Wordfence z terminálu: WP-CLI příkazy a Abilities API (WP 6.9) pro automatizaci bezpečnosti

Wordfence patří mezi nejpoužívanější bezpečnostní pluginy pro WordPress, ale jeho ovládání je typicky navázané na wp‑admin. Když spravuješ flotilu webů, běžíš údržbu přes SSH nebo si stavíš automatizace kolem CI/CD, začne ti UI rychle překážet.

Na GitHubu se teď objevil nový open‑source plugin WP‑CLI & Abilities API for Wordfence, který přesně tuhle mezeru řeší: přidává plnohodnotné ovládání Wordfence přes WP‑CLI (WordPress Command Line Interface) a navíc implementuje nový WordPress Abilities API z WordPressu 6.9. To je zajímavé hlavně tím, že sjednocuje způsob, jak mohou automatizační nástroje a AI agenti „objevovat“ dostupné funkce WordPressu a bezpečně je volat přes popsané, validované rozhraní.

Co plugin přidává: namespace wp wfsec pro Wordfence operace

Po instalaci získáš v WP‑CLI nový příkazový prostor wfsec. Cílem je pokrýt běžné bezpečnostní workflow bez nutnosti otevírat administraci – od skenů a práce s nálezy až po pravidla firewallu a konfiguraci.

Security scanning (skenování)

• Spuštění rychlého nebo plného (full) malware skenu
• Sledování průběhu skenu v reálném čase
• Zobrazení historie skenů a detailních logů

Firewall management (správa WAF a blokací)

• Blokování nebo odblokování IP adres
• Nastavení délky blokace a důvodu (reason)
• Ověření, zda je konkrétní IP blokovaná
• Zapnutí nebo vypnutí WAF ochrany (Web Application Firewall)

Issue tracking (práce s nálezy a hrozbami)

• Výpis všech detekovaných bezpečnostních problémů
• Filtrování podle stavu (new, ignored, resolved)
• Mazání nebo správa jednotlivých hrozeb

Configuration (konfigurace a licence)

• Čtení a změna nastavení Wordfence
• Kontrola stavu licence
• Export a import konfigurace

Rychlé ukázky: příkazy, které dávají smysl hned po instalaci

Níže jsou typické příkazy, které se hodí při každodenní správě. Dobré je, že se dají použít jak interaktivně (admin přes SSH), tak ve skriptech.

# Základní přehled stavu Wordfence
wp wfsec status

# Spuštění plného bezpečnostního skenu
wp wfsec scan start --type=full

# Sledování průběhu skenu
wp wfsec scan status

# Výpis všech bezpečnostních nálezů
wp wfsec issues ls --status=all

# Blokace IP adresy na 24 hodin (86400 s) s důvodem
wp wfsec firewall block 192.168.1.100 --duration=86400 --reason="Brute force attempt"

# Kontrola stavu licence
wp wfsec license status

# Základní přehled stavu Wordfence
wp wfsec status

# Spuštění plného bezpečnostního skenu
wp wfsec scan start --type=full

# Sledování průběhu skenu
wp wfsec scan status

# Výpis všech bezpečnostních nálezů
wp wfsec issues ls --status=all

# Blokace IP adresy na 24 hodin (86400 s) s důvodem
wp wfsec firewall block 192.168.1.100 --duration=86400 --reason="Brute force attempt"

# Kontrola stavu licence
wp wfsec license status

Všechny příkazy navíc podporují --format=json, což je praktické pro scripting (např. parsování přes jq, napojení do monitoringu nebo do vlastních interních nástrojů).

Abilities API ve WordPressu 6.9: proč je to důležité pro automatizace a AI agenty

Největší „wow“ moment je podpora WordPress Abilities API. Jde o nové standardizované rozhraní představené ve WordPressu 6.9, jehož smyslem je umožnit automatizačním nástrojům a AI agentům zjistit, jaké schopnosti (abilities) web nabízí, a pak je volat konzistentním způsobem – bez toho, aby každý plugin musel mít vlastní ad‑hoc API, které se těžko integruje a ještě hůř objevuje.

Tenhle plugin je jedním z prvních, které Abilities API skutečně implementují pro bezpečnostní scénáře kolem Wordfence. V praxi to otevírá cestu k AI asistované bezpečnostní rutině, integraci do vlastních dashboardů nebo k tomu, aby automatizace samy dělaly pravidelné kontroly a eskalovaly jen relevantní incidenty.

Jaké abilities plugin vystavuje

Plugin publikuje sedm klíčových schopností, které pokrývají skeny, nálezy, firewall a licenci:

• scan-status – zjištění aktuálního stavu skenu a průběhu
• scan-start – programové spuštění bezpečnostního skenu
• issues-list – získání seznamu detekovaných bezpečnostních problémů
• issues-count – počty nálezů podle závažnosti
• firewall-status – kontrola stavu WAF
• firewall-block – blokování IP přes API
• license-status – dotaz na licenční informace

Důležitá je kombinace vlastností: rozhraní je self‑describing (nástroj si umí „osahat“, co web umí), odpovědi jsou validované vůči schématu a agent tak může volat funkce bez psaní specifické integrace pro každý jednotlivý plugin.

Autentizace: Application Passwords + Basic Auth

Pro ověřování plugin používá WordPress Application Passwords (aplikační hesla) přes Basic Auth. To je relativně přímočaré pro server‑to‑server integrace i pro interní automatizace, protože se neopírá o sdílení primárních přihlašovacích údajů administrátora.

Požadavky (requirements)

• WordPress 6.9+
• PHP 8.0+
• WP‑CLI 2.5+
• Plugin Wordfence Security (free nebo premium)

Instalace: ZIP do pluginů nebo Composer (Bedrock)

Pokud chceš jít klasickou cestou, stáhneš ZIP a nahraješ ho do adresáře /wp-content/plugins/ a plugin aktivuješ. Alternativně je možné nasadit ho přes Composer v Bedrock‑style projektu (pokud takhle web skládáš), což se hodí pro reprodukovatelné deploye.

Kde mi to dává největší smysl v praxi

• Správa více webů: jednotné příkazy pro skeny a blokace bez přepínání administrací.
• Automatizace: --format=json + cron/CI job = pravidelné kontroly a reporting do Slacku/monitoringu (dle toho, co používáš).
• Bezpečnostní operace bez UI: rychlé blokování IP, kontrola WAF, licence a nálezů přes SSH.
• Integrace přes Abilities API: standardizovaná cesta, jak Wordfence napojit na nástroje, které umí abilities objevovat a volat, včetně AI agentů.