Proteger tu sitio web de WordPress es esencial en el mundo digital actual. Una de las mejores maneras de proteger tu sitio de los hackers es utilizando el plugin de seguridad Wordfence.
Wordfence es un plugin muy utilizado que ofrece sólidas funciones de seguridad para mantener tu sitio seguro. Ayuda a bloquear el tráfico malicioso y proporciona herramientas para monitorear el estado de seguridad de tu sitio web.
Si bien usamos Cloudflare para proteger nuestro sitio, hemos realizado una investigación exhaustiva para revisar Wordfence para este artículo. En las siguientes secciones, te guiaremos a través de los sencillos pasos para instalar y configurar el plugin de seguridad Wordfence.
¿Qué es Wordfence? ¿Cómo protege tu sitio de WordPress?
La seguridad de WordPress es una de las mayores preocupaciones para los propietarios de sitios web, ya que un solo hackeo puede provocar el cierre de todo tu sitio o incluso el robo de datos de clientes.
Ahí es donde entra Wordfence.
Wordfence es un plugin de seguridad de WordPress que te ayuda a proteger tu sitio web contra amenazas de seguridad como hacking, malware, DDOS y ataques de fuerza bruta.
Viene con un firewall de aplicaciones web, que filtra todo el tráfico de tu sitio web y bloquea las solicitudes sospechosas.
Este plugin también tiene un escáner de malware que analiza todos tus archivos principales de WordPress, temas, plugins y carpetas de carga en busca de cambios y código sospechoso. Esto te ayuda a limpiar un sitio de WordPress hackeado.
El plugin básico de Wordfence es gratuito, pero hay una versión premium disponible. Esta versión te da acceso a funciones más avanzadas, como bloqueo por país, reglas de firewall actualizadas en tiempo real, escaneo programado, etc.
Teniendo esto en cuenta, veamos cómo instalar y configurar fácilmente Wordfence para una seguridad máxima.
Cómo instalar y configurar Wordfence en WordPress
Lo primero que necesitas hacer es instalar y activar el plugin de seguridad Wordfence. Para más detalles, consulta nuestra guía paso a paso sobre cómo instalar un plugin de WordPress.
Tras la activación, el plugin agregará un nuevo elemento de menú etiquetado como Wordfence a tu barra de administración de WordPress. Al hacer clic en él, serás dirigido al panel de configuración del plugin.
Esta página muestra un resumen de la configuración de seguridad del plugin en tu sitio web. También verás notificaciones de seguridad y estadísticas como bloqueo de IPs recientes, intentos de inicio de sesión fallidos, ataques totales bloqueados, etc.
La configuración de Wordfence está dividida en diferentes secciones. La configuración predeterminada funcionará para la mayoría de los sitios web, pero aun así necesitas revisarla y cambiarla si es necesario.
Aquí tienes un resumen de todos los pasos que cubriremos en esta guía:
- Escaneo de tu sitio de WordPress usando Wordfence
- Configuración del Firewall de Wordfence
- Monitoreo y bloqueo de actividad sospechosa usando Wordfence
- Configuración y Herramientas Avanzadas en Wordfence
¿Listo? Empecemos ejecutando primero un escaneo.
Escaneo de tu sitio de WordPress usando Wordfence
Para empezar, vamos a Wordfence » Scan y luego hacemos clic en el botón 'Start New Scan'.
Wordfence ahora comenzará a escanear tus archivos de WordPress.
Este escaneo buscará cambios en los tamaños de los archivos del núcleo oficial de WordPress y de los archivos de los plugins. También revisará dentro de los archivos para detectar código sospechoso, puertas traseras, URLs maliciosas y patrones conocidos de infecciones.
Típicamente, estos escaneos necesitan muchos recursos del servidor para ejecutarse.
La buena noticia es que Wordfence hace un excelente trabajo al ejecutar los escaneos de la manera más eficiente posible. El tiempo que tarda en completarse un escaneo dependerá de la cantidad de datos que tengas y de los recursos del servidor disponibles.
Además, el progreso del escaneo se mostrará en los cuadros amarillos de la página de escaneo. La mayor parte de esta información será técnica, pero no necesita preocuparse por ella.
Una vez que el escaneo haya finalizado, Wordfence le mostrará los resultados.
Le notificará si encuentra algún código sospechoso, infecciones, malware o archivos corruptos en su sitio web. También le recomendará acciones que puede tomar para solucionar esos problemas.
En este ejemplo, puede ver que encontró 32 errores críticos en el sitio.
Wordfence tiene los botones 'Eliminar todos los archivos eliminables' y 'Reparar todos los archivos reparables'. Estos botones le permiten eliminar todos los archivos o reparar todos los archivos, causando los errores de un solo golpe.
Junto a cada error, puede hacer clic en 'Detalles' para obtener más información o en 'Ignorar' para descartarlo.
Nota: El plugin gratuito Wordfence ejecuta automáticamente escaneos completos en su sitio de WordPress una vez cada 24 horas. Mientras tanto, la versión premium de Wordfence le permite configurar sus propios horarios de escaneo.
Configuración del Firewall de Wordfence
Wordfence viene con un firewall de aplicación web o un firewall a nivel de aplicación basado en PHP.
El firewall de Wordfence ofrece dos niveles de protección. El nivel básico, que está habilitado por defecto, permite que el firewall de Wordfence se ejecute como un plugin de WordPress.
Esto significa que el firewall se cargará junto con el resto de sus plugins de WordPress. Esto puede protegerlo de varias amenazas, pero se perderá las amenazas que están diseñadas para activarse antes de que se carguen los temas y plugins de WordPress.
El segundo nivel de protección se llama protección extendida. Permite que Wordfence se ejecute antes que el núcleo, los plugins y los temas de WordPress. Esto ofrece una protección mucho mejor contra amenazas de seguridad más avanzadas.
Para configurar la protección extendida, primero deberás navegar a la página Wordfence » Firewall y hacer clic en ‘Manage Firewall’.
En ‘Protection Level,’ seleccionemos ‘Optimize The Wordfence Firewall.’
Wordfence ahora ejecutará algunas pruebas en segundo plano para detectar la configuración de tu servidor. Si sabes que la configuración de tu servidor es diferente a la que Wordfence ha seleccionado, puedes elegir otra.
A continuación, Wordfence te pedirá que descargues tu archivo .htaccess actual como copia de seguridad.
Puedes hacer clic en el botón ‘Download .htaccess‘. Después de descargar el archivo de copia de seguridad, haz clic en el botón ‘Continue’.
Wordfence ahora actualizará tu archivo .htaccess, permitiendo que se ejecute antes que WordPress.
Luego serás redirigido a la página del firewall, donde verás tu nivel de protección como ‘Extended protection.’
También notarás un botón de ‘Learning Mode’.
Cuando instalas Wordfence por primera vez, intenta aprender cómo tú y tus usuarios interactúan con el sitio web para asegurarse de que no bloquea a visitantes legítimos.
Después de una semana, cambiará automáticamente al modo ‘Enabled and Protecting’.
Monitoreo y bloqueo de actividad sospechosa usando Wordfence
Wordfence muestra un registro muy útil de todas las solicitudes realizadas a tu sitio web. Puedes verlo yendo a Wordfence » Tools. Luego, querrás asegurarte de estar en la pestaña ‘Live Traffic’.
Aquí, puedes ver la lista de IPs que solicitan diferentes páginas en tu sitio web.
Por ejemplo, detectarás cualquier actividad sospechosa, como intentos fallidos de inicio de sesión de usuarios desconocidos. Debajo de cada elemento, puedes automáticamente:
- Bloquear IP para restringirlos de tu sitio.
- Ejecutar una búsqueda WHOIS sobre ellos.
- Averiguar más información sobre la actividad usando la opción ‘See Recent Traffic’.
Si deseas filtrar la actividad por fecha y tipo de tráfico, puedes marcar la opción ‘Show Advanced Filter’.
Puedes filtrar el tráfico, incluyendo humanos, usuarios registrados, rastreadores, rastreadores de Google, inicios y cierres de sesión, tráfico bloqueado por firewalls, y así sucesivamente.
Puedes bloquear IPs individuales e incluso redes completas en esta página.
También puedes bloquear IPs sospechosas manualmente yendo a Wordfence » Firewall y haciendo clic en la pestaña ‘Blocking’ (Bloqueo). Aquí es donde puedes crear reglas de bloqueo basadas en dirección IP, país o patrón personalizado.
Luego haz clic en ‘Block This IP Address’ (Bloquear esta dirección IP) para que la regla tenga efecto.
Debajo de eso, verás una lista completa de las personas que has bloqueado.
También mostrará las reglas, razones y otros detalles sobre cada bloqueo.
Configuración y Herramientas Avanzadas en Wordfence
Wordfence es un potente plugin con muchas opciones útiles. Puedes visitar la página Wordfence » All Options (Todas las opciones) para revisarlas.
Aquí, puedes activar y desactivar selectivamente las funciones. También puedes habilitar o deshabilitar notificaciones por correo electrónico, escaneos y otras configuraciones avanzadas.
Wordfence vs Sucuri – ¿Cuál es mejor?
Ahora, algunos de ustedes probablemente se estarán preguntando, ¿cómo se compara Wordfence con Sucuri? Sucuri es otra popular suite de seguridad para sitios web que viene con un firewall de aplicación web, escáner de malware y eliminación.
Tanto Wordfence como Sucuri son excelentes opciones para mejorar la seguridad de tu WordPress. Sin embargo, creemos que Sucuri tiene algunas características que le dan una ligera ventaja sobre Wordfence.
Una de ellas es el firewall.
El WAF de Wordfence es un firewall a nivel de aplicación, lo que significa que se inicia en su servidor. Por otro lado, el firewall del sitio web de Sucuri es un firewall a nivel de DNS. Esto significa que todo el tráfico a su sitio web pasa por su proxy en la nube antes de llegar a su sitio web.
Para una revisión completa, puedes consultar nuestro artículo de comparación en Wordfence vs Sucuri – ¿Cuál es mejor? (Comparado)
Nota: En WPBeginner, cambiamos de Sucuri a Cloudflare para satisfacer mejor nuestras crecientes necesidades. Una de las razones fue que Cloudflare ofrece una red CDN más rápida y grande, lo que mejora los tiempos de carga de las páginas para nuestra audiencia global. También necesitábamos más control sobre las reglas del firewall para defendernos contra ataques sofisticados. Para obtener más información, puede leer nuestro Sucuri vs CloudFlare (Pros and Cons) – Which One is Better?
Esperamos que este artículo te haya ayudado a aprender cómo instalar y configurar correctamente Wordfence en tu sitio web. También te puede interesar nuestra lista de expertos sobre las principales razones por las que los sitios de WordPress son hackeados o nuestra guía sobre cómo detener y prevenir un ataque DDoS en WordPress.
Si te gustó este artículo, suscríbete a nuestro canal de YouTube para obtener tutoriales en video de WordPress. También puedes encontrarnos en Twitter y Facebook.
Shaxid Rahman
Gracias por tu excelente explicación. ¡Es realmente fácil de entender el proceso! Lo aprecié mucho.
Soporte de WPBeginner
You’re welcome, glad our guide was helpful
Administrador
Dilshad
¿Puedo usar maxcdn y wordfence? ¿La aplicación de firewall de wordfence interfiere con maxcdn?
Achmad
¿Puedo bloquear el tráfico del blog de bots no deseados usando wordfence?
Anondi
Hola,
He usado Wordfence en mi sitio de WordPress (versión 4.5.9), pero su firewall podría estar bloqueando al bot de Google para que no rastree porque después de enviar el sitemap, muestra ese error (Network unreachable: http error 503). ¿Qué configuración podría ser para este problema?
Anand Kumar
Gracias por guiarnos
Sue
Estoy confundido sobre por qué compararías el firewall de pago Sucuri con el firewall gratuito Wordfence. Yendo un paso más allá, ¿por qué compararlos en absoluto, cuando el enfoque principal según el título del artículo es cómo configurar e instalar Wordfence en WordPress?
Es triste porque la única razón que se me ocurre es que obtienes una comisión por referencia con Sucuri, como afirma claramente tu artículo de reseña. Creo que también tendrías que añadir esto aquí para cumplir con la prueba de afiliación.
Personal editorial
Hola Sue,
Sucuri y WordFence son ambas soluciones de seguridad y bastante populares. Hemos recibido varios correos electrónicos a través de nuestro formulario de contacto preguntando cómo usar Wordfence y cómo se compara con Sucuri (el producto que usamos y recomendamos). Como todos los artículos en WPBeginner, este también fue sugerido por un usuario.
Solo recomendamos productos que usamos nosotros mismos (Sucuri es uno de ellos). Muchas empresas de WordPress tienen un programa de afiliados / referidos. Como editor de WordPress, usamos esos enlaces de referidos en lugar de enlaces normales directos, para poder evitar tener que vender anuncios en el sitio web con toneladas de scripts de seguimiento. Los ingresos obtenidos nos permiten continuar brindando recursos gratuitos de WordPress para la comunidad.
Dicho esto, solo recomendamos productos que usamos nosotros mismos o que usaríamos si fuera necesario para un caso de uso específico. En WPBeginner hay miles de páginas, y hay un enlace de divulgación de la FTC en la parte inferior de cada página.
Administrador
Sue
Gracias por tu explicación. Ahora tiene sentido por qué la comparación, a pesar de que el firewall de Sucuri es una función de pago.