![Mejora la seguridad de tu Wordpess con WordFence](https://www.atlanticadigital.net/wp-content/uploads/2016/12/wordfencesecurity1-610x1741-1.jpg)
Mejora la seguridad de tu Wordpess con WordFence
En este artículo vamos a hablar de WordFence Security, uno de los plugins de seguridad para WordPress que más nos gusta y que además utilizamos en todas las desinfecciones de WordPress.
WordFence Security es una suite, es decir, es un plugin que contiene muchas herramientas que tienen como único fin mejorar la seguridad de WordPress.
WordFence es una herramienta muy potente, y si lo configuramos correctamente en nuestro WordPress conseguiremos tener una buena seguridad.
El plugin WordFence Security tiene las siguientes funcionalidades o utilidades relacionadas con la seguridad de WordPress:
- Analizador de malware y virus que nos permite buscar malware en la instalación de WordPress utilizando la base de datos de WordFence Security.
- Firewall o WAF similar al de NinjaFirewall, protege la instalación de WordPress de ataques externos.
- Analizador de tráfico y visitas en tiempo real, incluyendo bots y crawlers, esto permite bloquear ataques de una forma fácil y eficiente.
- Sistema de bloqueos de IPs que se integra perfectamente con el analizador de tráfico y el WAF de WordFence.
Además de esto, hasta finales de 2016 WordFence Security llevaba integrado un plugin de cache para WordPress con un modo de optimización llamado Falcon Engine.
Para que vamos a engañarnos, WordFence en general es mucho más que un plugin de seguridad para WordPress, ya que en su sitio web por ejemplo podemos ver estadísticas completas de ataques registrados en sitios web que usan WordFence Security y su Live Traffic.
Instalar WordFence Security en WordPress
La instalación de WordFence Security es muy fácil, al menos de la versión gratuita, ya que podemos instalar WordFence Security fácilmente desde el repositorio de plugins de WordPress.
El plugin que debes buscar para instalar en el repositorio de plugins de WordPress desde el panel de administración es este concretamente:
Una vez que tenemos instalado WordFence y lo hemos activado, podremos ver una nueva sección en el panel de administración de WordPress:
Desde las secciones marcadas en la captura de pantalla anterior podremos sacar todo el potencial de WordFence Security.
Configuración de WordFence Security
Como he dicho anteriormente, WordFence Security es una de las herramientas más potentes para mejorar la seguridad de WordPress, si conseguimos configurar correctamente sus opciones y funcionalidades tendremos una instalación segura.
Normalmente la configuración de WordFence Security la tenemos que hacer desde la sección “Options”:
Aunque para realizar una configuración completa de WordFence Security debemos tocar otras secciones como la sección Live Traffic o la sección Firewall (que es donde se configura el WAF de WordFence).
En este artículo no vamos a explicar exactamente como configurar WordFence Security, ya que depende mucho del tipo de hosting o servidor que tengas contratado, no en todos los casos podemos aplicar la misma configuración, ya que depende de los recursos disponibles, el sistema operativo del servidor y la configuración de límites y variables del servidor web y del interprete PHP.
Lo único que vamos a explicar es la protección de login, que es lo que puedes ver en la siguiente sección y los bloqueos de crawlers y bots que puedan llegar a abusar de la “hospitalidad” de nuestro sitio web.
Protección de login con WordFence Security
Una de las partes que más me gustan de WordFence Security es la protección de login, ya que nos permite proteger los formularios de autentificación de WordPress de posibles ataques por fuerza bruta.
Para configurar la protección de login de WordFence Security debemos ir a la sección “Options” y buscar la sección “Login Security Options”:
Si aplicas la configuración que puedes ver en la captura de la imagen anterior conseguirás que tu WP-ADMIN y tu WP-LOGIN.PHP este totalmente protegido contra posibles ataques por fuerza bruta.
Debes tener en cuenta que para conseguir mitigar por completo el impacto de los ataques por fuerza bruta debes bloquearlos con un WAF eficiente (como mod_security) o mediante un bloqueo en el firewall del servidor, ya que si se tienen que comprobar las IPs atacantes mediante PHP se consumirán recursos, aunque sean menos recursos, en ataques muy grandes vamos a seguir teniendo problemas debido a que impactaran directamente en el rendimiento.
Rate Limiting Rules de WordFence Security
Las reglas de bloqueo por abuso es una de las grandes funciones desconocidas de WordFence, ya que no demasiada gente sabe que existe esta posibilidad.
Esta funcionalidad podemos configurarla desde la sección de configuración “Options”, en la sección llamada “Rate Limiting Rules”:
Como puedes ver en la captura anterior, el sistema de bloqueo es muy configurable, lo que permite bloquear cualquier tipo de bot o incluso acciones manuales que están abusando de los recursos del servidor.
Análisis de malware con WordFence Security
Una de las funcionalidades que más nos gusta de WordFence Security es su sistema de análisis de malware y virus.
En analizador de malware podemos encontrarlo en el panel de administración de WordPress, es la primera sección del menú, llamado “Scan”:
La interfaz de “Scan” como puedes ver, es muy simple, pero podemos configurar el motor de análisis desde la interfaz de “Options”, buscando la sección “Scans to include”:
En este artículo no vamos a explicar parte por parte la configuración del motor de análisis de WordFence Security, porque es bastante configurable y bastante complejo, pero si marcas todas las casillas puedes tener por seguro que no se le escapara ni un solo positivo, aunque también es muy posible que te salgan unos cuantos falsos positivos.
WAF o Firewall de aplicacion de WordFence Security
Aunque WordFence Security se empezó a desarrollar y a publicar hace años ya (en el año 2012 más o menos), la función de WAF no se implementó hasta el año 2016.
El WAF de WordFence Security no es de lo más potentes, aunque es bastante eficiente, no llega al nivel de otras alternativas como NinjaFirewall (WP Edition).
Podemos encontrar la configuración del WAF de WordFence en la sección “Firewall” de WordFence:
WordFence Security tiene 2 modos de funcionamiento, por un lado tenemos el modo “Basic WordPress Protection” que casi no necesita nada de configuración y por el otro lado se encuentra el modo “Extended protection” donde tenemos que pasar por un asistente de configuración que adaptara la forma de funcionar del WAF a la configuración del hosting, el servidor web y el intérprete PHP.
Lo ideal es que tengamos activo el modo “Extended protection” para que la protección sea lo más eficiente posible.
Una vez que tenemos el WAF o firewall de aplicación funcionando, tenemos tres modos para funcionar:
- Enabled and Protecting: Cuando este modo está activo, el firewall estará funcionando y protegiendo el sitio web.
- Learning Mode: Cuando el WAF está con este modo activo está continuamente aprendiendo que peticiones se realizan para añadirlas al listado de exclusiones, este modo tendría que estar activo al menos un par de semanas para que el WAF no detecte tantos falsos positivos.
- Disabled: Evidentemente este modo lo que hace es desactivar por completo el WAF.
Live Traffic de WordFence Security
Aunque es una de las funcionalidades estrella de WordFence, tiene un problema bastante grave, y es que consume bastantes recursos al encontrarse activo y en sitios web muy grandes pueden existir problemas de recursos, llegando incluso a triplicar el consumo de recursos del sitio web.
Puedes encontrar el “Live Traffic” de WordFence Security en el panel de administración de WordPress.
Además, desde la interfaz te informa del consumo de recursos que está haciendo el sistema de análisis de tráfico y desde los botones “Block this IP” o “Block this networks” podemos bloquear el tráfico o las visitas que vienen desde la red o la IP de una visita en concreto.
Bloqueos de IPs con WordFence Security
Una de las cosas más interesantes que trae WordFence Security es la capacidad de bloquear direcciones IP o rangos completos, además, podemos realizar los bloqueos directamente desde el Live Traffic de WordFence.
El módulo de “Advanced Blocking” que podemos encontrar en la interfaz de WordFence Security nos permite bloquear desde IPs a hostnames, referidos o incluso user-agents.
Aunque el bloqueo de WordFence Security es potente, cuanto más “de raíz” cortemos los ataques más eficientes serán los bloqueos. Por eso si te alojas en uno de nuestros hostings cPanel podrás bloquear los ataques desde la interfaz del panel. Por otro lado si te alojas en uno de nuestros servidores VPS podrás bloquear los ataques con CSF.
Como hemos dicho al principio del artículo, existe una versión Premium de WordFence Security con muchas más opciones que la versión gratuita.
Además de las funcionalidades, WordFence Security Premium también dispone de soporte Premium telefónico.
Estas son las funcionalidades extra que tiene la versión Premium de WordFence Security:
- Country Blocking: Permite bloqueos de acceso a IPs de distintas zonas geográficas del planeta, filtrando directamente por países.
- Password Audit: Permite realizar auditorías automáticas de las contraseñas de los usuarios.
- Cellphone Sign-in: Permite mejorar la seguridad de la instalación de WordPress permitiendo la autentificación en dos pasos mediante mensaje de móvil.
- Scan Shedule: Permite programar análisis que se ejecuten automáticamente.
- Advanced Comment Spam Filter: Permite configurar el filtrado avanzado de spam en comentarios y formularios del sitio web.
- Análisis avanzado en servidores remotos: Para los usuarios Premium WordFence Security utilizara la potencia de los servidores remotos de los desarrolladores de WordFence para mejorar la seguridad y la eficiencia en los análisis.
Como ves, WordFence Security tiene algunas funcionalidades más en la versión Premium que en la versión gratuita, aunque la versión gratuita tampoco está nada mal.