Como proteger y aumentar la seguridad de WordPress con WebARX

¿Tienes un blog con WordPress y quieres protegerlo mejor y aumentar su seguridad? ¿Eres usuario de Wordfence o iThemes Security y quieres algo mejor (y más barato en el caso de los planes de pago)? Estas de suerte: he encontrado la opción perfecta: WebARX (es una combinación de Firewall para tu sitio web, monitoreo de tiempo online y verificación de reputación del dominio, seguridad de plugins y de WordPress en general), y lo mejor de todo es que tienes una oferta por tiempo limitado para darte de alta gracias los chicos y chicas de Appsumo:

• Appsumo ofrece un plan de suscripción para toda la vida a WebARX que solo cuesta 49$ (cuando su precio anual es de 348$). Si te fijas en los precios de su web, ofrecen 10 licencias de Firewall para 10 sitios web por 39$/mes, así que la oferta de appsumo es realmente buena, y lo mejor de todo es que puedes comprar varios códigos para añadir más sitios a tu plan.

Lo más importante que ofrece este servicio es su Firewall: webARX ofrece un un firewall de aplicaciones web o WAF que va a supervisar la seguridad de tu página web, filtrando o bloqueando el tráfico HTTP. El WAF de WebARX te protegerá contra ataques típicos como inyección SQL, XSS, falsificación de petición de sitios cruzados (CSRF), o contra los comentarios proxy en tu blog de WordPress. Pero además de todo esto, también ofrecen muchas cosas más, que es lo que lo diferencia de servicios como Wordfence. Y lo mejor de todo es no provoca que tu web sea más lenta, ya que no añaden cientos de reglas a tu htaccess.

¿Qué es lo que ofrece WebARX?

1. Visión general de la seguridad de todos tus sitios web en un solo panel de control
2. Firewall: Bloquea intentos de hacking y bloquea tráfico malicioso con un plugin de WordPress fácil de instalar
3. Escaneo de vulnerabilidades
4. Ofrece alertas automáticas de correo electrónico cuando se detectan problemas de seguridad o cuando se cae tu página
5. Tiempo de respuesta de tu página
6. Seguridad en tiempo real escaneando problemas que puedan afectar a WordPress
7. Supervisa la reputación del dominio, los errores del sitio, listas negras, caducidad del dominio, chequeo de SSL y mucho más
8. Compatible con Slack
9. Ofrece aviso de cookies para la GDPR
10. En un futuro van a ofrecer backups de tu WordPress y actualización de plugin, temas y demás…
11. Te da acceso a, los logs del firewall y proporciona un log de accesos a tu página.
12. Puedes añadir un «reCaptcha» en la página de login y te permite evitar comentarios de spam mediante la inclusión de unas reglas en tu htaccess

A lo mejor te preguntas si puedes usar este herramienta con Cloudflare: ningún problema, yo lo he probado y todo perfecto. ¿Diferencias con Wordfence? Básicamente que puedes centralizar la seguridad de todas tus páginas web un solo panel de control, lo que hace que todo sea más sencillo de mantener bajo control.

Las características del firewall son muy similares a las de Wordfence, pero además ofrecen: aviso de cookies para cumplir con la GDPR, monitoreo de «uptime», verifican si estas en alguna lista negra, caducidad del nombre de tu dominio, notificaciones de software desactualizados, y planean añadir la administración remota de software (plugins, temas, núcleo de WordPress), registros de actividad ampliados y administrar todos los usuarios de WordPress. A partir de 2019, añadirán la posibilidad de programar copias de seguridad del sitio en Google Drive.

• En cuanto a precio. Sus planes son muy competitivos: 10 licencias para proteger 10 blogs por 32$/mes en su plan anual, frente a los 42.91$/mes de Wordfence para proteger 10 sitios en su plan anual. Si consigues la opción en oferta de Appsumo… no se pueden comparar. WebARX gana por goleada.

¡Ojo! Después de probarlo durante unos días, me he dado cuenta de que todavía tienen algunas cosas que pulir como por ejemplo:

• En el plugin de WordPress no me aparecen correctamente los días y la franja horaria
• En caso de tener subdominios, mucho ojo: hay que quitar la opción: «Check this if you want to disable directory and file listing.» O por lo menos en mi caso dejaron de funcionar. Probablemente tenga que añadir alguna orden en la configuración de Apache para que funcione correctamente.
• La navegación en su página es claramente mejorable, sobre todo para cambiar de dominio con rapidez.
• Si añadieran una herramienta de limpieza de malware de tu WordPress (para el peor de los casos), conseguiría ser la herramienta de seguridad perfecta al 100%

Por lo demás, y con esta oferta de Appsumo… ¡No vas a encontrar nada más barato para proteger tu WordPress!

¿Qué tal funciona el plugin de WebARX?

Pues la verdad es que bastante bien. No he notado que la carga de WorDPress sea más lenta, algo que puede pasar con estos plugins de seguridad. Vas a encontrar un nuevo ítem en la barra de la izquierda con la configuración que puedes personalizar y los logs (se mantienen durante 2 semanas en la base de datos de WordPress y luego se borran, pero puedes seguir accediendo a la información en el portal de WebARX):

En la pestaña de configuración de seguridad puedes habilitar el sistema de reCaptcha, añadir cabeceras Security Headers, deshabitar el cambio de plugins y temas en el editor de WordPress, mover y renombrar la página de login o evitar escaneos de nombres de usuarios y archivos…

En la pestaña de configuración del Firewall vas a configurar si quieres activarlo o no, el acceso a determinados archivos de WordPress, evitar el escaneo de directorios, evitar los comentarios mediante proxy, hotlinking e incluso bloquear IPs maliciosas a tu antojo.

En Backup Settings vas a encontrar una copia de seguridad de tu archivo htaccess, que es básicamente donde te han metido las reglas para que funcionen algunas de las opciones del Firewall.

Y en la última opción vas a poder configurar el aviso de cookies para tu WordPress. Se puede personalizar en español.

¿Qué tal funciona el portal de WebARX?

La única pega que le pongo es que la navegación entre dominios necesita mejorar, pero por lo demás esta todo bien. Tienen un panel inicial donde te muestran el estado de tus dominios, la amenazas que han bloqueado y si todos los dominios están online o no. Puedes añadir todos los dominios que se incluyan en tu plan. En un futuro planean dar soporte a otros CMS PHP diferentes a WordPress.

Si te metes en un dominio en concreto, te muestran los avisos de seguridad que están monitorizando:

• Software vulnerable
• Security Headers
• Versión PHP
• Redirecciones http a https
• Minado de Criptomonedas
• Blacklist
• Menciones
• Expiración de dominio

Todo muy útil la verdad. Par que no se te escape nada referente a tu dominio. en este panel te avisaría por ejemplo, si tienes una versión antigua de WordPress.

También vas a poder consultar los logs del Firewall, los logs de actividad en tu blog y si todos tus plugins están actualizados. En cualquier momento puedes volver a descargar el plugin para instalarlo en tu página mediante el instalador de WordPress. La opción de descarga esta un poco escondida… vamos que no se ve: solo aparece cuando aprietas al botón para desactivar el Firewall desde el panel de control, algo que no puedes hacer directamente desde el portal (solo desde el plugin). Entonces salta una ventana donde te da un enlace de descarga. Tal vez deberían de ponerlo en algún otro sitio donde fuera más fácil su acceso.

Por último, vas a poder configurar una cuenta de correo era que te avisen automáticamente si tu página web tiene algún problema:

• Vulnerabilidades de software
• Dominio a punto de expirar
• Malware o minado de criptomonedas
• Errores
• Inclusión en blacklist o menciones en comunidades hacker

¿Soporte? La verdad es que he contactado con ellos dos veces para solucionar un par de dudas, y han contestado en menos de 1 minuto… y me han resuelto los problemas… Se realiza mediante chat en ingles. ¿Qué es lo que he preguntado?

• Cuando he instalado el plugin de WebARX con las opciones marcadas por defecto, la conexión de otro plugin, Jetpack, con mis servidores, se ha cortado. Lo he solucionado desmarcando la opción: «Disallow WPScan from scanning your WordPress files» y me han dicho que van a trabajar para corregir este problema.
• Les he preguntado como desinstalarlo correctamente el plugin: Si lo haces mediante la interfaz de WordPress, el plugin se encarga de borrar todo. Si lo haces de manera manual, vas a tener que borrar la carpeta del plugin webarx  /wp-content/plugins/webarx/ y el archivo /wp-content/mu-plugins/firewall.php. Además, puedes eliminar las ordenes que han incluido en el archivo htaccess, pero me han comentado que no es imprescindible.

Conclusión

WebARX es una nueva opción para mejorar la seguridad de tu WordPress, y la verdad es que han empezado con buen pie. Cuando añadan todas las opciones que tienen pensado en su servicio, se pueden convertir en una de las mejores opciones para asegurar WordPress de hackers y demás problemas que rondan por internet. Hay que estar muy atentos a sus mejoras, sobre todo la opción de backup de WordPress o la administración remota de software ( actualización de plugins, temas y núcleo de WordPress).

• Actualmente, Appsumo ofrece un plan de suscripción para toda la vida a WebARX que solo cuesta 49$ (cuando su precio anual es de 348$). Si te fijas en los precios de su web, ofrecen 10 licencias de Firewall para 10 sitios web por 39$/mes, así que la oferta de appsumo es realmente buena.