wordfence security

Wordfence Security by www.jjpeleato.com

INDICE

1.0 Wordfence Security.

1.1 Introducción.

2.0 Instalación.

3.0 Configuración.

3.1 Scan

3.2 Firewall

3.3 Live Traffic

3.4 Performance Setup

3.5 Blocked IPs

3.6 Password Audit

3.7 Cellphone Sign-in

3.8 Country Blocking

3.9 Scan Schedule

3.10 Whois Lookup

3.11 Advanced Blocking

3.12 Options

3.12.1 License

3.12.2 Basic Options

3.12.3 Advanced Options

3.12.3.1 Alerts

3.12.3.2 Email Summary

3.12.3.3 Live Traffic View

3.12.3.4 Scans to include

3.12.3.5 Rate Limiting Rules

3.12.3.6 Login Security Options

3.12.3.7 Other Options

3.12.3.8 Exporting and Importing

Wordfence Settings

3.13 Diagnostics

4.0 Conclusión

1 Wordfence Security by @jjpeleato

2 de junio de 2016

1.0 Wordfence Security

Versión plugin: 6.1.8

Página web oficial: https://www.wordfence.com/

Documentación oficial: https://docs.wordfence.com/

FAQ: https://support.wordfence.com/

Página web plugin: https://es.wordpress.org/plugins/wordfence/

Requiere: WordPress 3.9 o superior.

Compatible hasta: WordPress 4.5.2

Última actualización: -

Instalación activas: 2+ millón.

1.1 Introducción.

Wordfence Security (en adelante, “WFS”) es un plugin de seguridad que

ofrece una de las mejores protecciones disponibles para un sitio web.

WFS es un conjunto de herramientas que tienen como función monitorizar y

escanear tu sitio web. Entre sus opciones: 1) Antivirus con un motor de

“SCAN” que realiza una comparación de archivos de tu web con los ficheros

originales del repositorio de WordPress y en caso de encontrar diferencias te

ayuda a aplicar una solución. 2) Firewall con un motor de reglas que bloquea

tu sitio a los atacantes (ya sean personas o robots), si incumplen cualquiera de

las definiciones establecidas. 3) Sistemas de cache con un motor muy

importante que incrementa la velocidad de carga de un sitio web.

WFS es 100% libre y de código abierto. Dispone de una versión de pago

(recomendado) con un sistema de bloqueo por país, análisis programados,

auditorias de contraseñas y por último, comprueba que la dirección IP del

servidor donde se encuentra alojada nuestra página web no está siendo

utilizada para spamvertising (práctica de envió de correo electrónico no

deseado desde nuestro servidor, acrónimo de las palabras “spam”/”correo no

deseado” y “advertising”/”publicidad”).

https://www.wordfence.com/

https://docs.wordfence.com/

https://support.wordfence.com/

https://es.wordpress.org/plugins/wordfence/


2 de junio de 2016

La página web oficial de WFS dispone de un centro de aprendizaje destinado a

todos los niveles. Desde desarrolladores expertos a personas con un nivel de

iniciación. El objetivo es profundizar en el conocimiento de la seguridad de

WordPress. Aprender y descubrir las mejores prácticas a aplicar en tu página

web.

https://www.wordfence.com/learn/

2.0 Instalación La instalación de los plugins en WordPress es un paso muy sencillo e intuitivo.

Inicia sesión y en el panel de administración vaya a “Plugins->Agregar nuevo” y

hace una búsqueda de “Wordfence” sin comillas. Y pulsamos en “Instalar

ahora”.

https://www.wordfence.com/learn/


2 de junio de 2016

3.0 Configuración. Después de instalar y activar el plugin, podremos ver el ícono de Wordfence y

se nos habilitara un “tour” que tiene como función realizar una mini guía de

explicación del funcionamiento del software. Recomendación registrarte a las

alertas de Wordfence para estar al tanto de las últimas noticias sobre seguridad

y vulnerabilidades.

Siguiendo la propia organización del menú de enlaces a modo esquema el

plugin nos presenta las siguientes secciones:

Scan (Free)

Firewall (Free/Premium)

Live Traffic (Free)

Performance Setup (Free)

Blocked IPs (Free)

Password Audit (Premium)

Cellphone Sign-in (Premium)

Country Blocking (Premium)

Scan Schedule (Premium)

Whois Lookup (Free)

Advanced Blocking (Premium)

Options (Free/Premium)

Diagnostics (Free)


2 de junio de 2016

3.1 Scan (Escanear)

Menú SCAN tiene como función realizar un chequeo preconfigurado pulsando

en el botón Start a Wordfence Scan (1). Esta preconfiguración se puede

modificar y/o ampliar y/o reducir desde el menú Options -> Scans to Include.

Analiza los archivos de tu web en busca de posibles problemas

(vulnerabilidades, archivos sospechosos, profundidad de las contraseñas,

enlaces sospechosos en artículos y páginas, etc). Es el motor antivirus.

En los apartados Scan Summary (2) y Scan Detailed Activity (3) se escribe el

resultado del chequeo y en función del mismo te sugiere acciones a realizar.

Cada caso tiene su particularidad.


2 de junio de 2016

En la imagen podemos observar que nos marca como grave la

desactualización de plugins. La actualización de los plugins y temas es una

práctica altamente recomendada y desde esta misma sección nos facilita el

poder dar solución a ciertos problemas.

Además, nos avisa que la contraseña de acceso de administrador nos dispone

de una clave segura.

La información que nos facilita Wordfence tiene que ser analizada cada caso

por separado, dado que cada caso tiene su peculiaridad y proceder a su

solución de la mejor forma posible.


2 de junio de 2016

3.2 Firewall (Corta fuegos)

Wordfence Web Application Firewall es un aplicación basada en PHP que

aplica un cortafuegos que filtra las peticiones maliciosas a su sitio web. Está

configurado para ejecutarse al inicio de la inicialización de WordPress para

filtrar los ataques antes de que plugins o temas puedan ejecutar cualquier

código potencialmente vulnerable.

Protege contra una serie de ataques comunes:

SQL Injection

Cross Site Scripting (XSS)

Malicius File Upload

Directory Traversal

Local File Inclusion

External Entity Expansion (XXE)


2 de junio de 2016

Para la instalación de Wordfence Web Application Firewall es necesario

optimizar el plugin pulsando en Optimize the Wordfence Firewall, al pulsar en

el botón Wordfence modificara el fichero .htaccess (tener en cuenta permisos

de escritura 644) para agregar una configuración y creara en la carpeta raíz un

fichero para su ejecución.

Firewall Status tiene tres modalidades:

Enabled and Protecting

Learning Mode

Disabled

Por defecto está habilitado la opción Learning Mode, el propio plugin te

aconseja dejar habilitada esta opción durante una semana antes de aplicar el

modo Enabled and Protecting.

Wordfence tiene una opción Premium en este apartado que consiste en la

actualización continua de las reglas de Firewall almacenadas en sus

servidores. La opción Free actualiza cada 30 días las reglas.

Más información:

https://docs.wordfence.com/en/WAF

https://docs.wordfence.com/en/WAF


2 de junio de 2016

3.3 Live traffic (Tráfico en línea)

https://docs.wordfence.com/en/Live_traffic#Logins_and_Logouts

SECCIÓN IMPORTANTE.

Desde este apartado tienes la opción de visualizar toda la actividad que se

produce en la web categorizada por “Human”, “Bot”, “Warning” y “Blocked”. Se

trata de información relevante que te va a permitir tomar decisiones

encaminadas a la mejora de seguridad del sitio.

Wordfence permite visualizar la información aplicando un filtro desde el menú

de opciones Filter traffic.

1. All hits: Registro de todo el tráfico ordenado por fecha descendente.

2. Human: Registro del tráfico que obedece a un comportamiento humano

(No robots o arañas). Esta opción también tiene su función para el

análisis y mejora de CRO (Conversion Rate Optimization).

https://docs.wordfence.com/en/Live_traffic#Logins_and_Logouts


2 de junio de 2016

3. Registered Users: Registro del tráfico que realizan usuarios

registrados. Esta opción también tiene su función para el análisis y

mejora de CRO (Conversion Rate Optimization).

4. Crawlers (Arañas): Robots que visitan la web con motivo de indexarla

(Yahoo, Bing, etc). Tambien existen arañas maliciosas.

5. Google Crawlers: Robots de Google que visitan la web para

indexación.

6. Pages Not Found: Registro de páginas no encontradas. Muy útil para

detectar IPs atacantes.

7. Logins and Logout: Registro de acceso o cierre de sesión a tu sitio

web. Muy útil para detectar IPs atacantes y si es necesario cambiar

contraseñas.

8. Locked Out: -

9. Blocked: Bloqueado de forma automática por Wordfence por seguridad

de red.

10. Bloqued By Firewall: Bloqueados por cortafuegos.

Desde la imagen podemos ver que con el filtro Blocked nos muestra una serie

de resultados, por ejemplo, que hace 3 horas y 26 minutos desde Rusia con un

Windows NT ha habido un intento de login y se ha bloqueado de forma

automática por seguridad.


2 de junio de 2016

Realizando un análisis exhaustivo de todo el tráfico que la web recibe se puede

llegar a la toma de decisiones para mejorar la seguridad y bloquear IPs, rango

de IPs, servidores, países, etc.

La interpretación de la información de esta sección puede dar pistas para tomar

acciones en beneficio de tu seguridad.

3.3 Performance Setup

Wordfence incorpora un sistema de cache. Una funcionalidad que puede

evitarte el uso de otros plugins de cacheo. Dispones de tres opciones, en la

cual destaca la modalidad Falcon Engine, que puede llegar a potenciar con un

incremento entre 30 y 50 veces la actual velocidad de carga del sitio web.

MUY IMPORTANTE: Habilitar la opción de cache Wordfence realiza

cambios en el fichero .htaccess, si nuestro fichero está bloqueado con

permisos de solo lectura (444) necesitaremos cambiarlos a escritura y

lectura (644) y después activar el sistema de caches.

La activación del sistema de caches realiza una compresión GZIP, esto

significa que se enviaran al navegador nuestros archivos comprimidos y el

propio cliente se encargara de descomprimir y visualizar. Actualmente uno de

los mejores métodos de optimización en velocidad.

NOTA: Habilitar la opción de cache desactiva el uso de Live Traffic

debido a razones de rendimiento.

Mi consejo es mantener esta opción desactivada y apostar por otros plugins de

cache, como por ejemplo, W3 Total Cache.


2 de junio de 2016

3.5 Bloqued IPs (IPs bloqueadas)

Herramienta que resume las distintas direcciones IP que han sido bloqueadas

por razones sospechosas en base a la configuración del plugin.

IPs that are blocked from accessing the site (IPs que están bloqueadas

para acceder al sitio). Muestra las IPs que no pueden visitar la página web.

En el caso de que una de estas IPs llegue a tu web se mostrara un mensaje de

aviso de que su petición no es bienvenida.

IPs that are Locked Out from Login (IPs que están bloqueadas a partir de

Login). IPs que han sido bloqueadas para realizar login en el sitio web y para

no poder emplear el mecanismo de recuperación de contraseñas de

WordPress.

IPs who were recently throttled for accessing the site too frequently (IPs

que recientemente aplicaron throttled para acceder al sitio con demasiada

frecuencia). IPs que intentan romper una de las reglas del motor de Wordfence

o que realizan demasiadas peticiones recurrentes en muy poco tiempo.


2 de junio de 2016

3.6 Password Audit

Característica de pago. Realiza una auditoria de contraseñas a los usuarios

según la opción seleccionada. Comprobación que tiene como función evitar

que sus cuentas no sean vulnerables a ataques de fuerza bruta. Puede analizar

las contraseñas de administradores, editores o todos los usuarios.

Las contraseñas en WordPress se almacenan con el método de encriptación

MD5 (Encriptación One-to-way). El proceso de comprobación de contraseñas

consiste en la comparación de las contraseñas encriptadas almacenadas en

nuestra base de datos contra un servidor utilizado como diccionario.

Por ejemplo, para los usuarios con rol administrador, se comprueban 38.000

contraseñas comunes y fáciles de adivinar, 450.000 palabras en inglés y 22

millones de palabras en inglés personalizadas.

Para los usuarios con un rol de usuario realiza una comprobación menos

exhaustiva con 10.000 contraseñas comunes y fáciles de adivinar, más

450.000 palabras en inglés y 22 millones de palabras en inglés personalizadas.

El proceso total trabaja con más de 269 millones de contraseñas.

3.7 Cellphone Sign-in

Característica de pago que permite configurar un factor de autenticación

empleando el teléfono móvil. Para acceder a la administración del sitio se

deberá introducir un código numérico que te llegara a tu móvil.

Método de conexión conocido como Two-step verification (Verificación en

dos pasos).


2 de junio de 2016

3.8 Country Blocking (Opciones de

bloqueo por país)

Característica de pago. Una de las mejores opciones del plugin y por la cual

recomiendo el upgrade a la versión Premium.

Tiene como función el bloquear por países el acceso a tu web. Emplea una

base de datos de geolocalización muy precisa. Tiene un rendimiento de

eficacia del 99’5 % para identificar correctamente de que país es la IP visitante.

La utilización de esta opción puede solucionar problemas que detectas a través

de Live Traffic, como actividad malintencionada desde por ejemplo Rusia y

bloquear todo acceso desde ese país.

Hay que analizar cuál es el rango de geolocalización de nuestro mercado en

Internet, si nuestro cliente es nacional o nosotros somos una empresa local y

no trabajamos a nivel internacional, esta opción es una medida muy válida y

recomendada.

Dentro de sus opciones Wordfence nos facilita que toda IP bloqueada que nos

visita mostrar un mensaje de bienvenida o re direccionar según URL.


2 de junio de 2016

3.9 Scan Schedule (Escaneos

programados)

Característica de pago. Opción para programar escaneos de tu sitio web

frente al escaneo diario y automático que realiza la versión gratuita.

3.10 Whois Lookup (Búsqueda en

Whois)

Herramienta que permite obtener información sobre una determinada IP o

nombre de dominio. Esta opción puede ayudarte a conocer quien esta tratando

de atacar tu web.

Desde esta opción podemos obtener la información del atacante y notificarlo a

la organización o proveedor de IP a través de los datos Registrar Abuse

Contact Email o Registrar Abuse Contact Phone.


2 de junio de 2016

3.11 Advanced Blocking (Bloqueo

avanzado)

La herramienta de bloqueo avanzada te permite bloquear rango de IPs,

direcciones de IP concretas, nombres de hosting, nombre de agentes que

concuerden con una cadena de caracteres que especifiques y agregar la razón

del bloqueo.

A través de un análisis de las herramientas anteriores puedes plantearte hacer

uso de este sistema de bloqueos si se detecta algo sospechoso desde Live

Traffic

3.12 Options

La configuración de opciones del plugin es la base de la lógica,

comportamiento y suma de funcionalidades del mismo, la configuración que se

realiza en este punto afecta al resto de opciones.

https://docs.wordfence.com/en/Wordfence_options

3.12.1 License

Después de instalar y activar el plugin, desde la sección de Wordfence ->

License se genera una llave que identificara nuestra web en los servidores de

Wordfence y verificara si se trata de una cuenta gratuita o Premium.

https://docs.wordfence.com/en/Wordfence_options


2 de junio de 2016

Recomendación: Activar cuenta Premium precio 5 $ aprox.

Si compras la versión Premium deberás introducir la licencia en este apartado y

se activarían todas las opciones inmediatamente.

3.12.2 Basic Options

Las opciones de configuración básica tienen como función activar/desactivar

las propias funcionalidades del plugin.

Enable Rate Limiting and Advanced Blocking.

Habilitado por defecto.

Esta opción permite activar o desactivar el límite de velocidad que se utiliza

para controlar la velocidad de tráfico enviado y funciones de bloqueo

avanzadas.

Opciones afectadas:

Contry Blocking (Bloquear según país)

Throttling

IP blocking (Bloquear IP)

Brute force protection (Protección fuerza bruta)

Two factor authentication (Verificación en dos pasos)

Todas las reglas aplicadas en Advanced blocking.

Enable login security


Habilitar opciones de seguridad para el sistema de login.


2 de junio de 2016

Enable Live Traffic View


Habilitar la vista de tráfico en vivo.

Nota: Puede ocasionar problemas en servidores o hosting con pocos recursos.

Advanced Comment Spam Filter (Premium)

Filtro avanzado de comentarios SPAM.

Check if this website is being "Spamvertised" (Premium)

Realiza un escaneo de nuestra web contra los servicios de anti-spam para

verificar que el nombre del dominio no está en sus listas.

Check if this website IP is generating spam (Premium)

Verificar con los servicios de SPAM si la IP de mi web consta como IP desde la

que se está haciendo SPAM.

Enable automatic scheduled scans


Habilitar escáner automático y diario.

Update Wordfence automatically when a new version is released?

Opción desmarcada por defecto. Opción de auto actualización del plugin con

nueva versión disponible.

Recomendación: Dejar la opción desactivada y realizar la actualización

de forma manual previa copia de seguridad.

Where to email alerts

Correos electrónicos donde llegaran los avisos. Se pueden incluir varios

separados por comas.

Security Level

Opción que permite auto configurar todas las opciones del plugin en base a 5

niveles en función del grado de protección que se quiere implementar.

Level 0: Disable all Wordfence security measures. Desactiva todas

las medidas de seguridad (Desactiva el plugin). Opción para el caso de

existir algún problema de incompatibilidad que pienses que pueda estar

causado por alguna funcionalidad de este plugin.


2 de junio de 2016

Level 1: Light protection. Just the basics. Protección suave.

Configuración básica.

Level 2: Medium protection. Suitable for most sites. Protección

media. Apropiado para la mayoría de los sitios. Al instalar el plugin

opción habilitada por defecto.

Level 3: High security. Use this when an attack is imminent. Alta

seguridad. Emplea esta opción cuando un ataque sea inminente. Al

aplicar esta opción existe un cambio en las reglas del firewall y en las

opciones de seguridad.

Level 4: Lockdown. Protect the site against an attack in progress at

the cost of inconveniencing some users. Bloquear. Protege el sitio

contra un ataque en curso a costa de los problemas que puedes causar

a algunos usuarios de tu sitio web.

Custom settings. Ajustes personalizados.

How does Wordfence get IPs

Opción que determina el mecanismo que emplea Wordfence para recopilar las

direcciones IPs que te visitan. Dejar la opción por defecto y no modificar.

3.12.3 Advanced Options

Las opciones avanzadas nos ofrecen la opción de mejorar el comportamiento

del plugin y ser más precisos en su configuración.

3.12.3.1 Alerts

Las alertar son opciones de configuración que te permitirán estar informado por

email sobre lo que sucede en tu web. Cualquier comportamiento que sea

motivo de aviso genera un email a las cuentas de correo que se ha configurado

en Where to email alerts.

Email me when Wordfence is automatically updated

Notificación cuando Wordfence se actualiza de forma automática.


2 de junio de 2016

Alert on critical problems

Activado por defecto. Recibir notificaciones al detectar problemas críticos que

requieren de una solución.

Alert on warnings

Activado por defecto. Recibir notificaciones al detectar problemas que

requieren de una atención.

Alert when an IP address is blocked

Activado por defecto. Recibir notificaciones cuando se bloquea una IP.

Alert when someone is locked out from login

Activado por defecto. Recibir notificaciones cuando alguien es bloqueado por

intentar autenticarse.

Alert when the “lost password” form is used for a valid user

Activado por defecto. Recibir notificaciones cuando un usuario de nuestra web

intenta recuperar contraseña.

Alert me when someone with administrator Access signs in

Activado por defecto. Recibir notificaciones cuando algún usuario con nivel

administrador inicia sesión.

Alert me when a non-admin user signs in

Desactivado por defecto. No activar. Recibir notificaciones cuando cualquier

usuario que no sea administrador inicia sesión.

3.12.3.2 Email Summary

Esta característica te permite habilitar un resumen de la actividad de correo

electrónico.

Recibes un email que incluye los países más bloqueados, IPs mas bloqueadas,

top fallos login y ficheros modificados del sistema.


2 de junio de 2016

Puedes elegir cada cuando tiempo quieres recibir los mensajes y que

directorios quieres excluir por que cambian de archivos a menudo.

Tiene la opción de activar o desactivar un Widget en el panel de escritorio que

contiene la misma información que se recibe por correo.

3.12.3.3 Live Traffic View

Opción que ofrece la posibilidad de decirle al plugin que no tenga en cuenta

ciertos usuarios, IPs o user-agent que por las razones que creas oportunas no

quieres que sean monitorizados. Como por ejemplo, la opción que está

habilitada por defecto, de no monitorizar a los usuarios con acceso de

publicación. Opción que recomiendo desactivar para verificar que no están

intentando conectarse de forma fraudulenta.

Don‟t log signed-in users with publishing Access

No registrar a usuarios que inicien sesión si su nivel de usuario les permite

publicar. (Editor y autor).

List of comma separated usernames to ignore

Insertar lista de usuarios separados por coma que serán excluidos. Por

ejemplo, podemos agregar nuestro usuario y evitar el recibir notificaciones.

List of comma separated IP addresses to ignore

Ingresar lista de direcciones IPs separados por coma que serán excluidos. Por

ejemplo, podemos ingresar nuestra IP y evitar pasar los filtros de Wordfence y

ser bloqueados.

Browser user-agent to ignore

Insertar lista de user-agent de navegador que serán excluidos.

Amount of Live Traffic data to store (number of rows)

Número de filas visibles Datos del tráfico en tiempo real.


2 de junio de 2016

3.12.3.4 Scans to include

Diferentes tipos de escaneos que realiza el plugin. Según las opciones

habilitadas Wordfence realizara un comportamiento determinado desde el

menú Scan.

Scan public facing site for vulnerabilities? (¿Escanear sitio lado zona

pública en busca de vulnerabilidades?).

Recomendación: Desactivar.

Opción Wordfence Premium. La opción activa una exploración robusta y

externa durante sus exploraciones normales. Realiza una conexión desde un

servidor externo y analiza tu sitio web examinando el HTML representado

según se produce a través del código PHP que se ha ejecutado.

Scan for the HeartBleed vulnerability? (¿Escanear en busca de

vulnerabilidades HeartBleed?).

Recomendación: Activar.

HeartBleed consiste en un fallo de seguridad (bug) del popular software libre

OpenSSL Cryptography Library. Una herramienta de administración y

bibliotecas relacionadas con criptografía, que suministran funciones a otros

paquetes como OpenSSH y navegadores web para acceso seguro a sitios

HTTPS. La vulnerabilidad permite aún atacante leer la memoria del servidor o

cliente, permitiéndole por ejemplo, conseguir las claves privadas SSL de un

servidor. Y suplantar la navegación HTTPS.

Wordfence comprueba la integridad de la instalación del sitio web SSL y avisa

si existe alguna vulnerabilidad.


2 de junio de 2016

Activar opción si dispones de un servidor/hosting configurado con el protocolo

de navegación HTTPS.

Scan for publically accessible configuration, backup, or log files.

(Escanear configuración de acceso público, copias de seguridad y

archivos de registro).


Escanea y comprueba los archivos de configuración que se pueden acceder de

forma remota, como por ejemplo la antigua configuración de WordPress de un

archivo wp-config.old. Impidiendo el acceso a estos archivos para mantener la

contraseña de la base de datos u otra información importante segura.

Scan core files against repository versions for changes. (Escanear

cambios de los archivos del núcleo contra el repositorio de versiones).


Muy importante.

Esta exploración comprueba si los archivos del núcleo coinciden con los que

existen en el repositorio oficial de WordPress según versión. Si los archivos

han cambiado es probable que el sitio haya sido infectado por un malware y

Wordfence te muestra los cambios producidos.

Scan theme files against repository versions for changes. (Escanear

cambios de los archivos del theme contra el repositorio).

Recomendación: Activar/Desactivar.

Comprobación de cualquier tema instalado en su sitio con los que están en el

repositorio oficial de WordPress. Detecta automáticamente la versión que se

está ejecutando y realiza la comparación correcta. Se aplica a todos los temas

instalados.

Esta exploración no se aplica con los temas de pago o temas que no están en

el repositorio oficial.

Realiza una comprobación exhaustiva de si existen puertas traseras, malware,

URLs maliciosas, pero no puede comparar código.

Tener en cuenta que la mayoría de los temas son modificados y

personalizados, la activación de esta opción va a producir posibles detecciones

erróneas y deberás comprobar si son realizadas de forma intencionada o se

trata de una modificación por un ataque.


2 de junio de 2016

Scan plugin files against repository versions for changes. (Escanear

cambios de los archivos de los plugins contra los repositorios).

Recomendación: Activar/Desactivar.

Comprobación de cualquier plugin instalado en tu sitio con los que están en el

repositorio oficial de WordPress. Detecta automáticamente la versión que se

está ejecutando y realiza la comparación correcta. Se aplica a todos los plugins

instalados.

La mayoría de los plugins no se modifican y Wordfence puede realizar una

excelente verificación contra el repositorio oficial.

Tener en cuenta, que algunos desarrolladores no siguen las directrices oficiales

que ofrece WordPress y modifican algunos plugins o desarrollan un plugin a

medida. En este caso, se realiza un aviso y se debe detectar de forma manual

si existe una modificación en código intencionada o por un ataque.

Scan for signatures of known malicious files. (Escanear firmas conocidas

de archivos maliciosos).


Realiza una exploración en los archivos y compara los valores hash con una

gran base de datos de archivos maliciosos conocidos y que mantiene la

compañía desarrolladora del plugin actualizada permanentemente.

Scan file contents for backdoors, trojans and suspicious code. (Escanear

el contenido de los archivos por puertas traseras, troyanos y código

sospechoso).


Escaneo altamente recomendado de mantener activado debido a que

Wordfence mantiene una lista actualizada permanentemente de patrones en

código que coinciden en los archivos maliciosos. De esta forma, detecta si los

archivos del core, theme o plugins están corrompidos. Uno de los patrones que

se busca es una técnica muy utilizada por los crackers para ocultar código

malicioso en código, conocida como codificación en base64.

Scan posts for known dangerous URLs and suspicious content.

(Escanear post por contenido de URL‟s peligrosas y contenido

sospechoso.)


Exploración de todo el sitio web accediendo a la base de datos y comprobación

de URLs peligrosas que están relacionadas con phising o hosting malware.

Altamente recomendado para no aparecer en blacklisted de Google.


2 de junio de 2016

Scan comments for known dangerous URLs and suspicious content.

(Escanear comments por contenido de URL‟s peligrosas y contenido

sospechoso).


Exploración de todos los comentarios accediendo a la base de datos y

comprobación de URLs peligrosas y otros patrones que indican una infección.

Altamente recomendado para no aparecer en blacklisted de Google.

Scan for out of date plugins, themes and WordPress versions. (Escanear

plugins, themes y Wordpress en busca de versiones no actualizadas)


Avisos por correo electrónico de nuevas actualizaciones.

Escanea las fechas de la última publicación de los plugins, themes o versiones

de Wordpress del repositorio oficial y comprueba contra las del sitio.

Scan for admin users created outside of WordPress. (Escanear usuarios

administradores creados fuera de Wordpress)


Escanear usuarios nivel administrador creados por un método alternativo, como

por ejemplo a través de un plugin vulnerable.

Check the strength of passwords. (Comprobar la fortaleza de las

contraseñas).


Verificación de contraseñas seguras para los usuarios y administradores.

Comprueba que los usuarios no tengan almacenadas contraseñas comunes.

Monitor disk space. (Monitorizar espacio en disco).


Comprobación del espacio del servidor y aviso si se está a punto de quedarse

sin espacio.

Scan for unauthorized DNS changes. (Escanear cambios de DNS no

autorizados).


Comprobación de DNS si existe un cambio en la IP. Wordfence realiza esta

comprobación debido a que existe la posibilidad de que un cracker acceda a su


2 de junio de 2016

sistema de administración de DNS, por ejemplo, pirateando su cuenta de

GoDaddy y podría introducir su sitio web en su propia dirección IP y suplantar

el sitio.

Scan files outside your WordPress installation. (Escanear archivos

externos de la instalación de WordPress).

Recomendación: Activar (Siempre).

Una de las opciones más potentes. Tiene como función incluir todos los

archivos fuera de la instalación de WordPress.

Una exploración por defecto en Wordfence realiza las búsquedas en los

siguientes directorios:

1. /wp-admin

2. /wp-content

3. /wp-includes

4. Todos los directorios de las carpetas anteriores

5. Todos los archivos de los directorios anteriores.

Con la opción habilitada se realiza una comprobación de todos los directorios

que se encuentran dentro del proyecto, aunque no sean parte de WordPress.

Por ejemplo, subdominios con instalación de otros CMS o páginas HTML

estáticas.

Scan images and binary files as if they were executable. (Escanear

imágenes y archivos binarios como si fueran ejecutables).


Escanear código malicioso oculto en el interior de archivos, por ejemplo con

extensión de imagen, etc que ocultan scripts de ejecución.

Enable HIGH SENSITIVITY scanning. May give false positives. (Activar el

análisis de alta sensibilidad. Puede dar falsos positivos).


Permitir análisis exhaustivo, realiza una comprobación total de los diferentes

tipos de archivos, como registros, copias de seguridad, etc, que normalmente

se ignoran.

Generan falsos positivos que se deben analizar si los ataques persisten en el

tiempo.

Habilitar solo en el caso de no disponer de más opciones.


2 de junio de 2016

3.12.3.5 Rate Limiting Rules.

Configuración del módulo Firewall que incluye Wordfence. Los cortafuegos

funcionan a través de reglas según el tráfico que llega a nuestra web y si no

cumplen con las normas se toma una acción.

Wordfence dispone de dos acciones throttle it (Acción menos agresiva,

bloquea por rango, se activa si se supera determinado rango establecido y se

limita la conexión) y block it (Acción que directamente bloquea al usuario cuyo

tráfico ha saltado la regla del firewall).

Immediately block fake Google crawlers

Activar opción. Bloquea el tráfico que intenta acceder a nuestra web

suplantando ser el bot de Google rastreando nuestra web.

How should we treat Google‟s crawlers

Como tratar a los rastreadores de Google.

Seleccionar: Verified Google crawlers have unlimited Access to this site.

If anyone‟s request exceed

Cualquier petición excede la regla.

Seleccionar: 4 per minute (1 every 15 seconds) then throttle it.

If a crawler‟s page views exceed

Si las arañas exceden la regla de páginas vistas.

Seleccionar: 240 per minute (4 per second) then throttle it.

If a crawler‟s pages not found (404s) exceed

Si las arañas exceden la regla de paginas 404.

Seleccionar: 15 per minute (1 every 4 seconds) then block it.


2 de junio de 2016

If a human‟s page views exceed

Si un humano excede la regla de páginas vistas.

Seleccionar: 10 per minute (1 every 6 seconds) then throttle it.

If a human‟s pages not found (404s) exceed

Si un humano excede la regla de páginas 404.


If 404s for known vulnerable URLs exceed

Si se excede de vulnerabilidades 404 conocidas.


How long is an IP address blocked when it breaks a rule

Tiempo de bloqueo de una dirección IP cuando rompe una regla.

Seleccionar: 30 minutes.

3.12.3.6 Login Security Options.

Configuración de las opciones de seguridad para acceder al sitio web,

podemos limitar los intentos de acceso a aquellos que están realizando un

ataque. También podemos forzar a que todos los usuarios de nuestro blog o

web empleen contraseñas fuertes. Podemos determinar el tiempo de bloqueo.

Además dispone de unas casillas para otras tareas de seguridad como prevenir

que se pueda ver los nombre de usuarios si se hace un búsqueda “?/autor=N”

en la URL, evitar que WordPress muestre usuarios válidos al realizar intentos

de acceso fallidos, etc.


2 de junio de 2016

Enforce strong passwords?

Forzar el uso de contraseñas fuertes.

Seleccionar: Force admins and publishers to use strong passwords

Lock out after how many login failures

Bloquear después de “x” fallos de login.

Seleccionar: 3

Lock out after how many forgot password attempts

Bloquear después de “x” intentos de recuperación de contraseña.

Seleccionar: 2

Count failures over what time period

Contador de fallos durante un periodo de tiempo.

Seleccionar: 5 minutes

Amount of time a user is locked out

Cantidad de tiempo que un usuario está bloqueado.

Seleccionar: 10 minutes

Immediately lock out invalid usernames

Bloquear inmediatamente los nombres de usuarios inválidos.

Seleccionar: Desactivar.

Don‟t let WordPress reveal valid users in logins errors

No dejar a WordPress revelar los usuarios validos en los inicios de sesión.

Seleccionar: Activar.

Prevent user registering „admin‟ usernmae if it doen‟s exist

Prevenir a los usuarios que se intentan registrar con el usuario admin.


Prevent discovery of usernames through „/?author=N‟ scans

Evitar descubrir nombres de usuario a través de URL.



2 de junio de 2016

Immediately block the IP of users who try to sign in as these usernames.

Bloquear automáticamente a todos los que se intentar conectar con el nombre

de usuario indicado y separado por salto de línea.

Por ejemplo, podemos bloquear a los usuarios que se intentar conectar por:

admin

administrador

Nombre del dominio

3.12.3.7 Other Options.

Otras opciones (también preconfiguradas) para mejorar la seguridad de nuestro

sitio web.

Whitelisted IP addresses that bypass all rules

Añadir nuestra IP para evitar que Wordfence bloquee nuestro ordenador.

Immediately block IP's that access these URLs

Bloquear a quienes traten de acceder directamente a determinadas áreas de nuestra web.

Whitelisted 404 URLs

Lista blanca que no se contaran en las reglas del firewall.

Hide WordPress versión

Ocultar la versión de WordPress.

Meta etiqueta “generator” que por defecto aparece en la cabecera.


2 de junio de 2016

Block IP's who send POST requests with blank User-Agent and Referer

Bloquear scripts que intenten iniciar sesión o enviar comentarios de SPAM.

Hold anonymous comments using member emails for moderation

Wordfence detecta que alguien anónimo usa el email de un usuario para publicar un comentario y lo pondrá en revisión.

Filter comments for malware and phishing URL's

Filtros de comentarios a través de la lista Google Safe Browsing que alerta a los usuarios sobre alguna web que no es segura para navegar.

Check password strength on profile update

Comprobar la fuerza de una contraseña cuando un usuario actualiza su perfil. El usuario recibirá una notificación de que su contraseña es débil.

Participate in the Real-Time WordPress Security Network

Si se habilita esta opción estaremos compartiendo información sobre intentos de vulnerar nuestra web de forma anónima con Wordfence. Al ser una comunicación en tiempo real, la red de Wordfence mantendrá una lista de IPs y regiones donde se están produciendo ataques y enviara esta lista a las web que estén participando.

How much memory should Wordfence request when scanning

Memoria de uso que utilizara Wordfence para realizar un escáner. Esta opción depende del servidor. Recomendación dejar el valor por defecto.

Maximum execution time for each scan stage

Tiempo máximo de ejecución por cada etapa del escáner. Recomendación dejar en blanco.

Update interval in seconds

Intervalo de actualizaciones por segundo.

Delete Wordfence tables and data on deactivation?

Eliminar tablas creadas por Wordfence en nuestra base de datos. Recomendación de activar esta opción para limpiar registros.

Disable Wordfence Cookies

Desactivar cookies Wordfence


2 de junio de 2016

Disable Code Execution for Uploads directory

Desactivar la ejecución de código para el directorio uploads.

3.12.3.8 Exporting and Importing Wordfence Settings.

Opción para proporcionar de una forma rápida el exportar e importar

configuraciones personalizadas entre diferentes sitios web.

Las configuraciones se exportan a los servidores de Wordfence de forma

segura y se almacenan allí y solo son accesibles a través de un secret token

que se obtiene al exportar la configuración.

3.13 Diagnostics

La sección de Diagnostico nos muestra toda la información referente a nuestro

sistema de archivos, gestor de base de datos, PHP, protocolo de conexión, IP

del servidor, versión de WordPress, plugins, ejecución de cron’s y base de

datos.

Además, nos permite realizar test de verificación, para comprobar el estado de

nuestro servidor, opciones para actualizar las reglas del firewall y opciones

debugging.


2 de junio de 2016

4.0 Conclusión En la página oficial de Wordfence existe un mapa de ataques en tiempo real de

páginas web con el plugin instalado, a la hora de redactar esta conclusión,

existían 17.291 ataques por minuto y solo mostraba el 3% de la actividad.

Es importante saber que el núcleo de WordPress es uno de los más seguros en

los sistemas de gestión de contenidos, no obstante, esto no significa que no

pueda ser vulnerable. Muchos de los grandes problemas vienen a través de los

themes y plugins, que no se desarrollan desde un punto de vista de seguridad

aunque sean el mejor plugin hablando de funcionalidad.

Mi recomendación es instalar siempre un plugin de seguridad, que nos ayude a

monitorizar y a la toma de decisiones de forma automática y manual.

Wordfence es uno de los mejores plugins de seguridad del repositorio oficial de

WordPress en su versión gratuita y el que recomiendo encarecidamente.

Su cita:

“Wordfence works great out of the box for most websites. Simply install

Wordfence and your site and content is protected. For finer granularity of

control, we have provided advanced options”.

Gracias de antemano y un saludo José J. Peleato Pradel.

“Simplemente, instala Wordfence”.

@jjpeleato

www.jjpeleato.com

wordfence security

Software