WP Cerber: el mejor plugin de seguridad para WordPress

Cuando creamos o gestionamos una web, hay múltiples aspectos a tener en cuenta: que sea cómoda para el usuario, accesible y fácil de navegar (si nos perdemos entre los menús y enlaces, el usuario se irá antes de llegar al apartado que debería haber visitado), que el contenido que tiene sea de utilidad para el usuario, si creamos algún CTA necesitaremos que el usuario interaccione también con él, y así con varios aspectos.

De estos aspectos, muchos serán comunes, independientemente de la finalidad con la que se haya creado la web, y uno de estos sería la seguridad. Es posible que no necesites traducir el contenido de tu web a varios idiomas, pero lo que sí es conveniente y prácticamente necesario es que la web sea segura.

Que nuestra web sea segura no es únicamente importante para nosotros como administradores, sino también para el usuario y nuestra imagen de marca, ¿qué vamos a transmitir al cliente si después de realizar una compra en nuestra web, comprueba que se han comprometido sus datos? ¿O qué conclusión puede sacar si accede a nuestra web hoy y le aparece una alerta de que puede estar infectada, y al volver a acceder en 15 o 30 días, ve que no le hemos puesto remedio?

Para reducir las posibilidades de que esto pueda ocurrirle a nuestra web, tenemos a nuestra disposición herramientas para mejorar la seguridad de la instalación, como puede ser WP Cerber.

Qué es y cómo se instala WP Cerber

WP Cerber es una suite de seguridad para WordPress, nos permite realizar múltiples configuraciones enfocadas a la protección de nuestro sitio web y también llevar a cabo análisis en la misma con los que podremos verificar el estado de nuestra instalación.

Para instalarlo, podemos descargarlo desde su sitio web, en este link: https://downloads.wpcerber.com/plugin/wp-cerber.zip y subirlo a nuestra web desde el "administrador de WordPress > Plugins > Añadir plugin":



También podemos descargarlo y subirlo por FTP (o utilizando el administrador de archivos de nuestro hosting) al directorio correspondiente a la web, dentro de "/wp-content/plugins/".

Si optamos por subirlo por FTP o al hosting a través del administrador de archivos, necesitaremos descomprimirlo antes para que la instalación pueda reconocerlo posteriormente.

No me permite instalar WP Cerber desde el repositorio

Generalmente con las versiones gratuitas de los plugins, una de las alternativas para la instalación es utilizar el repositorio de WordPress y buscarlo directamente desde el administrador, no obstante, en el caso de WP Cerber se descarta esta posibilidad, ya que no está disponible en el repositorio oficial de WordPress, tampoco en su versión gratuita.

Las razones principales de esta gestión serían vulnerabilidades descubiertas hace años en versiones anteriores de WP Cerber que no se solventaron (o no en el tiempo estimado) por los desarrolladores, aunque estas vulnerabilidades pertenecían a versiones antiguas y habían sido subsanadas en versiones más actuales.

En principio, los desarrolladores del plugin han indicado en varios hilos de su foro que están planeando volver al repositorio, pero por el momento no se ha confirmado en qué fecha.

Para recibir actualizaciones del repositorio de WP Cerber oficial, debemos configurarlo en su "Dashboard > Ajustes > Utilice el repositorio de complementos de WP Cerber":

Configuración de WP Cerber

Como la mayoría de elementos, y especialmente si integran tantas funciones como lo hacen la mayor parte de suites de seguridad (WP Cerber entre ellas), nos facilitan varias opciones de configuración para que podamos adaptarla lo máximo posible a nuestra web, o a circunstancias temporales que puedan requerir un mayor nivel de seguridad.

Dashboard

La mayoría de secciones de este apartado son informativas, nos permitirán ver los accesos (incluyendo información de usuario, fecha e IP) y los bloqueos que se hayan producido.

Otras secciones sí nos permitirán realizar ajustes, que serán interesantes para la seguridad de nuestra web:

• Ajustes: aquí podemos realizar múltiples configuraciones respecto al inicio de sesión en nuestra web, principalmente: establecer límites de intentos de acceso y tiempo de bloqueo si se alcanza, modificación de la URL de acceso por una personalizada, bloquear intentos de acceso con usuarios que no existan, y bloquear peticiones a "wp-login.php". Un ajuste importante a realizar en este apartado, es el uso del repositorio de WP Cerber en vez del predeterminado (donde no está disponible el plugin).

También nos permitirá establecer el modo ‘Ciudadela’, que bloquearía cualquier acceso desde una IP que no figure en la lista de IPs permitidas, y seleccionar el tiempo que queremos almacenar los registros de actividad.

En webs con mucho tráfico especialmente, es aconsejable establecer una duración de los registros de actividad más reducida, o eliminar periódicamente esos registros, ya que puede ocasionar un gran tamaño en algunas de las tablas de WP Cerber en la base de datos.

• Listas de acceso: aquí podemos añadir IPs a lista blanca (lo correspondiente a IPs permitidas), lo que hará que no se vean afectadas por los límites establecidos en la configuración, como acceder al sitio con el modo Ciudadela activo, registrarse en el sitio web si los ajustes generales lo permiten y utilizar REST API y XMLRPC sin limitaciones. En el caso de IPs bloqueadas, no podrán loguearse en la web, enviar formularios o comentarios, registrarse, y tampoco hacer uso de REST API o XMLRPC.


• Endurecimiento: en este apartado tenemos ajustes adicionales, principalmente para evitar que se pueda detectar información de usuarios o detalles (que puedan utilizarse luego para ataques por fuerza bruta) o bloquear la ejecución de PHP en cargas (en el directorio uploads).

• Notificaciones: podemos configurar qué notificaciones queremos recibir por correo y la cuenta de destino de estas (si vamos a usar la misma que tenemos en el usuario administrador, podemos dejarlo en blanco). Es importante en este apartado configurar una cuenta de correo que revisemos con frecuencia, ya que de lo contrario podemos perdernos notificaciones importantes.

Inspector de tráfico

• Tráfico en vivo: en este apartado podemos ver las solicitudes o acceso que se realizan en nuestro sitio web y las inspecciona para poder bloquearlas si las detecta como maliciosas, sería la parte WAF de esta suite.


• Ajustes: el modo recomendado de reportes por defecto es ‘Inteligente’, podemos incluir también alguna exclusión si detectamos algún error, configurar los datos que queremos almacenar y también los días que queremos almacenar la información de acceso de los usuarios.

Normas de seguridad

Esta es una función disponible en la versión de pago.

Nos permite establecer restricciones (diferentes para cada rol) basándonos en el país, para varias funciones de la web como iniciar sesión, hacer comentarios, enviar formularios o registrarse (si tenemos el registro de usuarios deshabilitado en la web, no se permitirá a ningún usuario aunque en este apartado sí esté permitido para determinado país).

Políticas de usuario

• Políticas de roles: podemos realizar configuraciones en base al rol del usuario, como por ejemplo a dónde queremos que redireccione al iniciar o cerrar la sesión, ocultar la barra de herramientas en el sitio web, duración de la sesión, bloquear el acceso al panel de administración de WordPress, o habilitar 2FA.

Si el acceso se realiza desde una de las IPs configuradas en White List, 2FA no afectaría al mismo, ya que es una de las configuraciones que permite ‘omitir’.

• Políticas globales: en esta sección podemos bloquear o permitir el registro que coincida con determinadas cuentas de correo electrónico, permitir que únicamente los usuarios registrados puedan ver nuestra web, bloquear determinados nombres de usuario para el registro o inicio de sesión, establecer el tiempo de sesión del usuario, deshabilitar la opción de ‘Recordarme’ al iniciar sesión (útil en equipos compartidos especialmente) u ordenar los usuarios por fecha de registro.

Integridad del sitio

• Escaneo de seguridad: nos permite lanzar un análisis de nuestro sitio web, para verificar tanto el estado del núcleo de WordPress como de los elementos que utilizamos (plugins y tema).

• Ajustes: podemos definir la configuración del escaneo, nos permite excluir directorios o extensiones y seleccionar si la búsqueda de nuevos archivos o modificación de archivos debe excluirse, limitarse para archivos ejecutables o aplicarse a todos.


• Programación: esta función está disponible únicamente para la versión Pro, no en la gratuita. Permite programar el análisis para realizarse en X momento y configurar la información que debe tener el informe que nos enviará por correo.


• Limpiando: función disponible únicamente para la versión Pro. Aquí podemos seleccionar qué queremos que realice WP Cerber cuando detecta en algún escaneo algún fichero infectado o desatendido (considera así los ficheros que no reconoce como parte normal de cualquier carpeta, tema o complemento).


• Lista de ignorados: aquí podremos ver los archivos que hayamos marcado para ignorar en el apartado de Escaneo, y eliminarlos de esta lista si queremos que se tengan en cuenta en futuros análisis.


• Cuarentena: en este apartado podremos ver los ficheros eliminados por la opción ‘Limpiando’ y nos permitirá recuperarlos.


• Analítica: nos permitirá generar informes con la información obtenida a través de un escaneo completo. Podremos ver los archivos más grandes de nuestro sitio web, estadísticas de extensiones de archivo y un resumen de las rutas de nuestra instalación (plugins, temas, directorio de subidas y core).

Antispam

• Motor Antispam: podemos proteger los formularios de nuestra web con un motor de detección de bots (este es propio de WP Cerber) y deshabilitar las configuraciones para usuarios conectados o los que figuren en la lista de IPs permitidas.

• ReCaptcha: nos permite configurar reCaptcha y seleccionar los formularios que queremos proteger con el mismo. Podremos habilitar esta protección o deshabilitarla para los formularios más habituales (formularios estándar de WordPress como el de inicio de sesión o registro, formularios de WooCommerce o formulario de comentarios). En este apartado, el formulario de registro y el de inicio de sesión son dos opciones básicas que debemos habilitar en cualquier caso, al igual que los de WooCommerce si lo utilizamos.

Actualmente WP Cerber únicamente permite configurar la versión v2 de reCaptcha, incluyendo la invisible. Si queremos utilizar la versión v3, tendríamos que utilizar un plugin adicional.

Cerber.hub

Esta funcionalidad de WP Cerber nos permite gestionar diferentes sitios web de forma remota.

Para sitios web que utilicen la versión gratuita se ha limitado a solo lectura, sin permitir cambiar la configuración; pero no limita la cantidad de sitios web que puedes incluir como administrados.

Esta gestión se limita únicamente para configuraciones de WP Cerber, no podremos cambiar en los sitios web administradores configuraciones del sitio web.

Herramientas

• Administrar configuración: en esta sección podremos exportar e importar ajustes de WP Cerber (nos puede servir especialmente si queremos establecer la misma configuración en varios de nuestros sitios web), habilitar la configuración por defecto o importar listas de IPs permitidas e IPs bloqueadas.

• Diagnóstico: nos facilita información sobre el entorno en el que se aloja la web, los plugins que tenemos habilitados y las tablas de base de datos correspondientes al plugin. Si vemos alguna tabla con un número de filas muy elevado, deberemos revisar la configuración del plugin en cuanto a retención de logs y valorar si se puede eliminar.


• Registro de diagnóstico: aquí únicamente veremos información si en el apartado ‘Ajustes’ de Integridad del sitio hemos habilitado este registro, nos permitirá revisar posibles errores del escaneo de integridad.


• Bitácora de cambios: podemos ver el registro de cambios de WP Cerber y las modificaciones que se introducen en cada versión.


• Licencia: aquí es donde tendremos que configurar la licencia si disponemos de la versión Pro del plugin.

WP Cerber vs Wordfence

A la hora de instalar una de estas suites de seguridad en nuestra web, es muy común tener dudas sobre cuál es la mejor para mí.

Existen varios aspectos a tener en cuenta y aunque debemos valorar las opciones que nos ofrece cada plugin, es importante que nos decantemos por la opción que nos sea más fácil gestionar en la práctica y esto puede ser diferente para cada usuario.

En cuanto a funciones, ambos plugins incluyen funciones muy similares y disponen de versión gratuita y de pago, la cual es más económica en el caso de WP Cerber.

WP Cerber puede ser más fácil de configurar especialmente si somos usuarios principiantes, ya que para un sitio web estándar la opción de habilitar la configuración por defecto una vez hemos instalado el plugin se traduce en un par de clics y es una opción que puede servirnos en el tiempo si nuestra web no sufre ningún inconveniente significativo que requiera endurecer la protección.

En el caso de Wordfence, en las últimas versiones han incluido la necesidad de instalar una licencia aunque vayamos a utilizar la versión gratuita y esto requiere dar el sitio de alta en su web antes, por lo que es algo que para un usuario más experimentado no requiera problemas, pero cuando estamos empezando quizás no queramos complicarnos demasiado y nos decantemos por nos permita instalar y funcionar, sin pasos adicionales.

WP Cerber, ¿versión free o pro?

Si nos hemos decantado por WP Cerber, o ya lo estamos utilizando, pero no sabemos si necesitamos la versión de pago, la respuesta sería: depende.

En la versión de pago se agrupan principalmente las opciones de: Normas de seguridad, Programación de escaneos de la web y limpieza. Es posible que no necesitemos aplicar restricciones por países o, que en caso de que lo necesitemos no deba ser tan específico como algo a nivel rol de usuario y si realizamos una gestión habitual de nuestra web, quizás no necesitemos programar el análisis y podamos lanzarlo de forma manual.

La versión de pago sería una opción a contemplar principalmente si necesitamos un extra de seguridad, si gestionamos muchas instalaciones y necesitamos tener una alternativa rápida en caso de que nuestra web sufra algún problema de seguridad.