tutorial de wordfence

Tutorial de Wordfence Security en español con las opciones explicadas al detalle y las recomendaciones oficiales del plugin basadas en el manual oficial más otras recomendaciones sobre su uso y trucos.

Prepárate para leer por que le vamos a sacar el máximo partido al plugin de seguridad para WordPress más utilizado.

¿Qué es Wordfence?

Wordfence es un plugin de seguridad para WordPress que incluye muchas funcionalidades para proteger nuestra página web.

tutorial de wordfence en español

Cuenta con más de 2 millones de instalaciones activas lo que hace a Wordfence el plugin de seguridad más utilizado.

Wordfence es un plugin freemium, es decir que es gratuito pero tiene funcionalidades Premium.

La versión Premium cuesta alrededor de 100 dólares al año, pero la versión gratuita es más que suficiente para conseguir una página web segura.

 

Características y funciones de Wordfence

Te cuento antes de empezar con el tutorial de Wordfence las características y funciones de Wordfence.

Tablero de información (Wordfence Dashboard) es donde podemos ver avisos e información relevante sobre la seguridad de nuestro sitio.

Escáner de Wordfence: Herramienta que nos permite detectar problemas en nuestra web como cambios en los archivos de WordPress, virus u otros elementos maliciosos.

Wordfence Application Firewall: es una barrera que analiza y bloquea las peticiones a nuestra web que creen indicios o patrones de ataques y en definitiva sin ponerme muy técnico el Firewall es un filtro que bloquea Ip,s que estén intentando hacer algo malo en nuestra página web.

Life Traffic: un visor que muestra una lista en tiempo real de los usuarios o bots que acceden a nuestra web y también muestra los usuarios y bots que bloquea el Firewall.

Protección de ataques de fuerza bruta: Wordfence incluye configuraciones específicas para impedir ataques de fuerza bruta (Cracks con intentos masivos de contraseñas) como solo permitir contraseñas seguras, intentos de inicio de sesión, bloquear nombres de usuarios entre otras.

Bloqueo de IP: con Wordfence podemos bloquear Ip individuales, rangos de Ip, usuarios que vengan de un dominio en específico o que usen un navegador concreto.

Limitar la velocidad de rastreo de bots y humanos: con Wordfence puedes configurar las veces que se intenta acceder o rastrear tu web y poder dificultar el rastreo o navegación por tu web a bots y usuarios sospechosos.

Herramienta Whois Lookup: es un buscador que nos permite averiguar los datos relevantes a una ip o dominio como el nombre y email del dueño del dominio, el país de origen entre otros muchos datos.

PREMIUM Bloqueo por países: Con la versión Premium de Wordfence se puede denegar el acceso a nuestra web por países.

PREMIUM Doble factor de autentificación: con la versión Premium de Wordfence podemos implementar la doble verificación que nos enviara un código al teléfono móvil para acceder al panel de administración de WordPress.

PREMIUM Filtro Avanzado de spam en los comentarios: Un filtro contra el spam que incluye una base de datos que se actualiza en tiempo real para combatir los spammers conocidos.

PREMIUM Auditoria de contraseñas: Analiza las contraseñas de los usuarios de nuestra página web para indicar cuales son débiles y deben cambiarse por una contraseña fuerte.

PREMIUM Mejoras en el Escáner y Firewall:
Con la versión Pro de Wordfence el Escáner y el Firewall se actualiza al instante para incluir las nuevas amenazas que surjan con el tiempo, con la versión gratuita las nuevas amenazas no son incluidas hasta después de 30 días.

También incluye más funciones avanzadas para en el escaneo:

  • Escaneo del código HTML de la parte publica en busca de virus y código malicioso y la configuración.
  • Programación de escaneos: Configurar el tiempo en el que se ejecutan escaneos programados.
  • Detectar si nuestra web genera spam o está en listas de correos de spam

PREMIUM Configurar los avisos de las notificaciones: con la versión Premium de Wordfence podemos configurar que notificaciones se muestran en la zona de administración de WordPress que incluye quitar las promociones de sus productos.

PREMIUM Soporte técnico: aunque los desarrolladores participan activamente en los foros y dan mucha información en su blog nunca está de más tener a expertos a golpe de teléfono.

 

Instalar Wordfence

Ahora si, comenzamos el tutorial de Wordfence, primero comenzamos con la instalación.

Podemos instalar Wordfence en WordPress desde el menú de administración en Plugin > Añadir Nuevo y buscando Wordfence en el repositorio de WordPress.

 

como instalar wordfence

 

En el caso de tener Wordfence Premium la activación de las funciones de pago se hace mediante un código KEY que tienes que introducir en un campo de configuración del apartado OPTIONS del plugin después de instalarlo.

 

Tablero de Información de Wordfence

El Tablero de información de Wordfence se encuentra en Wordfence > Dashboard y en este apartado podremos encontrar información variada y ver informes y estadísticas sobre la seguridad de la web.

También podremos ver las notificaciones de Wordfence, que nos pueden indicar por ejemplo que tenemos plugins no actualizados o cualquier otro problema que requiera nuestra atención.

Y también se nos muestra un resumen de las funciones del plugin que tenemos activas.

 

wordfence dashboard

 

Escáner de Wordfence

En el apartado Scan de Wordfence podemos ejecutar un escaneo de nuestra web pulsando en el botón “Start a Wordfence Scan”.

El escaneo de Wordfence examinara los archivos de nuestro WordPress en busca de problemas de seguridad de todo tipo como código malicioso, url de spam, puertas traseras, vulnerabilidades conocidas y patrones de virus conocidos.

También hará varias comprobaciones del servidor, buscara cambios de DNS no autorizados, y comprobara que nuestra IP no está siendo utilizada para hacer actividades maliciosas.

 

escaner de wordfence

 

El escaneo suele ser rápido y normalmente tarda entre 1 y 10 minutos que depende de la configuración del escáner que veremos más adelante, del tamaño de tu web y de la memoria de tu servidor.

Podemos cancelar el escaneo en cualquier momento pulsando en el Link “Click to kill the current scan” que hay justo debajo del botón “Start a Wordfence Scan”.

En los apartados Scan Summary y Scan Detailed Activity (Las cajas amarillas) podemos ver la actividad del escáner y si muestra algún problema nos indicara en que zona el escáner ha detectado el problema.

Y en la parte de abajo la pestaña New Issues podemos ver un resumen de todos los problemas y avisos que se han detectado en tu sitio web.

 

error escaner de wordfence

 

Nota: El primer error grave que suele encontrar el escáner es que existe el archivo wp-config-sample.php.

Este archivo se utiliza solo para introducir los ajustes del servidor durante la instalación de WordPress, al terminar la instalación se genera el archivo wp-config.php (sin el sample) y el archivo wp-config-sample.php deja de ser útil.

Wordfence lo muestra como peligroso ya que es un agujero de seguridad y deberías borrarlo.

 

Programar el horario del escáner de Wordfence

Programar el horario del escáner de Wordfence es una función Premium del plugin que nos permite elegir a qué frecuencia y hora queremos que se ejecute el escáner para poder elegir el momento de menor actividad de nuestra web. Estas opciones se encuentran en Wordfence > Scan > Scheduling.

 

configurar escaner en wordfence

 

Esta función es útil si tu web tiene grandes picos de actividad y quieres que los recursos web no se sobrecarguen en este tiempo.

Con la versión gratuita el escáner se ejecutara automáticamente una vez cada 24 horas a la hora que Wordfence decida para no sobrecargar sus servidores.

 

Opciones de análisis de Wordfence

Podemos configurar y ajustar las opciones del escáner de Wordfence, aunque podemos mantener la configuración por defecto ya que suele ser correcta.

Estas opciones se encuentran en la pestaña  dentro de Wordfence > Scan > Options

 

opciones del escaner de wordfence

 

Scan public facing site for vulnerabilities PREMIUM: activa el escaneo del html resultante en la parte pública de la web.

Scan for misconfigured How does Wordfence get IPs: esta opción ayuda a Wordfence para averiguar la IP real de los usuarios que naveguen con proxys inversos.

Scan for the HeartBleed vulnerability: opción que permite comprobar la integridad SSL de la web y buscaba una vulnerabilidad conocida como HeartBleed. Opción de Wordfence eliminada a partir de la versión 6.3.6 porque ya es muy difícil que se de esa vulnerabilidad.

Scan for publicly accessible configuration, backup, or log files: esta opción permite escanear la configuración de archivos que se puedan modificar de forma remota para después poder modificarlos e impedir que estos archivos sean accesibles.

Scan for publicly accessible quarantined files: busca archivos en cuarentena con la terminación .suspected.

Scan core files against repository versions for changes: analiza si hay cambios en los archivos principales de WordPress respecto a la versión del repositorio oficial de WordPress, que existan cambios es inusual y puede ser un indicador de infección de virus o modificación no autorizada.

Scan theme files against repository versions for changes: analiza si hay cambios en los archivos de los temas de WordPress que se encuentren en el repositorio oficial de WordPress, los temas comerciales no son analizados.

Scan plugin files against repository versions for changes: analiza si hay cambios en los archivos de los plugin de WordPress que se encuentren en el repositorio oficial de WordPress, los plugin comerciales no son analizados.

Scan wp-admin and wp-includes for files not bundled with WordPress: busca cambios o archivos incluidos dentro del directorio wp-admin y wp-includes

Scan for signatures of known malicious files: busca archivos maliciosos conocidos e incluidos en la base de datos de Wordfence.

Scan file contents for backdoors, trojans and suspicious code: Analiza los archivos en busca de puertas traseras troyanos y código sospechoso.

Scan posts for known dangerous URLs and suspicious content: Analiza los post en la base de datos en busca de url o contenido malicioso.

Scan comments for known dangerous URLs and suspicious content: Analiza todos los comentarios en la base de datos publicados en busca de url y contenido malicioso.

Scan for out of date plugins, themes and WordPress versions: Te indica si tienes desactualizado WordPress, temas y plugin.

Scan for admin users created outside of WordPress: Comprueba si existen usuarios creados de forma remota por alguna vulnerabilidad que no sean creados desde la página de usuarios.

Check the strength of passwords: comprueba la fuerza de las contraseñas y busca si algún usuario utiliza contraseñas comunes.

Monitor disk space: comprueba que queda espacio en el disco del servidor.

Scan for unauthorized DNS changes: busca cambios de DNS no autorizados y nos alerta si nuestro dominio apunta a otra web.

Scan files outside your WordPress installation: analiza archivos fuera de la instalación de WordPress. Explorara todos los subdirectorios y archivos del servidor en busca de malware aunque no tengan que ver con WordPress. Esta opción normalmente se deja desactivada y solo se utiliza cuando deseamos escanear a fondo un servidor para buscar algún virus que no detectamos con un escaneado normal. Si los recursos de tu servidor son limitados esta opción puede hacer que el escaneo nunca se termine.

Scan images, binary, and other files as if they were executable: Busca códigos maliciosos dentro de archivos que tienen una extensión de imagen como .png y otros. Es raro que esto suceda y esta opción no viene activada por defecto.

Enable HIGH SENSITIVITY scanning (may give false positives): Esta opción activa la alta sensibilidad del escaneo que hace que el escaneo sea más minucioso pero puede dar falsos positivos, esta opción no viene activada por defecto pero se puede utilizar si buscamos un virus y no nos importa ver falsos positivos para descubrirlo.

Use low resource scanning (reduces server load by lengthening the scan duration); activa el escaneo que utiliza menos recursos del servidor para ejecutarse pero tardara más en completarse. Útil si tenemos pocos recursos de servidor.

Exclude files from scan that match these wildcard patterns (one per line): En este apartado podemos indicar extensiones o nombres de archivos (uno por línea) que no queremos que se analicen.

Limit the number of issues sent in the scan results email: Con esta opción marcamos un límite de correos que Wordfence nos puede enviar sobre los errores de los análisis para no llenarnos la bandeja de correo.

Time limit that a scan can run in seconds: limite en segundos del tiempo que se puede ejecutar el escaneo, dejarlo vacío o poner 0 se utilizara el valor predeterminado máximo que son 3 horas.

NOTA CURIOSA: Personalmente en esta web el escaneo con las opciones por defecto tarda aproximadamente 4 minutos y con todas las opciones activadas 21 minutos. ¿No es tanto tiempo verdad?

NOTA: Si utilizas temas comerciales que no están en el repositorio de WordPress y activas las opciones de Scan images, binary, and other files as if they were executable y Enable HIGH SENSITIVITY scanning puede que algunos archivos sean marcados como virus aunque en realidad son falsos positivos.

Si te aparecen estos falsos positivos y quieres asegurarte de que no son virus reinstala el tema, descargándolo del sitio oficial donde lo compraste.

Y después pon estos archivos en la lista de archivos excluidos del análisis.

 

Firewall de Wordfence

El Firewall de Wordfence llamado “WAF Web Alpplication Firewall” es un cortafuegos a nivel de aplicación que filtra las peticiones maliciosas a nuestro WordPress.

Este Firewall se ejecuta antes de que carguen los temas y plugins de nuestra web para combatir el posible código malicioso.

firewall

Es decir es una herramienta que analiza los bots a los humanos y los analiza, limita o bloquea según su configuración y otros criterios y detecta patrones de ataques o cualquier otro tipo de comportamiento inusual.

Protege de ataques comunes como:

 

Configurar el Firewall de Wordfence

Las opciones del firewall de Wordfence se encuentran en Wordfence > Firewall

En la pestaña Web Application Firewall de Wordfence podemos encontrar el estado y la configuración del cortafuegos.

Al activar Wordfence el Firewall se activa en modo aprendizaje, en este modo el firewall analizara durante una semana la actividad de nuestra página web para adaptar las reglas del firewall al uso que le damos a nuestra web y al comportamiento de los servicios adicionales y usuarios.

Una vez pasado el periodo de tiempo del modo de aprendizaje el Firewall Status pasa a “Enabled and Protecting” activado y protegiendo, en este modo el Firewall analiza y bloquea activamente las solicitudes con patrones de ataques conocidos y protege nuestra web de los atacantes.

 

configurar el firewall de wordfence

 

Existen dos niveles de protección del firewall, por defecto este nivel es el “Basic WordPress Protection” que protege contra muchos de los ataques web y no necesita configuración adicional.

Y después también existe el nivel de protección extendido “Extended Protection” que protege más eficientemente nuestro servidor y permite que los servidores de seguridad se ejecuten antes que nuestro WordPress, este nivel necesita de configuración adicional.

 

Configurar la protección extendida en Wordfence

Para configurar el nivel “Extended Protection” tenemos que pulsar en el botón azul “Optimize the Wordfence Firewall”.

Una vez pulsado el botón tendremos que configurar varias opciones para que el Firewall funcione correctamente.

Primero tenemos que elegir el tipo de servidor que estamos utilizando, normalmente Wordfence detecta el tipo de servidor y te muestra la opción con el nombre del tipo de tu servidor y entre paréntesis “(recommended base don our tests)” y pulsar en continuar.

 

waf wordfence

 

Después Wordfence nos obliga a descargarnos una copia del archivohtaccess” y del archivo “user.ini” ya que Wordfence va a realizar cambios dentro de este archivo y si algo saliera mal de esta manera tendríamos una copia de este archivo para restaurarlo mediante FTP.

 

firewall waf htaccess

 

Una vez descargados estos archivos pulsamos el botón “Continue” y Wordfence modificara el htaccess y configurará el Firewall.

Nota: Las líneas de código que añade Wordfence al archivo htaccess son estas:

 

wordfence waf

 

Normalmente al pulsar continuar se nos mostrará la siguiente notificación de error de Wordfence.

 

error wordfence

 

¡Que no cunda el pánico! Este aviso indica que los cambios aún no han tenido efecto, que debes esperar unos minutos por si los archivos están en cache o que te has equivocado al seleccionar el tipo de servidor.

Simplemente refresca la página y si todo ha salido bien mostrara esta otra notificación que indica que la instalación se ha completado correctamente y que tu sitio está protegido con el nivel de protección extendida.

(Si el error anterior sigue mostrándose te habrás equivocado en elegir el tipo de servidor y tendrás que reinstalar Wordfence)

 

advertencia wordfence

 

También veras como la opción “Protection Level” dice “Extended Protection” que nos indica que tenemos el nivel de protección más elevado del Firewall.

 

extended protection wordfence

 

Reglas del Firewall

Debajo del estado del Firewall podemos encontrar un listado con las reglas que utiliza el Firewall de Wordfence, estas reglas se actualizan con el tiempo y las podemos activar o desactivar pero no deberías tocarlas si no sabes exactamente lo que haces.

 

reglas del firewall de wordfence

 

Lista blanca de IP

En Wordfence > Firewall también podemos encontrar las opciones que nos permiten crear la lista blanca de IP´s para el Firewall.

 

white list ip wordfence

 

Las IP de esta lista no tendrán restricciones y no serán bloqueadas por el cortafuegos.

Durante el modo de aprendizaje Wordfence puede incluir ahí varias IP de servicios que generan peticiones externas para no detectarlos ni bloquearlos como si fuera un virus.

Si algún servicio de tu web se bloquea y te causa problemas puedes introducir en esta lista la IP del servidor del servicio para que esto no ocurra.

Nota: también puedes volver a poner el Firewall en modo aprendizaje para intentar que lo detecte y lo incluya en la lista blanca automáticamente.

 

Configuración avanzada del Firewall

Al final de la página de configuración Wordfence > Firewall podemos encontrar el apartado Advanced Configuration.

 

configuracion avanzada firewall wordfence

 

En este apartado podemos activar la opción Delay IP and Country blocking until after WordPress and plugins have loaded (only process firewall rules early), si tenemos problemas con las opciones de bloqueo de países y nuestro servidor (ya sea porque nuestro servidor está en un país bloqueado o por otras razones) podemos activarla para que WordPress cargue antes que el bloqueo de IP por países y solucionar el problema.

También podemos quitar la Proteccion Extendida de Wordfence mediante el botón “Remove Extended Protection”, este nivel de protección causa problemas cuando cambiamos de host o cambiamos la instalación de WordPress a un nuevo directorio.

El proceso de quitar la protección extendida es similar a cuando la creamos y tendremos que descargar una copia de varios archivos como el htaccess que Wordfence volverá a modificar para quitar la protección extendida.

 

Protección de Fuerza Bruta

En las opciones de Wordfence > Firewall pestaña “Brute Force Protection” podemos encontrar las opciones con las que podemos proteger el Login de WordPress.

Esta protección aplica entre otras medidas de seguridad los límites de intentos de sesión que bloquea una IP cuando se intenta introducir muchas veces una contraseña errónea.

 

proteccion fuerza bruta wordfence

 

Enforce strong passwords: con esta opción podemos forzar a que las contraseñas que los usuarios utilicen para sus perfiles de WordPress sean seguras impidiendo introducir contraseñas comunes o débiles al crear o modificar los usuarios.

Lock out after how many login failures: en esta opción indicamos los intentos fallidos que un usuario puede cometer hasta ser bloqueado en el formulario de login de WordPress.

Lock out after how many forgot password attempts: en esta opción indicamos los intentos fallidos que un usuario puede cometer hasta ser bloqueado en el formulario de contraseña perdida.

Count failures over what time period: periodo de tiempo en el que los fallos de intento de sesión son tenidos en cuenta. Es decir que pasado el tiempo que indiquemos los fallos de inicio de sesión de un usuario vuelven a ser cero.

Amount of time a user is locked out: cantidad de tiempo que un usuario es bloqueado. Lo recomendable es poner 5 minutos ya que permite frustrar los ataques de fuerza bruta pero no es tan restrictivo para los usuarios legítimos y evitamos que un usuario normal se tire de los pelos si es bloqueado por alguna razón.

Immediately lock out invalid usernames: bloquear inmediatamente si se utiliza un nombre de usuario no valido. Si activamos esta casilla se bloquearan las IP de los usuarios que intenten acceder con un nombre de usuario que no esté registrado.
ADVERTENCIA: esta opción puede ser una locura, ya que bloquearas a los usuarios que por error escriban mal su nombre en el login.

Don’t let WordPress reveal valid users in login errors: WordPress por defecto muestra si en el login has introducido mal el nombre o la contraseña, esto puede dar pistas a los ciber delincuentes, activando esta opción estos avisos se ocultan para no dar esas pistas.

Prevent users registering ‘admin’ username if it doesn’t exist: Impide registrar el usuario con el nombre Admin si no existe, que es el usuario más atacado.

Prevent discovery of usernames through ‘/?author=N’ scans, the oEmbed API, and the WordPress REST API: Al activar esta opción se evita que los hackers sean capaces de descubrir los nombres de usuario por varios métodos.

Immediately block the IP of users who try to sign in as these usernames: Con esta opción se bloqueara inmediatamente la IP de los usuarios que intentan iniciar sesión con los nombres de usuario que indiquemos.

Podemos bloquear nombres como Admin, Superadmin, Root, God y otros nombres que se usan comúnmente en informática para definir a usuarios con todos los permisos.

 

Límite de velocidad de rastreo de bots y humanos

Podemos limitar la cantidad de veces que un bot puede rastrear y explorar nuestra web, esta es una configuración adicional que puede sernos útil en alguna ocasión.

Por ejemplo es útil si detectamos que nos están robando y copiando nuestro contenido mediante la automatización de bots y queremos dificultar esta tarea.

O si detectamos que algún bot se hace pasar por Google o que nos rastrean páginas que no existen que suele ser un indicador de que alguien busca agujeros de seguridad en nuestra web.

También sirve para reducir las peticiones que generan estos robots para reducir el consumo de los recursos del servidor o impedir ataques que colapsen nuestra web por sobrecarga de peticiones.

Estas opciones se encuentran en Wordfence > Firewall > pestaña “Rate Limiting”

 

limite de rastreo de bot

 

Immediately block fake Google crawlers: bloquear inmediatamente los bots que se hagan pasar por Google (Googlebot).

How should we treat Google’s crawlers: Esta opción específica cómo se trata al robot de Google y nos permite elegir entre 3 opciones:

  • Los rastreadores de Google verificados tendrán acceso ilimitado al sitio web. (Recomendada para tener una buena indexación en Google)
  • Cualquier rastreador que diga ser Google tendrá acceso ilimitado.
  • Tratar a los rastreadores de Google como a cualquier otro rastreador.

Las siguientes opciones sirven para limitar el número de peticiones por minuto que puede hacer un robot o un humano dependiendo de cada caso.

Una vez excedido el límite de peticiones se puede bloquear al robot “block it” (No recomendado) o elegir la opción throttle it “Regularlo” que hará que los robots bajen su frecuencia de rastreo en cada caso.

If anyone’s requests exceed: Si cualquier bot excede X peticiones por segundo, que se bloque o se regule. Recomendación de Wordfence, 240 peticiones por minuto y Regularlo en caso de que excedan las peticiones.

If a crawler’s page views exceed: Si los rastreadores exceden un número de visitas a páginas. La recomendación de Wordfence, 240 peticiones por minuto y Regularlo.

If a crawler’s pages not found (404s) exceed: Si un rastreador excede las peticiones a páginas que no existen.

Recomendación de Wordfence, si tú web está bien cuidada y no tienes apenas errores 404 (página no encontrada), 30 peticiones por minuto y si se excede bloquearlo para impedir exploraciones en busca de vulnerabilidades.

Si tu web contiene muchas imágenes caídas y páginas que no funcionan no configurar esta opción ya que se puede bloquear a bots legítimos.

If a human’s page views exceed: Si un humano excede un número de visitas a páginas. La recomendación de Wordfence, 240 peticiones por minuto y regularlo.

If a human’s pages not found (404s) exceed: Su un humano excede un número de visitas a páginas que no existen. (La misma recomendación que en la opción de los bots).

If 404s for known vulnerable URLs exceed: Cuando se accede a páginas que no existen que coinciden con URL de vulnerabilidades conocidas la recomendación de Wordfence es 15 por minuto y bloquearlo.

How long is an IP address blocked when it breaks a rule: En esta opción elegimos cuanto tiempo estará una IP bloqueada cuando incumpla una regla de exceso de límite de peticiones.

Wordfence no dice una recomendación clara en su manual, únicamente dice que ellos utilizan entre 5 minutos y 1 hora. (Recomendación de Gerardo usar 5 minutos).

 

Bloqueo de IP en Wordfence

Una medida de seguridad web básica es bloquear el acceso a las IP que intentan hacer el mal en nuestra web.

Wordfence mediante el Firewall bloquea las IP que realizan ataques a nuestra web y también bloquea las IP que rompen las reglas de protección del login contra los ataques de fuerza bruta.

Pero también podemos bloquear IP manualmente desde las opciones Wordfence > Blocking > Bloked IPs.

También podemos ver un listado de las Ip que tienen el acceso denegado a nuestra web, que han sido bloqueadas en el Login o que han excedido el máximo de peticiones de rastreo.

 

bloquear ip wordpress

 

Bloqueo avanzado de IP

Además de bloquear Ip manualmente con las opciones anteriores en la pestaña Advanced Bloking podemos encontrar más opciones para bloquear IP.

 

bloqueo avanzado de ip

 

Ip address range: introduce un rango de IP para bloquear todas la IP de un rango y que no tendrán acceso a tu web.

Hostname: nombre del dispositivo desde el que está conectado un usuario.

User-Agent (browser) that matches: permite bloquear IP de usuarios que vienen desde un navegador web concreto introducionedo el nombre del navegador “User-agent”.

Referer (website visitor arrived from) that matches: permite bloquear IP de usuarios que vengan directamente desde otro dominio. Puede ser de mucha ayuda cuando detectas que el spam o los ataques vienen siempre de la misma web o foro de hackers.

Enter a reason you’re blocking this visitor pattern: esta opción es simplemente un campo en el que podemos poner la razón por la que creaste una regla de bloqueo, es decir que es solo para tu organización personal.

 

Bloqueo de países de Wordfence

Con la version Premium de Wordfence tambien podemos bloquear directamente los paises desde los cuales recibimos los ataques a nuestra web.

Es una manera efectiva de bloquear las peticiones masivas generadas desde un pais en concreto.

Aunque puede dar muchos problemas derivados ya que si utilizamos servicios web de servidores que se encuentren en los paises bloqueados estos dejaran de funcionar.

El bloqueo por paises es una medida de seguridad avanzada que no se debe implementar a la ligera ya que si no sabes lo que haces dejaras inutilizadas funciones de tu web e incluso acabaras bloqueado en tu propio sitio.

Ademas ciertos servicios web como Google Adwords no permiten tener esta medida implementada en la web.

Estas opciones se encuentran en Wordfence > Blocking > Country Bloking

 

bloqueo paises wordfence

 

Opciones de bloqueo de paises

What to do when we block someone: que hacer cuando se bloquea a alguien, podemos mostrar un mensaje de Wordfence o podemos redirecciionar al usuario a una URL concreta donde por ejemplo expliquemos las razones por las que a sido bloqueado.

URL to redirect blocked users to: Url a la que los usuarios seran redirigidos si hemos elegido la opcion correspondiente en el campo anterior.

Block countries even if they are logged in: con esta opcion los usuarios seran bloqueados según el pais incluso si estan registrados en WordPress.

Block access to the rest of the site (outside the login form): Bloquear el acceso al login en los paises elegidos para impedir que los usuarios de estos paises se registren.

Block access to the rest of the site (outside the login form): Bloquear el acceso a la parte publica de la web a los paises elegidos.

Si utilizas Google AdWords o un servicio externo parecido no actives esta opcion para que funcione correctamente.

 

Opciones avanzadas del bloqueo de paises

Con estas opciones podemos crear una puerta trasera para saltarnos el bloqueo de paises.

Bypass Redirect: en esta opcion podemos introducir una URL secreta que redirigira al usuario a otra URL que queramos de nuestra web y se le añadira una Cookie con la que tendra acceso a la web saltandose el bloqueo por paises.

Bypass Cookie: esta opcion es parecida a la anterior, simplemete elegimos una URL que si accedemos a ella (antes de viajar a un pais bloqueado) y se nos instala una cookie en el navegador para poder saltarnos la restriccion de paises.

 

Lista de paises

En la parte inferior de las opciones podemos encontrar el listado de países que podemos bloquear.

bloquear paises en wordfence

 

Como recomendaciones:

No bloques a los Estados Unidos, ni a países de Europa ya que puedes bloquear desde los robots de Google hasta servicios legítimos que utilices en tu web como servicios CDN, servicios de plugins como Akismet o Jetpack.

No implementes esta medida si muestras publicidad de Google Adwords en tu página web ya que este servicio no lo permite.

No bloques países si no es estrictamente necesario y solo si detectas una gran cantidad de ataques procedentes del mismo país.

 

Trafico en tiempo real

Wordfence nos permite ver en tiempo real el tráfico de nuestra página web de robots y humanos.

Y no solo podemos ver quien está accediendo a nuestra web en cada momento, sino que además nos muestra información relevante sobre este usuario como:

  • El tipo de usuario (Humano o bot)
  • Usuarios con advertencias
  • Usuarios bloqueados
  • Usuarios que han sido bloqueados por el firewall
  • Ciudad desde la que se conecta
  • La Url a la que intenta acceder
  • Fecha de conexión
  • La ip del usuario
  • El nombre del host desde el que se conectan
  • El navegador y sistema operativo que utiliza el usuario

 

actividad en tiempo real wordfence

 

Como vemos es mucha información, pero también es muy útil, ya que podemos ver si un usuario de Rusia está intentando accederé al login una y otra vez, lo que es un comportamiento bastante sospechoso.

Además podemos bloquearlo pulsando el botón “Block this IP”, aunque si está introduciendo contraseñas a lo loco o se percibe un comportamiento sospechoso el Firewall lo bloqueara automáticamente.

Si nos fijamos en el comportamiento de los usuarios bloqueados podemos darnos cuenta de los archivos y Url de WordPress que son más atacados como:

  • El login de WordPress wp-login.php
  • El archivo xmlrpc.php
  • El archivo admin-ajax.php

El ataque a estos archivos es constante ya que son conocidas vulnerabilidades de WordPress, menos mal que tenemos una contraseña segura y Wordfence activado para solucionar este problema ¿no?

Si no te interesa ver la actividad en tiempo real de tu sitio web puedes desactivar esta función con el botón ON / OFF que se encuentra en la parte superior de la página de configuración.

De esta manera ahorraras recursos del servidor y ayudas a mantener la base de datos de WordPress más ligera.

No te preocupes, no es que nos quedemos a ciegas simplemente al desactivar la vista de la actividad del sitio en tiempo real solo se mostraran los usuarios bloqueados por el Firewall para estar al tanto de las amenazas.

 

Auditoria de contraseñas

La auditoría de contraseñas analizara las contraseñas de nuestros usuarios de WordPress y nos indicara cuales son demasiado débiles o comunes y que deberíamos cambiar por contraseñas fuertes para mejorar la seguridad.

Estas opciones se encuentran en Wordfence > Tools > Password Audit

 

contrasena segura wordpress

 

Whois Lookup (Búsqueda “¿Quién es?”)

En el apartado Whois Lookup encontramos una herramienta que nos permite averiguar más datos sobre una IP o dominio en concreto.

Los datos que muestra son variados, desde el nombre del domino, hasta el nombre del dueño, su dirección, teléfono, expiración del dominio, organización en la que registro el dominio, el nombre del servidor y mucho más.

Esta herramienta es muy útil y se utiliza normalmente para obtener los datos de contacto del dueño legal de un dominio.

Puedes hacer una prueba con la IP 8.8.8.8 que es el señor Google.

 

wordfence whois lookup

 

Verificación en dos pasos

La verificación en dos pasos es una característica Premium de Wordfence.

La verificación en dos pasos es una autentificación que verifica a un usuario mediante 2 factores para permitir que acceda a un servicio web, en este caso al login de WordPress.

En este caso los factores son 1º la contraseña del usuario y 2º un código que se genera y envía automáticamente al teléfono móvil del usuario.

Las opciones para implementar la verificación en dos pasos están en Wordfence > Tools > Cellphone Sign-in.

La autentificación se configura introduciendo el nombre de usuario que tendrá esta verificación y un método de generar el código que puede ser mediante la APP Google authenticator o mediante SMS indicando el número de teléfono.

Puedes leer más sobre estas opciones en el apartado de Cellphone Sing-In del manual de Wordfence .

 

wordfence verificacion en dos pasos

 

Opciones de Wordfence

En el último apartado de Wordfence llamado Options podemos encontrar todas las opciones del plugin.

En este apartado de opciones de Wordfence podemos encontrar la configuración de la Wordfence API KEY, opciones que activan funciones Premium, la personalización de los informes y notificaciones, y otras muchas opciones básicas de Wordfence que vamos a ver a continuación.

También encontraremos los apartados de las opciones que hemos visto anteriormente para el escáner, el firewall, el bloqueo de IP y el tráfico en tiempo real.

Por lo tanto me voy a saltar las opciones que hayamos visto en apartados anteriores de este tutorial de Wordfence y solo mostrare las que sean de más interés.

 

Licencia (Wordfence API KEY)

Para activar las funciones Premium de Wordfence tendremos que comprar una licencia del plugin en la página oficial de Wordfence donde nos darán una API KEY que debemos introducir en el campo Your Wordfence API KEY .

Si no tenemos el servicio Premium se nos asigna automáticamente una Wordfence API Key gratuita.

 

wordfence api key

 

Opciones básicas de Wordfence

Las opciones básicas están en el apartado Wordfence > Options > Basic Options

 

wordfence configurar opciones basicas

 

Enable Rate Limiting and Advanced Blocking: Activa o desactiva, las reglas limitación de velocidad de las peticiones, el bloqueo de IP, el bloqueo por países.

Enable login security: activa o desactiva las opciones de seguridad del Login como la verificación en dos factores, el cumplimiento del uso de contraseñas fuertes y las reglas de intentos fallidos en el login.

Enable Live Traffic View: activa la visión del tráfico en tiempo real.

Advanced Comment Spam Filter: Premium. Activa el filtro de Spam en los comentarios.

Check if this website is being “Spamvertised”: Premium. Una técnica de los hackers es introducir un script que redirige algunas url de nuestra página web a sitios web maliciosos, después estos hackers envían correos electrónicos con las URL de nuestro sitio para engañar a usuarios y redirigirlos a sus malvadas webs.

Activando esta opción Wordfence verifica si nuestra web está siendo utilizada en estos tipos de correos de spam altamente dañinos.

Check if this website IP is generating spam: Premium. Verifica si la IP de nuestra web está generando spam mediante algún malware.

Enable automatic scheduled scans: activa el escaneo automático de nuestra web.

Update Wordfence automatically when a new version is released?: activa la actualización automática de Wordfence.

Where to email alerts: podemos indicar correos electrónicos separados por comas que recibirán los mensajes de alerta de Wordfence (por defecto se utiliza el email del administrador que indicamos en Ajustes > Generales).

How does Wordfence get IPs: Configura el método en el que Wordfence obtiene las direcciones IP de los visitantes. (Se recomienda dejar la opción Let Wordfence use the most secure method to get visitor IP addresses.)

 

Configurar las alertas por email de Wordfence

En el menú Options apartado Alerts encontramos las configuraciones de los avisos que Wordfence nos enviara por email.

 

alerta de wordfence

Si tienes todas las opciones activas y en tu web se registran usuarios puede que te veas estresado por cientos de correos de avisos de Wordfence.

Por lo tanto deja activas solo las opciones que más te interesen como:

Email me if Wordfence is deactivated: alertarme si Wordfence se desactiva.

Alert on critical problems: alertarme de los problemas críticos.

Alert on warnings: alertame de las advertencias.

Alert me when there’s a large increase in attacks detected on my site: avísame cuando se detecte un gran aumento de ataques a mi sitio.

 

Email con resumen de la actividad

En el menú Options apartado Email summary podemos configurar que se nos envíe un resumen (por día, semana o mes) de lo que ha ocurrido en nuestra web.

actividad de wordfence

 

Opciones de notificación del Dashboard

En el apartado Dashboard Notification Options podemos configurar las alertas que se nos muestra en el panel de control de Wordfence y también podemos eliminar la publicidad que muestra plugin.

opciones del dashboard wordfence

 

Otras opciones de Wordfence

Opciones varias del apartado Other Options de Wordfence.

otras opciones wordfence

 

Whitelisted IP addresses that bypass all rules: En este campo podemos introducir las IP o redes de IP que queremos incluir en la lista blanca de Wordfence, las IP de esta lista se saltaran todas las reglas de seguridad.

Puedes configurar la IP de tu casa u oficina pero únicamente configura la IP en esta opción si estás seguro de que tu IP es fija, es decir que no es una IP dinámica que cambia con el tiempo.

Immediately block IPs that access these URLs: bloquear inmediatamente las IP que accedan a las URL indicadas.

Si detectamos que estamos bajo un ataque masivo en este campo podemos introducir las URL de vulnerabilidades conocidas que estén siendo atacadas y así se bloquearan automáticamente las IP que intenten acceder a ellas.

Recomendación: no dejes configuradas las URL de las vulnerabilidades permanentemente en esta opción, solo en caso de ataques masivos las puedes poner, ya que muchas vulnerabilidades son funciones de WordPress o de plugins.

Whitelisted 404 URLs (one per line): Las URL de esta lista blanca no se tendrán en cuenta en las reglas de límite de rastreo de páginas no encontradas que se utilizan para limitar los bots de rastreo.

Wordfence detecta e incluye en este campo algunas URL que son buscadas pero no encontradas por los bots como iconos del navegador “Favicon” y otras imágenes utilizadas por ejemplo en dispositivos Iphone o las versiones de las imágenes de retina.

Esto es así para no confundir el comportamiento de los bots de los navegadores como si fuera un ataque.

Hide WordPress versión: oculta la versión de WordPress para no dar pistas a los hackers.

Esta opción viene desactivada por defecto porque aunque se oculte la versión existen varias maneras de averiguar la versión de WordPress mediante exploraciones de los archivos CSS u otros.

Activarla para dificultarle el trabajo a los hackers y que no se vea la versión de WordPress en la url misitio.com/readme.txt.

Block IPs who send POST requests with blank User-Agent and Referer: Los hackers suelen ocultar la identidad del navegador (User-agent) que están utilizando y la información que indica desde donde han llegado a nuestra web.

Al activar esta casilla, los usuarios que no indiquen que navegador utilizan serán bloqueados automáticamente.

Hold anonymous comments using member emails for moderation: mantener en moderación los comentarios con un correo electrónico de un usuario registrado que no indique el nombre.

Es un comportamiento sospechoso dejar un comentario indicando una URL con un email de un usuario registrado pero que no indique el nombre en el comentario, con esta opción el comentario tendrá que ser aprobado manualmente.

Filter comments for malware and phishing URLs: filtro en los comentarios contra malware y URL maliciosas.

Al activar esta opción los comentarios que incluyan una URL de una página web marcada como lugar inseguro o potencialmente peligroso tendrán que ser aprobados manualmente.

Check password strength on profile update: esta opción te avisa si un usuario cambia la contraseña de su perfil de usuario por una contraseña débil.

Participate in the Real-Time WordPress Security Network: Activa la red de seguridad de Wordfence, consiste en que se comparte de forma anónima datos con Wordfence sobre los ataques de las páginas web con el objetivo de bloquear ataques más eficientemente..

De esta manera Wordfence está al tanto de los ataques a tiempo real que suceden en las páginas web y puede detectar y bloquear las IP de los hackers en otras webs para impedir que su ataque se propague

How much memory should Wordfence request when scanning: memoria máxima que puede utilizar Wordfence cuando ejecuta el escáner.

Maximum execution time for each scan stage: si tenemos problemas con el escáner de archivos de Wordfence y no se completa puede ser por el tiempo máximo de ejecución de tu servidor.

Con esta opción puedes controlar cuánto tiempo se ejecutará cada etapa del análisis hasta que se hace una pausa para guardar los datos de exploración y se reanude el análisis con la siguiente etapa y de esta forma solucionar ese problema de tiempo máximo de ejecución.

Prueba a poner 30 y ejecutar el escáner, si el problema persiste y no termina de ejecutarse el análisis prueba con 20, 15, o 10 (no se puede usar un valor menor de 10 en este parámetro).

Update interval in seconds (2 is default): esta opción regula el tiempo que Wordfence muestra los datos en tiempo real de varias opciones como el Live Traffic o el escáner.

Las peticiones de datos para generar la visualización en tiempo real consumen recursos del servidor y si quieres ahorrar recursos puedes poner que se actualicen los datos cada 10 o 15 segundos.

Pause live updates when window loses focus: Esta opción pausa la actualización de los datos de Wordfence cuando no tenemos seleccionada la ventana del navegador para ahorrar recursos del servidor.

Si necesitas ver los datos mientras trabajas en otra ventana del navegador puedes desactivar esta opción.

Delete Wordfence tables and data on deactivation: Borra las tablas, los datos y la configuración de Wordfence cuando se desactiva. Esta opción es muy útil cuando queremos desinstalar Wordfence.

Disable Wordfence Cookies: desactivar las Cookies de Wordfence.

Las cookies de Wordfence se utilizan para identificar y seguir a los usuarios en nuestra web y para la URL especial que permite saltarse el bloqueo de países.

Si desactivas las Cookies Wordfence seguirá funcionando mayormente de forma correcta pero algunas de sus funciones como el “life traffic” no funcionaran tan eficientemente.

Disable Code Execution for Uploads directory: Al activar esta opción colocará un archivo .htaccess en el directorio wp-content > uploads que impide que se ejecute código PHP en ese directorio. Puedes ver más info sobre esta opción aquí.

 

Exportar e Importar la configuración de Wordfence

En el apartado Exporting and Importing Wordfence Settings podemos Exportar la configuración de Wordfence pulsando el botón Export Wordfence Settings.

exportar opciones de wordfence

 

Al pulsar el botón se genera un código “Token” que puedes copiar y pegar en el campo de la opción “Import Wordfence settings from another site using a token” para importar las opciones de una instalación de WordPress a otra.

Importar token wordfence

 

Consejos trucos e información adicional

Limpiar la base de datos de Wordfence

Wordfence genera mucha información que guarda en la base de datos, sobre todo si tenemos activada la opción Life Traffic ya que va guardando la información de las visitas en nuestra web.

Con el paso del tiempo esto puede hacer que nuestra base de datos pese demasiado por culpa de Wordfence.

Para optimizar la base de datos podemos borrar la información de la base de datos de Wordfence mediante la opción Delete Wordfence tables and data on deactivation que se encuentra en options > apartado other options.

Al activar esta opción cuando desactivemos Wordfence se borraran los datos de las tablas de la base de datos liberando mucho espacio de la base de datos.

También se borrara la configuración de las opciones del plugin por lo tanto si no quieres perder la configuración del plugin antes de desactivar Wordfence puedes generar un Token de importación para exportar las opciones después de haber borrado los datos.

En resumen, para liberar espacio de la base de datos de Wordfence, activa la opción mencionada, y desactiva Wordfence.

 

Desinstalar Wordfence

Si quieres desinstalar Wordfence la mejor forma es activando la opción “Delete Wordfence tables and data on deactivation” y después desactivar y eliminar el plugin desde WordPress.

De esta manera se borrará la base de datos inmediatamente y cuando se propaguen los cambios se borraran las reglas creadas en .htaccess y user.ini y se borrará el archivo wordfence-waf.php.

Y ya esta desinstalado.

En el caso de que no lo puedas desinstalar desde WordPress deberás borrar por FTP la carpeta de Wordfence que se encuentra en wp-content > plugins

Una vez hecho esto tienes que borrar las tablas que pertenecen a Wordfence de la base de datos desde PhpMyAdmin o tu gestor de bases de datos.

Las tablas de la base de datos de Wordfence empiezan por “wf” después del prefijo de tu base de datos.

base de datos de wordfence

Wordfence también modifica y crea varios archivos para ejecutar el firewall, por lo tanto también tenemos que borrar datos dentro de estos.

Primero tenemos que ir al archivo .htaccess que se encuentra en la raíz del servidor y borrar las líneas que introduce Wordfence.

Y también hay que revisar el archivo user.ini y borrar las líneas que hacen referencia a Wordfence.

Una vez borradas tenemos que eliminar el archivo wordfence-waf.php

NOTA: debes borrar el archivo wordfence-waf.php despues de eliminar las líneas de los archivos.

[Total:4    Promedio:5/5]

Más Tutoriales de WordPress para ti

6 comentarios en “Tutorial de Wordfence en español

Deja un comentario

Tu dirección de email no será publicada Campos obligatorios *

Pin It on Pinterest

¡Ayúdame y Comparte este Post!

Te necesito para difundir mi Blog. !Gracias!