Tutorial de Wordfence Security en español con las opciones explicadas al detalle y las recomendaciones oficiales del plugin basadas en el manual oficial más otras recomendaciones sobre su uso y trucos.
Prepárate para leer por qué le vamos a sacar el máximo partido al plugin de seguridad para WordPress más utilizado. TUTORIAL ACTUALIZADO 25/01/2019
¿Qué es Wordfence?
Wordfence es un plugin de seguridad para WordPress que incluye muchas funcionalidades para proteger nuestra página web.
Cuenta con más de 2 millones de instalaciones activas lo que hace a Wordfence el plugin de seguridad más utilizado.
Wordfence es un plugin freemium, es decir que es gratuito pero tiene funcionalidades Premium.
La versión Premium cuesta alrededor de 100 dólares al año, pero la versión gratuita es más que suficiente para conseguir una página web segura.
Características y funciones de Wordfence
Antes de empezar con el tutorial de Wordfence vamos a ver las características y funciones de Wordfence.
Tablero de información (Wordfence Dashboard) es donde podemos ver avisos e información relevante sobre la seguridad de nuestro sitio.
Escáner de Wordfence: Herramienta que nos permite detectar problemas en nuestra web como cambios en los archivos de WordPress, virus u otros elementos maliciosos.
Wordfence Application Firewall: es una barrera que analiza y bloquea las peticiones a nuestra web que creen indicios o patrones de ataques y en definitiva sin ponerme muy técnico el Firewall es un filtro que bloquea Ip,s que estén intentando hacer algo malo en nuestra página web.
Life Traffic: un visor que muestra una lista en tiempo real de los usuarios o bots que acceden a nuestra web y también muestra los usuarios y bots que bloquea el Firewall.
Protección de ataques de fuerza bruta: Wordfence incluye configuraciones específicas para impedir ataques de fuerza bruta (Cracks con intentos masivos de contraseñas), como solo permitir contraseñas seguras, límite de intentos de inicio de sesión y bloquear nombres de usuarios entre otras.
Bloqueo de IP: con Wordfence podemos bloquear Ip individuales, rangos de Ip, usuarios que vengan de un dominio en específico o que usen un navegador concreto.
Limitar la velocidad de rastreo de bots y humanos: con Wordfence puedes configurar las veces que se intenta acceder o rastrear tu web y poder dificultar el rastreo o navegación por tu web a bots y usuarios sospechosos.
Herramienta Whois Lookup: es un buscador que nos permite averiguar los datos relevantes a una ip o dominio como el nombre y email del dueño del dominio, el país de origen entre otros muchos datos.
PREMIUM Bloqueo por países: Con la versión Premium de Wordfence se puede denegar el acceso a nuestra web por países.
PREMIUM Doble factor de autentificación: con la versión Premium de Wordfence podemos implementar la doble verificación que nos enviara un código al teléfono móvil para acceder al panel de administración de WordPress.
PREMIUM Filtro Avanzado de spam en los comentarios: Un filtro contra el spam que incluye una base de datos que se actualiza en tiempo real para combatir los spammers conocidos.
PREMIUM Auditoria de contraseñas: Analiza las contraseñas de los usuarios de nuestra página web para indicar cuales son débiles y deben cambiarse por una contraseña fuerte.
PREMIUM Mejoras en el Escáner y Firewall:
Con la versión Pro de Wordfence el Escáner y el Firewall se actualiza al instante para incluir las nuevas amenazas que surjan con el tiempo, con la versión gratuita las nuevas amenazas no son incluidas hasta después de 30 días.
También incluye más funciones avanzadas para en el escaneo:
- Escaneo del código HTML de la parte publica en busca de virus y código malicioso y la configuración.
- Programación de escaneos: Configurar el tiempo en el que se ejecutan escaneos programados.
- Detectar si nuestra web genera spam o está en listas de correos de spam
PREMIUM Configurar los avisos de las notificaciones: con la versión Premium de Wordfence podemos configurar que notificaciones se muestran en la zona de administración de WordPress que incluye quitar las promociones de sus productos.
PREMIUM Soporte técnico: aunque los desarrolladores participan activamente en los foros y dan mucha información en su blog nunca está de más tener a expertos a golpe de teléfono.
Instalar Wordfence
Comenzamos el tutorial de Wordfence, primero comenzamos con la instalación.
Podemos instalar Wordfence en WordPress desde el menú de administración en Plugin > Añadir Nuevo y buscando Wordfence en el repositorio de WordPress.
El primer paso es poner un correo electrónico donde te llegarán las alertas de seguridad de tu página web.
Después, si has comprado la versión premium, podrás introducir tu Key para que se activen las funcionalidades de pago u omitir este paso.
Tablero de Información de Wordfence
El Tablero de información de Wordfence se encuentra en Wordfence > Dashboard y en este apartado podremos encontrar información variada y ver informes y estadísticas sobre la seguridad de la web.
También podremos ver las notificaciones de Wordfence, que nos pueden indicar por ejemplo que tenemos plugins no actualizados o cualquier otro problema que requiera nuestra atención.
El porcentaje del Firewall y del Scan son las reglas de seguridad que tienes configuradas, no te obsesiones en tenerlo al 100% ya que habrá opciones que no utilices según el caso.
Escáner de Wordfence
En el apartado Scan de Wordfence podemos ejecutar un escaneo de nuestra web pulsando en el botón “Start New Scan”.
El escaneo de Wordfence examinará los archivos de nuestro WordPress en busca de problemas de seguridad de todo tipo como código malicioso, url de spam, puertas traseras, vulnerabilidades conocidas y patrones de virus conocidos.
También hará varias comprobaciones del servidor, buscará cambios de DNS no autorizados, y comprobará que nuestra IP no está siendo utilizada para hacer actividades maliciosas.
Un escaneo de Wordfence comprueba aunque algunas características son para la versión Premium:
- Busca Malware
- Busca URL maliciosas
- Busca Patrones de infecciones
- Examina todos los archivos, publicaciones y comentarios
- Verifica y supervisa parámetros del servidor
- Realiza un escaneo al día por defecto.
El escaneo normalmente tarda entre 1 y 10 minutos, que depende de la configuración del escáner que veremos más adelante, del tamaño de tu web y de la memoria de tu servidor.
Y en la parte de abajo la pestaña Results Found podemos ver un resumen de todos los problemas y avisos que se han detectado en tu sitio web.
Los archivos peligrosos o que han sido modificados recientemente los muestra en rojo.
Nota: El primer error grave que suele encontrar el escáner es que existe el archivo wp-config-sample.php y el readme.html . Estos archivos los puedes borrar para mejorar la seguridad de WordPress.
wp-config-sample.php: Este archivo se utiliza solo para introducir los ajustes del servidor durante la instalación de WordPress.
readme.html: muestra la versión y información adicional de WordPress.
En el escáner, pueden aparecer otros archivos, algunos archivos que normalmente son falsos positivos son los del tipo .log que suelen ser log (archivos de registros) de los plugins. El escáner detecta estos archivos porque se modifican continuamente y por eso se marcan como archivos peligrosos aunque en realidad no lo son.
También, podemos ver los cambios producidos dentro del archivo y averiguar si los cambios son legítimos (como una simple traducción) o son un problema real.
Opciones del escáner de Wordfence
En las opciones del escáner podemos configurar los parámetros del escaneo de Wordfence. Estas opciones se encuentran en Scan Options > Scan Scheduling.
Programar el análisis
Programar el horario del escáner de Wordfence es una función Premium del plugin que nos permite elegir a qué frecuencia y hora queremos que se ejecute el escáner para poder elegir el momento de menor actividad de nuestra web.
Esta función es útil si tu web tiene grandes picos de actividad y quieres que los recursos web no se sobrecarguen en este tiempo.
Con la versión gratuita el escáner se ejecutará automáticamente una vez cada 24 horas a la hora que Wordfence decida para no sobrecargar sus servidores.
Tipo de escaneado
Basic Scan Type Options: permite configurar rápidamente el tipo de escaneo.
- Escaneo Limitado: Proporciona capacidad de detección limitada con muy baja utilización de recursos. Para hosting limitados.
- Escaneo Estándar: Nuestra recomendación para todos los sitios web. Proporciona la mejor capacidad de detección.
- Alta Sensibilidad: Para los propietarios de sitios que piensan que pueden haber sido pirateados. Más completo pero puede producir falsos positivos.
- Escaneo personalizado: Seleccionado automáticamente cuando las Opciones generales se han personalizado para este sitio web.
Opciones avanzadas de análisis de Wordfence
Podemos configurar las reglas de escaneo, los recursos del servidor como la memoria que el análisis va a utilizar y excluir archivos del escaneo dentro de Wordfence > Scan Options and Scheduling > General options
La configuración se utilizará con el escaneo de tipo «Custom Scan«.
Check if this website is on a domain blacklist PREMIUM: verificar si el sitio web aparece en las listas negras de dominios marcados como potencialmente peligrosos.
Check if this website is being «Spamvertised» PREMIUM: Una técnica de los hackers es introducir un script que redirige algunas url de nuestra página web a sitios web maliciosos, después estos hackers envían correos electrónicos con las URL de nuestro sitio para engañar a usuarios y redirigirlos a sus malvadas webs.
Activando esta opción Wordfence verifica si nuestra web está siendo utilizada en estos tipos de correos de spam altamente dañinos.
Check if this website IP is generating spam PREMIUM: Verifica si la IP de nuestra web está generando spam mediante algún malware.
Scan for misconfigured How does Wordfence get IPs: esta opción ayuda a Wordfence para averiguar la IP real de los usuarios que naveguen con proxys inversos.
Scan for publicly accessible configuration, backup, or log files: esta opción permite escanear la configuración de archivos que se puedan modificar de forma remota para después poder modificarlos e impedir que estos archivos sean accesibles.
Scan for publicly accessible quarantined files: busca archivos en cuarentena con la terminación .suspected.
Scan core files against repository versions for changes: analiza si hay cambios en los archivos principales de WordPress respecto a la versión del repositorio oficial de WordPress, que existan cambios es inusual y puede ser un indicador de infección de virus o modificación no autorizada.
Scan theme files against repository versions for changes: analiza si hay cambios en los archivos de los temas de WordPress que se encuentren en el repositorio oficial de WordPress, los temas comerciales no son analizados.
Scan plugin files against repository versions for changes: analiza si hay cambios en los archivos de los plugin de WordPress que se encuentren en el repositorio oficial de WordPress, los plugin comerciales no son analizados.
Scan wp-admin and wp-includes for files not bundled with WordPress: busca cambios o archivos incluidos dentro del directorio wp-admin y wp-includes
Scan for signatures of known malicious files: busca archivos maliciosos conocidos e incluidos en la base de datos de Wordfence.
Scan file contents for backdoors, trojans and suspicious code: Analiza los archivos en busca de puertas traseras troyanos y código sospechoso.
Scan file contents for malicious URLs: escanea el contenido de los archivos en busca de URL maliciosas que pueden ser utilizadas por los atacantes.
Scan posts for known dangerous URLs and suspicious content: Analiza los post en la base de datos en busca de url o contenido malicioso.
Scan comments for known dangerous URLs and suspicious content: Analiza todos los comentarios en la base de datos publicados en busca de url y contenido malicioso.
Scan WordPress core, plugin, and theme options for known dangerous URLs and suspicious content: busca contenido malicioso conocido y URL peligrosas almacenadas en las opciones de WordPress, temas o plugins.
Scan for out of date, abandoned, and vulnerable plugins, themes, and WordPress versions: Te indica si tienes desactualizado WordPress, temas y plugin.
Scan for admin users created outside of WordPress: Comprueba si existen usuarios creados de forma remota por alguna vulnerabilidad que no sean creados desde la página de usuarios.
Check the strength of passwords: comprueba la fuerza de las contraseñas y busca si algún usuario utiliza contraseñas comunes.
Monitor disk space: comprueba que queda espacio en el disco del servidor.
Scan for unauthorized DNS changes: busca cambios de DNS no autorizados y nos alerta si nuestro dominio apunta a otra web.
Scan files outside your WordPress installation: analiza archivos del servidor fuera de la instalación de WordPress en busca de malware. Esta opción normalmente se deja desactivada y solo se utiliza cuando deseamos escanear a fondo un servidor para buscar algún virus que no detectamos con un escaneado normal.
Scan images, binary, and other files as if they were executable: Busca códigos maliciosos dentro de archivos que tienen una extensión de imagen como .png y otros. Es raro que esto suceda y esta opción no viene activada por defecto.
Enable HIGH SENSITIVITY scanning (may give false positives): Esta opción activa la alta sensibilidad del escaneo que hace que el escaneo sea más minucioso pero puede dar falsos positivos, esta opción no viene activada por defecto pero se puede utilizar si buscamos un virus y no nos importa ver falsos positivos para descubrirlo.
Opciones de uso de recursos del servidor (Performance Options)
En el apartado Scan options and Scheduling > Performance Options tenemos las opciones y ajustes del escáner para moderar el uso de recursos del servidor.
Use low resource scanning (reduces server load by lengthening the scan duration); activa el escaneo que utiliza menos recursos del servidor para ejecutarse pero tardará más en completarse. Útil si tenemos pocos recursos de servidor.
Limit the number of issues sent in the scan results email: Con esta opción marcamos un límite de correos que Wordfence nos puede enviar sobre los errores de los análisis para no llenarnos la bandeja de correo.
Time limit that a scan can run in seconds: límite en segundos del tiempo que se puede ejecutar el escaneo, dejarlo vacío o poner 0 se utilizará el valor predeterminado máximo que son 3 horas.
How much memory should Wordfence request when scanning: memoria máxima que puede utilizar Wordfence cuando ejecuta el escáner.
Maximum execution time for each scan stage: si tenemos problemas con el escáner de archivos de Wordfence y no se completa puede ser por el tiempo máximo de ejecución de tu servidor.
Con esta opción, puedes controlar cuánto tiempo se ejecutará cada etapa del análisis hasta que se hace una pausa para guardar los datos de exploración y se reanude el análisis con la siguiente etapa y de esta forma solucionar ese problema de tiempo máximo de ejecución.
Prueba a poner 30 y ejecutar el escáner, si el problema persiste y no termina de ejecutarse el análisis prueba con 20, 15, o 10 (el valor tiene que ser mayor que 7).
Advanced Scan Options
En el apartado Scan options and Scheduling > Advanced Scan Options podemos añadir reglas de búsqueda para malware concreto o excluir archivos del análisis.
Exclude files from scan that match these wildcard patterns (one per line): En este apartado podemos indicar extensiones o nombres de archivos (uno por línea) que no queremos que se analicen.
Si te aparecen estos falsos positivos y quieres asegurarte de que no son virus reinstala el tema o el plugin, descargándolo del sitio oficial.
Y después pon estos archivos que detecta como falsos positivos en la lista de archivos excluidos del análisis.
Additional scan signatures (one per line): Opción muy avanzada para la mayoría de usuarios. En esta sección puede agregar firmas de escaneo que serán procesados por el escáner. Esta es una función avanzada que solo se puede usar de manera eficiente si está familiarizado con la estructura y función de las firmas de malware. Se debe ingresar una expresión regular sin el delimitador de patrones.
Firewall de Wordfence
El Firewall de Wordfence llamado “WAF Web Application Firewall” es un cortafuegos a nivel de aplicación que filtra las peticiones maliciosas a nuestro WordPress.
Este Firewall se ejecuta antes de que carguen los temas y plugins de nuestra web para combatir el posible código malicioso.
Es decir es una herramienta que analiza los bots a los humanos y los analiza, limita o bloquea según su configuración y otros criterios y detecta patrones de ataques o cualquier otro tipo de comportamiento inusual.
Protege de ataques comunes como:
- Inyección de código SQL
- Cross Site Scripting XSS
- Carga de archivos maliciosos
- Recorrido de directorios
- Inclusión de archivos locales
- Entidades externas de XML
Configurar el Firewall básico de Wordfence
Las opciones del firewall de Wordfence se encuentran en Wordfence > Firewall donde podemos encontrar el estado del firewall.
Para ver las opciones vamos a Manage Firewall o All Firewall Options
Existen dos niveles de protección del firewall, por defecto el nivel es el “Basic WordPress Protection” que protege contra muchos de los ataques web y no necesita configuración adicional.
Simplemente, al activar el plugin Wordfence, el Firewall se activa en modo aprendizaje, en este modo el firewall analizará durante una semana la actividad de nuestra página web para adaptar las reglas del firewall al uso que le damos a nuestra web y al comportamiento de los servicios adicionales y usuarios.
Una vez pasado el periodo de tiempo del modo de aprendizaje el Firewall Status pasa a “Enabled and Protecting” activado y protegiendo, en este modo el Firewall analiza y bloquea activamente las solicitudes con patrones de ataques conocidos y protege nuestra web de los atacantes.
Y después, también existe el nivel de protección extendido “Extended Protection” que protege más eficientemente nuestro servidor, este nivel necesita de configuración adicional (Lo explico a continuación).
Configurar el Firewall con la protección extendida en Wordfence
Para configurar el nivel “Extended Protection” tenemos que pulsar en el botón azul “Optimize the Wordfence Firewall”.
Una vez pulsado el botón tendremos que configurar varias opciones para que el Firewall funcione correctamente.
Primero tenemos que elegir el tipo de servidor que estamos utilizando, normalmente Wordfence detecta el tipo de servidor y te muestra la opción con el nombre del tipo de tu servidor y entre paréntesis “(recommended based on our tests)” pero mi recomendación es que preguntes al soporte de tu hosting que te indique cual es el tipo de servidor que utilizas.
Después, para poder continuar, Wordfence nos obliga a descargarnos una copia del archivo “htaccess” y en ocasiones del archivo “user.ini” ya que Wordfence va a realizar cambios dentro de estos archivos y si algo sale mal tendríamos una copia de este archivo para restaurarlo mediante FTP o el administrador de archivos del hosting. (Te recomiendo que hagas una copia de seguridad del servidor)
Una vez descargados estos archivos pulsamos el botón “Continue” y Wordfence modificara el htaccess y configurará el Firewall.
Nota: Las líneas de código que añade Wordfence al archivo htaccess son estas:
Si todo ha salido bien, nos mostrará un mensaje de verificación.
Ahora donde indica el “Protection Level” pone “Extended Protection” que nos indica que tenemos el nivel de protección más elevado del Firewall, después de la semana de aprendizaje el firewall avanzado se activará.
Opciones avanzadas del Firewall
En Wordfence > Firewall podemos encontrar el apartado Advanced Firewall Options.
Delay IP and Country blocking until after WordPress and plugins have loaded (only process firewall rules early): Esta opción es opcional y carga el bloqueo de IP y el bloqueo por países después de que cargue WordPress. Esta opción se utiliza si tienes algún problema con tu servidor o con un servicio externo que se esté cargando desde un país bloqueado o una url bloqueada.
Whitelisted IP addresses that bypass all rules: Las IP de esta lista no tendrán restricciones y no serán bloqueadas por el cortafuegos. Puedes configurar la IP de tu casa u oficina pero únicamente configura la IP en esta opción si estás seguro de que tu IP es fija, es decir que no es una IP dinámica que cambia con el tiempo.
Immediately block IPs that access these URLs: bloquear inmediatamente las IP que accedan a las URL indicadas. Si detectamos que estamos bajo un ataque masivo, en este campo podemos introducir las URL que estén siendo atacadas y así se bloquearán automáticamente las IP que intenten acceder a ellas.
Ignored IP addresses for Wordfence Web Application Firewall alerting: Estas direcciones se ignorarán de las alertas sobre ataques incrementados y se pueden usar para ignorar elementos como las alertas del escáner si sus constantes avisos nos molestan.
Reglas del Firewall: En las opciones del Firewall también podemos encontrar un listado con las reglas que utiliza el Firewall de Wordfence, estas reglas se actualizan con el tiempo y las podemos activar o desactivar, pero no deberías tocarlas si no sabes exactamente lo que haces.
Estas reglas protegen tu instalación de WordPress de los «posibles» agujeros de seguridad más atacados frecuentemente, ya sean de plugins, del propio WordPress u otros.
Protección de Fuerza Bruta
En las opciones de Wordfence > Firewall > Advanced Firewall Options > apartado “Brute Force Protection” podemos encontrar las opciones para proteger el Login de WordPress de ataques de fuerza bruta.
Esta protección, aplica entre otras medidas de seguridad, los límites de intentos de sesión que bloquea una IP cuando se intenta introducir muchas veces una contraseña errónea.
- Enable Brute Force Protection: Habilita / Deshabilita la protección de fuerza bruta.
- Lock out after how many login failures: en esta opción indicamos los intentos fallidos que un usuario puede cometer hasta ser bloqueado en el formulario de login de WordPress.
- Lock out after how many forgot password attempts: en esta opción indicamos los intentos fallidos que un usuario puede cometer hasta ser bloqueado en el formulario de contraseña perdida.
- Count failures over what time period: periodo de tiempo en el que los fallos de intento de sesión son tenidos en cuenta. Es decir que pasado el tiempo que indiquemos los fallos de inicio de sesión de un usuario vuelven a ser cero.
- Amount of time a user is locked out: cantidad de tiempo que un usuario es bloqueado. Con solo 5 minutos se pueden frustrar los ataques de fuerza bruta, y no es tan restrictivo para evitar que un usuario normal tarde una hora en poder volver a poner su contraseña.
- Immediately lock out invalid usernames: bloquear inmediatamente la IP si se utiliza un nombre de usuario no válido. Si activamos esta casilla, se bloquearan las IP de los usuarios que intenten acceder con un nombre de usuario que no exista.
ADVERTENCIA: No recomendada, ya que bloquearas a los usuarios que por error escriban mal su nombre en el login. - Immediately block the IP of users who try to sign in as these usernames: Bloquear inmediatamente la IP de los usuarios que intentan iniciar sesión con los nombres de usuario indicados. Podemos bloquear nombres como Admin, Superadmin, Root, God y otros nombres que se usan comúnmente en informática para definir a usuarios con todos los permisos.
Opciones Adicionales:
- Enforce strong passwords: con esta opción podemos forzar a que las contraseñas que los usuarios utilicen para sus perfiles de WordPress sean seguras impidiendo introducir contraseñas comunes o débiles al crear o modificar los usuarios.
- Don’t let WordPress reveal valid users in login errors: WordPress por defecto muestra si en el login has introducido mal el nombre o la contraseña, esto puede dar pistas a los ciber delincuentes, activando esta opción estos avisos se ocultan para no dar esas pistas.
- Prevent users registering ‘admin’ username if it doesn’t exist: Impide registrar el usuario con el nombre Admin si no existe, que es el usuario más atacado.
- Prevent discovery of usernames through ‘/?author=N’ scans, the oEmbed API, and the WordPress REST API: Al activar esta opción se evita que los hackers sean capaces de descubrir los nombres de usuario por varios métodos.
- Block IPs who send POST requests with blank User-Agent and Referer: Los hackers suelen ocultar la identidad del navegador (User-agent) que están utilizando y la información que indica desde donde han llegado a nuestra web. Al activar esta casilla, los usuarios que no indiquen qué navegador utilizan serán bloqueados automáticamente.
- Check password strength on profile update: esta opción te avisa si un usuario cambia la contraseña de su perfil de usuario por una contraseña débil.
- Participate in the Real-Time WordPress Security Network: Activa la red de seguridad de Wordfence, se comparte de forma anónima datos con Wordfence sobre los ataques de las páginas web con el objetivo de bloquear los ataques más eficientemente.
Límite de velocidad de rastreo de bots y humanos
Podemos limitar la cantidad de veces que un bot puede rastrear y explorar nuestra web, esta es una configuración adicional que puede sernos útil en alguna ocasión.
Por ejemplo, es útil si detectamos que nos están robando y copiando nuestro contenido mediante la automatización de bots y queremos dificultar esta tarea.
O si detectamos que algún bot se hace pasar por Google o que nos rastrea páginas que no existen, que suelen ser indicadores de que busca agujeros de seguridad en nuestra web.
También, sirve para reducir las peticiones que generan estos robots y reducir el consumo de los recursos del servidor o impedir ataques que colapsen nuestra web por sobrecarga de peticiones.
Estas opciones se encuentran en Wordfence > Firewall > Advanced Firewall Options > apartado “Rate Limiting”
Enable Rate Limiting and Advanced Blocking: Activa o desactiva, las reglas limitación de velocidad de las peticiones, el bloqueo de IP, el bloqueo por países.
Immediately block fake Google crawlers: bloquear inmediatamente los bots que se hagan pasar por Google (Googlebot).
How should we treat Google’s crawlers: Esta opción específica cómo se trata al robot de Google y nos permite elegir entre 3 opciones:
- Los rastreadores de Google verificados tendrán acceso ilimitado al sitio web. (Recomendada para tener una buena indexación en Google)
- Cualquier rastreador que diga ser Google tendrá acceso ilimitado.
- Tratar a los rastreadores de Google como a cualquier otro rastreador.
Las siguientes opciones sirven para limitar el número de peticiones por minuto que puede hacer un robot o un humano dependiendo de cada caso.
Una vez excedido el límite de peticiones se puede bloquear al robot “block it” (No recomendado) o elegir la opción throttle it “Regularlo” que hará que los robots bajen su frecuencia de rastreo en cada caso.
If anyone’s requests exceed: Si cualquier bot excede X peticiones por segundo, que se bloque o se regule. Recomendación de Wordfence, 240 peticiones por minuto y Regularlo en caso de que excedan las peticiones.
If a crawler’s page views exceed: Si los rastreadores exceden un número de visitas a páginas. La recomendación de Wordfence, 240 peticiones por minuto y Regularlo.
If a crawler’s pages not found (404s) exceed: Si un rastreador excede las peticiones a páginas que no existen.
Recomendación de Wordfence, si tú web está bien cuidada y no tienes apenas errores 404 (página no encontrada), 30 peticiones por minuto y si se excede bloquearlo para impedir exploraciones en busca de vulnerabilidades.
Si tu web contiene muchas imágenes caídas y páginas que no funcionan no configurar esta opción ya que se puede bloquear a bots legítimos.
If a human’s page views exceed: Si un humano excede un número de visitas a páginas. La recomendación de Wordfence, 240 peticiones por minuto y regularlo.
If a human’s pages not found (404s) exceed: Su un humano excede un número de visitas a páginas que no existen. (La misma recomendación que en la opción de los bots).
If 404s for known vulnerable URLs exceed: Cuando se accede a páginas que no existen que coinciden con URL de vulnerabilidades conocidas la recomendación de Wordfence es 15 por minuto y bloquearlo.
How long is an IP address blocked when it breaks a rule: En esta opción elegimos cuanto tiempo estará una IP bloqueada cuando incumpla una regla de exceso de límite de peticiones.
Wordfence no dice una recomendación clara en su manual, únicamente dice que ellos utilizan entre 5 minutos y 1 hora. (Recomendación de Gerardo usar 5 minutos).
Whitelisted 404 URLs (one per line): Las URL de esta lista blanca no se tendrán en cuenta en las reglas de límite de rastreo de páginas no encontradas.
Wordfence detecta e incluye en este campo algunas URL que son buscadas por los bots como las URL del “Favicon” y otras imágenes utilizadas por ejemplo en dispositivos Iphone o las versiones de las imágenes de retina.
Esto es así para no confundir el comportamiento de los bots de los navegadores como si fuera un ataque que busca URL de tipo 404.
Lista blanca de URL,s
Las URL en esta tabla no serán analizadas por el firewall. Por lo general, se agregan mientras el firewall está en modo de aprendizaje o por un administrador que identifica que una acción o solicitud particular es un falso positivo.
La opción Monitor background requests from an administrator’s web browser for false positives, analiza solicitudes de URL,s que no cargan una página, sino que son tareas de administración que se realizan normalmente mientras trabajamos con WordPress o con plugins.
Wordfence Firewall puede bloquear estas solicitudes pero normalmente son falsos positivos ya que son solicitudes que hacen los plugins mientras estamos trabajando con ellos.
Si somos administradores, mientras estamos trabajando en WordPress o en un plugin que realice este tipo de solicitudes, nos mostrará un mensaje que dice «Background Request Blocked» y tendremos que indicar que esa acción es normal y que la añada a esta lista blanca de URL.
Bloqueo manual de IP
Una medida de seguridad web básica es bloquear el acceso a las IP que intentan hacer el mal en nuestra web.
Wordfence, mediante el Firewall, bloquea las IP que realizan ataques a nuestra web y también bloquea las IP que rompen las reglas de protección del login contra los ataques de fuerza bruta.
Pero también podemos bloquear IP manualmente desde las opciones Wordfence > Firewall > pestaña Blocking.
También podemos ver un listado de las Ip bloqueadas manual o automáticamente. Las IP bloqueadas automáticamente por Wordfence se limpian en el tiempo dependiendo de las configuraciones del firewall.
Podemos encontrar 3 tipos de bloqueo de IP en el campo Block Type.
- IP Address: bloqueo básico
- Country: bloqueo de IP por países
- Custom Pattern: bloqueo de IP por parámetros
Bloqueo Básico de IP
En la pestaña IP Address: Bloquea cualquier dirección IP indicando su numeración y también puedes indicar la razón de porqué la has bloqueado para que no se te olvide.
Bloqueo avanzado de IP
En la pestaña Custom Pattern: es el bloqueo de ip avanzado donde podemos introducir datos adicionales para bloquear IP mediante rangos de IP, nombre de host, tipo de navegador o web referente.
- Ip address range: introduce un rango de IP para bloquear todas la IP de un rango y que no tendrán acceso a tu web.
- Hostname: nombre del dispositivo desde el que está conectado un usuario.
- User-Agent (browser) that matches: permite bloquear IP de usuarios que vienen desde un navegador web concreto introduciendo el nombre del navegador “User-agent”.
- Referer (website visitor arrived from) that matches: permite bloquear IP de usuarios que vengan directamente desde otro dominio. Puede ser de mucha ayuda cuando detectas que el spam o los ataques vienen siempre de la misma web o foro de hackers.
- Block Reason: esta opción es simplemente un campo en el que podemos poner la razón por la que creaste una regla de bloqueo, es decir que es solo para tu organización personal.
Bloqueo de países de Wordfence
Con la versión Premium de Wordfence también podemos bloquear directamente los países desde los cuales recibimos los ataques a nuestra web.
Estas opciones se encuentran en Wordfence > Firewall > pestaña Blocking
Es una manera efectiva de bloquear las peticiones masivas generadas desde un país en concreto.
Aunque puede dar muchos problemas derivados ya que si utilizamos servicios web de servidores que se encuentren en los países bloqueados estos dejaran de funcionar.
El bloqueo por países es una medida de seguridad avanzada que no se debe implementar a la ligera ya que si no sabes lo que haces dejaras inutilizadas funciones de tu web e incluso acabarás bloqueado en tu propio sitio.
Además ciertos servicios web como Google Adwords no permiten tener esta medida implementada en la web.
La siguiente imagen corresponden a la versión anterior de Wordfence, pero deberían ayudarte a configurar algunas opciones.
Opciones de bloqueo de países
What to do when we block someone: qué hacer cuando se bloquea a alguien, podemos mostrar un mensaje de Wordfence o podemos redireccionar al usuario a una URL concreta donde por ejemplo expliquemos las razones por las que a sido bloqueado.
URL to redirect blocked users to: Url a la que los usuarios serán redirigidos si hemos elegido la opción correspondiente en el campo anterior.
Block countries even if they are logged in: con esta opción los usuarios serán bloqueados según el país incluso si están registrados en WordPress.
Block access to the rest of the site (outside the login form): Bloquear el acceso al login en los países elegidos para impedir que los usuarios de estos países se registren.
Block access to the rest of the site (outside the login form): Bloquear el acceso a la parte pública de la web a los países elegidos.
Si utilizas Google AdWords o un servicio externo parecido no actives esta opción para que funcione correctamente.
Opciones avanzadas del bloqueo de países
Con estas opciones podemos crear una puerta trasera para saltarnos el bloqueo de países.
Bypass Redirect: en esta opción podemos introducir una URL secreta que redirigirá al usuario a otra URL que queramos de nuestra web y se le añadirá una Cookie con la que tendrá acceso a la web saltándose el bloqueo por países.
Bypass Cookie: esta opción es parecida a la anterior, simplemente elegimos una URL que si accedemos a ella (antes de viajar a un país bloqueado) y se nos instala una cookie en el navegador para poder saltarnos la restricción de países.
Lista de países
En la parte inferior de las opciones podemos encontrar el listado de países que podemos bloquear.
Recomendaciones:
No bloques a los Estados Unidos, ni a países de Europa ya que puedes bloquear desde los robots de Google hasta servicios legítimos que utilices en tu web como servicios CDN, servicios de plugins como Akismet o Jetpack.
No implementes esta medida si muestras publicidad de Google Adwords en tu página web ya que este servicio no lo permite.
No bloques países si no es estrictamente necesario y solo si detectas una gran cantidad de ataques procedentes del mismo país.
Tráfico en tiempo real
Wordfence nos permite ver en tiempo real el tráfico de nuestra página web y ver que robots y humanos visitan nuestra web.
En esta sección también se muestran los usuarios bloqueados por el firewall, así que también es un registro de bloqueados.
Esta Herramienta está en Tools > Live Traffic
Y no solo podemos ver quién está accediendo a nuestra web en cada momento, sino que además nos muestra información relevante sobre este usuario como:
- El tipo de usuario (Humano o bot)
- Usuarios con advertencias
- Usuarios bloqueados
- Usuarios que han sido bloqueados por el firewall
- Ciudad desde la que se conecta
- La Url a la que intenta acceder
- Fecha de conexión
- La ip del usuario
- El nombre del host desde el que se conectan
- El navegador y sistema operativo que utiliza el usuario
Como vemos es mucha información, pero también es muy útil, ya que podemos ver si un usuario de otro país está intentando acceder al login una y otra vez, lo que es un comportamiento bastante sospechoso.
Además, podemos bloquearlo pulsando el botón “Block IP”, aunque si está introduciendo contraseñas a lo loco o se percibe un comportamiento sospechoso el Firewall lo bloquea automáticamente.
Si nos fijamos en el comportamiento de los usuarios bloqueados podemos darnos cuenta de los archivos y Url de WordPress que son más atacados como:
- El login de WordPress wp-login.php
- El archivo xmlrpc.php
- El archivo admin-ajax.php
Configuración de Live Traffic
En el apartado de Live Traffic Options tenemos opciones adicionales.
Si no te interesa ver toda la actividad en tiempo real de tu sitio web, puedes desactivar esta función con el botón ON / OFF.
Lo recomendable es que desactives el visor de tráfico en tiempo real ya que va aumentando la base de datos de WordPress y puede generar problemas de optimización.
De esta manera solo se mostraran los usuarios bloqueados por el Firewall para estar al tanto de las amenazas.
Y ahorrarás recursos del servidor y ayudas a mantener la base de datos de WordPress más ligera.
Enable live traffic logging: Activa o desactiva el tráfico en tiempo real
Don’t log signed-in users with publishing access: Si no deseas que los administradores y editores aparezcan en Live Traffic, mantenga esta opción habilitada.
List of comma separated usernames to ignore: excluir usuarios conectados
List of comma separated IP addresses to ignore: permite excluir ciertas direcciones IP (como la nuestra, por ejemplo) de Live Traffic.
Browser user-agent to ignore: excluir ciertos agentes de usuario (navegadores).
Amount of Live Traffic data to store (number of rows): Esta opción limita la cantidad de espacio de la base de datos que se asigna a Wordfence Live Traffic.
Display Live Traffic menu option: atajo de Live Traffic en el menú principal de Wordfence
Verificación en dos pasos
La verificación en dos pasos es una característica Premium de Wordfence.
Las opciones para implementar la verificación en dos pasos están en Wordfence > Tools > Two Factor Authentication
La verificación en dos pasos es una autentificación que verifica a un usuario mediante 2 factores para permitir que acceda a un servicio web, en este caso al login de WordPress.
En este caso los factores son 1º la contraseña del usuario y 2º un código que se genera y envía automáticamente al teléfono móvil del usuario.
La autenticación puede ser mediante la APP Google authenticator o mediante SMS indicando el número de teléfono.
Puedes leer más sobre estas opciones en el apartado de Two Factor Authentication del manual de Wordfence.
(La imagen siguiente es la de la interfaz antigua)
Auditoria de contraseñas
La auditoría de contraseñas analizará las contraseñas de nuestros usuarios de WordPress y nos indicará cuales son demasiado débiles o comunes y que deberíamos cambiar por contraseñas fuertes para mejorar la seguridad.
Estas opciones se encuentran en Wordfence > Tools > Password Audit
Filtro de Spam para comentarios
Wordfence proporciona una seguridad adicional para combatir el spam en los comentarios de WordPress.
Estas opciones se encuentran en Wordfence > Tools > Comment Spam Filter
Hold anonymous comments using member emails for moderation: mantener en moderación los comentarios con un correo electrónico de un usuario registrado.
En WordPress, es posible que alguien que no sea miembro de su sitio web publique un comentario y especifique una dirección de correo electrónico de un miembro real en su sitio.
Este comportamiento es sospechoso y se puede incorporar en un ataque más sofisticado. Por lo tanto, se recomienda dejar activada esta opción, que mantendrá esos comentarios en moderación antes de que se publiquen.
Filter comments for malware and phishing URLs: filtro en los comentarios contra malware y URL maliciosas.
Al activar esta opción, los comentarios se analizan en busca de URL,s peligrosas de la lista de Google con páginas web marcadas como lugar inseguro o potencialmente peligroso.
Advanced Comment Spam Filter PREMIUM: Además del filtro de comentarios gratuito, esta opción filtra comentarios contra varias listas adicionales en tiempo real de spammers conocidos y hosts infectados.
Whois Lookup (Búsqueda “¿Quién es?”)
En el apartado Whois Lookup encontramos una herramienta que nos permite averiguar más datos sobre una IP o dominio en concreto.
Los datos que muestra son variados, desde el nombre del dominio, hasta el nombre del dueño, su dirección, teléfono, expiración del dominio, organización en la que registró el dominio, el nombre del servidor y mucho más.
Esta herramienta es muy útil y se utiliza normalmente para obtener los datos de contacto del dueño legal de un dominio o de una IP.
Puedes hacer una prueba con la IP 8.8.8.8 que es el señor Google.
Diagnóstico de la web
En la pestaña «Diagnostics» puedes ver el estado general de tu página web y del servidor y encontrarás mucha información adicional del sistema.
Como por ejemplo:
- El estado de WordPress, los plugin y los temas.
- La versión php.
- Las tablas de la base de datos.
- La dirección IP.
- La lista cron de procesos programados.
- Y mucho más
Opciones de Wordfence
En el último apartado de Wordfence llamado «All Options» podemos encontrar todas las opciones del plugin.
En este apartado de opciones de Wordfence, podemos encontrar la configuración de la Wordfence API KEY, opciones que activan funciones Premium, la personalización de los informes y notificaciones entre otras.
También, encontraremos los apartados de las opciones que hemos visto anteriormente para el escáner, el firewall, el bloqueo de IP y el tráfico en tiempo real.
Por lo tanto, me voy a saltar las opciones que hemos visto en apartados anteriores de este tutorial de Wordfence y solo mostrare las que sean de más interés.
Wordfence Licence
Para activar las funciones Premium de Wordfence tendremos que comprar una licencia del plugin en la página oficial de Wordfence donde nos darán una API KEY que debemos introducir en el campo Your Wordfence API KEY.
Si no tenemos el servicio Premium se nos asigna automáticamente una Wordfence API Key gratuita.
Opciones Generales de Wordfence
Las opciones básicas están en el apartado Wordfence > All Options > General Wordfence Options
Enable automatic scheduled scans: activa el escaneo automático de nuestra web.
Update Wordfence automatically when a new version is released?: activa la actualización automática de Wordfence.
Where to email alerts: podemos indicar correos electrónicos separados por comas que recibirán los mensajes de alerta de Wordfence (por defecto se utiliza el email del administrador que indicamos en Ajustes > Generales).
How does Wordfence get IPs: Configura el método en el que Wordfence obtiene las direcciones IP de los visitantes. (Se recomienda dejar la opción Let Wordfence use the most secure method to get visitor IP addresses.)
Hide WordPress versión: oculta la versión de WordPress para no dar pistas a los hackers.
Esta opción viene desactivada por defecto porque aunque se oculte la versión existen varias maneras de averiguar la versión de WordPress mediante exploraciones de los archivos CSS u otros.
Activarla para dificultar el trabajo a los hackers y que no se vea la versión de WordPress en la url misitio.com/readme.txt.
Disable Code Execution for Uploads directory: Al activar esta opción colocará un archivo .htaccess en el directorio wp-content > uploads que impide que se ejecute código PHP en ese directorio. Puedes ver más info sobre esta opción aquí.
Disable Wordfence Cookies: desactivar las Cookies de Wordfence. Las cookies de Wordfence se utilizan para identificar y seguir a los usuarios en nuestra web y para la URL especial que permite saltarse el bloqueo de países.
Si desactivas las Cookies, Wordfence seguirá funcionando mayormente de forma correcta pero algunas de sus funciones como el “live traffic” no funcionan tan eficientemente.
Pause live updates when window loses focus: Esta opción pausa la actualización de los datos de Wordfence cuando no tenemos seleccionada la ventana del navegador para ahorrar recursos del servidor.
Si necesitas ver los datos mientras trabajas en otra ventana del navegador puedes desactivar esta opción.
Update interval in seconds (2 is default): esta opción, regula el tiempo que Wordfence carga los datos en tiempo real de varias opciones como el Live Traffic o el escáner.
Estas peticiones consumen recursos del servidor y si quieres ahorrar recursos puedes poner que se actualicen los datos cada 10 o 15 segundos.
Bypass the LiteSpeed «noabort» check: Wordfence comprueba si tu servidor es LiteSpeed utilizas la opción “External Application Abort” que cancelan los procesos de larga ejecución. Si tu servidor LiteSpeed está configurado para no cortar los procesos largos puedes activar esta opción para que Wordfence no compruebe esa funcionalidad.
Delete Wordfence tables and data on deactivation: Borra las tablas, los datos y la configuración de Wordfence cuando se desactiva. Esta opción es muy útil cuando queremos desinstalar Wordfence.
Configurar las alertas por email de Wordfence
En el menú All Options > Email Alert Preferences encontramos las configuraciones de los avisos que Wordfence nos enviará por email.
Si tienes todas las opciones activas y en tu web se registran usuarios puede que te veas estresado por cientos de correos de avisos de Wordfence.
Por lo tanto deja activas solo las opciones que más te interesen como:
Email me if Wordfence is deactivated: alertar si Wordfence se desactiva.
Alert on critical problems: alertar de los problemas críticos.
Alert on warnings: alertar de las advertencias.
Alert me when there’s a large increase in attacks detected on my site: avísame cuando se detecte un gran aumento de ataques a mi sitio.
Email con resumen de la actividad
En el menú All Options > Activity Report podemos configurar que se nos envíe por email un resumen (por día, semana o mes) de los ataques y bloqueos que han ocurrido en nuestra web.
Exportar e Importar la configuración de Wordfence
En el apartado Import / Export Options podemos Exportar la configuración de Wordfence pulsando el botón Export Wordfence Settings.
Al pulsar el botón se genera un código “Token” que puedes copiar y pegar en el campo de la opción “Import Wordfence options from another site using a token” para importar las opciones de una instalación de WordPress a otra.
Desinstalar Wordfence
Si quieres desinstalar Wordfence la mejor forma es activando la opción “Delete Wordfence tables and data on deactivation” y después desactivar y eliminar el plugin desde WordPress.
De esta manera se borrará la base de datos inmediatamente y cuando se propaguen los cambios se borraran las reglas creadas en .htaccess y user.ini y se borrará el archivo wordfence-waf.php.
Y ya está desinstalado.
En el caso de que no lo puedas desinstalar desde WordPress deberás borrar por FTP la carpeta de Wordfence que se encuentra en wp-content > plugins
Una vez hecho esto tienes que borrar las tablas que pertenecen a Wordfence de la base de datos desde PhpMyAdmin o tu gestor de bases de datos.
Las tablas de la base de datos de Wordfence empiezan por “wf” después del prefijo de tu base de datos.
Wordfence también modifica y crea varios archivos para ejecutar el firewall, por lo tanto también tenemos que borrar datos dentro de estos.
Primero tenemos que ir al archivo .htaccess que se encuentra en la raíz del servidor y borrar las líneas que introduce Wordfence.
Y también hay que revisar el archivo user.ini y borrar las líneas que hacen referencia a Wordfence.
Una vez borradas tenemos que eliminar el archivo wordfence-waf.php
NOTA: debes borrar el archivo wordfence-waf.php después de eliminar las líneas de los archivos.
Consejos trucos e información adicional
Limpiar la base de datos de Wordfence
Wordfence genera mucha información que guarda en la base de datos, sobre todo si tenemos activada la opción Life Traffic ya que va guardando la información de las visitas en nuestra web.
Con el paso del tiempo esto puede hacer que nuestra base de datos pese demasiado por culpa de Wordfence.
Para optimizar la base de datos podemos borrar la información de la base de datos de Wordfence mediante la opción Delete Wordfence tables and data on deactivation que se encuentra en options > apartado other options.
Al activar esta opción cuando desactivemos Wordfence se borraran los datos de las tablas de la base de datos liberando mucho espacio de la base de datos.
También se borrará la configuración de las opciones del plugin por lo tanto si no quieres perder la configuración del plugin antes de desactivar Wordfence puedes generar un Token de importación para exportar las opciones después de haber borrado los datos.
En resumen, para liberar espacio de la base de datos de Wordfence, activa la opción mencionada, y desactiva Wordfence.
Plugin de seguridad Adicionales
Una medida de seguridad que Wordfence no tiene es cambiar la URL de administración de WordPress /wp-admin
Si quieres cambiar la url de acceso a la zona de administración de WordPress puedes utilizar el plugin WPS Hide Login que es compatible con Wordfence, puedes seguir el tutorial Cambiar la url de wp-admin para hacerlo.
Muy interesante y útil el tutorial sobre Wordfence. Sobre todo el bloqueo de países. Muchas gracias por la información.
Voy a instalar wordfence ya mismo!
Genial aporte! Gracias por ayudarme con Wordfence! Está muy bien explicado y queda todo muy claro! Gracias!
No tenía ni idea de que existía, ahora ya lo sé y voy a probarlo. Un saludo.
Hola Gerardo, impresionante el post con toda la información, voy a probar a instalarlo. ¡Muchas gracias por la explicación! Un saludo 😀
Tutorial muy práctico, he conseguido instalar en mi web este plugin tan completo y de manera muy sencilla. Un saludo y enhorabuena
¡Muy completo! Sin duda lo instalaré en mi web ahora mismo… no quiero más sorpresas jajaj Muy buen tutorial de WordFence 😉
No habia vuelto a leer tu sitio web por un tiempo, porque me pareció que era denso, pero los últimos articulos son de buena calidad, así que supongo que voy a añadirte a mi lista de blogs cotidiana. Te lo mereces amigo. 🙂
Saludos
Hola muy interesante artículo, es de mucha utilidad, Tengo na consulta que ojalá me puedan apoyar
tengo un problema al activar wordfence en una instalación de localhost, cuando lo activo me aparcece un error de página no encontrada :s, lo solucioné borrando la carpeta del plugin , pero al volver instalar y activar el error persiste, tengo también instalado elementor. de antemano gracias 🙂
¡Menudo post! Enhorabuena Gerardo.
Un saludo
Hola, buen post!
¿Conoces algún plugin compatible con Wordfence que permita ocultar wp-login?
Un saludo
El plugin WPS Hide Login te servirá, tienes un tutorial de ese plugin en esta web 😛
Hola Gerardo
Muy buen post y, gracias por la info dado que, me permitió instalar y configurar este excelente plugin.
Pero, tengo una duda que veo que, indirectamente se la «respondiste» a quien te preguntó en los comentarios sobre si …»¿Conoces algún plugin compatible con Wordfence que permita ocultar wp-login?»…, je!
Asi que, te pregunto;
1) ¿Tu tespuesta significa que, no hay problema si, instalo el plugin WPS y, cambio mi enlace? Es decir, ¿Wordreference no me «confundirá» con un «atacante» al ingresar desde otro enlace?
2) ¿Sabes si, al cambiar dicho enlace, puedo seguir usando el mismo usuario y contraseña que tengo actualmente para acceder a mi wordpress?
3) Por último, en caso de que, dicho plugin (WPS) «falle», ¿sabes si, al desinstalarlo, vuelvo todo para atrás? (es decir, mismo Todo)
Desde ya, muchas gracias.
Saludos.
Buenas Gerardo!
Tengo un problema, al poco de empezar la instalacion ademas (es mi primera web, asi que piensa en cosas faciles y recurrentes que puedan estar pasando)
cuando le doy para que haga un scan, me dice lo siguiente
Scan Failed
The scan has failed to start. This is often because the site either cannot make outbound requests or is blocked from connecting to itself
que hago? Un saludo!
Hola, el error te indica que no se pueden hacer peticiones externas o que se a bloqueado el scan, puede ser por falta de memoria o por que el servidor no permite que se analice con estas herramientas por seguridad, pregunta al soporte de tu hosting o al soporte del plugin.
Un saludo!
Hola Gerardo ¿Cómo estás?
Quería hacerte una consulta. Cuando creé mi primera web intenté con Wordfence pero siempre me bloqueaba el acceso, así que me resigné y me cambié al plugin All In One WP Security & Firewall, que me pareció muchísimo más sencillo y no me presenta ningún problema, pero me gustaría saber cuán confiable es y si es preferible usar wordfence?
Gracias!!
La verdad es que son prácticamente iguales, All In One WP Security & Firewall creo que es más sencillo en interfaz y las opciones vienen muy bien explicadas (es el que damos en el curso de WordPress) y además tiene alguna opción que no tiene Wordfence que es cambiar la url de wp-admin. Por otra parte Wordfence es el más utilizado y tiene un firewall que analiza los datos de ataques de todos los WordPress que usen Wordfence, por lo tanto creo que tiene un firewall mas potente (que no significa que el Firewall de AIOWPS sea malo). Aparte de esas pequeñas diferencias, no tienen mucho mas de diferente, si la pregunta es ¿cual protege más? diría que protegen igual con medidas similares para proteger las zonas más atacadas de un sistema WordPress. Un saludo!
Muy buen trabajo, con este post no se ve tan farragoso este programa, muchas gracias.
Hola Gerardo, muy buen artículo. Una duda: al intentar activar la protección extendida en Wordfence me sale el siguiente mensaje: We were unable to create the wordfence-waf.php file in the root of the WordPress installation. It’s possible WordPress cannot write to the wordfence-waf.php file because of file permissions. Please verify the permissions are correct and retry the installation.
¿Sabes a qué se deba y cómo puedo solucionarlo?
Muchas gracias.
Hola Gerardo. Gracias por el articulo. Una pregunta: Cómo doy acceso a algunas IPs que son de las personas de soporte de mi Theme. No las deja ingresar y creo que es por este plugin. Gracias.
Hola arturo, puedes poner las IP en las lista blanca en Firewall Options > Whitelisted URLs para permitir el acceso a esas IP siempre. PD: Normalmente los problemas con el bloqueo de IP por país no suele ser por la configuración del plugin, sino por el firewall del hosting.
Hola buenas noches excelente tu explicación y super necesario, quisiera saber donde encuentro los bloqueos de IPS desde la instalación de archivos de wordpres ya que me bloqueo a mi mismo y quiero eliminar ese parámetro. Muchas gracias
Hola!
A mi me da un error 500 cuando tengo activado wordfence, no hay forma de que me funcione. Lo instalo, y al cabo de poco rato la web me da un 500. Esto a que puede ser debido?
muchas gracias
saludos
Pues es un error del servidor, puede ser causado por que Wordfence sea incompatible con otros plugin o como es un plugin que consume bastantes recursos que el servidor no lo soporte, o que el servidor tenga una configuración incompatible con el plugin.
Un saludo!