Que es Wordfence Imprimir

Cuenta con más de 2 millones de instalaciones activas lo que hace a Wordfence el plugin de seguridad más utilizado.

Wordfence es un plugin freemium, es decir que es gratuito pero tiene funcionalidades Premium.

La versión Premium cuesta alrededor de 100 dólares al año, pero la versión gratuita es más que suficiente para conseguir una página web segura.

 

Características y funciones de Wordfence

Antes de empezar con el tutorial de Wordfence vamos a ver las características y funciones de Wordfence.

Tablero de información (Wordfence Dashboard) es donde podemos ver avisos e información relevante sobre la seguridad de nuestro sitio.

Escáner de Wordfence: Herramienta que nos permite detectar problemas en nuestra web como cambios en los archivos de WordPress, virus u otros elementos maliciosos.

Wordfence Application Firewall: es una barrera que analiza y bloquea las peticiones a nuestra web que creen indicios o patrones de ataques y en definitiva sin ponerme muy técnico el Firewall es un filtro que bloquea Ip,s que estén intentando hacer algo malo en nuestra página web.

Life Traffic: un visor que muestra una lista en tiempo real de los usuarios o bots que acceden a nuestra web y también muestra los usuarios y bots que bloquea el Firewall.

Protección de ataques de fuerza bruta: Wordfence incluye configuraciones específicas para impedir ataques de fuerza bruta (Cracks con intentos masivos de contraseñas), como solo permitir contraseñas seguras, límite de intentos de inicio de sesión y bloquear nombres de usuarios entre otras.

Bloqueo de IP: con Wordfence podemos bloquear Ip individuales, rangos de Ip, usuarios que vengan de un dominio en específico o que usen un navegador concreto.

Limitar la velocidad de rastreo de bots y humanos: con Wordfence puedes configurar las veces que se intenta acceder o rastrear tu web y poder dificultar el rastreo o navegación por tu web a bots y usuarios sospechosos.

Herramienta Whois Lookup: es un buscador que nos permite averiguar los datos relevantes a una ip o dominio como el nombre y email del dueño del dominio, el país de origen entre otros muchos datos.

PREMIUM Bloqueo por países: Con la versión Premium de Wordfence se puede denegar el acceso a nuestra web por países.

PREMIUM Doble factor de autentificación: con la versión Premium de Wordfence podemos implementar la doble verificación que nos enviara un código al teléfono móvil para acceder al panel de administración de WordPress.

PREMIUM Filtro Avanzado de spam en los comentarios: Un filtro contra el spam que incluye una base de datos que se actualiza en tiempo real para combatir los spammers conocidos.

PREMIUM Auditoria de contraseñas: Analiza las contraseñas de los usuarios de nuestra página web para indicar cuales son débiles y deben cambiarse por una contraseña fuerte.

PREMIUM Mejoras en el Escáner y Firewall:
Con la versión Pro de Wordfence el Escáner y el Firewall se actualiza al instante para incluir las nuevas amenazas que surjan con el tiempo, con la versión gratuita las nuevas amenazas no son incluidas hasta después de 30 días.

También incluye más funciones avanzadas para en el escaneo:

• Escaneo del código HTML de la parte publica en busca de virus y código malicioso y la configuración.
• Programación de escaneos: Configurar el tiempo en el que se ejecutan escaneos programados.
• Detectar si nuestra web genera spam o está en listas de correos de spam

PREMIUM Configurar los avisos de las notificaciones: con la versión Premium de Wordfence podemos configurar que notificaciones se muestran en la zona de administración de WordPress que incluye quitar las promociones de sus productos.

PREMIUM Soporte técnico: aunque los desarrolladores participan activamente en los foros y dan mucha información en su blog nunca está de más tener a expertos a golpe de teléfono.

 

Instalar Wordfence

Comenzamos el tutorial de Wordfence, primero comenzamos con la instalación.

Podemos instalar Wordfence en WordPress desde el menú de administración en Plugin > Añadir Nuevo y buscando Wordfence en el repositorio de WordPress.

 

 

El primer paso es poner un correo electrónico donde te llegarán las alertas de seguridad de tu página web.

Después, si has comprado la versión premium, podrás introducir tu Key para que se activen las funcionalidades de pago u omitir este paso.

 

Tablero de Información de Wordfence

El Tablero de información de Wordfence se encuentra en Wordfence > Dashboard y en este apartado podremos encontrar información variada y ver informes y estadísticas sobre la seguridad de la web.

También podremos ver las notificaciones de Wordfence, que nos pueden indicar por ejemplo que tenemos plugins no actualizados o cualquier otro problema que requiera nuestra atención.

El porcentaje del Firewall y del Scan son las reglas de seguridad que tienes configuradas, no te obsesiones en tenerlo al 100% ya que habrá opciones que no utilices según el caso.

 

Escáner de Wordfence

En el apartado Scan de Wordfence podemos ejecutar un escaneo de nuestra web pulsando en el botón “Start New Scan”.

El escaneo de Wordfence examinará los archivos de nuestro WordPress en busca de problemas de seguridad de todo tipo como código malicioso, url de spam, puertas traseras, vulnerabilidades conocidas y patrones de virus conocidos.

También hará varias comprobaciones del servidor, buscará cambios de DNS no autorizados, y comprobará que nuestra IP no está siendo utilizada para hacer actividades maliciosas.

Un escaneo de Wordfence comprueba aunque algunas características son para la versión Premium:

• Busca Malware
• Busca URL maliciosas
• Busca Patrones de infecciones
• Examina todos los archivos, publicaciones y comentarios
• Verifica y supervisa parámetros del servidor
• Realiza un escaneo al día por defecto.

 

El escaneo normalmente tarda entre 1 y 10 minutos, que depende de la configuración del escáner que veremos más adelante, del tamaño de tu web y de la memoria de tu servidor.

Y en la parte de abajo la pestaña Results Found podemos ver un resumen de todos los problemas y avisos que se han detectado en tu sitio web.

Los archivos peligrosos o que han sido modificados recientemente los muestra en rojo.

Nota: El primer error grave que suele encontrar el escáner es que existe el archivo wp-config-sample.php y el readme.html . Estos archivos los puedes borrar para mejorar la seguridad de WordPress.

wp-config-sample.php: Este archivo se utiliza solo para introducir los ajustes del servidor durante la instalación de WordPress.

readme.html: muestra la versión y información adicional de WordPress.

En el escáner, pueden aparecer otros archivos, algunos archivos que normalmente son falsos positivos son los del tipo .log que suelen ser log (archivos de registros) de los plugins. El escáner detecta estos archivos porque se modifican continuamente y por eso se marcan como archivos peligrosos aunque en realidad no lo son.

También, podemos ver los cambios producidos dentro del archivo y averiguar si los cambios son legítimos (como una simple traducción) o son un problema real.

 

Opciones del escáner de Wordfence

En las opciones del escáner podemos configurar los parámetros del escaneo de Wordfence. Estas opciones se encuentran en Scan Options > Scan Scheduling.

Programar el análisis

Programar el horario del escáner de Wordfence es una función Premium del plugin que nos permite elegir a qué frecuencia y hora queremos que se ejecute el escáner para poder elegir el momento de menor actividad de nuestra web.

Esta función es útil si tu web tiene grandes picos de actividad y quieres que los recursos web no se sobrecarguen en este tiempo.

Con la versión gratuita el escáner se ejecutará automáticamente una vez cada 24 horas a la hora que Wordfence decida para no sobrecargar sus servidores.

Tipo de escaneado

Basic Scan Type Options: permite configurar rápidamente el tipo de escaneo.

• Escaneo Limitado: Proporciona capacidad de detección limitada con muy baja utilización de recursos. Para hosting limitados.
• Escaneo Estándar: Nuestra recomendación para todos los sitios web. Proporciona la mejor capacidad de detección.
• Alta Sensibilidad: Para los propietarios de sitios que piensan que pueden haber sido pirateados. Más completo pero puede producir falsos positivos.
• Escaneo personalizado: Seleccionado automáticamente cuando las Opciones generales se han personalizado para este sitio web.

 

Opciones avanzadas de análisis de Wordfence

Podemos configurar las reglas de escaneo, los recursos del servidor como la memoria que el análisis va a utilizar y excluir archivos del escaneo dentro de Wordfence > Scan Options and Scheduling > General options

La configuración se utilizará con el escaneo de tipo «Custom Scan«.

 

 

Check if this website is on a domain blacklist PREMIUM: verificar si el sitio web aparece en las listas negras de dominios marcados como potencialmente peligrosos.

Check if this website is being «Spamvertised» PREMIUM: Una técnica de los hackers es introducir un script que redirige algunas url de nuestra página web a sitios web maliciosos, después estos hackers envían correos electrónicos con las URL de nuestro sitio para engañar a usuarios y redirigirlos a sus malvadas webs.

Activando esta opción Wordfence verifica si nuestra web está siendo utilizada en estos tipos de correos de spam altamente dañinos.

Check if this website IP is generating spam PREMIUM: Verifica si la IP de nuestra web está generando spam mediante algún malware.

Scan for misconfigured How does Wordfence get IPs: esta opción ayuda a Wordfence para averiguar la IP real de los usuarios que naveguen con proxys inversos.

Scan for publicly accessible configuration, backup, or log files: esta opción permite escanear la configuración de archivos que se puedan modificar de forma remota para después poder modificarlos e impedir que estos archivos sean accesibles.

Scan for publicly accessible quarantined files: busca archivos en cuarentena con la terminación .suspected.

Scan core files against repository versions for changes: analiza si hay cambios en los archivos principales de WordPress respecto a la versión del repositorio oficial de WordPress, que existan cambios es inusual y puede ser un indicador de infección de virus o modificación no autorizada.

Scan theme files against repository versions for changes: analiza si hay cambios en los archivos de los temas de WordPress que se encuentren en el repositorio oficial de WordPress, los temas comerciales no son analizados.

Scan plugin files against repository versions for changes: analiza si hay cambios en los archivos de los plugin de WordPress que se encuentren en el repositorio oficial de WordPress, los plugin comerciales no son analizados.

Scan wp-admin and wp-includes for files not bundled with WordPress: busca cambios o archivos incluidos dentro del directorio wp-admin y wp-includes

Scan for signatures of known malicious files: busca archivos maliciosos conocidos e incluidos en la base de datos de Wordfence.

Scan file contents for backdoors, trojans and suspicious code: Analiza los archivos en busca de puertas traseras troyanos y código sospechoso.

Scan file contents for malicious URLs: escanea el contenido de los archivos en busca de URL maliciosas que pueden ser utilizadas por los atacantes.

Scan posts for known dangerous URLs and suspicious content: Analiza los post en la base de datos en busca de url o contenido malicioso.

Scan comments for known dangerous URLs and suspicious content: Analiza todos los comentarios en la base de datos publicados en busca de url y contenido malicioso.

Scan WordPress core, plugin, and theme options for known dangerous URLs and suspicious content:  busca contenido malicioso conocido y URL peligrosas almacenadas en las opciones de WordPress, temas o plugins.

Scan for out of date, abandoned, and vulnerable plugins, themes, and WordPress versions: Te indica si tienes desactualizado WordPress, temas y plugin.

Scan for admin users created outside of WordPress: Comprueba si existen usuarios creados de forma remota por alguna vulnerabilidad que no sean creados desde la página de usuarios.

Check the strength of passwords: comprueba la fuerza de las contraseñas y busca si algún usuario utiliza contraseñas comunes.

Monitor disk space: comprueba que queda espacio en el disco del servidor.

Scan for unauthorized DNS changes: busca cambios de DNS no autorizados y nos alerta si nuestro dominio apunta a otra web.

Scan files outside your WordPress installation: analiza archivos del servidor fuera de la instalación de WordPress en busca de malware. Esta opción normalmente se deja desactivada y solo se utiliza cuando deseamos escanear a fondo un servidor para buscar algún virus que no detectamos con un escaneado normal.

Scan images, binary, and other files as if they were executable: Busca códigos maliciosos dentro de archivos que tienen una extensión de imagen como .png y otros. Es raro que esto suceda y esta opción no viene activada por defecto.

Enable HIGH SENSITIVITY scanning (may give false positives): Esta opción activa la alta sensibilidad del escaneo que hace que el escaneo sea más minucioso pero puede dar falsos positivos, esta opción no viene activada por defecto pero se puede utilizar si buscamos un virus y no nos importa ver falsos positivos para descubrirlo.

Opciones de uso de recursos del servidor (Performance Options)

En el apartado Scan options and Scheduling > Performance Options  tenemos las opciones y ajustes del escáner para moderar el uso de recursos del servidor.

 

Use low resource scanning (reduces server load by lengthening the scan duration); activa el escaneo que utiliza menos recursos del servidor para ejecutarse pero tardará más en completarse. Útil si tenemos pocos recursos de servidor.

Limit the number of issues sent in the scan results email: Con esta opción marcamos un límite de correos que Wordfence nos puede enviar sobre los errores de los análisis para no llenarnos la bandeja de correo.

Time limit that a scan can run in seconds: límite en segundos del tiempo que se puede ejecutar el escaneo, dejarlo vacío o poner 0 se utilizará el valor predeterminado máximo que son 3 horas.

How much memory should Wordfence request when scanning: memoria máxima que puede utilizar Wordfence cuando ejecuta el escáner.

Maximum execution time for each scan stage: si tenemos problemas con el escáner de archivos de Wordfence y no se completa puede ser por el tiempo máximo de ejecución de tu servidor.

Con esta opción, puedes controlar cuánto tiempo se ejecutará cada etapa del análisis hasta que se hace una pausa para guardar los datos de exploración y se reanude el análisis con la siguiente etapa y de esta forma solucionar ese problema de tiempo máximo de ejecución.

Prueba a poner 30 y ejecutar el escáner, si el problema persiste y no termina de ejecutarse el análisis prueba con 20, 15, o 10 (el valor tiene que ser mayor que 7).

Advanced Scan Options

En el apartado Scan options and Scheduling > Advanced Scan Options  podemos añadir reglas de búsqueda para malware concreto o excluir archivos del análisis.

 

Exclude files from scan that match these wildcard patterns (one per line): En este apartado podemos indicar extensiones o nombres de archivos (uno por línea) que no queremos que se analicen.

Si te aparecen estos falsos positivos y quieres asegurarte de que no son virus reinstala el tema o el plugin, descargándolo del sitio oficial.

Y después pon estos archivos que detecta como falsos positivos en la lista de archivos excluidos del análisis.

Additional scan signatures (one per line): Opción muy avanzada para la mayoría de usuarios. En esta sección puede agregar firmas de escaneo que serán procesados ​​por el escáner. Esta es una función avanzada que solo se puede usar de manera eficiente si está familiarizado con la estructura y función de las firmas de malware. Se debe ingresar una expresión regular sin el delimitador de patrones.

 

Firewall de Wordfence

El Firewall de Wordfence llamado “WAF Web Application Firewall” es un cortafuegos a nivel de aplicación que filtra las peticiones maliciosas a nuestro WordPress.

Este Firewall se ejecuta antes de que carguen los temas y plugins de nuestra web para combatir el posible código malicioso.

Es decir es una herramienta que analiza los bots a los humanos y los analiza, limita o bloquea según su configuración y otros criterios y detecta patrones de ataques o cualquier otro tipo de comportamiento inusual.

Protege de ataques comunes como:

• Inyección de código SQL
• Cross Site Scripting XSS
• Carga de archivos maliciosos
• Recorrido de directorios
• Inclusión de archivos locales
• Entidades externas de XML

 

Configurar el Firewall básico de Wordfence

Las opciones del firewall de Wordfence se encuentran en Wordfence > Firewall donde podemos encontrar el estado del firewall.

Para ver las opciones vamos a Manage Firewall o All Firewall Options

 

Existen dos niveles de protección del firewall, por defecto el nivel es el “Basic WordPress Protection” que protege contra muchos de los ataques web y no necesita configuración adicional.

Simplemente, al activar el plugin Wordfence, el Firewall se activa en modo aprendizaje, en este modo el firewall analizará durante una semana la actividad de nuestra página web para adaptar las reglas del firewall al uso que le damos a nuestra web y al comportamiento de los servicios adicionales y usuarios.

Una vez pasado el periodo de tiempo del modo de aprendizaje el Firewall Status pasa a “Enabled and Protecting” activado y protegiendo, en este modo el Firewall analiza y bloquea activamente las solicitudes con patrones de ataques conocidos y protege nuestra web de los atacantes.

 

Y después, también existe el nivel de protección extendido “Extended Protection” que protege más eficientemente nuestro servidor, este nivel necesita de configuración adicional (Lo explico a continuación).

 

Configurar el Firewall con la protección extendida en Wordfence

Para configurar el nivel “Extended Protection” tenemos que pulsar en el botón azul “Optimize the Wordfence Firewall”.

Una vez pulsado el botón tendremos que configurar varias opciones para que el Firewall funcione correctamente.

Primero tenemos que elegir el tipo de servidor que estamos utilizando, normalmente Wordfence detecta el tipo de servidor y te muestra la opción con el nombre del tipo de tu servidor y entre paréntesis “(recommended based on our tests)” pero mi recomendación es que preguntes al soporte de tu hosting que te indique cual es el tipo de servidor que utilizas.

Después, para poder continuar, Wordfence nos obliga a descargarnos una copia del archivo “htaccess” y en ocasiones del archivo “user.ini” ya que Wordfence va a realizar cambios dentro de estos archivos y si algo sale mal tendríamos una copia de este archivo para restaurarlo mediante FTP o el administrador de archivos del hosting. (Te recomiendo que hagas una copia de seguridad del servidor)

 

Una vez descargados estos archivos pulsamos el botón “Continue” y Wordfence modificara el htaccess y configurará el Firewall.

Nota: Las líneas de código que añade Wordfence al archivo htaccess son estas:

 

Si todo ha salido bien, nos mostrará un mensaje de verificación.

 

 

Ahora donde indica el “Protection Level” pone “Extended Protection” que nos indica que tenemos el nivel de protección más elevado del Firewall, después de la semana de aprendizaje el firewall avanzado se activará.

Opciones avanzadas del Firewall

En Wordfence > Firewall podemos encontrar el apartado Advanced Firewall Options.

Delay IP and Country blocking until after WordPress and plugins have loaded (only process firewall rules early): Esta opción es opcional y carga el bloqueo de IP y el bloqueo por países después de que cargue WordPress. Esta opción se utiliza si tienes algún problema con tu servidor o con un servicio externo que se esté cargando desde un país bloqueado o una url bloqueada.

Whitelisted IP addresses that bypass all rules: Las IP de esta lista no tendrán restricciones y no serán bloqueadas por el cortafuegos. Puedes configurar la IP de tu casa u oficina pero únicamente configura la IP en esta opción si estás seguro de que tu IP es fija, es decir que no es una IP dinámica que cambia con el tiempo.

Immediately block IPs that access these URLs: bloquear inmediatamente las IP que accedan a las URL indicadas. Si detectamos que estamos bajo un ataque masivo, en este campo podemos introducir las URL que estén siendo atacadas y así se bloquearán automáticamente las IP que intenten acceder a ellas.

Ignored IP addresses for Wordfence Web Application Firewall alerting: Estas direcciones se ignorarán de las alertas sobre ataques incrementados y se pueden usar para ignorar elementos como las alertas del escáner si sus constantes avisos nos molestan.

Reglas del Firewall: En las opciones del Firewall también podemos encontrar un listado con las reglas que utiliza el Firewall de Wordfence, estas reglas se actualizan con el tiempo y las podemos activar o desactivar, pero no deberías tocarlas si no sabes exactamente lo que haces.

Estas reglas protegen tu instalación de WordPress de los «posibles» agujeros de seguridad más atacados frecuentemente, ya sean de plugins, del propio WordPress u otros.

Protección de Fuerza Bruta

En las opciones de Wordfence > Firewall > Advanced Firewall Options > apartado “Brute Force Protection” podemos encontrar las opciones para proteger el Login de WordPress de ataques de fuerza bruta.

Esta protección, aplica entre otras medidas de seguridad, los límites de intentos de sesión que bloquea una IP cuando se intenta introducir muchas veces una contraseña errónea.

• Enable Brute Force Protection: Habilita / Deshabilita la protección de fuerza bruta.
• Lock out after how many login failures: en esta opción indicamos los intentos fallidos que un usuario puede cometer hasta ser bloqueado en el formulario de login de WordPress.
• Lock out after how many forgot password attempts: en esta opción indicamos los intentos fallidos que un usuario puede cometer hasta ser bloqueado en el formulario de contraseña perdida.
• Count failures over what time period: periodo de tiempo en el que los fallos de intento de sesión son tenidos en cuenta. Es decir que pasado el tiempo que indiquemos los fallos de inicio de sesión de un usuario vuelven a ser cero.
• Amount of time a user is locked out: cantidad de tiempo que un usuario es bloqueado.  Con solo 5 minutos se pueden frustrar los ataques de fuerza bruta, y no es tan restrictivo para evitar que un usuario normal tarde una hora en poder volver a poner su contraseña.
• Immediately lock out invalid usernames: bloquear inmediatamente la IP si se utiliza un nombre de usuario no válido. Si activamos esta casilla, se bloquearan las IP de los usuarios que intenten acceder con un nombre de usuario que no exista.
  ADVERTENCIA: No recomendada, ya que bloquearas a los usuarios que por error escriban mal su nombre en el login.
• Immediately block the IP of users who try to sign in as these usernames: Bloquear inmediatamente la IP de los usuarios que intentan iniciar sesión con los nombres de usuario indicados. Podemos bloquear nombres como Admin, Superadmin, Root, God y otros nombres que se usan comúnmente en informática para definir a usuarios con todos los permisos.

Opciones Adicionales:

• Enforce strong passwords: con esta opción podemos forzar a que las contraseñas que los usuarios utilicen para sus perfiles de WordPress sean seguras impidiendo introducir contraseñas comunes o débiles al crear o modificar los usuarios.
• Don’t let WordPress reveal valid users in login errors: WordPress por defecto muestra si en el login has introducido mal el nombre o la contraseña, esto puede dar pistas a los ciber delincuentes, activando esta opción estos avisos se ocultan para no dar esas pistas.
• Prevent users registering ‘admin’ username if it doesn’t exist: Impide registrar el usuario con el nombre Admin si no existe, que es el usuario más atacado.
• Prevent discovery of usernames through ‘/?author=N’ scans, the oEmbed API, and the WordPress REST API: Al activar esta opción se evita que los hackers sean capaces de descubrir los nombres de usuario por varios métodos.
• Block IPs who send POST requests with blank User-Agent and Referer: Los hackers suelen ocultar la identidad del navegador (User-agent) que están utilizando y la información que indica desde donde han llegado a nuestra web. Al activar esta casilla, los usuarios que no indiquen qué navegador utilizan serán bloqueados automáticamente.
• Check password strength on profile update: esta opción te avisa si un usuario cambia la contraseña de su perfil de usuario por una contraseña débil.
• Participate in the Real-Time WordPress Security Network: Activa la red de seguridad de Wordfence, se comparte de forma anónima datos con Wordfence sobre los ataques de las páginas web con el objetivo de bloquear los ataques más eficientemente.

Límite de velocidad de rastreo de bots y humanos

Podemos limitar la cantidad de veces que un bot puede rastrear y explorar nuestra web, esta es una configuración adicional que puede sernos útil en alguna ocasión.

Por ejemplo, es útil si detectamos que nos están robando y copiando nuestro contenido mediante la automatización de bots y queremos dificultar esta tarea.

O si detectamos que algún bot se hace pasar por Google o que nos rastrea páginas que no existen, que suelen ser indicadores de que busca agujeros de seguridad en nuestra web.

También, sirve para reducir las peticiones que generan estos robots y reducir el consumo de los recursos del servidor o impedir ataques que colapsen nuestra web por sobrecarga de peticiones.

Estas opciones se encuentran en Wordfence > Firewall > Advanced Firewall Options > apartado “Rate Limiting”

 

Enable Rate Limiting and Advanced Blocking: Activa o desactiva, las reglas limitación de velocidad de las peticiones, el bloqueo de IP, el bloqueo por países.

Immediately block fake Google crawlers: bloquear inmediatamente los bots que se hagan pasar por Google (Googlebot).

How should we treat Google’s crawlers: Esta opción específica cómo se trata al robot de Google y nos permite elegir entre 3 opciones:

• Los rastreadores de Google verificados tendrán acceso ilimitado al sitio web. (Recomendada para tener una buena indexación en Google)
• Cualquier rastreador que diga ser Google tendrá acceso ilimitado.
• Tratar a los rastreadores de Google como a cualquier otro rastreador.

Las siguientes opciones sirven para limitar el número de peticiones por minuto que puede hacer un robot o un humanodependiendo de cada caso.

Una vez excedido el límite de peticiones se puede bloquear al robot “block it” (No recomendado) o elegir la opción throttle it “Regularlo” que hará que los robots bajen su frecuencia de rastreo en cada caso.

If anyone’s requests exceed: Si cualquier bot excede X peticiones por segundo, que se bloque o se regule. Recomendación de Wordfence, 240 peticiones por minuto y Regularlo en caso de que excedan las peticiones.

If a crawler’s page views exceed: Si los rastreadores exceden un número de visitas a páginas. La recomendación de Wordfence, 240 peticiones por minuto y Regularlo.

If a crawler’s pages not found (404s) exceed: Si un rastreador excede las peticiones a páginas que no existen.

Recomendación de Wordfence, si tú web está bien cuidada y no tienes apenas errores 404 (página no encontrada), 30 peticiones por minuto y si se excede bloquearlo para impedir exploraciones en busca de vulnerabilidades.

Si tu web contiene muchas imágenes caídas y páginas que no funcionan no configurar esta opción ya que se puede bloquear a bots legítimos.

If a human’s page views exceed: Si un humano excede un número de visitas a páginas. La recomendación de Wordfence, 240 peticiones por minuto y regularlo.

If a human’s pages not found (404s) exceed: Su un humano excede un número de visitas a páginas que no existen. (La misma recomendación que en la opción de los bots).

If 404s for known vulnerable URLs exceed: Cuando se accede a páginas que no existen que coinciden con URL de vulnerabilidades conocidas la recomendación de Wordfence es 15 por minuto y bloquearlo.

How long is an IP address blocked when it breaks a rule: En esta opción elegimos cuanto tiempo estará una IP bloqueada cuando incumpla una regla de exceso de límite de peticiones.

Wordfence no dice una recomendación clara en su manual, únicamente dice que ellos utilizan entre 5 minutos y 1 hora. (Recomendación de Gerardo usar 5 minutos).

Whitelisted 404 URLs (one per line): Las URL de esta lista blanca no se tendrán en cuenta en las reglas de límite de rastreo de páginas no encontradas.

Wordfence detecta e incluye en este campo algunas URL que son buscadas por los bots como las URL del “Favicon” y otras imágenes utilizadas por ejemplo en dispositivos Iphone o las versiones de las imágenes de retina.

Esto es así para no confundir el comportamiento de los bots de los navegadores como si fuera un ataque que busca URL de tipo 404.

Lista blanca de URL,s

Las URL en esta tabla no serán analizadas por el firewall. Por lo general, se agregan mientras el firewall está en modo de aprendizaje o por un administrador que identifica que una acción o solicitud particular es un falso positivo.

La opción Monitor background requests from an administrator’s web browser for false positives, analiza solicitudes de URL,s que no cargan una página, sino que son tareas de administración que se realizan normalmente mientras trabajamos con WordPress o con plugins.

Wordfence Firewall puede bloquear estas solicitudes pero normalmente son falsos positivos ya que son solicitudes que hacen los plugins mientras estamos trabajando con ellos.

Si somos administradores, mientras estamos trabajando en WordPress o en un plugin que realice este tipo de solicitudes, nos mostrará un mensaje que dice «Background Request Blocked» y tendremos que indicar que esa acción es normal  y que la añada a esta lista blanca de URL.

Bloqueo manual de IP

Una medida de seguridad web básica es bloquear el acceso a las IP que intentan hacer el mal en nuestra web.

Wordfence, mediante el Firewall, bloquea las IP que realizan ataques a nuestra web y también bloquea las IP que rompen las reglas de protección del login contra los ataques de fuerza bruta.

Pero también podemos bloquear IP manualmente desde las opciones Wordfence > Firewall > pestaña Blocking.

También podemos ver un listado de las Ip bloqueadas manual o automáticamente. Las IP bloqueadas automáticamente por Wordfence se limpian en el tiempo dependiendo de las configuraciones del firewall.

Podemos encontrar 3 tipos de bloqueo de IP en el campo Block Type.

• IP Address: bloqueo básico
• Country: bloqueo de IP por países
• Custom Pattern: bloqueo de IP por parámetros

Bloqueo Básico de IP

En la pestaña IP Address: Bloquea cualquier dirección IP indicando su numeración y también puedes indicar la razón de porqué la has bloqueado para que no se te olvide.

 

Bloqueo avanzado de IP

En la pestaña Custom Pattern: es el bloqueo de ip avanzado donde podemos introducir datos adicionales para bloquear IP mediante rangos de IP, nombre de host, tipo de navegador o web referente.

• Ip address range: introduce un rango de IP para bloquear todas la IP de un rango y que no tendrán acceso a tu web.
• Hostname: nombre del dispositivo desde el que está conectado un usuario.
• User-Agent (browser) that matches: permite bloquear IP de usuarios que vienen desde un navegador web concreto introduciendo el nombre del navegador “User-agent”.
• Referer (website visitor arrived from) that matches: permite bloquear IP de usuarios que vengan directamente desde otro dominio. Puede ser de mucha ayuda cuando detectas que el spam o los ataques vienen siempre de la misma web o foro de hackers.
• Block Reason: esta opción es simplemente un campo en el que podemos poner la razón por la que creaste una regla de bloqueo, es decir que es solo para tu organización personal.

 

Bloqueo de países de Wordfence

Con la versión Premium de Wordfence también podemos bloquear directamente los países desde los cuales recibimos los ataques a nuestra web.

Estas opciones se encuentran en Wordfence > Firewall > pestaña Blocking 

Es una manera efectiva de bloquear las peticiones masivas generadas desde un país en concreto.

Aunque puede dar muchos problemas derivados ya que si utilizamos servicios web de servidores que se encuentren en los países bloqueados estos dejaran de funcionar.

El bloqueo por países es una medida de seguridad avanzada que no se debe implementar a la ligera ya que si no sabes lo que haces dejaras inutilizadas funciones de tu web e incluso acabarás bloqueado en tu propio sitio.

Además ciertos servicios web como Google Adwords no permiten tener esta medida implementada en la web.

La siguiente imagen corresponden a la versión anterior de Wordfence, pero deberían ayudarte a configurar algunas opciones.

 

Opciones de bloqueo de países

What to do when we block someone: qué hacer cuando se bloquea a alguien, podemos mostrar un mensaje de Wordfence o podemos redireccionar al usuario a una URL concreta donde por ejemplo expliquemos las razones por las que a sido bloqueado.

URL to redirect blocked users to: Url a la que los usuarios serán redirigidos si hemos elegido la opción correspondiente en el campo anterior.

Block countries even if they are logged in: con esta opción los usuarios serán bloqueados según el país incluso si están registrados en WordPress.

Block access to the rest of the site (outside the login form): Bloquear el acceso al login en los países elegidos para impedir que los usuarios de estos países se registren.

Block access to the rest of the site (outside the login form): Bloquear el acceso a la parte pública de la web a los países elegidos.

Si utilizas Google AdWords o un servicio externo parecido no actives esta opción para que funcione correctamente.

 

Opciones avanzadas del bloqueo de países

Con estas opciones podemos crear una puerta trasera para saltarnos el bloqueo de países.

Bypass Redirect: en esta opción podemos introducir una URL secreta que redirigirá al usuario a otra URL que queramos de nuestra web y se le añadirá una Cookie con la que tendrá acceso a la web saltándose el bloqueo por países.

Bypass Cookie: esta opción es parecida a la anterior, simplemente elegimos una URL que si accedemos a ella (antes de viajar a un país bloqueado) y se nos instala una cookie en el navegador para poder saltarnos la restricción de países.

 

Lista de países

En la parte inferior de las opciones podemos encontrar el listado de países que podemos bloquear.

Recomendaciones:

No bloques a los Estados Unidos, ni a países de Europa ya que puedes bloquear desde los robots de Google hasta servicios legítimos que utilices en tu web como servicios CDN, servicios de plugins como Akismet o Jetpack.

No implementes esta medida si muestras publicidad de Google Adwords en tu página web ya que este servicio no lo permite.

No bloques países si no es estrictamente necesario y solo si detectas una gran cantidad de ataques procedentes del mismo país.

 

Tráfico en tiempo real

Wordfence nos permite ver en tiempo real el tráfico de nuestra página web y ver que robots y humanos visitan nuestra web.

En esta sección también se muestran los usuarios bloqueados por el firewall, así que también es un registro de bloqueados.

Esta Herramienta está en Tools > Live Traffic

Y no solo podemos ver quién está accediendo a nuestra web en cada momento, sino que además nos muestra información relevante sobre este usuario como:

• El tipo de usuario (Humano o bot)
• Usuarios con advertencias
• Usuarios bloqueados
• Usuarios que han sido bloqueados por el firewall
• Ciudad desde la que se conecta
• La Url a la que intenta acceder
• Fecha de conexión
• La ip del usuario
• El nombre del host desde el que se conectan
• El navegador y sistema operativo que utiliza el usuario

 

Como vemos es mucha información, pero también es muy útil, ya que podemos ver si un usuario de otro país está intentando acceder al login una y otra vez, lo que es un comportamiento bastante sospechoso.

Además, podemos bloquearlo pulsando el botón “Block IP”, aunque si está introduciendo contraseñas a lo loco o se percibe un comportamiento sospechoso el Firewall lo bloquea automáticamente.

Si nos fijamos en el comportamiento de los usuarios bloqueados podemos darnos cuenta de los archivos y Url de WordPress que son más atacados como:

• El login de WordPress wp-login.php
• El archivo xmlrpc.php
• El archivo admin-ajax.php

 

Configuración de Live Traffic

En el apartado de Live Traffic Options  tenemos opciones adicionales.

Si no te interesa ver toda la actividad en tiempo real de tu sitio web, puedes desactivar esta función con el botón ON / OFF.

Lo recomendable es que desactives el visor de tráfico en tiempo real ya que va aumentando la base de datos de WordPress y puede generar problemas de optimización.

De esta manera solo se mostraran los usuarios bloqueados por el Firewall para estar al tanto de las amenazas.

Y ahorrarás recursos del servidor y ayudas a mantener la base de datos de WordPress más ligera.

<img class="aligncenter size-full wp-image-3497 lazyloaded" src="https://sensaci