1. Instalando Wordfence
1. Para instalar y configurar Wordfence en tu sitio web, ingresa al escritorio de WordPress y selecciona en la barra lateral la opción Plugins > Añadir nuevo. Escribe Wordfence en la barra de búsqueda del plugin y selecciónalo. Haz clic enInstalar y luego clic en Activar.
2. Después de activar Wordfence, verás una pantalla donde se te solicita un correo electrónico para recibir alertas de seguridad, ingrésalo. Además, aquí debes elegir si deseas que Wordfence te envíe noticias de seguridad de WordPress, lo cual es opcional.
3. Para completar la instalación de Wordfence, si has comprado la versión premium puedes ingresar tu clave premium para activar las funcionalidades de extra. En caso contrario, omite este paso en la opción No Gracias.
4. Al finalizar, veremos el escritorio de Wordfence y podremos empezar la configuración.
1.1. El Escritorio de Wordfence
Accedemos en la opción de la barra lateral del escritorio de WordPress Wordfence > Dashboard, al ingresar por primera vez se nos mostrará una pequeña guía de tres pasos. Aquí podrás encontrar la información de prioridad acerca de la seguridad de tu sitio web.
La siguiente imagen muestra el escritorio de Wordfence y explica las funciones de sus principales elementos.
Porcentaje de Configuración del Firewall y Scan: No es necesario tenerlo al 100%, pues habrá funciones que no se utilizarán dependiendo de las circunstancias.
Hemos finalizado nuestro recorrido por el escritorio de Wordfence, en resumen, este es el lugar para monitorizar la seguridad de nuestro sitio web. Ahora continuaremos realizando ajustes avanzados del plugin.
2. Configurando el Firewall
El Firewall de Wordfence es muy útil para proteger a nuestro sitio web de ataques y amenazas comunes como: Carga de archivos maliciosos, inyección de código SQL y otras. El Firewall analiza el tráfico de Bots y humanos y puede bloquear o permitir el acceso de estos, según las reglas de seguridad predefinidas.
2.1. Configuración Básica del Firewall de Wordfence
1. Accede al Firewall en la opción de la barra lateral del escritorio de WordPress Wordfence > Firewall, allí seleccionaremos la opción All Firewall Options.
2. Aquí configuraremos la opción básica de Firewall. Esta opción viene predeterminada en Firewall Status: Habilitado y Protegido, es una opción de protección básica. Pero lo mejor es que lo cambiemos por Modo de Aprendizaje, esta opción le permite al Firewall conocer su sitio web y saber cómo protegerlo. Después de una semana se activa automáticamente el Firewall.
3. Finalizamos guardando los cambios y listo, hemos realizado la configuración básica del Firewall.
2.2. Configurando el Firewall Extendido
El Firewall extendido de WordPress nos brinda mayor protección a nuestro sitio web. Como Wordfence es un plugin, antes que este se ejecute es posible que WordPress procese algún código malicioso. Por eso, el Firewall Extendido modificará el archivo .htaccess para que todas las solicitudes de PHP sean procesadas por el Firewall antes de su ejecución.
1. Para configurar el Firewall extendido de Wordfence, nos ubicamos en la opción Firewall > All Firewall Options y damos clic en Optimize the Wordfence Firewall.
2. Ahora se te mostrará una pestaña donde tienes que realizar dos operaciones. La primera seleccionar el tipo de servidor (si no lo sabes consúltalo con tu proveedor de hosting). En todo caso Wordfence te brinda un servidor recomendado. Lo segundo que tienes que hacer es descargar la copia de seguridad del archivo .htaccess, si algo sale mal podrás incorporarlo fácilmente con un gestor de archivo o mediante FTP.
3. Si todo sale bien, recibirás un mensaje de éxito.
4. Si revisas el código de tu archivo .htaccess veras el código de configuración del Firewall de Wordfence. Puedes verlo en la siguiente imagen:
5. Listo, hemos activado el Firewall Extendido con Éxito.
2.3. Configuración Avanzada del Firewall de Wordfence
Las configuraciones avanzadas del Firewall se encuentran en la opción Wordfence > Firewall, All Firewall Options > Advanced Firewall Options. Aquí podremos realizar los siguientes ajustes.
La siguiente imagen muestra la ubicación de las opciones de configuración avanzada:
Cargar el Bloqueo de País después de WordPress: No actives esta opción, a menos que tengas problemas con un servicio externo que se carga desde un país bloqueado
Establecer una Lista Blanca de IP: Las IP en lista blanca no tendrán restricciones por el cortafuego. Puedes introducir las IP de los dispositivos que usas, tienen que ser IP estáticas. Introduce las IP en el campo y separa la lista con comas
Servicios Permitidos: Puedes deshabilitar el permiso de cualquier servicio específico deshabilitando su casilla de verificación. Cuando la casilla de verificación de un servicio está deshabilitada, se tratará de la misma manera que cualquier otro visitante. Cuando la casilla está marcada, esta no bloquea la IP del servicio externo
Bloqueo de URL: Esta opción es muy útil si detectas una URL que pueda ser usada como punto de vulnerabilidad. Para usarla se ingresa la URL en el campo asignado, en caso de listas, separarlos por coma. Las URL bloqueadas no serán accesibles, pues el cortafuego bloqueará todas las IP que intentes acceder
Ignorar IP: En caso de recibir muchas alertas de una IP que sabemos que no es peligrosa, podremos insertarla en el campo “Ignored IP addresses for Wordfence Web Application Firewall alerting”, para evitar falsas alarmas
Reglas del Firewall: Esta opción permite activar y desactivar las reglas del Firewall. Recomendamos dejarla en su configuración predeterminada
2.4. Protección Contra Ataques de Fuerza Bruta
Siempre en el apartado All Firewall Options de la opción Wordfence > Firewall encontraremos un apartado llamado Brute Force Protection. Sigue los siguientes pasos y protege tu sitio web de ataques de fuerza bruta.
- Determina una cantidad de inicio de sesiones fallidas para bloquear el acceso: Recomendación: 05 intentos.
- La cantidad de intentos de contraseñas fallidas para bloquear el acceso: Recomendación: 05 intentos.
- El tiempo que estará bloqueado el usuario: Recomendación: 30 minutos.
- Puedes dejar los demás ajustes por defecto.
La siguiente imagen muestra la configuración recomendada:
2.5. Limitación de Tasa
El apartado Rate Limiting permite limitar el acceso a bots que escanean nuestro sitio web en busca de vulnerabilidades, asegúrate tener activada esta opción. Para una configuración inicial, te recomendamos dejar las demás opciones en su configuración por defecto.
2.6. Lista Blanca de URLs
Allowlisted URLs es un apartado donde podemos incluir URL que no queremos que sean analizadas por el Firewall. En determinados casos podríamos recibir falsas alarmas sobre URLs que realizan tareas de administración, estas son comunes en procesos de plugins. En estos casos, podemos incluir la URL en la lista de URLs permitidas.
Después de realizar ajustes en All Firewall Options recuerda guardar los cambios para que estos se apliquen.
2.7. Bloqueo de IP de Forma Manual
En algún momento puede que sea necesario que bloquees algunas IP de forma manual. Para hacerlo desde Wordfence nos dirigimos a la opción Wordfence > Firewall de la barra lateral del escritorio de WordPress, clic en la pestaña Blocking.
En la pestaña Blocking podremos bloquear IPs de forma manual fácilmente, en la versión de pago tendremos tres formas para hacerlo y en la versión free solo podremos hacerlo de dos formas. Te explicaremos como hacerlo de la manera más fácil.
1. En la pestaña Blocking: Selecciona la opción Block Type > IP address, introduce la IP en el primer campo y en el segundo una descripción de por qué lo haces. Esto con fines de que lo puedas recordar más adelante. Mira la siguiente imagen, para guiarte:
2. Finaliza dando clic en Block This IP Address.
La versión premium de Wordfence permite el bloqueo de IPs del país que seleccionemos.
3. Configurando el Escáner
Con la función Scan de Wordfence podremos analizar nuestro sitio web en busca de amenazas. Para hacerlo, diríjase a la barra lateral del escritorio de WordPress opción Wordfence > Scan y clic en el botón Start New Scan.
Ahora, el escáner de Wordfence iniciará en su búsqueda de amenazas y en caso de encontrar alguna nos dará un pequeño reporte del problema en los resultados. En la siguiente imagen puedes ver el resultado del escaneo de un sitio web que no presenta problemas de seguridad.
3.1. Opciones de Escaneo y Programación
Para realizar ajustes de escaneo y programación de clic a la opción Scan Options and Scheduling. Los ajustes de escaneo y programación que podremos realizar son los siguientes:
3.2. Programar Análisis
Esto solo es posible con la versión premium. En caso de usar la versión free, se realiza automáticamente cada 24 horas.
3.3. Elegir el Tipo de Scan
Puedes usar el escaneo limitado, estándar y sensible. Nuestra recomendación es usar siempre el estándar, así evitar falsas alarmas.
3.4. Opciones Generales
Estas funciones permiten activar y desactivar determinados parámetros en el análisis. Si modificas estos parámetros, el tipo de escaneado pasará de estándar a personalizado. Nuestra recomendación es dejar los ajustes predefinidos.
3.5. Opciones de Rendimiento
En caso de usar hosting compartido debes marcar la casilla de la opción Use low resource scanning, pues permitirá que el escáner funcione mejor en servidores con pocos recursos. También, puedes disminuir la cantidad de problemas para enviar por correo si el servidor cuenta con poca memoria.
En el caso de la opción de limitar el tiempo de la ejecución del análisis te recomendamos dejarlo vacío, claro debes reducir este valor en caso de contar con pocos recursos. La opción de uso de memoria y tiempo de ejecución de las etapas de análisis, puedes reducirlas en caso de contar con pocos recursos. Si tu hosting posee recursos suficientes deja la configuración predeterminada.
3.6. Opciones Avanzadas
En las opciones avanzadas puedes hacer dos cosas:
1. Excluir archivos del análisis: para hacer esto simplemente escribe la ruta del archivo. Por ejemplo wp-content/uploads/image.jpg, solo se excluirá el archivo image.jpg. Si, en cambio, ingresa wp-content/uploads/*todos los archivos en la carpeta de carga se excluirán del análisis. Usar una línea por archivo.
2. Ingresar firmas de malware específicas: Para que cuando se realice el análisis, también busque uno en específico. Como ejemplo, si está buscando cualquier instancia de X09jkF y X6p3Kn, debe ingresar: X09jkF y X6p3Kn.
Para finalizar, guarda los cambios. Listo, hemos realizado la configuración del Scan.
4. Las Herramientas de Wordfence
Wordfence integra cuatro herramientas de gran utilidad. Para acceder a las herramientas debes seleccionar la opción de la barra lateral de WordPress Wordfence > Tools.
4.1. Tráfico en Vivo
La herramienta Live Traffic permite monitorear el tráfico de nuestro sitio web. Nos brinda información básica de los visitantes como: Dirección IP, página visitada y tiempo de permanencia. Además, cuenta con un semáforo para indicarnos la seguridad: Verde equivale a humanos, amarillo es una señal de advertencia y rojo indica que está bloqueado. Los que no tienen color son bots. Las demás configuraciones déjalas por defecto, es lo recomendado.
4.2. Whois Lookup
En la pestaña Whois Lookup podrás introducir una IP y adquirir información básica del dueño de la IP. Es muy útil si sientes desconfianza de una IP en particular.
4.3. Importar y Exportar
Puedes usar la configuración de Wordfence en otra instalación de WordPress exportando sus datos de configuración. Esto también resulta útil para crear copias de seguridad de las configuraciones. Para ello, haga clic en la pestaña Import/Export Options y para Exportar en el botón Export Wordfence Options.
Una vez que le des clic al botón exportar, verás una ventana emergente con el código de importación, copia este código y guárdalo en un lugar seguro. Cuando desees importar tu configuración, simplemente pega ese código en el campo Importar, acciona el botón y listo.
4.4. Diagnóstico
La pestaña Diagnostics te permite ver el estado de tu sitio web. Aquí encontraras información sobre:
Wordfence Status: Información general sobre la instalación de Wordfence.
Filesystem: Capacidad para leer / escribir varios archivos.
Wordfence Config: Capacidad para guardar la configuración de Wordfence en la base de datos.
Wordfence Firewall: Configuración WAF actual.
MySQL: Versión y privilegios de la base de datos MySQL.
PHP Environment: Entorno PHP versión PHP, importantes extensiones PHP.
Connectivity: Capacidad para conectarse a los servidores de Wordfence y su propio sitio.
Time: Precisión de tiempo del servidor de tiempo y compensaciones aplicadas.
IP Detection: Métodos de detección para detectar la dirección IP de un visitante.
WordPress Settings: Configuración de WordPress versión de WordPress y configuración / constantes internas.
WordPress Plugins: Estado de los complementos instalados.
Must-Use WordPress Plugins: Complementos de WordPress de uso obligatorio. Los «mu-plugins» de WordPress que están siempre activos, incluidos los proporcionados por el host.
Drop-In WordPress Plugins: Complementos integrables de WordPress.
Themes: Estado de los temas instalados.
Cron Jobs: Lista de trabajos cron programados por WordPress, complementos o temas.
Database Tables: Nombres, tamaños, marcas de tiempo y otros metadatos de las tablas.
Log Files: Registros de errores de PHP generados por su sitio, si lo habilita su host.
Other Tests: Configuración del sistema, prueba de memoria, envío de correo electrónico de prueba desde el servidor.
Debugging Options: Opciones de depuración
Con el análisis de nuestro sitio web, hemos terminado de presentarte las herramientas de WordPress.
5. Autenticación de Dos Factores
La autenticación en dos factores (2FA) permite brindar una mayor seguridad a nuestra página de inicio de sesión de WordPress. Para activar la autenticación en dos factores en nuestro sitio web diríjase a la opción de la barra lateral del escritorio de WordPress Wordfence > Login Security.
1. Para activar la autenticación en dos factores deberás instalar una aplicación 2FA en tu dispositivo móvil. Como ejemplo usaremos Free OTP para Android (también puedes utilizar Authy). Con ella escaneamos el código QR del recuadro Scan Code or Enter Key. En la aplicación veremos algo como esto:
2. Al terminar de escanear el código QR con éxito, cada vez que toques el nuevo Token creado recibirás un código válido sólo por breve periodo de tiempo. Este código, pégalo en el campo Enter Code from Authentication App y da clic en Activate.
3. Si lo hiciste de manera correcta recibirás el siguiente mensaje, donde podrás descargar los códigos de recuperación en caso de perder tu dispositivo móvil. Si no has recibido este mensaje inténtalo nuevamente.
4. Si la autenticación 2FA se ha activado con éxito verás lo siguiente en la pestaña Two-Factor Authentication. Allí, podrás desactivar Autenticación de Dos Factores y generar nuevos códigos de recuperación.
5. En la pestaña Settings, podrás añadir seguridad extra a la autenticación 2FA como recordar el dispositivo por 30 días o habilitar recaptcha en los inicios de sesión. Nuestra recomendación es que dejes estos ajustes por defecto.
6. Ahora probemos iniciar sesión en nuestro sitio web. Ingresamos al wp-admin e ingresamos nuestro usuario y contraseña clic en acceder.
7. Notaremos un nuevo campo donde tendremos que ingresar el código 2FA que nos brinda nuestra aplicación de autenticación Free OTP. Una vez que ingresemos el código en el campo clic en Log in.
8. Grandioso, ya hemos implementado la autenticación en dos factores en nuestro sitio web, sin duda es un ajuste que refuerza la seguridad del inicio de sesión.
6. Opciones Globales
Para acceder a las opciones globales de Wordfence, identifica la opción Wordfence > All Options.
Aquí, podrás realizar ajustes globales al Firewall, Scanner y más. En esta opción, dejaremos los ajustes predefinidos. Además, muchos de los ajustes que encontramos en esta opción ya los hemos configurado en secciones anteriores.
7. Conclusión
No hay que ser un experto en ciberseguridad para tener un sitio web seguro. En esta guia te hemos explicado paso a paso como instalar y configurar Wordfence en tu sitio de WordPress. Ahora podrás disfrutar de un excelente firewall y seguridad contra malware y otras amenazas. Algunas consideraciones adicionales para tener en cuenta:
- Wordfence Premium: Es una gran opción para garantizar la seguridad de nuestro sitio web y cuenta con funciones extra para el Firewall y Scanner; eso sin olvidar el soporte de expertos en seguridad.
- Velocidad: Es importante saber que Wordfence es un plugin que ocupa una gran cantidad de recursos en comparación a los plugins comunes y esto puede afectar la velocidad de tu sitio web. Para optimizar la velocidad de tu sitio web sigue nuestro tutorial de optimización para WordPress.
- Seguridad Constante: Wordfence nos permite relajarnos un poco en lo que respecta a la seguridad de nuestro sitio web; sin embargo, es importante que mantengas buenas prácticas de seguridad en todo momento. Aprende como implementar seguridad para WordPress en 5 simples pasos.
- Alternativas: Existen alternativas muy buenas para Wordfence, como por ejemplo iThemes Security; sin embargo, si buscas una opción menos invasiva y que trabaja a nivel de DNS, Sucuri Firewall es la opción ideal.
Eso es todo, esperamos que te haya servido este articulo, y si lo seguiste hasta el final, lo mas probable es que ya cuentes con un sitio web seguro y protegido por Wordfence. Si tienes preguntas adicionales déjanos un comentario líneas abajo.
