Table of Contents
- Reseña sobre All in One WP Security and Firewall
- All in One WP Security and Firewall: Explicado
- #1 Escritorio
- #2 Ajustes
- #3 Cuenta de Usuario
- #4 Acceso de Usuario
- #5 Registro de Usuario
- #6 Seguridad de la Base de Datos
- #7 Seguridad del Sistema de Archivos
- #8 Lista Negra
- #9 CortaFuegos
- #10 Fuerza Bruta
- #11 Prevencíon de Spam
- #12 El Explorador
- #13 Mantenimiento
- #14 Varios
- ¿Es este Plugin Necesario?
- Resumen de Puntos no Necesarios
Reseña sobre All in One WP Security and Firewall
Uno de los mejores plugins con una gran variedad de funciones para proteger tu sitio de WordPress es el plugin All in One WP Security and Firewall.
Es un plugin completamente gratuito y que cubre una gran variedad de aspectos de seguridad de WordPress.
Es un plugin para dar los primeros pasos en el mundo de la seguridad.
Habiendo dicho esto creo el plugin complementa muy bien con el servicio gratuito que ofrece CloudFlare.
All in One WP Security and Firewall: Explicado
All in One WP Security and Firewall es un plugin que te da una calificación conforme realizas la implementación de mucha de sus funcionalidades.
El máximo puntaje que puedes obtener es 515 pero nunca lo he alcanzado debido a que hay muchas medidas que no las he implementado por lo redudante que son.
Por ejemplo.
Cambiar la dirección de acceso, usar una palabra secreta y bloquear la dirección de acceso nos son necesarias ya que el bloqueo por IP es super efectivo.
En esta publicación, estaré valorando si una cuenta gratuita de CloudFlare tiene la capacidad de protegerte tambien.

#1 Escritorio
La sección que se llama Escritorio no tiene elementos de protección pero en esta puedes encontrar información sobre la implementación de los diferentes módulos, las direcciones IP bloqueadas, lista de bloqueos permanentes y algunos detalles sobre este plugin y tu sitio.
Básicamente esta sección busca dar información
#2 Ajustes
La sección de ajustes tiene opciones para deshabilitar funciones del plugin, algo útil si crees que el plugin tiene completo con otras funciones de tu sitio.
Este plugin tambien tiene las opciones de respaldar dos archivos importantes de tu sitio y la sección de ajustes.
En esta parte tenemos la opción de remover la información de nuestro sitio que le hace saber a los bots que se esta usando WordPress y la versión que usas.
Si estás usando la última versión de WordPress que tiene todas las implementaciones de seguridad, considero que no hay nada de qué preocuparse.
#3 Cuenta de Usuario
El siguiente punto es la cuenta de usuario, esta parte básicamente consiste en usar un nombre de usuario que no tenga relación con:
- La palabra admin
- Nombre del sitio
- Nombre del autor
y que este tenga una contraseña robusto.
Esta recomendación de seguridad no requiere de un plugin, usa LastPass para generar contraseñas robustas y que sean diferentes a las de los demás sitios y cuentas que tienes
#4 Acceso de Usuario
Esta sección del plugin te permite:
- Restringir el número de intentos que pueden ser realizados por un usuario en la página de acceso.
- Bloquear usuarios cuyo nombres de usuario no están registrados en el sistema.
- Ver número de intentos fallidos y los usuarios conectados.
- Forzar que los usuarios sean desconectados después de un periodo de tiempo.
- Ver un registro de acceso y el numero de usuarios conectados.
#5 Registro de Usuario
Esta sección tiene que ver con el registro de usuarios nuevos en el sitio.
Este sección requiere la aprobación de nuevos usuarios, el llenado de un captcha de registro y el uso de honeycomb para detener a bots que intentan registrarse en el sitio.
#6 Seguridad de la Base de Datos
La base de datos es uno de los elementos más importantes debido a que la información crucial del sitio se encuentra disponible en ella.
La recomendacioń de All in One WP Security and Firewall permite cambiar el prefijo de la base de datos.
Este plugin tambien es capaz de hacer un respaldo de la base de datos.
#7 Seguridad del Sistema de Archivos
La seguridad del sistema de archivos se asegura que estos tengan el permiso correcto.
Los permiso recomendados son los siguientes:
/public_html/ | 0755 |
public_html/wp-includes | 0755 |
/public_html/.htaccess | 0644 |
/public_html/wp-admin/index.php | 0644 |
/public_html/wp-admin/js/ | 0755 |
/public_html/wp-content/themes | 0755 |
/wp-content/plugins | 0755 |
/public_html/wp-admin | 0755 |
/public_html/wp-content | 0755 |
/public_html/wp-config.php | 0640 |
Las otras opciones impide a los administradores editar archivos de PHP e impedir el acceso a archivos tales como readme.html, license.txt y wp-config-sample.php
#8 Lista Negra
La lista negra lo que permite es añadir las direcciones IP’s de usuarios no gratos a tu sitio para que no tengan acceso a ninguna parte de este.
La función de bloquear usuarios tambien esta disponible en CloudFlare sin embargo CloudFlare se encarga de esto de una mejor manera.
CloudFlare permite que le des un desafio de seguridad que provienen de ciertos países que no deberían estar revisando tu sitio o que son populares por el uso de bots y demás.
#9 CortaFuegos
El cortafuegos realiza varias funciones divididas en varias pestañas
Reglas Basicas de CortaFuegos
- Protege tu archivo htaccess al negar el acceso al mismo.
- Desactiva la firma del servidor.
- Limita el tamaño de subida de archivos (10MB).
- Protege tu archivo wp-config.php al negar el acceso al mismo.
- Bloquea la funcionalidad XML-RPC de WP
- bloquear el acceso al archivo debug.log
Reglas Adicionales del Cortafuegos
- desactivar el listado de archivos y directorios.
- desactivar el rastreo y seguimiento.
- prohibir el proxy en la publicación de comentarios.
- Prohibir consultas maliciosas a través de XSS.
- bloquear coincidencias de caracteres XSS maliciosos.
Reglas del Cortafuego de la Lista Negra 6G
- Implementación de cortafuegos 5G
- Implementación de cortafuegos 6G
HotLinking y Otros
- Bloquear bots de Internet
- Evitar Hotlinking
- Detección de Errores 404
#10 Fuerza Bruta
Esta opcioń te permite cambiar la dirección de acceso. Adicionalmente tambien puedes tener acceso a esta por medio de una palabra secreta, mediante el uso de una lista de acceso.
Esta opción tambien permite agregar un señuelo.
#11 Prevencíon de Spam
En mi caso personal, yo no creo que los comentarios sean importantes en un sitio por varias razones.
Los comentarios son una fuente de SPAM y en realidad las buenas conversaciones las encontraras en diferentes redes sociales.
Si deseas leer más sobre mi posición sobre los comentarios, lee mi opinión sobre el porque deberías desactivar los comentarios en WordPress
#12 El Explorador
El explorador de este plugin es muy útil porque te indica sobre los cambios que recientemente fueron realizados en tu sitio.
#13 Mantenimiento
La opcioń de mantenimiento te permite poner tu sitio en «modo de mantenimiento» bloqueando a todos los visitantes excepto a los usuarios conectados con privilegios de super administrador.
Mi opinion
Mi opinión es que debes de tener un respaldo, si crees que tu sitio ha sido vulnerado, restaura el sitio y empieza con la instalación de detectores de Malware.
#14 Varios
La opción varios se encarga de varios detalles que no tienes que ver con la seguridad estrictamente
- Desactivar el «clic derecho», la «selección de texto» y la opción «Copiar» en tu sitio.
- Evitar que otros sitios muestren tu contenido en un marco o un iframe.
- Detener la enumeración de usuarios.
- Evitar el acceso a la REST API a no conectados en las solicitudes.
¿Es este Plugin Necesario?
Este plugin cubre 14 puntos de seguridad, repasemos su utilidad:
Sección #1
La sección que se describe como escritorio tiene únicamente información sobre el uso del plugin.
Sección #2
La sección de configuración únicamente tiene la opción de remover la versión de WordPress de todas las páginas.
WP White Security, un blog sobre seguridad o sobre plugins afirma que ocultar que usas WordPress no es medida de seguridad.
Desde el punto práctico, yo tengo habilitada esta opción y siempre obtengo errores 404 de personas buscando plugins en mi sitio que han sido explotados por hackers en el pasado.
Si tu sitio cuenta con las últimas actualizaciones, no deberías de preocuparte por esto porque los ataques a sitios web son computarizados en gran escala.
La última versión por si misma no es un problema de seguridad en si.
Sección #3
La sección #3 tiene que ver con las cuentas, esto no requiere el uso de un plugin, solo debes de usar un usuario y una contraseña que sean difíciles de descifrar.
Yo recomiendo que uses LastPass para tener una contraseña robusta.
Seccioń #4
La opción de limitar los intentos fallidos, la considero importante mientras que las otras opciones son un buen complemento pero no tan cruciales en temas de seguridad.
Un plugin de autenticación de dos factores es más que suficiente. La verdad es que no debes preocuparte en exceso por un registro si tiene una buena medida de seguridad
Sección #5
Si tu sitio no es un sitio de membresia o un sitio de ventas por Internet, simplemente desactiva la opción de permitir nuevos registros y ya tienes un problema resuelto.
Sección #6
Cambia el prefijo de la base de datos con este plugin una vez y que los respaldos de la base de datos y de tu sitio se guarden en sitios externos.
Sección #7
Esta sección le pone los permisos correctos a los archivos, eso es algo que haces de manera muy conveniente desde el plugin pero tambien puedes hacerlo con Filezilla.
Este archivo permite bloquear la edición de archivos PHP desde el escritorio, lo problemático es que un hacker si entro por medio de fuerza bruta, lo puede desactivar sin problemas.
El bloqueo de la edición de archivos se puede desactivar mediante un código en el archivo wp-config.php
Los archivos como readme.html, licence.txt y wp-config-sample.php se puede realizar mediante CloudFlare y agregando código en el archivo .htaccess.
Sección #8
El bloquear direcciones y user agents es un proceso agotador y bastante distractor, puedes usar el Firewall de CloudFlare para evitar añadir más código al archivo .htaccess.
Sección #9 (Lo Mejor de All in One WP Security and Firewall)
Esta sección es la que vale la pena ya que esta sección contiene el Firewall que impide ataques.
Sección #10 (Lo Mejor de All in One WP Security and Firewall)
Esta es una sección que considero valioso porque permite renombrar la dirección de acceso a lo que quieras y autorizar solo una serie de direcciones IP para que tengan acceso a esta.
Sección #11
Yo no le encuentro valor a los comentarios cuando la conversación sobre tema de WordPress por lo general es mucho mejor en Grupos de Facebook.
Sección #12
Esta sección es un remedio ya que te ayuda a determinar que sitios archivos han sido modificados desde que tu sitio fue vulnerado.
Sección #13
La sección de Mantenimiento es de poco uso para la mayoria de usuarios
Sección #14
La numeración de usuario no es tan problemática si tienes una buena contraseña o si tu página de acceso fue cambiada y bloqueada por IP.
El usar el contenido de tu sitio mediante Iframe en sitios externos se puede prevenir mediante el uso de CloudFlare pero no presenta problemas de seguridad.
Resumen de Puntos no Necesarios
Este es mi resumen sobre las funcionalidades del plugin, ver sección anterior que detalla mis razones.
#1 | Escritorio | No tiene medidas de Seguridad |
#2 | Configuración | Funcionalidad no Necesaria |
#3 | Cuenta de Usuario | No requiere uso de Plugin |
#4 | Acceso | Uso otro Plugin de Seguridad |
#5 | Registro de Usuario | Funcionalidad no Necesaria |
#6 | Seguridad de Base de Datos | Funcionalidad no Necesaria |
#7 | Archivos del Sistema | Control con FileZilla y .HTACCESS |
#8 | Lista Negra | Funcionalidad no Necesaria |
#9 | Firewall | Una buena Funcionalidad |
#10 | Fuerza Bruta | Una buena Funcionalidad |
#11 | SPAM | Funcionalidad no Necesaria |
#12 | Scanner | Limpia el Sitio Mejor |
#13 | Mantenimiento | Funcionalidad no Necesaria |
#14 | Miscellaneous | Funcionalidad no Necesaria |