Wordfence Login Security – Seguridad de Acceso en WordPress

Categorias: Wordpress

wordfence login security para WordPress

Uno de los plugins de seguridad más populares para WordPress es Wordfence.

Es una suite completa de seguridad extra para nuestro WordPress que incluye todo lo necesario y más para evitar los problemas de seguridad más comunes en el popular gestor de contenido.

Firewall, escaneo de malware, herramientas de seguridad, alertas de modificación de archivos, y un largo etcétera lo han convertido en una de las opciones favoritas de los usuarios de WordPress.

Dispone de una versión premium de pago con más características y con las nuevas reglas del firewall añadidas antes que en la versión free, aunque esta última versión, la gratuita, es suficiente para millones de usuarios.

El mayor problema que puede tener el plugin Wordfence es el consumo de recursos del hosting y la consecuente ralentización, así que algunos usuarios declinan usar el plus de seguridad.

Por este motivo, Wordfece lanzó una versión inferior de su plugin, con muchas menos características, centrándose en los principales problemas del login de WordPress.

Este plugin se llama Wordfence Login Security y vamos a ver cuáles son sus características y cómo funciona.


Tenemos diferentes tipos de hosting, selecciona uno:


Plugin Wordfence Login Security

El plugin Wordfence Login Security es gratuito, aunque al instalarlo nos indica que este plugin se trata de un subconjunto de funcionalidades que ya se encuentran en la versión completa del plugin Wordfence.

Si ya tienes instalado el plugin Wordfence, no es necesario que instales el plugin Wordfence Login Security.

Esto quiere decir que, si ya tienes instalado Wordfence, ya tienes instaladas las funcionalidades de «Wordfence Login Security» y no debes instalarlo.

La opción de Wordfence Login Security sólo es necesaria si no se quiere utilizar la versión completa de Wordfence.

Las funcionalidades que nos aporta Wordfece Login Security son las siguientes:

  • – Autenticación en Dos Factores (2FA)
  • – Protección XML-RPC
  • – Añadir Captcha al Inicio de Sesión de WordPress

Lo primero que tenemos que hacer es descargar y activar el plugin Wordfence Login Security y activarlo, si lo prefieres puedes descargarlo desde aquí.

wordfence login plugin WordPress

Al activar el plugin encontraremos un nuevo menú llamado Login Security en la administración de nuestro WordPress.

wordfence login security menu - WordPress

Al acceder veremos en la parte superior el aviso de que podemos usar la versión completa de Wordfence. Pasamos de él y a continuación podemos ver que lo primero que no invita a configurar es la Autenticación en Dos Factores o 2FA.

La Autenticación en Dos Factores añade una nueva capa de seguridad al loguearnos en WordPress, ya que además de las credenciales de acceso, necesitaremos la confirmación desde otro dispositivo, generalmente el móvil.

De esta manera, aunque un atacante conociera nuestros datos de acceso, no podría acceder, a no ser que tuviera acceso a nuestro móvil, claro.

Para poder activarla necesitamos instalar una app de autenticación en nuestro móvil y esta es una lista de las apps compatibles con este plugin:

  • Google Authenticator
  • Sophos Mobile Security
  • FreeOTP Authenticator
  • 1Password (mirar antes este enlace)
  • LastPass Authenticator
  • Microsoft Authenticator
  • Authy 2-Factor Authentication

Quizás las más populares sean Google Authenticator y Microsoft Authenticator, pero esto ya es un gusto personal, el caso es que tienes que tener una de estas aplicaciones instalada en el móvil.

Ten en cuenta que al activar esto, necesitarás tener tu móvil a mano para poder acceder a tu WordPress.

Lo que verás será algo parecido a esto:

wordfence login configuracion WordPress

Lo que tienes que hacer desde la app del móvil, es escanear el código que se muestra en tu pantalla.

Todas la apps de autenticación deberían tener esta opción. Si no la encuentras contacta con el desarrollador o busca en Google algún tutorial.

Al hacerlo, el login de Wordfence se añadirá a nuestra app y se mostrará un código con un reloj de tiempo atrás.

El código cambia cada cierto tiempo y el que se muestre en ese momento, es el que tenemos que poner en el apartado correspondiente en nuestro WordPress y pulsar en Activate. (Mirar Imagen).

wordfence login anadir codigo WordPress

Una vez hecho esto, nos aparecerá una advertencia par descargar unos códigos de «rescate», en caso de que perdamos el móvil o no tengamos acceso a él, poder acceder a nuestro WordPress.

Sólo tienes que descargarlos y guardarlos en lugar seguro.

wordfence login codigos rescate WordPress

Ahora cuando intentemos loguearnos en WordPress nos pedirá, ademas de usuario y contraseña, el código 2FA que indique la app de autenticación.

wordfence login 2fa WordPress

Una vez hayamos configurado el acceso 2FA, tenemos que ir a la pestaña Settings del plugin para terminar de configurar el resto de opciones.

wordfence login settings WordPress

Configuración XML-RCP en Wordfence Login Security

En los Settings podemos ver las opciones que podemos activar respecto a XML-RCP.

En comparación con los ataques a la página de login de WordPress, los ataques de acceso hacia XML-RCP son muy superiores, de hecho son la mayoría, así que siempre es una buena idea protegerlos.

El problema es que XML-RCP es una característica de WordPress para poder comunicarse con otras aplicaciones, así que en ocasiones es imprescindible que esté activada.

Al añadir la autenticación en dos factores con este plugin, se añade automáticamente la misma autenticación en XML-RCP, pero algunos plugins no son compatibles con esto, en cuyo caso, no nos quedará otra que desactivar esta autenticación 2FA en XML-RCP.

Por ejemplo, si usas el popular plugin Jetpack, tendrás que desactivar esta opción. Esto es lo que dicen al respecto:

Si está habilitado, las llamadas XML-RPC que requieren autenticación también requerirán que se agregue un código 2FA válido a la contraseña. Debe elegir la opción «Skipped» si utiliza la aplicación WordPress, el complemento Jetpack u otros servicios que requieren XML-RPC.

Como hemos dicho, el 2FA está activado por defecto en XML-RPC, así que si tienes que usarlo, deberás pulsar el botón SKIPPED.

wordfence login skipped WordPress

También nos ofrece la posibilidad de desactivar por completo XML-RPC, sin autenticación 2FA, ni nada, pero tienes que estar seguro de que no lo utilizas o podría darte problemas.

También nos ofrece una opción para añadir direcciones IP que se «salten» la autenticación 2FA.

wordfence login xml-rpc WordPress

reCAPTCHA en Wordfence Login Security

La última opción de configuración que tenemos es el poder añadir reCAPTCHA, el sistema de verificación automático para evitar los bots (robots).

Al llegar a este punto tenemos una advertencia indicando que reCAPTCHA no es compatible con el login de WooCommerce, por lo que es algo a tener en cuenta si estamos usando este plugin.

El sistema reCAPTCHA es de Google y en su última versión, la v3, ya no es necesario resolver puzzles o marquen alguna casilla, ya que se comprueba el navegador para detectar si lo está usando un humano o un robot.

wordfence login recaptcha WordPress

Si el navegador de un visitante falla el test CAPTCHA, Wordfence enviará un correo electrónico a la dirección del usuario con un enlace para que pueda hacer clic para verificar que es un usuario de su sitio.

De esta manera no evitamos el engorro de tener que «lidiar» con los múltiples bots que invaden Internet

Hay un sistema de puntuación en el que podemos «afinar» el test, para que sea más agresivo o más laxo. Si falla la puntuación se requerirá una verificación adicional.

Para configurar reCAPTCHA se requieren unas claves que proporciona Google en su sitio y que puedes conseguir desde esta URL. (Es necesaria una cuenta de Google)

crear captcha google

Cosas a Tener en Cuenta

Como puedes ver, el plugin Wordfence Login Security es una buena alternativa si no se quieres usar la versión completa de Wordfence y queremos mantener seguros los accesos en WordPress.

La versión completa tiene todas estas funcionalidades más el Firewall y el scan de Malware, entre otras cosas, pero cargará más nuestro hosting y los tiempos de respuesta pueden empeorar.

Si te decantas por los plugins de Wordfence, será tuya la decisión de usar uno u otro plugin, pero siempre es conveniente añadir una capa de seguridad extra en nuestro WordPress, sea de Wordfence u otra alternativa.

Hosting WordPress SSD

  • Hosting especializado en WordPress con discos SSDWordPress 1desde4´38€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 2desde5´54€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 3desde8´34€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 1desde4´38€/mes
  • Hosting especializado en WordPress con discos SSDWordPress 2desde5´54€/mes
  • Hosting especializado en WordPress con discos SSDWordPress 3desde8´34€/mes
    • Almacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSD
    • El espacio en disco es la suma del espacio que ocupan los archivos que forman la web y el correo electrónico.
    • La transferencia de datos mensual es la cantidad total de información que se descargan los visitantes de nuestra web en cada acceso más nuestro uso a través de FTP y correo.
    • Ideado para sacar el máximo partido a tu WordPress
    • Aumenta la velocidad de tu web + Info
    • Tras evaluación de nuestro equipo de migraciones
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Elige la versión de PHP que necesites
    • Certificado SSL autofirmadoCertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUI
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM, .INFO, .NET, .ORG ó .EU.
    • Migramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a Hostinet
    • Ideado para sacar el máximo partido a tu WordPress
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Hosting específicamente preparado para sacar el máximo rendimiento a tu Wordpress
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM, .INFO, .NET, .ORG ó .EU.
    • Cada dominio alojado muestra un contenido único y diferente del resto
    • Aparcando un dominio secundario en el alojamiento de nuestro dominio principal conseguimos que ambos dominios resuelvan indistintamente con la misma página que tenemos colgada.
    • Cuentas de correo gestionables a través de POP, IMAP y servicio Webmail
    • Tus buzones de correo y mails limpios de virus y con un potente filtro antispam
    • Centro de datos en Madrid (España)
    • Opción de contratación de IP dedicadaPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUI
    • Opción de contratación de certificados SSL. Se requiere Ip dedicada.Puedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUI
    • Bases de datos MySQL disponibles para su uso en cada alojamiento web
    • ¿Quieres realizar desarrollos con Python? En Hostinet innovamos dia a dia en tu beneficio y por ello te presentamos como última novedad en todos nuestros servidores Web la posibilidad de desplegar tus aplicaciones con Python directamente desde el cPanel de tu Hosting.
    • ¿Quieres desarrollar tus aplicaciones con Ruby? En Hostinet te presentamos como última novedad en todos nuestros servicios de Hosting Web la posibilidad de desplegar tus aplicaciones con Ruby on Rails directamente desde el panel de control cPanel.
    • El fichero .htaccess permite modificar diferentes variables en la configuración de nuestra cuenta de alojamiento en el servidor.
    • El módulo mod_rewrite permite crear direcciones URL alternativas a las dinámicas generadas por la programación de nuestros sitio web (blog, foro, portal…), de tal modo que sean más legibles y fáciles de recordar
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web. Soporte en español por personal de Hostinet.
    • Completa recopilación de tutoriales sobre Hosting, Dominios y Wordpress
    • 30 dias para probar tu servicio de Hosting y si no te convence el servicio... te devolvemos el dinero!!