Wordfence

WAF de endpoint vs WAF en proxy: la diferencia arquitectónica que importa

La mayoría de soluciones de seguridad web (Cloudflare, Sucuri CDN) operan como proxies inversos: el tráfico pasa por sus servidores antes de llegar al tuyo. Wordfence toma el enfoque contrario: el WAF corre directamente en el servidor WordPress como un plugin PHP. Esto tiene ventajas e inconvenientes claros. A favor: acceso completo al estado de la aplicación, puede inspeccionar variables PHP, sesiones y contexto de usuario que un proxy externo nunca ve. En contra: el tráfico malicioso llega igualmente al servidor (aunque sea bloqueado antes de procesarse), consumiendo recursos del host. Para servidores con recursos limitados, un ataque volumétrico de bots puede saturar el servidor antes de que Wordfence lo bloquee.

El modelo de amenaza compartida: Threat Intelligence de Wordfence

Wordfence mantiene una red de más de 5 millones de sitios activos que reportan amenazas en tiempo real. Este volumen de datos alimenta un sistema de Threat Intelligence que actualiza la IP Blocklist Premium cada hora. En 2024, Wordfence reportó haber bloqueado más de 250 millones de ataques en la red global. Los usuarios Premium reciben estas actualizaciones en tiempo real; los usuarios Free reciben las mismas reglas con 30 días de retraso — período durante el cual las vulnerabilidades zero-day descubiertas quedan expuestas. Para sitios con datos sensibles o transacciones económicas, ese gap de 30 días es inaceptable.

Scanner de malware: profundidad vs velocidad

El scanner de Wordfence compara todos los archivos del core de WordPress, plugins y temas contra el repositorio oficial de WordPress.org. Detecta modificaciones no autorizadas, backdoors, código ofuscado y patrones de malware conocidos. En instalaciones medianas (50-100 plugins), un scan completo puede tardar 15-30 minutos y consume entre 256MB y 512MB de RAM. La opción de "throttle" permite limitar el uso de recursos en servidores compartidos, pero a costa de extender el tiempo de escaneo. Wordfence también analiza URLs externas en el contenido (protección contra pharma hacks y redirects maliciosos) y verifica integridad de archivos del core.

Brute force y login security: el caso de uso más común

La protección de login es el uso más habitual de Wordfence en instalaciones básicas: limitación de intentos de login, CAPTCHA, 2FA con TOTP (Google Authenticator, Authy) y bloqueo por IP tras X intentos fallidos. El 2FA funciona para administradores y roles configurables, con soporte para recovery codes. Wordfence Central (gratuito) permite gestionar la seguridad de múltiples sitios desde un panel centralizado — importante para agencias con decenas de instalaciones.

Wordfence vs alternativas: Sucuri vs iThemes Security vs MalCare

El mercado de plugins de seguridad WordPress tiene alternativas bien posicionadas. Sucuri ($229/año) incluye WAF en proxy CDN, lo que sí bloquea tráfico antes de llegar al servidor — ideal para sitios bajo ataques DDoS frecuentes. MalCare ($149/año) destaca por su scanner cloud que no impacta el servidor del cliente. iThemes Security Pro ($99/año) tiene mejor UX y más opciones de hardening, pero una base de datos de amenazas más pequeña. Wordfence gana en ecosistema (documentación, comunidad, frecuencia de actualizaciones) y en profundidad de análisis de malware, pero pierde frente a Sucuri en capacidad de absorber ataques volumétricos.

Planes y coste real de ownership

Free cubre el 80% de necesidades básicas, pero el retraso de 30 días en reglas de firewall es el argumento principal de venta para Premium ($149/año por sitio). Para agencias con 5+ sitios, el plan Care ($490/año por sitio, con respuesta en 1 hora a incidentes) es caro — MalCare o Sucuri ofrecen alternativas más económicas para gestión multisitio. Response ($950/año por sitio) incluye limpieza garantizada de malware: solo tiene sentido si no tienes equipo técnico interno o como póliza de seguro para sitios de alto valor económico.

¿Qué es Wordfence?

Wordfence es el plugin de seguridad más popular para WordPress. Combina un firewall de aplicaciones web (WAF), escáner de malware, protección contra fuerza bruta en login, monitorización de tráfico en tiempo real y autenticación de dos factores (2FA) en un solo plugin. Opera como un firewall de endpoint — ejecutándose directamente en el servidor WordPress, no en un proxy externo — lo que le permite inspeccionar tráfico antes de que WordPress lo procese.

Creado en 2012 por Mark Maunder y Kerry Boyte, la empresa se renombró como Defiant Inc. en 2017 (Seattle). Es bootstrapped y rentable — nunca ha recaudado financiación externa. Tiene 5M+ instalaciones activas (el plugin de seguridad más instalado de WordPress), más de 70 millones de descargas acumuladas y protege más de 4 millones de sitios. En WordPress.org tiene 4.7/5 con casi 4.000 reviews. En G2 tiene 3.9/5 con 60 reviews.

Características principales

• Web Application Firewall (WAF): Firewall de endpoint que identifica y bloquea tráfico malicioso con reglas actualizadas en tiempo real (Premium) o con 30 días de retraso (Free)
• Malware Scanner: Escaneo de archivos del core, temas y plugins contra firmas de malware conocidas — detecta backdoors, SEO spam, redirects maliciosos y código inyectado
• Login Security: Protección contra fuerza bruta con límite de intentos, CAPTCHA, bloqueo por IP y autenticación 2FA (TOTP) para todos los usuarios
• Real-time Traffic View: Monitor de tráfico en vivo que muestra IPs, user agents, URLs solicitadas y geolocalización — identifica bots y ataques activos
• IP Blocklist (Premium): Lista premium actualizada continuamente con 40.000+ IPs de actores de amenazas conocidos, bloqueadas antes de que lleguen al sitio
• Country Blocking (Premium): Bloqueo de acceso por país completo — útil para sitios que solo operan en regiones específicas y quieren reducir superficie de ataque
• Security Audit Log: Registro de eventos de seguridad: creación de usuarios, cambios de permisos, instalación de plugins, actualizaciones y accesos al admin
• Vulnerability Scanner: Detecta plugins y temas con vulnerabilidades conocidas (CVEs) y alerta para actualizar o desactivar componentes afectados
• Central Dashboard: Panel centralizado para gestionar la seguridad de múltiples sitios WordPress desde una sola interfaz

Puntos a favor

• 5M+ instalaciones activas y 70M+ descargas: el plugin de seguridad más popular de WordPress con la mayor base de datos de amenazas
• 4.7/5 en WordPress.org con 4.000 reviews: usuarios destacan la detección de malware, alertas en tiempo real y la facilidad de configuración
• Versión gratuita muy completa: WAF, scanner de malware, 2FA, protección de login y monitor de tráfico sin pagar un euro
• Firewall de endpoint real: opera en el servidor (no proxy), inspeccionando tráfico cifrado HTTPS que firewalls externos no pueden ver
• Bootstrapped y rentable: empresa independiente sin presión de inversores, lo que garantiza desarrollo enfocado en el producto
• IP Blocklist Premium con 40.000+ actores de amenazas conocidos bloqueados proactivamente antes de que ataquen el sitio

Puntos en contra

• Reglas del firewall con 30 días de retraso en versión Free: vulnerabilidades zero-day quedan expuestas hasta que las reglas se liberan al canal gratuito
• Consumo de recursos del servidor: el escaneo de malware y el WAF ejecutándose en el mismo servidor pueden impactar el rendimiento en hosting compartido
• 3.9/5 en G2 (vs 4.7 en WordPress.org): reviews profesionales critican la interfaz sobrecargada y la configuración compleja para no-técnicos
• Premium a $149/año por sitio: más caro que Sucuri ($199/año con CDN incluido) y sin CDN ni optimización de rendimiento integrados
• Falsos positivos frecuentes: el scanner puede marcar código legítimo como sospechoso, requiriendo revisión manual que consume tiempo
• Sin WAF en la nube: a diferencia de Cloudflare o Sucuri, no filtra tráfico antes de que llegue al servidor — ataques DDoS siguen impactando recursos

Precios

Free — $0

• WAF con reglas retrasadas 30 días
• Scanner de malware, 2FA y protección de login
• Monitor de tráfico en tiempo real

Premium — $149/año por sitio

• Reglas de firewall y firmas de malware en tiempo real
• IP Blocklist Premium con 40.000+ amenazas
• Country Blocking y Security Audit Log
• Soporte premium por ticket

Care — $490/año por sitio

• Todo en Premium + instalación y configuración por el equipo Wordfence
• Monitorización continua y optimización de seguridad

Response — $950/año por sitio

• Todo en Care + respuesta a incidentes 24/7/365
• Tiempo de respuesta de 1 hora, resolución en 24 horas

Integraciones

WordPress (nativo), WooCommerce, Google Authenticator, Authy, FreeOTP, Google reCAPTCHA, Cloudflare (compatible), Sucuri (compatible), All in One SEO, Yoast SEO, Elementor, WP Engine, Kinsta, SiteGround, Bluehost, Jetpack, UpdraftPlus, MainWP, ManageWP, InfiniteWP. En total compatible con 50.000+ plugins WordPress.

Alternativas a Wordfence

• Sucuri: Firewall WAF en la nube + CDN con limpieza de malware ilimitada ($199/año) — protege contra DDoS a nivel de red, algo que Wordfence no ofrece
• Cloudflare: CDN con WAF en la nube y protección DDoS enterprise — enfoque diferente (proxy reverso), complementario a Wordfence más que sustituto directo
• iThemes Security: Plugin de seguridad WordPress con 2FA, file change detection y force SSL — más simple que Wordfence pero sin WAF real
• MalCare: Scanner de malware en la nube que no consume recursos del servidor — limpieza automática en un clic desde $99/año
• Patchstack: Protección contra vulnerabilidades de plugins WordPress con virtual patching automático — enfoque especializado en CVEs de terceros

Veredicto

Wordfence es el plugin de seguridad WordPress más completo y popular, con una versión gratuita que ofrece más protección que muchos competidores de pago. El firewall de endpoint y el scanner de malware son de los mejores del ecosistema. Su principal limitación es que no opera en la nube — no protege contra DDoS a nivel de red y consume recursos del servidor. Para sitios con alto tráfico y riesgo de ataques DDoS, combinar Wordfence con Cloudflare es la configuración óptima.

Características Principales

• WAF de endpoint con reglas en tiempo real (Premium) o retrasadas 30 dias (Free)
• Scanner de malware: backdoors, SEO spam, redirects maliciosos y codigo inyectado
• Login Security: limite de intentos, CAPTCHA, bloqueo por IP y 2FA (TOTP)
• Real-time Traffic View: IPs, user agents, URLs y geolocalizacion en vivo
• IP Blocklist Premium con 40.000+ actores de amenazas conocidos
• Country Blocking para restringir acceso por pais completo
• Security Audit Log: registro de eventos de seguridad y cambios en el sitio
• Vulnerability Scanner: detecta plugins y temas con CVEs conocidas
• Central Dashboard para gestionar seguridad de multiples sitios WordPress

Se integra con 20 herramientas