Plugins antivirus para WordPress: Wordfence Security

Cuando un sitio web está disponible a través Internet, puede convertirse en objetivo de ataques informáticos, más o menos indiscriminados, que afecten a su correcto funcionamiento o, incluso, deshabilitarlo completamente y borrar todas sus páginas y contenidos.

Podemos pensar que nuestro sitio web no es tan grande o relevante como para merecer la atención de hackers sin ética. Sin embargo, muchas técnicas de ataque se basan en herramientas automáticas que, simplemente, recorren Internet en busca de webs vulnerables.

Además, también existen otros peligros que, sin afectar el funcionamiento aparente del sitio web (es decir, podemos navegar por él sin observar ningún síntoma de ataque), sí que pueden comprometer la seguridad de la información almacenada en la base de datos; por ejemplo, datos personales de nuestros suscriptores.

Por tanto, nuestra responsabilidad no es tanto asegurar la integridad del sitio web, algo que, en caso de producirse, suele ser relativamente fácil y rápido de recuperar si tenemos una adecuada estrategia de copias de seguridad, sino preservar el acceso fraudulento a datos privados sensibles.

Si bien WordPress y el propio proveedor de hosting disponen de mecanismos de protección contra este tipo de acciones, no siempre son suficientes y debemos complementarlos con medidas adicionales, que cubran las áreas que no entran dentro de sus respectivos campos de acción.

Dada la complejidad técnica que hay detrás de estas medidas defensivas y de prevención de ataques y accesos fraudulentos, la mejor solución pasa por instalar y configurar un plugin antivirus para WordPress.

En este artículo vamos a ver qué riesgos y peligros pueden acechar a nuestro sitio web, qué podemos hacer para evitarlos o prevenirlos y cómo instalar un conocido plugin antivirus, WordFence Security, para reforzar su seguridad.

¿De qué peligros nos protege un antivirus en WordPress?

---

Cuando se habla de proteger un sitio web y mejorar su seguridad, habitualmente pensamos en evitar que un hacker consiga modificar o borrar sus páginas y el resto de ficheros de contenido.

Sin embargo, las amenazas a las que un sitio web, abierto a Internet, se tiene que enfrentar son mucho más que un “apaga y vámonos”.

De hecho, este peligro sería “casi” intrascendental, pues con una acertada estrategia de copias de seguridad, en pocos minutos el sitio web vuelve a estar cómo estar.

Algo así sería un pequeño quebradero de cabeza, sí, pero de alcance muy limitado (falta de disponibilidad del sitio web hasta que lo restauramos) y de fácil resolución técnica.

Mucho más peligrosas son aquellas amenazas que pasan inadvertidas. Amenazas que se introducen e infectan nuestro sistema pero que no afectan ni alteran su correcto funcionamiento mientras, en segundo plano, cometen actos ilícitos dentro del propio servidor.

Si bien estas amenazas pueden llegar a ser técnicamente muy complejas, fuera del alcance del usuario medio, sí que es importante que sepamos a qué riesgos y peligros nos sometemos cuando publicamos un sitio web en Internet.

De esta forma, cuando utilicemos herramientas para mejorar la seguridad de un sitio web, como un plugin antivirus para WordPress, podremos valorar mejor cómo nos protege y sacar el máximo provecho de sus opciones de configuración.

Virus

Estamos habituado a tratar con virus en los ordenadores de sobremesa y las aplicaciones web no son una excepción: también pueden ser víctimas de un virus.

En líneas generales, un virus es un código, capaz de propagarse entre ordenadores, que altera o impide el funcionamiento de un sistema informático, desde simplemente modificar el texto o imagen de una página web hasta el borrado total de ficheros del sistema y bases de datos del sitio web.

Cuando el virus tiene un comportamiento perceptible, aunque el daño pueda ser grave, se detecta rápidamente y el sitio web se puede restaurar con facilidad desde una copia de seguridad actualizada.

Spyware / Malware

Aunque el spyware y el malware se pueden considerar también virus, pues alteran el funcionamiento del sistema, prefiero tratarlos aparte por su particular comportamiento: no producen ningún efecto visible sobre la navegación del sitio web.

Y esto es lo que los hace tan peligrosos: estamos confiados de que nuestro sitio web funciona correctamente cuando, en realidad, hay un “software” detrás que está haciendo algún tipo de acción ilegal dentro de nuestro sistema.

Resulta prácticamente imposible catalogar todo el daño que un spyware o malware puede hacer, pero los perjuicios más habituales son:

• Convertir nuestro sistema en un “zombie” que responde a peticiones de un servidor externo para realizar acciones ilícitas (por ejemplo, un ataque distribuido de denegación de servicio o DDOS).




• Extracción y descarga de la información confidencial almacenada en la base de datos, que puede contener datos sensibles de suscriptores, clientes, corporativos, etc.




• Comportarse como un intermediario “Dark Mailer” para el envío masivo de correos electrónicos que no identifiquen al remitente real (usado, por ejemplo, para hacer spamming indiscriminado).

Ataques de fuerza bruta

En este tipo de amenazas, no hay una “infección” propiamente dicha del sistema, en el sentido de que el código malicioso se introduzca o instale en él, sino que intenta “adivinar” la contraseña de administración del sitio web.

El ataque consiste en acceder repetidas, hasta millones, de veces al sitio web con el usuario de administración, probando distintas combinaciones de contraseñas en cada intento, hasta acertar con la correcta. Una vez conseguida la contraseña, el atacante puede acceder a placer en el área de administración del sitio web y realizar todas las operaciones y accesos que desee.

Una contraseña fuerte (es decir, larga y que combine minúsculas, mayúsculas, números y símbolos) harán imposible que adivinen la contraseña pero, aún así, conviene detectar este tipo de ataques pues tantos intentos de acceso pueden ralentizar el rendimiento del sitio web.

Explotación de vulnerabilidades (“exploits” o “backdoors”)

Toda aplicación informática puede disponer de vulnerabilidades de seguridad, normalmente asociadas a errores en su código, que permiten el acceso desde el exterior por hackers expertos que saben aprovechar estos puntos débiles.

A través de estas vulnerabilidades, el intruso puede acceder o modificar el sistema sin transgredir o realizar un ataque propiamente, como si utilizara a través de una “puerta trasera”.

En un sistema con tantos componentes como un sitio web en WordPress, las vulnerabilidades pueden provenir de distintas fuentes:

• El propio gestor de contenidos WordPress.
• Uno o varios plugins instalados en el sistema.
• El theme utilizado para el diseño del sitio web.
• El software del servidor web, que depende del proveedor de hosting.
• Infección por “Malware” que abren una “puerta trasera” al sistema.

Inyección de código

Técnica muy sofisticada que intenta acceder a la información almacenada en las base de datos del sitio web, mediante la inserción de determinados códigos en los campos de texto de los formularios que haya en una página web.

En líneas generales, no son destructivos (aunque sí podrían serlo), sino que su principal objetivo es exponer información confidencial de la base de datos al exterior para su apropiación indebida.

La principal particularidad de esta amenaza es que, al hacerse a través de los formularios web, no pretende acceder al sistema ni vulnerar su protección, sino que sea el propio sistema quien, al ejecutar el código inyectado, muestre esa información confidencial.

Ataque distribuido de denegación de servicio (DDoS)

Un sitio web puede atender un número limitado de peticiones por segundo; es decir, cuántos usuarios pueden acceder simultáneamente a sus páginas web y tener un rápido tiempo de respuesta.

El principio de un ataque distribuido DDoS consiste en realizar al servidor web un elevado número de peticiones (por ejemplo, a través de otros sitios web infectados como “zombies”), hasta que lo sobrecarguen e impidan que responda y atienda a las peticiones de usuarios legítimos.

Normalmente, este tipo de ataques los puede detectar y prevenir el proveedor de hosting, pero en alojamientos compartidos (varios sitios web en un mismo servidor) cada sitio web tiene su propio límite de peticiones simultáneas.

El objetivo de un DDoS no tiene que ser necesariamente que un sitio web no pueda atender las peticiones, sino también llevarlo al límite para que la navegación resulte lenta y afecte negativamente a la experiencia de usuario.

Spamming

Consiste en la introducción de texto publicitario en los comentarios de los posts del sitio web, normalmente para insertar enlaces a otros sitios web, como parte de una estrategia de mejorar el posicionamiento SEO de éstos (aunque con efectos muy limitados, sino nulos).

No se puede considerar un ataque de seguridad propiamente dicho, pues no pretende alterar el funcionamiento del sitio web ni impedir que responda normalmente.

Sin embargo, resulta muy molesto para los administradores del sitio web, que deben gestionar y eliminar todos esos comentarios spam, con la consiguiente pérdida de tiempo.

Por otro lado, los comentarios spam ocupan espacio en la base de datos y, si dejamos que se acumulen, hacer que crezca innecesariamente y, con el tiempo, afectar negativamente en su rendimiento y tiempo de respuesta.

Cómo prevenir los ataques y amenazas a una web WordPress

---

Como hemos visto, un sitio web debe protegerse ante múltiples tipos de peligros provenientes de Internet, que amenazan su integridad y la confidencialidad de su base de datos.

La prevención de estos riesgos no se limita solamente a la instalación de uno o varios plugins o aplicaciones. Si, por nuestra parte, no tomamos un mínimo de precauciones, estaremos facilitando la infección de nuestro sistema.

Veamos a continuación qué medidas podemos tomar, que no requieren una cualificación técnica avanzada, para conseguirlo:

• Proveedor de hosting de calidad. El primero frente ante los ataques es disponer de un Hosting en España que disponga de mecanismos de protección a nivel de red y de servidor, sobre los que no tenemos acceso directo.




• Recomendaciones de seguridad del proveedor. Normalmente, los propios proveedores de hosting recomiendan una serie de acciones de protección, adaptadas a los propios mecanismos de protección dispuestos en su infraestructura para aumentar aún su seguridad.




• Contraseñas fuertes. La principal puerta de acceso a la administración de un sitio web debe tener una “cerradura” a la altura de lo que protege. Los ataques de fuerza bruta funcionan porque este aspecto se descuida demasiado frecuentemente.
  Cualquier contraseña que acceso al sitio web debe cumplir unos requisitos mínimos de fortaleza.
  
  Webempresa, por ejemplo tiene una aplicación gratuita llamada Llavero.io que te permite proteger el acceso a la administración de tu WordPress.




• Actualización del software. Las vulnerabilidades del software son inevitables, pero los desarrolladores siempre están pendientes de la aparición de cualquier vulnerabilidad para resolverla y publicar actualizaciones de sus productos. Seamos diligentes a lo hora de actualizar WordPress, el theme y los plugins instalados.




• Copias de seguridad. Debemos estar preparados para cualquier contingencia y, a veces, la única solución reparadora consiste en eliminar todo el sitio web y volverlo a instalar. Si disponemos de copias de seguridad actualizadas, este proceso se resuelve en escasos minutos.




• Instalación de software de protección, que detecte los distintos tipos de ataques que vimos en la sección anterior, y adopte las medidas protectoras y correctoras oportunas. En este punto entrarían los plugins antivirus para WordPress que, al estar integrados en el gestor, tienen acceso a todos sus ficheros para escanearlos y analizarlos en busca de códigos maliciosos.

Instalación y configuración de un plugin antivirus en WordPress

---

Una vez que comprendemos los ataques a los que nos podemos ver sometidos, el siguiente paso natural consiste en reforzar la seguridad de nuestro sitio web con un plugin antivirus. Para ello, debemos:

1. Decidir qué plugin antivirus instalaremos en nuestra web WordPress.
2. Configurar óptimamente el plugin antivirus elegido.

No nos pararemos mucho en el primer punto. WordFence Security es uno de los mejores plugins antivirus y de seguridad del mercado, que integra varias soluciones de protección dentro de una sola herramienta.

A continuación, vamos a ver las principales características de este plugin antivirus y cómo instalarlo y configurarlo para un sitio web.

WordFence Security. Principales características

El plugin WordFence Security para WordPress incluye todo lo necesario para mejorar la seguridad de nuestro sitio web, protegiéndolo desde dos frentes:

• Detección y filtrado de accesos que puedan comprometer el funcionamiento o la buena respuesta del servidor (por ejemplo, ataques DDoS).




• Análisis y verificación de la integridad de los ficheros del sitio web, tanto localizando códigos maliciosos conocidos (virus y malware), como detectando códigos que puedan resultar maliciosos (análisis heurístico).

Además, WordFence Security incluye asistentes para comprobar que estamos siguiendo las buenas prácticas recomendadas para reforzar la seguridad de WordPress, como:

• Forzar la utilización de contraseñas fuertes.
• Mantener actualizadas las versiones de WordPress, theme, plugins, etc.
• Planificar la revisión periódica de los ficheros del sistema.
• Sistema de alertas por email que notifican las incidencias detectadas.
• Comprobar que el sitio web no aparece en listas negras (reputación).
• Monitorización del uso de los recursos del servidor.

WordFence está organizado en tres grandes bloques funcionales, cada uno con su propio grupo de opciones de configuración.

WordFence Web Application Firewall (WAF)

Haz clic en la imagen para ampliarla  

A través de este módulo, WordFence controla los accesos que se hacen desde Internet al sitio web, protegiéndolo contra ataques de fuerza bruta, denegación de servicio o intentos de acceso fraudulento.

• El Firewall bloquea estos ataques y amenazas en función de varios criterios:
• Cuando el acceso se hace desde direcciones IP (ordenadores) que sean sospechosos de prácticas prohibidas (“blacklist”).
• Cuando se produce un número inusualmente elevado de accesos al sitio web durante un pequeño periodo de tiempo.

Obligando a la utilización de contraseñas fuertes en las cuentas de usuario críticas de WordPress (en principio, administradores, editores y autores).

WordFence Security Scanner (Scan)

Haz clic en la imagen para ampliarla  

El Scanner de WordFence revisa los ficheros de código almacenados en el sitio web. Para ello, comprueba que no haya ningún fragmento de código malicioso de algún malware conocido (“malware signature”) o, mediante técnicas heurísticas, analiza la existencia de código potencialmente peligroso.

Hay que tener en cuenta que este proceso de escaneo consume recursos de servidor, por lo que debería hacerse cuando haya pocas visitas, de forma que no interfiera con ellas.

Aunque se puede planificar de antemano (por ejemplo, en las madrugadas), WordFence lo puede hacer automáticamente cuando detecta que el servidor tiene pocas visitas.

Por último, el Scanner también puede comprobar el estado de “reputación” de nuestro sitio web (solo en la versión de pago). Es decir, que no nos encontremos en ninguna lista negra de sitios webs o servidores como fuentes de spam.

Normalmente, si estamos en una lista negra de estas características (y no hemos hecho nada malo), puede significar que en nuestro sitio web hay un malware que lo está utilizando como “zombie” o “dark mailer”.

Herramientas avanzadas de análisis y monitorización (Tools)

WordFence proporciona un conjunto de herramientas para monitorizar los accesos al sitio web y analizar el comportamiento de estas visitas.

Son útiles cuando sospechamos que podemos estar bajo algún tipo de ataque (por ejemplo, por algún comportamiento errático del sitio web) o para determinar si una alerta de WordFence pueda tratarse de un falso positivo (es decir, un ataque que en realidad no lo es) y sea necesario reajustar los parámetros de configuración.

En general, el usuario medio no utilizará estas herramientas, sino el usuario avanzado con conocimientos técnicos para analizar y evaluar los datos obtenidos durante la monitorización.

Instalación de WordFence Security

A pesar de su complejidad técnica, la instalación de WordFence Security en nuestro sitio web en WordPress sigue el mismo proceso que cualquier otro plugin disponible en el repositorio oficial de WordPress.

No es necesario ninguna preparación o consideración previa y, una vez instalado, debemos activarlo normalmente:

Después de activado, nos aparece la correspondiente opción en el menú de administración de WordPress, con acceso a los distintos grupos de configuración de WordFence:

El siguiente vídeo muestra la instalación y activación de WordFence Security, así como un recorrido de los principales bloques funcionales (Firewall y Scan) del plugin:

Configuración de WordFence Security

Después de instalar y activar el plugin WordFence, la configuración por defecto suele ser suficiente para suministrar un elevado grado de protección y seguridad a sitios web pequeños y medianos, con un número medio de visitas.

Sitios webs mayores y con un elevado número de visitas podrían necesitar revisar algunas de las opciones de configuración más avanzadas, en función de las características del sitio web y el servidor.

En el siguiente vídeo se muestra una revisión de las opciones de configuración más importantes que, sin necesidad de tener conocimientos técnicos avanzados, podemos ajustar a las características de nuestro sitio web o nuestras preferencias:

Opciones de configuración recomendadas

Como se indica en el vídeo, la mayoría de las opciones de configuración por defecto se pueden dejar cómo están para la mayoría de los sitios web, aunque hay algunas que se podrían ajustar aún más.

Vamos a repasar a continuación estas opciones, para que tengáis la referencia visual (pantallazos) como guía para configurar WordFence en vuestro sitio web.

WordFence es un plugin con características Premium. Esto significa que para poder alguna de sus características más avanzadas debemos adquirir el producto.

Esto limitará el nivel de protección que podemos conseguir con este plugin para sus componentes principales (Firewall y Scan), según el propio baremo de WordFence, tal como se muestra en la siguiente imagen del Panel de Control:

Haz clic en la imagen para ampliarla  

Sin embargo, esto no debería preocuparnos demasiado. El nivel de protección ofrecido por la versión gratuita es suficiente para detectar y contrarrestar la mayoría de los ataques posibles.

Solo en el caso de que tengamos información muy sensible en la base de datos, más allá de una lista sencilla de suscriptores, deberíamos plantearnos adquirir la versión de pago, no por la integridad del sistema en sí, sino para preservar la confidencialidad de esos datos.

Firewall: “Aumentar la protección contra ataques de fuerza bruta”

Las restricciones por defecto de WordFence no son muy estrictas. Aunque una contraseña fuerte prácticamente anula la eficacia de los ataques de fuerza bruta, conviene reducir aún más los intentos inválidos que puedan realizar los atacantes.

Así, los valores recomendados serían los siguientes:

Firewall: “Restringir el número de accesos repetidos al sitio web”

Por defecto, WordFence no establece un límite a los accesos repetidos y continuos a una misma página web.

Aunque pueda parecer muy permisivo, hay que tener en cuenta que los parámetros depende mucho del tráfico que tenga el sitio web. Si WordFence hubiera puesto unos valores por defecto, podría perjudicar en aquellas webs con muchas visitas.

Deberemos ajustar estos valores en función del tráfico de nuestro sitio web. Si no estamos seguros de qué valores seleccionar, WordFence propone la siguiente configuración en su manual técnico:

Haz clic en la imagen para ampliarla  

Scan: Opciones generales (alcance del escaneo de ficheros)

Cuando WordFence revisa los ficheros almacenados en el sitio web, comprueba que no contenga ningún tipo de código malicioso que pueda comprometer la seguridad del sistema.

Pero, además de este análisis, también podemos indicarle que compruebe la integridad de los plugins, siempre y cuando estén en el repositorio oficial de WordPress, y de los ficheros de sistema:

El motivo de que WordFence no active esta opción por defecto es porque no siempre los desarrolladores de plugins etiquetan correctamente su código, por lo que WordFence no puede determinar con exactitud si son válidos con respecto al repositorio.

Así, cuando el escaneo nos muestra alguna alerta sobre un plugin, WordFence nos guiará para revisar manualmente que el plugin sea correcto o no.

Conclusiones

La seguridad y protección de un sitio web pasa por cubrir varios frentes de prevención y defensa:

• Bloquear y contrarrestar todas aquellas acciones que puedan provocar una caída o pérdida del servicio.
• Impedir que se acceda a la información almacenada en el servidor, sea de la base de datos u otros ficheros.
• Evitar que se instale código malicioso que conviertan el sitio web en un instrumento o intermediario para realizar ataques a otros sitios web.
• Preservar la integridad de los componentes instalados en el sitio web (theme y plugins), así como del propio gestor de contenidos (WordPress).

El plugin WordFence Security para WordPress ofrece, a través de un interface de usuario bien organizado y fácil, todos los mecanismos de protección para atender cada una de estos frentes.

Así, el módulo de Firewall nos protegerá de los accesos ilícitos o maliciosos, ya sea para intentar adivinar una contraseña (ataques de fuerza bruta) o para sobrecargar el servidor (ataques de denegación de servicio).

Por su parte, el módulo de Scanner se encarga de asegurar que los ficheros del sitio web, en concreto, los de WordPress, el theme y los plugins, no contenga ninguna infección (código malicioso) que pueda comprometer el funcionamiento del servidor o filtrar información confidencial al exterior.

La instalación del plugin WordFence no precisa ninguna consideración técnica adicional, así como su configuración que, tal como viene por defecto, es perfectamente válida para la mayoría de sitios web.