Wordfence Security – Firewall, Malware Scan, and Login Security

Descrição

O FIREWALL E A VARREDURA DE SEGURANÇA MAIS POPULAR DO WORDPRESS

A segurança do WordPress requer uma equipe de analistas dedicados que pesquisam as últimas variantes de malware e explorações do WordPress, transformando-as em regras de firewall e assinaturas de malware e liberando-as para os clientes em tempo real. O Wordfence é amplamente reconhecido como a equipe de pesquisa de segurança número um do WordPress no mundo. Nosso plugin fornece um conjunto abrangente de recursos de segurança, e a pesquisa de nossa equipe é o que alimenta nosso plugin e fornece o nível de segurança pelo qual somos conhecidos.

No Wordfence, a segurança do WordPress não é uma divisão do nosso negócio – a segurança do WordPress é tudo o que fazemos. Empregamos uma equipe global de resposta a incidentes dedicada 24 horas por dia, que fornece aos nossos clientes prioritários um tempo de resposta de 1 hora para qualquer incidente de segurança. O sol nunca se põe em nossa equipe de segurança global e administramos uma plataforma sofisticada de inteligência de ameaças para agregar, analisar e produzir pesquisas de segurança inovadoras sobre as mais recentes ameaças de segurança.

O Wordfence Security inclui um firewall de proteção aos endpoints e varredura de malware que foram construídos do zero para proteger o WordPress. Nosso feed de defesa contra ameaças arma o Wordfence com as mais recentes regras de firewall, assinaturas de malware e endereços IP maliciosos necessários para manter seu site seguro. Composto por um grupo de recursos adicionais, o Wordfence é a mais completa solução de segurança disponível para WordPress.

FIREWALL DO WORDPRESS

  • O firewall de aplicação web identifica e bloqueia tráfego malicioso. Construído e mantido por uma grande equipe focada 100% na segurança do WordPress.
  • [Premium] Atualizações de assinatura de malware e regras de firewall em tempo real por meio do feed de defesa contra ameaças (a versão gratuita é atrasada em 30 dias).
  • [Premium] A lista de bloqueios de IP em tempo real bloqueia todas as solicitações dos IPs mais maliciosos, protegendo seu site e reduzindo a carga.
  • Protege seu site no endpoint, permitindo uma integração profunda com o WordPress. Ao contrário das alternativas em nuvem, não quebra a criptografia, não pode ser contornado e não pode vazar dados.
  • A varredura de malware integrada bloqueia solicitações que incluem código ou conteúdo malicioso.
  • Proteção contra ataques de força bruta, limitando as tentativas de acesso.

VARREDURA DE SEGURANÇA DO WORDPRESS

  • A varredura de malware verifica arquivos básicos, temas e plugins em busca de malwares, URLs ruins, backdoors, spam de SEO, redirecionamentos maliciosos e injeções de código.
  • [Premium] Atualizações de assinatura de malware em tempo real por meio do feed de defesa contra ameaças (a versão gratuita é atrasada em 30 dias).
  • Compara seus arquivos básicos, temas e plugins com o que está no repositório do WordPress.org, verificando sua integridade e relatando quaisquer alterações para você.
  • Repara arquivos que foram alterados, substituindo-os por uma versão original e imaculada. Exclua todos os arquivos estranhos facilmente pela interface do Wordfence.
  • Verifica seu site em busca de vulnerabilidades de segurança conhecidas e alerta sobre quaisquer problemas. Também alerta sobre possíveis problemas de segurança quando um plugin é encerrado ou abandonado.
  • Verifica a segurança do seu conteúdo verificando o conteúdo dos arquivos, posts e comentários em busca de URLs perigosos e conteúdo suspeito.
  • [Premium] Verifica se seu site ou endereço IP está em alguma lista de bloqueios por atividade maliciosa, gerando spam ou outra questão de segurança.

SEGURANÇA DE ACESSO

  • Autenticação de dois fatores (2FA), uma das formas mais seguras de autenticação de sistema remoto disponível por meio de qualquer aplicativo ou serviço autenticador baseado em TOTP.
  • CAPTCHA na página de acesso impede robôs de acessar.
  • Desative ou adicione 2FA ao XML-RPC.
  • Bloqueie o acesso de administradores usando senhas sabidamente comprometidas.

SECURITY AUDIT LOG [Premium]

  • Monitors all changes and actions in security-sensitive areas of the site.
  • Remote tamper-proof data storage via Wordfence Central.
  • Monitored actions range from user creation and editing to plugin/theme installation and updates to post and page changes.
  • Configurable to log all events or significant events only, which includes all authentication, site configuration, and site functionality events.

WORDFENCE CENTRAL

  • O Wordfence Central é um meio poderoso e eficiente de gerenciar a segurança de vários sites em um único lugar.
  • Avalie, de modo eficiente, o status de segurança de todos os seus sites em uma olhada. Veja descobertas detalhadas de segurança sem sair do Wordfence Central.
  • Modelos poderosos facilitam a configuração do Wordfence.
  • Alertas altamente configuráveis podem ser enviados por e-mail, SMS ou Slack. Melhore a proporção de sinal-ruído aproveitando as opções de nível de gravidade e uma opção de resumo diário.
  • Rastreie e alerte eventos de segurança importantes, incluindo acessos de administradores, uso de senha violada e picos de atividade de ataque.
  • Grátis para usar em sites ilimitados.

FERRAMENTAS DE SEGURANÇA

  • Com o tráfico ao vivo, monitore visitas e tentativas de invasão que não são mostrados em outros pacotes analíticos, tudo em tempo real, incluindo origem, endereço IP, horário e o tempo gasto em seu site.
  • Bloqueie atacantes por IP ou construa regras avançadas baseadas em faixas de IP, nome de host, agente do usuário e origem.
  • Bloqueio por país disponível com o Wordfence Premium.

Capturas de tela

  • O painel apresenta uma visão geral da segurança do seu site, incluindo notificações, estatísticas de ataque e status do recurso Wordfence.
  • O firewall protege seu site de tipos comuns de ataques e vulnerabilidades de segurança conhecidas.
  • A varredura de segurança do Wordfence permite que você saiba se seu site foi comprometido e alerta você para outros problemas de segurança que precisam ser corrigidos.
  • O Wordfence é altamente configurável, com um amplo conjunto de opções disponíveis para cada recurso. As opções de varredura de nível alto são mostradas acima.
  • Os recursos de proteção contra força bruta protegem você contra ataques de adivinhação de senha.
  • Bloqueie invasores por IP, país, intervalo de IP, nome de host, navegador ou referenciador.
  • A visualização do tráfego ao vivo do Wordfence mostra a atividade em tempo real em seu site, incluindo tráfego de robôs e tentativas de exploração.
  • Leve a segurança de acesso para o próximo nível com a autenticação de dois fatores.
  • Acessar é fácil com o 2FA do Wordfence.

Instalação

Proteja seu site usando as seguintes etapas para instalar o Wordfence:

  1. Instale o Wordfence automaticamente ou enviando o arquivo ZIP.
  2. Ative o Wordfence através do menu “plugins” do WordPress. O Wordfence agora está ativado.
  3. Vá para o menu de varredura e inicie sua primeira varredura. A varredura agendada também será ativada.
  4. Uma vez que sua primeira varredura tenha sido concluída, uma lista de ameaças de segurança aparecerá. Revise uma por uma para proteger seu site.
  5. Visite a página de opções do Wordfence para digitar seu endereço de e-mail e receber alertas de segurança por e-mail.
  6. Opcionalmente, mude seu nível de segurança ou ajuste as opções avançadas para definir opções de proteção e proteção de segurança individuais para o seu site.
  7. Clique na opção de menu “Tráfego ao vivo” para assistir a atividade do seu site em tempo real. A consciência situacional é uma parte importante da segurança do site.

Para instalar o Wordfence em instalações WordPress multisite:

  1. Instale o Wordfence Security através do diretório do plugin ou enviando o arquivo ZIP.
  2. Ativação de rede do Wordfence. Esta etapa é importante porque até que você o ative na rede, seus sites verão a opção de plugin em seu menu de plugins. Uma vez ativada, essa opção desaparece.
  3. Agora que o Wordfence está ativado em rede, ele aparecerá no menu Painel da rede. O Wordfence não aparecerá no menu de nenhum site individual.
  4. Vá até o menu “Varredura” e inicie sua primeira varredura.
  5. O Wordfence fará uma varredura de todos os arquivos da instalação do WordPress, incluindo aqueles no diretório blogs.dir de seus sites individuais.
  6. O tráfego ao vivo aparecerá para TODOS os sites da sua rede. Se você tiver um sistema com muito tráfego, você pode desativar o tráfego ao vivo, o que interromperá o registro no banco de dados.
  7. As regras de firewall e de acesso se aplicam a TODO o sistema. Portanto, se você falhar no acesso em site1.example.com e site2.example.com, isso contará como 2 falhas. O tráfego do rastreador é contado entre blogs, portanto, se você acessar três sites na rede, todos os acessos serão totalizados e isso contará como a taxa de acesso ao sistema.

Perguntas frequentes

Visite nosso site para acessar nossa documentação oficial que inclui descrições de ferramenta de segurança, soluções comuns e ajuda completa.

Como o Wordfence Security protege sites de atacantes?

O plugin de segurança do WordPress fornece a melhor proteção disponível para seu site. Alimentado pelo feed de defesa de aAmeaças constantemente atualizado, o Firewall do WordFence impede que você seja invadido. A varredura do Wordfence aproveita o mesmo feed proprietário, alertando-o rapidamente no caso de seu site estar comprometido. A visualização do tráfego ao vivo oferece visibilidade em tempo real das tentativas de tráfego e invasão em seu site. Um conjunto profundo de ferramentas adicionais completa a solução de segurança mais abrangente do WordPress disponível.

Quais recursos o Wordfence Premium ativa?

We offer a Premium API key that gives you real-time updates to the Threat Defense Feed which includes a real-time IP blocklist, firewall rules, and malware signatures. Premium support, country blocking, more frequent scans, and spam and spamvertising checks are also included. Click here to sign-up for Wordfence Premium now or simply install Wordfence free and start protecting your website.

Como o firewall de WordPress do Wordfence protege sites?

  • O firewall de aplicativos da web do Wordfence impede você de ser hackeado identificando o tráfego malicioso e bloqueando os atacantes antes que eles possam acessar seu site.
  • O feed de defesa contra ameaças atualiza automaticamente as regras de firewall que protegem você das últimas ameaças. Membros Premium recebem a versão em tempo real.
  • Bloqueie ameaças de segurança comuns do WordPress como robôs do Google falsos, varreduras maliciosas de hackers e botnets.

Quais verificações a varredura de segurança do WordPress oferece?

  • Verifica arquivos básicos, temas e plugins em comparação com as versões do repositório do WordPress.org para conferir sua integridade. Verifique a segurança da sua fonte.
  • Veja como os arquivos mudaram. Opcionalmente, restaure arquivos alterados que são ameaças de segurança.
  • Verifica as assinaturas de mais de 44.000 variantes de malware conhecidas que são ameaças de segurança conhecidas do WordPress.
  • Verifica muitos backdoors conhecidos que criam falhas de segurança, incluindo C99, R57, RootShell, Crystal Shell, Matamu, Cybershell, W4cking, Sniper, Predator, Jackal, Phantasma, GFS, Dive, Dx e muitos mais.
  • Verifica continuamente malware e URLs de phishing, incluindo todos os URLs da lista de navegação segura do Google em todos os seus comentários, posts e arquivos que são ameaças à segurança.
  • Verifica heurísticas de backdoors, trojans, códigos suspeitos e outros problemas de segurança.

Quais recursos de monitoramento de segurança o Wordfence inclui?

  • Veja todo o seu tráfego em tempo real, incluindo robôs, humanos, erros 404, acessos e saídas e quem está consumindo maior parte de seu conteúdo. Melhore sua percepção situacional que quais ameaças de segurança seu site está enfrentando.
  • Uma visualização em tempo real de todo o tráfego, incluindo bots automatizados que muitas vezes constituem ameaças à segurança que os pacotes de análise Javascript nunca mostram.
  • O tráfego em tempo real inclui DNS reverso e geolocalização ao nível da cidade. Saiba de quais áreas geográficas as ameaças de segurança são originadas.
  • Monitora o espaço em disco que está relacionado à segurança porque muitos ataques DDoS tentam consumir todo o espaço em disco para criar a negação de serviço.

Quais recursos de segurança de acesso estão incluídos?

  • Veja todo o seu tráfego em tempo real, incluindo robôs, humanos, erros 404, acessos e saídas e quem está consumindo maior parte de seu conteúdo. Melhore sua percepção situacional que quais ameaças de segurança seu site está enfrentando.
  • Uma visualização em tempo real de todo o tráfego, incluindo bots automatizados que muitas vezes constituem ameaças à segurança que os pacotes de análise Javascript nunca mostram.
  • O tráfego em tempo real inclui DNS reverso e geolocalização ao nível da cidade. Saiba de quais áreas geográficas as ameaças de segurança são originadas.
  • Monitora o espaço em disco que está relacionado à segurança porque muitos ataques DDoS tentam consumir todo o espaço em disco para criar a negação de serviço.

Como serei alertado se meu site tiver um problema de segurança?

O Wordfence envia alertas de segurança via e-mail. Depois de instalar o Wordfence, você irá configurar uma lista de endereços de e-mail para onde os alertas de segurança serão enviados.
Quando você receber um alerta de segurança, certifique-se de lidar com isso imediatamente, para garantir que seu site permaneça seguro.

Preciso de um plugin de segurança como Wordfence se estiver usando um firewall baseado em nuvem (WAF)?

O Wordfence fornece uma verdadeira segurança de endpoint para seu site WordPress. Ao contrário dos firewalls baseados em nuvem, o Wordfence é executado no ambiente WordPress, fornecendo informações sobre se o usuário está conectado, sua identidade e qual nível de acesso ele possui. O Wordfence usa o nível de acesso do usuário em mais de 80% das regras de firewall que usa para proteger sites WordPress. Saiba mais sobre o problema de identidade de firewalls baseados em nuvem aqui. Além disso, os firewalls baseados em nuvem podem ser contornados, deixando seu site exposto a invasores. Como o Wordfence é parte integrante do endpoint (seu site WordPress), ele não pode ser ignorado. Saiba mais sobre o esse problema aqui. Para proteger totalmente o investimento que você fez em seu site, você precisa empregar uma abordagem de defesa profunda à segurança. O Wordfence adota essa abordagem.

Quais recursos de bloqueio o Wordfence inclui?

  • Bloqueio em tempo real de invasores conhecidos. Se outro site usando o Wordfence for atacado e bloquear o invasor, seu site será protegido automaticamente.
  • Bloqueie todas as redes maliciosas. Inclui verificações WHOIS avançados de IP e domínio para denunciar IPs ou redes maliciosas e bloquear redes inteiras usando o firewall. Informe as ameaças de segurança do WordPress ao proprietário da rede.
  • Limite ou bloqueie ameaças de segurança do WordPress, como rastreadores agressivos, scrapers e robôs que fazem verificações de segurança em busca de vulnerabilidades em seu site.
  • Escolha se deseja bloquear ou limitar usuários e robôs que quebram suas regras de segurança do WordPress.
  • Os usuários premium também podem bloquear países e agendar varreduras para horários específicos e com maior frequência.

O que diferencia o Wordfence de outros plugins de segurança do WordPress?

  • A segurança do Wordfence fornece um firewall desenvolvido especificamente para WordPress e bloqueia invasores que procuram vulnerabilidades em seu site. O firewall é alimentado pelo nosso feed de defesa contra ameaças que é atualizado continuamente à medida que surgem novas ameaças. Os clientes premium recebem atualizações em tempo real.
  • O Wordfence verifica a integridade do código-fonte do seu website comparando com o repositório oficial do WordPress e mostra as mudanças.
  • As varreduras do Wordfence verificam todos os seus arquivos, comentários e posts em busca de URLs na lista de navegação segura do Google. Nós somos o único plugin que oferece esse aprimoramento de segurança muito importante.
  • As varreduras do Wordfence não consomem grandes quantidades de sua largura de banda porque todas as varreduras de segurança ocorrem em seu servidor web, o que as torna muito rápidas.
  • O Wordfence suporta totalmente o multisite do WordPress, o que significa que você pode verificar todos os blogs em sua instalação multisite com um clique.
  • O Wordfence Security inclui autenticação de dois fatores, a maneira mais segura de impedir atacantes de força bruta em suas trilhas.
  • O Wordfence suporta totalmente IPv6, incluindo a capacidade de pesquisar a localização de endereços IPv6, bloquear intervalos IPv6, detectar países IPv6 e fazer uma pesquisa whois em endereços IPv6 e muito mais.

O Wordfence deixará meu site lento?

Não. O Wordfence Security é extremamente rápido e usa técnicas como armazenar em cache seus próprios dados de configuração para evitar pesquisas no banco de dados e bloquear ataques maliciosos que tornariam seu site lento.

O que fazer se meu site já foi invadido?

O Wordfence Security é capaz de reparar arquivos básicos, temas e plugins em sites onde a segurança já está comprometida. Você pode seguir este guia sobre como limpar um site invadido usando Wordfence. Se você estiver limpando seu próprio site após uma invasão, observe que a segurança do site não pode ser garantida a menos que você faça uma reinstalação completa se seu site estiver comprometido. Recomendamos que você use apenas o Wordfence Security para colocar seu site em estado de execução, a fim de recuperar os dados necessários para fazer uma reinstalação completa. Se precisar de ajuda com um problema de segurança, confira o Wordfence Care, que oferece suporte prático de nossa equipe, inclusive para lidar com um site invadido. Para sites de missão crítica, confira o Wordfence Response.

O Wordfence Security suporta o IPv6?

Sim. Nós suportamos completamente o IPv6 com todas as funções de segurança, incluindo bloqueio de país, bloqueio de faixa, pesquisa de cidade, pesquisa de whois e todas as outras funções de segurança. Se você não estiver executando o IPv6, o Wordfence também funcionará em seu site. Nós somos totalmente compatíveis com IPv4 e IPv6 se você executa ambos ou apenas um esquema de endereçamento.

O Wordfence Security suporta instalações multisite?

Sim. O multisite do WordPress é totalmente compatível. Usando o Wordfence, você pode verificar se há malware em todos os blogs da sua rede com um clique. Se um de seus clientes publicar uma página ou um post com algum URL de malware conhecido que ameace todo o seu domínio de ser colocado na lista de bloqueio do Google, alertaremos você na próxima verificação.

Que opções de suporte estão disponíveis para os usuários do Wordfence?

Oferecer um excelente atendimento ao cliente é muito importante para nós. Nossos usuários gratuitos recebem suporte voluntário em nossos fóruns de suporte. Os clientes do Wordfence Premium recebem suporte pago baseado em chamados. Os clientes do Wordfence Care recebem suporte prático, incluindo ajuda com incidentes de segurança e uma auditoria de segurança anual. Os clientes do Wordfence Response recebem suporte 24/7/365 de nossa equipe de resposta a incidentes, com tempo de resposta de 1 hora e um máximo de 24 horas para resolver um problema de segurança.

Onde posso aprender mais sobre segurança no WordPress?

Projetado para cada nível de habilidade, O Centro de Aprendizagem do WordPress Security é dedicado a aprofundar a compreensão dos usuários sobre as melhores práticas de segurança, fornecendo gratuitamente acesso a artigos de nível básico, artigos detalhados, vídeos, resultados da pesquisa da indústria, gráficos e muito mais.

Onde posso encontrar os termos de uso e a política de privacidade do Wordfence?

Estão disponíveis no nosso site: Termos de Uso e Política de Privacidade

Avaliações

17 janeiro, 2025 1 resposta
On more than one occasion, the Wordfence team has helped us solve problems with our website. Literally within an hour they had our problem solved! Highly recommend.
17 janeiro, 2025 1 resposta
Reliable and works really well in protecting your WordPress sites even on the FREE tier. Thanks for supporting WordPress with your plugin.
17 janeiro, 2025 1 resposta
I like this plugin because it hase a lot of features that I need for my wesite security. Firewall, Malware Scanning, Login Security, Real-Time Threat Defense, Country Blocking, Monitoring. Also the free version gives you enough power to use it for the most important scope. It is also user friendly.
Leia todas as 4.437 avaliações

Colaboradores e desenvolvedores

“Wordfence Security – Firewall, Malware Scan, and Login Security” é um programa de código aberto. As seguintes pessoas contribuíram para este plugin.

Colaboradores

Wordfence Security – Firewall, Malware Scan, and Login Security” foi traduzido para 20 localidades. Agradecemos aos tradutores por suas contribuições.

Traduzir “Wordfence Security – Firewall, Malware Scan, and Login Security” para seu idioma.

Interessado no desenvolvimento?

Navegue pelo código, consulte o repositório SVN ou assine o registro de desenvolvimento por RSS.

Registro de alterações

8.0.3 – January 15, 2025

  • Improvement: Added support for hosts relocating the WAF’s auto-prepend file via the constant/envvar WORDFENCE_WAF_PREPEND_DIRECTORY
  • Improvement: Added detection for non-repo plugins and themes to avoid the scanner reporting changes when the same slug + version exists within the wordpress.org repo
  • Improvement: Messaging for Central disconnections now better reflects the user making the change
  • Improvement: Scan errors due to unreachable Wordfence servers will now provide a link to our status page to check for outages
  • Improvement: Reduced the number of network calls created to sync scan issues when updates are performed in bulk
  • Change: Reworked setting caching to avoid issues with some object caches
  • Change: Reworked cURL check to avoid using WP_Http_Curl, which has been deprecated
  • Fix: Normalized all wordfence.com links to be https
  • Fix: Fixed a rare error that could occur on the diagnostics page when displaying a list of error logs
  • Fix: Removed the “back to top” button and related script block from emailed diagnostics
  • Fix: Fixed some UI coloring that did not correctly reflect the license type in use

8.0.2 – January 2, 2025

  • Improvement: General compatibility improvements and better error handling for PHP 8+
  • Improvement: Added audit log status to the plugin dashboard
  • Change: Increased width of diagnostics text export for better legibility
  • Fix: Addressed an error with mail hooks and the audit log when third party plugins send unexpected value types

8.0.1 – November 14, 2024

  • Improvement: Updated GeoIP database
  • Change: Revised some help text related to the audit log to be more clear
  • Fix: Improved audit log compatibility with some plugins that would cause excessive noise due to their behaviors around setting up user roles and capabilities
  • Fix: Fixed a log notice that could occur when deactivating Wordfence with audit log events still pending and a broken Wordfence Central link

8.0.0 – November 4, 2024

  • Improvement: Introduced the Wordfence Audit Log, a new premium feature to monitor all changes and actions in security-sensitive areas of the site with remote tamper-proof data storage via Wordfence Central
  • Change: Increased the minimum supported WordPress version to 4.7
  • Change: Increased the minimum supported PHP version to 7.0

7.11.7 – July 29, 2024

  • Improvement: Optimized scan performance by reducing database queries by approximately 38% along with CPU usage
  • Fix: Added translation support for “Page not found” string when viewing recent traffic

7.11.6 – June 6, 2024

  • Improvement: Revised the strong password requirements notice to be more readable
  • Improvement: Removed unnecessary calls for the plugin and theme vulnerability checks
  • Improvement: Reduced the frequency of calls to Wordfence Central during some operations where the values do not need to be synced
  • Improvement: Refactored some queries to avoid the automatic SHOW FULL COLUMNS queries that WordPress performs to verify database encodings
  • Improvement: Infrequently-used config values are no longer automatically loaded into memory and instead loaded only on demand
  • Fix: Fixed an issue where multisite installations using the WAF mysqli storage engine could repeatedly attempt to update WAF rules when not in optimized mode
  • Improvement: Updated the bundled GeoIP database
  • Change: Revised the formatting of TOTP app URLs to prioritize the site’s own URL for better sorting and display
  • Fix: Fixed the last captcha column in the users page so it no longer displays “(not required)” on 2FA users since that no longer applies
  • Fix: Added a check in wflogs/rules.php to only run when within the WAF’s bootstrap stage when hosted behind nginx

7.11.5 – April 3, 2024

  • Fix: Revised the behavior of the reCAPTCHA verification to use the documented expiration period of the token and response to avoid sending verification requests too frequently, which could artificially lower scores in some circumstances
  • Fix: Addressed PHP 8 deprecation notices in the file differ used by file changed scan results
  • Fix: Reduced the frequency of Wordfence Central status update callbacks in sections of the scan that occur quickly in sequence

7.11.4 – March 11, 2024

  • Change: CAPTCHA verification when enabled now additionally applies to 2FA logins (may send an email verification on low scores) and no longer reveals whether a user exists for the submitted account credentials (credit: Raxis)
  • Fix: Addressed a potential PHP 8 notice in the human/bot detection AJAX call
  • Fix: Addressed a potential PHP 8 notice when requesting a lockout unlock verification email
  • Fix: Fixed the emailed diagnostics view not showing the missing table information when applicable
  • Fix: Improved quick scan logic to base timing on regular scans so they’re more evenly distributed

7.11.3 – February 15, 2024

  • Fix: Fixed an issue with sites containing invalid Wordfence Central site data where they could throw an error when viewing Wordfence pages

7.11.2 – February 14, 2024

  • Improvement: Enhanced the vulnerability scan to check and alert for WordPress core vulnerabilities and to adjust the severity of the scan result based on findings or available updates
  • Improvement: Updated the bundled GeoIP database
  • Improvement: Increased compatibility of brute force protection with plugins that override the normal login flow and omit traditional hooks
  • Change: Adjusted the behavior of automatic quick scans to schedule themselves further away from full scans
  • Fix: Added detection for a site being linked to a non-matching Wordfence Central record (e.g., when cloning the database to a staging site)
  • Fix: Streamlined the license and terms of use installation flow to avoid unnecessary prompting
  • Fix: Fixed an issue where user profiles with a selected locale different from the site itself could end up loading the site’s locale instead

7.11.1 – January 2, 2024

  • Improvement: Added “.env” to the files checked for “Scan for publicly accessible configuration, backup, or log files”
  • Improvement: Provided better descriptive text for the option “Block IPs who send POST requests with blank User-Agent and Referer”
  • Improvement: The diagnostics page now displays the contents of any auto_prepend_file .htaccess/.user.ini block for troubleshooting
  • Fix: Fixed an issue where a login lockout on a WooCommerce login form could fail silently
  • Fix: The scan result for abandoned plugins no longer states it has been removed from wordpress.org if it is still listed
  • Fix: Addressed an exception parsing date information in non-repo plugins that have a bad last_updated value
  • Fix: The URL scanner no longer generates a log warning when matching a potential URL fragment that ends up not being a valid URL

7.11.0 – November 28, 2023

  • Improvement: Added new functionality for trusted proxy presets to support proxies such as Amazon CloudFront, Ezoic, and Quic.cloud
  • Improvement: WAF rule and malware signature updates are now signed with SHA-256 as well for hosts that no longer build SHA1 support
  • Improvement: Updated the bundled trusted CA certificates
  • Change: The WAF will no longer attempt to fetch rule or blocklist updates when run via WP-CLI
  • Fix: Removed uses of SQL_CALC_FOUND_ROWS, which is deprecated as of MySQL 8.0.17
  • Fix: Fixed an issue where final scan summary counts in some instances were not sent to Central
  • Fix: Fixed a deprecation notice for get_class in PHP 8.3.0
  • Fix: Corrected an output error in the connectivity section of Diagnostics in text mode

7.10.7 – November 6, 2023

  • Fix: Compatibility fix for WordPress 6.4 on the login page styling

7.10.6 – October 30, 2023

  • Fix: Addressed an issue with multisite installations when the wp_options tables had different encodings/collations

7.10.5 – October 23, 2023

  • Improvement: Updated the bundled GeoIP database
  • Improvement: Added detection for Cloudflare reverse proxies blocking callbacks to the site
  • Change: Files are no longer excluded from future scans if a previous scan stopped during their processing
  • Fix: Added handling for the pending WordPress 6.4 change that removes $wpdb->use_mysqli
  • Fix: The WAF MySQLi storage engine will now work correctly when either DB_COLLATE or DB_CHARSET are not defined
  • Fix: Added additional error handling to Central calls to better handle request failures or conflicts
  • Fix: Addressed a warning that would occur if a non-repo plugin update hook did not provide a last updated date
  • Fix: Fixed an error in PHP 8 that could occur if the time correction offset was not numeric
  • Fix: 2FA AJAX calls now use an absolute path rather than a full URL to avoid CORS issues on sites that do not canonicalize www and non-www requests
  • Fix: Addressed a race condition where multiple concurrent hits on multisite could trigger overlapping role sync tasks
  • Fix: Improved performance when viewing the user list on large multisites
  • Fix: Fixed a UI bug where an invalid code on 2FA activation would leave the activate button disabled
  • Fix: Reverted a change on error modals to bring back the additional close button for better accessibility

7.10.4 – September 25, 2023

  • Improvement: “Admin created outside of WordPress” scan results may now be reviewed and approved
  • Improvement: The WAF storage engine may now be specified by setting the environmental variable “WFWAF_STORAGE_ENGINE”
  • Improvement: Detect when a plugin or theme with a custom update handler is broken and blocking update version checks
  • Alteração: suporte obsoleto para versões do WordPress inferiores a 4.7.0
  • Alteração: excluir erros de análise de um arquivo de regras compilado danificado do relatório
  • Correção: suprimir avisos de PHP relacionados ao carregamento de regras ao executar WP-CLI
  • Correção: Corrigido um problema com o cron do monitor de varredura que poderia deixá-lo funcionando desnecessariamente

7.10.3 – July 31, 2023

  • Improvement: Updated GeoIP database
  • Fix: Added missing text domain to translation function call
  • Fix: Corrected inconsistent styling of switch controls
  • Change: Made MySQLi storage engine the default for Flywheel hosted sites

7.10.2 – July 17, 2023

  • Fix: Prevented bundled sodium_compat library from conflicting with versions included with older WordPress versions

7.10.1 – July 12, 2023

  • Improvement: Added support for processing arrays of files in the WAF
  • Improvement: Refactored security event processing to send events in bulk
  • Improvement: Updated bundled sodium_compat and random_compat libraries
  • Fix: Prevented deprecation warning caused by dynamic property creation
  • Fix: Added translation support for additional strings
  • Change: Adjusted Wordfence registration UI

7.10.0 – June 21, 2023

  • Improvement: Added translation support for strings from login security plugin
  • Improvement: Added translator notes regarding word order and hidden text
  • Improvement: Added translation support for additional strings
  • Improvement: Prevented scans from failing if unreadable directories are encountered
  • Improvement: Added help link to IPv4 scan option
  • Improvement: Updated scan result text to clarify meaning of plugins removed from wordpress.org
  • Improvement: Made “Increased Attack Rate” emails actionable
  • Improvement: Updated GeoIP database
  • Improvement: Updated JavaScript libraries
  • Fix: Corrected IPv6 address expansion
  • Fix: Ensured long request payloads for malicious requests are recorded in live traffic
  • Fix: Prevented “commands out of sync” database error messages when the database connection has failed
  • Fix: Prevented rare JSON encoding issues from breaking free license registration
  • Fix: Prevented PHP notice from being logged when request parameter is missing
  • Fix: Prevented deprecation warning in PHP 8.1
  • Change: Moved detection for old TimThumb files to malware signature
  • Change: Moved translation file from .po to .pot
  • Change: Renamed “Macedonia” to “North Macedonia, Republic of”

7.9.3 – May 31, 2023

  • Improvement: Added exception handling to prevent WAF errors from being fatal
  • Fix: Corrected error caused by method call on null in WAF
  • Change: Deprecated support for PHP 5.5 and 5.6, ended support for PHP 5.3 and 5.4
  • Change: Specified WAF version parameter when requesting firewall rules

7.9.2 – March 27, 2023

  • Improvement: The vulnerability severity score (CVSS) is now shown with any vulnerability findings from the scanner
  • Improvement: Changed several links during initial setup to open in a new window/tab so it doesn’t interrupt installation
  • Change: Removed the non-https callback test to the Wordfence servers
  • Fix: Fixed an error on PHP 8 that could occur when checking for plugin updates and another plugin has a broken hook
  • Fix: Added a check for disabled functions when generating support diagnostics to avoid an error on PHP 8
  • Fix: Prevent double-clicking when activating 2FA to avoid an “already set up” error

7.9.1 – March 1, 2023

  • Improvement: Further improved performance when viewing 2FA settings and hid user counts by default on sites with many users
  • Fix: Adjusted style inclusion and usage to prevent missing icons
  • Fix: Avoided using the ctype extension as it may not be enabled
  • Fix: Prevented fatal errors caused by malformed Central keys

7.9.0 – February 14, 2023

  • Improvement: Added 2FA management shortcode and WooCommerce account integration
  • Improvement: Improved performance when viewing 2FA settings on sites with many users
  • Improvement: Updated GeoIP database
  • Fix: Ensured Captcha and 2FA scripts load on WooCommerce when activated on a sub-site in multisite
  • Fix: Prevented reCAPTCHA logo from being obscured by some themes
  • Fix: Enabled wfls_registration_blocked_message filter support for WooCommerce integration

7.8.2 – December 13, 2022

  • Fix: Releasing same changes as 7.8.1, due to wordpress.org error

7.8.1 – December 13, 2022

  • Improvement: Added more granualar data deletion options to deactivation prompt
  • Improvement: Allowed accessing diagnostics prior to completing registration
  • Fix: Prevented installation prompt from displaying when a license key is already installed but the alert email address has been removed

7.8.0 – November 28, 2022

  • Improvement: Added feedback when login form is submitted with 2FA
  • Fix: Restored click support on login button when using 2FA with WooCommerce
  • Fix: Corrected display issue with reCAPTCHA score history graph
  • Fix: Prevented errors on PHP caused by corrupted login timestamps
  • Fix: Prevented deprecation notices on PHP 8.2 related to dynamic properties
  • Change: Updated Wordfence registration workflow

7.7.1 – October 4, 2022

  • Fix: Prevented scan resume attempts from repeating indefinitely when the initial scan stage fails

7.7.0 – October 3, 2022

  • Improvement: Added configurable scan resume functionality to prevent scan failures on sites with intermittent connectivity issues
  • Improvement: Added new scan result for vulnerabilities found in plugins that do not have patched versions available via WordPress.org
  • Improvement: Implemented stand-alone MMDB reader for IP address lookups to prevent plugin conflicts and support additional PHP versions
  • Improvement: Added option to disable looking up IP address locations via the Wordfence API
  • Improvement: Prevented successful logins from resetting brute force counters
  • Improvement: Clarified IPv6 diagnostic
  • Improvement: Included maximum number of days in live traffic option text
  • Fix: Made timezones consistent on firewall page
  • Fix: Added “Use only IPv4 to start scans” option to search
  • Fix: Prevented deprecation notices on PHP 8.1 when emailing the activity log
  • Fix: Prevented warning on PHP 8 related to process owner diagnostic
  • Fix: Prevented PHP Code Sniffer false positive related to T_BAD_CHARACTER
  • Fix: Removed unsupported beta feed option

7.6.2 – September 19, 2022

  • Improvement: Hardened 2FA login flow to reduce exposure in cases where an attacker is able to obtain privileged information from the database

7.6.1 – September 6, 2022

  • Fix: Prevented XSS that would have required admin privileges to exploit (CVE-2022-3144)

7.6.0 – July 28, 2022

  • Improvement: Added option to start scans using only IPv4
  • Improvement: Added diagnostic for internal IPv6 connectivity to site
  • Improvement: Added AUTOMATIC_UPDATER_DISABLED diagnostic
  • Improvement: Updated password strength check
  • Improvement: Added support for scanning plugin/theme files in when using the WP_CONTENT_DIR/WP_PLUGIN_DIR constants
  • Improvement: Updated GeoIP database
  • Improvement: Made DISABLE_WP_CRON diagnostic more clear
  • Improvement: Added “Hostname” to Live Traffic message displayed for hostname blocking
  • Improvement: Improved compatibility with Flywheel hosting
  • Improvement: Adopted semantic versioning
  • Improvement: Added support for dynamic cookie redaction patterns when logging requests
  • Fix: Prevented scanned paths from being displayed as skipped in rare cases
  • Fix: Corrected indexed files count in scan messages
  • Fix: Prevented overlapping AJAX requests when viewing Live Traffic on slower servers
  • Fix: Corrected WP_DEBUG_DISPLAY diagnostic
  • Fix: Prevented extraneous warnings caused by DNS resolution failures
  • Fix: Corrected display issue with Save/Cancel buttons on All Options page
  • Fix: Prevented errors caused by WHOIS searches for invalid values

7.5.11 – June 14, 2022

  • Improvement: Added option to toggle display of last login column on WP Users page
  • Improvement: Improved autocomplete support for 2FA code on Apple devices
  • Improvement: Prevented Batcache from caching block pages
  • Improvement: Updated GeoIP database
  • Fix: Prevented extraneous scan results when non-existent paths are configured using UPLOADS and related constants
  • Fix: Corrected issue that prevented reCAPTCHA scores from being recorded
  • Fix: Prevented invalid JSON setting values from triggering fatal errors
  • Fix: Made text domains consistent for translation support
  • Fix: Clarified that allowlisted IP addresses also bypass reCAPTCHA

7.5.10 – May 17, 2022

  • Improvement: Improved scan support for sites with non-standard directory structures
  • Improvement: Increased accuracy of executable PHP upload detection
  • Improvement: Addressed various deprecation notices with PHP 8.1
  • Improvement: Improved handling of invalidated license keys
  • Fix: Corrected lost password redirect URL when used with WooCommerce
  • Fix: Prevented errors when live traffic data exceeds database column length
  • Fix: Prevented bulk password resets from locking out admins
  • Fix: Corrected issue that prevented saving country blocking settings in certain cases
  • Change: Updated copyright information

7.5.9 – March 22, 2022

  • Improvement: Updated GeoIP database
  • Improvement: Removed blocking data update logic in order to reduce timeouts
  • Improvement: Increased timeout value for API calls in order to reduce timeouts
  • Improvement: Clarified notification count on Wordfence menu
  • Improvement: Improved scan compatibility with WooCommerce
  • Improvement: Added messaging when application passwords are disabled
  • Fix: Prevented warnings and errors when constants are defined based on the value of other constants in wp-config.php
  • Fix: Corrected redundant escaping that prevented viewing or repairing files in scan results

7.5.8 – February 1, 2022

  • Launch of Wordfence Care and Wordfence Response

7.5.7 – November 22, 2021

  • Improvement: Made preliminary changes for compatibility with PHP 8.1
  • Change: Added GPLv3 license and updated EULA

7.5.6 – October 18, 2021

  • Fix: Prevented login errors with WooCommerce integration when manual username entry is enabled on the WooCommerce registration form
  • Fix: Corrected theme incompatibilities with WooCommerce integration

7.5.5 – August 16, 2021

  • Improvement: Enhanced accessibility
  • Improvement: Replaced regex in scan log with signature ID
  • Improvement: Updated Knockout JS dependency to version 3.5.1
  • Improvement: Removed PHP 8 compatibility notice
  • Improvement: Added NTP status for Login Security to Diagnostics
  • Improvement: Updated plugin headers for compatibility with WordPress 5.8
  • Improvement: Updated Nginx documentation links to HTTPS
  • Improvement: Updated IP address geolocation database
  • Improvement: Expanded WAF SQL syntax support
  • Improvement: Added optional constants to configure WAF database connection
  • Improvement: Added support for matching punycode domain names
  • Improvement: Updated Wordfence install count
  • Improvement: Deprecated support for WordPress versions older than 4.4.0
  • Improvement: Added warning messages when blocking U.S.
  • Improvement: Added MYSQLI_CLIENT_SSL support to WAF database connection
  • Improvement: Added 2FA and reCAPTCHA support for WooCommerce login and registration forms
  • Improvement: Added option to require 2FA for any role
  • Improvement: Added logic to automatically disable NTP after repeated failures and option to manually disable NTP
  • Improvement: Updated reCAPTCHA setup note
  • Fix: Prevented issue where country blocking changes are not saved
  • Fix: Corrected string placeholder
  • Fix: Added missing text domain to translation calls
  • Fix: Corrected warning about sprintf arguments on Central setup page
  • Fix: Prevented lost password functionality from revealing valid logins

7.5.4 – June 7, 2021

  • Fix: Resolve conflict with woocommerce-gateway-amazon-payments-advanced plugin

7.5.3 – May 10, 2021

  • Improvement: Expanded WAF capabilities including better JSON and user permission handling
  • Improvement: Switched to relative paths in WAF auto_prepend file to increase portability
  • Improvement: Eliminated unnecessary calls to Wordfence servers
  • Fix: Prevented errors on PHP 8.0 when disk_free_space and/or disk_total_space are included in disabled_functions
  • Fix: Fixed PHP notices caused by unexpected plugin version data
  • Fix: Gracefully handle unexpected responses from Wordfence servers
  • Fix: Time field now displays correctly on “See Recent Traffic” overlay
  • Fix: Corrected typo on Diagnostics page
  • Fix: Corrected IP counts on activity report
  • Fix: Added missing line break in scan result emails
  • Fix: Sending test activity report now provides success/failure response
  • Fix: Reduced SQLi false positives caused by comma-separated strings
  • Fix: Fixed JS error when resolving last scan result

7.5.2 – March 24, 2021

  • Fix: Fixed fatal error on single-sites running WordPress <4.9.

7.5.1 – March 24, 2021

  • Fix: Fixed fatal error when viewing the Login Security settings page from an allowlisted IP.

7.5.0 – March 24, 2021

  • Improvement: Translation-readiness: All user-facing strings are now run through WordPress’s i18n functions.
  • Improvement: Remove legacy admin functions no longer used within the UI.
  • Improvement: Local GeoIP database update.
  • Improvement: Remove Lynwood IP range from allowlist, and add new AWS IP range.
  • Fix: Fixed bug with unlocking a locked out IP without correctly resetting its failure counters.
  • Fix: Sites using deleted premium licenses correctly revert to free license behavior.
  • Fix: When enabled, cookies are now set for the correct roles on previously used devices.
  • Fix: WAF cron jobs are now skipped when running on the CLI.
  • Fix: PHP 8.0 compatibility – prevent syntax error when linting files.
  • Fix: Fixed issue where PHP 8 notice sometimes cannot be dismissed.

7.4.14 – December 3, 2020

  • Improvement: Added option to disable application passwords.
  • Improvement: Updated site cleaning callout with 1-year guarantee.
  • Improvement: Upgraded sodium_compat library to 1.13.0.
  • Improvement: Replaced the terms whitelist and blacklist with allowlist and blocklist.
  • Improvement: Made a number of WordPress 5.6 and jQuery 3.x compatibility improvements.
  • Improvement: Made a number of PHP8 compatilibility improvements.
  • Improvement: Added dismissable notice informing users of possible PHP8 compatibility issues.

7.4.12 – October 21, 2020

  • Improvement: Initial integration of i18n in Wordfence.
  • Improvement: Prevent Wordfence from loading under <PHP 5.3.
  • Melhoria: banco de dados GeoIP atualizado.
  • Improvement: Prevented wildcard from running/saving for scan’s excluded files pattern.
  • Improvement: Included Wordfence Login Security tables in diagnostics missing table list.
  • Fix: Removed new scan issues when WordPress update occurs mid-scan.
  • Fix: Specified category when saving whitelistedServiceIPs to WAF storage engine.
  • Fix: Removed localhost IP for auto-update email alerts.
  • Fix: Fixed broken message in Live Traffic with MySQLi storage engine for blocklisted hits.
  • Fix: Removed optional parameter values for PHP 8 compatibility.

You can find a complete changelog on our documentation site.