Defiant Inc. publicó este plugin de seguridad para WordPress en 2011. Supera los 4 millones de instalaciones activas según el repositorio oficial WordPress.org.
Su equipo propio de investigación, Wordfence Threat Intelligence, reportó en 2024 más de 7.000 vulnerabilidades nuevas en el ecosistema de plugins.
El problema real al que responde
Al hablar de seguridad WordPress se cae en una trampa habitual: comparar instalaciones limpias contra instalaciones infectadas. La conversación útil es otra.
El repositorio público de WordPress.org tiene más de 60.000 plugins, muchos mantenidos por una sola persona. Cualquier instalación promedio acumula 15-30 plugins en producción. La superficie de exposición a vulnerabilidades crece con cada uno.
Wordfence ataca esa superficie en tres frentes:
- Firewall: bloquea peticiones maliciosas conocidas antes de que lleguen al PHP.
- Escáner: compara los ficheros del core y los plugins contra hashes oficiales para detectar inyecciones.
- Feed de vulnerabilidades: su equipo de investigación lo actualiza a diario.
Free vs Premium
La versión Free incluye firewall y escáner. Sus reglas llegan con 30 días de retraso respecto a las nuevas vulnerabilidades descubiertas.
La versión Premium cuesta desde 119 $/año por sitio. Recibe las reglas en tiempo real, una diferencia que sí importa en webs públicas con tráfico.
Para una web personal con tráfico bajo, la Free suele bastar. Para e-commerce activo, panel de cliente o cualquier sitio con datos personales, el coste de Premium es trivial frente a un incidente.
Cómo lo aplicamos en SMedialab
Lo activamos en todos los WordPress que mantenemos, con esta configuración:
- Modo “Extended Protection”: el firewall opera antes que WordPress mediante
wordfence-waf.phpenauto_prepend_file. - 2FA obligatorio para roles administrativos.
- Alertas de malware al canal Telegram interno.
Dónde NO lo elegimos como única defensa:
- Sitios bajo Cloudflare con WAF empresarial activo.
- Hosting que ya provee WAF a nivel servidor (algunos planes Hestia o SiteGround). Duplicar firewalls a veces resta más de lo que suma.
Tampoco lo cargamos en webs estáticas (Astro, Next, etc.), donde el plugin no aplica.
Casos típicos en nuestros clientes
Una asociación profesional con WordPress más WooCommerce recibía intentos de fuerza bruta diarios desde IPs distribuidas. Wordfence con bloqueo por país (limitado a UE, EEUU y Reino Unido para wp-login) eliminó el ruido en las 24h siguientes a la activación. Los logs pasaron a tener picos solo en los movimientos legítimos.
Otro proyecto sufrió una infección por un plugin abandonado. El escáner de Wordfence localizó los archivos PHP modificados y citó el hash original esperado. Eso permitió restaurarlos con git checkout puntual, sin reinstalar todo el WordPress.
¿WordPress sin plan de seguridad? Forma parte de cualquier alojamiento web gestionado.