Wordfence Security: Qué nadie se meta con tu WordPress

Levantarte un día y encontrarte con tu sitio web alterado o directamente fuera de servicio no es una situación que le desearía a nadie.

Esto es lo que le pasó a Romina G. un lunes, cuando se disponía a publicar un nuevo artículo en el que había trabajado durante todo el fin de semana. ¿A quién podría interesarle hackearme a mí?, se decía ella bastante consternada, si no me conoce nadie.

¿Qué es Wordfence Security?

Wordfence Security es uno de los mejores plugins de seguridad para WordPress y dispone de muchas opciones de configuración que hacen salir corriendo a cualquiera que no le gusten estas cuestiones muy técnicas.

Dominar en profundidad cada una de ellas te llevaría a un análisis largo y muy tedioso, que es mi intención evitar. Pero tampoco quiero que desaproveches esta poderosísima herramienta.

La idea de este post es hacer un tutorial de Wordfence en español para principiantes, y mostrarte solo las cosas estrictamente necesarias para que puedas configurar rápidamente Wordfence Security en tu sitio web o tu blog.

Cómo funciona Wordfence

Wordfence Security es un plugin de seguridad para WordPress que dispone de dos herramientas principales:

  • Antivirus. Escanea diariamente tu WordPress en busca de virus o maleware que se hayan podido instalar junto con algún tema o plugin de dudosa procedencia, o que alguien instaló voluntariamente.
  • Firewall. Barrera que bloquea el acceso a tu WordPress de personas malintencionadas y ataques de fuerza bruta.

La protección de un sitio web, o la necesidad de un plugin de seguridad para WordPress, es algo que normalmente no se plantean emprendedores, profesionales y pequeñas empresas.

O pensamos que por no ser famosos o una gran corporación a nadie le interesa hacernos nada. Lamento informarte que eso no es tan así.

Hoy en día cualquier aficionado a la programación web tiene acceso a programas que, de forma automática, navegan internet intentando vulnerar sitios web al azar.

En algunos casos lo hacen para alterar el contenido, por simple diversión. En otros para utilizar tu cuenta de hosting, o el propio WordPress para enviar spam a sus listas de email.

Y si encima tienes tu sitio web desarrollado sobre el CMS más utilizado en el mundo, las posibilidades de recibir un ataque aumentan, porque estos robots malignos saben muy bien cómo funciona WordPress y por dónde conviene atacarlo.

Por eso quiero mostrarte cómo levantar un muro de acero alrededor de tu WordPress, para hacer que acceder a él sin tu permiso sea prácticamente imposible.

Y ésto gracias al mejor plugin de seguridad para WordPress que existe.

Cómo instalar Wordfence

Wordfence Security se instala desde el repositorio de WordPress y posteriormente hay que activarlo, como con todos los plugins.

Luego de activarlo te mostrará un aviso de que es necesario configurarlo para que comience a proteger tu sitio web. No es suficiente con solo activar el plugin.

Cómo configurar Wordfence

Lo habitual es que luego de activar el plugin te muestre una ventana como la siguiente donde hay que completar los datos que pide.

El email es importante para recibir las notificaciones de seguridad de Wordfence.

En segundo lugar nos pregunta si queremos recibir la newsletter de Wordfence (ésto no es obligatorio).

Y por último hay que aceptar los términos y la política de privacidad y hacer clic en Continuar.

En la ventana que sigue nos ofrecen registrarnos en Wordfence Premium pero hacemos clic en No Thanks para seguir.

En el caso de que no veas la ventana anterior (o si se te cierra antes de terminar) es posible acceder a estos ajustes desde un botón que hay en la parte superior de la página de plugins de tu WordPress.

Cómo activar el firewall de Wordfence

Lo que sigue es activar el firewall de este plugin de seguridad para WordPress, para lo cual Wordfence te pide que indiques la configuración actual de tu servidor.

Normalmente con dejar la configuración pre-seleccionada por el plugin estará bien. Así que solo dale clic a Continue.

Luego Wordfence debe realizar unos cambios en el .htaccess, un archivo muy importante que se encuentra alojado en la raiz de tu cuenta de hosting.

Es por ésto que te pedirá que descargues una copia de este archivo, para restaurarlo en caso de que algo falle.

Así que hay que hacer clic en Download .htaccess para descargarlo y guardarlo en tu equipo. Luego vas a poder hacer clic en Continue.

 

Y pasamos a otra página donde, si bajamos un poco, vemos lo siguiente:

Vas a ver que hay un lugar que dice Web Application Firewall Status y seguramente indique Learning Mode.

Justo debajo hay otra opción, Automatically enable on… y la fecha programada para pasar al modo activo, generalmente dentro de 1 semana desde la activación.

Esto es así porque Wordfence Security utiliza los primeros días para analizar cómo funciona tu sitio web, para luego protegerlo mejor.

 

En esta etapa suele aparecer también otro mensaje que te pregunta si deseas que el plugin Wordfence Security se actualice automáticamente cuando haya nuevas versiones.

Si bien yo nunca recomiendo utilizar actualizaciones automáticas para plugins y temas, en este caso sí me parece bien, porque de esta forma nos aseguramos de estar siempre protegidos.

Ajustando algunas opciones

Ahora podemos ir a Wordfence -> Options para ajustar algunas cosas más.

 

Opciones generales de Wordfence

Dentro de la  sección General Wordfence Options las opciones de configuración más importantes son:

#1 – Update Wordfence automatically. Como ya te había explicado más arriba, creo conveniente dejar activas las actualizaciones automáticas de este plugin. Así que verifica que esté tildada la opción.

#2 – Where to email alerts (a dónde enviar las alertas por email). Acá podemos cambiar la dirección de email donde recibimos las notificaciones de Wordfence.

#3 – Hide WordPress version. Ocultar la versión de WordPress es una medida de seguridad muy aceptada.

#4 – Delete Wordfence tables and data on deactivation. Si en algún momento vas a desinstalar Wordfence esta opción hace que se borren todas las tablas de la base de datos y no deje ningún rastro.

Configuración de las alertas por email

Dentro de la sección Email Alert Preferences podemos elegir qué alertas de Wordfence recibir por email. De forma predeterminada vienen seleccionadas todas, pero quizás te moleste recibir tantos emails. Así que te recomiendo dejar solo las que te parezcan más importantes, o ninguna :).

 

Eso sería todo en las Opciones. Como puedes ver, hay muchísimas más, pero dejando las restantes así como están no deberías tener problemas.

No te olvides de guardar los cambios antes de salir.

¡Eso es todo! ¿Esperabas más opciones? Ahora tu página web o blog está protegido por el mejor plugin de seguridad para WordPress que existe.

Y en el Escritorio de WordPress vas a ver el widget de Wordfence con el resumen de actividad de los últimos días.

Video tutorial de Wordfence en español

Para hacerlo bien fácil grabé un video en el que te muestro paso a paso cómo activar y configurar Wordfence.


Para suscribirte al canal de YouTube haz clic aquí.

 

Creo que cumplí con lo prometido. No fue tan difícil ¿no? Espero que esta guía básica de Wordfence en español te haya resultado útil.

¡Y que nadie se meta con tu WordPress!

 

Si te gustó y sirvió este tutorial, por favor compártelo en tu red social favorita. Así ayudamos también a otras personas. Utiliza los botones que están más abajo.

Jorge Baffa

En 2013 fundé Aventura Digital para ayudar a profesionales y emprendedores independientes a tener su sitio web profesional con WordPress.

27-07-2018

Ajustes de escritura

Ajustes de escritura

Categoría predeterminada para las entradas (1) Desde aquí le indicas a WordPress que cada vez que...

Ajustes generales

Ajustes generales

La sección Ajustes Generales de WordPress es la primera de las siete secciones de ajustes de...

Editor de Temas

Editor de Temas

El Editor de Temas de WordPress es una herramienta para usuarios avanzados. Nos permite modificar...

Menús

Menús

La sección Menús de WordPress, dentro de las opciones de Apariencia, es la que nos permite crear y...

Widgets

Widgets

Los widgets son como cajas que contienen información de diversa naturaleza y que, por lo general,...

Personalizar

Personalizar

La sección Apariencia > Personalizar es desde donde se ajustan los distintos formatos del sitio...

Añadir Temas

Añadir Temas

La sección Añadir temas de WordPress es una de las principales en cuanto al potencial de...

Temas

Temas

La sección Temas de WordPress es el lugar desde el cual podemos cambiar la plantilla que estamos...

Editar comentario

Editar comentario

La Edición de comentarios de WordPress es muy similar a la Edición rápida de comentarios solo que...

WordPress es Mejor con Divi

Artículos Relacionados

Ajustes de escritura

Ajustes de escritura

Categoría predeterminada para las entradas (1) Desde aquí le indicas a WordPress que cada vez que crees una nueva publicación o entrada en el blog...

Ajustes generales

Ajustes generales

La sección Ajustes Generales de WordPress es la primera de las siete secciones de ajustes de WordPress desde las cuales podemos personalizar...

Editor de Temas

Editor de Temas

El Editor de Temas de WordPress es una herramienta para usuarios avanzados. Nos permite modificar el código de cualquiera de las plantillas...

Más artículos sobre:

16 Comentarios

  1. Erick

    amigo Jorge, en verdad muchas gracias, muy buenas recomendaciones!! eres una gran profesional!!! vamos poco a poco

    Responder
  2. AES

    Muy intereante muchas gracias.

    Los plugins son excelentes, y este caso puede ser un buen complemento a otras herramientas.

    Responder
  3. Maria Virginia

    Hola Saludos, lo instale al parecer todo bien, cualquier asunto te escribo ya que no tengo mucha experiencia en esto. A pesar que no esta exactamente igual a como lo muestras. Gracias.

    Responder
    • Jorge Baffa

      Hola María. No es igual porque hace poco Wordfence cambió toda la interfaz y el video quedo viejo. Qué bueno que pudiste hacerlo igual.

  4. Ivan

    En mi caso creo q sera mejor desinstalarlo, porque el nuevo word reference es distinto al del video, es fácil perderse desde que no viene la opción performance set up, me preocupa q ya se modifico el archivo .htaccess ,,

    La cuestión es que no se si ya quedo correctamente instalado o falto algo por hacer, en virtud de que ya no deja configurarse como en el video, me preocupa que pueda causarme conflicto,

    Responder
    • Jorge Baffa

      Hola Ivan,

      Si lo desinstalas no vas a tener ningún problema. Hace pocos días hicieron una actualización grande de la interfaz y efectivamente quedó distinto al video. Tengo que actualizarlo.

  5. Betzy Barragán

    Gracias por el post, me ha servido muchísimo!

    Responder
    • Jorge Baffa

      Gracias a ti por dejar tu comentario. Y me alegro de que te haya servido. Éxitos!

  6. Elman Figueroa

    Hola

    Gracias por la respuesta. Veo que tengo que estudiar estos temas.

    Más que experiencia o conocimiento, lo que tengo es valentía porqué igual tengo un sitio Web, pero está pelado jajaja. Necesito ver justamente algo básico, desde el inicio y me parecen excelentes estos temas que planteas relacionados con la seguridad y respaldo, ya que muchas veces los neófitos tenemos temor de hacer algo y no sepamos como respaldar o defender nuestro sitio.
    Buena idea la de grabar nuevos videos para ese curso

    Saludos

    Responder
  7. Elman Figueroa

    Hola Jorge

    Gracias por la pronta respuesta.
    Como son algo neófito en esto,vamos a ver si entendí tu explicación

    1) Mi sitio de membresía no está hecho con Worpress, si es que te refieres a un plug in de WP. Es algo aparte de WP y que instalé en un sudominio
    2) Este sotf de membresia tiene su propio respaldo; con esto me refiero a que desde adentro se puede hacer sus propios Back Up (¿sería redundante hacerlo también con Wordfence?)
    3) Entiendo, cuando dices que el escaneo alcanza a aplicaciones fuera del directorio de WP (en este caso mi subdominio) pero para esto se necesita activar la opción correspondiente Leí en el enlace que me indicas y copié esto pensando que es lo que me recomiendas.
    CITO : «También puedes visitar Wordfence -> Options y activar la opción Scan files outside your WordPress installation. Con ésto lograrás que Wordfence escanee también cualquier archivo que se encuentre fuera del directorio de WordPress, incluso aplicaciones web que no forman parte de WordPress.» Fin de la cita.

    En todo caso pienso suscribirme a tu curso de WP porqué creo que será fácil de entender y aplicar. He tomado otros cursos, pero la verdad es que los tengo «archivados» porqué muchos de estos terminan confundiéndolo a uno.

    Te agradezco mucho por las respuestas

    Creo que si respondiste a mi duda, ya que ahora tengo un poco más de conocimiento al respecto.

    Saludos

    Responder
    • Jorge Baffa

      Elman.

      Ten en cuenta que Wordfence No hace backup. Wordfence es un escudo de protección para WordPress y además escanea periódicamente tu sitio y tu cuenta de hosting en busca de elementos maliciosos. Y sí, me refiero a esa opción que mencionas en el punto 3. Eso le dice a Wordfence que escanee también cualquier otra aplicación fuera de WordPress y te avise si encuentra algo malo.

      Pero más allá de eso, si ese software de membresía es una aplicación desarrollada a medida para ti, debes asegurarte de que tu desarrollador la mantenga siempre actualizada para resolver cualquier tipo de vulnerabilidad que se vaya presentando con el tiempo.

      Por otro lado, y ya que mencionas lo de los backups, para hacer backups periódicos y automatizados de tu WordPress te recomiendo el plugin UpdraftPlus (hay un post también sobre éste plugin en el blog).

      Con respecto al curso no trato estos temas por el momento sino que es más básico, creo que a ti no te va a aportar mucho por la experiencia que tienes. Estoy justamente grabando nuevos video para ampliarlo, ya tendrás novedades dentro de poco.

  8. Elman Figueroa

    Hola Jorge

    Te felicito por tu habilidad de enseñar, ya que es bastante didáctico tu método (Soy profesor y se lo que digo 🙂
    La consulta es la siguiente: Si Wordfence se instala en el directorio raíz, donde está instalado WordPress, que pasa si tengo un subdominio y en este subdominio tengo instalado un sitio de Membresía en el que, para acceder, se necesita un Login y Password.. ¿Igual queda protegido por este Plug In?
    Gracias de antemano
    Elman

    Responder
    • Jorge Baffa

      Hola Elman. Muchas gracias por tus palabras!

      Respecto a tu consulta te recomiendo leer también este post: https://aventura.digital/20-minutos-web-segura/
      La respuesta es sí (en parte), el scaneo que hace Wordfence alcanza a aplicaciones que están fuera del directorio de WordPress (activando la opción correspondiente).

      Pero si ese sitio de membresía también está hecho con WordPress yo te recomendaría instalarle su propio Wordfence, ya que con eso también lo proteges de ataques e intentos de login de dudosa procedencia.

      ¿Respondí a tu duda?

  9. Washington

    Hola, gracias por el tutorial.

    Te hago una pequeña consulta: ¿Porqué no me aparece la opción de Performance setup?

    Gracias, saludos

    Responder
    • Jorge Baffa

      Hola Washington. Ya no existe más esa función, la sacaron hace un par de meses. Wordfence ahora se centra solo en la seguridad.

      Como plugin de cache para mejorar la performance del sitio web te recomiendo Super Cache, es fácil de configurar y muy bueno.

  10. Jose de Jesus Villabona

    Super muchas gracias

    Responder

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *