wordfence security
TRANSCRIPT
Wordfence Security by www.jjpeleato.com
INDICE
1.0 Wordfence Security.
1.1 Introducción.
2.0 Instalación.
3.0 Configuración.
3.1 Scan
3.2 Firewall
3.3 Live Traffic
3.4 Performance Setup
3.5 Blocked IPs
3.6 Password Audit
3.7 Cellphone Sign-in
3.8 Country Blocking
3.9 Scan Schedule
3.10 Whois Lookup
3.11 Advanced Blocking
3.12 Options
3.12.1 License
3.12.2 Basic Options
3.12.3 Advanced Options
3.12.3.1 Alerts
3.12.3.2 Email Summary
3.12.3.3 Live Traffic View
3.12.3.4 Scans to include
3.12.3.5 Rate Limiting Rules
3.12.3.6 Login Security Options
3.12.3.7 Other Options
3.12.3.8 Exporting and Importing
Wordfence Settings
3.13 Diagnostics
4.0 Conclusión
1 Wordfence Security by @jjpeleato
2 de junio de 2016
1.0 Wordfence Security
Versión plugin: 6.1.8
Página web oficial: https://www.wordfence.com/
Documentación oficial: https://docs.wordfence.com/
FAQ: https://support.wordfence.com/
Página web plugin: https://es.wordpress.org/plugins/wordfence/
Requiere: WordPress 3.9 o superior.
Compatible hasta: WordPress 4.5.2
Última actualización: -
Instalación activas: 2+ millón.
1.1 Introducción.
Wordfence Security (en adelante, “WFS”) es un plugin de seguridad que
ofrece una de las mejores protecciones disponibles para un sitio web.
WFS es un conjunto de herramientas que tienen como función monitorizar y
escanear tu sitio web. Entre sus opciones: 1) Antivirus con un motor de
“SCAN” que realiza una comparación de archivos de tu web con los ficheros
originales del repositorio de WordPress y en caso de encontrar diferencias te
ayuda a aplicar una solución. 2) Firewall con un motor de reglas que bloquea
tu sitio a los atacantes (ya sean personas o robots), si incumplen cualquiera de
las definiciones establecidas. 3) Sistemas de cache con un motor muy
importante que incrementa la velocidad de carga de un sitio web.
WFS es 100% libre y de código abierto. Dispone de una versión de pago
(recomendado) con un sistema de bloqueo por país, análisis programados,
auditorias de contraseñas y por último, comprueba que la dirección IP del
servidor donde se encuentra alojada nuestra página web no está siendo
utilizada para spamvertising (práctica de envió de correo electrónico no
deseado desde nuestro servidor, acrónimo de las palabras “spam”/”correo no
deseado” y “advertising”/”publicidad”).
2 Wordfence Security by @jjpeleato
2 de junio de 2016
La página web oficial de WFS dispone de un centro de aprendizaje destinado a
todos los niveles. Desde desarrolladores expertos a personas con un nivel de
iniciación. El objetivo es profundizar en el conocimiento de la seguridad de
WordPress. Aprender y descubrir las mejores prácticas a aplicar en tu página
web.
https://www.wordfence.com/learn/
2.0 Instalación La instalación de los plugins en WordPress es un paso muy sencillo e intuitivo.
Inicia sesión y en el panel de administración vaya a “Plugins->Agregar nuevo” y
hace una búsqueda de “Wordfence” sin comillas. Y pulsamos en “Instalar
ahora”.
3 Wordfence Security by @jjpeleato
2 de junio de 2016
3.0 Configuración. Después de instalar y activar el plugin, podremos ver el ícono de Wordfence y
se nos habilitara un “tour” que tiene como función realizar una mini guía de
explicación del funcionamiento del software. Recomendación registrarte a las
alertas de Wordfence para estar al tanto de las últimas noticias sobre seguridad
y vulnerabilidades.
Siguiendo la propia organización del menú de enlaces a modo esquema el
plugin nos presenta las siguientes secciones:
Scan (Free)
Firewall (Free/Premium)
Live Traffic (Free)
Performance Setup (Free)
Blocked IPs (Free)
Password Audit (Premium)
Cellphone Sign-in (Premium)
Country Blocking (Premium)
Scan Schedule (Premium)
Whois Lookup (Free)
Advanced Blocking (Premium)
Options (Free/Premium)
Diagnostics (Free)
4 Wordfence Security by @jjpeleato
2 de junio de 2016
3.1 Scan (Escanear)
Menú SCAN tiene como función realizar un chequeo preconfigurado pulsando
en el botón Start a Wordfence Scan (1). Esta preconfiguración se puede
modificar y/o ampliar y/o reducir desde el menú Options -> Scans to Include.
Analiza los archivos de tu web en busca de posibles problemas
(vulnerabilidades, archivos sospechosos, profundidad de las contraseñas,
enlaces sospechosos en artículos y páginas, etc). Es el motor antivirus.
En los apartados Scan Summary (2) y Scan Detailed Activity (3) se escribe el
resultado del chequeo y en función del mismo te sugiere acciones a realizar.
Cada caso tiene su particularidad.
5 Wordfence Security by @jjpeleato
2 de junio de 2016
En la imagen podemos observar que nos marca como grave la
desactualización de plugins. La actualización de los plugins y temas es una
práctica altamente recomendada y desde esta misma sección nos facilita el
poder dar solución a ciertos problemas.
Además, nos avisa que la contraseña de acceso de administrador nos dispone
de una clave segura.
La información que nos facilita Wordfence tiene que ser analizada cada caso
por separado, dado que cada caso tiene su peculiaridad y proceder a su
solución de la mejor forma posible.
6 Wordfence Security by @jjpeleato
2 de junio de 2016
3.2 Firewall (Corta fuegos)
Wordfence Web Application Firewall es un aplicación basada en PHP que
aplica un cortafuegos que filtra las peticiones maliciosas a su sitio web. Está
configurado para ejecutarse al inicio de la inicialización de WordPress para
filtrar los ataques antes de que plugins o temas puedan ejecutar cualquier
código potencialmente vulnerable.
Protege contra una serie de ataques comunes:
SQL Injection
Cross Site Scripting (XSS)
Malicius File Upload
Directory Traversal
Local File Inclusion
External Entity Expansion (XXE)
7 Wordfence Security by @jjpeleato
2 de junio de 2016
Para la instalación de Wordfence Web Application Firewall es necesario
optimizar el plugin pulsando en Optimize the Wordfence Firewall, al pulsar en
el botón Wordfence modificara el fichero .htaccess (tener en cuenta permisos
de escritura 644) para agregar una configuración y creara en la carpeta raíz un
fichero para su ejecución.
Firewall Status tiene tres modalidades:
Enabled and Protecting
Learning Mode
Disabled
Por defecto está habilitado la opción Learning Mode, el propio plugin te
aconseja dejar habilitada esta opción durante una semana antes de aplicar el
modo Enabled and Protecting.
Wordfence tiene una opción Premium en este apartado que consiste en la
actualización continua de las reglas de Firewall almacenadas en sus
servidores. La opción Free actualiza cada 30 días las reglas.
Más información:
https://docs.wordfence.com/en/WAF
8 Wordfence Security by @jjpeleato
2 de junio de 2016
3.3 Live traffic (Tráfico en línea)
https://docs.wordfence.com/en/Live_traffic#Logins_and_Logouts
SECCIÓN IMPORTANTE.
Desde este apartado tienes la opción de visualizar toda la actividad que se
produce en la web categorizada por “Human”, “Bot”, “Warning” y “Blocked”. Se
trata de información relevante que te va a permitir tomar decisiones
encaminadas a la mejora de seguridad del sitio.
Wordfence permite visualizar la información aplicando un filtro desde el menú
de opciones Filter traffic.
1. All hits: Registro de todo el tráfico ordenado por fecha descendente.
2. Human: Registro del tráfico que obedece a un comportamiento humano
(No robots o arañas). Esta opción también tiene su función para el
análisis y mejora de CRO (Conversion Rate Optimization).
9 Wordfence Security by @jjpeleato
2 de junio de 2016
3. Registered Users: Registro del tráfico que realizan usuarios
registrados. Esta opción también tiene su función para el análisis y
mejora de CRO (Conversion Rate Optimization).
4. Crawlers (Arañas): Robots que visitan la web con motivo de indexarla
(Yahoo, Bing, etc). Tambien existen arañas maliciosas.
5. Google Crawlers: Robots de Google que visitan la web para
indexación.
6. Pages Not Found: Registro de páginas no encontradas. Muy útil para
detectar IPs atacantes.
7. Logins and Logout: Registro de acceso o cierre de sesión a tu sitio
web. Muy útil para detectar IPs atacantes y si es necesario cambiar
contraseñas.
8. Locked Out: -
9. Blocked: Bloqueado de forma automática por Wordfence por seguridad
de red.
10. Bloqued By Firewall: Bloqueados por cortafuegos.
Desde la imagen podemos ver que con el filtro Blocked nos muestra una serie
de resultados, por ejemplo, que hace 3 horas y 26 minutos desde Rusia con un
Windows NT ha habido un intento de login y se ha bloqueado de forma
automática por seguridad.
10 Wordfence Security by @jjpeleato
2 de junio de 2016
Realizando un análisis exhaustivo de todo el tráfico que la web recibe se puede
llegar a la toma de decisiones para mejorar la seguridad y bloquear IPs, rango
de IPs, servidores, países, etc.
La interpretación de la información de esta sección puede dar pistas para tomar
acciones en beneficio de tu seguridad.
3.3 Performance Setup
Wordfence incorpora un sistema de cache. Una funcionalidad que puede
evitarte el uso de otros plugins de cacheo. Dispones de tres opciones, en la
cual destaca la modalidad Falcon Engine, que puede llegar a potenciar con un
incremento entre 30 y 50 veces la actual velocidad de carga del sitio web.
MUY IMPORTANTE: Habilitar la opción de cache Wordfence realiza
cambios en el fichero .htaccess, si nuestro fichero está bloqueado con
permisos de solo lectura (444) necesitaremos cambiarlos a escritura y
lectura (644) y después activar el sistema de caches.
La activación del sistema de caches realiza una compresión GZIP, esto
significa que se enviaran al navegador nuestros archivos comprimidos y el
propio cliente se encargara de descomprimir y visualizar. Actualmente uno de
los mejores métodos de optimización en velocidad.
NOTA: Habilitar la opción de cache desactiva el uso de Live Traffic
debido a razones de rendimiento.
Mi consejo es mantener esta opción desactivada y apostar por otros plugins de
cache, como por ejemplo, W3 Total Cache.
11 Wordfence Security by @jjpeleato
2 de junio de 2016
3.5 Bloqued IPs (IPs bloqueadas)
Herramienta que resume las distintas direcciones IP que han sido bloqueadas
por razones sospechosas en base a la configuración del plugin.
IPs that are blocked from accessing the site (IPs que están bloqueadas
para acceder al sitio). Muestra las IPs que no pueden visitar la página web.
En el caso de que una de estas IPs llegue a tu web se mostrara un mensaje de
aviso de que su petición no es bienvenida.
IPs that are Locked Out from Login (IPs que están bloqueadas a partir de
Login). IPs que han sido bloqueadas para realizar login en el sitio web y para
no poder emplear el mecanismo de recuperación de contraseñas de
WordPress.
IPs who were recently throttled for accessing the site too frequently (IPs
que recientemente aplicaron throttled para acceder al sitio con demasiada
frecuencia). IPs que intentan romper una de las reglas del motor de Wordfence
o que realizan demasiadas peticiones recurrentes en muy poco tiempo.
12 Wordfence Security by @jjpeleato
2 de junio de 2016
3.6 Password Audit
Característica de pago. Realiza una auditoria de contraseñas a los usuarios
según la opción seleccionada. Comprobación que tiene como función evitar
que sus cuentas no sean vulnerables a ataques de fuerza bruta. Puede analizar
las contraseñas de administradores, editores o todos los usuarios.
Las contraseñas en WordPress se almacenan con el método de encriptación
MD5 (Encriptación One-to-way). El proceso de comprobación de contraseñas
consiste en la comparación de las contraseñas encriptadas almacenadas en
nuestra base de datos contra un servidor utilizado como diccionario.
Por ejemplo, para los usuarios con rol administrador, se comprueban 38.000
contraseñas comunes y fáciles de adivinar, 450.000 palabras en inglés y 22
millones de palabras en inglés personalizadas.
Para los usuarios con un rol de usuario realiza una comprobación menos
exhaustiva con 10.000 contraseñas comunes y fáciles de adivinar, más
450.000 palabras en inglés y 22 millones de palabras en inglés personalizadas.
El proceso total trabaja con más de 269 millones de contraseñas.
3.7 Cellphone Sign-in
Característica de pago que permite configurar un factor de autenticación
empleando el teléfono móvil. Para acceder a la administración del sitio se
deberá introducir un código numérico que te llegara a tu móvil.
Método de conexión conocido como Two-step verification (Verificación en
dos pasos).
13 Wordfence Security by @jjpeleato
2 de junio de 2016
3.8 Country Blocking (Opciones de
bloqueo por país)
Característica de pago. Una de las mejores opciones del plugin y por la cual
recomiendo el upgrade a la versión Premium.
Tiene como función el bloquear por países el acceso a tu web. Emplea una
base de datos de geolocalización muy precisa. Tiene un rendimiento de
eficacia del 99’5 % para identificar correctamente de que país es la IP visitante.
La utilización de esta opción puede solucionar problemas que detectas a través
de Live Traffic, como actividad malintencionada desde por ejemplo Rusia y
bloquear todo acceso desde ese país.
Hay que analizar cuál es el rango de geolocalización de nuestro mercado en
Internet, si nuestro cliente es nacional o nosotros somos una empresa local y
no trabajamos a nivel internacional, esta opción es una medida muy válida y
recomendada.
Dentro de sus opciones Wordfence nos facilita que toda IP bloqueada que nos
visita mostrar un mensaje de bienvenida o re direccionar según URL.
14 Wordfence Security by @jjpeleato
2 de junio de 2016
3.9 Scan Schedule (Escaneos
programados)
Característica de pago. Opción para programar escaneos de tu sitio web
frente al escaneo diario y automático que realiza la versión gratuita.
3.10 Whois Lookup (Búsqueda en
Whois)
Herramienta que permite obtener información sobre una determinada IP o
nombre de dominio. Esta opción puede ayudarte a conocer quien esta tratando
de atacar tu web.
Desde esta opción podemos obtener la información del atacante y notificarlo a
la organización o proveedor de IP a través de los datos Registrar Abuse
Contact Email o Registrar Abuse Contact Phone.
15 Wordfence Security by @jjpeleato
2 de junio de 2016
3.11 Advanced Blocking (Bloqueo
avanzado)
La herramienta de bloqueo avanzada te permite bloquear rango de IPs,
direcciones de IP concretas, nombres de hosting, nombre de agentes que
concuerden con una cadena de caracteres que especifiques y agregar la razón
del bloqueo.
A través de un análisis de las herramientas anteriores puedes plantearte hacer
uso de este sistema de bloqueos si se detecta algo sospechoso desde Live
Traffic
3.12 Options
La configuración de opciones del plugin es la base de la lógica,
comportamiento y suma de funcionalidades del mismo, la configuración que se
realiza en este punto afecta al resto de opciones.
https://docs.wordfence.com/en/Wordfence_options
3.12.1 License
Después de instalar y activar el plugin, desde la sección de Wordfence ->
License se genera una llave que identificara nuestra web en los servidores de
Wordfence y verificara si se trata de una cuenta gratuita o Premium.
16 Wordfence Security by @jjpeleato
2 de junio de 2016
Recomendación: Activar cuenta Premium precio 5 $ aprox.
Si compras la versión Premium deberás introducir la licencia en este apartado y
se activarían todas las opciones inmediatamente.
3.12.2 Basic Options
Las opciones de configuración básica tienen como función activar/desactivar
las propias funcionalidades del plugin.
Enable Rate Limiting and Advanced Blocking.
Habilitado por defecto.
Esta opción permite activar o desactivar el límite de velocidad que se utiliza
para controlar la velocidad de tráfico enviado y funciones de bloqueo
avanzadas.
Opciones afectadas:
Contry Blocking (Bloquear según país)
Throttling
IP blocking (Bloquear IP)
Brute force protection (Protección fuerza bruta)
Two factor authentication (Verificación en dos pasos)
Todas las reglas aplicadas en Advanced blocking.
Enable login security
Habilitado por defecto.
Habilitar opciones de seguridad para el sistema de login.
17 Wordfence Security by @jjpeleato
2 de junio de 2016
Enable Live Traffic View
Habilitado por defecto.
Habilitar la vista de tráfico en vivo.
Nota: Puede ocasionar problemas en servidores o hosting con pocos recursos.
Advanced Comment Spam Filter (Premium)
Filtro avanzado de comentarios SPAM.
Check if this website is being "Spamvertised" (Premium)
Realiza un escaneo de nuestra web contra los servicios de anti-spam para
verificar que el nombre del dominio no está en sus listas.
Check if this website IP is generating spam (Premium)
Verificar con los servicios de SPAM si la IP de mi web consta como IP desde la
que se está haciendo SPAM.
Enable automatic scheduled scans
Habilitado por defecto.
Habilitar escáner automático y diario.
Update Wordfence automatically when a new version is released?
Opción desmarcada por defecto. Opción de auto actualización del plugin con
nueva versión disponible.
Recomendación: Dejar la opción desactivada y realizar la actualización
de forma manual previa copia de seguridad.
Where to email alerts
Correos electrónicos donde llegaran los avisos. Se pueden incluir varios
separados por comas.
Security Level
Opción que permite auto configurar todas las opciones del plugin en base a 5
niveles en función del grado de protección que se quiere implementar.
Level 0: Disable all Wordfence security measures. Desactiva todas
las medidas de seguridad (Desactiva el plugin). Opción para el caso de
existir algún problema de incompatibilidad que pienses que pueda estar
causado por alguna funcionalidad de este plugin.
18 Wordfence Security by @jjpeleato
2 de junio de 2016
Level 1: Light protection. Just the basics. Protección suave.
Configuración básica.
Level 2: Medium protection. Suitable for most sites. Protección
media. Apropiado para la mayoría de los sitios. Al instalar el plugin
opción habilitada por defecto.
Level 3: High security. Use this when an attack is imminent. Alta
seguridad. Emplea esta opción cuando un ataque sea inminente. Al
aplicar esta opción existe un cambio en las reglas del firewall y en las
opciones de seguridad.
Level 4: Lockdown. Protect the site against an attack in progress at
the cost of inconveniencing some users. Bloquear. Protege el sitio
contra un ataque en curso a costa de los problemas que puedes causar
a algunos usuarios de tu sitio web.
Custom settings. Ajustes personalizados.
How does Wordfence get IPs
Opción que determina el mecanismo que emplea Wordfence para recopilar las
direcciones IPs que te visitan. Dejar la opción por defecto y no modificar.
3.12.3 Advanced Options
Las opciones avanzadas nos ofrecen la opción de mejorar el comportamiento
del plugin y ser más precisos en su configuración.
3.12.3.1 Alerts
Las alertar son opciones de configuración que te permitirán estar informado por
email sobre lo que sucede en tu web. Cualquier comportamiento que sea
motivo de aviso genera un email a las cuentas de correo que se ha configurado
en Where to email alerts.
Email me when Wordfence is automatically updated
Notificación cuando Wordfence se actualiza de forma automática.
19 Wordfence Security by @jjpeleato
2 de junio de 2016
Alert on critical problems
Activado por defecto. Recibir notificaciones al detectar problemas críticos que
requieren de una solución.
Alert on warnings
Activado por defecto. Recibir notificaciones al detectar problemas que
requieren de una atención.
Alert when an IP address is blocked
Activado por defecto. Recibir notificaciones cuando se bloquea una IP.
Alert when someone is locked out from login
Activado por defecto. Recibir notificaciones cuando alguien es bloqueado por
intentar autenticarse.
Alert when the “lost password” form is used for a valid user
Activado por defecto. Recibir notificaciones cuando un usuario de nuestra web
intenta recuperar contraseña.
Alert me when someone with administrator Access signs in
Activado por defecto. Recibir notificaciones cuando algún usuario con nivel
administrador inicia sesión.
Alert me when a non-admin user signs in
Desactivado por defecto. No activar. Recibir notificaciones cuando cualquier
usuario que no sea administrador inicia sesión.
3.12.3.2 Email Summary
Esta característica te permite habilitar un resumen de la actividad de correo
electrónico.
Recibes un email que incluye los países más bloqueados, IPs mas bloqueadas,
top fallos login y ficheros modificados del sistema.
20 Wordfence Security by @jjpeleato
2 de junio de 2016
Puedes elegir cada cuando tiempo quieres recibir los mensajes y que
directorios quieres excluir por que cambian de archivos a menudo.
Tiene la opción de activar o desactivar un Widget en el panel de escritorio que
contiene la misma información que se recibe por correo.
3.12.3.3 Live Traffic View
Opción que ofrece la posibilidad de decirle al plugin que no tenga en cuenta
ciertos usuarios, IPs o user-agent que por las razones que creas oportunas no
quieres que sean monitorizados. Como por ejemplo, la opción que está
habilitada por defecto, de no monitorizar a los usuarios con acceso de
publicación. Opción que recomiendo desactivar para verificar que no están
intentando conectarse de forma fraudulenta.
Don‟t log signed-in users with publishing Access
No registrar a usuarios que inicien sesión si su nivel de usuario les permite
publicar. (Editor y autor).
List of comma separated usernames to ignore
Insertar lista de usuarios separados por coma que serán excluidos. Por
ejemplo, podemos agregar nuestro usuario y evitar el recibir notificaciones.
List of comma separated IP addresses to ignore
Ingresar lista de direcciones IPs separados por coma que serán excluidos. Por
ejemplo, podemos ingresar nuestra IP y evitar pasar los filtros de Wordfence y
ser bloqueados.
Browser user-agent to ignore
Insertar lista de user-agent de navegador que serán excluidos.
Amount of Live Traffic data to store (number of rows)
Número de filas visibles Datos del tráfico en tiempo real.
21 Wordfence Security by @jjpeleato
2 de junio de 2016
3.12.3.4 Scans to include
Diferentes tipos de escaneos que realiza el plugin. Según las opciones
habilitadas Wordfence realizara un comportamiento determinado desde el
menú Scan.
Scan public facing site for vulnerabilities? (¿Escanear sitio lado zona
pública en busca de vulnerabilidades?).
Recomendación: Desactivar.
Opción Wordfence Premium. La opción activa una exploración robusta y
externa durante sus exploraciones normales. Realiza una conexión desde un
servidor externo y analiza tu sitio web examinando el HTML representado
según se produce a través del código PHP que se ha ejecutado.
Scan for the HeartBleed vulnerability? (¿Escanear en busca de
vulnerabilidades HeartBleed?).
Recomendación: Activar.
HeartBleed consiste en un fallo de seguridad (bug) del popular software libre
OpenSSL Cryptography Library. Una herramienta de administración y
bibliotecas relacionadas con criptografía, que suministran funciones a otros
paquetes como OpenSSH y navegadores web para acceso seguro a sitios
HTTPS. La vulnerabilidad permite aún atacante leer la memoria del servidor o
cliente, permitiéndole por ejemplo, conseguir las claves privadas SSL de un
servidor. Y suplantar la navegación HTTPS.
Wordfence comprueba la integridad de la instalación del sitio web SSL y avisa
si existe alguna vulnerabilidad.
22 Wordfence Security by @jjpeleato
2 de junio de 2016
Activar opción si dispones de un servidor/hosting configurado con el protocolo
de navegación HTTPS.
Scan for publically accessible configuration, backup, or log files.
(Escanear configuración de acceso público, copias de seguridad y
archivos de registro).
Recomendación: Activar.
Escanea y comprueba los archivos de configuración que se pueden acceder de
forma remota, como por ejemplo la antigua configuración de WordPress de un
archivo wp-config.old. Impidiendo el acceso a estos archivos para mantener la
contraseña de la base de datos u otra información importante segura.
Scan core files against repository versions for changes. (Escanear
cambios de los archivos del núcleo contra el repositorio de versiones).
Recomendación: Activar.
Muy importante.
Esta exploración comprueba si los archivos del núcleo coinciden con los que
existen en el repositorio oficial de WordPress según versión. Si los archivos
han cambiado es probable que el sitio haya sido infectado por un malware y
Wordfence te muestra los cambios producidos.
Scan theme files against repository versions for changes. (Escanear
cambios de los archivos del theme contra el repositorio).
Recomendación: Activar/Desactivar.
Comprobación de cualquier tema instalado en su sitio con los que están en el
repositorio oficial de WordPress. Detecta automáticamente la versión que se
está ejecutando y realiza la comparación correcta. Se aplica a todos los temas
instalados.
Esta exploración no se aplica con los temas de pago o temas que no están en
el repositorio oficial.
Realiza una comprobación exhaustiva de si existen puertas traseras, malware,
URLs maliciosas, pero no puede comparar código.
Tener en cuenta que la mayoría de los temas son modificados y
personalizados, la activación de esta opción va a producir posibles detecciones
erróneas y deberás comprobar si son realizadas de forma intencionada o se
trata de una modificación por un ataque.
23 Wordfence Security by @jjpeleato
2 de junio de 2016
Scan plugin files against repository versions for changes. (Escanear
cambios de los archivos de los plugins contra los repositorios).
Recomendación: Activar/Desactivar.
Comprobación de cualquier plugin instalado en tu sitio con los que están en el
repositorio oficial de WordPress. Detecta automáticamente la versión que se
está ejecutando y realiza la comparación correcta. Se aplica a todos los plugins
instalados.
La mayoría de los plugins no se modifican y Wordfence puede realizar una
excelente verificación contra el repositorio oficial.
Tener en cuenta, que algunos desarrolladores no siguen las directrices oficiales
que ofrece WordPress y modifican algunos plugins o desarrollan un plugin a
medida. En este caso, se realiza un aviso y se debe detectar de forma manual
si existe una modificación en código intencionada o por un ataque.
Scan for signatures of known malicious files. (Escanear firmas conocidas
de archivos maliciosos).
Recomendación: Activar.
Realiza una exploración en los archivos y compara los valores hash con una
gran base de datos de archivos maliciosos conocidos y que mantiene la
compañía desarrolladora del plugin actualizada permanentemente.
Scan file contents for backdoors, trojans and suspicious code. (Escanear
el contenido de los archivos por puertas traseras, troyanos y código
sospechoso).
Recomendación: Activar.
Escaneo altamente recomendado de mantener activado debido a que
Wordfence mantiene una lista actualizada permanentemente de patrones en
código que coinciden en los archivos maliciosos. De esta forma, detecta si los
archivos del core, theme o plugins están corrompidos. Uno de los patrones que
se busca es una técnica muy utilizada por los crackers para ocultar código
malicioso en código, conocida como codificación en base64.
Scan posts for known dangerous URLs and suspicious content.
(Escanear post por contenido de URL‟s peligrosas y contenido
sospechoso.)
Recomendación: Activar.
Exploración de todo el sitio web accediendo a la base de datos y comprobación
de URLs peligrosas que están relacionadas con phising o hosting malware.
Altamente recomendado para no aparecer en blacklisted de Google.
24 Wordfence Security by @jjpeleato
2 de junio de 2016
Scan comments for known dangerous URLs and suspicious content.
(Escanear comments por contenido de URL‟s peligrosas y contenido
sospechoso).
Recomendación: Activar.
Exploración de todos los comentarios accediendo a la base de datos y
comprobación de URLs peligrosas y otros patrones que indican una infección.
Altamente recomendado para no aparecer en blacklisted de Google.
Scan for out of date plugins, themes and WordPress versions. (Escanear
plugins, themes y Wordpress en busca de versiones no actualizadas)
Recomendación: Desactivar.
Avisos por correo electrónico de nuevas actualizaciones.
Escanea las fechas de la última publicación de los plugins, themes o versiones
de Wordpress del repositorio oficial y comprueba contra las del sitio.
Scan for admin users created outside of WordPress. (Escanear usuarios
administradores creados fuera de Wordpress)
Recomendación: Activar.
Escanear usuarios nivel administrador creados por un método alternativo, como
por ejemplo a través de un plugin vulnerable.
Check the strength of passwords. (Comprobar la fortaleza de las
contraseñas).
Recomendación: Activar.
Verificación de contraseñas seguras para los usuarios y administradores.
Comprueba que los usuarios no tengan almacenadas contraseñas comunes.
Monitor disk space. (Monitorizar espacio en disco).
Recomendación: Activar.
Comprobación del espacio del servidor y aviso si se está a punto de quedarse
sin espacio.
Scan for unauthorized DNS changes. (Escanear cambios de DNS no
autorizados).
Recomendación: Activar.
Comprobación de DNS si existe un cambio en la IP. Wordfence realiza esta
comprobación debido a que existe la posibilidad de que un cracker acceda a su
25 Wordfence Security by @jjpeleato
2 de junio de 2016
sistema de administración de DNS, por ejemplo, pirateando su cuenta de
GoDaddy y podría introducir su sitio web en su propia dirección IP y suplantar
el sitio.
Scan files outside your WordPress installation. (Escanear archivos
externos de la instalación de WordPress).
Recomendación: Activar (Siempre).
Una de las opciones más potentes. Tiene como función incluir todos los
archivos fuera de la instalación de WordPress.
Una exploración por defecto en Wordfence realiza las búsquedas en los
siguientes directorios:
1. /wp-admin
2. /wp-content
3. /wp-includes
4. Todos los directorios de las carpetas anteriores
5. Todos los archivos de los directorios anteriores.
Con la opción habilitada se realiza una comprobación de todos los directorios
que se encuentran dentro del proyecto, aunque no sean parte de WordPress.
Por ejemplo, subdominios con instalación de otros CMS o páginas HTML
estáticas.
Scan images and binary files as if they were executable. (Escanear
imágenes y archivos binarios como si fueran ejecutables).
Recomendación: Activar.
Escanear código malicioso oculto en el interior de archivos, por ejemplo con
extensión de imagen, etc que ocultan scripts de ejecución.
Enable HIGH SENSITIVITY scanning. May give false positives. (Activar el
análisis de alta sensibilidad. Puede dar falsos positivos).
Recomendación: Desactivar.
Permitir análisis exhaustivo, realiza una comprobación total de los diferentes
tipos de archivos, como registros, copias de seguridad, etc, que normalmente
se ignoran.
Generan falsos positivos que se deben analizar si los ataques persisten en el
tiempo.
Habilitar solo en el caso de no disponer de más opciones.
26 Wordfence Security by @jjpeleato
2 de junio de 2016
3.12.3.5 Rate Limiting Rules.
Configuración del módulo Firewall que incluye Wordfence. Los cortafuegos
funcionan a través de reglas según el tráfico que llega a nuestra web y si no
cumplen con las normas se toma una acción.
Wordfence dispone de dos acciones throttle it (Acción menos agresiva,
bloquea por rango, se activa si se supera determinado rango establecido y se
limita la conexión) y block it (Acción que directamente bloquea al usuario cuyo
tráfico ha saltado la regla del firewall).
Immediately block fake Google crawlers
Activar opción. Bloquea el tráfico que intenta acceder a nuestra web
suplantando ser el bot de Google rastreando nuestra web.
How should we treat Google‟s crawlers
Como tratar a los rastreadores de Google.
Seleccionar: Verified Google crawlers have unlimited Access to this site.
If anyone‟s request exceed
Cualquier petición excede la regla.
Seleccionar: 4 per minute (1 every 15 seconds) then throttle it.
If a crawler‟s page views exceed
Si las arañas exceden la regla de páginas vistas.
Seleccionar: 240 per minute (4 per second) then throttle it.
If a crawler‟s pages not found (404s) exceed
Si las arañas exceden la regla de paginas 404.
Seleccionar: 15 per minute (1 every 4 seconds) then block it.
27 Wordfence Security by @jjpeleato
2 de junio de 2016
If a human‟s page views exceed
Si un humano excede la regla de páginas vistas.
Seleccionar: 10 per minute (1 every 6 seconds) then throttle it.
If a human‟s pages not found (404s) exceed
Si un humano excede la regla de páginas 404.
Seleccionar: 30 per minute (1 every 2 seconds) then block it.
If 404s for known vulnerable URLs exceed
Si se excede de vulnerabilidades 404 conocidas.
Seleccionar: 15 per minute (1 every 4 seconds) then block it.
How long is an IP address blocked when it breaks a rule
Tiempo de bloqueo de una dirección IP cuando rompe una regla.
Seleccionar: 30 minutes.
3.12.3.6 Login Security Options.
Configuración de las opciones de seguridad para acceder al sitio web,
podemos limitar los intentos de acceso a aquellos que están realizando un
ataque. También podemos forzar a que todos los usuarios de nuestro blog o
web empleen contraseñas fuertes. Podemos determinar el tiempo de bloqueo.
Además dispone de unas casillas para otras tareas de seguridad como prevenir
que se pueda ver los nombre de usuarios si se hace un búsqueda “?/autor=N”
en la URL, evitar que WordPress muestre usuarios válidos al realizar intentos
de acceso fallidos, etc.
28 Wordfence Security by @jjpeleato
2 de junio de 2016
Enforce strong passwords?
Forzar el uso de contraseñas fuertes.
Seleccionar: Force admins and publishers to use strong passwords
Lock out after how many login failures
Bloquear después de “x” fallos de login.
Seleccionar: 3
Lock out after how many forgot password attempts
Bloquear después de “x” intentos de recuperación de contraseña.
Seleccionar: 2
Count failures over what time period
Contador de fallos durante un periodo de tiempo.
Seleccionar: 5 minutes
Amount of time a user is locked out
Cantidad de tiempo que un usuario está bloqueado.
Seleccionar: 10 minutes
Immediately lock out invalid usernames
Bloquear inmediatamente los nombres de usuarios inválidos.
Seleccionar: Desactivar.
Don‟t let WordPress reveal valid users in logins errors
No dejar a WordPress revelar los usuarios validos en los inicios de sesión.
Seleccionar: Activar.
Prevent user registering „admin‟ usernmae if it doen‟s exist
Prevenir a los usuarios que se intentan registrar con el usuario admin.
Seleccionar: Activar.
Prevent discovery of usernames through „/?author=N‟ scans
Evitar descubrir nombres de usuario a través de URL.
Seleccionar: Activar.
29 Wordfence Security by @jjpeleato
2 de junio de 2016
Immediately block the IP of users who try to sign in as these usernames.
Bloquear automáticamente a todos los que se intentar conectar con el nombre
de usuario indicado y separado por salto de línea.
Por ejemplo, podemos bloquear a los usuarios que se intentar conectar por:
admin
administrador
Nombre del dominio
3.12.3.7 Other Options.
Otras opciones (también preconfiguradas) para mejorar la seguridad de nuestro
sitio web.
Whitelisted IP addresses that bypass all rules
Añadir nuestra IP para evitar que Wordfence bloquee nuestro ordenador.
Immediately block IP's that access these URLs
Bloquear a quienes traten de acceder directamente a determinadas áreas de nuestra web.
Whitelisted 404 URLs
Lista blanca que no se contaran en las reglas del firewall.
Hide WordPress versión
Ocultar la versión de WordPress.
Meta etiqueta “generator” que por defecto aparece en la cabecera.
30 Wordfence Security by @jjpeleato
2 de junio de 2016
Block IP's who send POST requests with blank User-Agent and Referer
Bloquear scripts que intenten iniciar sesión o enviar comentarios de SPAM.
Hold anonymous comments using member emails for moderation
Wordfence detecta que alguien anónimo usa el email de un usuario para publicar un comentario y lo pondrá en revisión.
Filter comments for malware and phishing URL's
Filtros de comentarios a través de la lista Google Safe Browsing que alerta a los usuarios sobre alguna web que no es segura para navegar.
Check password strength on profile update
Comprobar la fuerza de una contraseña cuando un usuario actualiza su perfil. El usuario recibirá una notificación de que su contraseña es débil.
Participate in the Real-Time WordPress Security Network
Si se habilita esta opción estaremos compartiendo información sobre intentos de vulnerar nuestra web de forma anónima con Wordfence. Al ser una comunicación en tiempo real, la red de Wordfence mantendrá una lista de IPs y regiones donde se están produciendo ataques y enviara esta lista a las web que estén participando.
How much memory should Wordfence request when scanning
Memoria de uso que utilizara Wordfence para realizar un escáner. Esta opción depende del servidor. Recomendación dejar el valor por defecto.
Maximum execution time for each scan stage
Tiempo máximo de ejecución por cada etapa del escáner. Recomendación dejar en blanco.
Update interval in seconds
Intervalo de actualizaciones por segundo.
Delete Wordfence tables and data on deactivation?
Eliminar tablas creadas por Wordfence en nuestra base de datos. Recomendación de activar esta opción para limpiar registros.
Disable Wordfence Cookies
Desactivar cookies Wordfence
31 Wordfence Security by @jjpeleato
2 de junio de 2016
Disable Code Execution for Uploads directory
Desactivar la ejecución de código para el directorio uploads.
3.12.3.8 Exporting and Importing Wordfence Settings.
Opción para proporcionar de una forma rápida el exportar e importar
configuraciones personalizadas entre diferentes sitios web.
Las configuraciones se exportan a los servidores de Wordfence de forma
segura y se almacenan allí y solo son accesibles a través de un secret token
que se obtiene al exportar la configuración.
3.13 Diagnostics
La sección de Diagnostico nos muestra toda la información referente a nuestro
sistema de archivos, gestor de base de datos, PHP, protocolo de conexión, IP
del servidor, versión de WordPress, plugins, ejecución de cron’s y base de
datos.
Además, nos permite realizar test de verificación, para comprobar el estado de
nuestro servidor, opciones para actualizar las reglas del firewall y opciones
debugging.
32 Wordfence Security by @jjpeleato
2 de junio de 2016
4.0 Conclusión En la página oficial de Wordfence existe un mapa de ataques en tiempo real de
páginas web con el plugin instalado, a la hora de redactar esta conclusión,
existían 17.291 ataques por minuto y solo mostraba el 3% de la actividad.
Es importante saber que el núcleo de WordPress es uno de los más seguros en
los sistemas de gestión de contenidos, no obstante, esto no significa que no
pueda ser vulnerable. Muchos de los grandes problemas vienen a través de los
themes y plugins, que no se desarrollan desde un punto de vista de seguridad
aunque sean el mejor plugin hablando de funcionalidad.
Mi recomendación es instalar siempre un plugin de seguridad, que nos ayude a
monitorizar y a la toma de decisiones de forma automática y manual.
Wordfence es uno de los mejores plugins de seguridad del repositorio oficial de
WordPress en su versión gratuita y el que recomiendo encarecidamente.
Su cita:
“Wordfence works great out of the box for most websites. Simply install
Wordfence and your site and content is protected. For finer granularity of
control, we have provided advanced options”.
Gracias de antemano y un saludo José J. Peleato Pradel.
“Simplemente, instala Wordfence”.
@jjpeleato
www.jjpeleato.com