nG Firewall, un paso más allá en la seguridad WordPress

• 12
  Nov

• Etiquetas: novedades, optimización, programación, seguridad, soporte, website, wordpress

Arrancamos este artículo como en la misa dominical, repasando los dogmas de la seguridad en wordpress, para aquellos que no le tienen mucha fe a la plataforma, o necesitan ver para creer, y pretenden reaccionar luego de que el mal ha hecho acto de presencia; esto es casi “palabra del señor”:

• No existe, y creemos no existirá nunca, un método 100% infalible para la seguridad en ninguna plataforma creada por el hombre; si un hombre la hizo otro hombre puede deshacerla, eso es ley de vida; lo que existen son métodos que buscan minimizar ese riesgo.
• No hay página web que no esté susceptible a ser atacada; aquello de que “no sé que pasó con mi página, ayer se veía, hoy no, ni la he tocado”, es precisamente por “no tocarla” que pasa lo que pasa; a veces los sites “menos llamativos o visitados” son los más apetecibles, pues con ellos las intrusiones maliciosas ocurren bajo perfil; y un site que “no se toca” queda desactualizado a nivel de código y seguridad, y si no se monitorea constantemente es el caldo de cultivo perfecto para sembrar allí la semilla de actividades no permitidas.

Para centrarnos en la solución y no en el problema, arranquemos con los tres pilares en los que debe apoyarse la seguridad de tu sitio wordpress:

• Seguridad desde una CDN

• Seguridad desde el hosting

• Seguridad desde la propia aplicación wordpress

Lo ideal sería apoyarte en los 3, y contar con todas esas opciones, no hay nada que sobre cuando de seguridad se trata; pero en este caso en particular vamos a tocar sólo el último: Seguridad desde la propia aplicación wordpress, es decir, ¿de qué puedes encargarte directamente como administrador y responsable de tu site?.  Hay pasos elementales dentro de la doctrina de la seguridad en wordpress, que seguro ya conoces, pero como en todo acto de fe, hay que repetirlos una y otra vez, para que estén siempre presentes:

• Mantener actualizada la versión y wordpress, plugins, themes y hasta la versión php activa en el cPanel asociada al sitio, obviamente hasta donde se pueda, que no se rompa la visualización y funcionalidad de la página; y sí, hay que repetirlo, haz y mantén un respaldo contante de los archivos y base de datos antes de hacer esto.

• Haz uso de algún plugin de seguridad wordpres, eso sí, uno sólo, aquí si influye el que tengas varios; para mantener protegido y monitoreado tu site.

• Emplea contraseñas seguras (que contengan mayúsculas, minúsculas, números y símbolos), y activa la Autenticación de 2 Factores, tanto para tu sitio como para el acceso al cPanel donde está alojado, buscando reforzar así el ingreso.

Ahora sí entramos en la materia que nos ocupa en este artículo: el firewall para tu sitio wordpress, partiendo de ¿para qué sirve esto?….básicamente un firewall mantiene tu site a salvo de…

• Exploits malintencionados
• Ataques DDOS
• Vulnerabilidades XSS
• Tráfico indeseado
• Solicitudes no deseadas
• Inyecciones de malware
• En conclusión, lo mantiene protegido de gente mala y sin oficio.

En este caso hablaremos de nG Firewall, en términos simples: diseñado para ser liviano y súper rápido. Ofrece un equilibrio óptimo entre seguridad y rendimiento, brindando una protección significativamente mejor que los otros firewalls, sin consumir tantos recursos del servidor. Si eres amante de los tecnicismos, te dejamos por acá algunas de las principales características y objetivos del cortafuegos nG:

• Seguridad a través de la simplicidad
• Amplia protección de cortafuegos
• Ajustado para minimizar los falsos positivos
• Ligero, modular, flexible y rápido
• Completamente automático, sin necesidad de configuración
• Mejora la seguridad, reduce la carga del servidor, conserva los recursos
• Código abierto, fácil de usar y completamente gratis
• No se requiere WordPress: funciona en cualquier sitio web
• 100% compatible con WordPress

Protegiéndote contra una multitud de ataques y amenazas, como:

• Directory Traversal
• HTTP Response Splitting
• (XSS) Cross-Site Scripting
• Cache Poisoning
• Exploits Dual-Header
• Inyección de código SQL/PHP
• Inyección/inclusión de archivos
• Inyección de byte null
• Exploits de WordPress como timthumb y fckeditor
• Exploits de PHP como c99shell, rom2823, r3vn330, sux0r y más
• Fugas de información de PHP

Además, el Firewall nG protege contra un amplio rango de peticiones malintencionadas, bad bots, spam y más basura. El cortafuegos nG usa mod_rewrite de Apache, así que funciona con todo tipo de métodos de petición HTTP: GET, POST, PUT, DELETE y todos los demás. Todo esto resulta en una robusta protección para tu web.

Lindo todo, ¿cómo se usa esto?….esencialmente es una herramienta gratuita que requiere 3 sencillos pasos para su instalación (copiar y pegar, básicamente), en este caso vamos a especificar los que se siguen a través de un archivo .htaccess dentro de un servidor Apache.

1. Descarga la última versión del nG Firewall del sitio original y descomprime el ZIP en tu equipo.

2. Abre el archivo TXT del firewall, incluido en el ZIP.

3. Copia y pega el contenido del TXT del firewall al principio del archivo .htaccess de tu instalación wordpress.

   *Paso extra: prueba, revisa y confirma que tu site corra y funcione perfectamente, luego de esa incorporación, es posible que el código agregado pudiese crear alguna interferencia o incompatibilidad con otros códigos o programaciones ya activas en tu sitio.

Para los más puritanos aclaramos de plano algunas dudas que pueden salir a la palestra…

¿Puede provocar falsos positivos el Firewall nG?

Una duda razonable que puede surgir cuando bloqueas tráfico y peticiones sospechosas o directamente malintencionadas es si, por algún fallo en la configuración del cortafuegos podríamos estar bloqueando tráfico legítimo, por ejemplo de buscadores.

El firewall nG está probado desde hace años, en sus distintas versiones y actualizaciones, y está libre de falsos positivos.

¿Puedo registrar la actividad del Firewall nG?

Pues sí, en el caso de que quieras tener un registro de la actividad del cortafuegos, al final de cada sección del mismo hay una linea comentada o inactiva, que si la activas guardará un archivo de registro con la actividad de esa sección de protección.

Por ejemplo, en las reglas de REQUEST_METHOD tienes lo siguiente:

# 8G:[REQUEST METHOD]
<IfModule mod_rewrite.c>
RewriteCond %{REQUEST_METHOD} ^(connect|debug|move|trace|track) [NC]
RewriteRule .* - [F,L]
# RewriteRule .* /nG_log.php?log [END,NE,E=nG_REQUEST_METHOD:%1]
</IfModule>

La línea # RewriteRule .* /nG_log.php?log [END,NE,E=nG_REQUEST_METHOD:%1] está comentada (tiene un # delante), y si quitas el # se activará la creación del registro para esta sección. Quedaría así:

# 8G:[REQUEST METHOD]
<IfModule mod_rewrite.c>
RewriteCond %{REQUEST_METHOD} ^(connect|debug|move|trace|track) [NC]
RewriteRule .* - [F,L]
RewriteRule .* /nG_log.php?log [END,NE,E=nG_REQUEST_METHOD:%1]
</IfModule>

¿Funciona el firewall nG?

La mayoría de las herramientas que sugerimos o de las que hablamos al respecto, las probamos antes, incorporamos el cortafuegos nG directamente en nuestros sitios de MediaWeb (además de otras medidas de seguridad adicionales que siempre hemos tenido) y desde entonces hemos observado:

• Menor consumo de recursos del servidor.
• Eliminación de tráfico innecesario.
• Reducción drástica de spam.
• Webs 99,99% seguras.

Sólo hay 1 forma de confirmarlo por ti mism@…..¡puébalo!

Entérate también sobre estos temas relacionados:

¿Cómo mejorar la seguridad de un sitio Web WordPress? WordPress Toolkit: mayor seguridad y administración simplificada para WordPress, directamente desde el cPanel El mejor plugin de seguridad para wordpress…¡eres TÚ! Cómo optimizar WordPress al tope – paso a paso Guía Avanzada para Configurar iThemes Security paso a paso