Wordfence Security para mejorar la seguridad de WordPress

La seguridad de tu sitio web es un factor crucial para garantizar tu tranquilidad, el buen funcionamiento y la buena reputación de tu marca y tu negocio online.

Por el simple hecho de estar disponible en la red de redes, tu página web es susceptible de sufrir riesgos de seguridad. Robo de datos, hackeos, malware, suplantación de identidad, etc., se encuentran entre los riesgos potenciales a los que se enfrenta tu presencia en la red. Una página web hackeada representa potenciales riesgos para su responsable: problemas legales, baneo por parte de los navegadores, pérdida de confianza de los usuarios, etc. Frente a estos riesgos se pueden, y deben, tomar muchas medidas de forma proactiva. Entre ellas, recurrir a un plugin de seguridad. [elementor-template id="80835"]

¿Qué es Wordfence?

Con más de 4 millones de instalaciones activas, Wordfence es el plugin de seguridad de WordPress más usado del mundo. Este plugin te ofrece una suite de seguridad completa y sencilla.

Herramientas del plugin de seguridad Wordfence

Wordfence te ofrece diferentes herramientas para proteger tu página web hecha con WordPress.

• Firewall: Una de las funcionalidades estrella de Wordfence es la de firewall. Gracias a las reglas que crea el equipo de Wordfence Security, es capaz de limitar la conexión desde direcciones IP identificadas como atacantes. Para evitar los falsos positivos, tiene un modo de aprendizaje en el cual analiza las direcciones IP desde las que se conectan los usuarios a nuestro sitio web antes de aplicar sus reglas.
• Escáner de seguridad: Analiza los archivos de WordPress, los temas, plugins, contenido y comentarios para detectar amenazas como malware, puertas traseras, URL malintencionadas, inyecciones de código, etc. En caso de encontrar alguna modificación, nos lo notificará y podremos reemplazar el archivo afectado por una copia segura y legítima.
• Login seguro: Para garantizarnos que solo podrán acceder al escritorio de WordPress los usuarios, este plugin ofrece limitar el número de intentos de acceso que se pueden hacer desde una dirección IP concreta, proteger la página de login con un CAPTCHA y añadir la doble autenticación.
• Wordfence Central: Si controlas diferentes sitios web, no necesitarás entrar en el escritorio de WordPress sitio por sitio para comprobar el estado de seguridad. Puedes usar Wordfence Central para supervisar desde un único punto la seguridad de tus sitios de WordPress.

Planes de precio de Wordfence

Wordfence ofrece diferentes planes de precio con servicios muy bien diferenciados para adaptarse a las necesidades de seguridad web de diferentes tipos de sitios web.

Wordfence gratuito

El plan básico es totalmente gratuito. No cuesta absolutamente nada y protege tu página web de forma simple y efectiva. La protección básica de Wordfence es capaz de protegerte frente a diferentes tipos de ataques, aunque las actualizaciones del firewall y de las firmas para la detección de malware tienen un desfase de 30 días respecto a los planes de pago. El soporte del plan gratuito se da a través de los foros de soporte de WordPress.

Wordfence Premium

Con la subscripción premium te garantizas dos mejoras: soporte y actualizaciones. Actualizaciones de las reglas para el firewall y definiciones de malware de la base de datos de Wordfence Security en tiempo real. Este nivel está diseñado para quienes gestionan su sitio web. Todo esto por 119$ anuales.

Wordfence Care

Este nivel se ha diseñado para que puedas delegar todo al equipo de Wordfence Security. Tras una auditoría del estado de seguridad de tu web, te configuran Wordfence en función de las necesidades específicas del sitio. A partir de ese momento, se encargan de monitorizar tu página. Si se produce un incidente, te contactarán y se encargarán de limpiar tu servidor. También te ayudarán a salir de las listas de páginas baneadas por los buscadores y te explicarán qué puedes hacer para evitar futuros ataques similares. Todo esto por un coste de 490$ anuales.

Wordfence Response

Este es el servicio más premium que ofrece Wordfence. Tienes todas las ventajas de la suscripción Care, pero con un compromiso de respuesta de una hora y resolución en 24 horas los 365 días del año. Todo esto por un coste de 950$ anuales.

Cómo instalar Wordfence

Nos dirigimos a la sección "Plugins" en el escritorio de WordPress, botón "Añadir nuevo" y buscamos Wordfence.

Cuando lo actives, te pedirá la licencia.

Si no tienes licencia, haz clic en el botón "Obtén tu licencia de Wordfence".

A no ser que tengas claro que quieres optar por uno de los planes de pago que ya hemos visto, puedes seleccionar la opción gratuita.

Te recordará que el plan gratuito recibe las actualizaciones del firewall y el malware con un retraso de 30 días. Haz clic en el enlace "I'm OK waiting 30 days for protection from new threats" y, en la siguiente ventana, introduce tu email.

A tu dirección de correo electrónico te llegará la clave de la licencia. Puedes instalarla de forma manual o de forma automática, pulsando en el botón "Install My License Automatically".

Si lo haces de forma manual, debes volver a tu WordPress y en el menú de la izquierda ir a la sección de Wordfence, instalar y rellenar el formulario. Se confirma la validez de la licencia y ya puedes acceder a Wordfence.

Menú de Wordfence

En la siguiente imagen tienes el menú de la versión gratuita de este plugin. Vamos a ir viendo cada uno de los apartados y explicándote lo que contienen.

Escritorio de Wordfence

El escritorio de Wordfence es el punto de entrada a la gestión de la seguridad de tu sitio web. Aún quedará un último paso para optimizar el funcionamiento de este plugin de seguridad.

Wordfence puede detectar cuál es la configuración óptima pero, en caso de duda, será mejor que consultes a tu hosting.

En la sección superior tienes la puntuación de las funciones cortafuegos y análisis de software malintencionado.

La siguiente sección te mostrará los avisos de seguridad que se puedan producir y también la conexión a Wordfence Central. La tercera sección son accesos a las herramientas, la ayuda y las opciones. La última sección mostrará las acciones que ha tomado el firewall de tu web y el total de ataques bloqueados por la red Wordfence Security a nivel global en las últimas 24 horas.

Cortafuegos de Wordfence

El cortafuegos del plugin de seguridad más popular de WordPress es muy completo, como puedes imaginar. Te ofrece la información del nivel de protección de tu web de forma resumida para que identifiques rápidamente si es necesario modificar la configuración. Es aconsejable aceptar las recomendaciones y la configuración predeterminada, a no ser que entiendas las opciones de configuración entre las que te deja elegir. Inicialmente, funcionará en modo de aprendizaje para analizar el tráfico de tu web. Una vez pasen unos días de entrenamiento, empezará a aplicar las reglas que genera Wordfence.

Entre las opciones avanzadas podrás definir excepciones por IP o por servicio, bloquear IP que accedan a una determinada URL, definir un bloqueo para el login tras un número de intentos fallidos de acceder, bloquear nombres de usuario no válidos, obligar a usar contraseñas seguras, etc.

Importante: Si no tienes claro si es conveniente modificar la configuración, confía en Wordfence. Si aun así crees que sería necesario entender qué hace cada opción, acude a la ayuda o a su foro de soporte en WordPress.

Funcionalidad para analizar

Esta herramienta analizará la integridad de tu instalación de WordPress (archivos, entradas y comentarios) en busca de trazas de malware, URL maliciosas y la reputación de tu web (este servicio es premium). De forma predeterminada se hará un análisis cada 24 horas, pero siempre puedes ejecutarlo cuando tú consideres que es necesario analizar tu web.

Puedes configurar las opciones de análisis activando o desactivando aquellos ítems que consideres necesarios en los apartados de configuración del escaneo.

Herramientas de Wordfence

En Herramientas encontrarás, separadas en cuatro pestañas, un conjunto de herramientas diversas que complementan esta suite de seguridad. La primera te muestra el análisis de tráfico en directo, la segunda te permite hacer consultas whois sin salir de tu sitio web. La tercera pestaña es para la importación/exportación de la configuración, muy útil cuando personalizas los numerosos ajustes de Wordfence y los quieres utilizar en otras páginas web de tu propiedad. La última pestaña es para visualizar los resultados de los diagnósticos de seguridad de tu página web.

Seguridad de acceso

Seguridad de acceso se refiere a proteger el login de WordPress mediante diferentes complementos a la función del firewall de bloqueo tras un número de errores en la contraseña o pruebas de posibles nombres de usuario. Anteriormente estaba restringida a los planes premium, pero ahora es gratuita para todos los usuarios. Puedes añadir autenticación de dos factores (2FA), que hace que ingresar a tu web requiera completar dos pasos. El primero es nombre de usuario y contraseña; el segundo es conseguir la autorización de alguna herramienta de autenticación, como son Google Authenticator o Microsoft Authenticator o cualquiera otra que soporte el algoritmo TOTP (Time-based one-time password). Así, aunque un atacante haya conseguido tu nombre de usuario y contraseña, aún deberá enfrentarse a otra barrera para poder acceder a tu sitio web WordPress. Un detalle muy de agradecer es que puedes activar la autenticación de dos factores en función del tipo de usuario. Como sabes en WordPress hay diferentes roles, o niveles de usuarios, en función de los permisos que se les conceden. El administrador es el usuario con más permisos, capaz de hacer cualquier cosa. Su contraseña debería ser muy fuerte y no deberías tener demasiados usuarios con este rol. El resto de los roles son editor, autor, colaborador y suscriptor. Cada uno de estos roles cuentan con menos permisos y, por tanto, si un atacante logra acceder al escritorio de WordPress de tu página web estará limitado por los permisos asignados al rol de usuario. También puedes añadir protección CAPTCHA mediante reCAPTCHA v3 de Google. La versión 3 de reCAPTCHA mejora muchísimo la experiencia de usuario ya que, en el mejor de los casos, el visitante nunca será consciente de que hay un CAPTCHA. Esto es así porque se busca determinar que quien está conectado a nuestra web es una persona a través del análisis de su interacción, como el movimiento del ratón o los clics que hace. Analizando estos comportamientos se genera una puntuación y, si es superior a un nivel fijado, el CAPTCHA se valida de forma transparente al usuario. En cambio, si no se logra la puntuación mínima, se deberá mostrar un CAPTCHA tradicional. Es cierto que esta modalidad de CAPTCHA puede resultar más cómoda y accesible a personas con problemas de visión o que no se relacionen especialmente bien con la tecnología. No obstante, puede generar falsos negativos que compliquen o imposibiliten el acceso a determinados colectivos de personas con discapacidad o quienes naveguen en modo incógnito. Para solventar estos casos, se puede disminuir el valor umbral de reCAPTCHA o incluso definir direcciones IP exentas de pasar la 2FA y el CAPTCHA.

Todas las opciones

Aquí encontrarás todas las opciones de configuración, tanto generales de Wordfence como las que afectan a cada una de las herramientas de esta suite de seguridad. Uno de los apartados a los que debes prestar atención es al de las alertas por correo electrónico. Puedes definir una dirección de correo electrónico a la que enviar avisos en múltiples casos; por ejemplo, si se desactiva Wordfence o si se encuentran amenazas tras un escaneo. Ejemplo de aviso por email: "El plugin Wordfence ha enviado este correo electrónico desde tu web «Mi blog» el Tuesday 29th of August 2023 at 10:13:13 AM La URL administrativa de Wordfence para este sitio es: --- Un usuario con nombre de usuario "Raiola" que tiene acceso de administrador ha accedido en tu sitio de WordPress. IP del usuario: --- Servidor del usuario: --- Ubicación del usuario: ---, Spain" Verás que hay muchos avisos posibles y que no todos son tan importantes o suponen un riesgo en tu sitio web, así que ajusta bien los avisos para no saturar tu bandeja de entrada.

Ayuda

Por último, en la sección de ayuda encontrarás material formativo, en inglés, que te servirá como guía del plugin. Puedes acceder a esta misma información en la página de ayuda de Wordfence.

Wordfence Central

Como he adelantado más arriba, puedes gestionar la seguridad de tu página, o páginas web, desde Wordfence Central. Cuando te registras en Wordfence Central, puedes añadir diferentes páginas web en las que tengas instalado Wordfence para supervisar y gestionar su estado de seguridad. El dashboard replica perfectamente el escritorio de Wordfence en tu WordPress cosa que es muy conveniente.

Wordfence puede ser tu solución de seguridad

La seguridad de un sitio web es un conjunto de tareas de lo más complejo. Gran parte de la seguridad empieza siguiendo las buenas prácticas de seguridad que te recomendamos. Como todo en el mundo web, algunas cuestiones requieren conocimientos técnicos avanzados. La seguridad de tu sitio web no podría ser menos pero, afortunadamente, Wordfence te ofrece soluciones simples a estas cuestiones técnicas. Y recuerda: a pesar de tener un plugin tan completo para proteger tu web, deberías hacer copia de seguridad de forma regular. Más vale prevenir que curar.