Los plugins que mejorarán la seguridad en tu página web

Medidas y plugins para mejorar la seguridad de tu página web ya sea Wordpress, Joomla, Magento o Prestashop.

¿Qué es un CMS?

Los Sistemas de Gestión de Contenidos (en inglés, Content Management System) son softwares que gestionan los contenidos y que permiten su elaboración, publicación y actualización. Son, por tanto, herramientas open source y eso hace que estén más expuestas a diferentes peligros y que tengamos que tener cuidado.

Quizás los conocerás mejor como Wordpress, Joomla, Magento, Prestashop, etc.

¿Por qué instalar complementos de seguridad web a los CMS?

Los CMS son herramientas open source, es decir, código abierto. Y justamente por eso son más vulnerables y tienen muchos agujeros en el código, por lo que son fácilmente hackeables.
Para evitar que se utilice nuestra web para enviar spam, minería de criptomonedas o para infectar a los usuarios visitantes.
Para monitorizar mejor los accesos a la administración: quién entra, cuándo y si ha entrado mal los códigos de acceso.
Mantener backups (copias de seguridad) periódicos.

Si quieres informarte más en detalle los peligros que corre tu web, puedes mirar nuestro post de infecciones más comunes.

Foto: Aaron Burden

Como una cadena de engranajes cada especie tiene su función dentro del ecosistema. Entre todas velan para que funcione y sobreviva.

Consejos de seguridad genéricos para todos los CMS

Estos son algunos consejos para mantener la seguridad de tu gestor de contenidos, sea cual sea.

1:
Mantener actualizado a la última versión del CMS
2:
Mantener actualizados los plugins
3:
Quitar plugins que no utilizamos.
4:
Utilizar una contraseña de nivel alto.Debe tener un mínimo de 6 caracteres, una letra mayúscula, una letra minúscula y un carácter especial que no sea ni letra ni número. .
5:
Eliminar plantillas no utilizadas y elementos demostrativos.
6:
Deshabilitar el registro de usuarios si no lo usamos.
7:
Cambiar el prefijo de la base de datos.Por defecto aparecerá este prefijo wp_ pero para mayor seguridad cámbialo por uno más fuerte. . ¿Cómo cambiarlo?
8:
Incluir Captcha en formularios.Esta es una de las maneras más sencillas de evitar que los bots spammers utilicen tu web para enviarte spam desde el formulario o para introducir enlaces de otras webs y hacer así SEO off-page (todos los factores de posicionamiento externo y que, por tanto, no pertenecen a tu página y no puedes controlar directamente con el SEO on-page).
9:
Utilizar certificado SSL. Si nuestra web cuenta con un certificado SSL estaremos protegiendo la información confidencial que se envía entre dos sistemas y podremos impedir que cualquier persona lea y modifique cualquier dato que se transfiera. Estas transferencias pueden ser de servidor a servidor o de servidor a cliente.
Es importantísimo proteger todos estos datos, ya que en caso de pérdida o robo podríamos estar incumpliendo la Ley de protección de datos (LOPD).
Para saber si una web cuenta con un certificado SSL en la URL debe aparecer la cabecera HTTPS (Hypertext Transfer Protocol Secure), que no es más que la indicación de que es una conexión segura de HTTP.

SSL es el acrónimo de Secure Sockets Layer (capa de sockets segura), y es la tecnología estándar que mantiene segura una conexión a internet.

Plugins de seguridad para JOOMLA

Este CMS es ideal para publicar contenidos e intranets.

Admin Tools

Esta extensión tiene dos modalidades: la gratuita (Admin Tools Core) y la de pago (Admin Tools Professional).

Desde este complemento se podrá actualizar tanto el componente como el mismo Joomla.
Permite disponer de una seguridad offline y establecer contraseñas para mejorar nuestra seguridad.
Dispondremos de herramientas que nos permitan modificar los permisos de directorios, así como borrar archivos temporales y optimizar la base de datos.

¿Qué nos ofrece la versión de pago?

Limpieza planificada. Limpieza automática programada del directorio temporal y tabla de sesiones.

Bloquea el acceso a los archivos sensibles a la seguridad. Bloquea el acceso a ficheros como .htaccess.txt, .configuration.php-dist y .php.ini en la raíz de su sitio.

Optimice el tiempo de caducidad de la caché (bueno para SEO).

Notificación por correo electrónico a la excepción de seguridad. Envía un correo electrónico cuando se produce una excepción de seguridad.

Bloqueo geográfico. Evite el acceso a su sitio por países o continentes específicos.

Lista negra de IP. Evite el acceso a su sitio mediante direcciones IP o bloques de direcciones IP específicos.

Lista blanca del administrador IP. Solo permite el acceso a la sección de administrador de su sitio mediante bloques específicos de direcciones IP.

Filtro anti-spam. Basado en la lista de palabras inadecuadas.

www.akeebabackup.com

Akeeba backup

Tiene una versión libre y una profesional (de pago).

Es una extensión de backups, es decir, copias de seguridad. La copia es del sitio completo, el archivo incluye la base de datos, los archivos y el guión de restauración. Sin embargo, se puede personalizar lo que se quiere copiar y estas copias se pueden guardar en la nube, ya que Akeeba backup tiene soporte integrado para varias plataformas como Dropbox o Amazon S3, entre otros. Se pueden crear copias de seguridad automáticas y migrar estas a otro servidor sin problema. Además, cuenta con ALICE, su analizador de registro automatizado, que proporciona la solución adecuada al problema que surja.

¿Qué nos ofrece la versión de pago?

Cloud Backup. Envía archivos de copia de seguridad a cualquier servidor FTP, FTPS, SFTP; guarda archivos de copia de seguridad en muchos proveedores de almacenamiento en nube comerciales, incluidos DropBox, Amazon S3, Box.com, Google Drive y mucho más.

Gestión remota de cuotas. Evita que su servidor de nube se llene demasiado con la gestión de cuotas de copia de seguridad remota.

Haga una copia de seguridad solo de la base de datos de su sitio o solo de los archivos.

Filtros de archivos, directorios y bases de datos de expresiones regulares (PCRE).

Incluye directorios fuera de la carpeta web pública al conjunto de copias de seguridad.

www.akeebabackup.com

Brute Force Stop

Complemento gratuito.

Con esta extensión podremos bloquear los ataques de fuerza bruta que se realicen en tu sitio. También podremos controlar y bloquear los intentos fallidos loguearse o registrarse, tras sobrepasar un límite de intentos personalizable. Estos intentos quedarán registrados, así como la IP de donde provengan, por lo que si es un falso positivo, se podrá desbloquear e, incluso, poner en una lista blanca para que no lo vuelva a bloquear.

extensions.joomla.org/brute-force-stop/

¿Qué es un ataque de fuerza bruta (Brute-force-attack)?
Es aquel ataque con el que a partir de un algoritmo complejo se intenta descifrar la contraseña probando todas las combinaciones posibles hasta encontrar la buena.

Foto: Nila Eslit

El pez globo es famoso por hincharse en cuestión de segundos cuando se asusta o es atacado. Multiplica varias veces su tamaño al ingerir mucha agua. De este modo parece más grande y peligroso.

Plugins de seguridad para WORDPESS

Este CMS es ideal para la elaboración de blogs.

Wordfence

Versión gratuita y versión de pago.

Dispone de un buen motor de análisis de archivos, aquellos que hayan sido modificados o inyectados con código. Pero a veces da demasiados falsos positivos

Permite ver en tiempo real el análisis de visitantes. Pero aumenta de forma importante el consumo de recursos si el sitio web tiene tráfico.

Mínimo impacto sobre el rendimiento del sitio web. Implementa un sistema de cache que se puede aprovechar al máximo en servidores web compatibles con .htaccess como Apache.

Firewall muy potente que nos permite bloquear visitantes por país, zona del mundo o proveedor.

Se instalará entero.

¿Qué ofrece la versión de pago?

Actualización de amenazas en tiempo real. Versión gratuita de 30 días.

Bloqueo por países.

Comprobación de si una IP genera spam.

Comprobación de si tu sitio web envía spam.

Autenticación de doble factor.

www.wordfence.com/

¿Qué es un archivo .htaccess?
Es un archivo muy popular en servidores webs basados en Apache que permite a los administradores mejorar la seguridad de su página web a partir de diferentes políticas de acceso a directorios o archivos y, por tanto, evitar el acceso a terceros.

Ninja Firewall

Versión gratuita y versión de pago.

El NinjaFirewall (WP Edition) es un plugin que puede escanear, desinfectar y / o rechazar cualquier solicitud HTTP / HTTPS enviada antes de llegar a Wordpress o a cualquiera de los otros plugins.

Su motor de filtrado, uno de los más potentes en un complemento Wordpress, tiene la capacidad de normalizar y transformar los datos de las peticiones HTTP entrantes y permite detectar las técnicas que utilizan los virus para evitar los cortafuegos (firewalls), así como las tácticas de ofuscación utilizadas por los piratas informáticos.

NinjaFirewall protege tu web de ataques de fuerza bruta, incluso, los más potentes, aquellos ataques distribuidos desde miles de IP diferentes.

Detección en tiempo real. NinjaFirewall alerta de cualquier acceso a un archivo PHP que se haya modificado o creado o si un hacker ha cargado un script de shell en su sitio o ha intentado acceder a este archivo con su navegador.
Control de integridad de archivos. Escaneos del sitio web cada hora, periódicamente o diariamente. El plugin detecta cualquier modificación que se haga de un fichero: de su contenido, los permisos de archivo, propiedad del archivo o creación y eliminación de archivos.
El tráfico de su sitio web en tiempo real con Live Log. Todo sin cargar WordPress.
Notificación de eventos. Alertas habilitadas sobre eventos como el inicio de sesión del administrador, modificación de cualquier cuenta de administrador en la base de datos, plugins de carga, instalación, activación, actualización y eliminación. Así como cualquier modificación del Theme o actualización de WordPress.
Protección contra las vulnerabilidades de seguridad WordPress. NinjaFirewall puede actualizar automáticamente las nuevas reglas de seguridad en un periodo de tiempo personalizable: diariamente, dos veces al día o, incluso, cada hora.
Privacidad fuerte. NinjaFirewall filtra el tráfico al propio servidor de forma que los datos confidenciales permanecen en el servidor y no se dirigen a un servidor de terceros. Esto evita riesgos.
Compatibilidad con IPV6.
Soporte a varios sitios, la interfaz de configuración solo será accesible para el súper administrador del sitio principal de la red.
Posibilidad de poner su propio código PHP los cortafuegos. Seguridad a la carta.
Firewall de huella baja.
Interfaz de usuario no intrusiva y compatible con teléfonos inteligentes.
Ayuda contextual.

¿Qué nos ofrece la versión de pago?

Uso de la memoria compartida Unix para la comunicación interprocessos (IPC) y una rápida actuación.

Filtro de respuesta (Filtro web) para escanear la salida de la página HTML justo antes de que se envíe al navegador de los visitantes.

Control de acceso basado en IP.

Control de acceso basado en país (geolocalización).

Antispam para formularios de comentarios y registros de usuarios.

nintechnet.com/ninjafirewall/wp-edition/

Bulletproof

Versión gratuita y versión de pago.

Es un antivirus, firewall, auditor de seguridad y protector de los archivos .htaccess y wp-config.php (archivo interno de la plataforma WordPress).

A partir de reglas de seguridad y firewalls categorizados por niveles (básico, medio y avanzado) nos ofrece:

Seguridad de cuentas y bases de datos.
Seguridad y monitoreo del inicio de sesión.
Escaneo y protección contra malware en archivos.
Protección de permisos de archivos.
Prevé los ataques de fuerza bruta
Protección de popups peligrosos..
Herramientas antispam y antipiratería.
Modo de mantenimiento.
Asistente de configuración completo.
Copia de seguridad y restauración de la base de datos.

¿Qué ofrece la versión de pago?

Plugin Firewall (IP Firewall): lista blanca y dirección IP actualizada en tiempo real.

Iniciar sesión con seguridad y seguimiento con la alerta del tablero.

Registro de seguridad.

Estado e información de la Base de datos.

Asistente de configuración en un clic.

Asistente de configuración AutoFix (AutoWhitelist | AutoSetup | AutoCleanup).

Sistema de detección y prevención de intrusiones autónomo (ARQ IDPs).

Sistema de prevención e intrusión de cuarentena (ARQ IDPs).

Monitor de archivos en tiempo real (IDPs).

MScan Malware Scanner.

Sistema de detección de intrusos del monitor DB (IDS).

extensions.joomla.org/extension/brute-force-stop/

Foto: sipa

De las glándulas anales de la mofeta sale un rayo que puede llegar hasta cuatro metros de distancia. Este olor tan desagradable las defiende de los depredadores, como los osos, asustandolos.

Plugins de seguridad para PRESTASHOP

Como bien dice su nombre, PrestaShop es un gestor de contenidos orientado al comercio electrónico.

Protect My Shop

De pago con versión demo.

Con Protect My Shop la protección es totalmente personalizable, se pueden activar o no algunas de las protecciones que ofrece, sobre todo en dos ámbitos:

La protección de inyecciones de código en la base de datos..
La protección de los ladrones de datos y más cuando se trata de una tienda virtual, en la que se trabaja con datos confidenciales de los clientes.

Sin embargo, este módulo también permite:

Configurar que no se descarguen archivos directamente de la tienda.

Proteger las imágenes. Evita que otros sitios web enlacen las imágenes mostrando su sitio web por su SEO.

Proteger la información de la base de datos contra todo tipo de inyecciones, como las SQL, que pueden ser destructivas.

Protegerse en contra del clic derecho del ratón para impedir acciones como 'copiar y pegar' o 'guardar como' en el caso, por ejemplo, que existan los derechos de autor.

www.librasoft.fr/protect-my-shop.html

Cómo evitar que los virus online terminen con tu diseño web

Descúbrelo

Login Sheriff PRO

De pago.

Se puede decidir cómo funcionará el módulo y la sensibilidad que tendrá. Además, también se puede definir el bloqueo de inicio de sesión después de un determinado número de intentos. También se puede programar un tiempo para que haga un análisis completo de forma periódica. El módulo, por lo tanto, es personalizable para que defienda la tienda según lo haya seleccionado.

Lo que nos ofrece:

Análisis del tráfico en su tienda y intentos de inicio de sesión sospechosos.

Protege los datos de sus clientes.

Protege tu tienda contra ataques de fuerza bruta.

Bloquea direcciones IP.

Envía notificaciones al administrador de la tienda con información sobre nuevas direcciones IP bloqueadas.

Permite desactivar temporalmente la cuenta de un cliente desde el proceso de inicio de sesión.

Envía notificación al cliente sobre las acciones realizadas para proteger la cuenta del cliente, tal como hace Google cuando cree que hay un movimiento sospechoso.

addons.prestashop.com/login-sheriff-pro.html

Foto: Nick Garbutt

Los dragones comunes de cola de hoja utilizan las características de su cuerpo para mimetizarse con el entorno. Una especie que solo se encuentra en la isla de Madagascar, las islas que la rodean y en Australia.

Plugins de seguridad para MAGENTO

Sistema de gestión de contenidos para comercios electrónicos.

Two-Factor Authentication

De pago.

Las contraseñas, por muy fuertes y seguras que sean, no nos protegen completamente. Por eso muchos lugares ya utilizan el sistema de doble factor. Google vuelve a ser el ejemplo. En el caso de Magento se combina la aplicación Google Authenticator y el teléfono inteligente para verificar la sesión del administrador.

¿Qué ofrece?

Acceso seguro a su panel de administración.

Seguro contra el rastreo de datos.

Protección contra el registro de claves.

Lista blanca de direcciones IP para el código de verificación.

Requisitos de autenticación flexibles.

Este plugin es compatible con iPhone (iOS 3.1+), iPad, iPod touch, Android (1.5+) y BlackBerry (OS 4.5-6.0). Sin embargo es recomendable asegurarse de la compatibilidad con el dispositivo antes de hacer la compra.

amasty.com/two-factor-authentication-for-magento-2.html

MageFence

De pago.

¿Qué ofrece?

DETECTAR:

Auditoría de seguridad de Magento: escanea su sistema para encontrar malware y comprueba si su sitio web ya ha sido pirateado.

Escanea la integridad de los archivos de su sistema web y detecta los cambios potencialmente no deseados que pueden ser consecuencia de la infección por malware.

Programe el tiempo y la frecuencia del escaneado para que no interfiera con el rendimiento de su sitio web.

Detecta los usuarios administradores creados sin autorización y evitan que los piratas informáticos perjudiquen su sitio web creando cuentas de administrador falsos.

Detecta los archivos .htaccess que faltan y los restaura con archivos predeterminados.

PROTEGER:

Bloquea la dirección IP después de traspasar el límite de intentos de inicio de sesión fallidos: puede establecer el número de intentos permitidos y la cantidad de dirección IP temporal bloqueada.

Bloquea a cualquier persona que intente iniciar sesión con un nombre de usuario incorrecto inmediatamente

Envía alertas por correo electrónico sobre actividades sospechosas - cambios de archivos, ataques de fuerza bruta y usuarios no autorizados.

Opcionalmente, envía una notificación por correo electrónico cada vez que el usuario administrador inicia sesión.

Usar la función de la lista negra de IPs para bloquear los visitantes no deseados de su sitio web a través del fichero .htaccess.

HACER CUMPLIR:

Comprueba si todas las actualizaciones de seguridad de Magento aplican y muestra qué actualizaciones faltan.

Cambiar la URL de su panel de administración para hacer que sea casi imposible de adivinar.

Cambiar la URL de Magento Connect Manager para proteger el acceso a su sitio web sin afectar la funcionalidad de Magento Connect.

www.magefence.com

Foto: Amaya Eguizabal

Los erizos utilizan las púas que le recubren la parte superior del cuerpo para defenderse de sus atacantes. Un músculo en forma de cúpula es el encargado de hacer levantar estos pequeños pinchos cuando se siente amenazado

Tengas el CMS que tengas, protégelo bien!

Si nos quieres conocer mejor,
¡contáctanos! Y si te gusta, ¡síguenos!