Descripción

Con las funciones cuidadosamente seleccionadas y fáciles de configurar, el plugin proporciona todo lo que necesitas para asegurar tu web y evitar numerosas amenazas como ataques de fuerza bruta, accesos comprometidos, fugas de datos y mucho más.

Ajustes de acceso

Aquí puedes usar las herramientas que. hemos desarrollado para proteger la página de acceso de visitantes y bots no autorizados, y de otras conductas malintencionadas.

Acceso al inicio de sesión

El acceso al inicio de sesión te permite limitar el acceso a la página de iniciar sesión a IPs específicas o a un rango de IPs para evitar intentos de acceso malintencionados en ataques de fuerza bruta.

¡Importante!
Si te bloqueas a ti mismo del panel de administración puedes añadir la siguiente opción al archivo functions.php de tu tema, recargar el sitio y luego quitarla una vez que consigas acceder. Ten en cuenta que esto también eliminará todas las IPs que tienen permiso de acceso a la página de acceso y será necesaria una nueva configuración:

add_action( 'init', 'remove_login_access_data' );
function remove_login_access_data() {
    update_option( 'sg_login_access', array() );
}

Identificación de dos factores

La identificación en dos factores para usuarios administradores forzará a todos los administradores a ofrecer un token al acceder, generado por la aplicación Google Authenticator.

Desactivar el nombre de usuario «admin»

Desactivar el usuario «admin» asegurará que a los usuarios actuales con ese nombre de usuario se les pedirá que lo cambien. También evitará el uso de ese nombre de usuario, ya que los hackers se apoyan en la existencia de ese nombre de usuario al realizar ataques de fuerza bruta.

Limitar los intentos de acceso

Al limitar los intentos de acceso puedes especificar el número de veces que los. usuarios pueden tratar de acceder con credenciales incorrectas. Si llegan a un límite específico la IP desde la que estén intentando acceder se bloqueará durante una hora. Si siguen haciendo intentos incorrectos se les restringirá durante 24 horas, y luego durante 7 días.

add_action( 'init', 'remove_unsuccessfull_attempts_block' );
function remove_unsuccessfull_attempts_block() {
    update_option( 'sg_security_unsuccessful_login', array() );
}

Seguridad del sitio

Con este conjunto de herramientas puedes reforzar tu aplicación WordPress y mantenerla a salvo de malware, exploits y otras acciones malintencionadas.

Bloquear y proteger las carpetas del sistema

El bloqueo y protección de carpetas del sistema te permite bloquear la ejecución de scripts malintencionados o no autorizados en las carpetas de sistema de tus aplicaciones.

Ocultar la versión de WordPress

Al usar la ocultación de la versión de WordPress puedes evitar ser marcado para ataques en masa debido a vulnerabilidades específicas de la versión.

Desactivar el editor de temas y plugins

Desactiva el editor de temas y plugins de la administración de WordPress para evitar errores de código potenciales o accesos no autorizados desde el editor de WordPress.

Desactivar XML-RPC

Puedes desactivar el protocolo XML-RPC, que ha sido usado recientemente en montones de exploits. Ten en cuenta que cuando se desactiva evita que WordPress se comunique con sistemas de terceros. Recomendamos usarlo, a menos que lo necesites específicamente.

Desactivar feeds RSS y ATOM

Desactiva los feeds RSS y ATOM para evitar el robo de contenido y ataques específicos contra tu sitio. Se recomienda usar esto en todo momento, a menos que tengas lectores que usen tu sitio mediante lectores RSS.

Protección XSS avanzada

Al activar la protección de XSS avanzada puedes añadir una capa adicional de protección contra ataques XSS.

Borrar el readme.txt por defecto

Cuando borras el archivo readme.txt por defecto, que contiene información sobre tu web, reduces las opciones de que termine en una lista de sitios potencialmente vulnerables, usada por hackers.

Registro de actividad

Aquí puedes supervisar en detalle la actividad de los visitantes registrados, desconocidos y bloqueados. Si su sitio está siendo hackeado, un usuario o un plugin fue comprometido, siempre puedes usar las herramientas rápidas para bloquear sus acciones futuras.

¡Importante!
Puedes configurar una duración del registro personalizada ( en días ), usando el siguiente filtro, facilitado para ese propósito.

add_filter( 'sgs_set_activity_log_lifetime', 'set_custom_log_lifetime' );
function set_custom_log_lifetime() {
    return 'your-custom-log-lifetime-in-days';
}

Acciones después de un hackeo

Reinstalar todos los plugins gratuitos

Si tu web ha sido hackeada siempre puedes reducir el daño usando la reinstalación de todos los plugins. Esto reinstalará todos tus plugins gratuitos, reduciendo la opción de otro exploit o el reuso de código malintencionado.

Desconectar a todos los usuarios

Puedes desconectar a todos los usuarios para evitar que realicen más acciones.

Forzar restablecimiento de contraseña

Fuerza el restablecimiento de contraseñas para forzar a todos los usuarios a cambiar su contraseña en el próximo acceso. Esto también desconectará a todos los usuarios al instante.

Compatible con WP-CLI

En la versión 1.0.2 hemos añadido compatibilidad completa con WP-CLI para todas las opciones y funcionalidades del plugin.

wp sg limit-login-attempts 0|3|5 – limita los intentos de acceso a 3, 5, o a 0 para desactivarlo
wp sg login-access add IP – permite solo a IPs específicas acceder a la administración de la web
wp sg login-access list all – lista las direcciones IP en la lista blanca
wp sg login-access remove IP – elimina la IP de la lista blanca
wp sg login-access remove all – elimina todas las direcciones IP de la lista blanca
wp sg secure protect-system-folders enable|disable – activa o desactiva la opción de proteger las carpetas del sistema
wp sg secure hide-wordpress-version enable|disable – activa o desactiva la opción de ocultar la versión de WordPress
wp sg secure plugins-themes-editor enable|disable – activa o desactiva el editor de plugins y temas
wp sg secure xml-rpc enable|disable – activa o desactiva XML-RPC
wp sg secure rss-atom-feed enable|disable – activa o desactiva los feeds RSS y ATOM
wp sg secure xss-protection enable|disable – activa o desactiva la protección contra XSS
wp sg secure 2fa enable|disable – activa o desactiva la identificación de dos factores
wp sg secure disable-admin-user enable|disable – activa o desactiva el uso de «admin» como nombre de usuario

Requisitos

WordPress 4.7
PHP 7.0
Archivo .htacces activo

Instalación

Instalación automática

Ve a «Plugins > Añadir nuevo»
Busca «SiteGround Security»
Haz clic en el botón de instalar del plugin SiteGround Security
Una vez esté instalado el plugin haz clic en el enlace de «Activar plugin»

Instalación manual

Accede a tu panel de administración de WordPress y ve a «Plugins -> Añadir nuevo»
Selecciona el menú «Subir»
Haz clic en el botón «Elegir archivo» y selecciona en tu explorador el archivo «sg-security.zip» que has descargado
Haz clic en el botón «Instalar ahora»
Ve a «Plugins -> Plugins instalados» y haz clic en el enlace «Activar» de debajo de SG Security del listado de WordPress

Reseñas

shss 19 de julio de 2021

This plugin is another reason why I will never leave SiteGround

Stephen Bentley 15 de julio de 2021

This SG Security plugin worked great until I got locked out and had to ask SG Support to let me back in. They did and when I asked what had happened, they said, "I double-checked and our security plugin was asking to access the website with admin account so I disabled it from the File Manager and that worked perfectly." That's funny as I made no changes after I had enabled 2-step Google Authentication. But I didn't get that far because the webpage said - 'The access to that page has been restricted by the administrator of this website.' Now, I'm back to Wordfence only as I have lost trust in the SG Security plugin to work without locking me out again.

Ovidiu Nicolae 12 de julio de 2021

This is the best approach to what constitutes a solid WordPress security plugin. It has all the important features without hindering the performance of a website. The improvements are significant since switching from Wordfence. And from past experience with products from SG, it will probably get timely and useful updates over time as well. Highly recommended

ldallara 4 de julio de 2021

After 2 hours of support we have not been able to make it auth with google. Google back to wordfence. Hope they fix SG security some day.

jetxpert 29 de junio de 2021

Thank you, SiteGround. Job well done. After evaluating and testing your plugin, we got rid of iThemes Security (free and pro). Not only is your plugin simpler and easier to use, it focuses on what matters most to secure a website. Further, it doesn't add bloatware to the backend of our website. Again, thank you. Keep up the excellent work. We look forward to your future enhancements. Cheers!

jedimax 28 de junio de 2021

I had a problem with my website with the plugin Siteground Security it was fixed by them. The error I got was this. Error JSON.parse: unexpected non-whitespace character after JSON data at line 1 column 46 of the JSON data It will be nice if they can get some features from Wordfence Security and add it to Siteground Security.

Leer todas las 16 reseñas

Colaboradores y desarrolladores

«SiteGround Security» es un software de código abierto. Las siguientes personas han colaborado con este plugin.

«SiteGround Security» ha sido traducido a 6 idiomas locales. Gracias a los traductores por sus contribuciones.

Traduce «SiteGround Security» a tu idioma.

¿Interesado en el desarrollo?

Revisa el código , echa un vistazo al repositorio SVN o suscríbete al registro de desarrollo por RSS.

Registro de cambios

Version 1.0.4

Mejoras en el límite de intentos de acceso

Version 1.0.3

Corregido fallo de la caja de valoraciones en Safari
Servicio de desactivado de feeds RSS y Atom mejorado

Version 1.0.2

Añadido filtro para configurar la duración del registro
Añadida compatibilidad con WP-CLI
Mejora de cadenas

Version 1.0.1

Añadidos valores por defecto al instalar
Mejorada la compatibilidad con las traducciones
Añadida limpieza al desinstalar

Version 1.0.0

Primera versión estable.

Version 0.1

Versión inicial.