Como mejorar la seguridad de WordPress con Wordfence Security

Para hacer frente a cualquier tipo de ataque, vulnerabilidad y otros, vamos a utilizar el plugin Wordfence Security desarrollado por Feedjit Inc. que está disponible en el WordPress Plugin Directory de forma gratuita (aunque dispone de una versión mucho más completa de pago).

Se trata de un plugin de seguridad de clase empresarial gratuito que incluye un servidor de seguridad, escaner anti-virus, sistema de autenticación de dos pasos mediante token (móvil), análisis de enlaces maliciosos y tráfico en tiempo real incluyendo rastreadores.

Este plugin ofrece también una clave API Premium que da acceso desde dispositivos móviles a través de SMS, permite bloquear países y programar los análisis para momentos específicos, siendo también compatible con multisitios.

• Permite el bloqueo en tiempo real de atacantes conocidos. Si otro sitio que usa Wordfence es atacado y bloquea al atacante, tu sitio quedará protegido automáticamente.
• Puedes acceder utilizando tu contraseña y tu teléfono móvil para mejorar notablemente la seguridad de inicio de sesión (autenticación en dos pasos).
• Obligar a los administradores, editores y usuarios de un sitio web WordPress a cumplir con el uso de contraseñas seguras, mejorando con ello la seguridad del inicio de sesión.
• Puede escanear archivos principales, themes y plugins contra versiones del repositorio WordPress.org para comprobar su integridad. (Verifica la seguridad de la fuente, evitando la instalación de plugins fake).
• Incluye un cortafuegos para bloquear amenazas de seguridad comunes como Googlebots falsos, exploraciones maliciosos de atacantes y botnets.
• Permite el bloqueo completo de redes maliciosas. Incluye IP avanzada y WHOIS del dominio (solo para dominios globales .com, .org, .net, etc.) en el reporte de IP maliciosas o redes y bloquea redes enteras utilizando el firewall, informando de las amenazas de seguridad al dueño de la red.
• Monitoriza el cambio en los archivos de WordPress y opcionalmente repara archivos modificados que son un amenaza a la seguridad.
• Analiza en busca de firmas de más de 44.000 variantes de malware conocidas.
• Analiza en busca puertas traseras conocidas que crean agujeros de seguridad que incluyen shells como C99, R57, RootShell, Crystal Shell, Matamu, Cybershell, W4cking, Sniper, Predator, Jackal, Phantasma, GFS, Dive, Dx y muchas más.
• Continuamente analiza el sitio en busca de malware y todas las URLs de phishing en la lista de navegación segura de Google, en todos sus comentarios, mensajes y archivos que pudieran ser amenazas a la seguridad.
• Realiza análisis heurísticos en busca de puertas traseras, troyanos, códigos sospechosos y otros problemas de seguridad.
• Comprueba la intensidad de todas las contraseñas de los usuarios y de administradores para mejorar la seguridad del inicio de sesión.
• Vigila la seguridad de sus DNS para informar de los cambios de DNS no autorizados.
• Puedes bloquear aquellos bots, crawlers o scrapers que pueden afectar a tus reglas de seguridad.
• Incluye conexión de seguridad para bloquear hacks por fuerza bruta y detener WordPress para evitar revelar información que ponga en peligro la seguridad.
• Puedes visualizar todo el tráfico en tiempo real, incluyendo robots, seres humanos, errores 404, accesos y salidas y en que se consume la mayor parte de tu contenido. Mejora tu conocimiento de la situación de las posibles amenazas de seguridad a las que tu sitio está haciendo frente.
• Muestra una visión en tiempo real de todo el tráfico que incluye bots automatizados que a menudo constituyen amenazas a la seguridad y análisis de paquetes JavaScript que nunca se muestran.
• El tráfico en tiempo real incluye DNS inversa y geolocalización a nivel de ciudad. Permite conocer la zona geográfica de las amenazas de seguridad.
• Monitoriza el espacio en disco, valor que está relacionado con la seguridad, ya que muchos ataques DDoS tratan de consumir todo el espacio en disco para generar un denegación de servicio.
• Es compatible con WordPress Multisitios.
• También analiza todos los mensajes y comentarios en todos los blogs de un panel de administración (multisitios).
• Los usuarios Premium también pueden bloquear países y programar los análisis para momentos específicos y con una mayor frecuencia.

1. Instala el plugin Wordfence Security desde el dashboard, Plugins, Añadir nuevo.
2. Activa el plugin una vez instalado.
3. Acepta (si se desean recibir notificaciones) la propuesta de recibir avisos de seguridad en tu email.
4. Ir al menú de escaneo y comenzar la primera exploración de seguridad. También se habilitará el análisis de seguridad programado.
5. Una vez que la primera exploración se ha completado aparecerá una lista de las amenazas de seguridad. Revisarlas todas para asegurar tu sitio.
6. Opcionalmente, cambia el nivel de seguridad o ajusta las opciones avanzadas para configurar el análisis de seguridad individual y opciones de protección para tu sitio.
7. Haz clic en la opción de menú "Traffic Live" para ver la actividad de tu sitio en tiempo real. El conocimiento del estado de las cosas es una parte MUY importante de la seguridad del sitio web.

• Se realiza una colecta de datos de los archivos de WordPress, de los plugins y de los themes para comprobar que no tienen código malicioso incorporado.
• Recolecta datos de malware de la base de datos de Wordfence.
• Compara los archivos del nucleo de WordPress con los de la instalación.
• Escanea los themes en busca de Malware.
• Escanea los plugins en busca de Malware.
• Escanea otros archivos en busca de Malware.
• Escanea las URLs del sitio con Google Safe Browsing List.
• Escanea las URLs de los comentarios sitio con Google Safe Browsing List.
• Escanea las contraseñas.
• Escanea cambios no autorizados de DNS.
• Comprueba si hay espacio disponible en disco.
• Escanea themes y plugins antiguos.

• Establecer reglas del Firewall.
• Ocultar la versión de WordPress.
• Activar o desactivar el Firewall.
• Activar o desactivar opciones de seguridad en la autentificación.
• Activar o desactivar Live Traffic.
• Activar o desactivar programación de escaneos.
• Comprobación de la fortaleza de las contraseñas usadas.
• Permite configurar el nivel de seguridad (4 niveles).
• Permite configurar que alertas se dispararan.
• Permite ignorar elementos de Live Traffic (IP, usuarios o navegador).
• Permite elegir que elementos se analizaran durante el escaneo.
• Permite especificar límites de utilización de memoria.
• Permite configurar un correo electrónico al que enviar las alertas.

Wordfence Security es un plugin muy recomendado en WordPress, ya que permite proteger y analizar el comportamiento de muchos vectores que suelen ser fuente de ataques y añadir capas de seguridad adicionales para evitar que nuestro sitio web sea vulnerado.

Cabe recordar que recientemente el plugin Better WP Security para WordPress, concretamente la versión 3.6.3 se ha reportado como versión vulnerable frente ataques XSS (con exploit en el mercado negro a la venta) y hasta el momento no hay parche ni versión corregida disponible por parte de Bit51 (desarrolladores de este popular plugin de seguridad), lo que deja expuestos cientos de miles de sitios que actualmente hacen uso de este plugin. Quizás sea un buen momento para dar el paso a Wordfence Security y evaluar todas las posibilidades de las que os hemos hablado en este artículo y explorar cada una de las excelentes funcionalidades que incorpora.

Se trata de un plugin muy completo y actualizado constantemente por el equipo de Feedjit Inc. para incorporar las últimas funciones de seguridad y especializado en la caza de amenazas de seguridad más recientes a sitios web WordPress.