WP Cerber: seguridad avanzada para su sitio de WordPress

Wp Cerber Security Plugin WordPress

WP Cerber deriva del nombre Cerbero, de la mitología griega y romana, en la que Cerbero es un perro de muchas cabezas con cola de serpiente y garras de león, y nadie podía esquivar a este perro siempre enfadado.

Instalación de WP Cerber

La instalación del plugin WP Cerber Security es igual que la de otros plugins de WordPress.

Instale Wp Cerber a través de Plugins > Añadir nuevo > Descargar o descomprimir el paquete del plugin.
Active WP Cerber a través del menú Plugins > Plugins instalados en el panel de administración de WordPress.

Esta extensión es compatible con WooCommerce, el modo multisitio de WordPress, Cloudflare, bbPress y Wp Engine.

menu

Resumen

WP Cerber protege su sitio de WordPress contra ataques de fuerza bruta, spam, troyanos y malware.
Este plugin mitiga los ataques de fuerza bruta limitando el número de intentos de inicio de sesión realizados a través del formulario de inicio de sesión, las solicitudes XML-RPC / REST API o mediante el uso de cookies de autenticación.

Wp Cerber rastrea la actividad de los usuarios con actividad maliciosa con notificaciones por correo electrónico. También detiene a los spammers mediante un motor antispam especializado.

WP Cerber utiliza Google reCAPTCHA para proteger los formularios de registro, de contacto y de comentarios y restringe el acceso con listas de acceso IP, supervisa la integridad del sitio web con un escáner de malware. Por último, la extensión refuerza la seguridad general de WordPress con un conjunto de reglas y algoritmos de seguridad flexibles.

menu

Lista de características

  • Limitación de los intentos de conexión al conectarse por dirección IP o subred completa.
  • Supervisión de las conexiones realizadas por formularios de acceso, solicitudes XML-RPC o cookies de autenticación.
  • Permitir o denegar el acceso mediante listas de acceso IP con una única dirección IP, rango de direcciones IP o subred.
  • Creación de una URL de acceso personalizada.
  • Motor antispam para proteger sus formularios de contacto y registro.
    -Detección y eliminación automática de comentarios de spam a la papelera de reciclaje.
  • Posibilidad de gestionar múltiples instancias de WP Cerber desde un único panel de control.
  • Autenticación de dos factores (opcional).
  • Registro de usuarios, bots, hackers y otras actividades sospechosas.
  • El escáner de seguridad comprueba la integridad de los archivos, plugins y temas de WordPress instalados por el usuario.
  • Supervisión de los cambios en los archivos y de los nuevos archivos con notificaciones por correo electrónico e informes.
  • Notificaciones por correo electrónico con una selección de filtros.
  • Gestor avanzado de sesiones de usuario
  • Protección de los archivos wp-login.php, wp-signup.php y wp-register.php.
  • Oculta automáticamente el panel de control si el visitante no está conectado.
  • Bloqueo inmediato de cualquier dirección IP intrusa que intente iniciar sesión con un nombre de usuario inexistente o prohibido por el administrador.
  • Restricción del registro o inicio de sesión de usuarios con un nombre de usuario que coincida con las plantillas REGEX.
  • Restrinja el acceso a la API REST con sus propias reglas de seguridad basadas en roles.
  • Bloqueo completo del acceso a la API REST.
  • Bloquear el acceso a XML-RPC (incluyendo pingbacks y trackbacks).
  • Desactivar los feeds (RSS, Atom y RDF).
  • Restringir el acceso a XML-RPC, REST API y feeds mediante listas blancas de IP por dirección o rango de IP.
  • Modo “Sólo usuarios autorizados”.
  • Bloqueo de una cuenta de usuario.
    -Desactivar la redirección automática a la página de inicio de sesión oculta.
  • Posibilidad de detener la enumeración de usuarios (bloquea el acceso a las páginas de autor y evita la fuga de datos de los usuarios a través de la API REST).
  • Bloquea proactivamente la subred IP clase C.
  • Anti-spam: reCAPTCHA para proteger los formularios de inicio de sesión, registro y comentarios de WordPress.
  • ReCAPTCHA invisible para los formularios de comentarios de WordPress.
  • Un modo “Ciudadela” diseñado específicamente para ataques masivos de fuerza bruta, que bloquea el acceso a su sitio web durante un periodo de tiempo determinado.
  • Registro de los intentos fallidos en el registro del sistema o en un archivo de registro personalizado.
  • Filtra e inspecciona la actividad por dirección IP, por usuario o por actividad específica.
  • Filtrado de la actividad y fácil exportación a un archivo CSV.
  • Envío de informes semanales a las direcciones de correo electrónico especificadas.
  • La limitación de los intentos de conexión funciona en un sitio/servidor detrás de un proxy inverso.
  • Notificaciones push.
  • Protección contra ataques (DoS).
wp cerber

Limitación de los intentos de acceso

Por defecto, WordPress permite un número ilimitado de intentos de inicio de sesión a través del formulario de acceso, lo que hace que sea relativamente fácil romper las contraseñas a través de ataques de fuerza bruta.

WP Cerber Security impide que los intrusos por IP o subred realicen más intentos después de que se alcance un límite especificado de intentos, lo que imposibilita los ataques de fuerza bruta o los ataques de fuerza bruta distribuidos desde redes de bots.

Podrá crear una lista de acceso de IP negra o una lista de acceso de IP blanca para bloquear o permitir conexiones desde una dirección IP concreta, un rango de direcciones IP o una subred de cualquier clase (A, B, C).

Además, puede crear su propia página de inicio de sesión personalizada y olvidarse de los ataques automáticos contra el archivo wp-login.php por defecto, que tienen el inconveniente de llamar la atención y consumir muchos recursos del servidor. Si un atacante intenta acceder a wp-login.php, será bloqueado y obtendrá una respuesta de error 404.

Escáner de malware

WP Cerber Security Scanner es una herramienta extremadamente potente que escanea a fondo cada carpeta e inspecciona cada archivo de un sitio web en busca de rastros de malware, troyanos, puertas traseras, archivos modificados y archivos nuevos.

Comprobación de la integridad de las carpetas y archivos de WordPress

El escáner de WP Cerber comprueba si todas las carpetas y archivos de WordPress coinciden con lo que existe en el repositorio maestro oficial de WordPress, compara sus plugins y temas con lo que hay en el repositorio oficial de WordPress y le notifica cualquier cambio. Al igual que el análisis de los plugins y temas gratuitos, el escáner analiza y verifica los plugins y temas comerciales que se instalan manualmente.

menu 3

Escaneos programados con recuperación automática de archivos

El escáner le permite configurar fácilmente una programación para el escaneo recurrente automatizado. Una vez configurado el programa, el escáner analiza automáticamente el sitio web, elimina el malware y recupera los archivos de WordPress modificados e infectados. Después de cada escaneo, puede obtener un informe opcional por correo electrónico con los resultados del escaneo.

Autenticación de dos factores

La autenticación de dos factores (2FA) proporciona una capa adicional de seguridad que requiere un segundo factor de identificación más allá de un simple nombre de usuario y contraseña. Cuando se habilita la 2FA en un sitio web, el usuario debe proporcionar un código de verificación adicional al iniciar la sesión en el sitio web. Este código de verificación se genera automáticamente y se envía al usuario por correo electrónico.

antispam

Protección anti-spam y anti-bot

Gracias a WP Cerber es posible beneficiarse de una buena protección anti-spam y anti-bot para contactos, registros, comentarios y otros formularios. El motor antispam y antibots protege ahora todos los formularios de un sitio web. No se requiere reCAPTCHA. Probado con Gravity Forms, Caldera Forms, HappyForms, Contact Form 7, Ninja Forms, Formidable Forms, Fast Secure Contact Form, Contact Form by WPForms.

Este módulo le permite beneficiarse de un reCaptcha invisible en el formulario de inicio de sesión de WordPress, el formulario de registro de WordPress, el formulario de pérdida de contraseña de WordPress y, finalmente, en el formulario de comentarios de WordPress.

Esta función también está disponible para WooCommerce (formulario de inicio de sesión de WooCommerce, formulario de registro de WooCommerce, formulario de pérdida de contraseña de WooCommerce).
Antes de habilitar el reCAPTCHA invisible, necesita obtener claves separadas para la versión invisible.

Si quieres probar la funcionalidad de WP Cerber, hazlo en otro ordenador (o en una ventana de navegador de incógnito) y elimina la dirección IP o la red del ordenador de la lista blanca de acceso.

outils

Integración con Cloudflare

Un complemento especial de Cloudflare para WP Cerber sincroniza la lista de direcciones IP bloqueadas con las reglas de acceso IP de Cloudflare.

Si su sitio está detrás del servicio proxy de Cloudflare y su WordPress está protegido por el plugin WP Cerber, necesita hacer dos cosas para que funcionen bien juntos.

1) Active la opción “Mi sitio está detrás de un proxy inverso” en la página de Configuración Principal.

2) En caso de que haya configurado la URL de inicio de sesión personalizada, debe excluirla de la caché de los servidores de Cloudflare. Para ello, añada una regla en la página de configuración “Reglas de la página” en la configuración de su cuenta de Cloudflare, como se describe aquí.

Si ha configurado la URL de inicio de sesión personalizada y está utilizando Cloudflare o un plugin de caché W3 Total Cache o WP Super Cache, debe añadir la nueva URL de inicio de sesión personalizada a la lista de páginas que no deben ser almacenadas en caché.

menu 5

Otras medidas de seguridad útiles de WP Cerber

Los siguientes pasos son opcionales, pero pueden utilizarse para proteger aún más su WordPress.

  • Ajustar la configuración de la limitación de los intentos de inicio de sesión para que sea más restrictiva según sea necesario.
  • Configurar la URL de inicio de sesión personalizada (el plugin le enviará un correo electrónico con ella).
  • Una vez que haya configurado la URL de inicio de sesión personalizada, marque “Bloquear la IP inmediatamente después de cualquier solicitud a wp-login.php” y “Bloquear el acceso directo a wp-login.php y devolver el error HTTP 404 no encontrado”. No utilice wp-admin para acceder a su panel de control de WordPress.
  • Si su WordPress tiene algunos usuarios avanzados, marque la opción “Bloquear inmediatamente la IP cuando se intente iniciar sesión con un nombre de usuario inexistente”.
  • Especifique una lista de nombres de usuario prohibidos que los usuarios legítimos nunca utilizarán. No se les permitirá conectarse ni registrarse.

Otros artículos relacionados con la seguridad del sitio de WordPress aquí.

image 100314455 15132388

Deja una respuesta