Tenemos una nueva versión de Wordfence, la 7.11.0. Por favor, actualice tan pronto como sea posible.

Mejoras de Wordfence 7.11.0:

Añade una nueva funcionalidad para los pre ajustes de proxy de confianza para soportar proxies como Amazon CloudFront, Ezoic y Quic.cloud.

La declaración indica que Wordfence, un plugin de seguridad para sitios web que se utiliza comúnmente en plataformas de gestión de contenido como WordPress, ha introducido una nueva función relacionada con los «preajustes de proxy de confianza». Para entender esto, desglosemos algunas de las partes clave de la declaración:

  1. Wordfence: Es un plugin de seguridad para sitios web que ayuda a proteger contra amenazas como malware, ataques de fuerza bruta y otras vulnerabilidades.
  2. Preajustes de proxy de confianza: Esto se refiere a configuraciones predefinidas o ajustes preestablecidos relacionados con el manejo de proxies de confianza. Un proxy es un intermediario entre un usuario y un servidor web. Los proxies de confianza son aquellos que se consideran seguros y legítimos.
  3. Soporte para proxies como Amazon CloudFront, Ezoic y Quic.cloud: La nueva funcionalidad de Wordfence está diseñada para ser compatible con ciertos servicios de proxy, como Amazon CloudFront, Ezoic y Quic.cloud. Estos son servicios que permiten la entrega de contenido de manera eficiente y segura, y el soporte de Wordfence para ellos implica que el plugin puede trabajar de manera efectiva incluso cuando se utiliza uno de estos servicios de proxy como intermediario entre el usuario y el servidor del sitio web.

En resumen, la nueva funcionalidad de Wordfence permite a los usuarios configurar de manera más fácil y segura sus sitios web cuando utilizan servicios de proxy específicos como Amazon CloudFront, Ezoic y Quic.cloud, mejorando así la seguridad y el rendimiento de sus sitios.


Las actualizaciones de reglas WAF y firmas de malware ahora también se firman con SHA-256 para los hosts que ya no construyen soporte SHA1


La declaración indica que las actualizaciones de reglas para el Web Application Firewall (WAF) y las firmas de malware en Wordfence ahora están utilizando SHA-256 para la firma, en lugar de SHA-1, especialmente para hosts que ya no admiten SHA-1.

Aquí hay un desglose de los términos clave:

  1. Actualizaciones de reglas WAF: El WAF es un firewall diseñado específicamente para proteger aplicaciones web. Las reglas del WAF son conjuntos de instrucciones que dictan cómo debe comportarse el firewall en relación con ciertos tipos de tráfico o solicitudes HTTP para proteger contra amenazas web.
  2. Firmas de malware: Son patrones o características específicas que indican la presencia de malware en un archivo o en el tráfico de red.
  3. SHA-256 y SHA-1: Son algoritmos criptográficos de hash. SHA-256 y SHA-1 son métodos diferentes de generar un valor hash único para un conjunto de datos dado. SHA-256 es considerado más seguro que SHA-1, que ha mostrado vulnerabilidades a lo largo del tiempo.
  4. Hosts que ya no construyen soporte SHA-1: Algunos sistemas o servidores han dejado de admitir o construir con el algoritmo SHA-1 debido a sus debilidades de seguridad conocidas. En cambio, están adoptando algoritmos más fuertes como SHA-256.

En resumen, Wordfence ha mejorado la seguridad de las actualizaciones de reglas WAF y las firmas de malware al utilizar el algoritmo de hash SHA-256 en lugar de SHA-1. Esto es especialmente beneficioso para aquellos hosts o servidores que han abandonado el soporte para SHA-1 debido a preocupaciones de seguridad. La firma con SHA-256 proporciona un nivel más alto de seguridad en comparación con SHA-1.


Se han actualizado los certificados de CA de confianza incluidos.

Modificaciones en Wordfence 7.11.0:

El WAF ya no intentará obtener actualizaciones de reglas o listas de bloqueo cuando se ejecute a través de WP-CLI.

La declaración significa que, a partir de ahora, cuando Wordfence se ejecute a través de WP-CLI (WordPress Command Line Interface), el Web Application Firewall (WAF) no intentará obtener actualizaciones de reglas o listas de bloqueo. Vamos a desglosar esto:

  1. WP-CLI: Es una interfaz de línea de comandos para WordPress. Permite a los usuarios administrar su instalación de WordPress mediante comandos directos en lugar de a través de la interfaz gráfica de usuario.
  2. Web Application Firewall (WAF): Es una capa de seguridad que protege las aplicaciones web filtrando y monitoreando el tráfico entre una aplicación web y la red. Wordfence incluye un WAF como parte de su conjunto de funciones de seguridad para WordPress.
  3. Actualizaciones de reglas o listas de bloqueo: El WAF utiliza reglas y listas de bloqueo para identificar y bloquear posibles amenazas o comportamientos maliciosos en el tráfico web.
  4. «No intentará obtener»: Significa que, cuando Wordfence se ejecuta mediante WP-CLI, el WAF no buscará activamente actualizaciones de reglas o listas de bloqueo. En otras palabras, no se realizarán solicitudes automáticas para actualizar las reglas de seguridad del WAF o las listas de direcciones IP bloqueadas mientras se utiliza la interfaz de línea de comandos de WordPress.

Esta decisión puede deberse a varias razones, como la optimización del rendimiento al ejecutar comandos a través de WP-CLI, donde la actualización automática del WAF puede no ser necesaria o deseada en ese contexto específico. Los administradores de sitios web que utilicen WP-CLI deberían estar al tanto de esta actualización y, si es necesario, pueden gestionar manualmente las actualizaciones del WAF cuando sea apropiado.

Correcciones en Wordfence 7.11.0:


Eliminado el uso de SQL_CALC_FOUND_ROWS, obsoleto a partir de MySQL 8.0.17
Se ha corregido un problema por el que, en algunos casos, los recuentos finales de los análisis no se enviaban a la Central.
Corrección de un aviso de obsoleto para get_class en PHP 8.3.0
Corrección de un error de salida en la sección de conectividad de Diagnósticos en modo texto

  1. Eliminado el uso de SQL_CALC_FOUND_ROWS, obsoleto a partir de MySQL 8.0.17:
    • SQL_CALC_FOUND_ROWS es una cláusula de SQL utilizada para obtener el número total de filas que se habrían devuelto sin LIMIT en una consulta SELECT.
    • MySQL 8.0.17 introdujo cambios y marcó SQL_CALC_FOUND_ROWS como obsoleto.
    • Wordfence ha ajustado su código para dejar de usar SQL_CALC_FOUND_ROWS, lo cual es importante para la compatibilidad con las versiones más recientes de MySQL.
  2. Se ha corregido un problema por el que, en algunos casos, los recuentos finales de los análisis no se enviaban a la Central:
    • En algunos escenarios, la información sobre los recuentos finales de los análisis no estaba siendo enviada correctamente a la plataforma central de Wordfence.
    • Esta corrección asegura que los resultados de los análisis se registren y comuniquen correctamente.
  3. Corrección de un aviso de obsoleto para get_class en PHP 8.3.0:
    • En PHP 8.3.0, se emitió un aviso de obsolescencia (deprecated warning) relacionado con la función get_class.
    • Wordfence ha actualizado su código para abordar este aviso y garantizar que su aplicación sea compatible con las versiones más recientes de PHP.
  4. Corrección de un error de salida en la sección de conectividad de Diagnósticos en modo texto:
    • En la sección de conectividad de los diagnósticos en modo texto, se identificó y corrigió un error que estaba causando una salida incorrecta o inesperada.
    • Esta corrección mejora la experiencia de usuario al usar la funcionalidad de diagnósticos en el modo de línea de comandos.

En resumen, estas actualizaciones y correcciones abordan cuestiones específicas de compatibilidad, rendimiento y funcionalidad en Wordfence, asegurando que la aplicación sea más eficiente, esté actualizada con los estándares y sea compatible con las versiones más recientes de MySQL y PHP.

Fuente oficial: Wordfence

Categorizado en:

Actualizaciones de seguridad