Wordfence Security

2.069 visualizaciones

Publicado el

Wordfence Security es un plugin de seguridad que ofrece una de las mejores protecciones disponibles para un sitio web.

Formado por un conjunto de herramientas que tienen como función monitorizar y escanear tu sitio web. Entre sus opciones: 1) Antivirus con un motor de “SCAN” que realiza una comparación de archivos de tu web con los ficheros originales del repositorio de WordPress y en caso de encontrar diferencias te ayuda a aplicar una solución. 2) Firewall con un motor de reglas que bloquea tu sitio a los atacantes (ya sean personas o robots), si incumplen cualquiera de las definiciones establecidas. 3) Sistemas de cache con un motor muy importante que incrementa la velocidad de carga de un sitio web.

Publicado en: Software
0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
2.069
En SlideShare
0
De insertados
0
Número de insertados
1.642
Acciones
Compartido
0
Descargas
7
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Wordfence Security

  1. 1. Wordfence Security by www.jjpeleato.com
  2. 2. INDICE 1.0 Wordfence Security. 1.1 Introducción. 2.0 Instalación. 3.0 Configuración. 3.1 Scan 3.2 Firewall 3.3 Live Traffic 3.4 Performance Setup 3.5 Blocked IPs 3.6 Password Audit 3.7 Cellphone Sign-in 3.8 Country Blocking 3.9 Scan Schedule 3.10 Whois Lookup 3.11 Advanced Blocking 3.12 Options 3.12.1 License 3.12.2 Basic Options 3.12.3 Advanced Options 3.12.3.1 Alerts 3.12.3.2 Email Summary 3.12.3.3 Live Traffic View 3.12.3.4 Scans to include 3.12.3.5 Rate Limiting Rules 3.12.3.6 Login Security Options 3.12.3.7 Other Options 3.12.3.8 Exporting and Importing Wordfence Settings 3.13 Diagnostics 4.0 Conclusión
  3. 3. 1 Wordfence Security by @jjpeleato 2 de junio de 2016 1.0 Wordfence Security Versión plugin: 6.1.8 Página web oficial: https://www.wordfence.com/ Documentación oficial: https://docs.wordfence.com/ FAQ: https://support.wordfence.com/ Página web plugin: https://es.wordpress.org/plugins/wordfence/ Requiere: WordPress 3.9 o superior. Compatible hasta: WordPress 4.5.2 Última actualización: - Instalación activas: 2+ millón. 1.1 Introducción. Wordfence Security (en adelante, “WFS”) es un plugin de seguridad que ofrece una de las mejores protecciones disponibles para un sitio web. WFS es un conjunto de herramientas que tienen como función monitorizar y escanear tu sitio web. Entre sus opciones: 1) Antivirus con un motor de “SCAN” que realiza una comparación de archivos de tu web con los ficheros originales del repositorio de WordPress y en caso de encontrar diferencias te ayuda a aplicar una solución. 2) Firewall con un motor de reglas que bloquea tu sitio a los atacantes (ya sean personas o robots), si incumplen cualquiera de las definiciones establecidas. 3) Sistemas de cache con un motor muy importante que incrementa la velocidad de carga de un sitio web. WFS es 100% libre y de código abierto. Dispone de una versión de pago (recomendado) con un sistema de bloqueo por país, análisis programados, auditorias de contraseñas y por último, comprueba que la dirección IP del servidor donde se encuentra alojada nuestra página web no está siendo utilizada para spamvertising (práctica de envió de correo electrónico no deseado desde nuestro servidor, acrónimo de las palabras “spam”/”correo no deseado” y “advertising”/”publicidad”).
  4. 4. 2 Wordfence Security by @jjpeleato 2 de junio de 2016 La página web oficial de WFS dispone de un centro de aprendizaje destinado a todos los niveles. Desde desarrolladores expertos a personas con un nivel de iniciación. El objetivo es profundizar en el conocimiento de la seguridad de WordPress. Aprender y descubrir las mejores prácticas a aplicar en tu página web. https://www.wordfence.com/learn/ 2.0 Instalación La instalación de los plugins en WordPress es un paso muy sencillo e intuitivo. Inicia sesión y en el panel de administración vaya a “Plugins->Agregar nuevo” y hace una búsqueda de “Wordfence” sin comillas. Y pulsamos en “Instalar ahora”.
  5. 5. 3 Wordfence Security by @jjpeleato 2 de junio de 2016 3.0 Configuración. Después de instalar y activar el plugin, podremos ver el ícono de Wordfence y se nos habilitara un “tour” que tiene como función realizar una mini guía de explicación del funcionamiento del software. Recomendación registrarte a las alertas de Wordfence para estar al tanto de las últimas noticias sobre seguridad y vulnerabilidades. Siguiendo la propia organización del menú de enlaces a modo esquema el plugin nos presenta las siguientes secciones:  Scan (Free)  Firewall (Free/Premium)  Live Traffic (Free)  Performance Setup (Free)  Blocked IPs (Free)  Password Audit (Premium)  Cellphone Sign-in (Premium)  Country Blocking (Premium)  Scan Schedule (Premium)  Whois Lookup (Free)  Advanced Blocking (Premium)  Options (Free/Premium)  Diagnostics (Free)
  6. 6. 4 Wordfence Security by @jjpeleato 2 de junio de 2016 3.1 Scan (Escanear) Menú SCAN tiene como función realizar un chequeo preconfigurado pulsando en el botón Start a Wordfence Scan (1). Esta preconfiguración se puede modificar y/o ampliar y/o reducir desde el menú Options -> Scans to Include. Analiza los archivos de tu web en busca de posibles problemas (vulnerabilidades, archivos sospechosos, profundidad de las contraseñas, enlaces sospechosos en artículos y páginas, etc). Es el motor antivirus. En los apartados Scan Summary (2) y Scan Detailed Activity (3) se escribe el resultado del chequeo y en función del mismo te sugiere acciones a realizar. Cada caso tiene su particularidad.
  7. 7. 5 Wordfence Security by @jjpeleato 2 de junio de 2016 En la imagen podemos observar que nos marca como grave la desactualización de plugins. La actualización de los plugins y temas es una práctica altamente recomendada y desde esta misma sección nos facilita el poder dar solución a ciertos problemas. Además, nos avisa que la contraseña de acceso de administrador nos dispone de una clave segura. La información que nos facilita Wordfence tiene que ser analizada cada caso por separado, dado que cada caso tiene su peculiaridad y proceder a su solución de la mejor forma posible.
  8. 8. 6 Wordfence Security by @jjpeleato 2 de junio de 2016 3.2 Firewall (Corta fuegos) Wordfence Web Application Firewall es un aplicación basada en PHP que aplica un cortafuegos que filtra las peticiones maliciosas a su sitio web. Está configurado para ejecutarse al inicio de la inicialización de WordPress para filtrar los ataques antes de que plugins o temas puedan ejecutar cualquier código potencialmente vulnerable. Protege contra una serie de ataques comunes:  SQL Injection  Cross Site Scripting (XSS)  Malicius File Upload  Directory Traversal  Local File Inclusion  External Entity Expansion (XXE)
  9. 9. 7 Wordfence Security by @jjpeleato 2 de junio de 2016 Para la instalación de Wordfence Web Application Firewall es necesario optimizar el plugin pulsando en Optimize the Wordfence Firewall, al pulsar en el botón Wordfence modificara el fichero .htaccess (tener en cuenta permisos de escritura 644) para agregar una configuración y creara en la carpeta raíz un fichero para su ejecución. Firewall Status tiene tres modalidades:  Enabled and Protecting  Learning Mode  Disabled Por defecto está habilitado la opción Learning Mode, el propio plugin te aconseja dejar habilitada esta opción durante una semana antes de aplicar el modo Enabled and Protecting. Wordfence tiene una opción Premium en este apartado que consiste en la actualización continua de las reglas de Firewall almacenadas en sus servidores. La opción Free actualiza cada 30 días las reglas. Más información: https://docs.wordfence.com/en/WAF
  10. 10. 8 Wordfence Security by @jjpeleato 2 de junio de 2016 3.3 Live traffic (Tráfico en línea) https://docs.wordfence.com/en/Live_traffic#Logins_and_Logouts SECCIÓN IMPORTANTE. Desde este apartado tienes la opción de visualizar toda la actividad que se produce en la web categorizada por “Human”, “Bot”, “Warning” y “Blocked”. Se trata de información relevante que te va a permitir tomar decisiones encaminadas a la mejora de seguridad del sitio. Wordfence permite visualizar la información aplicando un filtro desde el menú de opciones Filter traffic. 1. All hits: Registro de todo el tráfico ordenado por fecha descendente. 2. Human: Registro del tráfico que obedece a un comportamiento humano (No robots o arañas). Esta opción también tiene su función para el análisis y mejora de CRO (Conversion Rate Optimization).
  11. 11. 9 Wordfence Security by @jjpeleato 2 de junio de 2016 3. Registered Users: Registro del tráfico que realizan usuarios registrados. Esta opción también tiene su función para el análisis y mejora de CRO (Conversion Rate Optimization). 4. Crawlers (Arañas): Robots que visitan la web con motivo de indexarla (Yahoo, Bing, etc). Tambien existen arañas maliciosas. 5. Google Crawlers: Robots de Google que visitan la web para indexación. 6. Pages Not Found: Registro de páginas no encontradas. Muy útil para detectar IPs atacantes. 7. Logins and Logout: Registro de acceso o cierre de sesión a tu sitio web. Muy útil para detectar IPs atacantes y si es necesario cambiar contraseñas. 8. Locked Out: - 9. Blocked: Bloqueado de forma automática por Wordfence por seguridad de red. 10.Bloqued By Firewall: Bloqueados por cortafuegos. Desde la imagen podemos ver que con el filtro Blocked nos muestra una serie de resultados, por ejemplo, que hace 3 horas y 26 minutos desde Rusia con un Windows NT ha habido un intento de login y se ha bloqueado de forma automática por seguridad.
  12. 12. 10 Wordfence Security by @jjpeleato 2 de junio de 2016 Realizando un análisis exhaustivo de todo el tráfico que la web recibe se puede llegar a la toma de decisiones para mejorar la seguridad y bloquear IPs, rango de IPs, servidores, países, etc. La interpretación de la información de esta sección puede dar pistas para tomar acciones en beneficio de tu seguridad. 3.3 Performance Setup Wordfence incorpora un sistema de cache. Una funcionalidad que puede evitarte el uso de otros plugins de cacheo. Dispones de tres opciones, en la cual destaca la modalidad Falcon Engine, que puede llegar a potenciar con un incremento entre 30 y 50 veces la actual velocidad de carga del sitio web. MUY IMPORTANTE: Habilitar la opción de cache Wordfence realiza cambios en el fichero .htaccess, si nuestro fichero está bloqueado con permisos de solo lectura (444) necesitaremos cambiarlos a escritura y lectura (644) y después activar el sistema de caches. La activación del sistema de caches realiza una compresión GZIP, esto significa que se enviaran al navegador nuestros archivos comprimidos y el propio cliente se encargara de descomprimir y visualizar. Actualmente uno de los mejores métodos de optimización en velocidad. NOTA: Habilitar la opción de cache desactiva el uso de Live Traffic debido a razones de rendimiento. Mi consejo es mantener esta opción desactivada y apostar por otros plugins de cache, como por ejemplo, W3 Total Cache.
  13. 13. 11 Wordfence Security by @jjpeleato 2 de junio de 2016 3.5 Bloqued IPs (IPs bloqueadas) Herramienta que resume las distintas direcciones IP que han sido bloqueadas por razones sospechosas en base a la configuración del plugin. IPs that are blocked from accessing the site (IPs que están bloqueadas para acceder al sitio). Muestra las IPs que no pueden visitar la página web. En el caso de que una de estas IPs llegue a tu web se mostrara un mensaje de aviso de que su petición no es bienvenida. IPs that are Locked Out from Login (IPs que están bloqueadas a partir de Login). IPs que han sido bloqueadas para realizar login en el sitio web y para no poder emplear el mecanismo de recuperación de contraseñas de WordPress. IPs who were recently throttled for accessing the site too frequently (IPs que recientemente aplicaron throttled para acceder al sitio con demasiada frecuencia). IPs que intentan romper una de las reglas del motor de Wordfence o que realizan demasiadas peticiones recurrentes en muy poco tiempo.
  14. 14. 12 Wordfence Security by @jjpeleato 2 de junio de 2016 3.6 Password Audit Característica de pago. Realiza una auditoria de contraseñas a los usuarios según la opción seleccionada. Comprobación que tiene como función evitar que sus cuentas no sean vulnerables a ataques de fuerza bruta. Puede analizar las contraseñas de administradores, editores o todos los usuarios. Las contraseñas en WordPress se almacenan con el método de encriptación MD5 (Encriptación One-to-way). El proceso de comprobación de contraseñas consiste en la comparación de las contraseñas encriptadas almacenadas en nuestra base de datos contra un servidor utilizado como diccionario. Por ejemplo, para los usuarios con rol administrador, se comprueban 38.000 contraseñas comunes y fáciles de adivinar, 450.000 palabras en inglés y 22 millones de palabras en inglés personalizadas. Para los usuarios con un rol de usuario realiza una comprobación menos exhaustiva con 10.000 contraseñas comunes y fáciles de adivinar, más 450.000 palabras en inglés y 22 millones de palabras en inglés personalizadas. El proceso total trabaja con más de 269 millones de contraseñas. 3.7 Cellphone Sign-in Característica de pago que permite configurar un factor de autenticación empleando el teléfono móvil. Para acceder a la administración del sitio se deberá introducir un código numérico que te llegara a tu móvil. Método de conexión conocido como Two-step verification (Verificación en dos pasos).
  15. 15. 13 Wordfence Security by @jjpeleato 2 de junio de 2016 3.8 Country Blocking (Opciones de bloqueo por país) Característica de pago. Una de las mejores opciones del plugin y por la cual recomiendo el upgrade a la versión Premium. Tiene como función el bloquear por países el acceso a tu web. Emplea una base de datos de geolocalización muy precisa. Tiene un rendimiento de eficacia del 99’5 % para identificar correctamente de que país es la IP visitante. La utilización de esta opción puede solucionar problemas que detectas a través de Live Traffic, como actividad malintencionada desde por ejemplo Rusia y bloquear todo acceso desde ese país. Hay que analizar cuál es el rango de geolocalización de nuestro mercado en Internet, si nuestro cliente es nacional o nosotros somos una empresa local y no trabajamos a nivel internacional, esta opción es una medida muy válida y recomendada. Dentro de sus opciones Wordfence nos facilita que toda IP bloqueada que nos visita mostrar un mensaje de bienvenida o re direccionar según URL.
  16. 16. 14 Wordfence Security by @jjpeleato 2 de junio de 2016 3.9 Scan Schedule (Escaneos programados) Característica de pago. Opción para programar escaneos de tu sitio web frente al escaneo diario y automático que realiza la versión gratuita. 3.10 Whois Lookup (Búsqueda en Whois) Herramienta que permite obtener información sobre una determinada IP o nombre de dominio. Esta opción puede ayudarte a conocer quien esta tratando de atacar tu web. Desde esta opción podemos obtener la información del atacante y notificarlo a la organización o proveedor de IP a través de los datos Registrar Abuse Contact Email o Registrar Abuse Contact Phone.
  17. 17. 15 Wordfence Security by @jjpeleato 2 de junio de 2016 3.11 Advanced Blocking (Bloqueo avanzado) La herramienta de bloqueo avanzada te permite bloquear rango de IPs, direcciones de IP concretas, nombres de hosting, nombre de agentes que concuerden con una cadena de caracteres que especifiques y agregar la razón del bloqueo. A través de un análisis de las herramientas anteriores puedes plantearte hacer uso de este sistema de bloqueos si se detecta algo sospechoso desde Live Traffic 3.12 Options La configuración de opciones del plugin es la base de la lógica, comportamiento y suma de funcionalidades del mismo, la configuración que se realiza en este punto afecta al resto de opciones. https://docs.wordfence.com/en/Wordfence_options 3.12.1 License Después de instalar y activar el plugin, desde la sección de Wordfence -> License se genera una llave que identificara nuestra web en los servidores de Wordfence y verificara si se trata de una cuenta gratuita o Premium.
  18. 18. 16 Wordfence Security by @jjpeleato 2 de junio de 2016 Recomendación: Activar cuenta Premium precio 5 $ aprox. Si compras la versión Premium deberás introducir la licencia en este apartado y se activarían todas las opciones inmediatamente. 3.12.2 Basic Options Las opciones de configuración básica tienen como función activar/desactivar las propias funcionalidades del plugin. Enable Rate Limiting and Advanced Blocking. Habilitado por defecto. Esta opción permite activar o desactivar el límite de velocidad que se utiliza para controlar la velocidad de tráfico enviado y funciones de bloqueo avanzadas. Opciones afectadas:  Contry Blocking (Bloquear según país)  Throttling  IP blocking (Bloquear IP)  Brute force protection (Protección fuerza bruta)  Two factor authentication (Verificación en dos pasos)  Todas las reglas aplicadas en Advanced blocking. Enable login security Habilitado por defecto. Habilitar opciones de seguridad para el sistema de login.
  19. 19. 17 Wordfence Security by @jjpeleato 2 de junio de 2016 Enable Live Traffic View Habilitado por defecto. Habilitar la vista de tráfico en vivo. Nota: Puede ocasionar problemas en servidores o hosting con pocos recursos. Advanced Comment Spam Filter (Premium) Filtro avanzado de comentarios SPAM. Check if this website is being "Spamvertised" (Premium) Realiza un escaneo de nuestra web contra los servicios de anti-spam para verificar que el nombre del dominio no está en sus listas. Check if this website IP is generating spam (Premium) Verificar con los servicios de SPAM si la IP de mi web consta como IP desde la que se está haciendo SPAM. Enable automatic scheduled scans Habilitado por defecto. Habilitar escáner automático y diario. Update Wordfence automatically when a new version is released? Opción desmarcada por defecto. Opción de auto actualización del plugin con nueva versión disponible. Recomendación: Dejar la opción desactivada y realizar la actualización de forma manual previa copia de seguridad. Where to email alerts Correos electrónicos donde llegaran los avisos. Se pueden incluir varios separados por comas. Security Level Opción que permite auto configurar todas las opciones del plugin en base a 5 niveles en función del grado de protección que se quiere implementar.  Level 0: Disable all Wordfence security measures. Desactiva todas las medidas de seguridad (Desactiva el plugin). Opción para el caso de existir algún problema de incompatibilidad que pienses que pueda estar causado por alguna funcionalidad de este plugin.
  20. 20. 18 Wordfence Security by @jjpeleato 2 de junio de 2016  Level 1: Light protection. Just the basics. Protección suave. Configuración básica.  Level 2: Medium protection. Suitable for most sites. Protección media. Apropiado para la mayoría de los sitios. Al instalar el plugin opción habilitada por defecto.  Level 3: High security. Use this when an attack is imminent. Alta seguridad. Emplea esta opción cuando un ataque sea inminente. Al aplicar esta opción existe un cambio en las reglas del firewall y en las opciones de seguridad.  Level 4: Lockdown. Protect the site against an attack in progress at the cost of inconveniencing some users. Bloquear. Protege el sitio contra un ataque en curso a costa de los problemas que puedes causar a algunos usuarios de tu sitio web.  Custom settings. Ajustes personalizados. How does Wordfence get IPs Opción que determina el mecanismo que emplea Wordfence para recopilar las direcciones IPs que te visitan. Dejar la opción por defecto y no modificar. 3.12.3 Advanced Options Las opciones avanzadas nos ofrecen la opción de mejorar el comportamiento del plugin y ser más precisos en su configuración. 3.12.3.1 Alerts Las alertar son opciones de configuración que te permitirán estar informado por email sobre lo que sucede en tu web. Cualquier comportamiento que sea motivo de aviso genera un email a las cuentas de correo que se ha configurado en Where to email alerts. Email me when Wordfence is automatically updated Notificación cuando Wordfence se actualiza de forma automática.
  21. 21. 19 Wordfence Security by @jjpeleato 2 de junio de 2016 Alert on critical problems Activado por defecto. Recibir notificaciones al detectar problemas críticos que requieren de una solución. Alert on warnings Activado por defecto. Recibir notificaciones al detectar problemas que requieren de una atención. Alert when an IP address is blocked Activado por defecto. Recibir notificaciones cuando se bloquea una IP. Alert when someone is locked out from login Activado por defecto. Recibir notificaciones cuando alguien es bloqueado por intentar autenticarse. Alert when the “lost password” form is used for a valid user Activado por defecto. Recibir notificaciones cuando un usuario de nuestra web intenta recuperar contraseña. Alert me when someone with administrator Access signs in Activado por defecto. Recibir notificaciones cuando algún usuario con nivel administrador inicia sesión. Alert me when a non-admin user signs in Desactivado por defecto. No activar. Recibir notificaciones cuando cualquier usuario que no sea administrador inicia sesión. 3.12.3.2 Email Summary Esta característica te permite habilitar un resumen de la actividad de correo electrónico. Recibes un email que incluye los países más bloqueados, IPs mas bloqueadas, top fallos login y ficheros modificados del sistema.
  22. 22. 20 Wordfence Security by @jjpeleato 2 de junio de 2016 Puedes elegir cada cuando tiempo quieres recibir los mensajes y que directorios quieres excluir por que cambian de archivos a menudo. Tiene la opción de activar o desactivar un Widget en el panel de escritorio que contiene la misma información que se recibe por correo. 3.12.3.3 Live Traffic View Opción que ofrece la posibilidad de decirle al plugin que no tenga en cuenta ciertos usuarios, IPs o user-agent que por las razones que creas oportunas no quieres que sean monitorizados. Como por ejemplo, la opción que está habilitada por defecto, de no monitorizar a los usuarios con acceso de publicación. Opción que recomiendo desactivar para verificar que no están intentando conectarse de forma fraudulenta. Don‟t log signed-in users with publishing Access No registrar a usuarios que inicien sesión si su nivel de usuario les permite publicar. (Editor y autor). List of comma separated usernames to ignore Insertar lista de usuarios separados por coma que serán excluidos. Por ejemplo, podemos agregar nuestro usuario y evitar el recibir notificaciones. List of comma separated IP addresses to ignore Ingresar lista de direcciones IPs separados por coma que serán excluidos. Por ejemplo, podemos ingresar nuestra IP y evitar pasar los filtros de Wordfence y ser bloqueados. Browser user-agent to ignore Insertar lista de user-agent de navegador que serán excluidos. Amount of Live Traffic data to store (number of rows) Número de filas visibles Datos del tráfico en tiempo real.
  23. 23. 21 Wordfence Security by @jjpeleato 2 de junio de 2016 3.12.3.4 Scans to include Diferentes tipos de escaneos que realiza el plugin. Según las opciones habilitadas Wordfence realizara un comportamiento determinado desde el menú Scan. Scan public facing site for vulnerabilities? (¿Escanear sitio lado zona pública en busca de vulnerabilidades?).  Recomendación: Desactivar. Opción Wordfence Premium. La opción activa una exploración robusta y externa durante sus exploraciones normales. Realiza una conexión desde un servidor externo y analiza tu sitio web examinando el HTML representado según se produce a través del código PHP que se ha ejecutado. Scan for the HeartBleed vulnerability? (¿Escanear en busca de vulnerabilidades HeartBleed?).  Recomendación: Activar. HeartBleed consiste en un fallo de seguridad (bug) del popular software libre OpenSSL Cryptography Library. Una herramienta de administración y bibliotecas relacionadas con criptografía, que suministran funciones a otros paquetes como OpenSSH y navegadores web para acceso seguro a sitios HTTPS. La vulnerabilidad permite aún atacante leer la memoria del servidor o cliente, permitiéndole por ejemplo, conseguir las claves privadas SSL de un servidor. Y suplantar la navegación HTTPS. Wordfence comprueba la integridad de la instalación del sitio web SSL y avisa si existe alguna vulnerabilidad.
  24. 24. 22 Wordfence Security by @jjpeleato 2 de junio de 2016 Activar opción si dispones de un servidor/hosting configurado con el protocolo de navegación HTTPS. Scan for publically accessible configuration, backup, or log files. (Escanear configuración de acceso público, copias de seguridad y archivos de registro).  Recomendación: Activar. Escanea y comprueba los archivos de configuración que se pueden acceder de forma remota, como por ejemplo la antigua configuración de WordPress de un archivo wp-config.old. Impidiendo el acceso a estos archivos para mantener la contraseña de la base de datos u otra información importante segura. Scan core files against repository versions for changes. (Escanear cambios de los archivos del núcleo contra el repositorio de versiones).  Recomendación: Activar.  Muy importante. Esta exploración comprueba si los archivos del núcleo coinciden con los que existen en el repositorio oficial de WordPress según versión. Si los archivos han cambiado es probable que el sitio haya sido infectado por un malware y Wordfence te muestra los cambios producidos. Scan theme files against repository versions for changes. (Escanear cambios de los archivos del theme contra el repositorio).  Recomendación: Activar/Desactivar. Comprobación de cualquier tema instalado en su sitio con los que están en el repositorio oficial de WordPress. Detecta automáticamente la versión que se está ejecutando y realiza la comparación correcta. Se aplica a todos los temas instalados. Esta exploración no se aplica con los temas de pago o temas que no están en el repositorio oficial. Realiza una comprobación exhaustiva de si existen puertas traseras, malware, URLs maliciosas, pero no puede comparar código. Tener en cuenta que la mayoría de los temas son modificados y personalizados, la activación de esta opción va a producir posibles detecciones erróneas y deberás comprobar si son realizadas de forma intencionada o se trata de una modificación por un ataque.
  25. 25. 23 Wordfence Security by @jjpeleato 2 de junio de 2016 Scan plugin files against repository versions for changes. (Escanear cambios de los archivos de los plugins contra los repositorios).  Recomendación: Activar/Desactivar. Comprobación de cualquier plugin instalado en tu sitio con los que están en el repositorio oficial de WordPress. Detecta automáticamente la versión que se está ejecutando y realiza la comparación correcta. Se aplica a todos los plugins instalados. La mayoría de los plugins no se modifican y Wordfence puede realizar una excelente verificación contra el repositorio oficial. Tener en cuenta, que algunos desarrolladores no siguen las directrices oficiales que ofrece WordPress y modifican algunos plugins o desarrollan un plugin a medida. En este caso, se realiza un aviso y se debe detectar de forma manual si existe una modificación en código intencionada o por un ataque. Scan for signatures of known malicious files. (Escanear firmas conocidas de archivos maliciosos).  Recomendación: Activar. Realiza una exploración en los archivos y compara los valores hash con una gran base de datos de archivos maliciosos conocidos y que mantiene la compañía desarrolladora del plugin actualizada permanentemente. Scan file contents for backdoors, trojans and suspicious code. (Escanear el contenido de los archivos por puertas traseras, troyanos y código sospechoso).  Recomendación: Activar. Escaneo altamente recomendado de mantener activado debido a que Wordfence mantiene una lista actualizada permanentemente de patrones en código que coinciden en los archivos maliciosos. De esta forma, detecta si los archivos del core, theme o plugins están corrompidos. Uno de los patrones que se busca es una técnica muy utilizada por los crackers para ocultar código malicioso en código, conocida como codificación en base64. Scan posts for known dangerous URLs and suspicious content. (Escanear post por contenido de URL‟s peligrosas y contenido sospechoso.)  Recomendación: Activar. Exploración de todo el sitio web accediendo a la base de datos y comprobación de URLs peligrosas que están relacionadas con phising o hosting malware. Altamente recomendado para no aparecer en blacklisted de Google.
  26. 26. 24 Wordfence Security by @jjpeleato 2 de junio de 2016 Scan comments for known dangerous URLs and suspicious content. (Escanear comments por contenido de URL‟s peligrosas y contenido sospechoso).  Recomendación: Activar. Exploración de todos los comentarios accediendo a la base de datos y comprobación de URLs peligrosas y otros patrones que indican una infección. Altamente recomendado para no aparecer en blacklisted de Google. Scan for out of date plugins, themes and WordPress versions. (Escanear plugins, themes y Wordpress en busca de versiones no actualizadas)  Recomendación: Desactivar. Avisos por correo electrónico de nuevas actualizaciones. Escanea las fechas de la última publicación de los plugins, themes o versiones de Wordpress del repositorio oficial y comprueba contra las del sitio. Scan for admin users created outside of WordPress. (Escanear usuarios administradores creados fuera de Wordpress)  Recomendación: Activar. Escanear usuarios nivel administrador creados por un método alternativo, como por ejemplo a través de un plugin vulnerable. Check the strength of passwords. (Comprobar la fortaleza de las contraseñas).  Recomendación: Activar. Verificación de contraseñas seguras para los usuarios y administradores. Comprueba que los usuarios no tengan almacenadas contraseñas comunes. Monitor disk space. (Monitorizar espacio en disco).  Recomendación: Activar. Comprobación del espacio del servidor y aviso si se está a punto de quedarse sin espacio. Scan for unauthorized DNS changes. (Escanear cambios de DNS no autorizados).  Recomendación: Activar. Comprobación de DNS si existe un cambio en la IP. Wordfence realiza esta comprobación debido a que existe la posibilidad de que un cracker acceda a su
  27. 27. 25 Wordfence Security by @jjpeleato 2 de junio de 2016 sistema de administración de DNS, por ejemplo, pirateando su cuenta de GoDaddy y podría introducir su sitio web en su propia dirección IP y suplantar el sitio. Scan files outside your WordPress installation. (Escanear archivos externos de la instalación de WordPress).  Recomendación: Activar (Siempre). Una de las opciones más potentes. Tiene como función incluir todos los archivos fuera de la instalación de WordPress. Una exploración por defecto en Wordfence realiza las búsquedas en los siguientes directorios: 1. /wp-admin 2. /wp-content 3. /wp-includes 4. Todos los directorios de las carpetas anteriores 5. Todos los archivos de los directorios anteriores. Con la opción habilitada se realiza una comprobación de todos los directorios que se encuentran dentro del proyecto, aunque no sean parte de WordPress. Por ejemplo, subdominios con instalación de otros CMS o páginas HTML estáticas. Scan images and binary files as if they were executable. (Escanear imágenes y archivos binarios como si fueran ejecutables).  Recomendación: Activar. Escanear código malicioso oculto en el interior de archivos, por ejemplo con extensión de imagen, etc que ocultan scripts de ejecución. Enable HIGH SENSITIVITY scanning. May give false positives. (Activar el análisis de alta sensibilidad. Puede dar falsos positivos).  Recomendación: Desactivar. Permitir análisis exhaustivo, realiza una comprobación total de los diferentes tipos de archivos, como registros, copias de seguridad, etc, que normalmente se ignoran. Generan falsos positivos que se deben analizar si los ataques persisten en el tiempo. Habilitar solo en el caso de no disponer de más opciones.
  28. 28. 26 Wordfence Security by @jjpeleato 2 de junio de 2016 3.12.3.5 Rate Limiting Rules. Configuración del módulo Firewall que incluye Wordfence. Los cortafuegos funcionan a través de reglas según el tráfico que llega a nuestra web y si no cumplen con las normas se toma una acción. Wordfence dispone de dos acciones throttle it (Acción menos agresiva, bloquea por rango, se activa si se supera determinado rango establecido y se limita la conexión) y block it (Acción que directamente bloquea al usuario cuyo tráfico ha saltado la regla del firewall). Immediately block fake Google crawlers Activar opción. Bloquea el tráfico que intenta acceder a nuestra web suplantando ser el bot de Google rastreando nuestra web. How should we treat Google‟s crawlers Como tratar a los rastreadores de Google. Seleccionar: Verified Google crawlers have unlimited Access to this site. If anyone‟s request exceed Cualquier petición excede la regla. Seleccionar: 4 per minute (1 every 15 seconds) then throttle it. If a crawler‟s page views exceed Si las arañas exceden la regla de páginas vistas. Seleccionar: 240 per minute (4 per second) then throttle it. If a crawler‟s pages not found (404s) exceed Si las arañas exceden la regla de paginas 404. Seleccionar: 15 per minute (1 every 4 seconds) then block it.
  29. 29. 27 Wordfence Security by @jjpeleato 2 de junio de 2016 If a human‟s page views exceed Si un humano excede la regla de páginas vistas. Seleccionar: 10 per minute (1 every 6 seconds) then throttle it. If a human‟s pages not found (404s) exceed Si un humano excede la regla de páginas 404. Seleccionar: 30 per minute (1 every 2 seconds) then block it. If 404s for known vulnerable URLs exceed Si se excede de vulnerabilidades 404 conocidas. Seleccionar: 15 per minute (1 every 4 seconds) then block it. How long is an IP address blocked when it breaks a rule Tiempo de bloqueo de una dirección IP cuando rompe una regla. Seleccionar: 30 minutes. 3.12.3.6 Login Security Options. Configuración de las opciones de seguridad para acceder al sitio web, podemos limitar los intentos de acceso a aquellos que están realizando un ataque. También podemos forzar a que todos los usuarios de nuestro blog o web empleen contraseñas fuertes. Podemos determinar el tiempo de bloqueo. Además dispone de unas casillas para otras tareas de seguridad como prevenir que se pueda ver los nombre de usuarios si se hace un búsqueda “?/autor=N” en la URL, evitar que WordPress muestre usuarios válidos al realizar intentos de acceso fallidos, etc.
  30. 30. 28 Wordfence Security by @jjpeleato 2 de junio de 2016 Enforce strong passwords? Forzar el uso de contraseñas fuertes. Seleccionar: Force admins and publishers to use strong passwords Lock out after how many login failures Bloquear después de “x” fallos de login. Seleccionar: 3 Lock out after how many forgot password attempts Bloquear después de “x” intentos de recuperación de contraseña. Seleccionar: 2 Count failures over what time period Contador de fallos durante un periodo de tiempo. Seleccionar: 5 minutes Amount of time a user is locked out Cantidad de tiempo que un usuario está bloqueado. Seleccionar: 10 minutes Immediately lock out invalid usernames Bloquear inmediatamente los nombres de usuarios inválidos. Seleccionar: Desactivar. Don‟t let WordPress reveal valid users in logins errors No dejar a WordPress revelar los usuarios validos en los inicios de sesión. Seleccionar: Activar. Prevent user registering „admin‟ usernmae if it doen‟s exist Prevenir a los usuarios que se intentan registrar con el usuario admin. Seleccionar: Activar. Prevent discovery of usernames through „/?author=N‟ scans Evitar descubrir nombres de usuario a través de URL. Seleccionar: Activar.
  31. 31. 29 Wordfence Security by @jjpeleato 2 de junio de 2016 Immediately block the IP of users who try to sign in as these usernames. Bloquear automáticamente a todos los que se intentar conectar con el nombre de usuario indicado y separado por salto de línea. Por ejemplo, podemos bloquear a los usuarios que se intentar conectar por:  admin  administrador  Nombre del dominio 3.12.3.7 Other Options. Otras opciones (también preconfiguradas) para mejorar la seguridad de nuestro sitio web. Whitelisted IP addresses that bypass all rules Añadir nuestra IP para evitar que Wordfence bloquee nuestro ordenador. Immediately block IP's that access these URLs Bloquear a quienes traten de acceder directamente a determinadas áreas de nuestra web. Whitelisted 404 URLs Lista blanca que no se contaran en las reglas del firewall. Hide WordPress versión Ocultar la versión de WordPress. Meta etiqueta “generator” que por defecto aparece en la cabecera.
  32. 32. 30 Wordfence Security by @jjpeleato 2 de junio de 2016 Block IP's who send POST requests with blank User-Agent and Referer Bloquear scripts que intenten iniciar sesión o enviar comentarios de SPAM. Hold anonymous comments using member emails for moderation Wordfence detecta que alguien anónimo usa el email de un usuario para publicar un comentario y lo pondrá en revisión. Filter comments for malware and phishing URL's Filtros de comentarios a través de la lista Google Safe Browsing que alerta a los usuarios sobre alguna web que no es segura para navegar. Check password strength on profile update Comprobar la fuerza de una contraseña cuando un usuario actualiza su perfil. El usuario recibirá una notificación de que su contraseña es débil. Participate in the Real-Time WordPress Security Network Si se habilita esta opción estaremos compartiendo información sobre intentos de vulnerar nuestra web de forma anónima con Wordfence. Al ser una comunicación en tiempo real, la red de Wordfence mantendrá una lista de IPs y regiones donde se están produciendo ataques y enviara esta lista a las web que estén participando. How much memory should Wordfence request when scanning Memoria de uso que utilizara Wordfence para realizar un escáner. Esta opción depende del servidor. Recomendación dejar el valor por defecto. Maximum execution time for each scan stage Tiempo máximo de ejecución por cada etapa del escáner. Recomendación dejar en blanco. Update interval in seconds Intervalo de actualizaciones por segundo. Delete Wordfence tables and data on deactivation? Eliminar tablas creadas por Wordfence en nuestra base de datos. Recomendación de activar esta opción para limpiar registros. Disable Wordfence Cookies Desactivar cookies Wordfence
  33. 33. 31 Wordfence Security by @jjpeleato 2 de junio de 2016 Disable Code Execution for Uploads directory Desactivar la ejecución de código para el directorio uploads. 3.12.3.8 Exporting and Importing Wordfence Settings. Opción para proporcionar de una forma rápida el exportar e importar configuraciones personalizadas entre diferentes sitios web. Las configuraciones se exportan a los servidores de Wordfence de forma segura y se almacenan allí y solo son accesibles a través de un secret token que se obtiene al exportar la configuración. 3.13 Diagnostics La sección de Diagnostico nos muestra toda la información referente a nuestro sistema de archivos, gestor de base de datos, PHP, protocolo de conexión, IP del servidor, versión de WordPress, plugins, ejecución de cron’s y base de datos. Además, nos permite realizar test de verificación, para comprobar el estado de nuestro servidor, opciones para actualizar las reglas del firewall y opciones debugging.
  34. 34. 32 Wordfence Security by @jjpeleato 2 de junio de 2016 4.0 Conclusión En la página oficial de Wordfence existe un mapa de ataques en tiempo real de páginas web con el plugin instalado, a la hora de redactar esta conclusión, existían 17.291 ataques por minuto y solo mostraba el 3% de la actividad. Es importante saber que el núcleo de WordPress es uno de los más seguros en los sistemas de gestión de contenidos, no obstante, esto no significa que no pueda ser vulnerable. Muchos de los grandes problemas vienen a través de los themes y plugins, que no se desarrollan desde un punto de vista de seguridad aunque sean el mejor plugin hablando de funcionalidad. Mi recomendación es instalar siempre un plugin de seguridad, que nos ayude a monitorizar y a la toma de decisiones de forma automática y manual. Wordfence es uno de los mejores plugins de seguridad del repositorio oficial de WordPress en su versión gratuita y el que recomiendo encarecidamente. Su cita: “Wordfence works great out of the box for most websites. Simply install Wordfence and your site and content is protected. For finer granularity of control, we have provided advanced options”. Gracias de antemano y un saludo José J. Peleato Pradel. “Simplemente, instala Wordfence”. @jjpeleato www.jjpeleato.com

×