SiteGround Security

Descripción

Con las funciones cuidadosamente seleccionadas y fáciles de configurar el plugin SiteGround Security ofrece todo lo que necesitas para asegurar tu web y evitar amenazas como ataques de fuerza bruta, accesos comprometidos, pérdida de datos y más.

Ajustes de acceso

Aquí puedes usar las herramientas que. hemos desarrollado para proteger la página de acceso de visitantes y bots no autorizados, y de otras conductas malintencionadas.

URL de acceso personalizada

Cambia la url de acceso por defecto para evitar ataques y tener una URL de acceso fácilmente memorizable. También puedes cambiar la url de registro si tienes esa opción activa para tu web.

¡Importante!
Puedes revertir el texto de acceso por defecto usando el siguiente fragmento de código.

add_action( 'init', 'remove_custom_login_url' );
function remove_custom_login_url() {
    update_option( 'sg_security_login_type', 'default' );
}

Acceso al inicio de sesión

El acceso al inicio de sesión te permite limitar el acceso a la página de iniciar sesión a IPs específicas o a un rango de IPs para evitar intentos de acceso malintencionados en ataques de fuerza bruta.

¡Importante!
Si te bloqueas a ti mismo del panel de administración puedes añadir la siguiente opción al archivo functions.php de tu tema, recargar el sitio y luego quitarla una vez que consigas acceder. Ten en cuenta que esto también eliminará todas las IPs que tienen permiso de acceso a la página de acceso y será necesaria una nueva configuración:

add_action( 'init', 'remove_login_access_data' );
function remove_login_access_data() {
    update_option( 'sg_login_access', array() );
}

Identificación de dos factores

La identificación en dos factores para usuarios administradores forzará a todos los administradores a ofrecer un token al acceder, generado por la aplicación Google Authenticator.

¡Importante!
Puedes forzar a que otros perfiles usen también la identificación de dos factores. Una vez activada puedes añadir tu filtro del siguiente modo.

add_filter( 'sg_security_2fa_roles', 'add_user_roles_to_2fa' );
function add_user_roles_to_2fa( $roles ) {
    $roles[] = 'your_role';
    return $roles;
}

Puedes cambiar la ubicación del archivo de la clave de cifrado de 2FA usando la constante SGS_ENCRYPTION_KEY_FILE_PATH definida en el archivo wp-config.php. Asegúrate de. utilizar la ruta completa al archivo. Ejemplo:

// Custom path to SG Security Encryption key file.
define ( 'SGS_ENCRYPTION_KEY_FILE_PATH', '/home/fullpathtofile/sgs_encrypt_key.php');

Desactivar nombres de usuario comunes

Usar nombres de usuario comunes como ‘admin’ es una amenaza de seguridad que a menudo resulta en accesos no autorizados. Al activar esta opción desactivaremos la creación de nombres de usuario comunes y si ya tienes uno o más usuarios con un nombre de usuario débil, te pediremos que facilites nuevo(s).

Limitar los intentos de acceso

Al limitar los intentos de acceso puedes especificar el número de veces que los. usuarios pueden tratar de acceder con credenciales incorrectas. Si llegan a un límite específico la IP desde la que estén intentando acceder se bloqueará durante una hora. Si siguen haciendo intentos incorrectos se les restringirá durante 24 horas, y luego durante 7 días.

¡Importante!
Si te bloqueas a ti mismo del panel de administración puedes añadir la siguiente opción al archivo functions.php de tu tema, recargar el sitio y luego quitarla una vez que consigas acceder. Ten en cuenta que esto también eliminará el bloqueo de intentos fallidos de todas las IPs:

add_action( 'init', 'remove_unsuccessfull_attempts_block' );
function remove_unsuccessfull_attempts_block() {
    update_option( 'sg_security_unsuccessful_login', array() );
}

Seguridad del sitio

Con este conjunto de herramientas puedes reforzar tu aplicación WordPress y mantenerla a salvo de malware, exploits y otras acciones malintencionadas.

Bloquear y proteger las carpetas del sistema

Bloquear y proteger carpetas del sistema te permite bloquear que cualquier script maligno o no autorizado se ejecute en tus carpetas del sistema de aplicaciones.
Si la opción de bloquear y proteger carpetas del sistema bloquea un script específico utilizado por otro plugin en la web puedes añadir a la lista blanca el script específico usando los fragmentos de código facilitados a continuación.

Usa este para añadir a lista blanca un archivo en la carpeta wp-includes:

add_filter( 'sgs_whitelist_wp_includes' , 'whitelist_file_in_wp_includes' );
function whitelist_file_in_wp_includes( $whitelist ) {

    $whitelist[] = 'file_name.php';
    $whitelist[] = 'another_file_name.php';

    return $whitelist;
}

Usa este para añadir a lista blanca un archivo en la carpeta wp-uploads:

add_filter( 'sgs_whitelist_wp_uploads' , 'whitelist_file_in_wp_uploads' );
function whitelist_file_in_wp_uploads( $whitelist ) {
    $whitelist[] = 'file_name.php';
    $whitelist[] = 'another_file_name.php';

    return $whitelist;
}

Usa este para añadir a lista blanca un archivo en la carpeta wp-content:

add_filter( 'sgs_whitelist_wp_content' , 'whitelist_file_in_wp_content' );
function whitelist_file_in_wp_content( $whitelist ) {
    $whitelist[] = 'file_name.php';
    $whitelist[] = 'another_file_name.php';

    return $whitelist;
}

Ocultar la versión de WordPress

Al usar la ocultación de la versión de WordPress puedes evitar ser marcado para ataques en masa debido a vulnerabilidades específicas de la versión.

Desactivar el editor de temas y plugins

Desactiva el editor de temas y plugins de la administración de WordPress para evitar errores de código potenciales o accesos no autorizados desde el editor de WordPress.

Desactivar XML-RPC

Puedes desactivar el protocolo XML-RPC, que ha sido usado recientemente en montones de exploits. Ten en cuenta que cuando se desactiva evita que WordPress se comunique con sistemas de terceros. Recomendamos usarlo, a menos que lo necesites específicamente.

Desactivar feeds RSS y ATOM

Desactiva los feeds RSS y ATOM para evitar el robo de contenido y ataques específicos contra tu sitio. Se recomienda usar esto en todo momento, a menos que tengas lectores que usen tu sitio mediante lectores RSS.

Protección XSS avanzada

Al activar la protección de XSS avanzada puedes añadir una capa adicional de protección contra ataques XSS.

Borrar el readme.txt por defecto

Cuando borras el archivo readme.txt por defecto, que contiene información sobre tu web, reduces las opciones de que termine en una lista de sitios potencialmente vulnerables, usada por hackers.

Registro de actividad

Aquí puedes supervisar en detalle la actividad de los visitantes registrados, desconocidos y bloqueados. Si su sitio está siendo hackeado, un usuario o un plugin fue comprometido, siempre puedes usar las herramientas rápidas para bloquear sus acciones futuras.

¡Importante!
Puedes configurar una duración del registro personalizada ( en días ), usando el siguiente filtro, facilitado para ese propósito.

add_filter( 'sgs_set_activity_log_lifetime', 'set_custom_log_lifetime' );
function set_custom_log_lifetime() {
    return 'your-custom-log-lifetime-in-days';
}

Si necesitas desactivar el registro de actividad puedes usar el siguiente filtro. Recuerda que esto también desactiva los correos electrónicos del registro semanal de actividad.

add_action( 'init', 'deactivate_activity_log' );
function deactivate_activity_log() {
    update_option( 'sg_security_disable_activity_log', 1 );
}

Acciones después de un hackeo

Reinstalar todos los plugins gratuitos

Si tu web ha sido hackeada siempre puedes reducir el daño usando la reinstalación de todos los plugins. Esto reinstalará todos tus plugins gratuitos, reduciendo la opción de otro exploit o el reuso de código malintencionado.

Desconectar a todos los usuarios

Puedes desconectar a todos los usuarios para evitar que realicen más acciones.

Forzar restablecimiento de contraseña

Fuerza el restablecimiento de contraseñas para forzar a todos los usuarios a cambiar su contraseña en el próximo acceso. Esto también desconectará a todos los usuarios al instante.

Compatible con WP-CLI

En la versión 1.0.2 hemos añadido compatibilidad completa con WP-CLI para todas las opciones y funcionalidades del plugin.

• wp sg limit-login-attempts 0|3|5 – limita los intentos de acceso a 3, 5, o a 0 para desactivarlo
• wp sg login-access add IP – permite solo a IPs específicas acceder a la administración de la web
• wp sg login-access list all – lista las direcciones IP en la lista blanca
• wp sg login-access remove IP – elimina la IP de la lista blanca
• wp sg login-access remove all – elimina todas las direcciones IP de la lista blanca
• wp sg secure protect-system-folders enable|disable – activa o desactiva la opción de proteger las carpetas del sistema
• wp sg secure hide-wordpress-version enable|disable – activa o desactiva la opción de ocultar la versión de WordPress
• wp sg secure plugins-themes-editor enable|disable – activa o desactiva el editor de plugins y temas
• wp sg secure xml-rpc enable|disable – activa o desactiva XML-RPC
• wp sg secure rss-atom-feed enable|disable – activa o desactiva los feeds RSS y ATOM
• wp sg secure xss-protection enable|disable – activa o desactiva la protección contra XSS
• wp sg secure 2fa enable|disable – activa o desactiva la identificación de dos factores
• wp sg secure disable-admin-user enable|disable – activa o desactiva el uso de «admin» como nombre de usuario
• wp sg log ip add|remove|list <name> --ip=<ip> – Añade/lista/elimina pingbots listados definidos por el usuario en el registro de actividad por ip
• wp sg log ua add|remove|list <name> – Añade/lista/elimina bots listados por el usuario en el registro de actividad por el agente de usuario
• wp sg list log-unknown|log-registered|log-blocked --days=<days> – Lista el registro de acceso específico de un periodo específico
• wp sg 2fa reset id|username|all ID|username – Restablece la configuración 2FA del ID del usuario, nombre de usuario o de todos los usuarios.
• wp sg custom-login status|disable – Muestra el estado o desactiva la funcionalidad de URL de acceso personalizada.

Requisitos

• WordPress 4.7
• PHP 7.0
• Archivo .htacces activo