5 extensiones para mejorar la seguridad de WordPress

Cada semana estamos dedicando unos minutos a WordPress, uno de los gestores de contenidos web en software libre más flexibles que podemos encontrar y también uno de los más extendidos en el mundo de los blogs (y también alguna que otra página web corporativa). La flexibilidad de WordPress es algo que podemos ver materializado en las múltiples opciones de personalización que nos ofrecen sus plugins, sus widgets y la extensa galería de templates tanto gratuitas como de pago (con los que personalizar la estética de nuestra página). Dentro de las opciones que podemos encontrar, hay un aspecto fundamental en el que no siempre se repara y en el que, en determinadas ocasiones, nos acordamos demasiado tarde: la seguridad.

Si bien debemos estar atentos a las actualizaciones que se publiquen tanto de WordPress como de los plugins que utilicemos, es importante que pongamos las medidas adecuadas para garantizar la disponibilidad de nuestra página y ofrecer una navegación segura a nuestros visitantes. Dependiendo de nuestra soltura a la hora de administrar sistemas o de las posibilidades de nuestro hosting, este tipo de tareas nos pueden resultar más o menos complicadas y, precisamente, con la idea de hacerlas algo más sencillas, podemos recurrir a varias extensiones que nos ayuden a hacer nuestro blog más seguro.

Por tanto, vamos a dedicar unos minutos a conocer 5 extensiones para WordPress que nos ayudarán a mantener seguro nuestro blog pero, teniendo en cuenta que la galería de plugins disponibles en WordPress es bastante grande, es posible que nos dejemos en el tintero alguna que otra extensión que merezca ser reseñada. Si conoces alguna extensión más que podamos añadir, por favor, háznoslo saber en forma de comentarios.

• AntiVirus es un plugin que nos ayudará a protegernos de posible malware que se pueda ocultar en nuestro blog y pueda proceder, por ejemplo, de alguna inyección no deseada. Gracias a esta extensión podremos verificar los plugins instalados, los archivos pertenecientes al template o la revisión de las tablas de nuestra base de datos, tanto de manera manual como automática. Además, la extensión nos mostrará alertas o alarmas en caso que se detecte alguna amenaza y se nos notificará por correo electrónico. Vale la pena instalar este plugin, por ejemplo, para verificar que los templates que nos descargamos no contienen ningún tipo de amenaza.

• Login LockDown es una extensión muy interesante y, la verdad, es una pena que el proyecto que lo sustentaba lleve parado un par de años porque ofrecía unas funcionalidades a tener en cuenta y que nos pueden servir de gran ayuda. Con este plugin monitorizaremos los intentos de login en nuestro blog y se grabarán los intentos fallidos con la idea de verificar que la IP origen (o un rango de direcciones) no realiza más de un número determinado de intentos fallidos y, en caso de detectarse, bloquearles la opción de login. ¿Y en qué nos puede ayudar una extensión así? Si bien es importante cambiar las contraseñas de manera periódica y buscar contraseñas seguras, gracias a este plugin podemos intentar mitigar los ataques por fuerza bruta o los que proceden de bibliotecas de contraseñas. Limit Login Attempts es otra opción que podemos tener en cuenta.

• Wordfence Security es otra extensión que vale la pena probar y, en el caso de dejarla instalada, usar de vez en cuando con la idea de detectar cualquier posible amenaza de seguridad en nuestro WordPress. Con este plugin podremos realizar un análisis de los archivos de WordPress (y compararlos con los del repositorio para ver si han sufrido algún tipo de modificación), localizar malware, buscar vulnerabilidades conocidas, realizar un análisis de fortaleza de contraseñas, comprobar el espacio libre en el servidor o verificar si nuestro sitio web está en la “lista negra” de sitios web con malware que Google gestiona (y que se usa en Google Chrome para vetar el acceso a un sitio web). La gran mayoría de funcionalidades están disponibles de manera gratuita pero si queremos, además, verificar la integridad de los plugins y los templates tendremos que recurrir a una key de pago para activar dichas funcionalidades.

• BulletProof Security es un plugin a tener muy en cuenta para revisar las opciones de configuración de nuestro blog y de nuestro hosting. Gracias a esta extensión podremos comprobar los permisos de las distintas carpetas y archivos de la instalación de WordPress y compararlos con las configuraciones de seguridad recomendadas (para su ajuste en caso de discrepancia), proteger archivos esenciales el wp-config.php de WordPress o el php.ini gracias al .htaccess de Apache (en el que también se pone un gran énfasis para hacerlo seguro). Además, el plugin nos ofrecerá protección contra ataques XSS, RFI, inyecciones de código o inyecciones de SQL, un pack de seguridad a tener muy en cuenta.

• WordPress File Monitor Plus es otro plugin con el que podemos monitorizar cualquier cambio en los archivos de la instalación de WordPress, es decir, controlar que se añaden archivos nuevos o se borran o modifican archivos existentes. Las opciones que ofrece esta extensión son bastante amplias y podremos monitorizar los archivos según su hash, su marca de tiempo o el tamaño de éstos, así como crear listas de excepciones de archivos que no queremos monitorizar (tanto por ruta como por tipo de archivo). Además, este plugin soporta instalaciones multisite y, en caso de detectar alguna anomalía, genera notificaciones tanto en la administración de WordPress como por correo electrónico.