iThemes Security Pro Feature Spotlight - Ajustes de WordPress

En las publicaciones de Feature Spotlight, destacaremos una función en el complemento iThemes Security Pro y compartiremos un poco sobre por qué desarrollamos la función, para quién es la función y cómo usarla.

Hoy vamos a cubrir los ajustes de WordPress, una colección de herramientas para proteger su sitio web de WordPress.

Por qué debería utilizar los ajustes de WordPress

Una de las grandes ventajas de WordPress es su compatibilidad con herramientas y servicios de terceros. Sin embargo, si no está aprovechando estos servicios, tiene puntos de entrada innecesarios en su sitio web que un pirata informático podría explotar.

WordPress también proporciona otras comodidades que permitirían a un atacante amplificar un ataque de fuerza bruta o incluso realizar cambios maliciosos en los archivos almacenados en su servidor.

Debe usar la configuración de iThemes Security Pro WordPress Tweaks porque son un conjunto de herramientas diseñadas específicamente para fortalecer algunos de los puntos débiles potenciales de WordPress.

Cómo utilizar los ajustes de WordPress en iThemes Security Pro

Para comenzar a usar WordPress Tweaks, haga clic en el enlace Avanzado en el Menú de seguridad.

Una vez que esté en el menú Avanzado. haga clic en la pestaña Ajustes de WordPress .

La configuración de ajustes de WordPress

Los ajustes de WordPress se dividen en 2 secciones, acceso a la API y usuarios. Echemos un vistazo más de cerca a estas configuraciones.

Acceso API

1. XML-RPC

La configuración del editor de archivos Disable: deshabilita el editor de archivos de WordPress para plugins y temas. Deshabilitar el editor de archivos de WordPress agrega una gran cantidad de seguridad a su sitio web.

Si un pirata informático puede ingresar con éxito en su sitio web, el editor de archivos WP le permitirá realizar cambios maliciosos en los archivos almacenados en su servidor. Sin embargo, si deshabilita el editor de archivos WP, el pirata informático aún necesitará las credenciales del servidor para realizar cambios maliciosos en sus complementos y temas.

La función XML-RPC de WordPress permite que los servicios externos accedan y modifiquen el contenido del sitio. Por ejemplo, Jetpack requiere XML-RPC para conectarse a los sitios web de WordPress y modificar el contenido.

La configuración XML-RPC en iThemes Security Pro tiene 3 opciones:

• Deshabilitar XML-RPC : XML-RPC está deshabilitado en el sitio. Esta configuración es muy recomendable si no se utilizan Jetpack, la aplicación móvil de WordPress, pingbacks y otros servicios que utilizan XML-RPC.
• Deshabilitar pingbacks: solo deshabilite los pingbacks. Otras características de XML-RPC funcionarán con normalidad. Seleccione esta configuración si necesita funciones como Jetpack o la aplicación móvil de WordPress.
• Habilitar XML-RPC : XML-RPC está completamente habilitado y funcionará con normalidad. Utilice esta configuración solo si el sitio debe tener un uso ilimitado de XML-RPC.

Recomendamos utilizar la opción Desactivar XML-RPC si no utiliza ningún servicio que utilice XML-RPC.

2. Múltiples intentos de autenticación por solicitud XML-RPC

Hay otras formas de iniciar sesión en WordPress además de usar un formulario de inicio de sesión. Con XML-RPC, un atacante puede realizar cientos de intentos de nombre de usuario y contraseña en una sola solicitud HTTP.

El método de amplificación de fuerza bruta permite a los atacantes realizar miles de intentos de nombre de usuario y contraseña utilizando XML-RPC en solo unas pocas solicitudes HTTP.

La configuración de Intentos de autenticación múltiples por solicitud XML-RPC en iThemes Security Pro tiene dos opciones:

• Bloquear : bloquea las solicitudes XML-RPC que contienen varios intentos de inicio de sesión. Esta configuración es muy recomendable.
• Permitir : permite solicitudes XML-RPC que contienen varios intentos de inicio de sesión. Utilice esta configuración solo si un servicio lo requiere.

El uso de múltiples intentos de autenticación por la opción Bloque de solicitud XML-RPC evitará múltiples intentos de autenticación por solicitud XML-RPC. Limitar el número de intentos de nombre de usuario y contraseña a uno por cada solicitud contribuirá en gran medida a asegurar su inicio de sesión de WordPress.

3. API REST

La API REST de WordPress es parte de WordPress y proporciona a los desarrolladores nuevas formas de administrar WordPress.

De forma predeterminada, la API REST se puede utilizar para acceder a información que podría creer que es privada en su sitio, que incluye:

• Publicaciones publicadas de todo tipo de publicaciones, incluidas aquellas que no parecen publicaciones, como productos o programas para miembros.
• Detalles del usuario que pueden incluir usuarios que no tienen publicaciones o páginas publicadas.
• Entradas de la biblioteca de medios que pueden exponer enlaces para descargar medios que no están vinculados públicamente en ninguna parte. Esto podría incluir enlaces para descargar contenido solo para miembros, copias de seguridad creadas por algunos complementos o cualquier otro tipo de archivo agregado a la biblioteca de medios. (Tenga en cuenta que las copias de seguridad de BackupBuddy no se almacenan en la biblioteca de medios y no se puede acceder a ellas a través de la API REST).

La configuración de la API REST en iThemes Security Pro tiene dos opciones:

• Acceso restringido : restrinja el acceso a la mayoría de los datos de la API REST. Esto significa que la mayoría de las solicitudes requerirán un usuario que haya iniciado sesión o un usuario con privilegios específicos, bloqueando las solicitudes públicas de datos potencialmente privados. Recomendamos seleccionar esta opción.
• Acceso predeterminado : el acceso a los datos de la API REST se deja como predeterminado. La información, incluidas las publicaciones publicadas, los detalles del usuario y las entradas de la biblioteca de medios, está disponible para el acceso público.

Recomendamos utilizar la opción Acceso restringido para limitar el acceso a información privada.

Usuarios

1. Deshabilitar el editor de archivos

La configuración del editor de archivos Disable: deshabilita el editor de archivos de WordPress para plugins y temas. Deshabilitar el editor de archivos de WordPress agrega una gran cantidad de seguridad a su sitio web.

Si un pirata informático puede ingresar con éxito en su sitio web, el editor de archivos WP le permitirá realizar cambios maliciosos en los archivos almacenados en su servidor. Sin embargo, si deshabilita el editor de archivos WP, el pirata informático aún necesitará las credenciales del servidor para realizar cambios maliciosos en sus complementos y temas.

2. Forzar apodo único

La configuración Forzar apodo único obliga a los usuarios a elegir un apodo único al actualizar su perfil o crear una nueva cuenta. El uso de un apodo único evita que los bots y los atacantes recopilen fácilmente los nombres de usuario de inicio de sesión de los usuarios del código en las páginas del autor. Tenga en cuenta que esto no actualiza automáticamente a los usuarios existentes, ya que afectará a las URL del feed del autor si se utilizan.

Obligar a los usuarios a usar un apodo único es otro ejemplo de seguridad a través de la oscuridad. Sería mejor que habilitara los requisitos de contraseña de iThemes Security Pro y las funciones de autenticación de dos factores para asegurar su inicio de sesión de WordPress.

3. Deshabilitar archivos de usuario adicionales

La configuración Deshabilitar archivos de usuarios adicionales en iThemes Security Pro dificulta que los bots determinen los nombres de usuario al deshabilitar los archivos de publicaciones para los usuarios que no publican en su sitio.

Deshabilitar la página de autor de un usuario si su número de publicaciones es 0 es otro ejemplo de seguridad a través de la oscuridad. Sería mejor habilitar los requisitos de contraseña de iThemes Security Pro y las funciones de autenticación de dos factores para asegurar su inicio de sesión de WordPress.

4. Inicie sesión con dirección de correo electrónico o nombre de usuario

De forma predeterminada, WordPress permite a los usuarios iniciar sesión utilizando una dirección de correo electrónico o un nombre de usuario. La configuración Iniciar sesión con dirección de correo electrónico o nombre de usuario le permite restringir los inicios de sesión para aceptar solo direcciones de correo electrónico o nombres de usuario.

La configuración de Inicio de sesión con dirección de correo electrónico o nombre de usuario en iThemes Security Pro tiene tres opciones:

• Dirección de correo electrónico y nombre de usuario (predeterminado) : permite a los usuarios iniciar sesión con la dirección de correo electrónico o el nombre de usuario de su usuario. Este es el comportamiento predeterminado de WordPress.
• Solo dirección de correo electrónico : los usuarios solo pueden iniciar sesión con la dirección de correo electrónico de su usuario. Esto deshabilita el inicio de sesión con un nombre de usuario.
• Solo nombre de usuario : los usuarios solo pueden iniciar sesión con su nombre de usuario. Esto deshabilita el inicio de sesión con una dirección de correo electrónico.

Limitar los inicios de sesión a direcciones de correo electrónico puede agregar un poco de protección contra un ataque de fuerza bruta. Si bien un bot puede rastrear la página del autor en busca de nombres de usuario, es menos probable que rastree un sitio web para las direcciones de correo electrónico de los usuarios.

Pero, de nuevo, sería mejor que habilitara los requisitos de contraseña de iThemes Security Pro y las funciones de autenticación de dos factores para proteger su inicio de sesión de WordPress.

Conclusión: ajustes de WordPress para fortalecer la seguridad de WordPress

Los ajustes de WordPress en iThemes Security Pro fueron diseñados específicamente para fortalecer la seguridad de su sitio web de WordPress. Con el complemento iThemes Security Pro, también puede agregar estas capas adicionales de seguridad a su sitio web, que incluyen:

• Autenticación de dos factores
• Inicios de sesión sin contraseña
• Detección de cambio de archivo
• Protección local de fuerza bruta

Michael Moore

Cada semana, Michael elabora el Informe de vulnerabilidad de WordPress para ayudar a mantener sus sitios seguros. Como Product Manager en iThemes, nos ayuda a seguir mejorando la línea de productos de iThemes. Es un nerd gigante y le encanta aprender sobre tecnología, tanto antigua como nueva. Puede encontrar a Michael pasando el rato con su esposa e hija, leyendo o escuchando música cuando no está trabajando.