WP Cerber deriva del nombre Cerbero, de la mitología griega y romana, en la que Cerbero es un perro de muchas cabezas con cola de serpiente y garras de león, y nadie podía esquivar a este perro siempre enfadado.
Instalación de WP Cerber
La versión gratuita del plugin WP Cerber se puede descargar aquí. La instalación es la misma que para otros plugins de WordPress: instale el plugin a través de Plugins > Añadir un nuevo > Descargue o descomprima el paquete del plugin.
Esta extensión es compatible con WooCommerce, el modo multisitio de WordPress, Cloudflare, bbPress y Wp Engine.
Présentation
WP Cerber protege su sitio de WordPress de ataques de fuerza bruta, spam, troyanos y malware.
Este plugin mitiga los ataques de fuerza bruta limitando el número de intentos de inicio de sesión posibles a través del formulario de inicio de sesión, las solicitudes XML-RPC / REST API o mediante el uso de cookies de autenticación.
WP Cerber rastrea la actividad de los usuarios con actividad maliciosa con notificaciones por correo electrónico. También detiene a los spammers mediante un motor antispam especializado.
WP Cerber utiliza Google reCAPTCHA para proteger los formularios de registro, contacto y comentarios y restringe el acceso con listas de acceso IP, supervisa la integridad del sitio web con un escáner de malware.
También es posible gestionar varias instancias de WP Cerber desde un único panel de control, lo que resulta especialmente útil si necesita garantizar la seguridad de varios sitios web.
Por último, la extensión refuerza la seguridad general de WordPress con un conjunto de reglas y algoritmos de seguridad flexibles.
Limitación de los intentos de conexión
Por defecto, WordPress permite un número ilimitado de intentos de inicio de sesión a través del formulario de acceso, lo que hace que sea relativamente fácil romper las contraseñas a través de un ataque de fuerza bruta.
WP Cerber Security impide que los intrusos por IP o subred realicen más intentos después de alcanzar un límite especificado de intentos, lo que imposibilita los ataques de fuerza bruta o los ataques de fuerza bruta distribuidos desde redes de bots.
Podrá crear una lista de acceso de IP negra o una lista de acceso de IP blanca para bloquear o permitir las conexiones de una determinada dirección IP, rango de direcciones IP o subred de cualquier clase (A, B, C).
Además, puede crear su propia página de inicio de sesión personalizada y olvidarse de los ataques automáticos contra el archivo wp-login.php por defecto, que tienen el inconveniente de llamar la atención y consumir muchos recursos del servidor. Si un atacante intenta acceder a wp-login.php, será bloqueado y obtendrá una respuesta de error 404.
Escaneo de malware
WP Cerber Security Scanner es una herramienta extremadamente potente que escanea a fondo cada carpeta e inspecciona cada archivo de un sitio web en busca de rastros de malware, troyanos, puertas traseras, archivos modificados y archivos nuevos.
Más detalles sobre las opciones de configuración del escáner aquí.
Comprobación de la integridad de las carpetas y archivos de WordPress
El escáner de WP Cerber comprueba si todas las carpetas y archivos de WordPress coinciden con lo que existe en el repositorio maestro oficial de WordPress, compara sus plugins y temas con lo que hay en el repositorio oficial de WordPress y le avisa de cualquier cambio. Al igual que el análisis de los plugins y temas gratuitos, el escáner analiza y comprueba los plugins y temas comerciales que se instalan manualmente.
Escaneos programados con recuperación automática de archivos
El escáner de WP Cerber le permite configurar fácilmente una programación para realizar análisis recurrentes automatizados. Una vez configurada la programación, el escáner analiza automáticamente el sitio web, elimina el malware y recupera los archivos de WordPress modificados e infectados. Después de cada análisis, puede obtener un informe opcional por correo electrónico con los resultados del análisis.
Autenticación de dos factores
La autenticación de dos factores (2FA) proporciona una capa adicional de seguridad que requiere un segundo factor de identificación más allá de un simple nombre de usuario y contraseña. Cuando se activa el 2FA en un sitio web, el usuario debe proporcionar un código de verificación adicional al iniciar la sesión en el sitio web. Este código de verificación se genera automáticamente y se envía al usuario por correo electrónico.
Un detalle interesante es que esta función 2FA es compatible con la gestión de varias instancias de WP Cerber desde un único panel de control.
Protección anti-spam y anti-bot
Gracias a WP Cerber es posible tener una buena protección anti-spam y anti-bot para contactos, registros, comentarios y otros formularios. El motor de detección de bots y antispam protege ahora todos los formularios de un sitio web. Probado con Gravity Forms, Caldera Forms, HappyForms, Contact Form 7, Ninja Forms, Formidable Forms, Fast Secure Contact Form, Contact Form by WPForms.
Este módulo le permite tener un reCaptcha invisible en el formulario de inicio de sesión de WordPress, el formulario de registro de WordPress, el formulario de pérdida de contraseña de WordPress y el formulario de comentarios de WordPress.
Esta función también está disponible para WooCommerce (formulario de inicio de sesión de WooCommerce, formulario de registro de WooCommerce, formulario de pérdida de contraseña de WooCommerce).
Antes de habilitar el reCAPTCHA invisible, necesita obtener claves separadas para la versión invisible. Más detalles aquí .
Si quieres probar la funcionalidad de WP Cerber, hazlo en otro ordenador (o en una ventana de navegador de incógnito) y elimina la dirección IP o la red del ordenador de la lista blanca.
El cortafuegos WP Cerber “Traffic Inspector”
Es importante señalar que, según WP Cerber, el cortafuegos no ralentiza el rendimiento de WordPress. Tampoco afecta a la clasificación SEO de su sitio web. En efecto, WP Cerber no bloquea automáticamente las solicitudes ordinarias de las páginas de sus visitantes, y por lo tanto no perturba la indexación de los motores de búsqueda.
Sólo se analizarán y bloquearán las peticiones maliciosas y potencialmente peligrosas, como: envíos de formularios, peticiones con parámetros GET y POST, peticiones a scripts PHP. WP Cerber bloqueará la dirección IP y enviará una respuesta 403 “Acceso denegado“. Estos eventos se registrarán en el registro de actividades. Más detalles aquí .
Integración con Cloudflare
Un complemento especial de Cloudflare para WP Cerber sincroniza la lista de direcciones IP bloqueadas con las reglas de acceso IP de Cloudflare.
Si su sitio está detrás del servicio proxy de Cloudflare y su WordPress está protegido por el plugin WP Cerber, necesita hacer dos cosas para que funcionen bien juntos.
1) Active la opción “Mi sitio está detrás de un proxy inverso” en la página de configuración principal.
2) En caso de que haya configurado la URL de inicio de sesión personalizada, debe excluirla de la caché de los servidores de Cloudflare. Para ello, añada una regla en la página de configuración Reglas de la página (“Page Rules”) en la configuración de su cuenta de Cloudflare, como se describe aquí.
Si ha configurado la URL de inicio de sesión personalizada y está utilizando Cloudflare o un plugin de caché W3 Total Cache o WP Super Cache, debe añadir la nueva URL de inicio de sesión personalizada a la lista de páginas no almacenables en caché.
Otras medidas de seguridad útiles de WP Cerber
Los siguientes pasos son opcionales, pero ayudarán a reforzar la protección de su WordPress.
- Ajustar la configuración de la limitación de los intentos de conexión para que sea más restrictiva según las necesidades.
- Configuración de la URL de acceso personalizada (el plugin le enviará un correo electrónico con ella).
- Una vez que haya configurado la URL de inicio de sesión personalizada, marque “Bloquear la IP inmediatamente después de cualquier solicitud a wp-login.php” y “Bloquear el acceso directo a wp-login.php y devolver el error HTTP 404 no encontrado“. No utilice wp-admin para acceder a su panel de control de WordPress.
- Si su WordPress tiene algunos usuarios avanzados, marque la opción “Bloquear inmediatamente la IP cuando intente iniciar sesión con un nombre de usuario inexistente“.
- Especifica la lista de nombres de usuario prohibidos que los usuarios legítimos nunca utilizarán. No se les permitirá conectarse ni registrarse.
Más artículos sobre la seguridad del sitio de WordPress aquí.
