WordFence Security para mejorar la seguridad de WordPress

Por | 2017-12-17T00:58:47+00:00 26/12/2016|WordPress|10 Comentarios

En el artículo anterior hablamos de NinjaFirewall, un WAF para WordPress que permite proteger nuestra instalación de WordPress de ataques externos que intenten acceder a nuestro sitio web.
En este artículo vamos a hablar de WordFence Security, uno de los plugins de seguridad para WordPress que más nos gustan en Raiola Networks y que además utilizamos en todas las desinfecciones de WordPress.

wordfence securityWordFence Security es una suite, es decir, es un plugin que contiene muchas herramientas que tienen como único fin mejorar la seguridad de WordPress.
WordFence es una herramienta muy potente, y si lo configuramos correctamente en nuestro WordPress conseguiremos tener una buena seguridad.

WordFence Security tiene las siguientes funcionalidades o utilidades relacionadas con la seguridad de WordPress:

  • Analizador de malware y virus que nos permite buscar malware en la instalación de WordPress utilizando la base de datos de WordFence Security.
  • Firewall o WAF similar al de NinjaFirewall, pero menos potente, protege la instalación de WordPress de ataques externos.
  • Analizador de tráfico y visitas en tiempo real, incluyendo bots y crawlers, esto permite bloquear ataques de una forma fácil y eficiente.
  • Sistema de bloqueos de IPs que se integra perfectamente con el analizador de tráfico y el WAF de WordFence.

Además de esto, hasta finales de 2016 WordFence Security llevaba integrado un plugin de cache para WordPress con un modo de optimización llamado Falcon Engine.

Para que vamos a engañarnos, WordFence en general es mucho más que un plugin de seguridad para WordPress, ya que en su sitio web por ejemplo podemos ver estadísticas completas de ataques registrados en sitios web que usan WordFence Security y su Live Traffic:

wordfence securityEstas gráficas puedes encontrarlas en la siguiente dirección URL: https://www.wordfence.com/wordfence-signup/

Antes de que continúes con el articulo, hemos preparado un vídeo para ti con el que aprenderás a configurar WordFence Security en tu WordPresshttps://raiolanetworks.es/docuwp/tip/configuracion-de-wordfence-security-para-wordpress/

 

Instalar WordFence Security en WordPress

La instalación de WordFence Security es muy fácil, al menos de la versión gratuita, ya que podemos instalar WordFence Security fácilmente desde el repositorio de plugins de WordPress.

En el siguiente video puedes ver como instalar un plugin desde el repositorio de plugins de WordPress:

El plugin que debes buscar para instalar en el repositorio de plugins de WordPress desde el panel de administración es este concretamente:

wordfence securityUna vez que tenemos instalado WordFence y lo hemos activado, podremos ver una nueva sección en el panel de administración de WordPress:

wordfence securityDesde las secciones marcadas en la captura de pantalla anterior podremos sacar todo el potencial de WordFence Security.

 

Configuración de WordFence Security

Como he dicho anteriormente, WordFence Security es una de las herramientas más potentes para mejorar la seguridad de WordPress, si conseguimos configurar correctamente sus opciones y funcionalidades tendremos una instalación segura.

Normalmente la configuración de WordFence Security la tenemos que hacer desde la sección “Options”:

wordfence securityAunque para realizar una configuración completa de WordFence Security debemos tocar otras secciones como la sección Live Traffic o la sección Firewall (que es donde se configura el WAF de WordFence).

En este artículo no vamos a explicar exactamente como configurar WordFence Security, ya que depende mucho del tipo de hosting o servidor que tengas contratado, no en todos los casos podemos aplicar la misma configuración, ya que depende de los recursos disponibles, el sistema operativo del servidor y la configuración de límites y variables del servidor web y del interprete PHP.

Lo único que vamos a explicar es la protección de login, que es lo que puedes ver en la siguiente sección y los bloqueos de crawlers y bots que puedan llegar a abusar de la “hospitalidad” de nuestro sitio web.

 

Protección de login con WordFence Security

Una de las partes que más me gustan de WordFence Security es la protección de login, ya que nos permite proteger los formularios de autentificación de WordPress de posibles ataques por fuerza bruta.

Para configurar la protección de login de WordFence Security debemos ir a la sección “Options” y buscar la sección “Login Security Options”:

wordfence securitySi aplicas la configuración que puedes ver en la captura de la imagen anterior conseguirás que tu WP-ADMIN y tu WP-LOGIN.PHP este totalmente protegido contra posibles ataques por fuerza bruta.

Debes tener en cuenta que para conseguir mitigar por completo el impacto de los ataques por fuerza bruta debes bloquearlos con un WAF eficiente (como mod_security) o mediante un bloqueo en el firewall del servidor, ya que si se tienen que comprobar las IPs atacantes mediante PHP se consumirán recursos, aunque sean menos recursos, en ataques muy grandes vamos a seguir teniendo problemas debido a que impactaran directamente en el rendimiento.

 

Rate Limiting Rules de WordFence Security

Las reglas de bloqueo por abuso es una de las grandes funciones desconocidas de WordFence, ya que no demasiada gente sabe que existe esta posibilidad.

Esta funcionalidad podemos configurarla desde la sección de configuración “Options”, en la sección llamada “Rate Limiting Rules”:

wordfence securityComo puedes ver en la captura anterior, el sistema de bloqueo es muy configurable, lo que permite bloquear cualquier tipo de bot o incluso acciones manuales que están abusando de los recursos del servidor.

 

Análisis de malware con WordFence Security

Una de las funcionalidades que más nos gusta de WordFence Security en Raiola Networks es su sistema de análisis de malware y virus.

En analizador de malware podemos encontrarlo en el panel de administración de WordPress, es la primera sección del menú, llamado “Scan”:

wordfence securityLa interfaz de “Scan” como puedes ver, es muy simple, pero podemos configurar el motor de análisis desde la interfaz de “Options”, buscando la sección “Scans to include”:

wordfence securityEn este artículo no vamos a explicar parte por parte la configuración del motor de análisis de WordFence Security, porque es bastante configurable y bastante complejo, pero si marcas todas las casillas puedes tener por seguro que no se le escapara ni un solo positivo, aunque también es muy posible que te salgan unos cuantos falsos positivos.

En el siguiente vídeo podrás ver un ejemplo en vídeo de lo que pasa al pulsar el botón azul “Start a Wordfence Scan”:

 

WAF o Firewall de aplicacion de WordFence Security

De los WAF o Web Application Firewall es una de las cosas de las que hablamos en este blog, ya que son sistemas básicos para la seguridad.
Aunque WordFence Security se empezó a desarrollar y a publicar hace años ya (en el año 2012 más o menos), la función de WAF no se implementó hasta el año 2016.

El WAF de WordFence Security no es de lo más potentes, aunque es bastante eficiente, no llega al nivel de otras alternativas como NinjaFirewall (WP Edition).

Podemos encontrar la configuración del WAF de WordFence en la sección “Firewall” de WordFence:

wordfence securityWordFence Security tiene 2 modos de funcionamiento, por un lado tenemos el modo “Basic WordPress Protection” que casi no necesita nada de configuración y por el otro lado se encuentra el modo “Extended protection” donde tenemos que pasar por un asistente de configuración que adaptara la forma de funcionar del WAF a la configuración del hosting, el servidor web y el intérprete PHP.
Lo ideal es que tengamos activo el modo “Extended protection” para que la protección sea lo más eficiente posible.

Una vez que tenemos el WAF o firewall de aplicación funcionando, tenemos tres modos para funcionar:

  • Enabled and Protecting: Cuando este modo está activo, el firewall estará funcionando y protegiendo el sitio web.
  • Learning Mode: Cuando el WAF está con este modo activo está continuamente aprendiendo que peticiones se realizan para añadirlas al listado de exclusiones, este modo tendría que estar activo al menos un par de semanas para que el WAF no detecte tantos falsos positivos.
  • Disabled: Evidentemente este modo lo que hace es desactivar por completo el WAF.

Si tu WAF de WordFence tiene algún problema o no consigues configurarlo, contacta con tu proveedor de hosting, ya que normalmente es el proveedor quien puede ofrecerte la configuración acertada para tu WAF, en caso de que no te ayuden, siempre puedes probar con NinjaFirewall (WP Edition).

 

Live Traffic de WordFence Security

Aunque es una de las funcionalidades estrella de WordFence, tiene un problema bastante grave, y es que consume bastantes recursos al encontrarse activo y en sitios web muy grandes pueden existir problemas de recursos, llegando incluso a triplicar el consumo de recursos del sitio web.

wordfence securityComo ves en la imagen anterior, puedes encontrar el “Live Traffic” de WordFence Security en el panel de administración de WordPress.

Además, desde la interfaz te informa del consumo de recursos que está haciendo el sistema de análisis de tráfico y desde los botones “Block this IP” o “Block this networks” podemos bloquear el tráfico o las visitas que vienen desde la red o la IP de una visita en concreto.

 

Bloqueos de IPs con WordFence Security

Una de las cosas más interesantes que trae WordFence Security es la capacidad de bloquear direcciones IP o rangos completos, además, podemos realizar los bloqueos directamente desde el Live Traffic de WordFence.

El módulo de “Advanced Blocking” que podemos encontrar en la interfaz de WordFence Security nos permite bloquear desde IPs a hostnames, referidos o incluso user-agents.

wordfence securityAunque el bloqueo de WordFence Security es potente, cuanto más “de raíz” cortemos los ataques más eficientes serán los bloqueos, por eso si te alojas en uno de nuestros hostings cPanel podrás bloquear los ataques desde la interfaz del panel, por otro lado si te alojas en uno de nuestros servidores VPS optimizados con VestaCP podrás bloquear los ataques con CSF o con el firewall integrado.

 

WordFence Security Premium

Como hemos dicho al principio del artículo, existe una versión Premium de WordFence Security con muchas más opciones que la versión gratuita.
Además de las funcionalidades, WordFence Security Premium también dispone de soporte Premium telefónico.

Estas son las funcionalidades extra que tiene la versión Premium de WordFence Security:

  • Country Blocking: Permite bloqueos de acceso a IPs de distintas zonas geográficas del planeta, filtrando directamente por países.
  • Password Audit: Permite realizar auditorías automáticas de las contraseñas de los usuarios.
  • Cellphone Sign-in: Permite mejorar la seguridad de la instalación de WordPress permitiendo la autentificación en dos pasos mediante mensaje de móvil.
  • Scan Shedule: Permite programar análisis que se ejecuten automáticamente.
  • Advanced Comment Spam Filter: Permite configurar el filtrado avanzado de spam en comentarios y formularios del sitio web.
  • Análisis avanzado en servidores remotos: Para los usuarios Premium WordFence Security utilizara la potencia de los servidores remotos de los desarrolladores de WordFence para mejorar la seguridad y la eficiencia en los análisis.

Como ves, WordFence Security tiene algunas funcionalidades más en la versión Premium que en la versión gratuita, aunque la versión gratuita tampoco está nada mal.

[Total: 12 Promedio: 4.3]

About the autor:

Mi nombre es Alvaro Fontela, soy consultor Wordpress y blogger activo desde hace años. Co-Fundador de Raiola Networks, escribiendo sobre Wordpress en este blog día tras día.