Justo hablaba del plugin Wordfence Security hace unos días, en el artículo sobre los plugins imprescindibles en cualquier instalación de WordPress, y lo nombraba como uno de los mejores para el tema de la seguridad en WordPress.
Pues ayer encontrábamos una actualización de este plugin que mejora aún más sus características, incluyendo una función de cortafuegos (firewall). Como requiere algo de configuración y presenta mejoras apreciables, la entrada de hoy la voy a dedicar a dar un repaso a esta nueva funcionalidad del Wordfence.
Tabla de contenidos
Novedades en Wordfence Security
La última versión (6.1) de Wordfence Security ha traído algunas mejoras; pocas en número pero muy sustanciales cualitativamente hablando.
Además de un par de escáners más (lo cual siempre es de agradecer en tanto en cuanto es un aumento en la seguridad de nuestra instalación de WordPress) ahora encontramos una nueva sección en el menú de Wordfence: la página de diagnósticos (Diagnostics la última opción del menú).
En ella puedes ver un resumen muy visual de todas las comprobaciones que hace Wordfence del estado de tu instalación de WordPress y del servidor, y de su resultado.
Así puedes ver el diagnóstico de un sólo golpe de vista: un error, un fallo de configuración, una alerta de seguridad, y podrás notarlo al instante. Muy útil en un plugin tan complejo y con tantas opciones y menús como éste. Parece mentira que no lo hubieran incluido antes.
En esta misma página (sigue hacia abajo, es kilométrica) puedes ver el estado de absolutamente todo:
- Plugins y themes activos y si están o no actualizados
- Cron jobs (las tareas programadas) de WordPress y de los plugins
- Estructura de las tablas de la base de datos
- Configuración del sistema
- Test de memoria (muy útil para comprobar el rendimiento tanto del servidor como de WordPress)
Wordfence Memory benchmarking utility version 6.1.2. This utility tests if your WordPress host respects the maximum memory configured in their php.ini file, or if they are using other methods to limit your access to memory. --Starting test-- Current maximum memory configured in php.ini: 128M Current memory usage: 61.75M Setting max memory to 90M. Starting memory benchmark. Seeing an error after this line is not unusual. Read the error carefully to determine how much memory your host allows. We have requested 90 megabytes. Completing test after benchmarking up to 80.25 megabytes. --Test complete.-- Congratulations, your web host allows you to use at least 80.25 megabytes of memory for each PHP process hosting your WordPress site.
El nuevo firewall (o cortafuegos) de Wordfence
Sin embargo la novedad que más llama la atención es la nueva funcionalidad de firewall web que incluye Wordfence desde esta versión.
¿Y por qué? Pues porque este cortafuegos provee un nivel más de protección, poniéndoselo aún más difícil a los hackers y haciéndonos sentir un poquito más seguros.
Configuración del firewall de Wordfence
Bueno, lo dicho hasta aquí seguro que (más o menos) lo habías notado… porque resulta que al actualizar te aparece un mensaje en tu escritorio de WordPress pidiéndote que configures el firewall de Wordfence. De hecho, ese aviso no desaparecerá hasta que lo hagas.
Pues bien, vamos a hacerlo.
Solamente tienes que pulsar en el aviso y te llevará a la pantalla de configuración, o bien puedes acudir a Worfence → Firewall (acabarás en el mismo sitio). Cuando llegues seguramente verás una pantalla así:
Y digo seguramente porque puede que en lugar de eso te encuentres con un mensaje diciéndote que no se ha podido crear el directorio /wp-content/wflogs/, y que debes dar permisos de escritura al directorio padre. Si te ocurre eso es porque no tienes correctamente establecidos los permisos en /wp-content/.
Este directorio debería tener permisos 755 (puedes establecerlos con FileZilla o con el cliente FTP que utilices habitualmente). Si los tienes tú restringidos por algún motivo concreto, también puedes crear dentro de /wp-content/ el directorio wflogs y, entonces sí, aplicar a ese directorio los permisos correspondientes.
Pero como ya te digo lo habitual es que llegues directamente a la pantalla de configuración. Ahí veras cómo tienes que establecer una configuración adecuada a tu servidor y al módulo que utilizarás. Wordfence te propondrá una en base a las comprobaciones automáticas que hace: a no ser que sepas lo que estás haciendo, ésa es la que debes dejar.
Respaldando el .htaccess
Una vez que pulsas continuar apareces en la siguiente pantalla:
Aquí te pide que, antes de continuar, hagas una copia de seguridad del archivo .htaccess. Bien hecho por Wordfence. El plugin tiene que añadir una regla a ese archivo y el 99% de las ocasiones no pasará nada, pero si pasa tu WordPress se puede estropear, así que más vale prevenir que curar.
De hecho, hasta que no pulses el botón para descargar el .htaccess no podrás continuar. Lo descargamos pues y seguimos sin miedo.
Pero ¡sorpresa! ya hemos acabado. ¿Esperabas más? Nada, ya está. Wordfence te propone una configuración por defecto. Acéptala porque, excepto en casos especiales, es la correcta. Y si tú fueras uno de esos casos especiales lo sabrías y, además, seguramente no estarías leyendo esto. 🙂
El «modo de aprendizaje»
Por defecto el firewall de Wordfence se activará en modo de aprendizaje (learning mode), una especie de modo de pruebas que puedes dejar hasta que compruebes que todo está funcionando correctamente.
También te informará en qué momento pasará automáticamente al modo activo (para evitar que te olvides de él dejándolo así), pero si te sientes cómodo puedes ponerlo tú mismo en cualquier momento acudiendo a Wordfence → Firewall y poniéndolo en Enabled and protecting.
Tiene por último una tercera opción para desactivarlo (Disabled) pero no es recomendable utilizarla a no ser que te dé algún tipo de problema.
Y eso es todo. A partir de hoy ya puedes estar un poquito más tranquilo respecto a la seguridad de tu WordPress. Y si tienes alguna duda, ya sabes que tienes tanto los comentarios como el formulario de contacto a tu disposición. 😉