actuales y recomendados. Si esta en color verde no te recomienda una acción.
  • Edición de archivos PHP
    • Desactivar la posibilidad de editar archivos PHP: Para evitar que otras personas puedan editar los archivos PHP desde el escritorio de WordPress.
  • Acceso a archivos WP
    • Activar la opción Impedir el acceso a los archivos de instalación por defecto de WP: Para impedir el acceso a los archivos readme.html, license.txt y wp-config-sample.php.
  • Registro del sistema de alojamiento
    • Contiene un botón para permitir leer archivos del registro del sisrtema: Necesitas saber el nombre del archivo.

All In One Wp Security – Administrador de la Lista Negra

Es para bloquear el acceso a un usuario sospechoso por medio de su IP.

  • No activar lista negra por IP o agente de usuario: Por los momentos si no tiene actividad de un visitante que cause alarmas.
  • Introduce las direcciones IP: Separadas por coma, en caso de que sean varias IP.
  • Por agente de usuario.

All In One Wp Security – Cortafuegos

Al momento de activar estas configuraciones se debe comprobar que el sitio web siga funcionando bien como venia sucediendo.

  • Pestaña Reglas básicas del cortafuegos
    • Activar la protección básica del cortafuegos.
    • Tamaño máximo de subida de archivo (MB): Dejar 10 por defecto.
    • Activar Bloquear completamente el acceso a XMLRPC: Que puede ser usado por los atacante para intentar acceder a tu WordPress.
    • Desactivar la funcionalidad pingback de XMLRPC: Mantener inactivo y sólo activar si utiliza Jetpack.
    • Bloquear el acceso al archivo debug.log: No activar por los momentos.
  • Pestaña Reglas adicionales del cortafuegos
    • Desactivar visualizaciones del índice: No activar.
    • Desactivar rastreo y seguimiento (cross site scripting): No activar.
    • Activar Prohibir la publicación de comentarios proxy.
    • Activar Denegar cadenas de consultas maliciosas.
    • Activar filtrado avanzado por cadenas de caracteres: Para evitar la consultas a traves de XSS.
  • Pestaña Reglas de cortafuegos de la lista negra 6G
    • Activar protección de cortafuegos 6G
    • Activar la protección de cortafuegos 5G heredada: No activar.
  • Pestaña Bots de Internet
    • Bloquear Googlebots falsos: No activar hasta comprobar que no afecta el SEO en el buscador Google.
  • Pestaña Evitar hotlinks
    • Activar Impedir hotlinking de imágenes: Para evitar que otros sitios web carguen tus imagenes en sus páginas, restandote ancho de banda.
  • Pestaña Detección 404
    • No Activar la detección de IP 404 y el bloqueo: Para bloquear a un intruso que intenta acceder repetidamente a páginas que ya no existen en el sitio web.
    • Duración del tiempo de bloqueo 404 (min): Colocar 60 minutos.
    • URL de redirección ante bloqueos 404: Colocar la URL de Inicio de tu sitio web.
    • Registros de eventos 404
      • Bloqueo Temporal: Accion para aplicar a IP individual o por lote.
      • Añadir a la black list: Accion para aplicar a IP individual o por lote.
      • Borrar: Accion para aplicar a IP individual o por lote.
    • Exportar registros a CSV
    • Borrar lista de registros
  • Pestaña Reglas personalizadas
    • Activar reglas personalizadas de .htaccess: No activar.
    • Coloca las reglas personalizadas en la parte superior: No activar.
    • Introduce reglas personalizadas de .htaccess: No rellenar.

All In One Wp Security – Fuerza Bruta

  • Pestaña Cambio de nombre de la página de acceso
    • No activar El URL de la página de acceso (wp-admin).
  • Pestaña Prevención de fuerza bruta basada en Cookies
    • No Activar la prevención de ataques de fuerza bruta inicialmente.
    • Palabra secreta
    • URL de redirección
    • Mi sitio tiene entradas o páginas que están protegidas por contraseña
    • Mi sitio tiene un tema o plugins que utilizan AJAX
  • Pestaña Captcha de acceso
    • Activar Usar Google reCAPTCHA como por defecto: Coloca la clave del sitio y clave secreta de Google reCAPTCHA v2 ó v3. Desde alli con un link de enlace lo puedes configurar si no lo tienes.
    • Activar captcha en el formulario de acceso personalizado (wp_login_form())
    • Activar Varios Captcha para WooCommerce
    • Activar captcha en la página de contraseña perdida
  • Pestaña Lista blanca de acceso
    • No Activar lista blanca de IPs.
    • Muerta ty dirección IP actual
    • Introduce las direcciones IP en lista blanca
  • Pestaña Honeypot
    • Activar honeypot en la página de acceso

All In One Wp Security – Prevención de SPAM

  • Comentarios SPAM
    • Activar captcha en formularios de comentario
    • Activar Bloquear a los robots de spam para que no publiquen comentarios
  • Seguimiento de IP de comentarios de SPAM
    • Activar el bloqueo automático de IPs de comentarios de SPAM
    • Número mínimo de comentarios de SPAM: 3.
    • Lista de IPs
      • Filtra por número de mensajes
  • BuddyPress
    • Añadir captcha al formulario de registro de BuddyPress
  • bbPress
    • Activa Captcha en el formulario de nuevo debate de BBPress

All In One Wp Security – Exploración

  • Detección de cambio de archivos
    • Escanear ahora.
    • Ver cambios desde la última exploración
    • Activar exploración automatizada de detección de cambios de archivos
    • Intervalo entre exploraciones: 1 dias por defecto.
    • Tipos de archivo a ignorar
    • Archivos/directorios a ignorar
    • Activar Enviar un correo cuando se detecte un cambio: Escribe el correo a donde te enviará los resultados.
  • Exploración de Malware

All In One Wp Security – Mantenimiento

  • Bloqueo de visitantes
    • Activar el bloqueo en tu sitio: No activar
    • Introduce un mensaje.

All In One Wp Security – Varios

  • Protección contra copiado
    • Activar la protección contra copiado: No activar.
  • Marcos
    • Activa la protección de iFrame
  • Enumeración de Usuarios
    • Desactivar la enumeración de usuarios: activar

Finalmente y Muy Importante

Te habrás dado cuenta de que el plugin All In One Wp Security es bastante completo, con variadas opciones de configuración que ameritan un manejo cuidadoso.

Por lo tanto, hay que tener mucho cuidado de no romper el funcionamiento del sitio web, y se debe realizar backup de la Base de Datos y de todos los archivos antes de proceder a las configuraciones más delicadas.

Comparte este articulo en tu red social!