BitácoraWP

Wordfence para WordPress, qué es y como configurarlo

Dado que WordPress es el mayor CMS del mundo, lo convierte en un objetivo común para ciberdelincuentes, crackers, etc, al tiempo que sus vulnerabilidades son objeto de profundo análisis. Por lo cual es obligatorio contar con un plugin de seguridad cómo Wordfence en caso tengas un sitio creado con WordPress.

¿Qué es Wordfence para WordPress?

Wordfence para WordPress es un plugin de seguridad gratuito. Entre sus características destacadas se encuentran:

  • Cortafuegos: WAF.
  • Escánner de malware en archivos.
  • Seguridad en acceso 2FA.

Wordfence ofrece una defensa robusta contra ataques maliciosos y asegura la integridad de tu sitio. Aparte de tener un plan gratuito el cual ofrece caracteristicas profesionales en defensa contra ciberataques, prevencion y fortalecimiento de la seguridad.

A continuación, exploraremos en detalle cómo instalar y configurar Wordfence.

Cómo instalar Wordfence

Ingresaremos al apartado de plugins y daremos click en «Añadir nuevo».

instalar plugin en WordPress

En la barra de busqueda ingresaremos el nombre «wordfence» e instalaremos el plugin seleccionado.

Instalar Wordfence en WordPress

Activamos el plugin.

Instalar Wordfence para WordPress

Nos aparecera una mensaje para registrarnos y obtener una licencia gratuita.

Damos click en «Obten tu licencia de Wordfence».

Obtener licencia Wordfence para WordPress

Seleccionamos la versión «FREE» haciendo click en «Get a free license».

Plan gratuito de Wordfence

Nos aparecera una ventana emergente, damos click en el link de la parte inferior.

Obtener licencia para Wordfence

Ingresa tu e-mail con el cual deseas activar tu licencia gratuita.

Selecciona «yes» o «no», depende si deseas recibir correos con noticias de wordfence.

Acepta los terminos y condiciones.

y da click en «Register».

Registro de licencia para Wordfence

Revisa la bandeja de tu correo electronico que ingresaste.

En la parte inferior del correo aparecera un código, copia este codigo.

Regresamos a tu sitio WordPress en el plugin wordfence y damos click en «Instalar una licencia actual»

Instalar licencia para Wordfence

Ingresa el correo que resgistraste y pega el código que copiaste en el paso anterior.

Selecciona «si» o «no», depende si deseas recibir correos de alertas de seguridad.

Acepta los terminos y condiciones y da click en «Instalar licencia».

activar licencia de wordfence

Nos aparecera un mensaje de éxito, daremos click en «Ir al escritorio»

Si deseas puedes seguir el tutorial introductorio, en este caso lo cerraremos.

Wordfence tutorial

Cómo configurar Wordfence

Optimizar el cortafuegos de Wordfence

En la parte superior nos aparecera el siguiente mensaje de recomendacion, Damos click en «Haz click aqui para configurar».

Activar cortafuegos en Wordfence

Descargamos la copia del .htaccess dando click en «Descargar .htaccess» y luego damos click en «Continuar».

Configurar cortafuegos en Wordfence

Nos aparecera un mensaje que la instalación fue correcta. Cerramos el mensaje.

Instalación de cortafuegos con Wordfence

En caso haya error, puede deberse al servidor de tu hosting y su configuración, por lo que deberas consultar a tu proveedor de hosting.

Protección contra ataques de fuerza bruta.

Nos encontramos en la sección cortafuegos de wordfence. Vamos al apartado de «Protección contra ataques de fuerza bruta» y la expandimos.

Protección de ataques de fuerza bruta con Wordfence

Recomiendo esta configuración:

  • Solo permitir 4 intentos de acceso fallidos.
  • Solo permitir 4 intentos de contraseña olvidada.
  • Bloquear por 12 horas en caso violar una de las reglas.
  • Añadir admin, Admin, Administrador y root como nombres de usuario bloqueables en caso de intentar acceder.
Configurar protección de ataques de fuerza bruta con Wordfence

NOTA: si tienes usuarios con Username admin, Admin, Administrador, root. Cambialos o eliminalos inmediatamente ya que los atacantes usan estos nombres para probar usuarios vulnerables y realizar ataques de fuerza bruta.

NOTA: si tu sitio tiene gran cantidad de inicios de sesión (tu sitio es un e-commerce, escuela online, plataforma de una empresa, etc), te recomiendo configurar el número de fallos de acceso en 10.

Guardamos los cambios.

Análisis de malware con Wordfence

Vamos a la sección de análisis.

Analizar con Wordfence

Ingresamos a la opción «Opciones de exploración y planificación».

Configurar análisis con Wordfence

Seleccionaremos y activaremos la opción «Alta sensibilidad».

Análisis de ala sensibilidad en Wordfence

Guardamos los cambios y volvemos a «Analizar»

Iniciamos una exploración dando click aquí.

Exploración de malware con Wordfence

Si todo esta bien, veremos la siguiente pantalla.

Si tenemos archivos sospechosos o infectados veremos una lista de ellos.

Malware en Wordfence

IMPORTANTE: En este punto lo mas probable es que tu sitio haya sido infectado. asi que recomiendo realizar una copia de seguridad de tu sitio antes de seguir con la limpieza de Wordfence. Puedes seguir este tutorial de como hacer una copia de seguridad en WordPress.

Puedes reparar o eliminar archivo por archivo con Wordfence.

Eliminar archvios infectados en Wordfence

Puedes dar click en «Borrar todos los archivos borrables» y «Reparar todos los archivos reparables». Para reparar o borrar todos los archivos de la lista.

Borrar archivos infectados con Wordfence

Si luego de realizar esto:

  • Vuelven a aparecer los archivos infectados.
  • Aparecen usuarios extraños.
  • Tu sitio muestra un mensaje de infectado

Te recomiendo seguir este tutorial deatallado de como eliminar virus en WordPress.

Seguridad de acceso con Wordfence

Wordfence provee seguridad 2FA de forma gratuita. Este tipo de seguridad consiste en que al momento de iniciar sesión aparte del usuario y contraseña, se te pedira un código el cual se generara automaticamente en una aplicación movil como Google Autenticador en tu smartphone. Si no ingresas este código, no podras iniciar sesión.

Este apartado es opcional si deseas dar una protección extra en un usuario y contraseña de se filtre.

Primero descargaremos la aplicación Autenticador de Google u otro con el que tengas experiencia.

Ingresaremos a la sección de «Seguridad de acceso».

Instalaremos Google Autenticator u otra aplicación auntenticadora de su preferencia.

Con la aplicación escanearas el código QR que aparece en la pantalla de Wordfence.

2FA Wordfence

Descarga y guarda en un lugar seguro los códigos de emergencia en caso pierdas tu movil y no puedas generar códigos.

2FA llaves Wordfence

Ingresa el código actual que genera tu aplicación autenticadora.

Código 2FA Wordfence

Hacemos click en «Activar».

Listo ya esta configurado tu usuario con 2FA.

En el apartado de ajustes, podemos configurar a obligar a todos los usuarios la autenticación 2FA.

Recomiendo hacer esto al menos para los usuarios administradores.

Ajustes generales

Ingresaremos a la sección de «Todas las opciones»

Ampliaremos el apartado de «Opciones generales de Wordfence»

Marcaremos las opciones de:

  • Ocultar versión de wordpress
  • Desactivar la ejecución de código en el directorio de subidas
Ocultar version de WordPress con Wordfence

Y guardaremos los cambios.

Con esto ya tendremos configurado Wordfence y nuestro sitio estara preparado para afrontar futuros ataques.

Mas tutoriales interesantes

BitácoraWP