iThemes Security: Seguridad potente y ligera para WordPress.

Anteriormente llamado Better WP Security, iThemes Security es una de las soluciones de seguridad más populares en WordPress.

Cuenta con más de 1 millón de instalaciones activas y una valoración de 4.5 estrellas de 5.

Como orgullosamente indican en su página oficial, ofrecen más de 30 formas de proteger todo tipo de sitios web contra ataques de fuerza, malware y filtración de datos.

iThemes Security se centra en la comodidad, rapidez y  facilidad de uso, por lo que es muy recomendable para usuarios que no tienen experiencia técnica.  Aunque eso no quiere decir que no tenga funciones avanzadas de seguridad.

Carlos León

El plugin está muy bien optimizado y es liviano, por lo que su funcionamiento no suele afectar drásticamente el desempeño del sitio web.

¿Cómo funciona iThemes Security?

A diferencia de otros plugins de seguridad como Wordfence, iThemes Security no posee un Firewall (Cortafuegos) integrado y aunque tiene un escáner contra malware este es bastante ajustado y no está incorporado en el plugin pues utiliza una API de Securi Site Check través de internet, aun así es una opción de seguridad bastante potente.

Este plugin usa una estrategia de 4 puntos que soluciona los problemas más comunes de seguridad que un sitio web bajo WordPress puede presentar y ofrece soluciones avanzadas para expertos.

Los 4 puntos de su estrategia son los siguientes:

Protección

Este punto engloba la protección contra piratas informáticos y bajos niveles de seguridad en contraseñas y protocolos de acceso. El plugin ofrece solución a estos problemas con funciones como, detección de ataques de fuerza bruta, refuerzo de seguridad de contraseñas, forzado de uso de tecnología SSL y otras funciones.

Detección

iThemes Security monitorea activamente el sitio, detecta y reporta cambios en archivos del sistema, ficheros WordPress y base de datos. Detecta toda clase de bots, código malicioso y malware.

Ocultar

El plugin puede esconder de la vista de hackers e usuarios indeseados ciertos aspectos del sitio web que podrían ser usados para filtrar información y realizar ataques.

Aspectos como los mensajes de error, ficheros WordPress, bloqueos del acceso al escritorio de administración e información de RSD de la cabecera de WordPress.

Recuperación

iThemes Security puede realizar copias bases de datos con calendario de programación y avisos por email.

iThemes Security PRO

Su versión de pago incluye un montón de funciones técnicas y avanzadas, que incluyen factor de autenticación en dos pasos, expiración de contraseñas, reCaptchas de Google, comparación simultánea de archivos, programación de análisis automático de malware y más.

Los precios de los planes de iThemes Security PRO comienzan en 80 dólares estadounidenses para uso en un solo sitio hasta 199 dólares para uso sitios ilimitados por 1 año uso en todos los planes.

También cuenta con un plugin adicional Premium iThemes Sync con el que se puede manejar la seguridad de varios sitios web desde 1 solo panel de control. Desde 6 dólares al mes.

Para más información visitar la página oficial de iThemes Security PRO.

Requerimientos técnicos

Antes de instalar iThemes Security hay que tener en cuenta los siguientes requisitos que el sitio y el alojamiento deben cumplir.

  • Versión mínima de WordPress 5.4
  • Versión mínima de PHP 5.6
  • Servidor web Apache, LiteSpeed o NGINX
  • Memoria RAM mínima del servidor 64 MB libre, recomendado más de 128 MB para funciones como chequeo de archivos y copias de la base de datos.

Instalación de iThemes Security

  1. Ingresar al escrito de WordPress, en el menú lateral izquierdo buscar en la opción “Plugins” y hacer clic en “Instalar nuevo”.
  2.  Empleando la barra de búsquedas ubicada en la parte superior derecha de la pantalla, buscar el plugin por su nombre “iThemes Security”.
  3.  Hacer clic en “Instalar ahora” y una vez instalado presionar “Activar Plugin”.
Instalación de iThemes Security Plugin
Instalación de iThemes Security Plugin.

Configuración recomendada para iThemes Security

Tras la instalación y activación aparecerá en el menú lateral de WordPress un apartado con el nombre “Security”, al hacer clic se accede al menú principal del Plugin.

En esta pantalla se presentan todas las funciones del complemento divididas por apartados.

En la parte superior derecha se puede filtrar las funciones. Se puede escoger ver todas las configuraciones, solo las recomendadas o solo las avanzadas.

IThemes-Security-Pantalla-Principal
Pantalla principal de iTheme Security en modo de visualización Cuadrícula.

Configuración de las funciones recomendadas

A continuación veremos cómo configurar las funciones recomendables o estándar.

Ajustes globales

Este apartado contiene las funciones más básicas que controlan el comportamiento general del complemento.

La mayoría de las opciones están activas de forma predeterminada con configuraciones por defecto.

Recomendamos dejar todas las opciones activas y como están a excepción de las siguientes que hay que desactivar.

  • Reporte por email de copia de seguridad. Solo activar si se va a emplear este plugin para hacer los respaldos.
  • Permitir rastreo de datos.
  • Desactivar el bloqueo de datos.
  • Anular detección del Proxy.

Detección 404

Esta función permite bloquear a los visitantes que entren en muchas páginas en un corto periodo de tiempo, posiblemente se trate de un robot escaneando el sitio en busca de errores y vulnerabilidades.

Recomendamos activar esta opción y dejar los valores por defecto.

Modo ausente

Esta característica permite bloquear el acceso al escritorio de administración de WordPress solo en una franja de tiempo específica con la idea de minimizar la vulnerabilidad del sitio al estar conectado a través de internet.

Solo recomendamos activar esta opción si se tiene una rutina de acceso al sitio muy específica, pues una vez bloqueado el acceso no hay forma de ingresar hasta la hora o el día programado.

Usuarios Baneados

Bloquea las IPs y agentes de visitantes que se agreguen a la lista negra e impide que estos puedan acceder al sitio.

Activar esta función y dejar los valores por defectos.

Protección contra ataques de fuerza bruta

Si un usuario intenta muchas veces ingresar sin éxito al sitio web empleando variedad de combinaciones de contraseñas en un corto periodo de tiempo, iThemes Security bloqueará el acceso poniendo en la lista negra la IP y agentes de usuario del atacante para evitar que consiga una contraseña válida y pueda acceder.

Activar esta opción de seguridad y establecer los valores del número de intentos máximo a 4 en todas las casillas.

Copias de seguridad de bases de datos

No hay opciones para personalizar las copias de seguridad que se hacen con este plugin y la mayoría de usuarios emplean soluciones más avanzadas que permiten realizar un respaldo completo del sitio web.

Recomendamos visitar el siguiente artículo donde recomendamos opciones avanzadas para realizar copias de seguridad y restauraciones completas de un sitio web.

Protección contra fuerza bruta en línea

iThemes dispone de una red global que enlaza todos los sitios que disponen del complemento. Si varios sitios han sufrido ataques recientes el complemento añade la IP de los atacantes a la lista negra de otros sitios para evitar que estos también sean atacados.

Simplemente hay que proporcionar una cuenta de correo electrónico válida y aceptar las condiciones y el sitio se agregará a la red.

Recomendamos activar esta característica.

SSL

Puede activarse esta opción, pero hay que tener en cuenta que se dependerá del complemento para mantener funcionando el protocolo de seguridad SSL.

No hay que realizar ninguna configuración y los valores por defecto son más que suficientes, por lo que puede ser una buena opción para usuarios principiantes que no sepan realizar la configuración manual.

Depende del usuario si activa o no esta función. Recomendamos realizar la configuración de la tecnología SSL de forma manual en el servidor de hosting para evitar depender de un complemento.

Refuerzo de seguridad de contraseñas

Crea una política de seguridad de contraseñas que obliga a los usuarios a establecer contraseñas lo suficientemente complejas para evitar vulnerabilidades.

Activar esta opción y establecer el perfil de administrador para reforzar las contraseñas.

Ajustes del sistema

Activar todas las opciones y mantener los valores predefinidos, exceptuando las siguientes funciones que por razones prácticas recomendamos no activar.

  • Caracteres no ingleses. No activar para evitar problemas con la lectura de archivos.
  • Permiso de escritura de archivos. Para evitar problemas con la escritura de archivos del sistema no activar.

Ajustes de WordPress

Activar esta opción y mantener las configuraciones por defecto, excepto las funciones que se mencionan a continuación.

  • Editor de archivos.
  • Reemplazar jQuery por versiones seguras. Para evitar problemas de compatibilidad del sitio.

Configuraciones Avanzadas

Al presionar en la opción «Avanzadas» en la pantalla principal, el plugin solo muestra las funciones más técnicas y que deben ser activadas con conciencia.

Ocultar escritorio

Oculta la página de inicio de sesión y reemplaza el acceso por una URL exclusiva para los usuarios, de este modo se evita que los atacantes puedan violar la seguridad al encontrar vulnerabilidades en el acceso a la página.

Recomendamos no activar esta opción porque puede resultar incómodo y riesgoso si se pierde el enlace de ingreso. Además es preferible activar la protección contra ataques de fuerza bruta.

Usuario administrador

Elimina atributos comunes de archivos de WordPress que pueden resultar en vulnerabilidades.

No activar esta opción porque puede causar conflictos con otros plugins y temas.

Cambiar prefijo de tablas de la base de datos

Para evitar problemas con escritura en la base de datos, plugins y temas es mejor no activar esta opción.

Reglas de configuración del servidor y Reglas del archivo wp-config.php

Estos apartados son simplemente un reporte de todas las modificaciones de carpetas y archivos que han presentado cambios al realizar todas las configuraciones.

Este reporte está allí para que el usuario pueda ver como las configuraciones han afectado al sitio y la base de datos.