En este artículo te hablo de WPCerber un plugin de seguridad para WordPress y cómo lo puedes implementar en tu sitio o proyectos web para fortificarlos.
La seguridad en sitios WordPress ¡es esencial!, no solo importante, y esto no es algo de ahora, desde siempre ha sido considerada como un punto a fortalecer en este CMS y gracias a la importancia que esta tiene en el core del mismo, actualmente tenemos un núcleo robusto y a prueba de muchos fallos ¡WordPress es seguro! y de eso no cabe duda.
Pero es el usuario quién convierte a una instalación web segura en un ”bocado apetecible a usuarios malintencionados” que buscan instalaciones infectadas por malware o con plugins o temas vulnerables, por abandono o falta de actualizaciones, para hacerse con su control y en muchos casos utilizarlo de plataforma para tomar el control del servidor escalando privilegios, explotando vulnerabilidades conocidas o 0day’s.
Es cierto que al menos el 50 % de la seguridad de tu Hosting debería descansar en manos de tu proveedor de alojamiento y sus sistemas de seguridad, de manera que tú puedas centrarte en gestionar tus webs, vender si tienes tienda, o captar clientes para tu marca o servicios.
Pero no necesariamente todos los alojamientos web proporcionan buenas y robustas medidas de seguridad, y esto lleva a muchos usuarios que buscan sitios económicos o gratuitos a alojarse de forma algo precaria para luego ser objetivo de ataques y todo tipo de actividades maliciosas contra sus webs.
Aprende a implementar como usuari@ un Cortafuegos y otras medidas de seguridad adicionales en tu WordPress utilizando un plugin que te sirva para fortificar tu web frente a cualquier inclemencia digital.
Tabla de contenidos
Conoce el plugin WP Cerber Security
El plugin WP Cerber Security, Anti-spam & Malware Scan está desarrollado por Cerber Tech Inc (NY·USA), un equipo centrado en la Ciberseguridad y el desarrollo de soluciones contra amenazas e intrusiones en sitios web, y que cuenta con servidores para la infraestructura de WP Cerber Security en Europa, Norteamérica, Australia y Asia.
Se trata de un plugin que actualmente tiene más de 4 millones de descargas “conocidas” en el directorio de plugins de WordPress, al margen de las que se hayan realizado desde el propio sitio del autor del plugin, lo que sin duda reafirma el potencial de dicho plugin para la fortificación de sitios WordPress.
Haz clic en la imagen para descargar el plugin e instalarlo manualmente
Es una solución de seguridad integral para WordPress que lo protege contra ciberataques, malware y spam, entre otros. Dispone de un escáner automático de malware y un verificador de integridad, permite configurar políticas de eliminación de software malicioso y recuperación de archivos.
Su cortafuegos detecta las anomalías del tráfico y bloquea la actividad maliciosa antes de que afecte a tu sitio web.
El plugin también tiene un robusto motor antispam, que es esencial si tu sitio web incluye algún formulario que capture información del usuario, como un comentario o un formulario de contacto.
Funcionalidades de WP Cerber Security
Como todo plugin orientado a la seguridad de sitios web basados en WordPress, tiene una serie de características que lo convierten en una excelente herramienta de seguridad para usuarios sin conocimientos en temas de seguridad, así como para que usuarios medios o avanzados lo adopten en sus instalaciones de WordPress de forma que puedan añadir una capa de seguridad robusta, al margen de las medidas de seguridad aplicadas en el servidor donde se aloje la web.
Resumen de funcionalidades destacables del plugin:
- AntiSpam: Permite reCAPTCHA para formularios de WordPress y WooCommerce.
- Bloqueos de IP: Bloqueo proactivo de la clase de subred IP C para una dirección IP sospechosa.
- Bloquear cuenta usuario: Permite bloquear una determinada cuenta de usuario.
- Compatible con Failban2: Escribe intentos fallidos en el syslog o en el archivo de registro personalizado.
- Detiene la enumeración de usuarios del sitio: Permite redirigir las solicitudes de consultas de nombre de usuario a una página 404.
- Desactiva PHP en las subidas de archivos: Bloquea la capacidad de ejecutar scripts PHP desde la carpeta de Medios.
- Desactiva la visualización de errores PHP: Evita que sean visibles en el frontal del sitio los errores que muestran información sobre ellos y que podría facilitar que el sitio web sea más fácil de atacar.
- Desactiva XML-RPC: Desactiva el protocolo de llamada a procedimientos remotos (recomendado si no usas Jetpack) sin que tengas que editar manualmente el archivo .htaccess.
- Desactiva Feeds y RSS: Bloquea el acceso a las URLs de los Feeds/RSS si no tiene suscritos los contenidos a un publicador de enlaces, o si no utilizas pódcast en tu web (necesitan Feeds para propagarse a sitios específicos como iTunes, etc.)
- Detiene la enumeración de usuarios: Bloquea las solicitudes de la API REST a los datos de los usuarios para evitar el descubrimiento de “usernames”.
- Desactiva la API REST: Restringe el uso de la API REST salvo excepciones declarables.
- Filtros de actividad por IP: Se puede ver y filtrar la lista de acciones por IP, nombre de usuario o evento en particular.
- Información de WHOIS adicional para IP: Información del país, contactos de abuso, propietario de la red y mucho más.
- Limita los intentos de inicio de sesión: Cuando se inicia sesión por dirección IP o subred Clase C.
- Limita por IP y rangos: Permite limitar el número de registros de una dirección IP o de un rango (listas negras).
- Modo Ciudadela: Para bloquear ataques masivos de fuerza bruta.
- Notificaciones por email: Gestión de notificaciones de correo electrónico configurables con limitación de velocidad.
- Oculta wp-login.php: Para evitar ataques al formulario de acceso y que devuelva el error HTTP 404.
- Oculta wp-admin: Oculta el formulario de inicio de sesión y devuelve el error HTTP 404 cuando un usuario no ha iniciado sesión.
- Permite crear URL de inicio de sesión: Permite la creación de una URL personalizada para iniciar sesión (cambiar el nombre de wp-login.php).
- Permite REST para ciertos roles: Restringe el uso de la API REST a roles específicos.
- Permite espacios de nombres: Permite añadir espacios de nombres para plugins activos.
- Permite API REST a usuarios registrados: Permite que todos los usuarios registrados utilicen la API REST.
- Protege los scripts del administrador: Bloquea el acceso malicioso a load-scripts.php y load-styles.php.
- Proxy: Maneja el sitio/servidor detrás de un proxy inverso.
El Inspector de Tráfico de WP Cerber
El Inspector de Tráfico Traffic Inspector es una de las funcionalidades más importantes del plugin. Se trata de un sofisticado cortafuegos de aplicaciones web (WAF) consciente del contexto que protege a WordPress analizando y bloqueando las peticiones HTTP maliciosas.
Este inspector analiza las peticiones HTTP entrantes, reconoce las peticiones sospechosas y las bloquea antes de que puedan afectar a tu sitio web. Este algoritmo de seguridad está activado por defecto y en la gran mayoría de los casos no requiere ninguna configuración.
Cuando el inspector está habilitado, el cortafuegos analiza y bloquea las peticiones maliciosas y potencialmente dañinas, como son los envíos de formularios, las solicitudes con parámetros GET y POST y las solicitudes a scripts PHP.
Si el cortafuegos detecta una petición maliciosa o posiblemente dañina, WP Cerber bloquea la dirección IP, el procesamiento de la petición se interrumpe y se genera la respuesta 403 Access Forbidden. Tales eventos se guardan en el registro de actividad y, si el registro de tráfico está activado, los detalles de la solicitud se almacenan en el registro de tráfico en vivo.
¿Qué solicitudes no se inspeccionan y no se bloquean?
- Las solicitudes que provienen de direcciones IP de la lista blanca de acceso si está activado.
- Solicitudes que están en la lista blanca en el campo de configuración de solicitudes de dicha lista.
- Solicitudes a páginas, entradas, categorías y etiquetas ordinarias de WordPress.
Para desactivar completamente la inspección del tráfico de tu sitio web, vete a la página de configuración del inspector de tráfico y desactiva la opción de activar la inspección de tráfico.
Nota no se recomienda desactivarlo, al hacer esto se desactiva una capa de protección esencial para tu WordPress. Si te encuentras un problema con un script de PHP, utiliza la configuración de la lista blanca de peticiones como te indico más abajo.
Instalación y configuración de WP Cerber Security
La instalación de este plugin es bastante tradicional para quienes ya han instalado anteriormente plugins en WordPress, ya que se localiza normalmente en el directorio oficial de plugins de WordPress, por lo que se puede buscar en el dashboard de WordPress > Plugins para localizarlo e instalarlo.
Desde hace unos meses el plugin WPCerber Security ha dejado de tener visibilidad en el Directorio oficial de Plugins de WordPress.org por cuestiones de GPL (licencia) y no está disponible para ser instalado desde el dashboard ➜ Plugins ➜ Añadir nuevo, buscando por wpcerber o similar por lo que para poder instalarlo en tu sitio web debes ir a la web del autor para proceder con la descarga.
Enlace de descarga de la versión gratuita en la web del autor
Para mantener el plugin actualizado a la versión estable, al no aparecer ya las actualizaciones en WordPress, en el apartado Actualizaciones, tienes que ir al plugin para activar esta opción, de manera que se apliquen las actualizaciones desde el repositorio oficial del plugin y no desde WordPress.org que viene siendo lo común para la mayoría de plugins.
En la siguiente imagen puedes ver donde debes activar esta opción una vez instalas la versión del autor, que es la oficial y única actualmente.
Una vez actives esta opción, el plugin te volverá a informar de las actualizaciones disponibles cuando las haya y podrás realizarlas como lo haces con cualquier otro.
A continuación, te explico la instalación de WP Cerber con el procedimiento tradicional desde el panel de administración de tu web y por medio de un archivo ZIP previamente descargado.
Instalación a partir de un archivo ZIP
Si por alguna razón tienes descargado el archivo del plugin wpcerber.zip para instalarlo desde tu ordenador, decirte que el proceso es sumamente sencillo y no difiere mucho del método tradicional de instalación desde el directorio de plugins de WordPress.
Los pasos para la instalación desde un archivo .zip son los siguientes:
- Descarga WP Cerber (formato ZIP) a tu ordenador desde el sitio web del autor.
- Accede al dashboard de WordPress > Plugins.
- Haz clic en el botón superior Añadir nuevo.
- Haz clic en el botón superior Subir plugin.
- Selecciona el archivo wpcerber.zip de tu ordenador desde Seleccionar archivo.
- Haz clic en el botón Instalar ahora.
- Una vez se complete la subida e instalación del plugin, haz clic en Activar.
Con estos pasos tendrás disponible WP Cerber Security, Anti-spam & Malware Scan en el menú lateral de tu WordPress, como WP Cerber, listo para su uso y con algunas funcionalidades básicas ya activadas por defecto, por lo que este plugin empezará a gestionar la seguridad de tu sitio y abastionar los elementos críticos para garantizar una seguridad básica para tu WordPress, sin no modificas las configuraciones y lo dejas todo por defecto.
En esta animación puedes ver este proceso de instalación, sencillo y bastante rápido.
Instalación tradicional del plugin
Este es el método más repetido en el dashboard de WordPress y es posible realizarlo siempre que el plugin esté disponible en el Directorio oficial de Plugins para WordPress, de lo contrario tendrás que optar por el método anterior.
Los pasos para la instalación con este método son los siguientes:
- Accede al dashboard de WordPress > Plugins.
- Haz clic en el botón superior Añadir nuevo.
- En el buscador derecho escribe el nombre del plugin WP Cerber.
- Localízalo en la lista de todos lo que aparecen.
- Haz clic en el botón Instalar del plugin WP Cerber.
- Una vez se complete la instalación del plugin, haz clic en Activar.
Con estos pasos el plugin pasa a estar disponible en el menú izquierdo del dashboard como WP Cerber donde podrás acceder para comenzar a utilizarlo.
Configuraciones esenciales de WP Cerber Security
No voy a negar que WP Cerber tiene apariencia de plugin complejo de gestionar, pero nada más lejos de la realidad, pues las configuraciones son bastante asequibles, basta con leer los enunciados de cada parámetro que el plugin permite configurar para darse cuenta de que se aplica una lógica muy natural y bastante comprensible incluso por usuari@s sin conocimientos es seguridad web.
La mayoría de plugins para fortificación de instalaciones de WordPress disfrutan de unas configuraciones básicas que casi siempre ya vienen aplicadas por defecto, vamos que es como cuando te compras un “coche básico”, sin extras y sabes que o podrás conducir sin problemas por los elementos básicos, más allá de los visibles como ruedas, volante o freno de mano, vienen incluidos y que tendrás luces de cruce cuando las actives en la manecilla junto al volante, o que el airbag del conducir está ahí para salvarte la vida en caso de colisión. ¿Obvio verdad?
Pues con WP Cerber Security pasa lo mismo, ya viene configurado de fábrica con algunos elementos “de serie” que en el momento en que activas el plugin empiezan a funcionar, a revisar conexiones a tu web y a analizar el tráfico sospechoso, las subidas de archivos y otros parámetros, algunos de los cuales ya te los describí en el apartado Funcionalidades de WP Cerber Security de este artículo.
¿Qué deberías revisar y configurar para mejorar la seguridad del sitio?
Pues como todo, siempre es bueno revisar que tienes para saber con lo que cuentas y qué puedes mejorar o llevar a niveles más altos de desempeño, ¡sin pasarte! no vaya a ser que te bloquees a tí mism@ o a tus usuarios legítimos de la web (compradores o clientes), algo que te puedo asegurar, por los años de experiencia con este plugin, que es difícil que sucede a menos que lo hagas de forma premeditada.
Limitar los intentos de inicio de sesión
Los inicios de sesión en wp-admin o wp-login.php suceden más a menudo de lo que imaginas y son uno de los inputs con mayor actividad en muchos sitios WordPress. Pero esto se puede reprimir de forma sencilla gracias a la limitación de intentos de inicio de sesión desde los formularios de acceso que tengas habilitados en tu sitio web.
¿Dónde se configura?
En WP Cerber Dashboard Ajustes Login Security
La recomendación es que no abuses de los bloqueos y seas demasiado permisiv@, aunque todo dependerá del tráfico que el Dashboard muestre, ya que será un indicador de si los usuarios malintencionados tratan de cebarse con los intentos de acceso.
- Intentos: 3 reintentos permitidos en 60 minutos.
- Duración de bloqueo: 60 minutos.
- Cierre agresivo: Aumenta la duración del bloqueo a 24 horas después de 3 bloqueos en las últimas 6 horas.
- Notificaciones: Notifica al administrador si el número de bloqueos activos por encima de 8.
- Conexión del sitio: Depende de cómo tu sitio se conecte a Internet.
Lo ideal es ir haciendo pruebas, sobre todo si tienes un sitio con Tienda WooCommerce o una Academia online, donde muchos usuari@s acceden sin problema, pero otros tantos olvidan sus datos de acceso (username y /o contraseña) y entonces empiezan a probar indiscriminadamente datos de acceso hasta qué o bien recuerdan cuáles eran o acaban siendo bloqueados por WP Cerber, o por el servidor de tu Hosting y sus medidas de seguridad (mod_security, etc).
Si al aplicar una configuración más o menos restrictiva tienes clientes, compradores o colaboradores que te dicen que se bloquean al intentar loguearse, es recomendable que les añadas su IP a una lista blanca de manera que puedas hacer seguimiento de sus sesiones y de paso verificar si continúan bloqueándose tras aplicar esta medida correctiva.
Modo ciudadela
Este modo debes dejarlo “por defecto” tal como viene, es decir Activado en modo monitor, ya que es una contramedida pensada para reprimir intentos de ataques detectados o en curso, como podría ser un intento de ataque de diccionario o automatizado contra el formulario de login de tu WordPress, por ejemplo.
Si puedes establecer cuanto durará este tipo de bloqueo en caso de producirse. 60 minutos es lo que por defecto se establece.
Normas de Seguridad Proactivas
Este apartado por defecto trae todas las opciones desactivadas, ya que se deberían activar solamente en caso de necesidad puntual, principalmente si se considera que WP Cerber Security no es solo un plugin de acción pasiva, es decir en segundo plano donde una vez se aplican las configuraciones el usuario se olvida de todo, sigue con su vida y que WP Cerber resuelva las papeletas, no es así, es algo más, y para administradores de sitios o que gestionen redes de sitios o plugins como MainWP es un aliado esencial para saber qué sucede entre bastidores en el sitio, y principalmente en todo lo relacionado con el tráfico de visitas y acciones en el mismo.
La recomendación es que seas caut@ a la hora de activar alguno de estos elementos, pues su misión es servir de ayuda frente a escenarios concretos donde necesitas mitigar acciones desde una IP específica o hacia un formulario como es el de acceso al sitio.
Listas de Acceso
Las Listas de Acceso de WP Cerber Security están pensadas para filtrar IPs o “rangos de IPs” y permitirles el acceso “suavizado” o bloquearles el acceso completamente al sitio y están divididas en:
- Listas blancas: Todas las IPs o rangos añadidos pueden acceder al sitio sin bloqueos y otras restricciones.
- Listas negras: Todas las IPs o rangos añadidos quedan automáticamente bloqueadas por el Firewall y no podrán acceder o ver el sitio.
Para añadir una IP a la Lista Blanca (o Negra) según corresponda, basta con escribir la IP en el formato XXX.XXX.XXX.XXX y “opcionalmente” pero recomendado, una descripción de por qué se le permite o deniega el acceso, a modo de recordatorio futuro.
Nota Tu IP de administrador/a no podrá ser añadida a la Lista Blanca porque ya se encuentra añadida desde el momento en que instalas y activas WP Cerber. Puedes verla en “Listas de Acceso, Lista de IP’s permitidas.
Vídeo de uso del plugin WP Cerber Security
En el siguiente vídeo te muestro la instalación y algunas de las configuraciones básicas de WP Cerber Security para que puedas aplicarlas en tu instalación y así fortificarla frente a los malos.
Conclusiones
Mantener seguro un sitio web WordPress es fácil, pero dependerá mucho de los plugins adicionales que instales, así como de donde descargues los Temas que pruebas o utilizas en tu web, ya que muchas de las infecciones a sitios WordPress provienen de plugins y Temas descargados de sitios de dudosa reputación que infectan con malware los archivos descargables con el fin de propagar aplicaciones maliciosas “o virus” y obtener información adicional de sitios y usuarios, sobre todo en tiendas online con pasarelas de pago poco fortificadas.
El plugin WP Cerber Security, Anti-spam & Malware Scan está pensado para añadir una serie de capas de seguridad “extra” a tu sitio WordPress de manera que no te suponga un esfuerzo adicional mantener segura tu web.
Analizar el tráfico de tu web y las acciones que los usuarios realizan en el sitio es una buena forma de tomarle el pulso a todo lo que sucede en tu WordPress y de paso ¡dormir un poco más tranquil@!
Una brecha por sí sola no es un desastre, pero una mala gestión sí lo es. Serene Davis
¿Te ha resultado útil este artículo?
Miembro del equipo de soporte técnico de Webempresa.
Coordinador de contenidos en el Blog y en Youtube.
Soporte técnico en CiberProtector. Teacher en Webempresa University