Descripción
Este plugin de seguridad todo incluido, creado por la empresa de alojamiento web SiteGround, te ofrece un control sencillo sobre la seguridad de tu web. Incluye características que te permiten en 1 clic activar o desactivar ajustes de WordPress y evitar una serie de amenazas tales como ataques de fuerza bruta, accesos comprometidos, ataques de vulnerabilidad de código, robo y filtración de datos, y más.
- Oculta tu versión de WordPress
- Activa la protección avanzada contra vulnerabilidades XSS
- Desactiva el protocolo XML-RPC para evitar multitud de vulnerabilidades y ataques
- Ajuste de 1 clic para desactivar feeds RSS y ATOM
- Opción para bloquear y proteger las carpetas del sistema por defecto
- Desactiva el nombre de usuario «Admin»
- Desactiva el editor de temas y plugins
- Opción para activar la identificación de dos factores
- Ajuste de límite de intentos de acceso
Sobre todo, los expertos en seguridad de SiteGround han seleccionado una lista de «ajustes recomendados de protección contra vulnerabilidades», que se han destacado en el escritorio del plugin para tu facilidad. ¡Dales prioridad y todo irá bien!
Ajustes de acceso
Aquí puedes usar las herramientas que. hemos desarrollado para proteger la página de acceso de visitantes y bots no autorizados, y de otras conductas malintencionadas.
URL de acceso personalizada
Cambia la url de acceso por defecto para evitar ataques y tener una URL de acceso fácilmente memorizable. También puedes cambiar la url de registro si tienes esa opción activa para tu web.
¡Importante!
Puedes revertir el texto de acceso por defecto usando el siguiente fragmento de código.
add_action( 'init', 'remove_custom_login_url' );
function remove_custom_login_url() {
update_option( 'sg_security_login_type', 'default' );
}
Acceso al inicio de sesión
El acceso al inicio de sesión te permite limitar el acceso a la página de iniciar sesión a IPs específicas o a un rango de IPs para evitar intentos de acceso malintencionados en ataques de fuerza bruta.
¡Importante!
Si te bloqueas a ti mismo del panel de administración puedes añadir la siguiente opción al archivo functions.php de tu tema, recargar el sitio y luego quitarla una vez que consigas acceder. Ten en cuenta que esto también eliminará todas las IPs que tienen permiso de acceso a la página de acceso y será necesaria una nueva configuración:
add_action( 'init', 'remove_login_access_data' );
function remove_login_access_data() {
update_option( 'sg_login_access', array() );
}
Identificación de dos factores
La identificación en dos factores para usuarios administradores forzará a todos los administradores a ofrecer un token al acceder, generado por la aplicación Google Authenticator.
¡Importante!
Puedes forzar a que otros perfiles usen también la identificación de dos factores. Una vez activada puedes añadir tu filtro del siguiente modo.
add_filter( 'sg_security_2fa_roles', 'add_user_roles_to_2fa' );
function add_user_roles_to_2fa( $roles ) {
$roles[] = 'your_role';
return $roles;
}
Puedes cambiar la ubicación del archivo de la clave de cifrado de 2FA usando la constante SGS_ENCRYPTION_KEY_FILE_PATH definida en el archivo wp-config.php. Asegúrate de. utilizar la ruta completa al archivo. Ejemplo:
// Custom path to SG Security Encryption key file.
define ( 'SGS_ENCRYPTION_KEY_FILE_PATH', '/home/fullpathtofile/sgs_encrypt_key.php');
Desactivar nombres de usuario comunes
Usar nombres de usuario comunes como ‘admin’ es una amenaza de seguridad que a menudo resulta en accesos no autorizados. Al activar esta opción desactivaremos la creación de nombres de usuario comunes y si ya tienes uno o más usuarios con un nombre de usuario débil, te pediremos que facilites nuevo(s).
Limitar los intentos de acceso
Al limitar los intentos de acceso puedes especificar el número de veces que los. usuarios pueden tratar de acceder con credenciales incorrectas. Si llegan a un límite específico la IP desde la que estén intentando acceder se bloqueará durante una hora. Si siguen haciendo intentos incorrectos se les restringirá durante 24 horas, y luego durante 7 días.
¡Importante!
Si te bloqueas a ti mismo del panel de administración puedes añadir la siguiente opción al archivo functions.php de tu tema, recargar el sitio y luego quitarla una vez que consigas acceder. Ten en cuenta que esto también eliminará el bloqueo de intentos fallidos de todas las IPs:
add_action( 'init', 'remove_unsuccessfull_attempts_block' );
function remove_unsuccessfull_attempts_block() {
update_option( 'sg_security_unsuccessful_login', array() );
}
Seguridad del sitio
Con este conjunto de herramientas puedes reforzar tu aplicación WordPress y mantenerla a salvo de malware, exploits y otras acciones malintencionadas.
Bloquear y proteger las carpetas del sistema
Bloquear y proteger carpetas del sistema te permite bloquear que cualquier script maligno o no autorizado se ejecute en tus carpetas del sistema de aplicaciones.
Si la opción de bloquear y proteger carpetas del sistema bloquea un script específico utilizado por otro plugin en la web puedes añadir a la lista blanca el script específico usando los fragmentos de código facilitados a continuación.
Usa este para añadir a lista blanca un archivo en la carpeta wp-includes:
add_filter( 'sgs_whitelist_wp_includes' , 'whitelist_file_in_wp_includes' );
function whitelist_file_in_wp_includes( $whitelist ) {
$whitelist[] = 'file_name.php';
$whitelist[] = 'another_file_name.php';
return $whitelist;
}
Usa este para añadir a lista blanca un archivo en la carpeta wp-uploads:
add_filter( 'sgs_whitelist_wp_uploads' , 'whitelist_file_in_wp_uploads' );
function whitelist_file_in_wp_uploads( $whitelist ) {
$whitelist[] = 'file_name.php';
$whitelist[] = 'another_file_name.php';
return $whitelist;
}
Usa este para añadir a lista blanca un archivo en la carpeta wp-content:
add_filter( 'sgs_whitelist_wp_content' , 'whitelist_file_in_wp_content' );
function whitelist_file_in_wp_content( $whitelist ) {
$whitelist[] = 'file_name.php';
$whitelist[] = 'another_file_name.php';
return $whitelist;
}
Ocultar la versión de WordPress
Al usar la ocultación de la versión de WordPress puedes evitar ser marcado para ataques en masa debido a vulnerabilidades específicas de la versión.
Desactivar el editor de temas y plugins
Desactiva el editor de temas y plugins de la administración de WordPress para evitar errores de código potenciales o accesos no autorizados desde el editor de WordPress.
Desactivar XML-RPC
Puedes desactivar el protocolo XML-RPC, que ha sido usado recientemente en montones de exploits. Ten en cuenta que cuando se desactiva evita que WordPress se comunique con sistemas de terceros. Recomendamos usarlo, a menos que lo necesites específicamente.
Desactivar feeds RSS y ATOM
Desactiva los feeds RSS y ATOM para evitar el robo de contenido y ataques específicos contra tu sitio. Se recomienda usar esto en todo momento, a menos que tengas lectores que usen tu sitio mediante lectores RSS.
Protección XSS avanzada
Al activar la protección de XSS avanzada puedes añadir una capa adicional de protección contra ataques XSS.
Borrar el readme.txt por defecto
Cuando borras el archivo readme.txt por defecto, que contiene información sobre tu web, reduces las opciones de que termine en una lista de sitios potencialmente vulnerables, usada por hackers.
Registro de actividad
Aquí puedes supervisar en detalle la actividad de los visitantes registrados, desconocidos y bloqueados. Si su sitio está siendo hackeado, un usuario o un plugin fue comprometido, siempre puedes usar las herramientas rápidas para bloquear sus acciones futuras.
¡Importante!
Puedes configurar una duración del registro personalizada ( en días ), usando el siguiente filtro, facilitado para ese propósito.
add_filter( 'sgs_set_activity_log_lifetime', 'set_custom_log_lifetime' );
function set_custom_log_lifetime() {
return 'your-custom-log-lifetime-in-days';
}
Si necesitas desactivar el registro de actividad puedes usar el siguiente filtro. Recuerda que esto también desactiva los correos electrónicos del registro semanal de actividad.
add_action( 'init', 'deactivate_activity_log' );
function deactivate_activity_log() {
update_option( 'sg_security_disable_activity_log', 1 );
}
En el caso de que hayas desactivado la tarea de cron nativa de WordPress, y estés usando un cron de UNIX en su lugar, puedes añadir la siguiente regla al archivo wp-config.php de tu web para que se vacíen los registros a tiempo:
define( 'SG_UNIX_CRON', true );
Acciones después de un hackeo
Reinstalar todos los plugins gratuitos
Si tu web ha sido hackeada siempre puedes reducir el daño usando la reinstalación de todos los plugins. Esto reinstalará todos tus plugins gratuitos, reduciendo la opción de otro exploit o el reuso de código malintencionado.
Desconectar a todos los usuarios
Puedes desconectar a todos los usuarios para evitar que realicen más acciones.
Forzar restablecimiento de contraseña
Fuerza el restablecimiento de contraseñas para forzar a todos los usuarios a cambiar su contraseña en el próximo acceso. Esto también desconectará a todos los usuarios al instante.
Compatible con WP-CLI
En la versión 1.0.2 hemos añadido compatibilidad completa con WP-CLI para todas las opciones y funcionalidades del plugin.
wp sg limit-login-attempts 0|3|5
– limita los intentos de acceso a 3, 5, o a 0 para desactivarlowp sg login-access add IP
– permite solo a IPs específicas acceder a la administración de la webwp sg login-access list all
– lista las direcciones IP en la lista blancawp sg login-access remove IP
– elimina la IP de la lista blancawp sg login-access remove all
– elimina todas las direcciones IP de la lista blancawp sg secure protect-system-folders enable|disable
– activa o desactiva la opción de proteger las carpetas del sistemawp sg secure hide-wordpress-version enable|disable
– activa o desactiva la opción de ocultar la versión de WordPresswp sg secure plugins-themes-editor enable|disable
– activa o desactiva el editor de plugins y temaswp sg secure xml-rpc enable|disable
– activa o desactiva XML-RPCwp sg secure rss-atom-feed enable|disable
– activa o desactiva los feeds RSS y ATOMwp sg secure xss-protection enable|disable
– activa o desactiva la protección contra XSSwp sg secure 2fa enable|disable
– activa o desactiva la identificación de dos factoreswp sg secure disable-admin-user enable|disable
– activa o desactiva el uso de «admin» como nombre de usuariowp sg log ip add|remove|list <name> --ip=<ip>
– Añade/lista/elimina pingbots listados definidos por el usuario en el registro de actividad por ipwp sg log ua add|remove|list <name>
– Añade/lista/elimina bots listados por el usuario en el registro de actividad por el agente de usuariowp sg list log-unknown|log-registered|log-blocked --days=<days>
– Lista el registro de acceso específico de un periodo específicowp sg 2fa reset id|username|all ID|username
– Restablece la configuración 2FA del ID del usuario, nombre de usuario o de todos los usuarios.wp sg custom-login status|disable
– Muestra el estado o desactiva la funcionalidad de URL de acceso personalizada.
Requisitos
- WordPress 4.7
- PHP 7.0
- Archivo .htacces activo
Instalación
Instalación automática
- Ve a «Plugins > Añadir nuevo»
- Busca «SiteGround Security»
- Haz clic en el botón de instalar del plugin SiteGround Security
- Una vez esté instalado el plugin haz clic en el enlace de «Activar plugin»
Instalación manual
- Accede a tu panel de administración de WordPress y ve a «Plugins -> Añadir nuevo»
- Selecciona el menú «Subir»
- Haz clic en el botón «Elegir archivo» y selecciona en tu explorador el archivo «sg-security.zip» que has descargado
- Haz clic en el botón «Instalar ahora»
- Ve a «Plugins -> Plugins instalados» y haz clic en el enlace «Activar» de debajo de SG Security del listado de WordPress
Reseñas
Colaboradores y desarrolladores
«All-inclusive Security Solution by SiteGround» es un software de código abierto. Las siguientes personas han colaborado con este plugin.
Colaboradores«All-inclusive Security Solution by SiteGround» ha sido traducido a 8 idiomas locales. Gracias a los traductores por sus contribuciones.
Traduce «All-inclusive Security Solution by SiteGround» a tu idioma.
¿Interesado en el desarrollo?
Revisa el código , echa un vistazo al repositorio SVN o suscríbete al registro de desarrollo por RSS.
Registro de cambios
Version 1.4.5
Fecha de lanzamiento: 4 de mayo de 2023
- Mejorada la limpieza del registro
Version 1.4.4
Fecha de lanzamiento: 3 de mayo de 2023
- Mejorado el indexado de los visitantes en la BD
- Servicio de bloques restaurado
Version 1.4.3
Fecha de lanzamiento: 27 de abril de 2023
- Servicio de bloques desactivado temporalmente
Version 1.4.2
Fecha de lanzamiento: 27 de abril de 2023
- Mejorados los procesos y filtros del registro de actividad
- Mejorado el código de respuesta al acceso restringido
- Mejorada la compatibilidad con PHP 8.2
- Constante alternativa añadida para un uso no estándar de tareas cron
Version 1.4.1
Fecha de lanzamiento: 23 de febrero de 2023
- Mejoras de configuración interna
Version 1.4.0
Fecha de lanzamiento: 1 de febrero de 2023
- Cambios de configuración interna
Version 1.3.9
Fecha de lanzamiento: 25 de enero de 2023
- Mejorada la compatibilidad con el tema Foogra
Version 1.3.8
Fecha de lanzamiento: 6 de diciembre de 2022
- Mejorada la respuesta REST
- Mejoradas las comprobaciones de la página de ajustes
- Mejorada la desactivación del editor de temas y plugins
Version 1.3.7
Fecha de lanzamiento: 15 de noviembre de 2022
- Corrección de errores del escritorio de SG Security
- Mejorada la validación de la clave de cifrado de 2FA
- Mejorada la validación de URL de acceso/registro personalizada
- Mejorada la compatibilidad con caché LiteSpeed
- Opción para utilizar una ruta personalizada para el archivo de la clave de cifrado 2FA
Version 1.3.6
Fecha de lanzamiento: 8 de noviembre de 2022
- Mejorada la seguridad de 2FA mediante cifrado
- Acceso mejorado a los filtros del registro
- Nuevo comando WP-CLI: restablecer la configuración 2FA de todos los usuarios
Version 1.3.5
Fecha de lanzamiento: 18 de octubre de 2022
- Mejroas en la URL de acceso personalizado
- Mejoras en el registro de actividad
Version 1.3.4
Fecha de lanzamiento: 10 de octubre de 2022
- Corrección del servicio de instalación
Version 1.3.3
Fecha de lanzamiento: 10 de octubre de 2022
- Nueva opción para gestionar el registro de actividad
- Nuevo filtro – Desactivar registro de actividad
- Mejorada la url de acceso personalizada
- Mejorada la compatibilidad con WP-CLI
- Mejorada la compatibilidad con el plugin Jetpack
- Mejorada la gestión de errores
- Correcciones de fallos menores
- Código heredado eliminado
Version 1.3.2
Fecha de lanzamiento: 21 de septiembre de 2022
- Refuerzo de seguridad en los códigos de respaldo 2FA
Version 1.3.1
Fecha de lanzamiento: 13 de septiembre de 2022
- Refuerzo de la seguridad en la identificación 2FA
- Refuerzo de seguridad en la detección de direcciones IP
Version 1.3.0
Fecha de lanzamiento: 14 de julio de 2022
- Diseño totalmente nuevo
- Mejorada la compatibilidad de la identificación 2FA con las páginas de acceso personalizado de Elementor
- Mejorada la recopilación de datos
- Correcciones menores
Version 1.2.9
Fecha de lanzamiento: 20 de junio de 2022
- NUEVOS filtros para excluir «Bloquear y proteger carpetas del sistema»
- Mejorada la compatibilidad con rangos de IP
- Mejorada la lista de direcciones IP bloqueadas
- Mejorado el borrado del readme.html por defecto
- Mejorada la validación de la identificación 2FA
- Mejorada la compatibilidad de la identificación 2FA en el acceso a «Mi cuenta»
- Mejorada la recopilación de datos
- Correcciones menores
Version 1.2.8
Fecha de lanzamiento: 18 de mayo de 2022
- Seguridad de plugin mejorada
Version 1.2.7
Fecha de lanzamiento: 8 de abril de 2022
- Correcciones de fallos menores
Version 1.2.6
Fecha de lanzamiento: 7 de abril de 2022
- Reprogramación del 2FA
Version 1.2.5
Fecha de lanzamiento: 6 de abril de 2022
- Reprogramación de la identificación 2FA
- Mejorados los correos electrónicos semanales
- El servicio HSTS se retira
Version 1.2.4
Fecha de lanzamiento: 16 de marzo de 2022
- Mejorados los correos electrónicos semanales
- Mejorada la compatibilidad con el plugin WooCommerce Payments
- Refuerzo de la seguridad en la identificación 2FA
Version 1.2.3
Fecha de lanzamiento: 11 de marzo de 2022
- Refuerzo de la seguridad en la identificación 2FA
Version 1.2.2
Fecha de lanzamiento: 11 de marzo de 2022
- Refuerzo de la seguridad en la identificación 2FA
Version 1.2.1
Fecha de lanzamiento: 9 de marzo de 2022
- Mejorados los informes semanales
- Mejorado el servicio de cabeceras HTTP
- Reprogramación del código
Version 1.2.0
Fecha de lanzamiento: 28 de febrero de 2022
- NUEVO – Informes semanales
- Reprogramación del código y mejoras generales
- Mejorada la compatibilidad con perfiles de usuario de 2FA
- Mejorada la gestión de errores
- Mejorada la compatibilidad con el rango de IPs para limitar el acceso
- Mejorado el registro de eventos
- Mejorada la compatibilidad con el tema Phlox
- Correcciones menores
- Mejorada la compatibilidad con WP-CLI
- Añadido consentimiento de recopilación de datos del entorno
Version 1.1.3
Fecha de lanzamiento: 1 de octubre de 2021
* Mejorada la funcionalidad de ocultar la versión de WP
Version 1.1.2
Fecha de la versión: 20 de agosto de 2021
* Mejorada la funcionalidad de URL de acceso personalizada
* Mejorado el 2FA
* Mejorados los mensajes de éxito/error
Version 1.1.1
Fecha de lanzamiento: 12 de agosto de 2021
* Mejorado el 2FA
* Mejorada la funcionalidad de desconexión
Version 1.1.0
Fecha de la versión: 27 de julio de 2021
* ¡NUEVO! Añadidos códigos de respaldo 2FA a la págna de edición del perfil
* ¡NUEVO! URLs personalizadas de acceso y registro
* ¡NUEVO! Añadida generación automática de cabeceras HSTS
* Mejorado: Funcionalidad de desactivar nombres de usuario comunes
* Mejorado: Servicio de desconexión masivo
* Mejorado: Registro de actividad y añadido etiquetado personalizado
* Mejorado: Funcionalidad de restablecer contraseña
Version 1.0.4
- Mejoras en el límite de intentos de acceso
Version 1.0.3
- Corregido fallo de la caja de valoraciones en Safari
- Servicio de desactivado de feeds RSS y Atom mejorado
Version 1.0.2
- Añadido filtro para configurar la duración del registro
- Añadida compatibilidad con WP-CLI
- Mejora de cadenas
Version 1.0.1
- Añadidos valores por defecto al instalar
- Mejorada la compatibilidad con las traducciones
- Añadida limpieza al desinstalar
Version 1.0.0
- Primera versión estable.
Version 0.1
- Versión inicial.