Para los que todavía no conocen muy bien el plugin de seguridad de Sucuri, en si no es una empresa de WordPress. Pero sin embargo parece tener un interés especial en la plataforma de WordPress.
Sin embargo WordFence parece ses el mejor complemento de seguridad de WordPress en el mercado, como los usuarios lo sugieren. Sin embargo, aunque popular, Wordfence está lejos de ser el único de su tipo.
Para los no iniciados, Sucuri es una empresa especializada en seguridad del sitio web. Ellos ofrecen muchos servicios diferentes tales como limpieza de sitios, o como también limpieza en listas negras y de protección contra ataques DDoS, entre otros.
También ofrecen sus servicios para Joomla, Drupal, Magento y otros sitios.
Sucuri actualmente trabaja en estrecha colaboración con el equipo de seguridad de WordPress y algunos proveedores de plugins
Además de eso, tienen un conector de seguridad en el directorio de WordPress , que es lo que vamos a tratar principalmente en este artículo.
¡Hora de que hagamos una revisión detallada de Sucuri!
Sucuri Seguridad – Instalación y configuración
Como primer paso en esta revisión Sucuri, vamos a instalar el plugin en nuestro sitio web y conseguir que funcione.
Instalar el plugin
Puede instalar Sucuri en la misma forma que otros plugins de WordPress. Sólo tienes que ir a Plugins> Agregar nuevo y la búsqueda de Sucuri . El plug-in que buscas estará en primer lugar.
Haga clic en Instalar ahora , a continuación, activar una vez que termine la descarga.
Configuración completa
Lo primero que verá después de la activación es un mensaje para generar una clave de API.
Basta con hacer clic en el botón, seleccione el usuario correcto y pulsa Continuar para crear. Mientras que tú no actives algunas funciones no funcionarán. Eso es todo para la configuración.
Sucuri Seguridad – Información general
El siguiente paso, vamos a hacer un recorrido por el plugin y ver lo que tiene bajo la manga
Tablero
El tablero de instrumentos muestra el estado de seguridad de su sitio. Si está activado, aquí podrás ver los registros de todo lo que ha estado ocurriendo con tu sitio.
Para el inicio, que muestra la integridad del núcleo de tu sitio. Significa que Sucuri escanea los archivos de WordPress para cambios o archivos desconocidos y listas de problemas para que puedas solucionarlo.
Por supuesto, si los archivos aparecen en la lista que sabe que no son un problema, puedes excluirlos de la siguiente exploración. Para ello, simplemente debes a continuación comprobar si los productos en cuestión y el uso de la marca, están en el menú desplegable. En el mismo lugar, también se puede eliminar o restaurar los archivos.
Al igual que en Wordfence, Sucuri Security contiene un escáner de malware. Cuando se presiona el botón, se comprobará su sitio de malware, errores y componentes fuera de fecha. También comprueba si ha estado en la lista negra de Google, Norton, AVG, PhishTank y otras listas de spam.
El análisis se ejecutará automáticamente cada tres, doce o veinticuatro horas (dependiendo de la configuración). El valor es predeterminado es dos veces al día.
Una vez que se ha ejecutado, se obtiene un informe detallado de sus conclusiones. Todas las cuestiones presentes en tu sitio se enumeran para que puedas tomar las medidas apropiadas si es necesario.
Firewall
Por supuesto, como cualquier buen sistema de seguridad, Sucuri también ofrece un firewall. Cuando está activado, todo el tráfico del sitio va primero a través de los servidores de Sucuri antes de llegar a tu sitio web. De esa manera, pueden resolver los hackers, ataques DDoS y el resto del tráfico no deseado incluso antes de que llegue.
De este modo protege tu sitio, mientras que su servidor, evita el tiempo de inactividad y ralentizaciones. También te protege de las inyecciones SQL de base de datos, puertas traseras y muchas otras amenazas.
Sin embargo, el firewall no está incluido en el plugin gratuito. Con el fin de activarlo, se necesita una clave de API para el que necesita inscribirse a uno de los planes de pago.
Endurecimiento
Bajo endurecimiento , Sucuri ayuda a tomar medidas para fortalecer tu sitio web de las amenazas externas. Puedes activar cada característica cómodamente con el clic de un botón.
- Activar cortafuegos – Si tienes la versión de pago, puedes configurar el servidor de seguridad.
- Actualización de WordPress – Cuando tu sitio web o cualquiera de sus componentes no están actualizados, esta sección te advertirá y te solicitará que instales la versión más reciente.
- Verificar la versión de PHP – Comprueba si el servidor está ejecutando la última versión de PHP.
- Retire versión de WordPress – Te permite eliminar que la versión de tu CMS se muestre públicamente.
- Proteger directorio de archivos – Desactiva la ejecución de archivos PHP dentro de tus archivos del directorio. Esto puede romper ciertos complementos.. Mucho cuidado
- Restringir el acceso wp-content – coloca un .htaccess archivo dentro de la wp-content para impedir el acceso externo.
- Restringir el acceso wp-includes – Igual que el anterior pero para wp-includes.
- Las claves de seguridad – busca indicios de la presencia de las claves de seguridad dentro de wp-config.php . Esto hace que la información almacenada en el interior de las cookies sean más difíciles de descifrar.
- Fuga de información – comprueba la presencia de un archivo readme.html en tu sitio (que contiene la versión de WordPress) y lo elimina.
- Por defecto cuenta de administrador – Comprueba el administrador de usuario. Esto solía ser la norma en otros tiempos y es un objetivo favorito para los piratas informáticos.
- Plugin y editor de temas – Desactiva el plugin y el tema editor para impedir el acceso a los archivos confidenciales por parte de otros usuarios (y, posiblemente, los piratas informáticos que hayan irrumpido en tu sitio).
- Tabla de la base de prefijo – Opción para comprobar y cambiar si tu sitio se ejecuta con el prefijo wp_ de tabla de base de datos. Si lo hace, lo hace más vulnerable.
Además de eso, también puedes encontrar la opción de lista blanca de archivos PHP que hayan sido bloqueados. Por supuesto, nunca hacgas esto si no estás seguro.
Esta sección del plug-in ofrece medidas para cuando tu sitio se haya comprometido:
- Restablece las claves de seguridad – Esta opción generarán nuevas claves dentro de wp-config.php .
- Restablece la contraseña de usuario – Para que los usuarios elegidos Prompt creen nuevas contraseñas.
- Restablece plugins – En caso los plugins estén infectadas, lo que te permite volver a instalarlos con un click
- Actualizaciones disponibles – Muestra todos los componentes en tu sitio que se pueden actualizar (y debería).
Muchas de estas acciones se recomiendan generalmente para llevar a cabo manualmente si tu sitio ha sido hackeado.
Últimos inicios de sesión
Aquí, Sucuri registra todos los inicios de sesión en tu sitio. Se puede comprobar tus usuarios administradores, que está actualmente registrado en tu sitio, los intentos fallidos de inicio de sesión y usuarios bloqueados.
Ajustes
Naturalmente, los ajustes permiten controlar todo lo relacionado con el plugin.
- General – Configura tu clave de API, para el almacenamiento de datos, configuración de proxy inverso e IP, ya sea para obtener contraseñas de intentos de conexión fallidos, comentarios del usuario de correo no deseado y habilitar los registros de auditoría en el dashboard. También puedes ajustar la fecha y la hora y reiniciar todas las opciones.
- Escáner – Configurar el escáner de malware Sucuri. Define qué algoritmo utiliza, la frecuencia de exploración, si hay que comprobar la integridad del núcleo y otras configuraciones.
- Alertas – Determinar quién envia los informes de seguridad, con qué frecuencia y en qué eventos.
- Servicio API – Todos los ajustes que se pueden hacer con la API Sucuri.
- Entrar exportador – Opción para permitir la exportación de informes de seguridad para su posterior análisis.
- No haga caso de Escaneo – En caso de que tu sitio web sea muy grande, aquí se puede indicar al explorador ignorar ciertos archivos y carpetas para evitar tiempos de espera.
- No haga caso de alertas – Por defecto Sucuri envía mensajes de correo electrónico de advertencia si se crean o se actualizan determinados tipos de correos. Este menú te permite apagar la alarma para cualquier tipo de mensaje.
- La confianza IP – Configura IP fiables para los cuales no envie alarmas, especialmente si eres parte de una red de área local.
- Heartbeat – Ajustes de la API, que es una conexión entre el navegador y el servidor.
Información del sitio
Por último, esta parte contiene todo Sucuri sabe acerca de su sitio. Incluye información sobre los plugins y el servidor, tareas programadas, la integridad de su .htaccess archivo, variables como el nombre de la base, prefijo de la tabla, claves y más, así como la configuración de los registros de errores.