iThemes Security review y opinión personal de este plugin de seguridad para WordPress

Vuelvo a la carga con un artículo didáctico para que no te pierdas detalle. Hoy vengo a hablarte de iThemes Security, un plugin todo en uno que sirve para proteger tu WordPress.

Te explico cómo configurar el plugin de seguridad iThemes Security para WordPress. Tienes aqui y ahora, el tutorial que buscas para proteger tu WordPress.

Cuando eres el administrador de tu WordPress una de tus responsabilidades, aunque no seas consciente de ello, es protegerlo de todos los que van con malas intenciones.

Si eres el dueño de una tienda online con Woocommerce donde vendes productos o servicios o un emprendedor digital knowmada que tiene un WordPress configurado para vender cursos de formación online, o sencillamente tienes a tu cargo un sitio web WordPress, en todos estos casos, te recomiendo que seas precavido y trates de proteger tu activo digital antes de que puedas tener un problema mayor que te impida incluso vender.

Verás, en mi experiencia probando unas cosas y otras, leyendo mucha literatura aquí y allá, analizando archivos de registro de actividad de diferentes sitios y eliminando infecciones en WordPress he visto mucha actividad malintencionada que, afortunadamente está automatizada y se puede bloquear, al menos, con las herramientas que actualmente tenemos a nuestra disposición.

Coincido con Jeff Starr y lo que explica en el capítulo de seguridad de su libro Tao of WordPress.

Para proteger tu WordPress dispones de diferentes herramientas y ajustes de configuración, hoy me voy a centrar en explicarte paso a paso lo que puedes hacer con iThemes Security, un plugin que me gusta implementar cuando los asuntos técnicos no son la especialidad de la persona que responsable encargada de administrar el sitio.

Así que, si estás listo y quieres encargarte de ello tu mismo , aquí tienes un extenso artículo de ithemes security en español.

Este plugin te lo recomiendo por delante de otras opciones como por ejemplo Wordfence, no porque sea mejor o peor sino porque a mi juicio es menos alarmista y propenso a despistarte.

Lo que que vas a encontrar en este post son los detalles sobre como a mi me gusta dejar este plugin configurado para que haga su trabajo y evites cualquier ruido innecesario como el hecho de recibir avisos constantemente en el correo electrónico, que despistan y alarman más de la cuenta.

Esta configuración es la que he aplicado durante años con buen resultado.

Así que vamos allá, si estás interesado en poner medidas de protección a tu plataforma online, echa un vistazo y mira como configurar el plugin ithemes security. Hoy dormirás más tranquilo y seguro. ¡A por ello!

Instalar y configurar el plugin ithemes security

Vamos por partes. Primero lo primero, la instalación.

La instalación del plugin se realiza como el resto de plugins de WordPress.

Te diriges al menú de Plugins y añades un nuevo plugin (1) , escribes el nombre del mismo en el campo “palabra clave” (2) y das una orden de buscar.

A continuación, tras ver los resultados verifica que instalas y activas iThemes Security (anteriormente Better WP Security) (3).

Instalar ithemes security

Tras la activación del plugin te aparecen dos cintas informativas. No les hagas ni caso. Ciérralas tal cual ves en la imagen inferior.

Descartar las cintas informativas de ithemes security

Observa también que tras la instalación se ha creado en tu WordPress los siguientes accesos directos en el menú lateral derecho.

El acceso directo a la opción de ajustes en el menu de iThemes Security

Ajustes

Al hacer clic en comprobación de seguridad (2) te muestra lo que ves en la imagen inferior.

Comprobación de seguridad de ithemes security

Lo que aquí te dicen es que si presionas el botón “secure site” le das orden al plugin para realizar unos cambios de configuración de seguridad en tu WordPress que se corresponden con aquellos cambios que los desarrolladores del plugin piensan que son los mínimos que has de tener activados.

Yo no comparto el mismo criterio, por lo que, te voy a sugerir cerrarlo sin presionar el botón. Listo. Tu tranquilo que yo te oriento.

Registros

Si haces clic en el acceso directo “Registros” aterrizas en la página que ves en la imagen inferior.

El acceso directo a la opción de registros en el menu de Ithemes Security

Aquí tienes acceso a los registros almacenados de actividad malintencionada que se genera con el paso del tiempo sobre tu sitio.

En este caso tendrías una lista de los distintos inicios de sesión incorrectos a tu web junto con el resultado de los escaneos de malware.

Puede de mucho interés en ciertos escenarios, pero ahora mismo con que te quedes que esa información se guarda ahí es suficiente.

Los tipos de registro de iThemes Security

Hazte pro

Si haces clic en Hazte pro (4) accedes a una página de aterrizaje donde puedes invertir en la versión de pago del este plugin.

Si estás interesado en invertir en plugins de seguridad de pago, yo prefiero invertir en NinjaFirewall.

Ajustes

Desde el acceso directo Ajustes (1) entras a la configuración del plugin y a todas sus opciones.

Lo primero que quiero que observes son los dos modos de vista que tienes a tu disposición:

  • Vista en modo cuadrícula
  • Vista en modo lista

Modo cuadrícula

El modo vista cuadrícula de iThemes Security

Modo lista

Personalmente trabajo más cómodo con la vista en modo lista. Esa es la que dejo configurada siempre y la que te recomiendo.

El modo lista de opciones de configuración de iThemes Security

Antes de entrar en la configuración de cada elemento de seguridad que te proporciona el plugin quiero que te fijes también en los accesos directos: Todos (29), Recomendable (24) y Avanzado (5).

Accesos directos de iThemes Security: Todos (29), Recomendable (24), Avanzado (5)
  • Todos (29). Básicamente te lista las 29 opciones de configuración disponibles, la suma de las recomendables y avanzadas.
  • Opciones de configuración recomendables. Lista sólo las 24 opciones de seguridad a configurar que los desarrolladores del plugin tienen definidas como recomendables.
  • Opciones de configuración avanzadas. Lista sólo las 5 opciones de seguridad a configurar que los desarrolladores del plugin consideran avanzadas.

Te voy a contar qué opciones de configuración te recomiendo activar y que opciones no, tanto las recomendables como las avanzadas.

Dentro de esto, hay algunas opciones que son meramente informativas y no hay que activar ni hacer nada al respecto.

Te voy a explicar el criterio que sigo yo para configurar este plugin que pienso que combina elementos de seguridad y de funcionalidad, es decir, no quiero que las opciones de seguridad que actives, en el futuro te limiten las funcionalidades de otros plugins o incluso de WordPress.

La experiencia me dice que puede ser un poco locura en caso de no hacerlo así.

Vamos a empezar por las opciones recomendables y después las avanzadas.

Las opciones de configuración recomendables de iThemes Security

Te explico a continuación todas las opciones de configuración recomendables. Empiezo por los ajustes globales.

Los ajustes globales

La configuración de los ajustes globales dibuja el comportamiento de la protección que vamos a aplicar a todo nuestro sitio de modo general.

Las opciones de ajustes globales de iThemes Security

Te indico cómo puedes configurar cada uno de estas opciones.

  • Escribir en los archivos. Activar. Necesitas que el plugin pueda escribir en el archivo htaccess de WordPress.
  • Email de notificación. Introduce tu correo electrónico principal o cambialo por otro. Puedes añadir varios por si alguien colabora contigo para que esté al corriente también.
  • Enviar correo eletrónico programado. Activar. Lo prefiero.
  • Email de entrega de respaldo. No vas a hacer copias de seguridad con este plugin, por lo que, tener o no un email aquí no es relevante.
  • Mensaje de bloqueo al servidor. El que viene por defecto es suficiente.
  • Mensaje de bloqueo del usuario. El que viene por defecto es suficiente.
  • Mensaje de bloqueo en la comunidad. El que viene por defecto es suficiente.
  • Lista negra de infractor reincidente. Activar. Esta opción dará de alta a tu lista negra a los usuarios que se pasen de listos.
  • Umbral de lista negra. El valor por defecto es suficiente.
  • Período retroactivo Lista negra. El valor por defecto es suficiente.
  • Período de bloqueo. El valor por defecto es suficiente.
  • Lista blanca de bloqueo. Añade tu IP a la lista blanca.
  • Notificaciones de correo electrónico de bloqueo. Activa esta opción.
  • Tipo de registro. Solo en la base de datos.
  • Días para mantener registros de la Base de datos. El valor por defecto es suficiente.
  • Ruta a Archivos de registro. La ruta por defecto es correcta. No la modifiques.
  • Permitir Rastreo de Datos. No activar.
  • Desactivar el bloqueo de archivos. No activar
  • Anular detección del proxy. No activar.
  • Ocultar el menú de seguridad en la barra de administración. A mi personalmente me gusta activar esta opción.
  • Mostrar códigos de error. Deja el valor “NO” por defecto.

La detección 404

La detección 404 es una opción que te recomiendo activar y además, te invito a no modificar las opciones que por defecto propone el plugin.

Esta configuración considero que es correcta para la mayoría de los casos.

Las opciones de configuración 404 de iThemes Security

El modo reposo

El modo reposo no te recomiendo activarlo. Te explico por qué, verás.

La idea detrás de esta opción reside en permitir el acceso al login de WordPress sólo durante el tiempo que tu decidas que vas a acceder a la administración de tu blog.

Pueden ser 4 horas por la mañana, o 4 horas por la tarde, o solo los Lunes, etc. El abanico de configuraciones es amplio.

¿Cual es el problema?

Pues que si a ti te pasa como a mi y hoy puedes acceder a la administración de tu blog por la mañana, otro día accedes por la tarde y otro día por la noche, pues se me antoja difícil poder configurar esta opción y adaptarla a mis horarios.

Así que, a menos que lo tengas muy muy claro, no te recomiendo activar esta opción.

El modo reposo de Ithemes Security

Los usuarios baneados

Te recomiendo activar esta opción y dejar activadas las opciones por defecto. Nada más que comentar aquí.

Los usuarios baneados de Ithemes Security

La protección contra fuerza bruta

Esta opción te recomiendo activarla y dejar todas las opciones de configuración por defecto.

Activar la protección de fuerza bruta de IThemes Security

Copias de seguridad de bases de datos

Esta opción no te recomiendo activarla.

Las copias de seguridad de la base de datos no las vas a hacer con este plugin, sino con otro.

Luego caso omiso y no actives nada.

Copias de seguridad de bases de datos de IThemes Security

Detección de cambios de archivo

Esta opción tampoco te recomiendo activarla. En mi experiencia puede generar mucho ruido y despistarte con falsas alarmas.

La deteccion de cambios de archivos en iThemes Security

Permisos de archivo

Esta opción es meramente informativa. Te explico.

Al hacer clic en el botón “Volver a cargar los detalles de los permisos de archivo” te aparece una pequeña tabla con la información de los permisos sugeridos para las carpetas y los archivos wp-config.php y .htaccess”.

Esta opción verifica que las carpetas de tu WordPress tienen los permisos equivalentes al valor numérico “755” y los archivos al valor numérico “444”.

Si el valor sugerido coincide con valor real, el resultado te lo pone en OK y el estado te lo marca en color verde.

Si no coincide, el resultado te lo pone como ADVERTENCIA y el estado te lo marca en color amarillo.

Los permisos de archivo en iThemes Security

En este caso particular estas viendo que la sugerencia para los archivos wp-config.php y htaccess es que tenga un valor 444 cuando el resultado es un valor 644.

Yo te recomiendo dejar los permisos con un valor 644 en dichos archivo y no hacer caso a la sugerencia. La razón de esto radica está en un tema funcional, es decir, desde un punto de vista de seguridad es conveniente dejar los permisos en valor 444, pero desde un punto de vista funcional y de operativa yo abogo por dejarlos en 644.

Si en el futuro instalas un plugin que tenga que hacer cambios en el esos archivos, con unos permisos 444, no los podrás modificar y el plugin no funcionará correctamente.

Por esta razón te recomiendo mejor dejarlos con un valor 644.

Protección contra fuerza bruta en la red

Esta opción si que te recomiendo activarla. Para ello tienes que introducir tu correo electrónico y hacer clic en el botón “Guardar ajustes”.

Esta opción permite beneficiarte de la red global de seguridad de iThemes Security que básicamente se compone de la suma de todos los WordPress alrededor del mundo que tienen instalado este plugin y está opción activada.

Cualquier alarma de seguridad que se manifieste en uno de estos WordPress activará una notificación a la red global que activará los mecanismos para que el resto de sitios de la red no se vean afectados, consiguiendo así minimizar el impacto.

Actívala.

La protección de fuerza bruta en la red de iThemes Security

SSL

Esta opción no te recomiendo activarla.

El paso de http a https de tu sitio es una tarea que a mi juicio es mejor hacerla manualmente sin la ayuda de plugins, evitando así depender de los mismo.

Nada más que decir aquí.

SSL en iThemes Security

Refuerzo de la seguridad de la contraseña

Esta opción fuerza a definir cual es es perfil de WordPress mínimo al que obligar a que siempre se le definida una contraseña potente y segura.

Vamos, lo que viene a ser una política de seguridad de contraseñas.

Por ejemplo, tal y como ves en la imagen inferior, si creas un usuario nuevo con perfil de administrador y le configuras la contraseña ”123456” el plugin te va a impedir que la puedas guardar y te recordará que no cumple el criterio de refuerzo de la seguridad de la contraseña.

Refuerzo de la seguridad de la contraseña

Los ajustes del sistema

Estos ajustes son ajustes avanzados que tenemos a nuestro alcance gracias a iThemes Security y que nos van a permitir incrementar un poco más la seguridad de nuestro sitio.

  • Archivos del sistema. Te recomiendo activar esta opción. Al hacerlo impides que se pueda leer o acceder a estos archivos que contienen información sensible de tu instalación.
  • Navegación de directorios. Te recomiendo activar esta opción para asegurarte que se impide la navegación por carpetas en tu WordPress.
  • Métodos de petición. Te recomiendo activar esta opción.
  • Cadenas de consulta sospechosas. Activa esta opción.
  • Caracteres no ingleses. No actives esta opción.
  • Cadenas URL largas. Activa esta opción.
  • Permisos de escritura en archivos. No te recomiendo activar esta opción. Cambiar los permisos a los archivos wp-config.php y htaccess desde un punto de vista de seguridad es recomendable, pero desde un punto de vista funcional no tanto. El día de mañana es posible que un plugin necesite escribir en estos archivos para funcionar y si dejas marcada esta opción no podrá. Entonces tendrás que acordarte que tenias esto marcado y tendrán que desmarcarlo para luego volver a empezar. Un lío vaya. Por tanto, no te recomiendo activar esta opción.
  • PHP en uploads. Te recomiendo activar esta opción.
  • PHP en plugins. Te recomiendo activar esta opción.
  • PHP en temas. Te recomiendo activar esta opción.
Ajustes de sistema

Los ajustes de WordPress

  • Cabecera Windows Live Writer. Te recomiendo activar esta opción.
  • Cabecera EditURI. Te recomiendo activar esta opción.
  • Comentarios spam. Te recomiendo activar esta opción.
  • Editor de archivos. No te recomiendo activar esta opción. En ocasiones has de hacer pequeñas modificaciones de archivos y tener el editor de archivos activo ayuda. Le doy prioridad al tema funcional más que a la seguridad.
  • XML-RPC. Deja la opción por defecto Desactivar XML-RPC. Interpreto que no empleas jetpack. En caso contrario.
  • Múltiples intentos de autenticación por petición XML-RPC. Deja activada la opción por defecto: “Bloquear”.
  • REST API. Deja la opción por defecto “Acceso restringido”.
  • Reemplazar jQuery con una versión segura. Esta opción suelo tenerla siempre desmarcada.
  • Mensajes de error de inicio de sesión. Esta opción te recomiendo que la marques.
  • Forzar alias único. Esta opción te recomiendo que la marques.
  • Deshabilitar archivos de usuario adicionales. Esta opción te recomiendo que la marques.
  • Protección contra el tabnapping. Esta opción te recomiendo que la marques.
Los ajustes de WordPress en iThemes Security

Las claves secretas

Las claves secretas son una opción de configuración que están disponibles en WordPress desde la versión 2.6.

Sin entrar en detalles técnicos, te recomiendo que actives esta opción tal y como ves en la imagen inferior.

Nota. Al presionar sobre el botón “Guardar ajustes” automáticamente se cerrará tu sesión de WordPress y tendrás que volver a introducir tu usuario y contraseña de nuevo para continuar con la configuración del plugin.

Este comportamiento es totalmente correcto. No te alarmes y a seguir.

Salts de WordPress o la configuración de las claves secretas con iThemes Security

Las opciones avanzadas de iThemes Security

Vamos con las opciones avanzadas.

Las opciones de configuración avanzadas de iThemes Security

Ocultar escritorio

Esta opción no te recomiendo activarla. Al activar esta casilla podrás cambiar la URL de acceso al login. En vez de emplear /wp-admin podrás emplear otra URL al gusto.

El login viene a ser la puerta de acceso a tu WordPress. Si escondes la puerta para acceder a la administración de tu WordPress, los que van con malas artes “no la encontrarán” y se lo pondrás un poquito más difícil, lo que redunda un incremento de seguridad.

El problema que le veo a esta opción es que en el futuro no recuerdes la URL que configuraste y tengas dificultades innecesariamente. En este sentido, te recomendaría no activarla.

Recuerda que tienes activada la protección de fuerza bruta, lo que significa que si algo o alguien intenta reiteradamente probar usuarios y claves reiteradamente el plugin lo bloqueará.

Ocultar escritorio en iThemes Security

Usuario administrador

Si en tu WordPress conservas como usuario administrador al usuario “admin” con esta opción podrás modificarlo al igual que podrás modificar su identificador único, que coincide que tiene el valor 1.

Te explico. Todos los WordPress tienen un primer usuario administrador, que es el usuario que se crea en la instalación de tu WordPress.

Este puede coincidir que se llame “admin” o no. En cualquiera de los dos casos a este primer usuario se le asigna siempre un identificador único (por temas técnicos que tienen relación con bases de datos) que coincide que siempre tiene el valor 1.

Con esta opción sencillamente cambiarás dicho valor y dado el caso te propondrá cambiar al usuario si coincide que es el “admin”.

La idea de esta opción es facilitarnos la labor como administradores de WordPress con la idea de poner las cosas un poco más difícil a los que van con malas artes.

Te recomiendo por tanto, marcar la opción para cambiar el identificador único y guardar los cambios. Al hacerlo tendrás que volver a iniciar sesión en tu WordPress. Es un comportamiento coherente con esta opción.

El usuario administrador en iThemes Security

Cambiar el prefijo de la tabla de la base de datos

Te recomiendo emplear esta opción cuando el prefijo de la base de datos de tu WordPress tenga el valor exacto “wp_”.

En ese caso, modifica la opción “Cambiar prefijo” a “si” y guarda los cambios.

Esta opción la puedes emplear todas las veces que quieras, pero con emplearla una sola vez es suficiente.

Fíjate en la imagen que el valor es distinto a “wp_”, por tanto, no tengo que hacer nada.

Cambiar el prefijo de la tabla de la base de datos en iThemes Security

Reglas de configuración del servidor

Esta es una opción meramente informativa, es decir, no tienes que definir nada en este punto.

Est opción tan solo te informa de los cambios que el plugin ha realizado en el archivo htaccess fruto de las opciones que has activado durante la configuración del plugin.

En este caso, la configuración que nosotros hemos hecho si que afecta este archivo y lo que ves aquí es el resultado de esa configuración. Todos los cambios que el plugin realiza en el archivo htaccess están perfectamente comentados, por lo que podemos saber con total precisión a que se refiere cada línea de este archivo.

No es necesario hacerlo, tan solo confiar en su criterio y listo.

Tan solo quédate con la idea de que esta opción es meramente informativa.

Reglas de configuración del servidor

Reglas del archivo wp-config.php

Esta es una opción meramente informativa, es decir, no tienes que definir nada en este punto.

Est opción tan solo te informa de los cambios que el plugin ha realizado en el archivo de WordPress wp-config.php fruto de las opciones que hayas activado durante la configuración del plugin.

En nuestro caso, la configuración que nosotros hemos hecho no afecta en modo alguno a este archivo, por tanto, verás lo mismo que ves en la imagen inferior.

Reglas del archivo wp-config.php en iThemes Security

Vídeo. Como configurar iThemes Security paso a paso.

Versión 2017.

YouTube video

Para terminar

Te he mostrado en este artículo todos los detalles de la configuración de este plugin. Creo que es material suficiente para ayudarte en la tarea de proteger tu WordPress.

Soy de la opinión de que si pretendes crear un proyecto serio, un blog profesional que te traiga clientes y oportunidades es importante realizar esfuerzos en este aspecto. No protegerás sólo tu proyecto y trabajo, también estarás protegiendo a tus lectores y a las personas que te visitan.

Pero recuerda, la seguridad no consiste únicamente en configurar un plugin, la seguridad es un proceso vivo donde participan:

  • El sentido común.
  • Las buenas prácticas como emplear contraseñas fuertes en todos tus sitios.
  • Las tareas de actualizar tus plugins, tu tema y el propio WordPress.
  • Un plan de copias de seguridad bien articulado, al que yo le añadiría un plan de contingencia en caso de catástrofe total.

Todas estas tareas tienen que estar dentro de tus quehaceres frecuentes.

¿Tienes algo que decir?

Tomate la libertad de comentar lo que te ha parecido el artículo, si quieres aportar otro punto de vista, etc. Nada más, te veo en los comentarios o en el próximo artículo.

Política de comentarios. Por favor, procura que tus comentarios estén relacionados con la entrada, emplea tu nombre, limita los enlaces y respeta a los demás lectores. Los comentarios off topic, promocionales, ofensivos o ilegales serán editados y borrados. Recuerda. Los comentarios no son un soporte técnico.

32 comentarios en “iThemes Security review y opinión personal de este plugin de seguridad para WordPress”

  1. Tengo instalado este plugin porque han intentado varias veces entrar en mi web, de hecho alguna vez han eliminado info, no es para nada una web grande y además lleva poco tiempo.. el caso es que hasta ahora me iba bien, pero desde hace unos días no me llega el código de verificación al correo, es la forma que elegí para entrar.. ya no se que hacer.. porque he intentado cambiar de contraseña hasta de wordpress pero tampoco me llega el email.. no se cual es el problema y ni el servidor ni wordpress me dan solucion…

    1. Hola Araceli, solución hay a eso que te pasa. Me sorprende en parte que la empresa donde tengas contratado el hosting no te hayan orientado un poquito pero depente claro del plan que tengas contratado y de la empresa de hosting en si. Mira, se me ocurre que para resolver lo que te pasa de forma relativamente rápida puedes desactivar el plugin de seguridad accediendo por FTP al servidor para renombrar la carpeta del plugin de seguridad. Si no estoy equivocado, de ese modo quedaria desactivado el plugin y podrías iniciar sesión de nuevo de forma tradicional. Espero que no te suene a chino lo que te he comentado y te sirva de orientación. Este tipo de situaciones suelen producirse de vez en cuando alrededor de WordPress y dan algunos dolores de cabeza. Espero que este contratiempo no te frene a seguir adelante con tu proyecto. ¡A por ello! ¿Buen día!

  2. La opción de «Comentarios spam» funciona bien? Es que acabo de instalar este plugin y me estoy planteando eliminar el akismet, pero no quiero arriesgarme porque mi web recibe mucho tráfico y si se llena de comentarios spam voy a perder muchísimas horas eliminándolos…

    1. Hola Carlos, pues verás el plugin que he me dejado la bandeja de SPAM a CERO es NinjaFirewall salvo por algún formulario de contacto que se me cuela de vez en cuando.

      No recuerdo que tal funciona la opción de SPAM de iThemes Security porque hace tiempo que solo trabajo con NinjaFirewall. Tendrás que experimentar y tomar una decisión.

      Saludos.

  3. Hola, Paul.

    Tengo una duda respecto a lo ajustes globales. El plugin actualmente dice:
    Detección de Proxy y se puede elegir entre automático, manual o inactivo. ¿Qué opción de estas 3 recomiendas?

    Gracias por tu ayuda y por compartir tus conocimientos ¡Saludos!

    1. Hola Ginger, el texto orientativo a pie de la opción de configuración intenta explicarte cual es la mejor alternativa en función de tu escenario.

      Básicamente si no empleas un servicio «proxy» en tu sitio web y tienes claro que no lo empleas configura «inactivo». Si tienes claro lo contrario configura la opción «activo».

      Si tienes dudas, déjalo en automático.

      Un abrazo.

  4. El post esta perfectamente estructurado y entendible. Me ha ido muy bien para configurar iThemes Security, el problema es que en algunos parámetros (por ejemplo en ajustes del sistema) al querer activarlo me aparece un texto diciendome que no puede escribir en htaccess por problemas de permisos. He hablado con mi hosting pero dice que todo esta perfecto y que es un problema de la aplicacion. ¿conoces alguna solución a este problema? Muchas gracias y disculpa las molestias!!!

    1. Buenas, eso me huele a que el archivo htaccess que tienes está configurado con permisos distintos a 644. Tiene fácil solución si entiendes de a lo que me refiero.

      En caso contrario, creo que te va a costar. Se me ocurre que les digas al soporte técnico de tu hosting que te revisen los permisos de dicho archivo y te confirmen si son permisos 644 pero viendo lo que te han respondido (su negocio es el hosting no el soporte con WordPress) no se yo si serán muy amigables con este asunto.

      Prueba y me cuentas.

      Abrazo.

  5. Genial post! Pero no me funciona la parte de cambiar la URL de wp-admin, es decir la cambio por mitienda.com/accederprueba y guardo cambios, le doy cerrar sesión borro cachés y cokies y entro en pestaña de incognito y pruebo a ingresar como
    mitienda/w-admin y me muestra el panel de acceso ( que debería arrojarme error 403) en otro post miré q para ello es mejor usar otro plugin pero entonces para que ithemes implementa esa opción sino funciona? Me puedes ayudar? que hago mal? Gracias de antemano.

  6. cuando cambio la cable de id del usuario, tengo la versión pro, me saca y me lleva al login pero al querer entrar de nuevo me pide un code que supuestamente lo mando al correo determinado, llega un correo pero sin el código, que puede pasar?

    1. Hola Rubén.

      No se lo que puede estar sucediéndote pero dado que tienes la versión PRO habla con el soporte técnico oficial del plugin. Ellos te orientarán.

      Un abrazo.

  7. Hola Paul, excelente artículo, mejor se daña jeje. Comencé hace más o menos una semana a usarlo porque cambie a un servidor VPS y honestamente estoy al punto de la locura, porque no soy muy diestra en esto que digamos, tengo casi 5258 logs principalmente de 404 y se han bloqueado unos cuantos servidores, ahora bien al principio la función WP-CRON se ejecutaba todos los días, pero un día me dió un error fatal y más nunca la he visto que hace el escaneo «Cambio en archivos | Error fatal | El escaneo falló | hace 2018-09-24 14:37:20 – 1 semana | Ver detalles», entonces mi pregunta es, y perdona mi ignorancia, se ha dañado el archivo WP-CRON o me han hackeado, o sea que ha pasado, veo que todo esta normal, pero tengo ansiedad que hayan robado info de mis usuarios o algo. Gracias.

  8. Ocultar escritorio
    Esta opción no te recomiendo activarla. Al activar esta casilla podrás cambiar la URL de acceso al login. En vez de emplear /wp-admin podrás emplear otra URL al gusto.
    El problema que le veo a esta opción es que en el futuro no recuerdes la URL que configuraste y tengas dificultades innecesariamente. En este sentido, te recomendaría no activarla.
    Pues es exactamente lo que me ha pasado¡¡¡. No puedo acceder a mi pagina¡¡¡
    Por favor ayuda.

    1. Hola Miguel, tienes que desactivar el plugin accediendo por FTP. Sencillamente tienes que renombrar la carpeta del plugin. Una vez hecho automáticamente se desactiva y podrás logarte en tu WordPress desde la URL tradicional. Confio que me entiendas.

      Cuéntanos cómo lo resuelves.

      Un saludo.

  9. ¡Hola Paul! Muy bueno el artículo. Acabo de encontrar el tutorial porque WordFence me ha dado un par de problema.

    Tengo sólo una duda… En «Ajustes de sistema» al editar PHP en uploads, en plugins y en temas no me queda claro si debo marcar la casilla para ‘desactivar’ o dejarla no marcada por default (entonces estarían activadas las opciones de PHP).

    Quedo atento a tu respuesta. ¡Saludos!

    1. Hola Davide, márcalas para un mayor nivel de seguridad.

      Si luego ves que te da problemas con el tema o algun plugin, vuelvela a desmarcar.

      Un saludo.

  10. El boton Escanear la portada para buscar malware que esta en la barra lateral derecha, en la version gratuita del plugin funciona o solo funciona en la version de pago?
    Haciendo pruebas en un servidor descargue e instale varios plugins con malware y no detecto nada en cambio Worfence detecto todos y se pudo limpiar, Worfence es muy pesado por eso prefiero Ithemes aunque en el caso de que la version gratuita de Ithemes no tenga la opcion de detecion y limpieza de malware prefiero usar All in one security & firewall que es igual de bueno o mejor en funciones pero consume menos de la mitad.
    Que opinas de All in one security & firewall crees que es mejor opcion que Ithemes?

    Gracias.

    1. Hola Neoset, iThemes Security es un plugin que funciona como un escudo, en el sentido de que su cometido no consiste en detectar malware si no más bien en bloquear todas las puertas conocidas susceptibles de ser vulneradas para evitar que tu WordPress se infecte de malware. Esto lo hace en base a las configuraciones que tu le hagas al plugin.

      El escaneo programado que ves en la barra lateral corre por cuenta de Sucuri, una empresa especializada en limpiar sitios web infectados bien sean WordPress o de otro tipo.

      Lo que hace iThemes es redirigir tu petición al motor de escaneo de Sucuri que te analiza solo la home de tu web y si funciona.

      Lo que tu mismo puedes hacer aquí: https://sitecheck.sucuri.net/?clickid=1CARkqWs8UiAXZwXHB3wKScnUkjXpT0ZiVpFTE0

      Es un análisis superficial y para algo más profundo necesitas la versión pro, pero no de iThemes, sino de Sucuri.

      Wordfente aparte de actuar como un escudo incorpora también un motor de detección de malware, por eso te los detecta, al menos los que tiene reconocidos como tal.

      En mi experiencia ambos plugins se pueden complementar, es decir, que los puedes tener instalados a la vez en tu WordPress, lo que pasa es que aumenta la complejidad de la instalación y puede darte algún dolor de cabeza extra.

      Yo los he tenido durante mucho tiempo juntos. Ahora ya no, ahora soy partidario de NinjaFirewall junto con otras medidas de seguridad que tengo configuradas.

      Si gustas, te dejo un tutorial de NinjaFirewall
      https://www.administrandowp.com/ninjafirewall/

      All in one security & firewall es una buena opción. ¿Mejor que ithemes? No necesariamente pero tampoco peor.

      Yo tengo muy buenas sensaciones con este Plugin y me gusta mucho que documenten cada punto de configuración que puedes activar y además que los cuantifiquen numericamente, es decir, que con cada ajuste de configuración que activas sumas puntos.

      Con esto se consigue que tengas la sensación visual de que incrementas la seguridad a medida que vas activando opciones. Ese punto es único de este plugin y me gusta mucho.

      No por ello protege más o mejor, pero si que ayuda a tener esa experiencia de que la seguridad se está incrementando.

      En general yo creo que el conjunto de configuraciones de All in one security & firewall está alineado con lo que te ofrece iThemes Security.

      El trasfondo de estos plugins es ayudarte a incrementar la seguridad de tu instalación facilitando la configuración de medidas de seguridad en tu WordPress, medidas de seguridad que ponen al alcance de cualquier persona y que de otro modo se tendrían que hacer manualmente y ya no serían accesibles para todos los públicos.

      Este trasfondo lo puedes hacer tanto con uno como con el otro. En este caso no te recomendaría tener los dos plugins en la misma instalación porque intuyo que no se complementan bien. No tengo la experiencia pero creo que no me equivocaría.

      Una última cosa que has de tener en cuenta. La línea de trabajo a seguir cuando tienes un sitio infectado es diferente a la linea de trabajo a seguir cuando tu sitio está limpio.

      El objetivo en el último caso es evitar que «la mierda» entre en tu casa mientras que en el primer caso el objetivo es «limpiar de mierda» tu casa.

      Te dejo un tutorial para «limpiar la mierda de casa» o como limpiar de malware tu WordPress. Es un caso real que traté en primera persona para un cliente.
      https://www.administrandowp.com/como-desinfectar-wordpress/

      Pues dicho todo esto, espero que aclare un poco tus dudas.

      Un abrazo.

      1. Muchas gracias Paul, has sido el unico capaz de solucionarme esta duda, gracias por la investigacion, ya tienes un seguidor recurrente en la web.

        Muchas gracias y un enorme saludo.

  11. Hola gracias por el artículo, estoy justo ahora instalándolo.

    Veo que lo tienes en español, lo descargaste así, o es algo extra que tienes para que traduzca todo, porque yo solamente lo he encontrado en inglés

    Gracias!

    1. Hola Caribay, si tienes WordPress en castellano, el plugin se instala en castellano. Si esto no es así entonces es que algo pasa con tu WordPress que se está comportando de un modo distinto. Revísalo y nos comentas.

      Un abrazo.

  12. Hola Paul,
    buen artículo. Utilizo Ithemes Security en todas las webs que no tengo pasarela de pago instalada, porque no sé qué configuración de ithemes security hace que se dé un error 403 en la conexión con Servired.
    Para esas webs con comercio electrónico utilizo Shield Security for WordPress, que no me da esos problemas.
    Saludos

    1. Hola Sergio, tiene pinta de que alguna opción de configuración que activas es la que está provocando ese comportamiento. Algo similar a lo que me describes llegó a mi radar hace tiempo atrás y la causa era la opción de configuración Metodos de petición dentro de los Ajustes de Sistema. En aquel caso se resolvió desactivando esa opción.

      Un abrazo.

  13. Un post excelente!!! estaba angustiada con las alarmas de modificación de archivos… configuré todo como está en tu articulo y espero que todo vaya a mejor, no conocía esta web, voy a revisar a ver qué más cosas encuentro por aquí! Gracias por la info.
    Abrazo!

    1. Hola Carol, me alegro de que te haya servido de guía el artículo. Ese es su cometido, jejeje.

      Espero que encuentres cosas interesantes en mi blog que te ayuden en tu labor como responsable de tu blog.

      Vuelve por aquí las veces que quieras.

      Un abrazote.

    1. Hola Alirio, me alegro que tengas esa opinión. Mi propósito es facilitar y educar a las personas en asuntos tecnológicos, lo que considero perfectamente alineado con tu comentario.

      Un abrazo y que tengas un buen día.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Responsable » Paul Benítez Icatt
Finalidad » gestionar los comentarios.
Legitimación » tu consentimiento.
Destinatarios » los datos que me facilitas estarán ubicados en los servidores de Hetzner (proveedor de www.administrandowp.com) dentro de la UE. Ver política de privacidad de Hetzner*

Scroll al inicio