WPMU Defensor Pro

Publicado: 2019-03-19

La seguridad es (o debería ser) una de las principales prioridades para cualquier propietario de un sitio web, no existe tal cosa como ser demasiado seguro . Hoy voy a revisar un complemento particularmente interesante que se ocupa de la seguridad, está hecho por WPMU y se llama Defender Pro. Este complemento ofrece toneladas de herramientas intuitivas y fáciles de usar y funciones realmente útiles, y es parte del paquete que WPMU ofrece como un modelo basado en suscripción.

Precio del defensor

WPMU sigue el modelo de suscripción con algo de jugo extra. Más de 100 complementos están disponibles para cualquier miembro y se pueden instalar en cualquier cantidad de sitios, veces ilimitadas por solo un costo de tarifa plana de $ 49 por mes, es una buena oferta para cualquiera que busque cubrir todas las bases, ya que WPMU tiene herramientas para casi todo, siendo la seguridad y la velocidad dos de las más importantes. El complemento en cuestión, Defender Pro es una de sus principales ofertas. Aunque el precio puede parecer elevado a primera vista, especialmente si está utilizando uno de los complementos de seguridad freemium en el repositorio de WordPress, los beneficios de tener este complemento junto con más de 100 otros definitivamente hacen que esta oferta sea más que interesante.

Defender se puede instalar directamente a través del panel WPMU DEV. Tiene 2 métodos para agregar el complemento principal a su sitio. En este artículo, agregaré el complemento a mi propia revista de juegos. Puede hacerlo mediante una función que WPMU llama Auto Sync, que implica proporcionar su nombre de usuario y contraseña al panel web de WPMU para que instale automáticamente el complemento, o descargando el complemento WPMU DEV Dashboard usted mismo e iniciando sesión en su panel de WPMU Dev con sus credenciales. .

Después de ese punto, todo se vuelve mucho más fácil. Una vez que se instala WPMU Dev Dashboard, agregar cualquier complemento es tan fácil como hacer clic en él en la lista y listo.

Características del defensor

Defender se puede instalar desde la lista de complementos que se ofrece a través del modelo de suscripción. Antes de instalar, puede echar un vistazo a las características que tiene para ofrecer.

Además de hacer seguridad básica como analizar su sitio y ofrecer ajustes, Defender Pro también ofrece funciones avanzadas como autenticación de 2 factores (2fa), una herramienta de bloqueo de IP y monitoreo de lista negra de Google, entre otros: el complemento no solo mira internamente qué cambios puede hacer. haga en su sitio para hacerlo más seguro, también está mirando hacia afuera a las amenazas del mundo real y lo ayuda a administrarlas. Este es un complemento muy bien empaquetado.

Rendimiento antes y después

Antes de profundizar en las funciones, echemos un vistazo al rendimiento del sitio, sin almacenamiento en caché y sin Defender Pro habilitado.

Antes

Después

Y ahora, este es el rendimiento después de habilitar Defender Pro. Puede ver que el complemento no agrega ninguna solicitud adicional al sitio y el rendimiento es exactamente el mismo que si el complemento no estuviera presente. Como este no es un complemento que mejora la velocidad, no estamos buscando resultados mejorados, simplemente no queremos resultados peores. Buen trabajo hasta ahora.

Configuración

Ahora, para la pantalla de bienvenida. Defender Pro le permite habilitar todo a través de una configuración rápida, o simplemente puede omitir esta pantalla de bienvenida y hacerlo todo usted mismo. Para gente con experiencia, recomiendo este último.

Las características principales del complemento se dividen en: escaneos automáticos de archivos, registro de auditoría, bloqueo de IP y el monitor de lista negra. Verá que hay aún más funciones para habilitar que no forman parte de esta configuración rápida.

El tablero

Una vez que el complemento esté habilitado y listo, aparecerá el siguiente panel.

WPMU sabe cómo hacer Dashboards, eso es seguro. Está limpio y claro dónde está todo, así que incluso si es la primera vez que ve la interfaz de usuario de un complemento de seguridad, es probable que pueda solucionarlo. El complemento notificará cualquier irregularidad mostrando advertencias amarillas y rojas. El análisis de archivos detectó 26 archivos sospechosos en mi sitio web y también recomendó varios ajustes de seguridad. Los archivos resultaron ser instalaciones antiguas dejadas por otros complementos y se eliminaron con facilidad. Las recomendaciones también fueron útiles y fáciles de ejecutar, ya que el complemento le permite ejecutarlas sin tener que recurrir a métodos de terceros, como FTP, etc. El escáner de archivos puede detectar vulnerabilidades en su sitio y también puede controlar los archivos de WordPress Core desde siendo alterado.

Ajustes de seguridad

Defender Pro me recomendó que deshabilite el Editor de archivos dentro de WordPress, regenere mis claves de seguridad y también bloquee ciertas carpetas peligrosas aplicando reglas. Dado que Apache es el único capaz de ejecutar reglas sin alterar su propia configuración, las reglas de NGINX relacionadas con mi servicio tuvieron que copiarse y pegarse en el servidor, eso no es una limitación del complemento, es solo cómo se hacen las cosas en NGINX. El complemento facilita hacerlo al mostrar el código que debe cargarse en la configuración de NGINX, muy bueno.

Una vez que se implementaron todas las funciones de seguridad, el complemento mostró una lista de verificación verde. Victorioso.

Más características

El complemento también utiliza una función llamada Bloqueos de IP que le permitirá controlar la forma en que los espectadores pueden acceder a su sitio. Esta función también es útil para controlar los intentos fallidos de inicio de sesión, como le mostraré más adelante.

La función Blacklist Monitor muestra el estado actual de su sitio en la lista negra de Google. Esta característica revisará su sitio cada 6 horas e informará por correo electrónico si algo anda mal.

Herramientas avanzadas

En el menú Herramientas avanzadas, encontrará algunas de las características más interesantes de este complemento hasta el momento.

Autenticación de dos factores

El complemento agrega la autenticación de dos factores a su sitio y el área de inicio de sesión de máscara.

La autenticación de 2 factores se puede habilitar utilizando la aplicación Google Authenticator en su teléfono. Básicamente, esto significa que cualquier persona que intente usar sus datos de inicio de sesión también necesitará su teléfono frente a ellos. Es una excelente manera de asegurarse de que solo usted pueda iniciar sesión como usted, y lo mismo para cada usuario en su sitio.

También puede personalizar el correo electrónico enviado al usuario y activar una función de seguridad en caso de que el usuario pierda su teléfono dando la opción de una contraseña de un solo uso.

Área de inicio de sesión de máscara

La segunda opción en Herramientas avanzadas es el Área de inicio de sesión de máscara. Esta útil función le permite cambiar el nombre del enlace directo para iniciar sesión en su tablero. Reemplazando /wp-login y /wp-admin con cualquier palabra que desee. Si bien la seguridad a través de la oscuridad es un tema muy debatido en WordPress y en comunidades de software más amplias, me alegró saber que Defender me dio la opción.

mejor aún, incluso puede habilitar la opción de redirigir cualquier tráfico que intente iniciar sesión en su sitio al redirigir todo el tráfico de /wp-admin y /wp-login a cualquier URL que desee. Genial, ¿eh?

En mi caso, el inicio de sesión de URL necesitará un pequeño ajuste en mi configuración de NGINX para omitir el caché, al igual que /wp-admin , de lo contrario no funcionará. Esto no es necesario bajo Apache.

La función de bloqueo de IP

Esta es una de las características más interesantes y útiles de Defender Pro, por lo que la examinaré más de cerca. Incluso tiene su propio Dashboard.

La primera parte de la función es la más importante, ya que la protección de inicio de sesión limitará los intentos de inicio de sesión en su sitio con un umbral definido por los intentos y el período de tiempo. La duración del bloqueo le permite limitar la cantidad de segundos que le da a dicha IP hasta que se le permita volver a intentar el inicio de sesión.

La detección 404 le permitirá configurar bloqueos para cualquier visita que haga uso de intentos 404 excesivos. Esto puede ser útil o no, ya que probablemente haya usuarios genuinos que intenten acceder a enlaces en su sitio que ya no están disponibles.

La herramienta de prohibición de IP controla cómo maneja las direcciones IP que anteriormente estaban bloqueadas, incluye opciones de lista blanca y lista negra , como es de esperar. Es una buena idea seguir adelante e incluir en la lista blanca su propia dirección IP.

Las notificaciones te permite controlar cómo vas a recibir las notificaciones en tu correo electrónico. Puede agregar destinatarios adicionales aquí y también controlar cuántos correos electrónicos recibe.

Finalmente, este es un ejemplo típico de cómo va a recibir esos correos electrónicos cada vez que surjan problemas en su sitio. Siempre puede controlar y modificar el proceso a su gusto, lo cual es una gran ventaja del complemento.

Lee mas

Terminando

Tener un escáner de archivos activo, una función de bloqueo de IP con protección de inicio de sesión y, además, un monitor de lista negra de Google, una máscara para el área de inicio de sesión y autenticación de dos factores, todo en un complemento, con la ventaja añadida de registro de auditoría activo lo convierte en un excelente y paquete muy completo. Recuerde al comparar precios con otras opciones, no está pagando por Defender, está pagando por todo lo que WPMU tiene para ofrecer y eso es mucho. Sin duda, este es uno de los mejores complementos de seguridad que he encontrado y que recomiendo totalmente si la seguridad es una prioridad en su blog o sitio web. Una vez más, WPMU ha demostrado ser excelente en lo que hace, proporcionando complementos útiles llenos de opciones que son fáciles de navegar y usar. Cualquiera que sea su conjunto de habilidades, este complemento es un guardián sólido que se siente estable, bien codificado y repleto de funciones.