Plugin de seguridad para WordPress publicado por Defiant Inc. en 2011. Más de 4 millones de instalaciones activas según el repositorio oficial WordPress.org y un equipo propio de investigación (Wordfence Threat Intelligence) que en 2024 reportó más de 7.000 vulnerabilidades nuevas en el ecosistema de plugins.
El problema real al que responde
Una de las trampas habituales al hablar de seguridad WordPress es comparar instalaciones limpias contra instalaciones infectadas. La conversación útil es otra: el repositorio público de WordPress.org tiene más de 60.000 plugins, muchos mantenidos por una sola persona. Cualquier instalación promedio acumula 15-30 plugins en producción, y la superficie de exposición a vulnerabilidades crece linealmente con cada uno. Wordfence ataca esa superficie con tres frentes: firewall que bloquea peticiones maliciosas conocidas antes de que lleguen al PHP, escáner que compara los ficheros del core y los plugins contra hashes oficiales para detectar inyecciones, y un feed de vulnerabilidades actualizado a diario por su equipo de investigación.
Free vs Premium
La versión Free incluye firewall y escáner con reglas con 30 días de retraso respecto a las nuevas vulnerabilidades descubiertas. La versión Premium (desde 119 $/año por sitio) recibe las reglas en tiempo real — diferencia que sí importa en webs públicas con tráfico. Para una web personal con tráfico bajo, la Free suele bastar; para e-commerce activo, panel de cliente o cualquier sitio con datos personales, el coste de Premium es trivial frente a un incidente.
Cómo lo aplicamos en SMedialab
Lo activamos en todos los WordPress que mantenemos, configurado en modo “Extended Protection” (donde el firewall opera antes que WordPress mediante wordfence-waf.php en auto_prepend_file), 2FA obligatorio para roles administrativos y alertas de malware al canal Telegram interno. Donde NO lo elegimos como única defensa es en sitios bajo Cloudflare con WAF empresarial activo o en hosting que ya provee WAF a nivel servidor (algunos planes Hestia/SiteGround) — duplicar firewalls a veces resta más de lo que suma. Tampoco lo cargamos en webs estáticas — Astro, Next, etc. — donde el plugin no aplica.
Casos típicos en nuestros clientes
Para una asociación profesional con WordPress + WooCommerce que recibía intentos de fuerza bruta diarios desde IPs distribuidas, Wordfence con bloqueo por país (limitado a UE+EEUU+Reino Unido para wp-login) eliminó el ruido de las 24h siguientes a la activación y los logs pasaron a tener picos solo en los movimientos legítimos. Para un proyecto que sufrió una infección por un plugin abandonado, el escáner de Wordfence localizó los archivos PHP modificados con cita exacta del hash original esperado, permitiendo restaurarlos con git checkout puntual sin reinstalar todo el WordPress.
¿WordPress sin plan de seguridad? Forma parte de cualquier alojamiento web gestionado.