¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
Wordfence es el plugin de seguridad más utilizado en WordPress. Combina un firewall de aplicaciones web (WAF), un escáner de malware, protección frente a ataques de fuerza bruta y monitorización de tráfico en directo. Inspecciona cada petición a nivel PHP e intercambia inteligencia de amenazas con los servidores de Defiant Inc. en Estados Unidos. Desde el punto de vista del RGPD, se considera una herramienta de seguridad estrictamente necesaria, que trata direcciones IP y metadatos de las peticiones con el fin de detectar y bloquear ataques.
Wordfence es un plugin de seguridad para WordPress desarrollado por Defiant Inc. que se ejecuta íntegramente dentro del sitio como código PHP. Combina un firewall de aplicaciones web (WAF) que inspecciona las peticiones HTTP en la capa de aplicación, un escáner de malware que compara los ficheros del núcleo con el repositorio oficial de WordPress, un módulo de protección contra fuerza bruta y un monitor de tráfico en directo. Es uno de los plugins de WordPress más instalados, con millones de instalaciones activas en la Unión Europea.
En el lado del servidor, Wordfence registra direcciones IP, user agents, URI de las peticiones y, en el caso de usuarios autenticados, los nombres de usuario asociados a intentos de acceso fallidos. El WAF inspecciona el cuerpo de las peticiones, por lo que los payloads de los formularios atraviesan los patrones de filtrado. En el lado del cliente, Wordfence instala un pequeño número de cookies utilizadas para identificar el navegador del administrador (variantes wfwaf_authcookie) y para rastrear los intentos de acceso. Estas cookies son funcionales y están ligadas a la finalidad de seguridad, no al perfilado de usuarios.
Las direcciones IP son datos personales en el marco del RGPD. Wordfence las recopila y trata de forma sistemática, por lo que el plugin queda dentro del ámbito del reglamento. El aspecto favorable es que el considerando 49 del RGPD reconoce expresamente la seguridad de las redes y la información como interés legítimo del responsable, lo que permite invocar el art. 6.1.f RGPD en lugar del consentimiento. Las cookies de Wordfence estrictamente necesarias para el mecanismo de seguridad entran en la excepción de seguridad del art. 5.3 de la Directiva ePrivacy y no requieren consentimiento previo.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Defiant Inc. es una empresa estadounidense y el Threat Defense Feed se aloja en infraestructura de Estados Unidos. Cuando el plugin consulta el feed, cuando los usuarios Premium envían telemetría de ataque o cuando los administradores se conectan a Wordfence Central, se transfieren datos personales (direcciones IP, huellas de atacantes) fuera del EEE. La transferencia se apoya en las Cláusulas Contractuales Tipo (CCT) conforme al art. 46.2.c RGPD. Se recomienda realizar una evaluación de impacto de transferencias en organizaciones sensibles a la legislación estadounidense de vigilancia.
Documente Wordfence en el registro de actividades de tratamiento (RAT) como herramienta de seguridad amparada en el interés legítimo. Realice un breve LIA que justifique la necesidad y proporcionalidad del tratamiento. Mencione Wordfence y la transferencia a Estados Unidos en la política de privacidad, con referencia a las CCT. Mantenga un periodo de conservación corto para los logs (el plugin permite configurar la retención de Live Traffic). En sectores muy regulados (salud, sector público), valore alternativas autohospedadas o un saneamiento más estricto de los logs.
Websites using Wordfence must obtain user consent under GDPR regulations.
DPIA considerations
Wordfence trata direcciones IP, user agents, payloads de peticiones y metadatos de intentos de acceso con el fin de detectar y prevenir intrusiones. Aspectos clave para la EIPD: (1) tratamiento sistemático de direcciones IP, que son datos personales según el RGPD; (2) transferencia de telemetría de ataques y, en planes Premium, de datos de amenazas detallados a Defiant Inc. en Estados Unidos; (3) registro potencial del cuerpo de peticiones POST, que puede contener incidentalmente datos personales remitidos mediante formularios; (4) tratamiento de metadatos de autenticación (logins fallidos, eventos de 2FA) de usuarios legítimos; (5) integración con el panel cloud Wordfence Central para la gestión multisitio. No suele exigirse una EIPD formal para despliegues típicos, ya que Wordfence se ampara en la excepción de seguridad (considerando 49 RGPD), pero se recomienda firmemente realizar un análisis de interés legítimo (LIA), especialmente en planes Premium con intercambio de threat feed en tiempo real.
Sample consent text
Nuestro sitio utiliza Wordfence para protegerlo frente a intentos de hackeo, malware y tráfico abusivo. Para ello, Wordfence inspecciona las peticiones entrantes, registra las direcciones IP sospechosas e intercambia inteligencia de amenazas con Defiant Inc. en Estados Unidos. Este tratamiento se basa en nuestro interés legítimo en garantizar la seguridad del sitio (art. 6.1.f RGPD), tal como reconoce el considerando 49 del RGPD.
Third-party domains contacted
wordfence.comwww.wordfence.comnoc1.wordfence.comnoc4.wordfence.comnoc7.wordfence.comwfcentral.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| wfwaf-authcookie-<hash> | Functional / Security | Session (4 hours by default) | Identifies the browser of an authenticated WordPress user so that the Wordfence Web Application Firewall (WAF) can apply the trusted user ruleset and avoid blocking legitimate admin actions. |
| wordfence_verifiedHuman | Functional / Security | 24 hours | Marks a visitor as human after a successful CAPTCHA challenge or interaction, reducing the friction of subsequent firewall checks during the same session. |
| wfvt_<id> | Functional / Security | Session | Stores a visitor tracking identifier used by the Live Traffic feature to group requests from the same browser when admins review traffic in real time. |
| wf_loginalerted_<hash> | Functional / Security | 1 year | Records that a successful login alert email has already been sent for a given user and IP combination, to avoid sending duplicate alerts on every subsequent login. |
Wordfence recopila datos analíticos de los usuarios — necesitas legalmente un banner de consentimiento. Prueba FlowConsent gratis.
Wordfence instala un pequeño número de cookies funcionales, principalmente variantes de wfwaf-authcookie utilizadas para reconocer el navegador del administrador y evitar el firewall en sesiones de confianza. También hay cookies efímeras de los módulos Live Traffic y Login Security. Son cookies funcionales ligadas al fin de seguridad, sin perfilado de usuario.
En la mayoría de los casos no. Wordfence es una herramienta de seguridad estrictamente necesaria. Sus cookies se acogen a la excepción de seguridad del art. 5.3 de la Directiva ePrivacy y el tratamiento se justifica por el interés legítimo del art. 6.1.f RGPD, respaldado por el considerando 49 (seguridad de redes e información). El consentimiento no suele ser necesario.
Interés legítimo (art. 6.1.f RGPD). El considerando 49 del RGPD reconoce expresamente la seguridad de las redes y sistemas de información como interés legítimo del responsable. Se recomienda documentar un análisis de interés legítimo (LIA).
Sí. Defiant Inc. es una empresa estadounidense. Las direcciones IP, los patrones de ataque y la telemetría de amenazas se intercambian con servidores en EE. UU. mediante el Threat Defense Feed y Wordfence Central. La transferencia se ampara en las Cláusulas Contractuales Tipo conforme al art. 46.2.c RGPD.
Rara vez se exige una EIPD formal, ya que el tratamiento se acoge a la excepción de seguridad y emplea categorías de datos limitadas. Documente en su lugar un LIA y valore una evaluación de impacto de transferencias si su organización es especialmente sensible a las leyes de vigilancia estadounidenses.
Instale el plugin, mantenga la anonimización de IP y la retención de logs en valores cortos, mencione Wordfence en la política de privacidad indicando la transferencia a EE. UU. y las CCT, no active la telemetría Premium sin renovar el LIA y evite registrar el cuerpo de peticiones POST en formularios que recojan categorías especiales de datos.
En plugins de WordPress: Sucuri (sede en EE. UU. pero CDN global), Solid Security (antes iThemes), Patchstack (Estonia, threat intelligence con base en la UE) y Cloudflare WAF en el edge. Para entornos autoalojados, ModSecurity con OWASP Core Rule Set es una opción totalmente controlable dentro de la UE.
Wordfence debe figurar en la categoría estrictamente necesaria o de seguridad de la política de cookies, con una descripción breve de cada cookie (nombre, finalidad, duración), mención de la transferencia a EE. UU. con CCT y una declaración clara de que no se requiere consentimiento porque el tratamiento se basa en el interés legítimo con excepción de seguridad.