RadioWordPress #22: Plugins interesantes para la seguridad

Hoy os traigo unos plugins de seguridad, que no se diga que soy un antiplugins, nada más lejos de la realidad.

Los plugins miradlos con cariño y no instaléis todos por instalar, mirad lo que hacen e instalar sólo si veis que os aportan y que os dan la confianza que vosotros queréis.

Si escucháis un poco raro el audio es porque he cambiado la forma de grabarlo para probar a ver qué tal queda, lo he grabado directamente con una mesa de mezclas y de un tirón, no está editado, después de oírlo no estoy totalmente convencido, pero bueno, ya me diréis qué os parece.

Plugins:

Transcripción

Hola a todos, esto es RadioWordpress, es el capítulo 22, mi nombre es Eduardo y este audio podéis encontrarlo en eduardocollado.com.

El lunes os contaba que había que ir con cuidado con los plugins ya que a veces tienen un coste, bueno, no quiero se entienda que estoy totalmente en contra de los plugins o que tengo algún tipo de fobia a los plugins, es como todo, tenemos que saber qué estamos haciendo.

Hoy os traigo una colección de plugins que funcionan bien para casos concretos, en el caso de hoy están enfocados a la seguridad de vuestros WordPress, pero es como todo, tenéis que ver qué os aportan y si realmente os interesan.

El primero es el Akismet, en mi caso he tenido que volver a usarlo porque Disqus dejó de funcionar, parece ser que por un problema de compatibilidad con el plugin de cache que uso, así que mientras solucionan ese tema he vuelto a activar los comentarios normales de WordPress con el plugin de Akismet.

Akismet es un antispam para los comentarios escrito por la misma gente que hace WordPress, funciona bastante bien y aún sin ser mi opción favorita funciona bastante bien, este sería el primer plugin de seguridad porque creo que lo podemos englobar en esa categoría y como ya hemos hablado de él creo que no es necesario que nos explayemos más en él.

BBQ, ojo, no tiene nada que ver con una barbacoa, realmente se llama BBQ: Block Bad Queries. La versión gratuita no requiere ningún tipo de configuración, no hay que hacer nada, se instala y funciona, así de fácil.

Este plugin se encarga bloquear peticiones malas, entendiendo como malas aquellas que tengan base64_, eval(, .exec( y cosas así. Se trata de una protección bastante interesante para nuestras webs, pensad que un porcentaje enorme de las infecciones de WordPress viene dado precisamente por este tipo de cosas y bloquear esas peticiones puede ser buena idea.

El plugin es bastante ligerito para lo que hace y ahí lo tenéis para probarlo.

Para evitar ataques de fuerza bruta contra el login de WordPress tenéis varios plugins, pero el wp-fail2ban, este plugin lo que hace es escribir en el syslog del servidor los intentos de login desautorizados y es el propio servidor el que introduce esa dirección IP en el firewall del servidor.

Para que wp-fail2ban os funcione tenéis que tener un servidor que soporte esta funcionalidad, si no lo tenéis poneros en contacto conmigo y ya vermos qué podemos hacer para que os vengáis a Neodigit que eso está integrado y además tenéis muchas más cosas para que al menos os penséis el migrar.

Y si además queréis una doble autenticación siempre podéis usar el Google Authenticator para utilizar la autenticación extra Google, con su aplicación, ya sabéis como funciona, esto último de todos modos a mi no me gusta depender de Google para entrar en Worpdress ya me parece increíble, pero oye, hay gente para todo, así que os lo dejo como opción.

¿Queréis más plugins?, venga, pues sigamos, si queréis bloquear una dirección IP por la razón que queráis siempre podéis usar el WP Ban, este plugin lo que hará será filtrar por IP.

Este tipo de plugins que lo que hacen es bloquear el tráfico desde ciertas IP no me acaban de gustar porque realmente estáis delegando al php algo que tiene que hacer el firewall del servidor, así que estáis dando una carga a la web que debería de no tenerla, para eso lo mejor es meter la IP en el firewall del equipo, pero bueno, es una opción.

Si algo me gusta del wp-fail2ban que hemos comentado antes es justo eso que no bloquea el php sino el firewall del servidor, el rendimiento de la web no se ve afectado, sin embargo con este tipo de plugins el rendimiento del servidor sí se ve afectado.

Y ahora un par de plugins para aquellos que queréis estar bien seguros de tenerlo todo controlado.

El Activity Log nos va a dar un log de lo que hagan nuestros usuarios dentro del WordPress, podremos saber qué ha hecho todo el Mundo, así se acabó eso de «yo no he sido». Ya sabéis que lo importante no es buscar culpables, pero en este caso si sabemos quien ha sido podremos preguntar directamente y saber exactamente qué ha pasado ahorrándonos mucho tiempo de navegar e interpretar logs.

Y tenemos un plugin llamado Exploit Scanner, este no se lo recomiendo a los inseguros, en serio, os vais a volver locos, este plugin nos da información de todos aquellos ficheros que podrían haber sido manipulados. Realmente busca la cadena eval y cosas similares, el problema es que si usáis plugins como el Autoptimize os vais a volver loco porque en la cache vais a encontrar esa cadena muchísimas veces, así que este plugin hay que tomarlo con pinzas y con mucho cuidado.

Hoy os he traído 7 plugins que pueden ayudarnos con la seguridad, y fijaros que no he nombrado al WordFence porque a él se le atribuyen cualidades casi mágicas y a mi personalmente no me gusta mucho, pero es muy utilizado últimamente y está muy de moda, pero como os comenté el Lunes hay que usar la herramienta correcta para cada tarea.

Bueno, espero que mi fama de antiplugins haya quedado solventada con este audio y la semana que viene os traigo más contenido sobre WordPress.

Un placer como siempre y ya sabéis que os podéis suscribir con el rss, en ivoox, en itunes o donde queráis y recordad que podéis puntuar positivamente o votar el podcast si os ha gustado y también podéis comentar.

En las notas del programa recordad que os dejo los enlaces a todos los plugins de los que hemos hablado en este audio en eduardocollado.com