Wordfence Security Plugin. Mejora la seguridad en WordPress

por | Blogs y WordPress, recursos | 4 Comentarios

Wordfence Security Plugin. Uno de los mejores plugins para aumentar la seguridad de tu WordPress

Wordfence Security Plugin te hace la vida más fácil a la hora de proteger y así aumentar la seguridad en WordPress.

Al principio no damos mucha importancia a la seguridad de nuestros blogs.

Pensamos:

Si no nos ve ni el tato, ¿por qué debemos proteger nuestra web contra posibles ataques?

Yo también lo pensé.

Y como quiero que no te pase lo mismo, aquí tienes un completo tutorial para que no tengas problemas a la hora de configurarlo.

¿Qué es Wordfence plugin para WordPress?

Es un plugin de seguridad para WordPress. Un sistema de seguridad que nos ayudará a proteger y mejorar nuestra seguridad de nuestro WP.

Tenemos más opciones para proteger nuestro CMS, pero me he decantado por este plugin por unas sencillas razones:

  • Se lo han descargado ya casi 10 millones de personas. Por algo será, ¿no?
  • Es un plugin gratuito, aunque tiene una versión de Premium que nos da más opciones. Aunque para lo que queremos con la versión gratuita es más que suficiente.
  • Puedes limitar el número de intentos de acceso. Por ejemplo, contra ataques de fuerza bruta.
  • Tienes un potente firewall con un montón de opciones para configurarlo a tu gusto.
  • Tiene un motor de cache propio (falcon engine), con lo que puedes eliminar cualquier otro plugin de cache que utilices.
  • Te envía email de alertas ante posibles amenazas o vulnerabilidades.
  • Te protege contra malware wordpress

NOTA: Sé que no hace falta decirlo, pero antes de hacer nada, debes hacer una copia de seguridad de tu sitio

INstalacion Wordfence plugin wordpress

¿Cómo instalar y configurar Wordfence Security plugin para WordPress?

Podemos hacerlo directamente desde nuestra instalación de WordPress.

Sólo tenemos que ir a añadir nuevo plugin, y buscarlo en su directorio.

Una vez instalado en nuestro menú lateral de WordPress nos aparecerán las opciones de Wordfence:

  1. Menú Wordfence plugin wordpress Scan
  2. Live Traffic
  3. Performance Setup
  4. Bloqued IPs
  5. Passwords Audit
  6. Cellphone Sign-in
  7. Country Blocking
  8. Scan Schedule
  9. Whois Lookup
  10. Advanced Blocking
  11. Options

 

1 Scan

Wordfence plugin wordpress scanUna de las primeras cosas que podemos hacer con este plugin de seguridad es analizar nuestra instalación de WordPress.

Simplemente pinchamos en el botón de Start a Wordfence Scan, y el plugin empieza a rastrear nuestro sitio en busca de vulnerabilidades o malwares.

Verás un listado del progreso del escaneo, y cuando acabe un poco más abajo veras las posibles irregularidades. También te marca si tienes plugins sin actualizar.

Una vez acabado te saldrán los posibles errores que ha encontrado.

Digo posibles porque a veces saca falsos positivos.

Wordfence plugin wordpress falso positivo

¿Por qué creo que es un falso positivo?

Una de las herramientas de este plugin de seguridad es que compara los archivos originales de la versión de tu WordPress (CORE) con la instalación que tienes en tu servidor, y saca las posibles incoherencias en el código.

SI pinchas en el enlace que pone See how the file has change verás lo siguente:

diferencias archivos wordfence plugin wordpress

Ves que te marca las diferencias en el código del archivo. Y puedes comprobar que la diferencia en este caso es un tema de traducciones. Por lo que puedes marcar este archivo como correcto.

Te dejo este video de webempresa donde lo explican perfectamente.

2 Live Traffic

 

plugin Wordfence security wordpress

Este apartado cambiará si tenemos activado el gestor de caché propio del plugin Wordfence o por el contrario utilizamos uno externo.

Si haces como yo y usas el Wordfence Falcon Engine, que es como denominan ellos su motor de caché. Verás una pantalla como la de arriba.

Donde sólo verás los intentos de login.

NOTA: ¿has visto el segundo intento? Alguien ha intentado entrar en mi WP… Si usas como nombre de usuario ADMIN, por favor cámbialo inmediatamente, es el primero que utiliza casi todo el mundo para probar entrar en tu backend.

Si por el contrario no usas el motor de cache de Wordfence plugin, verás una serie de pesatañas con un montón de información en tiempo real.

Wordfence plugin wordpress seguridad en tiempo real

  • All hits. Todo el tráfico poniendo lo más reciente en la parte superior.
  • Human. El tráfico que parece realizado por un humano a un comportamiento humano.
  • Registered Users. Tráfico de usuarios registrados.
  • Crawlers. Los robots que pasan por tu web tanto buenos como los de los buscadores, como los malos..
  • Google Crawlers. Aquí sólo te mostrará cuando a pasado el robot de Google.
  • Pages Not Found. Cuando alguien llega a una página que no encuentra.
  • Logins and Logouts. Registro de accesos a tu blogs. Tanto los logins (inicios de sesión) como Logouts(finalizaciones de sesión).
  • Top Consumers. Te muestra quién es el que consume más recursos.
  • Top 404s. Registro de las páginas 404 con más errores.

2 Performance Setup

Wordfence plugin performance setup wordpress

Aquí encontrarás la opción que comenté antes. Dejar que el motor Falcon Engine de Wordfence gestione la caché de tu instalación.

Según ellos puede mejorar la velocidad de tu web entre 30 y 50 veces. No sé si tanto la mejorará pero yo de momento la uso.

Yo antes utilizaba un plugin específico de caché. Con muy buenos resultados.

wordfence plugin wordpress falcon engine off

Sin embargo he dado una oportunidad a este motor para ahorrarme un plugin y así mejorar la velocidad de carga de mi blog y he obtenido estos resultados:

wordfence plugin wordpress falcon engine on

Como ves he ganado algo de velocidad de carga. De momento sigo dando una oportunidad a este gestor de caché. Creo que se lo merece, ¿no?

4 Bloqued IPs

Wordfence plugin wordpress ips bloqueadasCuando este plugin de seguridad para WordPress encuentra una IP sospechosa, la bloquea y la manda a este apartado.

A más protección, más IPs bloqueadas tendrás en este aparado.

Es bueno revisarlo de vez en cuando, no sea que sin querer hayas bloqueado alguna Ip importante como la de la araña de Google.

Encontraras tres apartados:

  • En la primera pestaña aparecerán las IPs que has bloqueado tu manualmente para que no tengan acceso a tu web
  • En la segunda, encontrarás las IPs que han sido bloqueadas por intentar loguearse.
  • En la última pestaña, encontrarás, dependiendo de la configuración del plugin de seguridad, las IPs que han sido bloqueadas por acceder repetidamente a nuestra web en un periodo de tiempo pequeño. Este bloqueo lo configuramos nosotros manualmente en las opciones del plugin.

5 Password Audit

Plugin Wordfence Security para WordPress, password AuditEs una de las primeras características premium del Plugin Wordfence.

Como  te explican ellos, si ves que repetidamente intentan acceder a tu WordPress insertando contraseñas al azar.

Esta auditoria de Wordfence plugin te analiza la fuerza de tus claves para ver si necesitas mejorarlas o no.

Mi recomendación es que utilices contraseñas de  más de 8 caracteres, que incluyas mayúsculas y minúsculas, números y caracteres.

6 Cellphone-sign-in

Wordfence Security Plugin para WordPress cellphone sign-inOtra características premium del Plugin Wordfence.

Es una autentificación de dos pasos. Cuando intentas acceder, te llegará un c¡ódigo al móvil el cual tendrás que introducir para poder loguearte.

7 Country Blocking

Wordfence Security Plugin para WordPress blocking IPsOtra característica premium. Wordfence Security Plugin para WordPress nos permite bloquear todas las IPs procedentes de un determinado país.

Por ejemplo, si tienes muchas visitas sospechosas desde algún país determinado, puedes estudiar si te conviene bloquear todas las visitas de ese país por si reselta que son visitas SPAM.

Antes de bloquearlo sopésalo no sea que tambiñen bloquees un número de visitas reales a tu sitio.

8 Scan Schedule

wordfence-plugin-scan-scheduleLa última característica de pago.

Gracias a esta característica de Wordfence Security Plugin, puedes programar periódicamente el escaneo de malware WordPress de tu sitio, una vez al día, dos, semanalmente, etc.

9 Whois Lookup

Plugin Wordfence Security para WordPress, whoisPara comprobar y sacar información de una determinada IP o un dominio.

Y si ves que los datos son sospechosos, puedes bloquear esa IP para que no tenga acceso a tu sitio.

10 Advanced BlockingPlugin Wordfence Security para WordPress, advanced blocking

Desde aquí puedes bloquear rangos de IPs que consideres sospechosas o direcciones IPs específicas.

Además te permite bloquear nombres de agentes que incluyan ciertas cadenas de caracteres o que vengan referidas desde una determinada web.

También te permite poner una nota para que te acuerdes por qué bloqueaste una determinada IP.

11 Options

 

Llegamos al último apartado de todos. El motor de Wordfence, este plugin de seguridad que te ayudará a mantener limpio tu WordPress.

Aquí empezamos a configurar cómo queremos que Wordfence Security plugin proteja nuestro WordPress

Plugin Wordfence Security para WordPress, opciones básicas

Plugin Wordfence Security para WordPress, basic optionsBasic options

Nos centraremos en estas primeras opciones básicas.

  • Enable firewall, para habilitar el cortafuegos.
  • Enable login security. desde aquí activamos la seguridad a la hora de controlar los logueos de acceso a nuestra web, cuando alguien intenta poner un usuario y una password.
  • Enable life traffic view. Desde aquíi habilitas o desabilitas la opción de ver el tráfico en línea.
  • Where to email alerts. Aquí ponemos el mail al que queramos que nos lleguen las notificaciones de seguridad
  • Security level. Wordfence plugin dispone de 5 niveles de seguridad predefinidos. Lo normal es el nivel 2. Luego ya te toca a ti juzgar si quieres más o menos seguridad.
  • How does Wordfence get IPs. Desde aquí especificas como quieres que el plugin recopile la información de las IPs que esta recibiendo.

Advanced Options

Con todo lo anterior ya tienes el plugin funcionado. No hace falta más.

Pero si quieres controlar más como mejorar tu seguridad. Aquí tienes como configurar las opciones avanzadas.

Es como lo tengo yo y nunca me ha dado ningún problema. Es sólo mi recomendación.

Alerts

wordfence-plugin-alertsEspecificamos cuando queremos que nos llegue una alerta de Wordfence al mail.

  • Email me when Wordfence is automatically updated. Si la activamos recibiremos notificaciones siempre que Wordfece se actualice automáticamente.
  • Alert on critical problems. Recibiremos un email si Wordfence detecta algún problema crítico.
  • Alert on warnings. Siemrpe que haya una alerta Worfence nos avisará.
  • Alert when an IP address is blocked. Nos enviará un email cuando Wordfence haya bloqueado algún IP de dudosa reputación.
  • Alert when someone is locked out from login. Si el plugin wordfence bloquea alguna IP por intentar logearse nos llegara un correo electrónico.
  • Alert when the “lost password” form is used for a valid user. Recibiremos un avbiso cuando alguien haya solicitado recuperar la contraseña.
  • Alert me when someone with administrator access signs in. Si algún administrador se loguea, el plugin de seguridad nos avisará.
  • Alert me when a non-admin user signs in. Si alguien se logea y no es administrador, nos llegará un aviso.

Email summary

Plugin Wordfence Security para WordPress, sumaryActivamos como queremos ver los  resúmenes de la actividad del plugin.

Podemos especificar que nos llegue al mail y que nos aparezca un widget en el dashboard de nuestro wordpress.

Life Traffic View

Plugin Wordfence Security para WordPress, life view

Desde aquí especificas que IPs no quieres que aparezcan en el Life Traffic View.

  • Don’t log signed-in users with publishing access. La opción que ves activada es para especificar que no tome en cuenta las Ips de la gente que se loguee, administradores del site o editores, por ejemplo..
  • List of comma separated usernames to ignore. Aquí puedes escribir todos los usuarios que quieres que Wordfence ignore cuando se logueen en nuestra web.
  • List of comma separated IP addresses to ignore. Pudes poner la lista de IPs que quieres que el plugin de seguridad ignore cuando entran en tu web. Como puede ser la nuestra.
  • Browser user-agent to ignore.  Incluye la lista de agentes de Usuario de Navegador que que quieres que Wordfence excluya.

Scans to include

wordfence-security-plugin-scans-to-includeCuando activas el escaneo de este plugin, ya sea manual o programado, wordfence viene aquí para ver que quieres que escanee. De esta forma piedes controlar que quieres que controle y que no.

  • Scan public facing site for vulnerabilities? Opción premium.El código que genera WordPress es analizado por los servidores de Wordfence y si encuentra alguna cosa «rara», te lo notifica en el escaneo.
  • Scan for the HeartBleed vulnerability? Es un agujero de seguridad que hay en los certificados SSL, si tienes instalado uno.
  • Scan core files against repository versions for changes. Muestra diferencias entre los archivos originales de tu instalación de WordPress con los oficiales, y si ve diferencias te lo dice para que lo compruebes.
  • Scan theme files against repository versions for changes. Lo mismo que lo anterior, pero en vez de los archivos del Core de tu WordPress compara los archivos del theme que tengas instalado.
  • Scan plugin files against repository versions for changes. Más de lo mismo, pero en este caso lo hace con los archivos de los plugins.
  • Scan for signatures of known malicious files. Busca en su base de datos de posibles malwares que se encuentren en tu web..
  • Scan file contents for backdoors, trojans and suspicious code. Busca dentro de tus archivos ante posibles inyecciones de código malicioso o troyanos.
  • Scan posts for known dangerous URLs and suspicious content. Lo mismo que lo anterior pero esta vez escanea las URLs de todas tus entradas. También busca posible contenido sospechoso que te hayan podido colar.
  • Scan comments for known dangerous URLs and suspicious content. Seguimos buscando cosas raras, pero esta vez en la zona de comentarios.
  • Scan for out of date plugins, themes and WordPress versions. Si ve que tenemos un plugin, una plantilla o el WordPress sin actualizar, Wordfence nos avisará.
  • Check the strength of passwords. Revisa las contraseñas para comprobar la fuerza de las mismas.
  • Scan options table. Revisión de las bases de datos de la instalación.
  • Monitor disk space. Nos avisa si estamos a punto de consumir todo el espacio de nuestro hosting.
  • Scan for unauthorized DNS changes. Si hay un cambio de las DNS de nuestro dominio, nos llegará un aviso.
  • Scan files outside your WordPress installation. Busca en los archivos que hay fuera del directorio de instalación de nuestro WordPress. Cuidado con esta opción porque dependiendo el número de archivos que tengamos puede consumir muchos recursos de nuestro hosting.
  • Scan image files as if they were executable. Busca código sospechoso que pueda estar camuflado dentro de una imagen.
  • Enable HIGH SENSITIVITY scanning. May give false positives. Hacemos que cualquier cosa sospechosa por mínima que sea nos avise. Aumentando así el número de falsos positivos. Es recomendable no activar esta opción.
  • Exclude files from scan that match these wildcard patterns. Comma separated. Para excluir ciertas extensiones de archivos, como pueden ser archivos *.pdf porque pueden llegar a ser muy pesados.

Firewall Rules

Plugin Wordfence Security para WordPress, firewall rulesReglas de configuración del contafuegos.

Aquí ves como tengo yo configurado las reglas para mi blog.

Controlas cuando un comportamiento de una determinada IP la consideras sospechosa, y así actuar en consecuencia. Por ejemplo controlas cuantas veces determinados comportamientos pueden pasar en un tiempo limitado y así actuar en consecuencia.

Login Security Options

Plugin Wordfence Security para WordPress, login optionsYa me lo has leído anteriormente. Este plugin permite controlar el número de intentos que alguien puede realizar a la hora de logearse en tu instalación de WordPress.

De esta formas consiguer bloquear algunos ataques de fuerza bruta.

Lock out after how many login failure y Lock out after how many forgot password attempts son las opciones que controlan el número de intentos tanto de login como de solicitud de contraseña perdida.

Other Options

Wordfence Security Plugin para WordPress scan schedule

Para acabar, aquí tenemos el resto de opciones que podemos configurar en Wordfence Security Plugin.

Como ves tienes un montón de opciones de configuración de este plugin.

Es fácil de instalar y de configurar. Ya no tienes excusa para no tener tu blog bien protegido con Wordfence Security Plugin,

Otro plugin que viene a pasar a mi lista de los mejores plugins para WordPress 2015.

Tan importante es conseguir visitas hacia tu blog, como mantenerlo seguro. Por eso te doy estos consejos para mejorar la seguridad de tu WordPress:

  1. Mantén actualizado siempre tu WordPress, la plantilla y los plugins
  2. Haz copias de seguridad periódicas, incluso si las hace tu hosting.
  3. La elección del Hosting no te la tomes a la ligera. Yo uso webempresa en todos mis proyectos y nunca he tenido ningún problema.
  4. Si instalas un plugin hazlo desde el repositorio de plugins oficial de WordPress
  5. Instala un plugin de seguridad, este que te he explicado, y si no te gusta tienes otras opciones como iThemes Security
  6. Cambia el acceso al administrador de WordPress. Aquí te dejo un sencillo tuto para que lo consigas
  7. Cambia el nombre de usuario, y no utilices bajo ningún concepto como nombre de usuario admin, administrador, administrator, el nombre del dominio o cosas similares.

Te dejo este artículo publicado hace nada en ciudadano2cero hace poco donde encontrarás más consejos sobre seguridad en tu blog. No te lo pierdas.

No lo dejes en segundo plano. Protege tu WordPress ante posibles ataques. Además es gratis.

Si te ha pareceido interesante la guía y quieres ayudar a más gente a tener una instalación de WordPress segura, compárteme por las redes sociales. No te cuesta ni un minuto y a mi me ayudas en su difusión.

Imagen de cabecera: freepik

4 Comentarios

  1. Sergio
    Sergio el 1 noviembre, 2015 a las 5:49 pm

    Eyy ¿qué tal David?

    Muy buena guía.
    Yo ya llevo tiempo usándolo y la opción de Falcom Engine (se te ha colado una letra has puesto Enginde jeje) funciona muy bien aunque ahí se han pasado con lo de «30-50 veces más rápido» pero bueno. Es más creo que te lo mencioné en otro comentario.

    A veces es un poco coñazo con las notificaciones cada vez que te logueas.

    Cambiando de tema te recomiendo que pongas un plugin de estos para suscribirte a comentarios que si me contestas ni me entero jeje o pásate a Disqus y te ahorras un montón de historias con los comentarios.

    El formulario de suscripción que tienes en el sidebar creo que llamaría más la atención si pusieras una imagen en plan caratula 3d o algo que impacte más. Ates lo tenias de otra forma creo.. me gustaba más.

    ¿El pop-up lo has quitado o qué?

    Un saludo!

    • David Arenzana
      David Arenzana el 2 noviembre, 2015 a las 10:02 am

      Hola Sergio,
      A mi también me parece un poco exagerado eso de las 30-50 veces más rápido… en fin cosas del marketing. De momento yo lo dejo y lo iré observando durante un tiempo sino me convence lo cambiaré.

      Lo del tema Discus lo estuve mirando para implementarlo en el blog, pero al final no me terminó de convencer, estuve hablando con otros bloggers y no hay una opinión clara al respecto de usarlo, unos dicen que sí y otros que no. Así que va por gustos.

      El formulario del sidebar siempre ha estado igual, yo creo que te confundes con el del popup que sí que lleva el libro en 3D. Ya le echare un vistazo para ver si lo mejoramos, aunque mis números de suscriptores estñan mejorando poco a poco.
      El pop-up no te sale, porque habrás entrado hace poco y no quiero molestarte todos los días 😉 jeje

      Un abrazo cracl!

  2. Victor
    Victor el 19 noviembre, 2015 a las 8:06 pm

    Como en el otro comentario me nombraste este post le he echado un ojo. Muy completo, enhorabuena. Yo también estoy muy contento con este plugin y animo como tu a no dejarlo para más adelante, cuanto antes se proteja el blog mejor.

    Un abrazo!

  3. Ester
    Ester el 12 noviembre, 2016 a las 9:26 pm

    Hola!
    Me gustaría hacerte una consulta, a ver si pudieras echarme una mano, ya que veo que controlas WordPress y en concreto este plugin.
    Tengo un blog con WordPress y tengo instalado el plugin Wordfence Security desde hace tiempo y nunca me ha dado problemas, pero hace unas semanas, después de actualizar el plugin, a la hora de activarlo, es imposible, se me abre una página de wordpress con el error 404 y soy incapaz de ponerlo en funcionamiento.
    Lo he desinstalado y vuelto a instalar y el error continúa. Únicamente me aparece este error cuando intento activar el plugin de Wordfence, el resto funciona perfectamente.
    No encuentro información al respecto que me pueda ayudar a corregirlo y no se muy bien qué hacer. Te agradecería, si fuera posible, que me orientaras.
    Un saludo,