Plesk: las 7 cosas que tienes que tener encendidas (y por qué)

Antes de empezar

Esto es para gente que tiene Plesk en un VPS o servidor dedicado. Necesitas acceso al panel Plesk como admin (no como suscriptor) y idealmente SSH al servidor (no es obligatorio para todo). El 95% de las acciones son clicks en interfaz web.

No hace falta pagar nada extra. Todas las herramientas que recomiendo vienen incluidas o son extensions gratuitas oficiales de Plesk.

1. Fail2Ban (Tools & Settings → IP Address Banning) CRÍTICO

Es lo más importante y suele venir apagado por defecto. Fail2Ban monitoriza logs de autenticación (SSH, FTP, Plesk panel, correo, WordPress wp-login si lo configuras) y bloquea automáticamente IPs que prueban credenciales fallidas.

Cómo activarlo:

1. Plesk → Tools & Settings → IP Address Banning
2. Marca "Enable intrusion detection"
3. En "Settings" pon: ban period 3600 seg (1h), time interval 600 seg, max retries 10
4. En la pestaña "Jails", activa al menos: plesk-panel, plesk-postfix, plesk-courier, plesk-proftpd, ssh, recidive. Si tienes WordPress, también plesk-wordpress.

En 24h tendrás 30-50 IPs en el blocklist. Es real.

2. ModSecurity con OWASP CRS (Tools & Settings → Web Application Firewall) CRÍTICO

ModSecurity es un WAF (Web Application Firewall) que va en Apache/Nginx y filtra peticiones HTTP según reglas. Combinado con el set de reglas OWASP Core Rule Set, bloquea SQL injection, XSS, path traversal, etc. antes de que lleguen a tu código.

Cómo activarlo:

1. Plesk → Tools & Settings → Web Application Firewall
2. Mode: "On" (no "Detection only" — eso solo te avisa, no bloquea)
3. Ruleset: "OWASP ModSecurity Core Rule Set"
4. Paranoia Level: empieza en 1. Si llevas semanas sin falsos positivos, sube a 2.

Advertencia honesta: ModSecurity puede bloquear plugins legítimos de WordPress, especialmente formularios con HTML extenso o uploads. Si después de activarlo algún plugin deja de funcionar, ve a Tools & Settings → ModSecurity → Logs, identifica la regla que bloqueó, y crea una excepción para esa URL+regla. Es la única parte que requiere atención.

3. ImunifyAV o Imunify360 (Tools & Settings → Extensions) RECOMENDADO

ImunifyAV (gratis) es un antivirus para servidores: escanea archivos del filesystem buscando malware, web shells, backdoors. Lo bueno: detecta cosas que ModSecurity no — código malicioso ya instalado, no peticiones HTTP.

La versión Imunify360 de pago añade WAF propio, firewall, proactive defense y reputación de IPs en tiempo real, pero para PYMEs la versión gratis suele ser suficiente combinada con ModSecurity.

Cómo: Plesk → Extensions → busca "ImunifyAV" → instalar. Después en Tools & Settings → ImunifyAV programa un scan completo cada 24h.

4. Backups automáticos a almacenamiento externo CRÍTICO

Plesk hace backups locales por defecto, pero si te entran ransomware al servidor también cifran los backups locales. El backup tiene que estar fuera.

Cómo:

1. Plesk → Tools & Settings → Backup Manager → Remote Storage Settings
2. Configura un destino remoto: S3 (Amazon, Wasabi, Backblaze B2 son baratos), Google Drive, Dropbox, o un FTP/SFTP de otro proveedor
3. Plesk → Tools & Settings → Scheduled Backups
4. Periodicidad: diario. Tipo: "Configuration and content". Storage: Remote. Retención: 7-14 días.

Háblamos en otro post de por qué un backup que no probaste es ficción.

5. Outbound mail con SPF, DKIM y DMARC RECOMENDADO

Si tu servidor envía emails (formularios web, notificaciones de pedido, etc.) y no tienes los registros DNS correctos, tus emails caen en spam y tu dominio puede acabar en blocklists. Esto también es seguridad: un atacante puede impersonar tu dominio si no tienes DMARC.

Cómo:

1. Plesk → Tools & Settings → Mail Server Settings
2. Marca "Use a sender policy framework (SPF) system"
3. Marca "Sign outgoing mail with DKIM signature"
4. En tu DNS (Cloudflare o donde lo tengas), añade el TXT record v=spf1 a mx ~all para SPF, el TXT DKIM que te genera Plesk, y un TXT DMARC: _dmarc con valor v=DMARC1; p=quarantine; rua=mailto:postmaster@tudominio.com

La validación la puedes hacer en mxtoolbox.com. Si tu web no envía nada, te ahorras el paso 3 pero aún así añade DMARC con p=reject para evitar suplantaciones.

6. Firewall de Plesk con allow-list para puertos admin CRÍTICO

Por defecto Plesk deja abiertos los puertos 8443 (Plesk panel), 21 (FTP), 22 (SSH), 25 (SMTP), y otros. De estos, panel/FTP/SSH no necesitas que sean accesibles desde todo internet: tú solo los usas desde unas pocas IPs.

Cómo:

1. Plesk → Tools & Settings → Firewall
2. Activa "Plesk Firewall Module"
3. Edita el rule para puerto 22 (SSH): cambia "Any" por tu IP fija (o IP de tu oficina). Si no tienes IP fija, al menos déjalo en "Allow" + activa Fail2Ban en SSH.
4. Mismo para puerto 21 (FTP) — o mejor desactiva FTP y usa SFTP por puerto 22
5. Para 8443 (Plesk admin): si tienes IP fija, restringe igual. Si no, usa Two-Factor Authentication (Plesk → Tools & Settings → 2FA).

7. Certificados SSL para todos los dominios + redirect HTTPS CRÍTICO

Plesk integra Let's Encrypt gratis (extension preinstalada). No hay excusa para no tener SSL en cada dominio.

Cómo:

1. Por cada dominio: Websites & Domains → SSL/TLS Certificates → Install free basic certificate provided by Let's Encrypt
2. Marca "Include www.tudominio.com"
3. Marca "Renew automatically" (es por defecto en Plesk Obsidian)
4. En Apache & nginx Settings → Additional nginx directives, añade:

if ($scheme = http) {
    return 301 https://$host$request_uri;
}

Esto fuerza HTTPS para todos los visitantes. Con esto Cloudflare puede usar SSL mode "Full (Strict)" sin problemas (ver guía Cloudflare).

Bonus: cosas que probablemente quieres apagar

Mientras estás en Plesk haciendo limpieza, apaga lo que no usas:

• phpMyAdmin con acceso público: si lo necesitas, restringe por IP en Tools & Settings → IP Address Restrictions for phpMyAdmin. Si no, desactiva la extensión.
• Webmail (Roundcube/Horde): si tus clientes usan apps móviles o redirigen a Gmail, apaga webmail (es un endpoint extra que mantener).
• Anonymous FTP: en cada dominio, ve a FTP Access → Anonymous FTP y asegúrate de que está apagado (suele estarlo, pero confirma).
• Logs detallados de Apache/Nginx accesibles vía web: nunca expongas /logs/access_log al público.

Cómo saber si estoy en buen estado

El scanner gratuito de NUDAYOSH detecta varias de estas mismas cosas desde fuera: SSL débil, HSTS faltante, headers de seguridad faltantes, puertos abiertos innecesarios, ModSecurity ausente. Si tu score sale > 80, vas bien. Si está por debajo de 60, tu hosting es un coladero y el atacante que llegue lo va a pasar bien.