ITHEMS Lista de verificación de configuración de seguridad: cómo configurar iThemes Security

El complemento de seguridad de ITHEMS incluye una verificación de seguridad de WordPress de un solo clic, pero aún puede tener preguntas sobre la otra configuración y cómo configurar el complemento correcto en su sitio web. En esta publicación, revisaremos una lista completa de verificación de la configuración de seguridad ITHEMS, con una explicación sobre configuraciones, características Pro y elementos de seguridad de WordPress fundamentales.

Configuración de un solo clic WordPress Security Check
Ejecute la verificación de seguridad. Lo primero que querrá hacer después de activar la seguridad de IThemes es ejecutar la verificación de seguridad. Esta función está diseñada para guardarlo, activar la configuración sugerida que sabemos no interferirá con su entorno. Tenga en cuenta que algunas características como dos factores continuarán requeriendo configuraciones adicionales.
Configuración global
Asegúrese de que el correo electrónico para notificaciones de seguridad sea correcta.
Habilite la referencia de correo electrónico para ayudar a cargar notificaciones.
Puede personalizar diferentes mensajes de bloqueo.
Aquí están la principal configuración de prohibición. Este es el criterio que utilizan las características para determinar cuándo prohibir permanentemente las direcciones IP. Las direcciones IP prohibidas se escriben en el archivo .htaccess.
Muestra la dirección IP aquí en una lista blanca para evitar bloquearla.
Elija si almacena registros de seguridad en la base de datos o en un archivo almacenado en su servidor.
Elija cuánto tiempo para mantener las revistas para ayudar a conservar los recursos
Si usa el servicio InfiniteWP, querrá activar la compatibilidad para ello.
No active la desactivación del bloqueo de archivos, a menos que la asistencia instruya esto. Si no utiliza un servicio proxy como barniz o nubeFlare, puede activar el servicio de anulación proxy para identificar mejor los IP.
Active el informe de nota si desea identificar las vulnerabilidades en el sitio. Puede ajustar quién puede verlo en el módulo de informe del informe.
Detección 404
Antes de activar la detección 404, querrá consultar su sitio con un verificador de 404. Si su sitio tiene muchos 404, puede bloquear usuarios y robots legítimos.
En la sección de bloqueo, notará los criterios de bloqueo que estaban en su entorno global. Una vez que la configuración de bloqueo de detección 404 cumplan con estos criterios, las direcciones IP se escribirán en .htaccess y permanentemente prohibidas.
Si sabía 404, no desea dar lugar a bloqueos, puede colocarlos en la lista White 404.
Puede especificar las extensiones de archivo que no desea dar como resultado bloqueos.
El modo Modo de modo de viaje le brinda una forma de bloquear completamente la página de autenticación, incluso de usted, cuando no es necesario.
Antes de configurar el tiempo que desea activar, asegúrese de que la hora actual coincida con el tiempo del sitio.
Elija ser activado una vez o reaparecer diariamente.
Si necesita acceder al sitio mientras está fuera activado, deberá eliminar el archivo itsec_away.confg que se encuentra en wp- contenido> cargas> iThemes-Security.
Usuarios prohibidos La lista predeterminada de reparación de hack predeterminada permite una lista negra con varios actores y robots mal conocidos que es posible que no necesite. Sin embargo, algunos sitios que usan aplicaciones de terceros necesitan algunas de ellas. Verifique la funcionalidad completa de su sitio después de activarlo. La lista de direcciones IP e intervalos IP que se prohibirán de su sitio. Puede usar formatos IPv4 o IPv6.
Puede prohibir ciertos agentes de usuario.
Protección local de la fuerza bruta En la sección de bloqueo, notará los criterios de bloqueo que estaban en su entorno global. Una vez que la configuración de bloqueo de la fuerza bruta cumpla con estos criterios, las direcciones IP se escribirán en .htaccess y permanentemente prohibidas.
Puede elegir bloquear automáticamente a un usuario que intente conectarse con el nombre de usuario “Administrador”. Si no tiene un usuario en su sitio con este nombre de usuario, debe activar esta función.
Copias de seguridad de bases de datos
Cree manualmente una copia de seguridad y establezca un programa.
Elija el método de respaldo y cuántos niños de respaldo para mantener. Si tiene tablas, no necesita hacer una copia de seguridad, como registros o tablas temporales, puede excluirlas para ahorrar recursos.
Si elige activar la copia de seguridad programada, puede configurar con la frecuencia que se ejecutará.
Detección de cambios de archivo De acuerdo con lo que sucede con su sitio, esta puede ser la característica más intensa de los recursos de complementos.
Active el escaneo de archivos divididos para que los escaneos sean más efectivos.
Puede elegir incluir o excluir archivos y directores escaneados. Por lo general, sugiero la exclusión de archivos con procesos conocidos para ayudar a calmar el ruido blanco. Un ejemplo a este respecto sería el almacenamiento de archivos, directores de reserva y archivo .htaccess. Por supuesto, esta es preferencia personal. Elija cómo ser notificado sobre los cambios de archivo.
Compare los archivos en línea escanearán los archivos principales y los archivos principales de WordPress e informará si alguna modificación es maliciosa.
Los permisos de permisos de archivo le ofrecen una presentación rápida del directorio y los permisos de archivo y proporciona valores sugeridos. Diferentes entornos usan diferentes permisos y está bien.
Asegúrese de que sus directores no tengan 777 y sus archivos no sean 666.
Protección de la fuerza de red bruta
Cuando activas esto, puedes “compartir la multitud” en nuestra lista negra. Si se ha prohibido alguna IP en cualquier otro sitio en nuestra red, estará prohibido de su sitio.
Ssl
El módulo SSL le permite forzar SSL en todo el sitio, en la página o en el tablero, si su sitio acepta SSL. Tenga en cuenta que los sitios SSL no necesariamente necesitan esto, solo aquellos que no forzan las redirecciones a HTTPS.
Aplicación de contraseña segura
Puede forzar a los usuarios dependiendo del rol de usar contraseñas seguras, de acuerdo con el tasador de contraseñas de WordPress.
Cambios en el sistema
El módulo de ajuste del sistema tiene algunos cambios para garantizar la seguridad de su sitio. Sin embargo, muchos de ellos tienen el potencial de entrar en conflicto con su sitio. La funcionalidad completa del Sitio debe verificarse después de la activación de cada uno. Los archivos del sistema protege los archivos confidenciales que el público verá.
Navegación del Director: evite que los usuarios vean la lista de Directores del Sitio cuando no está presente un archivo index.php.
Desactiva los métodos de solicitud: filtra el acceso con los métodos de seguimiento, eliminación y solicitud de seguimiento. Esto evita que estos métodos de protocolo HTTP accedan a su sitio. Aunque pueden usarse legítimamente, también se pueden usar en un ataque de inscripción transversal. Si usa la API REST, no debe deshabilitarlos.
Cadenas de consulta sospechosas: ayuda a combatir las inyecciones de SQL.
Las inyecciones de SQL de combate de caracteres no ingleses, pero nunca deben usarse en sitios no ingleses.
URL largas: ayuda a combatir las inyecciones de SQL.
Archivo de redacción de permisos-cambio .htaccess y wp-config.php archivos en un permiso 444 más seguro. Por defecto, son un 644 menos seguro.
Desactivar PHP en las cargas: esto no afecta la funcionalidad. Evite que las fuentes externas ejecuten scripts potencialmente dañinos.
Desactivar PHP en complementos: esto no afecta la funcionalidad. Evite que las fuentes externas ejecuten scripts potencialmente dañinos.
Deshabilite PHP en temas: esto no afecta la funcionalidad. Evite que las fuentes externas ejecuten scripts potencialmente dañinos.
Ajustes de WordPress
El módulo de ajustes de WordPress tiene más cambios para garantizar la seguridad de su sitio. Sin embargo, muchos de ellos tienen el potencial de entrar en conflicto con su sitio. La funcionalidad completa del sitio debe verificarse después de activar cada uno., Desactive el acceso a este archivo.
Descubrimiento realmente simple: si no usa un servicio que lo use, desactíquelo.
Comentario de spam: activar esto ayuda a reducir el spam.
Editor de archivos: activar esta opción deshabilita el editor de archivos, limitando la edición del tema y los complementos solo para aquellos que tienen acceso directo al servidor.
XML-RPC-Este archivo puede permitir el acceso a su sitio si nada en su sitio lo usa, apáguelo. Si está utilizando JetPack o la aplicación Mobile WordPress, configúrela para desactivar pingbacks.
Los múltiples intentos de autenticación para cada archivo XML-RPC-XML-RPC pueden permitir que un ataque de fuerza bruta haga cientos de intentos en la solicitud. Esto debería estar deshabilitado.
REST API: por defecto, la API REST puede proporcionar acceso público a publicaciones, usuarios y materiales de medios. Debe limitarse solo a los usuarios conectados que tienen acceso a esta información.
Reemplace JQuey con una versión segura: esta función se asegurará de que use la versión correcta de JQuey para su versión de WordPress.
Mensajes de error de inicio de sesión: los mensajes de error desactivados ocultan la razón por la cual la autenticación ha fallado, lo que dificulta el ataque.
Fuerza a un seudónimo único: ayuda a combatir la enumeración de los usuarios al forzar a los nuevos usuarios y usuarios que actualizan su perfil para usar un apodo para evitar nombres de usuario. Pese el nombre de usuario.
Protégase contra la volcado: evita los ataques de phishing cuando se conectan a un sitio externo.
Autenticación con dirección de correo electrónico o nombre de usuario si los usuarios pueden autenticarse con nombre de usuario, correo electrónico o ambos.
Atenúa el ataque transversal de los archivos adjuntos: las versiones de WordPress 4.9.6 y el anterior pueden permitir que un usuario con ciertas capacidades intente eliminar archivos fuera del directorio de carga.
WordPress Salts sin ser extremadamente técnicas, WordPress usa cookies (o información almacenada en su navegador) para verificar la identidad de usuarios y comentaristas conectados, por lo que WordPress también incluye autenticación secreta y sales en el archivo WP-Config. Php. Al igual que otras contraseñas, cambiar las sales de WordPress de vez en cuando es una buena práctica.
Características avanzadas
Ocultar el backend: la función Ocultar backend le permite cambiar su idioma de inicio de sesión. Cambiar la URL de WordPress agrega una buena capa de seguridad adicional, pero no debe tener lugar con contraseñas con dos factores y contraseñas poderosos. Esta característica se encuentra en la página de configuración avanzada debido a su posibilidad de entrar en conflicto con otros complementos y temas.
Usuario del administrador Algunas instalaciones de WordPress tienen un administrador de nombre de usuario estándar, con una ID de base de datos de 1. Esta característica le permite cambiarlas en ambos. Si su sitio no tiene un administrador de nombre de usuario, la opción de modificarla no estará presente.
Debe hacer una copia de seguridad antes de usar esta función. Si algo no funciona bien durante la actualización, esta es la forma de recuperación más simple.
Cambiar el directorio de contenido
Esta característica le permitirá ocultar su director de contenido WP renombrándolo.

La función cambia el director de contenido solo debe usarse en nuevas instalaciones de WordPress. Romperá un sitio con cualquier medio existente.
Hay una opción de devolución si el sitio está interrumpido, pero debe hacer una copia de seguridad antes de usar esta función.
Cambiar el prefijo de la base de datos
Cambiar el prefijo de la base de datos podría causar problemas de memoria que podrían conducir a la falla de la actualización. Pero mientras tengas una copia de seguridad, puedes recuperarte por completo.
Por defecto, todos los sitios de WordPress tienen el prefijo WP_. Esta característica aún oculta su sitio cambiándolo a algo aleatorio.
Debe hacer una copia de seguridad antes de usar esta función. Si algo no funciona bien durante la actualización, esta es la forma de recuperación más simple.
Reglas de configuración del servidor y wp-config.php
Es posible que haya optado por no permitir que IThemes Security escriba en estos archivos, o tal vez, por algunas razones. Puede encontrarlos aquí para agregarlos manualmente.
IThemes Security Pro Características Pro
Magic lazos activan enlaces mágicos para recibir un correo electrónico cuando se usará un enlace alternativo cuando su nombre de usuario se haya bloqueado debido a un ataque de fuerza bruta. El programa de escaneo de malware tiene malware integrado Sitecheck Scanner. Net. El escáner en la barra lateral derecha hará un escaneo rápido de su página inicial.
La activación de la programación establecerá el escáner para escanear su sitio por completo dos veces al día. Puede configurar un correo electrónico de notificación cuando puede encontrar problemas o puede verificar los registros.
El privilegio de la escalada
Puede otorgar privilegios de administrador temporales a cualquier usuario y puede establecerlos para expirar en cuántos días desea.
Requisitos de contraseña
Contraseña de vencimiento: es una buena práctica actualizar su contraseña de WordPress. Con la contraseña expirada, puede obligar a los usuarios después de los roles a actualizar su contraseña en x días.
Contraseñas seguras: obligan a los usuarios a usar contraseñas seguras dependiendo del rol del usuario.

Rechace las contraseñas comprometidas: obliga a los usuarios a usar contraseñas que no aparecen en ninguna violación de las contraseñas perseguidas por he sido PWNED.
recaptcha
Con Recaptcha, puede agregar una capa de defensa adicional a su inicio de sesión, registro y comentarios. Puede elegir entre V2, que es el que conocemos a la mayoría de nosotros, o la nueva recaptcha invisible que ni siquiera requiere que un usuario marque una casilla.
Puede configurar cuántas pruebas fallidas darán como resultado el bloqueo.
Configuración de importación y exportación
Es posible que tenga muchos sitios con los que desea compartir su configuración o solo puede tener una copia de seguridad. Esta característica la hace muy fácil. Ingrese un correo electrónico para crear y recibir una exportación, o elegir una exportación, ya debe cargar la configuración en el sitio. Dos factores
Esta es una de las mejores y más seguras funciones del complemento. Si un atacante de alguna manera obtiene sus credenciales de WordPress, también necesitará su dispositivo, acceso al correo electrónico o códigos de copia de seguridad.
Obligar a los usuarios a usar dos factores según sus roles o habilidades.
Si tiene usuarios que no usan dos factores o un sitio de software obsoleto, puede obligarlos a usarlo.
Registro de usuario
Esto es útil para rastrear las acciones de los usuarios en el sitio, como las conexiones y el cambio en el contenido.
Gestión de versiones Gestión actualizada Mantener todos sus sitios es primordial. El software siempre tiene la oportunidad de tener una vulnerabilidad y, si no se queda, se puede explotar una vez que se descubra. Estas características le permitirán actualizar automáticamente el núcleo, complementos y temas de WordPress y agregar una capa adicional de seguridad cuando el sitio ejecute software obsoleto.
Escanee para ver los viejos sitios de WordPress: establezca un escaneo para ejecutar el escaneo diario en su cuenta de host para las antiguas instalaciones de WordPress que podrían verse comprometidas.
Consolidar el sitio cuando ejecute software obsoleto: permite la seguridad adicional cuando las actualizaciones de software disponibles no se han actualizado durante al menos un mes.
Actualización automática, complementos y temas de WordPress Core Actualizaciones automáticas para todo el software en el sitio. Seguridad del usuario Compruebe esta función le brinda una imagen rápida. Consulte si han configurado dos factores y, si no, envían-una e- Envíelos para alentarlos a activarlo. Vea cuán fuertes son las contraseñas de los usuarios, la última vez que estuvieron activas, cuántas sesiones han abierto y regulado temporalmente su rol de usuario.
ITHEMS Revistas de seguridad ITHEMS Los registros de seguridad le ofrecen una presentación general de todas las acciones registradas en el Sitio. La sección Todos los datos registrados le brindan una presentación general de todas las acciones.
En el menú Drop -down, puede seleccionar intentos de autenticación no válidos, acciones del usuario, 404 errores encontrados, historial de cambios de archivos y escaneo de malware para acciones más detalladas.
Algunos tienen un enlace de detalles que mostrará información más específica sobre la acción.
Nota Informe Configure lo que los usuarios pueden ver el informe de nota que ayuda a identificar y resolver las vulnerabilidades en el sitio.
Siga el seminario web: Seguridad Essential Los segundos elementos obtienen el Pro Security Pro Security Pro, nuestro complemento de seguridad de WordPress, con más de 30 formas de asegurar y proteger su sitio web de WordPress. Obtener ithemes Security Pro