Cómo proteger WordPress con Wordfence Security

Administrar un sitio de WordPress significa pasar por diferentes emociones. A veces, hay alegría, como cuando ves que tu contenido se clasifica lentamente en Google.

A veces hay enojo, cuando su sitio se bloquea después de una actualización. Y a veces, incluso sientes miedo . Ahí es cuando su sitio ha sido pirateado, un inconveniente que no solo le sucede a otras personas.

Para evitar sudores fríos en el futuro y proteger su sitio, use un complemento de seguridad.

El más famoso del directorio oficial se llama Wordfence Security . Como es difícil de ignorar, lo probamos para que descubras qué tiene bajo la manga.

Al final de este artículo, sabrá cómo configurarlo y usarlo.

¡Tus mejores proyectos de WordPress necesitan el mejor anfitrión!

WPMarmite recomienda Bluehost: gran rendimiento, gran soporte. Todo lo que necesitas para un gran comienzo.

Prueba Bluehost

¿Qué es la seguridad de Wordfence?

Wordfence Security es un complemento para fortalecer la seguridad de su sitio de WordPress. Ofrece varias funciones para proteger su instalación, incluido un firewall de aplicaciones, un escáner de malware, autenticación de dos factores y protección contra ataques de fuerza bruta.

Con más de 4 millones de instalaciones activas, es el complemento de seguridad más popular en el directorio oficial de complementos, por delante de iThemes Security (más de 1 millón de instalaciones activas), All in One Security (más de 1 millón de instalaciones activas) y Sucuri más de 800 mil instalaciones activas).

El complemento Wordfence Security, también llamado "Wordfence Free", es gratuito. Sin embargo, Wordfence también ofrece varias opciones pagas:

• Wordfence Premium : una versión aún más completa que el plugin gratuito, con soporte incluido.
• Wordfence Care : el equipo de herramientas de seguridad instala Wordfence, lo configura, lo optimiza y supervisa su sitio por usted. En caso de problemas relacionados con la seguridad, interviene un equipo dedicado.
• Wordfence Response , un servicio dedicado a los sitios de WordPress donde el tiempo de inactividad tiene un impacto financiero. Este servicio está destinado principalmente a sitios grandes con mucho tráfico y tiendas de comercio electrónico.
• Wordfence Intelligence : principalmente dedicado a servidores web que desean recopilar datos sobre seguridad en general.

Tenga en cuenta que el equipo de WordFence también ofrece otros dos complementos gratuitos en el directorio oficial. Wordfence Assistant es un complemento que será útil si Wordfence está activo en su sitio pero ya no puede acceder a su tablero. Wordfence Login Security contiene algunas funciones ya incluidas en el complemento gratuito: autenticación de dos factores, protección XML-RPC y CAPTCHA en la página de inicio de sesión. No es necesario activarlo si ya está utilizando Wordfence Security.

¿Cuáles son las principales características de Wordfence Security?

Wordfence Security es una solución de seguridad integral que funciona en varios niveles. Para aprovecharlo, el usuario se beneficia de varias opciones clave:

• Un firewall de aplicaciones web (WAF) que identifica y bloquea el tráfico malicioso de su servidor web (y no en la nube, como ofrece su competidor Sucuri, por ejemplo)
• Un escáner de malware que bloquea las solicitudes que incluyen código o contenido malicioso
• Protección contra ataques de fuerza bruta limitando el número de intentos de conexión a su página de inicio de sesión de administración
• Autenticación de dos factores , para agregar una capa adicional de seguridad para iniciar sesión en su sitio de WordPress
• reCAPTCHA en sus páginas de inicio de sesión para evitar que los bots inicien sesión y limitar el spam
• Alertas por correo electrónico cuando se detecta un problema de seguridad
• Una plataforma llamada Wordfence Central para administrar la seguridad de múltiples sitios en un solo lugar. Funciona con el mismo principio que ManageWP, que le permite mantener sus sitios de WordPress.

¿Por qué debería usar un complemento de seguridad como WordFence?

Como ya sabrás, WordPress es el CMS (Content Management System) más utilizado del planeta, con un 63,7% de cuota de mercado.

Más allá de eso, impulsa casi uno de cada dos sitios en todo el mundo (entre el millón de sitios que reciben la mayor cantidad de tráfico).

Esta posición dominante abre el apetito de los hackers humanos, y especialmente de los bots maliciosos que funcionan automáticamente, como:

• robots de spam
• Robots que raspan (extraen) su contenido
• Bots que lanzan ataques de denegación de servicio (DoS) o de denegación de servicio distribuido (DDoS).

En total, el 90% de los ataques perpetrados contra un CMS afectan a WordPress. ¡Y 2.800 ataques por segundo apuntan específicamente a las instalaciones de WordPress, en todo el mundo!

Tenga la seguridad: afortunadamente, WordPress no es un colador. Según un informe publicado en 2021 por el experto en seguridad Patchstack, solo el 0,58% de las fallas de seguridad provienen del WordPress Core .

El principal culpable son sus complementos, que por sí solos representan el 92,81 % de las vulnerabilidades (en comparación con el 6,61 % de los temas).

Algunos de los hallazgos del estudio de Patchstack dicen mucho y exigen que se tome muy en serio el tema de la seguridad:

• En promedio, el 42 % de los sitios de WordPress tienen instalado al menos un componente vulnerable (complemento o tema).
• Las vulnerabilidades han aumentado un 150% entre 2020 y 2021
• El 29% de los complementos de WordPress que contienen vulnerabilidades críticas no se han parcheado

Entonces, ya ve lo que quiero decir: es imperativo que su sitio de WordPress esté protegido para fortalecer su seguridad.

Para esto, un complemento como Wordfence puede hacer el trabajo. Te mostraré cómo instalarlo a continuación.

Cómo instalar Wordfence en tres pasos

Paso 1: active el complemento en su panel de WordPress

El primer paso es instalar el complemento desde su interfaz de administración de WordPress.

Vaya al menú Complementos > Agregar nuevo y escriba "Wordfence" en la barra de búsqueda:

Haga clic en el botón "Instalar ahora" junto a "Wordfence Security - Firewall & Malware Scan", luego active el complemento.

Paso 2: obtenga una clave de licencia de Wordfence

Una vez que se active el complemento, aparecerá una ventana que le pedirá que obtenga una licencia de Wordfence. Este es un requisito previo necesario para aprovechar todas las opciones del complemento gratuito .

Haga clic en el botón "Obtenga su licencia de Wordfence":

Será redirigido a la página de precios de Wordfence en el sitio web oficial. Haga clic en el botón "Obtener una licencia gratuita" para obtener una clave para la versión gratuita del complemento:

Se abre una nueva ventana en su pantalla. Wordfence te pregunta si estás seguro de que quieres usar su versión gratuita y te explica la principal ventaja de su versión premium: tan pronto como el equipo del complemento despliega una medida de protección en su firewall o escáner de malware, se actualiza en tiempo real en el versión premium (en comparación con 30 días después de la versión gratuita).

Como solo quiero usar el complemento gratuito, hice clic en "Estoy bien esperando 30 días para la protección contra nuevas amenazas":

En la siguiente ventana, ingrese su dirección de correo electrónico, marque las casillas y haga clic en "Registrarse":

Paso 3: Instale su licencia en WordPress

Ahora ve a la bandeja de entrada de tu correo electrónico. Debería haber recibido un correo electrónico de Wordfence.

En el interior, encontrará su clave de licencia para que pueda activarla manualmente. Para moverse aún más rápido, Wordfence también ofrece activarlo automáticamente para usted . Para hacer esto, haga clic en el botón "Instalar mi licencia automáticamente":

Será redirigido a su panel de control de WordPress, con los campos "Correo electrónico" y "Clave de licencia" ya completados. Finalice haciendo clic en "Instalar licencia":

Bien hecho: el complemento ya está en funcionamiento. En la barra lateral izquierda, en su interfaz de administración, ahora tiene un nuevo menú llamado "Wordfence", que contiene todas las configuraciones que ofrece el complemento:

Echémosle un vistazo ahora mismo, solo para ver qué hay debajo del capó del complemento.

Cómo configurar el complemento de seguridad de Wordfence

¿Cómo funciona el panel de seguridad de Wordfence?

El núcleo del complemento es su tablero.

Ofrece atajos rápidos para acceder a las diferentes opciones que ofrece el complemento , que también puedes encontrar en el menú ubicado en tu barra lateral izquierda.

Con un clic, puede aprovechar:

• El cortafuegos de la aplicación
• El escáner de malware
• Wordfence Central. Para aprovechar este servicio, que le permite actualizar la seguridad de sus sitios desde el mismo tablero, debe crear una cuenta gratuita. Esto puede ser útil si necesita administrar la seguridad de varios sitios al mismo tiempo. Para uso individual, sáltelo.
• Opciones generales para configurar las alertas de correo electrónico, el firewall y la configuración del escáner
• Acceso a la documentación del plugin
• Un registro de notificaciones
• Un resumen de los ataques bloqueados en su sitio de WordPress
• Un gráfico que muestra el número total de ataques bloqueados en toda la red de Wordfence

El tablero es claro y comprensible; es fácil encontrar su camino a través de las diferentes opciones.

Cómo utilizar el cortafuegos de la aplicación

Protección contra múltiples ataques

Una de las principales características de Wordfence es su firewall de aplicaciones.

Puede identificar el tráfico malicioso y bloquear a los piratas informáticos y otros bots maliciosos antes de que puedan acceder a su sitio.

Se puede acceder al cortafuegos a través de Wordfence > Cortafuegos . Protege su sitio contra los siguientes ataques:

• Inyecciones de SQL , es decir, ataques a su base de datos
• Cross-site scripting (XSS): se inyecta código malicioso en el contenido de sus páginas
• Descargas de archivos maliciosos
• Ataques transversales de directorio
• Vulnerabilidades de inclusión de archivos locales (LFI), en las que se agregan archivos remotos a su servidor web

De forma predeterminada, el cortafuegos está en modo de aprendizaje durante una semana, a partir del momento en que instala el complemento.

“Esto le permite a Wordfence conocer su sitio para comprender cómo protegerlo y cómo permitir que los visitantes normales atraviesen el firewall”, dice Wordfence. “ Le recomendamos que deje Wordfence en modo de aprendizaje durante una semana antes de activar el cortafuegos.”

Si desea anular estas recomendaciones, haga clic en "Habilitado y protegiendo" en el menú desplegable a continuación:

Como se mencionó anteriormente, solo la versión premium del complemento obtiene una actualización de firewall en tiempo real cada vez que el equipo de Wordfence detecta una nueva amenaza (globalmente, no necesariamente un ataque destinado a su sitio). La versión gratuita del cortafuegos se actualiza 30 días después de que se detecta la amenaza.

Únase a los suscriptores de WPMarmite

Obtenga las últimas publicaciones de WPMarmite (y también recursos exclusivos).

SUSCRÍBASE AHORA

Cómo funciona el cortafuegos de Wordfence Security

De forma predeterminada, el complemento ha configurado ajustes básicos para fortalecer la seguridad de su sitio. Pero aún puede personalizar configuraciones un poco más técnicas aprovechando las opciones adicionales:

Entre ellos están:

• Lista blanca de ciertas direcciones IP
• Ingresar direcciones IP para ser ignoradas por el firewall
• Configuración de la protección contra ataques de fuerza bruta . Por ejemplo, puede especificar cuántos intentos fallidos de inicio de sesión se requieren para evitar el acceso a su página de inicio de sesión (y por cuánto tiempo).
  Esto le ahorra el uso de un complemento adicional como Limitar intentos de inicio de sesión recargados.
  

Cuando el cortafuegos funciona correctamente, los círculos le muestran su nivel de protección (en porcentaje). Cuando el círculo es gris, el cortafuegos está en modo de aprendizaje.

El objetivo es alcanzar una puntuación del 100% (color verde). Puede lograr esto siguiendo las recomendaciones proporcionadas, pasando el mouse sobre cada círculo:

Sin embargo, no siempre se podrá lograr una puntuación del 100 % con la versión gratuita del complemento.

Para lograrlo, deberá utilizar opciones premium, como el bloqueo en tiempo real de direcciones IP.

La pestaña Bloqueo de firewall de aplicaciones

Además de las reglas de firewall que protegen contra varios ataques, Wordfence también tiene funciones personalizadas para bloqueo adicional. Se puede acceder a estos a través de la pestaña "Bloqueo":

Puede crear reglas de bloqueo basadas en:

• dirección IP
• Un área geográfica
• Un conjunto de criterios (Patrón personalizado) como una red de direcciones IP o navegadores web

Para obtener más información sobre esto, vea este video:

Cómo usar el escáner de malware

Pasemos al escáner que ofrece el complemento, accesible a través de Wordfence > Escanear .

La herramienta de escaneo escanea su sitio (archivos principales, temas y complementos) en busca de lo siguiente: malware, URL incorrectas, puertas traseras, acceso remoto a su sitio, spam de SEO, redireccionamientos maliciosos y otras inyecciones de código.

Durante su exploración, el complemento “compara sus archivos principales, temas y complementos con lo que hay en el directorio de WordPress.org”, detalla Wordfence Security. “Comprueba su integridad y te notifica cualquier cambio”.

Inicialmente, el análisis se centra en las comprobaciones de spam y direcciones IP en la lista negra (solo para la versión premium). Luego pasa a escanear los archivos de su sitio y proporciona resultados.

En mi caso, el complemento me advierte que estoy usando un inicio de sesión de administrador ("admin") demasiado inseguro. Entonces puedo resolver este problema haciendo clic en "Editar" o simplemente ignorarlo:

En cuanto al cortafuegos, los círculos me muestran los elementos a optimizar para alcanzar una puntuación del 100%.

Al hacer clic en "Opciones de escaneo y programación", también es posible editar configuraciones más específicas.

Para optimizar el rendimiento, puede, por ejemplo:

• Elija ejecutar el escáner de forma limitada , para ahorrar ancho de banda (recuerde que Wordfence se ejecuta en su servidor web, por lo que utiliza recursos)
• Limite manualmente la cantidad de elementos para escanear

Cómo habilitar la autenticación de dos factores

Después del firewall y el escáner del sitio, WordFence Security sugiere que sus usuarios habiliten la autenticación de dos factores (Wordfence 2FA).

La autenticación de dos factores agrega una medida de seguridad adicional para iniciar sesión en su sitio de WordPress .

Después de ingresar su nombre de usuario y contraseña, se le pedirá que use un dispositivo, generalmente su teléfono inteligente o tableta, para validar el proceso de inicio de sesión.

Este es un método que ya utilizan las entidades bancarias cuando realizas pagos online. Es muy efectivo para protegerte contra ataques de fuerza bruta.

Para usarlo, vaya al menú Wordfence > Seguridad de inicio de sesión. En resumen, necesitas:

• Instale una aplicación en su teléfono inteligente para autenticarse , como Google Authenticator, Sophos Mobile Security o FreeOTP Authenticator.
• Escanea el código QR que te ofrece Wordfence en la aplicación de autenticación elegida (1).
• Ingrese el código de 6 dígitos que se muestra después del escaneo del código QR para autorizar la conexión entre su sitio de WordPress y la aplicación (2).

Si desea ver este proceso de activación visualmente, consulte este recurso:

La autenticación de dos factores se puede configurar para todos los roles de usuario, desde administrador hasta suscriptor, a través de la pestaña Configuración:

Aún en la pestaña "Configuración" del menú "Seguridad de inicio de sesión", también puede habilitar Google reCAPTCHA versión 3, para protegerse contra el correo no deseado en la página de inicio de sesión del administrador. Para funcionar, este servicio requiere una clave de licencia gratuita de Google.

Otras herramientas que ofrece Wordfence Security

El recorrido del propietario de WordFence Security está muy avanzado. Para terminar, profundicemos en los dos últimos menús que ofrece el complemento de seguridad de WordPress.

El menú Herramientas

El menú Herramientas consta de cuatro pestañas:

• El “tráfico en vivo” le muestra lo que está sucediendo en su sitio en tiempo real, incluidos los inicios de sesión de los usuarios, los intentos de piratería y las solicitudes que han sido bloqueadas por el firewall de Wordfence. Un código de color (verde, gris, amarillo y rojo) le indica quién está intentando acceder a su sitio (humanos o bots) y el estado (advertencia o bloqueo):

• "Búsqueda Whois" para saber quién posee una dirección IP o nombre de dominio que visita su sitio o participa en actividades maliciosas en sus páginas
• “Opciones de importación/exportación” para exportar o importar sus opciones de Wordfence a otro sitio de WordPress
• Los "diagnósticos" brindan información que se puede usar para resolver conflictos, problemas de configuración o compatibilidad con otros complementos, temas o el entorno del servidor.

El menú Todas las opciones

El menú "Todas las opciones" contiene todas las opciones que se encuentran dispersas en otros menús (como firewall, escáner u opciones de conexión) en la misma página.

La ventaja es que puedes encontrar todo en el mismo lugar . No voy a entrar en todas las opciones, ya que ya has visto las principales.

Sin embargo, es interesante notar que es aquí donde puede establecer sus preferencias de alerta por correo electrónico. Tienes una docena de checkboxes que te permiten, por ejemplo, ser alertado (o no):

• Cuando una dirección IP está bloqueada
• Cuando una persona está prohibida en su página de inicio de sesión
• Cuando se detecta un número significativo de ataques en su sitio de WordPress

Eso es todo por este recorrido completo por las características de seguridad de Wordfence. Ahora echemos un vistazo más de cerca al precio de esta herramienta.

¿Cuánto cuesta Wordfence?

Wordfence Security está inicialmente disponible de forma gratuita en el directorio oficial de WordPress. Eso sí, como toda versión gratuita, no incluye todas las opciones que ofrece la versión de pago del plugin.

Wordfence Premium tiene un precio de $119/año. Aparte del soporte prioritario, la principal diferencia con la oferta gratuita es la frecuencia de actualizaciones de las herramientas que ofrece Wordfence .

Con premium, tan pronto como los servidores de Wordfence detecten amenazas en tiempo real, actualizarán sus reglas de firewall, detección de malware y lista de bloqueo de IP en un instante.

Con el complemento gratuito, debe esperar 30 días después de la puesta en marcha para beneficiarse de las actualizaciones.

Más allá de eso, Wordfence también ofrece dos licencias donde un equipo dedicado instalará, configurará y administrará Wordfence por usted:

• Cuidado de Wordfence : $ 490 / año
• Respuesta de Wordfence: $950/año. Esta licencia le brinda acceso a las mismas opciones que Wordfence Care, pero también tiene un tiempo de respuesta garantizado de una hora como máximo y las respuestas están disponibles los siete días de la semana.

Estas dos últimas ofertas son principalmente para sitios grandes y personas que no tienen tiempo para cuidar la seguridad de su sitio (y que tienen el presupuesto para delegar esta tarea).

Para su sitio web o blog personal, el complemento Wordfence gratuito o premium será suficiente.

Nuestra opinión final sobre el plugin de Wordfence

Para concluir, recapitulemos lo que hemos visto desde el comienzo de este artículo, con un resumen de las fortalezas y debilidades de este complemento de seguridad.

Ventajas del complemento de seguridad de Wordfence

• La interfaz agradable y clara, que facilita el aprendizaje.
• Aplica automáticamente la configuración de seguridad básica para usted
• Las muchas funciones que se ofrecen en la versión gratuita, incluido un firewall de aplicaciones
• Autenticación de dos factores
• El escáner de seguridad
• Alertas por correo electrónico para avisarle cuando hay un problema

Desventajas del complemento

• Algunas configuraciones son demasiado complejas para un principiante, pero este también es el caso con otros complementos de seguridad.
• El hecho de que las últimas actualizaciones de las amenazas detectadas solo se aplican 30 días después de su lanzamiento.
• El uso de Wordfence puede causar ralentizaciones en sus páginas porque consume muchos recursos del servidor. Si su servidor web no se pone al día, el rendimiento de su sitio podría verse afectado.

¿Deberías usarlo?

En general, Wordfence es un complemento de seguridad muy bueno . Como la mayoría de sus opciones funcionan automáticamente, es adecuado para principiantes.

Los usuarios más avanzados apreciarán poder editar configuraciones más técnicas y avanzadas.

Gracias al complemento gratuito, tendrá un valioso escudo para bloquear la mayoría de los ataques maliciosos, especialmente a través de su aplicación de firewall. Este último ya será efectivo para proporcionar un primer nivel de seguridad para su sitio.

Vale la pena señalar esto porque otros complementos de la competencia (por ejemplo, Sucuri) no ofrecen un firewall en su versión gratuita. Sin embargo, es una protección básica para cualquier sitio.

Y si además quieres protegerte de las últimas amenazas detectadas por el equipo de Wordfence (siempre es mejor), cámbiate al paquete premium si tu presupuesto te lo permite.

Finalmente, no olvide que usar un complemento de seguridad no lo es todo. En primer lugar, porque ningún sitio es infalible. En segundo lugar, porque hay que aplicar buenas prácticas en el día a día. Por ejemplo, recuerde actualizar y hacer una copia de seguridad de su sitio con regularidad.

Entonces, ¿qué piensas de Wordfence? Déjame tu opinión en los comentarios.