Divi News Pro

Guía completa para configurar Wordfence Security en WordPress. Activa firewall, escaneo automático y verificación 2FA paso a paso.

Wordfence refuerza la seguridad de tu sitio y garantiza un entorno fiable

Oct 4, 2025

La seguridad es uno de los pilares esenciales en cualquier proyecto digital, especialmente en medios online. Un ataque o una vulnerabilidad no solo comprometen el sitio, sino también la confianza de los lectores. Por eso, contar con una protección eficaz no es opcional: es una necesidad.

Wordfence Security se ha consolidado como una de las soluciones más completas para proteger sitios WordPress frente a malware, intentos de acceso no autorizado y tráfico malicioso. Su combinación de firewall inteligente, análisis de archivos y bloqueo en tiempo real lo convierte en un escudo avanzado que actúa antes de que los problemas aparezcan.

En DiviNewsPro apostamos por la prevención: aprenderás a configurar Wordfence paso a paso, sin complicaciones y sin tocar código. Una guía práctica para entender sus funciones clave y mantener tu periódico digital siempre bajo control.

Wordfence en el panel de control: índice que seguiremos

Tras instalarlo verás Wordfence en la barra lateral de WordPress. Ese menú es el mapa del plugin y será el orden que seguiremos de arriba abajo:

  1. Escritorio
    Resumen del estado de seguridad, alertas, tareas recomendadas y acceso rápido a funciones clave.
  2. Cortafuegos
    Configuración del WAF (modo aprendizaje/optimizado), reglas, protección contra inyecciones y ataques comunes.
  3. Analizar
    Escáner de malware e integridad de archivos; programación del escaneo y acciones sobre archivos sospechosos.
  4. Herramientas
    Tráfico en vivo, bloqueos y listas (permitir/denegar), inspección de IP/WHOIS y utilidades de diagnóstico.
  5. Registro de auditoría
    Historial de cambios relevantes en el sitio (usuarios, roles, plugins, contenido) para rastrear eventos y responsabilidades.
  6. Seguridad de acceso
    2FA (doble factor), políticas de contraseña y medidas anti–fuerza bruta en el inicio de sesión.
  7. Todas las opciones
    Ajustes globales del plugin: alertas por email, niveles de sensibilidad, rendimiento y licencias.
  8. Ayuda
    Guías, documentación y herramientas de soporte/diagnóstico.
  9. Actualizar a la versión premium
    Acceso a funciones avanzadas (reglas en tiempo real, bloqueo por país, soporte prioritario).

Nota: los nombres pueden variar levemente según versión/idioma.
A partir de aquí, iremos sección por sección (Escritorio → Cortafuegos → Analizar…), explicando qué activar, qué dejar por defecto y por qué.

Paso 1 – Escritorio de Wordfence: visión general del estado de seguridad

El Escritorio de Wordfence es el punto de partida desde el que puedes revisar el estado general de protección de tu sitio, los avisos recientes y el resumen de actividad del cortafuegos. En la parte superior aparecen los indicadores de Cortafuegos y Analizar, que muestran el nivel de configuración y actividad actual. A la derecha, el aviso de versión Premium recuerda que estás utilizando la protección gratuita basada en la comunidad, perfectamente válida para la mayoría de proyectos.

En la parte inferior encontrarás accesos a Herramientas, Ayuda y Opciones globales, junto con un gráfico que refleja el número total de ataques bloqueados por la red de Wordfence. Es un panel informativo pensado para tener una visión rápida del estado de seguridad sin necesidad de entrar en cada apartado.

En este paso no es necesario realizar ningún cambio: basta con verificar que Wordfence está activo y recopilando información correctamente. A partir de aquí iremos sección por sección (Escritorio → Cortafuegos → Analizar…), explicando qué activar, qué dejar por defecto y por qué, con el fin de lograr la máxima protección sin afectar el rendimiento del sitio.

💡 Consejo DNP: consulta este panel al menos una vez por semana. Es el termómetro general de seguridad y te alertará si algo requiere atención inmediata.


Paso 2 – Cortafuegos de Wordfence: primera capa de defensa activa

El Cortafuegos (WAF) es la primera barrera de protección de Wordfence frente a ataques e intentos de acceso no autorizados. Tras la instalación, el sistema entra automáticamente en modo de aprendizaje durante unos días. Este proceso permite que Wordfence observe el tráfico normal de tu web y distinga entre actividad legítima y comportamiento potencialmente malicioso antes de aplicar sus reglas de bloqueo.

Durante este periodo verás indicadores de progreso en los módulos de Cortafuegos de la aplicación web, Reglas del cortafuegos y Protección contra ataques de fuerza bruta. También se muestran opciones adicionales como Bloqueos, Limitación de puntuación o Opciones avanzadas. No es necesario ajustar nada por ahora: el plugin se calibrará de forma automática.

En este paso no hay que realizar ninguna acción manual. Simplemente deja que el cortafuegos aprenda y recopile datos. Al finalizar el periodo de aprendizaje, Wordfence activará la protección real, comenzando a filtrar tráfico y bloquear intentos de intrusión de manera automática. En ese momento sí será recomendable revisar y optimizar las opciones avanzadas.

💡 Consejo DNP: deja que el modo de aprendizaje se complete sin intervenir. Cuanto más datos recopile, más eficaz será la protección real.

🔹 Pestaña Bloqueos dentro del Cortafuegos

Dentro del apartado Cortafuegos encontrarás la pestaña Bloqueos, donde Wordfence muestra todas las direcciones IP, países o patrones que han sido restringidos por motivos de seguridad. Aquí se centraliza la gestión de accesos bloqueados, tanto los que genera el sistema automáticamente como los que podrías añadir manualmente.

En la parte superior verás la opción de crear una regla de bloqueo. Puedes elegir entre tres tipos: por dirección IP, por país (solo disponible en la versión Premium) o por patrón personalizado. Justo debajo aparece la lista de bloqueos actuales, donde se indica la causa, la fecha y el número de intentos realizados por cada dirección.

En esta fase del proceso no es necesario hacer nada manualmente. Wordfence bloquea de forma automática las direcciones que detecta como amenazas, y eso es suficiente para mantener tu sitio seguro. Solo en casos muy concretos —por ejemplo, si observas ataques repetidos desde una misma IP— podrías usar esta pestaña para bloquearla de manera permanente.

En resumen, el panel de Bloqueos sirve para vigilar y administrar los intentos de acceso sospechosos, pero al principio no requiere intervención. El sistema se encarga de gestionar los bloqueos por ti.

Paso 3 – Analizar: escaneo de seguridad y detección de malware

El apartado Analizar permite revisar en profundidad tu sitio en busca de archivos sospechosos, código malicioso o cambios no autorizados. Es una de las funciones más importantes de Wordfence y, al igual que el cortafuegos, se ejecuta de forma automática una vez activado el plugin.

En la parte superior verás el estado general de la exploración y el tipo de análisis que se está utilizando (por defecto, Exploración estándar). También se indican las firmas de malware y el nivel de actualización del sistema de detección. En la versión gratuita, las actualizaciones se aplican con un pequeño retraso respecto a la Premium, pero ofrecen una cobertura más que suficiente para un sitio nuevo o en desarrollo.

Cada vez que se completa un escaneo, Wordfence muestra los resultados encontrados, indicando la gravedad del problema y ofreciendo opciones para borrar o reparar los archivos afectados. Si no se detectan amenazas, el panel confirmará que el sitio está limpio.

En este paso no es necesario iniciar un escaneo manual. El plugin ejecuta automáticamente las revisiones periódicas y te avisará por correo si encuentra algo anómalo. Más adelante podrás ajustar la frecuencia y los criterios de análisis desde las opciones de exploración, pero al principio basta con dejar activada la configuración predeterminada.

💡 Consejo DNP: si has instalado nuevos plugins o sospechas de actividad inusual, ejecuta un escaneo manual y revisa los resultados con calma antes de borrar nada.

✅ Paso 4 – Herramientas de Wordfence: supervisión, diagnóstico y control del tráfico

El apartado Herramientas reúne las utilidades avanzadas que permiten monitorizar la actividad de tu sitio, revisar conexiones sospechosas y comprobar el estado técnico del sistema. Es una sección pensada para observar y diagnosticar, no para modificar configuraciones. Consta de varias pestañas, cada una con una función específica.

🔹 Tráfico en directo

Muestra en tiempo real lo que sucede en tu web: accesos de usuarios, intentos de pirateo o peticiones bloqueadas por el cortafuegos. Puedes elegir registrar solo el tráfico relacionado con la seguridad o todo el tráfico, aunque se recomienda mantener la opción por defecto.
En este punto no es necesario hacer cambios; solo usarlo como panel de control cuando quieras analizar picos o comportamientos anómalos.

🔹 Registro de auditoría

Disponible únicamente en la versión Premium, permite seguir los cambios realizados en el sitio (usuarios, roles, plugins o contenidos). En la versión gratuita permanece inactivo, por lo que no requiere intervención.

🔹 Consulta Whois

Sirve para identificar la procedencia de direcciones IP o dominios que intentan acceder al sitio. Wordfence muestra el país, proveedor y posibles antecedentes. Es útil como herramienta puntual de investigación, pero no necesita ajustes.

🔹 Opciones de importar/exportar

Permite guardar o aplicar la configuración de Wordfence en otros sitios. Si gestionas varios proyectos, esta función acelera la réplica de políticas de seguridad. En este momento no es necesario usarla.

🔹 Diagnósticos

Proporciona información técnica sobre el servidor, la instalación de WordPress y el rendimiento de los componentes. Solo resulta útil si hay incidencias o soporte técnico. En condiciones normales no requiere ninguna acción.

En resumen, el panel de Herramientas ofrece visibilidad completa del comportamiento y la salud de tu web. Durante la configuración inicial no hay que modificar nada, pero conocerlo te ayudará a entender mejor los avisos de seguridad y actuar con precisión si surge algún problema.

🔹 Aclaración sobre “Registro de auditoría”

Aunque el Registro de auditoría se muestra como una pestaña dentro del apartado Herramientas, también aparece en el menú principal de Wordfence, justo debajo de “Herramientas”. Esto sucede porque Wordfence reserva esta función para su versión Premium, que permite registrar y analizar todos los eventos del sitio (cambios de usuario, instalación de plugins, activación de temas, etc.).

En la versión gratuita, este módulo no está operativo, y su presencia en el menú solo sirve como acceso informativo o promocional. Si haces clic en él, verás una vista previa explicativa como la de tu captura, con las opciones desactivadas y el aviso de actualización a la versión Premium.

Por tanto, en este punto no hay que configurar nada. Simplemente debes saber que, si en el futuro actualizas a Wordfence Premium, podrás activar este registro y controlar todos los cambios internos de WordPress desde este mismo panel.

💡 Consejo DNP: usa esta sección como panel de observación. No cambies configuraciones; limítate a familiarizarte con los registros y el tráfico en directo.

✅ Paso 5 – Seguridad de acceso: doble verificación y control de inicio de sesión

El módulo Seguridad de acceso refuerza la protección del área de administración de WordPress, evitando que usuarios no autorizados accedan incluso si descubren una contraseña. Es una capa adicional muy recomendable en cualquier sitio profesional, especialmente si el proyecto maneja contenidos o usuarios con distintos niveles de permisos.

🔹 Identificación de dos factores (2FA)

La autenticación en dos pasos (2FA) es una de las herramientas más efectivas contra ataques de fuerza bruta o robo de credenciales. Wordfence permite activarla mediante aplicaciones de autenticación como Google Authenticator, FreeOTP o Authy.
Para configurarla, basta con escanear el código QR que aparece en pantalla con tu app de autenticación o introducir manualmente la clave que se muestra. Una vez hecho, la aplicación generará códigos temporales de seis dígitos que deberás introducir al iniciar sesión.
Además, se generan códigos de recuperación de un solo uso, que conviene guardar en un lugar seguro.

En este punto sí es recomendable activar la verificación en dos pasos, al menos para los usuarios con rol de administrador. No afecta al rendimiento y añade una protección decisiva frente a accesos no autorizados.

🔹 Ajustes

La pestaña Ajustes permite definir con más detalle las políticas de acceso y los parámetros de la autenticación en dos factores (2FA). Desde aquí se puede controlar quién debe usar 2FA, integrar reCAPTCHA y gestionar excepciones.

🟢 Configuración de roles 2FA

Puedes establecer qué tipos de usuarios deben usar la autenticación en dos pasos: Administradores, Editores, Autores, Colaboradores o Suscriptores. Lo recomendable es mantener 2FA obligatorio para administradores y opcional para el resto. También puedes definir un periodo de gracia (por defecto, 10 días) para que los nuevos usuarios activen su 2FA.

🟢 Opciones complementarias

  • Permitir recordar el dispositivo durante 30 días evita introducir el código en cada inicio de sesión.
  • La opción Requerir 2FA para XML-RPC añade una capa de seguridad extra en servicios externos.
  • Si no utilizas integraciones, deja activado Desactivar XML-RPC para prevenir ataques de fuerza bruta.

🟢 Integraciones y reCAPTCHA

Wordfence permite integrar la 2FA y reCAPTCHA v3 con WooCommerce o formularios personalizados. Si tu sitio no usa WooCommerce, puedes omitir estas opciones.
La activación de reCAPTCHA v3 requiere las claves públicas y secretas que se obtienen desde la consola de Google. No es imprescindible al inicio, pero es una mejora recomendable cuando el proyecto tenga formularios abiertos al público.

🟢 Opciones generales

En la parte inferior se incluyen controles avanzados:

  • Direcciones IP permitidas → para excluir administradores o servicios de confianza.
  • Mostrar columna del último acceso → útil para auditar actividad de usuarios.
  • Sincronización NTP → mantiene la hora exacta para que los códigos 2FA sean válidos.

En este paso solo necesitas activar 2FA para los administradores y, opcionalmente, marcar recordar dispositivo 30 días. El resto de configuraciones pueden permanecer en sus valores predeterminados hasta que el sitio crezca y requiera políticas más estrictas.

💡 Consejo DNP: activa siempre la autenticación 2FA en cuentas de administrador. Es la forma más rápida y efectiva de evitar accesos no autorizados.

✅ Paso 6 – Todas las opciones: configuración global y alertas del sistema

El módulo Todas las opciones agrupa la configuración general de Wordfence, incluyendo los parámetros de alertas, conexiones con servicios externos y preferencias de rendimiento. Es la zona donde se ajustan los avisos por correo, la frecuencia de notificaciones y las integraciones opcionales con herramientas como Google Analytics o Rank Math SEO, tal y como se muestra en tu captura.

En este apartado puedes definir qué tipo de alertas deseas recibir:

  • Avisos críticos (recomendado) → te informan de infecciones o vulnerabilidades detectadas.
  • Alertas de bajo nivel → como actualizaciones pendientes o accesos fallidos.
  • Informes semanales → resumen del estado de seguridad del sitio.

También puedes gestionar las conexiones con servicios externos. Si Wordfence te solicita permisos, como ocurre con Rank Math SEO o Google Analytics, asegúrate de revisarlos antes de aceptar. En la mayoría de los casos, no es necesario otorgar acceso adicional: el plugin funciona correctamente con los ajustes predeterminados.

En este paso no hay que realizar cambios obligatorios. Basta con confirmar que las notificaciones por correo llegan correctamente y dejar activadas las opciones de alertas críticas y resúmenes semanales. Las demás integraciones se pueden configurar más adelante si se desea ampliar la funcionalidad.

Con este módulo se completa la configuración esencial de Wordfence Security, dejando tu sitio protegido y optimizado sin necesidad de ajustes avanzados.

💡 Consejo DNP: verifica que las alertas llegan a tu correo y revisa los informes semanales. No des permisos extra a integraciones que no necesites.

✅ Paso 7 – Ayuda y versión Premium: soporte y funciones avanzadas

El menú Ayuda de Wordfence ofrece acceso directo a la documentación oficial, guías de configuración, enlaces a foros de soporte y utilidades de diagnóstico. Desde aquí puedes revisar las causas de errores o conflictos, comprobar la compatibilidad de tu servidor y consultar recursos útiles para resolver incidencias sin necesidad de asistencia externa.
En esta fase no es necesario modificar nada, pero resulta un buen punto de referencia si más adelante necesitas soporte técnico.

Por su parte, la opción Actualizar a la versión Premium aparece destacada en varias secciones del panel. Esta versión incluye ventajas como:

  • Reglas del cortafuegos y firmas de malware en tiempo real.
  • Bloqueo por país, IP o red.
  • Soporte técnico prioritario.
  • Mayor frecuencia en los análisis automáticos.

Para proyectos pequeños o en desarrollo, la versión gratuita de Wordfence ofrece protección suficiente. No obstante, si tu sitio crece en tráfico o comienza a manejar datos sensibles, actualizar a Premium puede ser una inversión razonable para reforzar la seguridad.

Perfecto 👌 Aquí tienes el bloque final de cierre editorial en formato DNP, con resumen estructurado y frase final destacada:

Resumen de configuración básica de Wordfence

  1. Escritorio: verifica que Wordfence esté activo y monitorizando el sitio.
  2. Cortafuegos: deja que el modo de aprendizaje se complete sin hacer cambios.
  3. Analizar: revisa los resultados del escaneo automático; no es necesario ejecutarlo manualmente.
  4. Herramientas: consulta información en tiempo real, pero mantén la configuración por defecto.
  5. Seguridad de acceso: activa la autenticación en dos factores (2FA) para administradores.
  6. Todas las opciones: confirma las alertas por correo y mantén los valores recomendados.
  7. Ayuda y Premium: utiliza la documentación integrada y considera la actualización solo si gestionas un sitio de alto tráfico o con datos sensibles.

Consejos finales

Mantén Wordfence siempre actualizado y revisa sus informes periódicos. Si notas avisos repetidos o accesos inusuales, entra en el panel para analizar su origen. Combina este plugin con buenas prácticas generales (contraseñas seguras, actualizaciones automáticas y copias de seguridad) para asegurar la máxima estabilidad de tu proyecto digital.

Una web protegida no solo inspira confianza: garantiza que tu trabajo siga visible y seguro cada día.

Entradas relacionadas