Cómo Configurar Wordfence plugin

Cómo Configurar Wordfence plugin
0 Flares 0 Flares ×

El plugin Worfence es una sólida elección a la hora de proteger una web con WordPress y configurar Wordfence es menos complicado de lo que parece. Wordfence cuanta con varias opciones y módulos para configurar la seguridad de nuestra web, pero es de destacar que las características principales están a disposición de manera gratuita.

Si queremos contar con un mayor control en la seguridad de nuestra web, se nos da la opción de optar por una cuenta premium y habilitar los módulos extra. No es de extrañar que desde su aparición se haya ganado su reputación y su espacio en el repositorio de WordPress, aventajando incluso al veterano iTheme Security (antes Better WP Security). A continuación veremos cómo configurar Wordfence.NOTA: Si ya tienes otro plugin se seguridad instalado, te recomiendo desinstalarlo y revisar tu archivo .htacces para eliminar las reglas que hayan podido quedar.

Wordfence Options

Después de instalar y activar el plugin, podremos ver el ícono de Wordfence y nuestra primera parada es en Wordfence >> Opciones

Wordfence Options - Licencia y opciones básicas

 

License

Al activar el plugin se generará una llave que identificará nuestra web en los servidores de Wordfence y verificará si se trata de una cuenta gratuita o premium, en nuestro caso, una cuenta gratuita.

Basic Options

Enable firewall

Habilitado por defecto, permite utilizar las opciones de Firewall de Wordfence.

Enable login security

Habilitado por defecto, permite utilizar las opciones para seguridad de inicio de sesión.

Enable Live Traffic view

Permite ver el tráfico en vivo que va recibiendo nuestra web. Habilitado por defecto, si estas alojando tu web en un servidor con pocos recursos, pueda que esta función cause algo de problemas.

Advanced Comment Spam Filter

Disponible con suscripción premium. Sirve para filtrar los comentarios que recibimos a través de listas conocidas de spammers y máquinas infectadas, y bloquearlos.

Check if the website is being “Spamvertised”

Disponible con suscripción premium. Al realizar un scan de nuestra web, Wordfence comprobará con los servicios de anti-spam que nuestro nombre de dominio no está en sus listas.

Check if this website IP is generating spam

Disponible con suscripción premium. Al realizar un scan de nuestra web, Wordfence Wordfence comprobará con los servicios de anti-spam que nuestro IP no está en sus listas.

Enable automatic scheduled scans

Habilitado por defecto. Para usuarios con cuenta gratuita, estos escaneos se realizan a intervalos de 24hrs.

Update Wordfence automatically when a new version is released?

Debemos marcar esta opción si queremos que Wordfence se actualice automáticamente dentro de las 24hrs en cuanto aparezca una nuevar versión.

Where to email alerts

La dirección de email a la que Wordfence enviará las notificaciones.

Security Level

Wordfence viene con cinco (del 0 al 4) niveles de seguridad. El nivel 0 simplemente deshabilita las opciones de seguridad de Worfence. El nivel recomendable para la mayoría de webs es el nivel 2, ya que el nivel 3 es de alta seguridad por si vemos que nuestra web pueda ser atacada. El nivel 4 directamente bloquea nuestra web si nos encontramos bajo un ataque.

Podemos elegir Custom settings y continuar con el tutorial, las opciones que modificaremos partirán del Nivel 2.

How does Wordfence get IPs

Entre las opciones disponibles, “Let Wordfence use the most secure method to get visitor IP….” es la opción utilizada por defecto. Si Wordfence no puede “ver” los IPs del tráfico que ingresa nuestra web, vamos a tener que elegir alguna de las otras opciones disponibles.

Advanced Options

Esta sección permite configurar las alertas que envía Wordfence cuando se genera alguna incidencia.

Wordfence - Advance Options

 

Alerts

Email me when Wordfence is automatically updated     

Activar esta opción si queremos recibir notificaciones cuando Wordfecen se actualice automáticamente.

Alert on critical problems   

Activado por defecto, recibiremos notificaciones si Wordfence detecta alguna situación urgente en nuestra web.

Alert on warnings

Activado por defecto, recibiremos notificaciones que requieran nuestra atención.

Alert when an IP address is blocked

Activado por defecto, recibiremos notificaciones cuando Wordfence haya bloqueado algún IP malicioso.

Alert when someone is locked out from login   

Activado por defecto, recibiremos notificaciones cuando alguien haya sido bloqueado por intentar autenticarse en nuestra web.

Alert when the “lost password” form is used for a valid user     

Activado por defecto, recibiremos notificaciones cuando un usuario de nuestra web haya utilizado el formulario de recuperar contraseña.

Alert me when someone with administrator access signs in  

Activado por defecto, recibiremos notificaciones cuando algún usuario con nivel de administrador inicie sesión.

Alert me when a non-admin user signs in

Podemos dejar esta opción sin activar. Si es activada, nos alertará cuando cualquier usuario que no sea administrador inice sesión.

Live Traffic View

Don’t log signed-in users with publishing access

No registrar a usuarios que inicien sesión si su nivel de usuario les permite publicar (Editor y Autor).

List of comma separated usernames to ignore

Ingresar una lista de usuarios separados por coma que serán excluidos por Wordfence. Por ejemplo, podemos ingresar nuestro usuario y evitar recibir notificaciones cada vez que iniciamos sesión.

List of comma separated IP addresses to ignore

Ingresar una lista de direcciones IP separados por coma, que serán excluidos por Wordfence. Podemos ingresar nuestra IP para evitar pasar los filtros de Wordfence y ser bloqueados.

Browser user-agent to ignore

Aquí podemos ingresar una lista de Agentes de Usuario de Navegador que serán excluidos por Wordfence.

 

Scans to include

Esta sección permite configurar el módulo de escaneo de archivos.

Wordfence - Advance Options, Scan Options

 

Scan public facing site for vulnerabilities?

Opción premium. Habilitando esta opción el código HTLM generado desde WordPress es analizado por los servidores de Wordfence. De este modo, si al escaneo del código interno se le pasa algo, con este añadido aumentamos las posibiidades de poder detectar cualquier anomalía en nuestra web.

Scan for the HeartBleed vulnerability?

Si cuentas con un certificado SSL en tu dominio, esta opción verifica su integridad para detecter la vulnerabilidad HeartBleed.

Scan core files against repository versions for changes     

Al escanear la instalación de WordPress hace una comparación con los archivos oficiales. Si Wordfence detecta algún cambio, te mostrará la diferencia entre el original y la versión con el cambio de tu instalación.

Scan theme files against repository versions for changes

Al igual que el punto anterior, esta opción sirve para comparar los archivos de nuestro theme con la versión oficial. Puedes elegir activarlo, ya que sólo se aplica a themes no comerciales.

Scan plugin files against repository versions for changes   

Lo mismo que las dos opciones anteriores, pero para plugins. Al igual que el caso anterior, sólo será efectivo si el plugin no es comercial, ya que los archivos se encuentran en el repositorio de WordPress.

Scan for signatures of known malicious files     

Wordfence hará una comparión de los archivos escaneados con su base datos de archivos maliciosos. Se nos notificará de alguna anomalía.

Scan file contents for backdoors, trojans and suspicious code   

Wordfence compara nuestros archivos con su lista de patrones y código encontrado, frecuentemente en archivos infectados con código malicioso,

Scan posts for known dangerous URLs and suspicious content  

Hace un escaneo de todas las entradas publicadas accediendo directamente a la base de datos y verifica que no contengan algún link con destino peligroso. También busca contenido que pueda ser sospechoso o generado por alguna infección o hack.

Scan comments for known dangerous URLs and suspicious content

Realiza las mismas comprobaciones que en el caso de las entradas.

Scan for out of date plugins, themes and WordPress versions   

Wordfence nos notificará por email que hay una nueva versión de un plugin o theme y nos sugerirá que hagamos la actualización correspondiente.

Check the strength of passwords   

Comprueba que las contraseñas para administradores y usuarios no sean fáciles o susceptibles de ser crackeadas.

Scan options table   

Verifica que la tabla de opciones en nuestra base de datos no contenga patrones que indiquen una infección.

Monitor disk space

Nos notificará si estamos cerca de quedarnos sin espacio. Puedes habilitar o no esta opción, ya que es tarea de tu empresa de hosting notificarte cuando esto suceda, pero en casos como instalaciones sin panel de control, como puede darse en un VPS no administrado, puede ser de gran ayuda.

Scan for unauthorized DNS changes     

Comprueba que no haya algún cambio no autorizado en los DNS de nuestro dominio, ya que esto puede ser una indicación de que nuestra cuenta donde tenemos nuestro dominio (GoDaddy, Namecheap, etc) haya sido hackeada.

Scan files outside your WordPress installation  

Realizará el escaneo de archivos para otros directorios fuera de la instalación de WordPress, aunque, es recomendable no activar esta opción, ya que dependiendo de la cantidad de archivos, el escaneo de estos directorios puede aumentar el consumo de los recursos de nuestro servidor.

Scan image files as if they were executable   

Analiza imágenes para detectar si hay algun script camuflado como imagen, es decir, que sólo se le ha cambiado la extensión, pero que en realidad contiene código que puede ser malicioso.

Enable HIGH SENSITIVITY scanning. May give false positives.     

Activa varios filtros en Wordfence, filtros que pueden dar “falsos positivos”. Es recomendable no activar esta opción.

Exclude files from scan that match these wildcard patterns. Comma separated.

Puedes utilizar este apartado para excluir archivos con ciertas extensiones (.xls, .pdf, etc). En caso de que detectemos que Wordfence tarda mucho tiempo con archivos pesados que sabemos que no son maliciosos, como los archivos de copias de respaldo, podemos excluirlos aquí también.

Firewall Rules (Reglas del Cortafuegos)

Esta sección permite configurar el módulo Cortafuegos que incluye Wordfence. Los cortafuegos funcionan a través de reglas, ingresamos reglas para el tipo de tráfico que llega a nuestra web y si no cumplen con estas reglas, se toma una acción. Wordfence dispone de dos acciones “throttle it” y “block it”. La acción throttle it es menos agresiva, ya que es un bloque por rango, es decir, se activa si se supera determinado rango y se limita la conexión. La acciónblock it directamente bloquea al usuario cuyo tráfico ha roto la regla del firewall.

Wordfence - Advance Options, firewall rules

 

Immediately block fake Google crawlers

Seleccionando esta opción bloqueamos tráfico que intenta acceder a nuestra web pretendiendo ser el bot de Google rastreando nuestra web.

How should we treat Google’s crawlers

Seleccionar: “Verified Google crawlers have unlimited access to this site”

If anyone’s requests exceed

Seleccionar: “4 per minute (1 every 15 seconds) then throttle it”

If a crawler’s page views exceed

Seleccionar: “240 per minute (4 per second) the throttle it”

If a crawler’s pages not found (404s) exceed

Seleccionar: “15 per minute (1 every 4 seconds) then block it

If a human’s page views exceed

Seleccionar: “10 per minute (1every 6 seconds) then throttle it”

If a human’s pages not found (404s) exceed

Seleccionar: “30 per minute (1 every 2 seconds) then block it”

If 404’s for known vulnerable URL’s exceed

Seleccionar: “15 per minute (1 every 4 seconds) then block it”

How long is an IP address blocked when it breaks a rule

30 minutes

 

Login Security Options

Esta sección contiene configuraciones para asegurar los inicios de sesión.

Wordfence Advance Options, Login security options

 

Enforce strong passwords?   

Seleccionar: “Force admins and publishers to use strong passwords (recommended)”

Lock out after how many login failures     

Seleccionar: 3

Lock out after how many forgot password attempts  

Seleccionar: 2

Count failures over what time period     

Seleccionar: 5 minutes

Amount of time a user is locked out

Seleccionar: 10 minutes

Immediately lock out invalid usernames     

Seleccionar esta opción, de este modo si alguien intenta iniciar sesión con un usuario inexistente, será bloqueado inmediatamente.

Don’t let WordPress reveal valid users in login errors  

Seleccionar esta opción para evitar que WordPress de pistas de que el usuario o la contraseña han sido erróneos.

Prevent users registering ‘admin’ username if it doesn’t exist  

Seleccionar resta opción para evitar que cualquier usuario se registre utilizando ‘admin’ como nombre de usuario.

Prevent discovery of usernames through ‘?/author=N’ scans  

Seleccionar esta opción para evitar búsquedas de usuarios a través de la cade de búsqueda ‘?/author=N‘.

Immediately block the IP of users who try to sign in as these usernames

Bloquear inmediatamente a quienes intente iniciar sesión con los nombres de usuario indicados. Por ejemplo, podemos añadir admin.

 

Other Options (Otras Opciones)

Wordfence Advance Options, Other options

 

Whitelisted IP addresses that bypass all rules

Aquí podemos ingresar nuestra dirección IP para evitar que Wordfence bloquee nuestro ordenador. Para saber cual es tu IP, puedes visitar esta página What’s My IP

Immediately block IP’s that access the URLs

Podemos bloquear a quienes traten de acceder directamente a determinada(s) áreas de nuestra web. Por ejemplo: /no-acceder/aqui, /bloqueado.html. De lo contrario, puedes dejar en blanco esta casilla.

Hide WordPress version

Seleccionar esta opción para no mostrar la versión de WordPress.

Block IP’s who send POST requests with blank User-Agent and Referer   

Útil para bloquear scripts que intenten iniciar sesión o enviar comentarios de Spam.

Hold anonymous comments using member emails for moderation   

Si Wordfence detecta que alguien envía un comentario utilizando como email el de un usuario registrado en nuestra web, pondrá este comentario en moderación automáticamente.

Filter comments for malware and phishing URL’s     

Wordfence filtrará los comentarios a través de la lista de Google Safe Browsing, que es una lista que utiliza Google para aletar a los usuarios sobre alguna web que no es segura para navegar.

Check password strength on profile update   

Comprueba la seguridad/fuerza de las contraseña cuando un usuario actualiza su perfil. Esta funcionalidad va a la par con la de “forzar el uso de contraseñas fuertes”. El usuario simplemente recibirá una notificación de que su contraseña es ‘fácil’ o ‘débil’.

Participate in the Real-Time WordPress Security Network     

Si habilitamos esta opción estaremos compartiendo información de forma anónima con Wordfence. ¿Qué información? Información sobre intentos de vulnerar nuestra web. Al ser una comunicación en tiempo real, la red de Wordfence mantendrá una lista de IPs y regiones donde se están produciendo estos ataques y enviará esta lista a las webs que esten participando. Si no habilitas esta opción, tu web no recibirá esta información.

How much memory should Wordfence request when scanning

Este número depende de tu servidor: 256

Maximum execution time for each scan stage

Dejar en blanco.

Update interval in seconds (2 is default)

Dejar con la configuración por defecto (2).

Enable debugging mode

Habilitar esta opción si has detectado algun problema con Wordfence y quieres obtener más información. Recuerda utilizarlo por cortos periodos de tiempo ya que consume muchos recursos del servidor.

Delete Wordfence tables and data on deactivation?     

Dejar sin marcar.

Disable Wordfence Cookies  

Dejar sin marcar. Si seleccionamos esta opción, Worfence se verá afectado en tres aspectos:

  • Todas las visitas de página en la sección de Live Traffic se verán como nuevas visitas.
  • Falcon engine (el módulo de caché de Wordfence) puede empezar a mostrar páginas del caché a usuarios previamente auténticados.
  • La función de bloqueo por país al visitar una URL especial en nuestra web, puede no funcionar correctamente.

Start all scans remotely     

Habilitar esta opción si detectamos que Wordfence tiene problemas para ejecutar el escaneo en nuestro servidor.

Disable config caching  

Dejar sin marcar. Seleccionar si estás dentro de las excepciones en las que Wordfence no puede guardar la configuración.

Add a debugging comment to HTML source of cached pages

Wordfence añadirá un comentario HTML a todas las páginas que hayan sido generadas por el cacée. Útil si utilizas las opciones de caché que incluye Wordfence. Recomendable dejar sin marcar.

Disable Code Execution for Uploads directory

Seleccionar esta opción. Wordfence crear un archivo .htaccess en el directorio /wp-content/uploads para evitar que se pueda ejecutar código PHP.

Click to test connectivity to the Wordfence API servers

Realiza un test de conectividad entre nuestra web y el servidor de Wordfence.

Click to view your system’s configuration in a new window

Nos muestra la configuración de nuestra versión de PHP. Muy útil para saber qué versión tenemos, cuanta memoria tenemos disponible, etc.

Click to view your systems scheduled jobs in a new window

Nos muestra las tareas programadas en el Cron de WordPress.

Click to see a list of your system’s database tables in a new window

Nos muestra las tablas de la base de datos de WordPress e información adicional sobre cada tabla.

Test your WordPress host’s available memory

Ejecuta un test para comprobar la memoria disponible. Si este test falla, deberás contactar con tu empresa de hosting y solicitar más memoria o un plan que disponga de más recursos, ya que la prueba se ejecuta utilizando como parámetro el mínimo requerido para el funcionamiento de Wordfence.

Hasta aquí hemos configurado las Opciones de Wordfence al completo. Pero aún hay más.