WP-CLI y Abilities API para Wordfence: seguridad de WordPress desde la terminal (y lista para agentes de IA)

Acaba de aparecer un plugin open source que pone a Wordfence Security bajo control de WP-CLI (la herramienta de línea de comandos de WordPress) y, por si fuera poco, es de los primeros en soportar la nueva WordPress Abilities API introducida en WordPress 6.9. La combinación es potente: operaciones de seguridad sin pasar por el dashboard y, además, una interfaz estandarizada para que herramientas de automatización y agentes de IA puedan descubrir y ejecutar acciones de WordPress sin integraciones a medida.

El repositorio está en GitHub: github.com/trueqap/wpcli-for-wordfence.

Qué añade exactamente: el namespace wp wfsec en WP-CLI

El plugin incorpora un nuevo espacio de comandos, wp wfsec, desde el que puedes cubrir el ciclo habitual de operaciones de Wordfence: lanzar escaneos, revisar resultados, gestionar reglas del firewall/WAF (Web Application Firewall) y consultar configuración/licencia. La idea es que puedas operar desde scripts, CI/CD o sesiones SSH rápidas, especialmente útil cuando llevas varios sitios o entornos (staging/producción) en paralelo.

Security Scanning (escaneos de seguridad)

• Iniciar escaneos rápidos o escaneos completos de malware.
• Monitorizar el progreso del escaneo en tiempo real.
• Consultar histórico de escaneos y logs detallados.

Firewall Management (gestión de firewall/WAF)

• Bloquear o desbloquear direcciones IP.
• Definir duración del bloqueo y el motivo (reason).
• Comprobar si una IP concreta está bloqueada.
• Activar o desactivar la protección del WAF.

Issue Tracking (seguimiento de incidencias)

• Listar todos los problemas de seguridad detectados.
• Filtrar por estado (new, ignored, resolved).
• Borrar o gestionar amenazas individuales.

Configuration (configuración)

• Leer y modificar ajustes de Wordfence.
• Comprobar el estado de la licencia.
• Exportar e importar configuraciones.

Ejemplos rápidos de uso (comandos reales)

Estos ejemplos resumen el flujo típico: comprobar estado, lanzar escaneo, seguir progreso, revisar incidencias y actuar sobre el firewall:

# Comprobar el estado general de Wordfence
wp wfsec status

# Lanzar un escaneo completo de seguridad
wp wfsec scan start --type=full

# Ver el estado/progreso del escaneo
wp wfsec scan status

# Listar todas las incidencias de seguridad
wp wfsec issues ls --status=all

# Bloquear una IP durante 24 horas
wp wfsec firewall block 192.168.1.100 --duration=86400 --reason="Brute force attempt"

# Consultar el estado de la licencia
wp wfsec license status

# Comprobar el estado general de Wordfence
wp wfsec status

# Lanzar un escaneo completo de seguridad
wp wfsec scan start --type=full

# Ver el estado/progreso del escaneo
wp wfsec scan status

# Listar todas las incidencias de seguridad
wp wfsec issues ls --status=all

# Bloquear una IP durante 24 horas
wp wfsec firewall block 192.168.1.100 --duration=86400 --reason="Brute force attempt"

# Consultar el estado de la licencia
wp wfsec license status

Un detalle práctico para automatización: todos los comandos soportan --format=json, lo que facilita integrarlos en scripts, pipelines o herramientas que consuman salida estructurada.

Lo diferencial: soporte para WordPress Abilities API (WordPress 6.9+)

Aquí es donde el plugin se sale de lo habitual. Implementa la WordPress Abilities API, una interfaz estandarizada introducida en WordPress 6.9 para que agentes de IA y herramientas de automatización puedan descubrir e interactuar con funcionalidades del sitio mediante un API auto-descriptivo y validado por esquema (schema-validated), sin depender de integraciones ad hoc por plugin.

En la práctica, significa que Wordfence deja de ser “solo UI” o “solo endpoints propios” y pasa a ser una pieza accesible por un conjunto de capacidades (abilities) con nombres y comportamiento consistente.

Las 7 abilities que expone este plugin

• scan-status – Obtener el estado actual del escaneo y su progreso.
• scan-start – Iniciar escaneos de seguridad de forma programática.
• issues-list – Recuperar la lista de incidencias detectadas.
• issues-count – Obtener recuento de incidencias por severidad.
• firewall-status – Comprobar el estado del WAF.
• firewall-block – Bloquear IPs a través del API.
• license-status – Consultar información de licencia.

Qué habilita en escenarios reales

Con estas abilities, la puerta queda abierta a montajes más modernos: monitorización de seguridad con IA, paneles internos que integren Wordfence sin replicar lógica, o automatizaciones que ejecuten chequeos rutinarios (por ejemplo, iniciar escaneos, consultar incidencias y aplicar bloqueos) usando una interfaz que un agente puede descubrir y utilizar.

A nivel de autenticación, el plugin utiliza WordPress Application Passwords (contraseñas de aplicación) sobre Basic Auth.

Requisitos

• WordPress 6.9+
• PHP 8.0+
• WP-CLI 2.5+
• Plugin Wordfence Security (gratis o premium)

Descarga e instalación

Puedes descargar la última versión y subirla al directorio /wp-content/plugins/:

Si trabajas con una estructura tipo Bedrock, también se puede instalar vía Composer (según indica el proyecto).

Resumen operativo

• Si quieres gestionar Wordfence desde la terminal, wp wfsec te cubre escaneos, incidencias, firewall/WAF y configuración.
• Si te interesa automatizar o conectar herramientas externas, el soporte de Abilities API (WP 6.9+) expone capacidades claras: estado/arranque de escaneos, listado y conteo de issues, estado/bloqueo en firewall y estado de licencia.
• Para scripting, --format=json y la autenticación con Application Passwords + Basic Auth lo hacen especialmente cómodo.