Justo hablaba del plugin Wordfence Security hace unos días, en el artículo sobre los plugins imprescindibles en cualquier instalación de WordPress, y lo nombraba como uno de los mejores para el tema de la seguridad en WordPress.
Pues ayer encontrábamos una actualización de este plugin que mejora aún más sus características, incluyendo una función de cortafuegos (firewall). Como requiere algo de configuración y presenta mejoras apreciables, la entrada de hoy la voy a dedicar a dar un repaso a esta nueva funcionalidad del Wordfence.
Tabla de contenidos
Novedades en Wordfence Security
La última versión (6.1) de Wordfence Security ha traído algunas mejoras; pocas en número pero muy sustanciales cualitativamente hablando.
Además de un par de escáners más (lo cual siempre es de agradecer en tanto en cuanto es un aumento en la seguridad de nuestra instalación de WordPress) ahora encontramos una nueva sección en el menú de Wordfence: la página de diagnósticos (Diagnostics la última opción del menú).
En ella puedes ver un resumen muy visual de todas las comprobaciones que hace Wordfence del estado de tu instalación de WordPress y del servidor, y de su resultado.
Así puedes ver el diagnóstico de un sólo golpe de vista: un error, un fallo de configuración, una alerta de seguridad, y podrás notarlo al instante. Muy útil en un plugin tan complejo y con tantas opciones y menús como éste. Parece mentira que no lo hubieran incluido antes.
En esta misma página (sigue hacia abajo, es kilométrica) puedes ver el estado de absolutamente todo:
- Plugins y themes activos y si están o no actualizados
- Cron jobs (las tareas programadas) de WordPress y de los plugins
- Estructura de las tablas de la base de datos
- Configuración del sistema
- Test de memoria (muy útil para comprobar el rendimiento tanto del servidor como de WordPress)
Wordfence Memory benchmarking utility version 6.1.2. This utility tests if your WordPress host respects the maximum memory configured in their php.ini file, or if they are using other methods to limit your access to memory. --Starting test-- Current maximum memory configured in php.ini: 128M Current memory usage: 61.75M Setting max memory to 90M. Starting memory benchmark. Seeing an error after this line is not unusual. Read the error carefully to determine how much memory your host allows. We have requested 90 megabytes. Completing test after benchmarking up to 80.25 megabytes. --Test complete.-- Congratulations, your web host allows you to use at least 80.25 megabytes of memory for each PHP process hosting your WordPress site.
El nuevo firewall (o cortafuegos) de Wordfence
Sin embargo la novedad que más llama la atención es la nueva funcionalidad de firewall web que incluye Wordfence desde esta versión.
¿Y por qué? Pues porque este cortafuegos provee un nivel más de protección, poniéndoselo aún más difícil a los hackers y haciéndonos sentir un poquito más seguros.
Configuración del firewall de Wordfence
Bueno, lo dicho hasta aquí seguro que (más o menos) lo habías notado… porque resulta que al actualizar te aparece un mensaje en tu escritorio de WordPress pidiéndote que configures el firewall de Wordfence. De hecho, ese aviso no desaparecerá hasta que lo hagas.
Pues bien, vamos a hacerlo.
Solamente tienes que pulsar en el aviso y te llevará a la pantalla de configuración, o bien puedes acudir a Worfence → Firewall (acabarás en el mismo sitio). Cuando llegues seguramente verás una pantalla así:
Y digo seguramente porque puede que en lugar de eso te encuentres con un mensaje diciéndote que no se ha podido crear el directorio /wp-content/wflogs/, y que debes dar permisos de escritura al directorio padre. Si te ocurre eso es porque no tienes correctamente establecidos los permisos en /wp-content/.
Este directorio debería tener permisos 755 (puedes establecerlos con FileZilla o con el cliente FTP que utilices habitualmente). Si los tienes tú restringidos por algún motivo concreto, también puedes crear dentro de /wp-content/ el directorio wflogs y, entonces sí, aplicar a ese directorio los permisos correspondientes.
Pero como ya te digo lo habitual es que llegues directamente a la pantalla de configuración. Ahí veras cómo tienes que establecer una configuración adecuada a tu servidor y al módulo que utilizarás. Wordfence te propondrá una en base a las comprobaciones automáticas que hace: a no ser que sepas lo que estás haciendo, ésa es la que debes dejar.
¿Estás construyendo tu tienda online o eres implementador WordPress?
¿Necesitas plugins de calidad y con soporte para implementar funcionalidades concretas?
Consigue todos los plugins a la venta en la sección de plugins de esta web y todos los que siga añadiendo. Acceso a los 96 plugins (y subiendo) con soporte directo del desarrollador, actualizaciones y uso ilimitado: úsalos en tantas webs como lo necesites.
Respaldando el .htaccess
Una vez que pulsas continuar apareces en la siguiente pantalla:
Aquí te pide que, antes de continuar, hagas una copia de seguridad del archivo .htaccess. Bien hecho por Wordfence. El plugin tiene que añadir una regla a ese archivo y el 99% de las ocasiones no pasará nada, pero si pasa tu WordPress se puede estropear, así que más vale prevenir que curar.
De hecho, hasta que no pulses el botón para descargar el .htaccess no podrás continuar. Lo descargamos pues y seguimos sin miedo.
Pero ¡sorpresa! ya hemos acabado. ¿Esperabas más? Nada, ya está. Wordfence te propone una configuración por defecto. Acéptala porque, excepto en casos especiales, es la correcta. Y si tú fueras uno de esos casos especiales lo sabrías y, además, seguramente no estarías leyendo esto. 🙂
El “modo de aprendizaje”
Por defecto el firewall de Wordfence se activará en modo de aprendizaje (learning mode), una especie de modo de pruebas que puedes dejar hasta que compruebes que todo está funcionando correctamente.
También te informará en qué momento pasará automáticamente al modo activo (para evitar que te olvides de él dejándolo así), pero si te sientes cómodo puedes ponerlo tú mismo en cualquier momento acudiendo a Wordfence → Firewall y poniéndolo en Enabled and protecting.
Tiene por último una tercera opción para desactivarlo (Disabled) pero no es recomendable utilizarla a no ser que te dé algún tipo de problema.
Y eso es todo. A partir de hoy ya puedes estar un poquito más tranquilo respecto a la seguridad de tu WordPress. Y si tienes alguna duda, ya sabes que tienes tanto los comentarios como el formulario de contacto a tu disposición. 😉
Marly dice
Muchas gracias, me sirvió un montón tu tutorial. 🙂 Ya lo compartí vía Twitter.
Saludos!
Enrique J. Ros dice
Muchas gracias a ti por tu comentario, Marly, y por compartir. Me alegra que te haya sido útil 🙂
Un saludo!
Ivan dice
Hola Enrique!
Aquí el 1% al que le ha dado problemas la actualización. Lo más gracioso es que en una instalación de un cliente parece funcionar correctamente, aunque hoy me pide actualizar de nuevo.
Dos actualizaciones tan seguidas me hace sospechar de si realmente no metieron la pata con la actualización anterior.
Un saludo!
Enrique J. Ros dice
Hola Iván, ante todo gracias por tu comentario!
Si, efectivamente hoy había nueva actualización (ayer por la tarde, en realidad)… algo que no es tan extraño cuando se trata de cambios importantes en plugins grandes: siempre van saliendo cosillas tras la actualización masiva.
A mí no me ha dado problemas ninguna de las webs en las que lo tengo implementado, y son unas cuantas. De todos modos lo que ha causado problemas y que ha originado esta última actualización son las IPv6 que se hayan puesto en lista blanca por rango, revisa si el error con la instalación de tu cliente puede venir por ahí.
Un saludo!
Elian dice
Hola Enrique
Muy bueno tu post, yo utilizo wordfence en todos mis sitios y brinda muy buena proteccion.
Me gustaria hacerte una pregunta, recientemente al scanear wordfence se detiene y muestra este mensaje: Scan can’t continue – stored data not found after a fork. Got type: boolean
Ya recurri a varios de los consejos que se dan para arreglarlo pero en mi caso no funciona, como por ejemplo: marcar el disable config caching o Start all scans remotely en la zona de diagnostics.
Sabes de alguna otra forma de darle solucion, quizas te haya sucedido a ti que tambien usas wordfence.
Tampoco tengo el .htaccess bloqueando wordfence. Ya no se que hacer.
Te agradeceré la ayuda.
Enrique J. Ros dice
Hola Elian
Ante todo gracias por tu comentario. Efectivamente, tiene pinta de ser un problema con la configuración cacheada, aunque por lo que me dices ya has probado a desactivar la caché de configuración y sigue sin funcionar.
En una situación así lo que prima es dar soporte eficiente y rápido al cliente, así que si una vez probado lo que sería normal el problema persiste, lo mejor que puedes hacer es obtener soporte directo de Wordfence en su foro de soporte. Una de las cosas que caracterizan a los buenos plugins es un soporte rápido y profesional 🙂
Un saludo!
Iván dice
Hola Enrique,
yo también he tenido problemas al actualizar Wordfence y he optado por desactivarlo ya que lo tenía en una tienda online y daba error cuando los clientes añadían productos al carrito.
También me saltaba un error al guardar los ajustes de un plugin (concretamente mail poet)
Respecto al error al añadir al carrito no se si será por usar el plugin para personalizar los productos Fancy Product Designer.
Seguiré investigando a ver que descubro.
Enhorabuena por el post 😉
Enrique J. Ros dice
Hola Iván. Muchas gracias ante todo por tu comentario. Y por las advertencias. Yo también uso Mailpoet en algunas webs y de momento sin problemas.
Lo del añadir al carrito sí que suena a incompatibilidad con algún plugin. Puedes intentar averiguar con cuál desactivándolos y probando, o prescindir de Wordfence, pero si haces esto último sobre todo no dejes tu instalación sin un plugin de seguridad. Puedes probar iThemes Security, que también es muy recomendable.
Gracias otra vez. Un saludo.
Luis dice
Magnifico el articulo!! Justo estaba buscando de qué trataba ya que actualice el plugin y no sabía nada acerca de esta novedad de Wordfence. Saludos y muchas gracias por la información
Enrique J. Ros dice
Gracias Luis, me alegra que te haya sido útil 🙂
Un saludo.
Nuria dice
Gracias por la info! La verdad es que cuesta encontrar información actualizada de éste tipo en castellano, así que gracias por mantenernos al día y en nuestro idioma 😉
En mi caso, el firewall de wordfence me bloquea cuando intento guardar cambios en el head de mi web desde las opciones del tema. Para comprobarlo, he desactivado Wordfence en una copia de mi web en Localhost y confirmado que, con el pluguin desactivado, sí que puedo hacer los cambios.
¿Hay algún problema en desactivar el pluguin por un momento, hacer los cambios que quiero hacer y volverlo a activar? Imagino que, aunque lo desactive, la configuración que le había dado al pluguin se queda almacenada y será restaurada otra vez cuando lo vuelva a activar, ¿es así?
Muchas gracias!
Enrique J. Ros dice
Hola Nuria. Gracias a ti por tu comentario.
No, no hay ningún problema en desactivarlo y volverlo a activar. Como dices no tendrás que volver a configurar nada, las opciones se mantienen. De todos modos, si quieres, al final de la página de opciones de WordFence tienes un botón para exportar la configuración. Si lo usas te da un token, una cadena de letras y números, que luego puedes usar para volver a importarla. Es muy útil cuando administras varios sitios web y tienes una configuración más o menos estándar, pero en tu caso puedes utilizarlo como copia de seguridad.
Un saludo.
Nuria dice
Muchas gracias por tu respuesta Enrique, que además que más que correcta has sido rapidísimo!
Más que yo 😉 que quería autocontestarme con ésta info (in English) que acabo de encontrar:
By default if you disable Wordfence, the database tables will remain in place with their data. This is to ensure that if you accidentally or temporarily disable Wordfence you won’t lose your configuration or the data you have accumulated like the live traffic data.”
Así que, entre ésta opción y lo que tú bien me comentas, tengo las espaldas más que cubiertas 🙂
Mil gracias y enhorabuena!
Vas directo a favoritos y me ha encantado ése servicio de “emergencias WordPress”, lo tendré bien en cuenta.
Enrique J. Ros dice
Gracias a ti de nuevo Nuria, por complementar la información. Me alegra haberte sido útil 🙂
Y quedo a tu disposición para lo que necesites 🙂
Un saludo.
Alois Glogar dice
Hola Enrique:
Acabo de instalar el pluggin y aun no puedo decir si estoy contento o no con el… Porque intentando hacer el “Scan” siempre se me queda parado en este punto:
En la ventana “SCAN SUMMARY”:
[Dec 19 13:15:43]Scanning file contents for infections and vulnerabilities
[Dec 19 13:15:43]Scanning files for URLs in Google’s Safe Browsing List
Y en la ventana “SCAN DETAILED ACTIVITY”:
Scanned contents of 312 additional files at 9.00 per second
Lo he dejado “rodando” toda la noche y, al levantarme, seguía igual. No se si debiera de desactivar alguna opción, instalar desinstalar…
Lo he activado después de ser victima de un ataque de un hacker ruso y de ser penalizado por ello por Google… Así que no se si esto también tendrá algo que ver.
Gracias anticipadas.
Enrique J. Ros dice
Hola Alois.
Si te han hackeado la web, deberías comenzar por echar un vistazo a esto antes que nada.
Un saludo.