Portada Wordpress Wordfence Login Security – Seguridad de Acceso en WordPress
Uno de los plugins de seguridad más populares para WordPress es Wordfence.
Es una suite completa de seguridad extra para nuestro WordPress que incluye todo lo necesario y más para evitar los problemas de seguridad más comunes en el popular gestor de contenido.
Firewall, escaneo de malware, herramientas de seguridad, alertas de modificación de archivos, y un largo etcétera lo han convertido en una de las opciones favoritas de los usuarios de WordPress.
Dispone de una versión premium de pago con más características y con las nuevas reglas del firewall añadidas antes que en la versión free, aunque esta última versión, la gratuita, es suficiente para millones de usuarios.
El mayor problema que puede tener el plugin Wordfence es el consumo de recursos del hosting y la consecuente ralentización, así que algunos usuarios declinan usar el plus de seguridad.
Por este motivo, Wordfece lanzó una versión inferior de su plugin, con muchas menos características, centrándose en los principales problemas del login de WordPress.
Este plugin se llama Wordfence Login Security y vamos a ver cuáles son sus características y cómo funciona.
El plugin Wordfence Login Security es gratuito, aunque al instalarlo nos indica que este plugin se trata de un subconjunto de funcionalidades que ya se encuentran en la versión completa del plugin Wordfence.
Si ya tienes instalado el plugin Wordfence, no es necesario que instales el plugin Wordfence Login Security.
Esto quiere decir que, si ya tienes instalado Wordfence, ya tienes instaladas las funcionalidades de «Wordfence Login Security» y no debes instalarlo.
La opción de Wordfence Login Security sólo es necesaria si no se quiere utilizar la versión completa de Wordfence.
Las funcionalidades que nos aporta Wordfece Login Security son las siguientes:
Lo primero que tenemos que hacer es descargar y activar el plugin Wordfence Login Security y activarlo, si lo prefieres puedes descargarlo desde aquí.
Al activar el plugin encontraremos un nuevo menú llamado Login Security en la administración de nuestro WordPress.
Al acceder veremos en la parte superior el aviso de que podemos usar la versión completa de Wordfence. Pasamos de él y a continuación podemos ver que lo primero que no invita a configurar es la Autenticación en Dos Factores o 2FA.
La Autenticación en Dos Factores añade una nueva capa de seguridad al loguearnos en WordPress, ya que además de las credenciales de acceso, necesitaremos la confirmación desde otro dispositivo, generalmente el móvil.
De esta manera, aunque un atacante conociera nuestros datos de acceso, no podría acceder, a no ser que tuviera acceso a nuestro móvil, claro.
Para poder activarla necesitamos instalar una app de autenticación en nuestro móvil y esta es una lista de las apps compatibles con este plugin:
Quizás las más populares sean Google Authenticator y Microsoft Authenticator, pero esto ya es un gusto personal, el caso es que tienes que tener una de estas aplicaciones instalada en el móvil.
Ten en cuenta que al activar esto, necesitarás tener tu móvil a mano para poder acceder a tu WordPress.
Lo que verás será algo parecido a esto:
Lo que tienes que hacer desde la app del móvil, es escanear el código que se muestra en tu pantalla.
Todas la apps de autenticación deberían tener esta opción. Si no la encuentras contacta con el desarrollador o busca en Google algún tutorial.
Al hacerlo, el login de Wordfence se añadirá a nuestra app y se mostrará un código con un reloj de tiempo atrás.
El código cambia cada cierto tiempo y el que se muestre en ese momento, es el que tenemos que poner en el apartado correspondiente en nuestro WordPress y pulsar en Activate. (Mirar Imagen).
Una vez hecho esto, nos aparecerá una advertencia par descargar unos códigos de «rescate», en caso de que perdamos el móvil o no tengamos acceso a él, poder acceder a nuestro WordPress.
Sólo tienes que descargarlos y guardarlos en lugar seguro.
Ahora cuando intentemos loguearnos en WordPress nos pedirá, ademas de usuario y contraseña, el código 2FA que indique la app de autenticación.
Una vez hayamos configurado el acceso 2FA, tenemos que ir a la pestaña Settings del plugin para terminar de configurar el resto de opciones.
En los Settings podemos ver las opciones que podemos activar respecto a XML-RCP.
En comparación con los ataques a la página de login de WordPress, los ataques de acceso hacia XML-RCP son muy superiores, de hecho son la mayoría, así que siempre es una buena idea protegerlos.
El problema es que XML-RCP es una característica de WordPress para poder comunicarse con otras aplicaciones, así que en ocasiones es imprescindible que esté activada.
Al añadir la autenticación en dos factores con este plugin, se añade automáticamente la misma autenticación en XML-RCP, pero algunos plugins no son compatibles con esto, en cuyo caso, no nos quedará otra que desactivar esta autenticación 2FA en XML-RCP.
Por ejemplo, si usas el popular plugin Jetpack, tendrás que desactivar esta opción. Esto es lo que dicen al respecto:
Si está habilitado, las llamadas XML-RPC que requieren autenticación también requerirán que se agregue un código 2FA válido a la contraseña. Debe elegir la opción «Skipped» si utiliza la aplicación WordPress, el complemento Jetpack u otros servicios que requieren XML-RPC.
Como hemos dicho, el 2FA está activado por defecto en XML-RPC, así que si tienes que usarlo, deberás pulsar el botón SKIPPED.
También nos ofrece la posibilidad de desactivar por completo XML-RPC, sin autenticación 2FA, ni nada, pero tienes que estar seguro de que no lo utilizas o podría darte problemas.
También nos ofrece una opción para añadir direcciones IP que se «salten» la autenticación 2FA.
La última opción de configuración que tenemos es el poder añadir reCAPTCHA, el sistema de verificación automático para evitar los bots (robots).
Al llegar a este punto tenemos una advertencia indicando que reCAPTCHA no es compatible con el login de WooCommerce, por lo que es algo a tener en cuenta si estamos usando este plugin.
El sistema reCAPTCHA es de Google y en su última versión, la v3, ya no es necesario resolver puzzles o marquen alguna casilla, ya que se comprueba el navegador para detectar si lo está usando un humano o un robot.
Si el navegador de un visitante falla el test CAPTCHA, Wordfence enviará un correo electrónico a la dirección del usuario con un enlace para que pueda hacer clic para verificar que es un usuario de su sitio.
De esta manera no evitamos el engorro de tener que «lidiar» con los múltiples bots que invaden Internet
Hay un sistema de puntuación en el que podemos «afinar» el test, para que sea más agresivo o más laxo. Si falla la puntuación se requerirá una verificación adicional.
Para configurar reCAPTCHA se requieren unas claves que proporciona Google en su sitio y que puedes conseguir desde esta URL. (Es necesaria una cuenta de Google)
Como puedes ver, el plugin Wordfence Login Security es una buena alternativa si no se quieres usar la versión completa de Wordfence y queremos mantener seguros los accesos en WordPress.
La versión completa tiene todas estas funcionalidades más el Firewall y el scan de Malware, entre otras cosas, pero cargará más nuestro hosting y los tiempos de respuesta pueden empeorar.
Si te decantas por los plugins de Wordfence, será tuya la decisión de usar uno u otro plugin, pero siempre es conveniente añadir una capa de seguridad extra en nuestro WordPress, sea de Wordfence u otra alternativa.