Todo lo que necesita saber sobre el complemento de seguridad de iThemes

Descripción general

 

iThemes Security se promociona a sí mismo como el complemento de seguridad número 1 para WordPress. Gran reclamo, pero con más de 30 funciones para proteger su sitio, iThemes pone su dinero donde está su boca. Y los usuarios están de acuerdo, dándole una calificación de 4.7 de 5 con descargas que se acercan a los 4 millones.

Para comprender mejor sus características, tomé el complemento para una prueba de manejo. Instalé la edición gratuita en un sitio de prueba. Así es como se ve la instalación. A continuación, echaremos un vistazo al panel de control.

Instalación y configuración

 

Después de la instalación, se le ofrecen varias opciones. La primera opción es proteger su sitio llevándolo al siguiente nivel con iThemes Brute Force Network Protection.

Asegure su sitio ahora

Al hacer clic en el botón para asegurar su sitio, aparecerá una ventana emergente con varias opciones.

Las opciones incluyen:

• Haga una copia de seguridad de su sitio : haga una copia de seguridad de su base de datos antes de asegurar su sitio. Incluye publicaciones, páginas, comentarios e información del usuario. Para archivos multimedia, temas y complementos, querrá usar BackupBuddy .
• Permitir actualizaciones de archivos : actualiza automáticamente sus archivos wp-config.php y .htaccess
• Asegure su sitio : habilita la configuración predeterminada que no entra en conflicto con sus complementos y temas
• Ayúdenos a mejorar : permite que iThemes recopile datos anónimos sobre las funciones que utiliza para ayudar a mejorar las funciones del complemento.

Haga clic en cada uno. Cuando esté completo, lo llevará al tablero.

El tablero

 

Hay varias características en el tablero. Aquí está el resumen:

No te bloquees

El complemento intenta evitar que ocurra actividad extraña en su sitio. Si detecta algo que no le gusta, lo bloqueará. Puede evitar esto si hay problemas con su sitio en los que necesita trabajar. Al hacer clic en Lista blanca temporal de mi IP, se incluirá su IP en la lista blanca de los bloqueos durante 24 horas. Todavía puede ser bloqueado si su IP cambia.

Empezando

Esta sección incluye un video de 3 minutos que le muestra cómo proteger su sitio usando el complemento iThemes Security. Proporciona una guía de inicio rápido de la configuración básica.

Esta sección también incluye una opción para obtener ayuda de expertos o actualizar a la edición profesional.

Estado de seguridad

 

El estado de seguridad de todos sus artículos se muestra por su prioridad que incluye alta, media y baja. Cada tarea tiene un botón de arreglarlo. Lo usé en un sitio de prueba para ver cuáles eran las tareas. Estos fueron resaltados en rojo. Aquí está el resumen:

Alta prioridad

• Su sitio no está realizando ninguna copia de seguridad de la base de datos programada
• El escaneo de malware no está habilitado

Hacer clic en el primero me llevó a la sección de copia de seguridad programada en la pantalla de configuración donde podía activar la configuración programada y elegir el intervalo (el valor predeterminado era 3 días).

Hacer clic en el segundo botón me llevó a la configuración de escaneo de malware en la pantalla de configuración. Al hacer clic en este me pidió una clave API. Para obtener esta clave, simplemente visite VirusTotal y configure una cuenta gratuita.

Prioridad media

• Su sitio web no está protegido contra bots que buscan vulnerabilidades conocidas. Considere activar la protección 404.
• Su área de inicio de sesión está parcialmente protegida contra ataques de fuerza bruta . Le recomendamos que utilice tanto el bloqueo de red como el local para una seguridad total.
• Su panel de WordPress está utilizando las direcciones predeterminadas. Esto puede hacer que un ataque de fuerza bruta sea mucho más fácil.
• No está protegiendo los archivos comunes de WordPress del acceso. Haga clic aquí para proteger los archivos de WordPress.
• XML-RPC está disponible en su instalación de WordPress. Los atacantes pueden usar esta función para atacar su sitio. Haga clic aquí para deshabilitar el acceso a XML-RPC.
• Los usuarios pueden ejecutar PHP desde la carpeta de cargas.

Esta es una breve lista de las tareas de prioridad media. Fueron resaltados en amarillo. Al hacer clic en el botón arreglarlo para cada uno, me llevó a la configuración donde podía habilitarlo y hacer los ajustes que quisiera. Algunas eran configuraciones avanzadas.

El siguiente fue Prioridad baja seguido de Información del sistema que incluía información sobre la base de datos, el servidor, la versión de PHP y más.

Ajustes

 

Los ajustes incluyen:

• Global
• Detección 404 : bloquea a alguien que recibe demasiadas páginas 404 (posibles piratas informáticos)
• Modo Ausente : deshabilite el acceso al tablero cuando no lo use
• Usuarios prohibidos
• Protección de fuerza bruta : prohíbe a los usuarios después de demasiados intentos de inicio de sesión fallidos (recibí un aviso de que esto sucedió a los pocos minutos de activar este complemento)
• Copias de seguridad de la base de datos : programa las copias de seguridad en el correo electrónico y en cualquier otra ubicación que elija
• Detección de cambios de archivos : esta es una forma de monitoreo de la integridad de los archivos que le permite saber cuándo se han realizado cambios.
• Ocultar área de inicio de sesión : oculta la página de inicio de sesión de ataques automáticos y simplifica el inicio de sesión
• Escaneo de malware
• SSL : usted elige qué páginas ejecutan SSL
• Contraseñas seguras : obliga a los usuarios a tener contraseñas seguras
• Ajustes del sistema
• Ajustes de WordPress

Ajustes avanzados

 

La configuración avanzada incluye:

• Usuario administrador : elimina los atributos comunes
• Cambiar directorio de contenido : hace que sea más difícil para los piratas informáticos encontrar problemas
• Cambiar el prefijo de la base de datos : dificulta que los scripts encuentren su base de datos

copias de seguridad

 

Aquí es donde puede crear copias de seguridad o cambiar la configuración de sus copias de seguridad. También puede obtener información sobre el uso de BackupBuddy.

Registros

 

Esto le mostrará toda la actividad que ha detectado el complemento. Incluye el trabajo que ha realizado, como copias de seguridad y escaneos de malware, actividades de otros usuarios, intentos de inicio de sesión no válidos y mucho más.

Ayuda

 

La ayuda es más que unos pocos documentos para leer. Incluye:

• Soporte de la comunidad de WordPress.org
• Soporte y funciones profesionales con iThemes Security Pro
• Haga que un profesional asegure su sitio
• Reparación de pirateo

Reflexiones sobre el uso de la seguridad de iThemes

Configurarlo y comenzar fue rápido y fácil. Puede ponerlo en funcionamiento simplemente haciendo clic en el botón de configuración predeterminada. Elegí la configuración predeterminada y solo tuve que hacer ajustes cuando hice clic en «Repararlo» en los problemas de prioridad alta y media. Hay MUCHAS funciones y configuraciones para que pueda modificarlo de la forma que desee.

La parte más impresionante para mí es que todo lo que he cubierto hasta ahora está en la edición gratuita. Así que ahora tomemos un tiempo para ver la edición Pro.

Pro

 

La edición Pro agrega aún más funciones a este complemento ya rico en funciones. Aquí hay una lista de características Pro:

• Registro de acciones del usuario : realice un seguimiento de cuándo los usuarios inician sesión, cierran sesión o editan contenido
• Autenticación de 2 factores : use Google Authenticator o Authy para enviar un código personalizado a su teléfono para iniciar sesión
• Configuración de importación/exportación : excelente para configurar múltiples sitios de WordPress
• Escaneo de malware : configure horarios para escanear
• Caducidad de la contraseña : haga que las contraseñas de los usuarios caduquen en función del tiempo
• Genere contraseñas seguras : genere contraseñas seguras desde la pantalla de perfil
• Widget de tablero : administre tareas desde el tablero de WordPress.
• Comparación de archivos en línea : escaneará los archivos modificados para determinar si el cambio fue malicioso
• Escalada temporal de privilegios : brinde a alguien acceso temporal de administrador o editor a su sitio. Se reiniciará automáticamente.
• Integración con wp-cli : gestione la seguridad desde la línea de comandos
• ReCAPTCHA de Google

Actualmente también están trabajando para expandir el conjunto de funciones para la edición Pro. Una característica es la prohibición de Geo-IP. Esto le permitirá bloquear direcciones IP por país si recibe mucho spam y ataques de fuerza bruta de un país específico. Puede ver y discutir los planes para las próximas funciones en su tablero público de Trello . Otras características que muestran en su tablero de Trello son:

• Migración de configuración
• Lista negra de complementos y temas
• Utilice un dominio alternativo para el panel de WordPress
• Autenticación federada
• Modo de sueño

Precios

 

Hay varias opciones de precios disponibles.

• Personal – $80 y te da 2 licencias. Esta es una buena opción para sitios web personales.
• Business  : cuesta $ 100 y le otorga 10 licencias. Esta es una buena opción para múltiples sitios de negocios.
• Desarrollador  : cuesta $ 150 y le brinda licencias ilimitadas. Esto es perfecto para diseñadores y desarrolladores.
• Suite de complementos  : cuesta $ 247 y le otorga la licencia de desarrollador para los 20 complementos de iThemes.

Tutoriales

Hay varios tutoriales en video para ayudarlo a comenzar y hacer los ajustes que desea:

• Empezando
• Ajustes globales
• 404 Detección
• Modo Ausente
• Usuarios prohibidos
• Protección de fuerza bruta

Alternativas: ¿cómo se compara con otros complementos de seguridad?

iThemes Security tiene muchas características excelentes, pero también tiene el potencial de causar problemas en su sitio porque realiza cambios significativos en su base de datos y otros archivos del sitio. Haz una copia de seguridad primero. Dicho esto, lo usé en varios sitios de prueba y no tuve ningún problema. Si no está interesado en correr el riesgo (posiblemente pequeño), aquí hay algunas alternativas que puede considerar:

Seguridad de Wordfence

 

Este es un complemento gratuito con una calificación de 4.9 y más de 4 millones de descargas. Es uno de los complementos de seguridad más populares y por una buena razón. Tiene toneladas de características que incluyen:

• Falcon Engine, que acelera su sitio web en 50x.
• Soporte para los principales complementos.
• Bloqueo en tiempo real.
• Escanea en busca de vulnerabilidad Heartbleed.
• Modos de caché con funciones de gestión.
• Aplicar contraseñas seguras.
• Escanea archivos principales, complementos y temas.
• Incluye un cortafuegos.
• Bloquea redes maliciosas.
• Comprueba si hay cambios en el archivo.
• Escanea en busca de firmas de malware conocidas.
• Busca puertas traseras conocidas.
• Seguridad de inicio de sesión.

Hay una edición premium que agrega más funciones, que incluyen:

• Filtrado avanzado de spam
• Inicio de sesión de autenticación de dos factores
• Bloqueo de país
• Escaneos programados
• soporte prémium
• Y más.

Cuesta de $ 3.90 a $ 39 por año, dependiendo de la cantidad de sitios en los que lo use.

Cómo se compara

En lugar de trabajar desde un único panel intuitivo, cada una de las funciones se configura de forma independiente en diferentes pantallas de opciones. Tiene muchas funciones, pero cada una de ellas se encuentra en menús independientes, lo que las hace sentir como complementos diferentes.

Seguridad a prueba de balas

 

Este también está disponible en una edición gratuita y premium. Tiene una calificación de 4,8 y tiene casi 1,5 millones de descargas. Protege de más de 100.000 tipos diferentes de ataques. Incluye bloqueo de inicio de sesión de fuerza bruta, copias de seguridad de la base de datos (tanto manuales como programadas), firewalls para proteger .htaccess , registro de seguridad, cambio de prefijo de tabla y más. También puede cambiar el aspecto con máscaras si lo desea.

La mayoría de las funciones de nivel superior de este complemento se encuentran en la edición premium. Incluye:

• Sistema de detección y prevención de intrusiones (IDPS) con restauración automática
• Sistema de prevención y detección de intrusiones en cuarentena (IDPS)
• Monitoreo de archivos en tiempo real (IDPS)
• Sistema de detección de intrusos (IDS) DB Monitor
• DB Diff Tool: herramienta de comparación de datos
• Copia de seguridad de la base de datos: manual y programada
• Estado e información de la base de datos: estado e información extensos de la base de datos
• Cortafuegos de complemento (cortafuegos basado en IP real)
• JTC Anti-Spam / Anti-Hacker
• Cargas Carpeta Anti-Exploit Guard (UAEG)
• Modo de mantenimiento FrontEnd/BackEnd
• Pro Tools: 16 minicomplementos

Esta es solo una pequeña muestra de sus características. Cuesta $ 59.95 e incluye instalaciones ilimitadas, actualizaciones de por vida y soporte técnico gratuito.

Cómo se compara

BulletProof Security tiene un tablero donde se puede acceder a todo en un solo lugar. Sin embargo, configurarlo puede ser un proceso tedioso. No hay un simple clic para ejecutar el botón. Todo tiene que ser configurado de forma independiente. Todo se ve y funciona bien una vez que haya revisado los archivos Léame y haya borrado todas las alertas. Una característica que me gustó fue la pestaña de notas, donde puede realizar un seguimiento de los cambios que realiza, incluidos los cambios en su código .htaccess .

Todo en uno WP Seguridad y cortafuegos

 

Este complemento gratuito tiene una calificación de 4.9 con más de 600k descargas. Aplica seguridad a cuentas de usuario, inicios de sesión de usuario, registro, base de datos, respaldo y restauración de .htaccess y wp-config.php, lista negra, firewall, ataques de fuerza bruta, spam, copia de texto frontal y más. Hará una búsqueda de WhoIs para que tenga información detallada sobre una IP sospechosa. Tiene un escáner de seguridad que escaneará los archivos que tengan cambios y escaneará las tablas de su base de datos en busca de código sospechoso.

Cómo se compara

Se accede a cada una de las funciones a través de menús que tienen sus propios paneles. Una cosa que me gusta es que las funciones principales de seguridad se activan durante la instalación para que no tenga que entrar y activar todo de forma independiente. No tiene tantas características, pero las características que tiene funcionan muy bien. Le da un puntaje para cada característica que le muestra la fortaleza de su sitio para esa característica.

Centrora

 

Este complemento gratuito tiene una calificación de 4.4 con poco más de 100k descargas. Es una modificación de OSE Firewall Security. Incluye un escáner de malware y seguridad que detecta riesgos de seguridad, código malicioso, spam, virus, inyecciones SQL y vulnerabilidades. Incluye administración de IP para que pueda bloquear IP sospechosas. El escáner antivirus buscará amenazas de seguridad conocidas, puertas traseras, troyanos, códigos sospechosos y más.

Cómo se compara

Instala dos complementos: Centrora Security y Centrora Security Badge (este muestra la insignia de seguridad en su sitio). Desafortunadamente, me dio un error fatal en dos sitios web diferentes. Evidentemente no es compatible con la última versión de WordPress.

Terminando

iThemes Security es uno de los mejores y más ricos complementos para proteger fácilmente su sitio de WordPress. Si bien no es posible lograr el 100 % de seguridad en línea, el uso del complemento iThemes Security eliminará la mayoría de las amenazas. Tiene algunas de las mejores características disponibles en un complemento de seguridad. Configurarlo es fácil y usarlo es intuitivo. Lo probé con varios temas y configuraciones de complementos y no tuve problemas.

¿Has probado el complemento de seguridad de iThemes? ¿Usas alguna de estas alternativas? ¿Omití tu plugin de seguridad favorito? ¡Me gustaría escuchar sus pensamientos en los comentarios a continuación!

Imagen en miniatura del artículo de Tarchyshnik Andrei / shutterstock.com