Levantarte un día y encontrarte con tu sitio web alterado o directamente fuera de servicio no es una situación que le desearía a nadie.
Esto es lo que le pasó a Romina G. un lunes, cuando se disponía a publicar un nuevo artículo en el que había trabajado durante todo el fin de semana. ¿A quién podría interesarle hackearme a mí?, se decía ella bastante consternada, si no me conoce nadie.
¿Qué es Wordfence Security?
Wordfence Security es uno de los mejores plugins de seguridad para WordPress y dispone de muchas opciones de configuración que hacen salir corriendo a cualquiera que no le gusten estas cuestiones muy técnicas.
Dominar en profundidad cada una de ellas te llevaría a un análisis largo y muy tedioso, que es mi intención evitar. Pero tampoco quiero que desaproveches esta poderosísima herramienta.
La idea de este post es hacer un tutorial de Wordfence en español para principiantes, y mostrarte solo las cosas estrictamente necesarias para que puedas configurar rápidamente Wordfence Security en tu sitio web o tu blog.
Cómo funciona Wordfence
Wordfence Security es un plugin de seguridad para WordPress que dispone de dos herramientas principales:
- Antivirus. Escanea diariamente tu WordPress en busca de virus o maleware que se hayan podido instalar junto con algún tema o plugin de dudosa procedencia, o que alguien instaló voluntariamente.
- Firewall. Barrera que bloquea el acceso a tu WordPress de personas malintencionadas y ataques de fuerza bruta.
La protección de un sitio web, o la necesidad de un plugin de seguridad para WordPress, es algo que normalmente no se plantean emprendedores, profesionales y pequeñas empresas.
O pensamos que por no ser famosos o una gran corporación a nadie le interesa hacernos nada. Lamento informarte que eso no es tan así.
Hoy en día cualquier aficionado a la programación web tiene acceso a programas que, de forma automática, navegan internet intentando vulnerar sitios web al azar.
En algunos casos lo hacen para alterar el contenido, por simple diversión. En otros para utilizar tu cuenta de hosting, o el propio WordPress para enviar spam a sus listas de email.
Y si encima tienes tu sitio web desarrollado sobre el CMS más utilizado en el mundo, las posibilidades de recibir un ataque aumentan, porque estos robots malignos saben muy bien cómo funciona WordPress y por dónde conviene atacarlo.
Por eso quiero mostrarte cómo levantar un muro de acero alrededor de tu WordPress, para hacer que acceder a él sin tu permiso sea prácticamente imposible.
Y ésto gracias al mejor plugin de seguridad para WordPress que existe.
Cómo instalar Wordfence
Wordfence Security se instala desde el repositorio de WordPress y posteriormente hay que activarlo, como con todos los plugins.
Luego de activarlo te mostrará un aviso de que es necesario configurarlo para que comience a proteger tu sitio web. No es suficiente con solo activar el plugin.
Cómo configurar Wordfence
Lo habitual es que luego de activar el plugin te muestre una ventana como la siguiente donde hay que completar los datos que pide.
El email es importante para recibir las notificaciones de seguridad de Wordfence.
En segundo lugar nos pregunta si queremos recibir la newsletter de Wordfence (ésto no es obligatorio).
Y por último hay que aceptar los términos y la política de privacidad y hacer clic en Continuar.
En la ventana que sigue nos ofrecen registrarnos en Wordfence Premium pero hacemos clic en No Thanks para seguir.
En el caso de que no veas la ventana anterior (o si se te cierra antes de terminar) es posible acceder a estos ajustes desde un botón que hay en la parte superior de la página de plugins de tu WordPress.
Cómo activar el firewall de Wordfence
Lo que sigue es activar el firewall de este plugin de seguridad para WordPress, para lo cual Wordfence te pide que indiques la configuración actual de tu servidor.
Normalmente con dejar la configuración pre-seleccionada por el plugin estará bien. Así que solo dale clic a Continue.
Luego Wordfence debe realizar unos cambios en el .htaccess, un archivo muy importante que se encuentra alojado en la raiz de tu cuenta de hosting.
Es por ésto que te pedirá que descargues una copia de este archivo, para restaurarlo en caso de que algo falle.
Así que hay que hacer clic en Download .htaccess para descargarlo y guardarlo en tu equipo. Luego vas a poder hacer clic en Continue.
Y pasamos a otra página donde, si bajamos un poco, vemos lo siguiente:
Vas a ver que hay un lugar que dice Web Application Firewall Status y seguramente indique Learning Mode.
Justo debajo hay otra opción, Automatically enable on… y la fecha programada para pasar al modo activo, generalmente dentro de 1 semana desde la activación.
Esto es así porque Wordfence Security utiliza los primeros días para analizar cómo funciona tu sitio web, para luego protegerlo mejor.
En esta etapa suele aparecer también otro mensaje que te pregunta si deseas que el plugin Wordfence Security se actualice automáticamente cuando haya nuevas versiones.
Si bien yo nunca recomiendo utilizar actualizaciones automáticas para plugins y temas, en este caso sí me parece bien, porque de esta forma nos aseguramos de estar siempre protegidos.
Ajustando algunas opciones
Ahora podemos ir a Wordfence -> Options para ajustar algunas cosas más.
Opciones generales de Wordfence
Dentro de la sección General Wordfence Options las opciones de configuración más importantes son:
#1 – Update Wordfence automatically. Como ya te había explicado más arriba, creo conveniente dejar activas las actualizaciones automáticas de este plugin. Así que verifica que esté tildada la opción.
#2 – Where to email alerts (a dónde enviar las alertas por email). Acá podemos cambiar la dirección de email donde recibimos las notificaciones de Wordfence.
#3 – Hide WordPress version. Ocultar la versión de WordPress es una medida de seguridad muy aceptada.
#4 – Delete Wordfence tables and data on deactivation. Si en algún momento vas a desinstalar Wordfence esta opción hace que se borren todas las tablas de la base de datos y no deje ningún rastro.
Configuración de las alertas por email
Dentro de la sección Email Alert Preferences podemos elegir qué alertas de Wordfence recibir por email. De forma predeterminada vienen seleccionadas todas, pero quizás te moleste recibir tantos emails. Así que te recomiendo dejar solo las que te parezcan más importantes, o ninguna :).
Eso sería todo en las Opciones. Como puedes ver, hay muchísimas más, pero dejando las restantes así como están no deberías tener problemas.
No te olvides de guardar los cambios antes de salir.
¡Eso es todo! ¿Esperabas más opciones? Ahora tu página web o blog está protegido por el mejor plugin de seguridad para WordPress que existe.
Y en el Escritorio de WordPress vas a ver el widget de Wordfence con el resumen de actividad de los últimos días.
Creo que cumplí con lo prometido. No fue tan difícil ¿no? Espero que esta guía básica de Wordfence en español te haya resultado útil.
¡Y que nadie se meta con tu WordPress!
Si te gustó y sirvió este tutorial, por favor compártelo en tu red social favorita. Así ayudamos también a otras personas.
Super muchas gracias
Hola, gracias por el tutorial.
Te hago una pequeña consulta: ¿Porqué no me aparece la opción de Performance setup?
Gracias, saludos
Hola Washington. Ya no existe más esa función, la sacaron hace un par de meses. Wordfence ahora se centra solo en la seguridad.
Como plugin de cache para mejorar la performance del sitio web te recomiendo Super Cache, es fácil de configurar y muy bueno.
Hola Jorge
Te felicito por tu habilidad de enseñar, ya que es bastante didáctico tu método (Soy profesor y se lo que digo 🙂
La consulta es la siguiente: Si Wordfence se instala en el directorio raíz, donde está instalado WordPress, que pasa si tengo un subdominio y en este subdominio tengo instalado un sitio de Membresía en el que, para acceder, se necesita un Login y Password.. ¿Igual queda protegido por este Plug In?
Gracias de antemano
Elman
Hola Elman. Muchas gracias por tus palabras!
Respecto a tu consulta te recomiendo leer también este post: https://www.aventura.digital/20-minutos-web-segura/
La respuesta es sí (en parte), el scaneo que hace Wordfence alcanza a aplicaciones que están fuera del directorio de WordPress (activando la opción correspondiente).
Pero si ese sitio de membresía también está hecho con WordPress yo te recomendaría instalarle su propio Wordfence, ya que con eso también lo proteges de ataques e intentos de login de dudosa procedencia.
¿Respondí a tu duda?
Hola Jorge
Gracias por la pronta respuesta.
Como son algo neófito en esto,vamos a ver si entendí tu explicación
1) Mi sitio de membresía no está hecho con Worpress, si es que te refieres a un plug in de WP. Es algo aparte de WP y que instalé en un sudominio
2) Este sotf de membresia tiene su propio respaldo; con esto me refiero a que desde adentro se puede hacer sus propios Back Up (¿sería redundante hacerlo también con Wordfence?)
3) Entiendo, cuando dices que el escaneo alcanza a aplicaciones fuera del directorio de WP (en este caso mi subdominio) pero para esto se necesita activar la opción correspondiente Leí en el enlace que me indicas y copié esto pensando que es lo que me recomiendas.
CITO : «También puedes visitar Wordfence -> Options y activar la opción Scan files outside your WordPress installation. Con ésto lograrás que Wordfence escanee también cualquier archivo que se encuentre fuera del directorio de WordPress, incluso aplicaciones web que no forman parte de WordPress.» Fin de la cita.
En todo caso pienso suscribirme a tu curso de WP porqué creo que será fácil de entender y aplicar. He tomado otros cursos, pero la verdad es que los tengo «archivados» porqué muchos de estos terminan confundiéndolo a uno.
Te agradezco mucho por las respuestas
Creo que si respondiste a mi duda, ya que ahora tengo un poco más de conocimiento al respecto.
Saludos
Elman.
Ten en cuenta que Wordfence No hace backup. Wordfence es un escudo de protección para WordPress y además escanea periódicamente tu sitio y tu cuenta de hosting en busca de elementos maliciosos. Y sí, me refiero a esa opción que mencionas en el punto 3. Eso le dice a Wordfence que escanee también cualquier otra aplicación fuera de WordPress y te avise si encuentra algo malo.
Pero más allá de eso, si ese software de membresía es una aplicación desarrollada a medida para ti, debes asegurarte de que tu desarrollador la mantenga siempre actualizada para resolver cualquier tipo de vulnerabilidad que se vaya presentando con el tiempo.
Por otro lado, y ya que mencionas lo de los backups, para hacer backups periódicos y automatizados de tu WordPress te recomiendo el plugin UpdraftPlus (hay un post también sobre éste plugin en el blog).
Con respecto al curso no trato estos temas por el momento sino que es más básico, creo que a ti no te va a aportar mucho por la experiencia que tienes. Estoy justamente grabando nuevos video para ampliarlo, ya tendrás novedades dentro de poco.
Hola
Gracias por la respuesta. Veo que tengo que estudiar estos temas.
Más que experiencia o conocimiento, lo que tengo es valentía porqué igual tengo un sitio Web, pero está pelado jajaja. Necesito ver justamente algo básico, desde el inicio y me parecen excelentes estos temas que planteas relacionados con la seguridad y respaldo, ya que muchas veces los neófitos tenemos temor de hacer algo y no sepamos como respaldar o defender nuestro sitio.
Buena idea la de grabar nuevos videos para ese curso
Saludos
Gracias por el post, me ha servido muchísimo!
Gracias a ti por dejar tu comentario. Y me alegro de que te haya servido. Éxitos!
En mi caso creo q sera mejor desinstalarlo, porque el nuevo word reference es distinto al del video, es fácil perderse desde que no viene la opción performance set up, me preocupa q ya se modifico el archivo .htaccess ,,
La cuestión es que no se si ya quedo correctamente instalado o falto algo por hacer, en virtud de que ya no deja configurarse como en el video, me preocupa que pueda causarme conflicto,
Hola Ivan,
Si lo desinstalas no vas a tener ningún problema. Hace pocos días hicieron una actualización grande de la interfaz y efectivamente quedó distinto al video. Tengo que actualizarlo.
Hola Saludos, lo instale al parecer todo bien, cualquier asunto te escribo ya que no tengo mucha experiencia en esto. A pesar que no esta exactamente igual a como lo muestras. Gracias.
Hola María. No es igual porque hace poco Wordfence cambió toda la interfaz y el video quedo viejo. Qué bueno que pudiste hacerlo igual.
Muy intereante muchas gracias.
Los plugins son excelentes, y este caso puede ser un buen complemento a otras herramientas.
amigo Jorge, en verdad muchas gracias, muy buenas recomendaciones!! eres una gran profesional!!! vamos poco a poco
Hola Jorge.
Estoy haciendo mi tienda online y me ha sido imprescindible tu tutorial en español para configurar Wordfence.
Muchas gracias!!!!
Hola Silvana.
Gracias por tu mensaje. Me alegra saber que te sirvió el tutorial. Sé que Wordfence fue cambiando la interfaz y algunas cosas no están igual.
Exitos.
Jorge muchas gracias excelente tus recomendaciones para wordpress
Muchas gracias por el contenido Jorge, es súper interesante, yo quería hacerte una consulta, he creado una tienda online con wordpress y woocommerce, y para la misma hemos creado una app que para funcionar simultáneamente con la tienda, se ha instalado un plugin, al hacerlo, wordfence bloquea la app, sabrías decirme cómo podría evitar esto? muchas gracias!