WordPress- Los mejores plugins de seguridad para proteger tu página

Es probable que en tu WordPress te hayas encontrado con comentarios Spam, usuarios que no conoces y, que el rendimiento del sitio haya bajado considerablemente… y lo que es peor: ¡que hayan hackeado tu página!

Si quieres prevenir este tipo de situaciones, hay diferentes plugins que te ayudarán a mantener segura tu web.

En esta guía, usaremos las versiones gratuitas de algunos de estos plugins, pero puedes comprarlos a sus desarrolladores si quieres tener características más avanzadas.

NOTA: Para cualquier duda o problema que tengas con el funcionamiento o configuración de alguno de estos plugins, refiérete a la documentación del desarrollador para solucionar o aclarar cualquier tema que necesites.

• Akismet
• Really Simple Security
• Loginizer
  • Registros de intentos de inicio de sesión fallidos
  • Ajustes de fuerza bruta
  • Añadir IP a la lista negra
  • Añadir IP a la lista blanca
  • Mensajes de error
  • Notificación de inicio de sesión
• Wordfence
  • Activación
  • Configurar cortafuegos
  • Analizar
  • Herramientas
  • Seguridad de Acceso
• WPS Hide Login
• Anti-Malware Security and Brute-Force Firewall (GOTMLS)

Akismet

Si has instalado WordPress automáticamente con nuestras herramientas desde nuestros Hostings, observarás que uno de los plugins que se incluyen es Akismet. Este plugin utiliza su propia IA para filtrar los mensajes de Spam que pueden llegar a tu sitio web a través de comentarios, formularios y texto, con una precisión del 99,99%.

Para activarlo, solo tienes que ir a Plugins de tu administración de WordPress y clica en Configura tu cuenta de Akismet.

Pero si no lo tienes instalado, no te preocupes: desde Plugins > Añadir plugins de tu WordPress, puedes buscarlo. Clica en Instalar ahora y luego en Activar para empezar a usarlo:

En cualquiera de los casos (tanto si ya lo tenías preinstalado como si lo has instalado manualmente), al clicar en Activar te llevará a esta página. Tienes que clicar en Elige un plan de Akismet.

Te redireccionará a la web de Akismet. Puedes contratar cualquiera de sus planes avanzados, pero nosotros usaremos la opción gratuita desde Get Personal.

Aquí, te dirá que puedes contribuir con 36€ al año (o lo que quieras pagar por él).

Como nosotros vamos a usar la versión gratis, movemos la barra hasta que marque los 0€. También hemos de marcar el uso no comercial que podamos dar a nuestra web. Y clicamos en Continue with personal subscription.

Ahora vamos al Checkout, donde tendremos que indicar nuestra cuenta de correo y código postal, y clicamos en Complete Checkout (veremos que la cesta está a 0€).

Una vez completado, Akismet nos dará una API Key que hemos de copiar.

Ahora, tenemos que volver a la administración de WordPress, e ir a los ajustes de Akismet (la pantalla en la que nos habíamos quedado anteriormente). Aquí, clica en Poner manualmente una clave de API.

Y pegamos lo que habíamos copiado de Akismet y clicamos en Conectar con la clave de la API.

Cuando esté activo, veremos ahí las estadísticas de Spam que Akismet localice (deberás esperar a que el plugin empiece a mostrar datos).

Un poco más abajo, podrás ajustar tus preferencias en Ajustes, que por defecto estarán con unas configuraciones por defecto.

Puedes configurarlas como prefieras, por ejemplo, para que nunca se pueda ver el peor Spam y para mostrar un aviso de privacidad en el formulario. Clica en Guardar los cambios para que se apliquen.

---

Really Simple Security

Este plugin está incluido, por defecto, cuando se instala automáticamente WordPress en cualquiera de nuestros Hostings. Ofrecemos la versión gratuita y lista para comenzar a mantener segura tu web.

Puedes configurarlo desde Plugins y en Plugins instalados, localizando Really Simple Security en el listado y clicando en Ajustes, o bien desde la opción Seguridad en el menú lateral.

Pero si no lo tienes, no te preocupes. Puedes instalarlo desde Plugins y en Añadir plugins, usando el buscador para Really Simple Security. Cuando esté localizado, clica en Instalar plugin; automáticamente, quedará activo.

Entra en los Ajustes del plugin o, directamente, en la opción Seguridad que verás en el menú lateral. Aquí, clica en la pestaña Ajustes en la parte superior.

En General, puedes localizar tu proveedor de Hosting (en este caso, Nominalia) y verificar tu dirección de correo electrónico dentro de la opción Correo electrónico.

En Vulnerabilidades, puedes activar o desactivar el escaneo de tus contenidos de tu WordPress.

En Configuración, puedes recibir notificaciones de Really Simple Security de acuerdo con lo que vaya encontrando y para que puedas tomar medidas.

En Protección (Básico), puedes marcar qué opciones quieres desactivar u ocultar de tu WordPress para mayor seguridad:

En Autenticación en dos pasos, puedes habilitar este tipo de autenticación para el login de WordPress. Puedes activarlo según el rol que desees (por ejemplo, si es solo al administrador, o si quieres para cualquier tipo de usuario como autor, colaborador…).

Para ello, primero tienes que ir marcando los usuarios que quieras en el apartado inferior Usuarios, y luego ir añadiendo los roles tanto en Aplicar autenticación segura para y como en Identificación en dos factores.

Cuando actives la autenticación en dos factores, si entras con tu usuario, verás una advertencia como la de la captura, y en donde tienes que marcar la opción Correo electrónico para recibir en la cuenta asociada al usuario un código de verificación.

Cuando lo hayas recibido, clica en Continuar y luego ingresa el código de verificación recibido. Haz clic otra vez en Continuar para poder entrar a WordPress.

NOTA: Para configuraciones avanzadas u otras opciones como corregir contenido mixto en SSL, Cabeceras de seguridad, más opciones en Vulnerabilidades, limitar accesos, configurar Firewall, etc. deberás hacer el upgrade a sus opciones de pago.

---

Loginizer

Loginizer es un potente plugin que evita los ataques de fuerza bruta que tratan de entrar a la administración tu WordPress. Además, la versión Pro de pago incluye opciones de Doble Autenticación (MFA) y reCaptcha, entre otras. En este manual se activará la versión gratuita para proteger WordPress contra ataques de fuerza bruta.

En tu WordPress, entra en la opción de Plugins y luego a Añadir plugin (en el propio menú o dentro de Plugins instalados).

Luego, en Buscar plugin escribe Loginizer, y cuando esté localizado, clica en Instalar Ahora.

Después, pulsa en Activar.

Verás, en el menú de la izquierda que se ha instalado. Clica en Seguridad de Loginizer para ver sus opciones y configurar lo que necesites.

Verás una página como esta, con un resumen de la actividad detectada.

Para protegernos contra los ataques al login del sitio (wp-login.php) clica en Fuerza bruta a la izquierda, y que está incluida en la versión gratuita del plugin.

Registros de intentos de inicio de sesión fallidos

Aquí, en la parte superior, verás los intentos que ha habido de tratar de acceder a la administración de tu sitio desde Registros de intentos de inicio de sesión fallidos.

Como se ve en la captura de ejemplo, se muestra la IP desde la que han intentado entrar, el usuario que han usado, cuándo, cuántas veces…

Si se clica sobre la IP, podremos ver el origen de la misma, en nuestro ejemplo, una de las IPs es de Estados Unidos:

Como estas IPs no son nuestras, las podemos bloquear seleccionándolas y en No permitir las IPs seleccionadas:

Y se añadirán automáticamente:

Ajustes de fuerza bruta

Puedes configurar el número de intentos, tiempo de bloqueo, duración, si quieres avisos por email cuando traten de acceder… puedes configurarlo como necesites y aplicar los cambios en Guardar los ajustes.

Añadir IP a la lista negra

Podemos añadir las IPs que queramos bloquear, también veremos las que marcamos desde el registro de inicio de sesión fallido:

Añadir IP a la lista blanca

En el caso de que no quieras que una IP sea detectada como sospechosa y evitar bloqueos, también la puedes añadir.

Mensajes de error

Si quieres personalizar los mensajes de advertencia que se muestran en la página de login de WordPress cuando alguien ha tratado de entrar con un dato incorrecto, intentos restantes…

Notificación de inicio de sesión

En caso de que quieras recibir avisos vía e-mail, puedes personalizarlos desde aquí con la información que consideres y un mensaje con el texto que quieras.

NOTA: Si necesitas opciones como Autenticación de dos factores o reCaptcha, debes hacer el upgrade a un plan de pago.

¿Quieres un plugin alternativo? Prueba WP Activity Log.

Wordfence

Es uno de los plugins más populares en cuanto a materia de seguridad. Ofrece soluciones de cortafuegos o acceso 2FA para el login de WordPress en su versión gratuita.

En esta guía, usaremos la versión gratis, pero si quieres más funcionalidades, puedes contratar sus versiones de pago.

Activación

Desde Plugins y en Añadir plugins de tu WordPress, localiza Wordfence Security – Firewall, Malware Scan, and Login Security, y clica en Instalar ahora.

Una vez instalado, clica en Activar.

A continuación, clica en OBTÉN TU LICENCIA DE WORDFENCE.

Te redireccionará a la página de Wordfence. Aquí, tienes que ir a la opción Free y clicar en Get a Free License.

En la ventana emergente, para seguir usando la opción gratis, clica en I’m OK waiting 30 days for protection from new threats.

Ahora, indica tu cuenta de correo, acepta los términos y condiciones, y marca Yes o No si quieres recibir vía email notificaciones de Wordfence relacionadas con la seguridad de tu sitio. Pulsa en Register.

El email se habrá enviado y deberás revisarlo en tu buzón.

Entra en el email de Wordfence que habrás recibido y clica en Install My License Automatically. Revisa que este email no esté en el Spam de tu buzón.

Se redireccionará a la administración de tu WordPress, donde se indicará tu cuenta de correo y la Clave de licencia. Clica en INSTALAR LA LICENCIA.

Una vez instalado, vuelve al escritorio:

Y en tu WordPress verás en el menú de la izquierda la gestión de Wordfence para que puedas comenzar a gestionarlo.

Configurar cortafuegos

Si clicas a la izquierda en Cortafuegos dentro de la gestión de Wordfence, podrás realizar diferentes acciones importantes como:

• Bloquear rastreadores que consumen muchos recursos o que roban contenido.
• Bloquear IPs o rangos de IPs para impedir el acceso desde según qué ubicaciones.

Por defecto, Wordfence ya protege contra ataques de fuerza bruta, pero puedes configurar estas opciones de acuerdo con lo que necesites para una mayor efectividad.

Analizar

Aquí puedes pedir a Wordfence que escanee tu sitio para localizar vulnerabilidades o puntos débiles que haya encontrado. Solo tienes que clicar en INICIAR UNA NUEVA EXPLORACIÓN.

Herramientas

En esta opción puedes ver los intentos de acceso a tu web, por ejemplo, al login de WordPress dentro de Tráfico directo.

Seguridad de Acceso

Te permite configurar la autenticación Doble Factor para entrar a la administración de tu WordPress, otorgando una capa de seguridad evitando accesos no deseados al sitio. Aquí, verás un QR o una clave, además de códigos de recuperación opcionales.

NOTA: Si necesitas más funcionalidades para una protección total sobre tu WordPress, puedes hacer el upgrade a sus versiones de pago.

¿Quieres un plugin alternativo? Puedes probar SolidWP (anteriormente conocido como iThemes Security).

---

WPS Hide Login

Este plugin permite personalizar la URL de acceso a la administración por una propia, en lugar de usar los habituales wp-admin o wp-login.php.

Para instalarlo, ve a Plugins y Añadir plugins para buscar WPS Hide Login. Una vez localizado, clica en Instalar ahora y luego en Activar para configurarlo.

Una vez activo, dentro de Plugins y Plugins instalados, localiza WPS Hide Login y clica en Ajustes.

Por último, en URL de acceso, indica cómo quieres que sea tu página de login a WordPress. Si alguien trata de ir a wp-admin o wp-login.php se redireccionará a una página de error 404.

Un ejemplo de cómo se vería tras la configuración:

Y aquí si tratamos de entrar a wp-admin o wp-login.php, nos mostrará que la página no existe.

---

Anti-Malware Security and Brute-Force Firewall (GOTMLS)

Consiste en un antivirus que escanea tu alojamiento para buscar vulnerabilidades y limpiarlas. Es muy sencillo de utilizar y apenas requiere ajustes adicionales por tu parte. Además, lo recomendamos como plugin complementario a Wordfence.

Para instalarlo, ve a Plugins > Añadir plugins y busca GOTMLS en el buscador. Te aparecerá luego el nombre completo del plugin, clica en Instalar ahora y luego en Activar.

Cuando esté activado, en el menú lateral ve a Plugins > Plugins añadidos. Localiza Anti-Malware Security and Brute-Force Firewall y clica en Ajustes de explorar.

Verás el escritorio por defecto. Para que pueda empezar a escanear y localizar vulnerabilidades, a la derecha del todo dentro de Actualizaciones y registro, verás que no hay ninguna Key. Clica en el botón azul ¡Obtener una clave GRATIS!

Aquí, completa con tu nombre completo y dirección de correo. Pulsa en Register Now!

Te llevará automáticamente a la página del desarrollador que confirma que te has registrado. Además, en tu cuenta de correo con la que te hayas registrado, recibirás las claves de acceso al portal de GOTMLS para mantenerte al tanto de vulnerabilidades u otras noticias.

Vuelve a la administración de tu WordPress y a la gestión de GOTMLS. A la derecha, clica en Check Again.

Clica en ¡Bajar nuevas definiciones! Para que GOTMLS pueda empezar a detectar vulnerabilidades del sitio.

Aparecerá una ventana emergente por si quieres donar al desarrollador y tener más características. Simplemente, clica en Aceptar.

Verás que ya está todo actualizado.

Por último, para ajustar el Firewall de GOTMLS a tus necesidades, en el menú de la izquierda clica en Firewall Options. Algunas características no están habilitadas en la opción gratuita, puedes donar o suscribirte al plugin para tenerlas.

¡Esperamos que esta guía te haya ayudado a volver más seguro tu sitio web!

---