SiteGround Security

Descripción

With the carefully selected and easy to configure functions the SiteGround Security plugin provides everything you need to secure your website and prevent a number of threats such as brute-force attacks, compromised login, data leaks, and more.

Ajustes de acceso

Aquí puedes usar las herramientas que. hemos desarrollado para proteger la página de acceso de visitantes y bots no autorizados, y de otras conductas malintencionadas.

URL de inicio de sesión personalizada

Change the default login url to prevent attacks and have an easily memorisable login URL. You can also change the default sign-up url if you have that option enabled for your website.

¡Importante!
Puedes revertir el texto de acceso predeterminado usando el siguiente fragmento de código.

add_action( 'init', 'remove_custom_login_url' );
function remove_custom_login_url() {
    update_option( 'sg_security_login_type', 'default' );
}

Acceso al inicio de sesión

El acceso al inicio de sesión te permite limitar el acceso a la página de iniciar sesión a IPs específicas o a un rango de IPs para evitar intentos de acceso malintencionados en ataques de fuerza bruta.

¡Importante!
Si te bloqueas a ti mismo del panel de administración puedes añadir la siguiente opción al archivo functions.php de tu tema, recargar el sitio y luego quitarla una vez que consigas acceder. Ten en cuenta que esto también eliminará todas las IPs que tienen permiso de acceso a la página de acceso y será necesaria una nueva configuración:

add_action( 'init', 'remove_login_access_data' );
function remove_login_access_data() {
    update_option( 'sg_login_access', array() );
}

Identificación de dos factores

La identificación en dos factores para usuarios administradores forzará a todos los administradores a ofrecer un token al acceder, generado por la aplicación Google Authenticator.

Important!
You can force other roles to use the Two-Factor authentication as well. Once enabled, you can add your filter as the following.

add_filter( 'sg_security_2fa_roles', 'add_user_roles_to_2fa' );
function add_user_roles_to_2fa( $roles ) {
    $roles[] = 'your_role';
    return $roles;
}

Deshabilitar nombres de usuario comunes

El uso de nombres de usuario comunes como ‘admin’ es una amenaza para la seguridad que a menudo resulta en un acceso no autorizado. Al habilitar esta opción, deshabilitaremos la creación de nombres de usuario comunes y si ya tiene uno o más usuarios con un nombre de usuario débil, le pediremos que proporcione uno(s) nuevo(s).

Limitar los intentos de acceso

Al limitar los intentos de acceso puedes especificar el número de veces que los. usuarios pueden tratar de acceder con credenciales incorrectas. Si llegan a un límite específico la IP desde la que estén intentando acceder se bloqueará durante una hora. Si siguen haciendo intentos incorrectos se les restringirá durante 24 horas, y luego durante 7 días.

¡Importante!
Si te bloqueas a ti mismo del panel de administración puedes añadir la siguiente opción al archivo functions.php de tu tema, recargar el sitio y luego quitarla una vez que consigas acceder. Ten en cuenta que esto también eliminará el bloqueo de intentos fallidos de todas las IPs:

add_action( 'init', 'remove_unsuccessfull_attempts_block' );
function remove_unsuccessfull_attempts_block() {
    update_option( 'sg_security_unsuccessful_login', array() );
}

Seguridad del sitio

Con este conjunto de herramientas puedes reforzar tu aplicación WordPress y mantenerla a salvo de malware, exploits y otras acciones malintencionadas.

Bloquear y proteger las carpetas del sistema

Lock and Protect System Folders allows you to block any malicious or unauthorized scripts to be executed in your applications system folders.
If the Lock and Protect System Folders option blocks a specific script used by another plugin on the website, you can easily whitelist the specific script by using the snippets provided below.

Use this one to whitelist a file in the wp_includes folder:

add_filter( 'sgs_whitelist_wp_includes' , 'whitelist_file_in_wp_includes' );
function whitelist_file_in_wp_includes( $whitelist ) {

    $whitelist[] = 'file_name.php';
    $whitelist[] = 'another_file_name.php';

    return $whitelist;
}

Use this one to whitelist a file in the wp_uploads folder:

add_filter( 'sgs_whitelist_wp_uploads' , 'whitelist_file_in_wp_uploads' );
function whitelist_file_in_wp_uploads( $whitelist ) {
    $whitelist[] = 'file_name.php';
    $whitelist[] = 'another_file_name.php';

    return $whitelist;
}

Use this one the whitelist a file in the wp_content folder:

add_filter( 'sgs_whitelist_wp_content' , 'whitelist_file_in_wp_content' );
function whitelist_file_in_wp_content( $whitelist ) {
    $whitelist[] = 'file_name.php';
    $whitelist[] = 'another_file_name.php';

    return $whitelist;
}

Ocultar la versión de WordPress

Al usar la ocultación de la versión de WordPress puedes evitar ser marcado para ataques en masa debido a vulnerabilidades específicas de la versión.

Desactivar el editor de temas y plugins

Desactiva el editor de temas y plugins de la administración de WordPress para evitar errores de código potenciales o accesos no autorizados desde el editor de WordPress.

Desactivar XML-RPC

Puedes desactivar el protocolo XML-RPC, que ha sido usado recientemente en montones de exploits. Ten en cuenta que cuando se desactiva evita que WordPress se comunique con sistemas de terceros. Recomendamos usarlo, a menos que lo necesites específicamente.

Forzar HTTP Strict-Transport-Security (HSTS)

HSTS (HTTP Strict-Transport-Security) es un encabezado de respuesta. Permite al sitio web decirle a los navegadores que solo se debe acceder a él mediante HTTPS, en lugar de mediante HTTP. Esto evita los ataques “man-in-the-middle” y asegura que los visitantes habituales serán redirigidos a la versión segura del sitio web.

Desactivar feeds RSS y ATOM

Desactiva los feeds RSS y ATOM para evitar el robo de contenido y ataques específicos contra tu sitio. Se recomienda usar esto en todo momento, a menos que tengas lectores que usen tu sitio mediante lectores RSS.

Protección XSS avanzada

Al activar la protección de XSS avanzada puedes añadir una capa adicional de protección contra ataques XSS.

Borrar el readme.txt predeterminado

Cuando borras el archivo readme.txt predeterminado, que contiene información sobre tu web, reduces las opciones de que termine en una lista de sitios potencialmente vulnerables, usada por hackers.

Registro de actividad

Aquí puedes supervisar en detalle la actividad de los visitantes registrados, desconocidos y bloqueados. Si su sitio está siendo hackeado, un usuario o un plugin fue comprometido, siempre puedes usar las herramientas rápidas para bloquear sus acciones futuras.

Important!
You can set a custom log lifetime ( in days ), using the following filter we have provided for that purpose.

add_filter( 'sgs_set_activity_log_lifetime', 'set_custom_log_lifetime' );
function set_custom_log_lifetime() {
    return 'your-custom-log-lifetime-in-days';
}

Acciones después de un hackeo

Reinstalar todos los plugins gratuitos

Si tu web ha sido hackeada siempre puedes reducir el daño usando la reinstalación de todos los plugins. Esto reinstalará todos tus plugins gratuitos, reduciendo la opción de otro exploit o el reuso de código malintencionado.

Desconectar a todos los usuarios

Puedes desconectar a todos los usuarios para evitar que realicen más acciones.

Forzar restablecimiento de contraseña

Fuerza el restablecimiento de contraseñas para forzar a todos los usuarios a cambiar su contraseña en el próximo acceso. Esto también desconectará a todos los usuarios al instante.

Soporte WP-CLI

In version 1.0.2 we’ve added full WP-CLI support for all plugin options and functionalities.

  • wp sg limit-login-attempts 0|3|5 – limits the login attempts to 3, 5, or 0 in order to disable it
  • wp sg login-access add IP – allows only specific IP(s) to access the backend of the website
  • wp sg login-access list all – lists the whitelisted IP addresses
  • wp sg login-access remove IP – removes IP from the whitelisted ones
  • wp sg login-access remove all – removes all of the whitelisted IP addresses
  • wp sg secure protect-system-folders enable|disable – enables or disables protects system folders option
  • wp sg secure hide-wordpress-version enable|disable – enables or disables hide WordPress version option
  • wp sg secure plugins-themes-editor enable|disable – enables or disables plugin and theme editor
  • wp sg secure xml-rpc enable|disable – enables or disables XML-RPC
  • wp sg secure rss-atom-feed enable|disable – enables or disables RSS and ATOM feeds
  • wp sg secure xss-protection enable|disable – enables or disables XSS protection
  • wp sg secure 2fa enable|disable – enables or disables two-factor authentication
  • wp sg secure disable-admin-user enable|disable – enables or disables usage of “admin” as username
  • wp sg log ip add|remove|list <name> --ip=<ip> – Añade/lista/elimina pingbots listados definidos por el usuario en el registro de actividad por ip
  • wp sg log ua add|remove|list <name> – Añade/lista/elimina bots listados por el usuario en el registro de actividad por el agente de usuario
  • wp sg list log-unknown|log-registered|log-blocked --days=<days> – Lista el registro de acceso específico de un periodo específico
  • wp sg 2fa reset id ID – Resets the 2fa setup for the user ID.

Requisitos

  • WordPress 4.7
  • PHP 7.0
  • Archivo .htacces activo

Capturas

Instalación

Instalación automática

  1. Ve a “Plugins > Añadir nuevo”
  2. Busca “SiteGround Security”
  3. Click on the Install button under the SiteGround Security plugin
  4. Una vez esté instalado el plugin haz clic en el enlace de “Activar plugin”

Instalación manual

  1. Accede a tu panel de administración de WordPress y ve a “Plugins -> Añadir nuevo”
  2. Selecciona el menú “Subir”
  3. Haz clic en el botón “Elegir archivo” y selecciona en tu explorador el archivo “sg-security.zip” que has descargado
  4. Haz clic en el botón “Instalar ahora”
  5. Go to Plugins -> Installed Plugins and click the ‘Activate’ link under the WordPress SiteGround Security listing

Reseñas

17 de septiembre de 2022
En general va muy bien exceptuando algunos pequeños detalles. En lo que lo "pulen" o "mejoran" le daré (por ahora) 4 estrellas. Pero eso sí: Es muy recomendable!
28 de agosto de 2022
If you have low traffic website and are looking to make your admin area more secure, this is the best plugin for you. It helps to easily overcome some of the common vulnerabilities in WordPress, like XML-RPC. The best feature so far in the plugin is a simple and light 2FA authentication, unlike other such plugins it does not have any effect on the performance of the site.
22 de agosto de 2022
Fantastic Plugin, I absolutly recommend SiteGround and their plugins, their support is top notch!
14 de agosto de 2022
I was about to drop 200 dollars for iThemes Security Pro, but I realized that SiteGround already has a security plugin installed on my website. I found it to be very easy to use, and has the exact features I was looking for without having to pay the extra money. Very well done, and the developers seem to be quite active with rolling out new features.
26 de julio de 2022
Un plugin sencillo de configurar, con las opciones precisas, casi 'minimal style & functional'. No te complica la vida en absoluto, está todo muy bien explicado así que ayudará a todos. Después de haber utilizado durante mucho tiempo otros conocidos plugins muy enrevesados y con miríadas de opciones (el 80% para versión premium), encontrar SiteGround Security ha sido todo un descubrimiento y un alivio. Recomendabilísimo 100%. * * * * * 😉 Thumbs up!
20 de julio de 2022
SiteGround is the best, hands-down. Everything they do is first in class. We've been building WP sites for 7+ years and have worked with or used every major host in the industry, and SiteGround far and away is the very best. Highly recommended.
Leer todas las 66 reseñas

Colaboradores y desarrolladores

Este software es de código abierto. Las siguientes personas han contribuido a este plugin.

Colaboradores

"SiteGround Security" ha sido traducido a 7 idiomas locales. Gracias a los traductores por sus contribuciones.

Traduce "SiteGround Security" a tu idioma.

¿Interesado en el desarrollo?

Revisa el código, echa un vistazo al repositorio SVN o suscríbete al registro de desarrollo por RSS.

Registro de cambios

Version 1.3.2

Release Date: Sept 21st, 2022

  • 2FA Backup codes security strengthening

Version 1.3.1

Release Date: Sept 13th, 2022

  • 2FA Authentication Security Strengthening
  • IP Address detection Security Strengthening

Version 1.3.0

Release Date: July 14th, 2022

  • Brand New Design
  • Improved 2FA Authentication compatibility with Elementor custom login pages
  • Improved data collection
  • Minor fixes

Version 1.2.9

Release Date: June 20th, 2022

  • NEW Filters for “Lock and Protect System Folders” excludes
  • Improved IP Ranges support
  • Improved Blocked IP addresses list
  • Improved Delete the Default Readme.html
  • Improved 2FA Authentication validation
  • Improved 2FA Authentication support for “My Account” login
  • Improved Data Collection
  • Minor fixes

Version 1.2.8

Release Date: May 18th, 2022

  • Improved plugin security

Version 1.2.7

Release Date: April 8th, 2022

  • Minor bug fixes

Version 1.2.6

Release Date: April 7th, 2022

  • 2FA Refactoring

Version 1.2.5

Release Date: April 6th, 2022

  • 2FA Authentication refactoring
  • Improved Weekly Emails
  • HTST service deprecated

Version 1.2.4

Release Date: March 16th, 2022

  • Improved Weekly Emails
  • Improved Woocommerce Payments plugin support
  • 2FA Authentication Security Strengthening

Version 1.2.3

Release Date: March 11th, 2022

  • 2FA Authentication Security Strengthening

Version 1.2.2

Release Date: March 11th, 2022

  • 2FA Authentication Security Strengthening

Version 1.2.1

Release Date: March 9th, 2022

  • Improved Weekly reports
  • Improved HTTP Headers service
  • Code Refactoring

Version 1.2.0

Release Date: February 28th, 2022

  • NEW – Weekly Reports
  • Code Refactoring and General Improvements
  • Improved 2FA user role support
  • Improved error handling
  • Improved Limit Login IP Range support
  • Improved Event log
  • Improved Phlox theme support
  • Minor fixes
  • Improved WP-CLI support
  • Environment data collection consent added

Version 1.1.3

Release Date: October 1st, 2021
* Improved Hide WP version functionality

Version 1.1.2

Release Date: August 20th, 2021
* Improved Custom Login URL functionality
* Improved 2FA
* Improved success/error messages

Version 1.1.1

Release Date: August 12th, 2021
* Improved 2FA
* Improved logout functionality

Version 1.1.0

Release Date: July 27th, 2021
* NEW! Added 2FA backup codes to the profile edit page
* NEW! Custom login and registration URLs
* NEW! Added automatic HSTS headers generation
* Improved Disable common usernames functionality
* Improved Mass Logout Service
* Improved Activity Logging and added custom labeling
* Improved Password Reset functionality

Version 1.0.4

  • Improved Limit Login Attempts

Version 1.0.3

  • Fixed rating box bug on safari
  • Improved RSS & ATOM Feed Disabler service

Version 1.0.2

  • Added filter to configure log lifetime
  • Added WP CLI support
  • Improved strings

Version 1.0.1

  • Añadidos valores predeterminados al instalar
  • Improved translation support
  • Added cleanup on uninstall

Version 1.0.0

  • Primera versión estable.

Version 0.1

  • Versión inicial.