Mientras tanto, más del 43% de todos los sitios web funcionan con WordPress. Esto convierte a nuestro CMS favorito en un objetivo popular para los ataques y el malware. Pero no hay por qué alarmarse. Porque la seguridad de WordPress no es brujería. Además de consejos prácticos de seguridad, hoy traemos en nuestro equipaje los tres mejores plugins de seguridad para WordPress y te mostramos cuándo los necesitas de verdad.
¿Sigo necesitando un plugin de seguridad para WordPress? Esta pregunta nos la hacen regularmente en el servicio de asistencia. En el siguiente artículo, me gustaría mostrarte qué valor añadido tiene un plugin de seguridad para la seguridad del sitio web tus WordPress y cuándo tiene realmente sentido utilizar uno.
En la segunda parte, comparamos los tres plugins de seguridad para WordPress más populares para ofrecerte una visión general rápida. De este modo, podrás tomar una decisión rápida y específica y volver a lo esencial: tu negocio.
Por qué la seguridad de WordPress es tan crucial
Básicamente, hay tres aspectos esenciales por los que deberías ocuparte activamente de la seguridad del sitio web tus WordPress y no esconder la cabeza bajo el ala.
#1 tu El sitio web puede quedar inutilizado
Hace unos años, todavía estábamos activos en el negocio de las agencias. Hubo momentos en los que tuvimos que rediseñar completamente sitio porque el sitio original se había vuelto inutilizable debido a problemas de seguridad que podrían haberse evitado.
Ahora bien, alguien que instala malware en sitios web no suele estar interesado en destruirlos. Al fin y al cabo, el atacante quiere utilizarlo para enviar spam, dirigir a los visitantes a sitios web de spam, incrustar anuncios o generar criptomonedas, por ejemplo. Además de restringir en general la funcionalidad de los sitios web tus , el software malicioso también puede provocar considerables problemas de rendimiento.
"*"indica que los campos son obligatorios
#2 Lista negra y caída en la clasificación de Google
Un punto aún más grave en estos tiempos es la inclusión del dominio en una lista negra, especialmente por parte de Google o Norton. Si Google pone en la lista negra el sitio web tu , esto significa, en el peor de los casos, que el sitio web tu sale volando de los resultados de búsqueda de Google.
Es posible volver a enviar un escaneado de sitio tras un ataque de malware. Sin embargo, esto no garantiza que recuperes tu clasificaciones anteriores. Especialmente con palabras clave importantes para ganar dinero o con mucho tráfico orgánico, esto puede tener graves consecuencias económicas.
#3: Pérdida de datos
Especialmente en tiempos de RGPD, donde el tema de la protección de datos ha alcanzado una nueva dimensión, es necesario proteger los datos correspondientes. Aunque esto es menos importante para el sitio web normal de una empresa, es aún más dramático para el sitio web de una tienda si la información de pago no está suficientemente protegida.
Amenazas típicas a la seguridad de WordPress
Ataques de fuerza bruta en el área de inicio de sesión
En un ataque de fuerza bruta, se intentan automáticamente un gran número de combinaciones de contraseñas para acceder al sitio web a través del inicio de sesión /wp-admin de WordPress. Una vez que se ha conseguido y la cuenta tiene derechos de administrador en tus , el sitio web está casi completamente en manos de un tercero.
Nuestra experiencia en Raidboxes lo demuestra: Utilizando una contraseña segura y limitando los intentos de inicio de sesión, se pueden evitar casi todos los casos de malware. Pero hablaremos de ello más adelante.
Explotación automatizada de vulnerabilidades de seguridad
Por regla general, los ataques a sitios web están automatizados. Los sitios web de WordPress son escaneados automáticamente por los llamados rastreadores, por ejemplo, en busca de un determinado plugin que tenga una vulnerabilidad de seguridad. En los ataques se pueden explotar diversas vulnerabilidades de seguridad, como inyecciones SQL o secuencias de comandos entre sitios.
Ataques manuales
Por supuesto, también es posible explotar una vulnerabilidad de seguridad manualmente. Sin embargo, esto es bastante raro, ya que el esfuerzo sólo merecería la pena para las grandes tiendas WooCommerce en las que realmente se van a robar datos de pago.
8 medidas de seguridad que proporcionamos como hoster
En principio, el alojamiento especializado en WordPress puede aumentar significativamente la seguridad de los sitios web de tus . A lo largo de los años, hemos ampliado continuamente el concepto de seguridad de Raidboxes , de modo que los casos de malware se han convertido en una absoluta rareza. En particular, el análisis detallado de los casos de malware ayuda a identificar las vulnerabilidades de seguridad más frecuentes y a prevenirlas con las medidas adecuadas.
#1 Contraseñas fuertes: la medida de seguridad más importante de todas
Una de las medidas de seguridad más importantes de todas es una contraseña segura para todas las cuentas. Lamentablemente, como hoster, sólo tenemos una influencia limitada en la asignación de contraseñas. Especialmente en el caso de las deslocalizaciones, sólo podemos ejercer poca influencia sobre las contraseñas. Imponer una contraseña segura al crear un Box (es decir, un nuevo sitio web WordPress) ha permitido reducir significativamente los ataques de malware.
Recordatorio
Una contraseña debe constar de números, caracteres especiales y letras minúsculas con una longitud mínima de siete caracteres. Si éste no es el caso de tus cuentas de WordPress, definitivamente deberías dar primero el paso 1 y cambiar inmediatamente las contraseñas de tu .
#2 Protección contra ataques de fuerza bruta
Los sitios web son atacados casi mil millones de veces al mes con los ataques de fuerza bruta descritos anteriormente. Bien si tu WordPress hoster ya se ha ocupado de esto. Nuestra Protección de inicio de sesión se pondrá delante de tu área de inicio de sesión de WordPress ypondrá en la "lista negra"las direcciones IP que intenten acceder repetidamente con datos de inicio de sesión falsos.
En la configuración tus Box puedes definir exactamente después de cuántos intentos de acceso debe surtir efecto este bloqueo y durante cuánto tiempo se bloquean las IP en cuestión. En combinación con una contraseña segura, es prácticamente imposible acceder al sitio web de esta forma.
#3 Borrador de sesiones de WP
Según RGPD , debes almacenar la menor cantidad de datos posible. ¡Nosotros te ayudamos con esto! Nuestra herramienta para economizar más datos -el Borrador de Sesiones de WordPress- borra las sesiones de WordPress de todos los usuarios de tus de la base de datos después de un intervalo especificado. Puedes establecer este intervalo individualmente para cada Box en la configuración de tu casilla en nuestro Dashboard .
#4 Bloqueo por defecto del XML-RPC
XML-RPC es una interfaz que ha estado disponible en todos los sitios web de WordPress desde WordPress 3.5. Dado que la gran mayoría de los webmasters no utilizan XML-RPC de todos modos, tiene sentido desactivar esta interfaz. Porque: los hackers pueden atacar directamente a tu sitio a través de XML-RPC.
Por esta razón, la interfaz está ahora bloqueada por defecto y puede activarse si es necesario a través de la configuración en Raidboxes Dashboard .
#5 Actualizaciones de seguridad de WordPress gestionadas
Por supuesto, la actualización de WordPress es esencial. Las nuevas versiones de WordPress se publican aproximadamente cada 2-3 meses. Las actualizaciones de mantenimiento, en particular, cierran importantes brechas de seguridad. Estas actualizaciones deben instalarse inmediatamente.
Las actualizaciones importantes suelen implicar cambios importantes en el código, por lo que pueden producirse incompatibilidades. Para dar tiempo suficiente a las actualizaciones de temas y plugins, siempre lanzamos actualizaciones importantes en nuestro sistema transcurridos 14 días. Por supuesto, hacemos que la última versión de WordPress esté disponible inmediatamente para las actualizaciones manuales. Por supuesto, ¡es importante que hagas siempre una copia de seguridad de tus sitio antes de actualizar!
#6 Protección de escritura selectiva - Medidas de endurecimiento de WordPress
Uno de los objetivos del plugin iThemes Security es hacer que WordPress sea más seguro protegiendo los archivos. Esto también se integra selectivamente con nosotros. Esto hace más difícil infectar elementos de sitio y dejarlos inutilizables. Siempre hay que encontrar un equilibrio razonable entre flexibilidad y seguridad. Mantenemos este equilibrio mediante opciones de configuración directamente a través de la interfaz de usuario de Raidboxes .
Además, por supuesto también utilizamos las mejores prácticas de WordPress cuando tienen sentido. Un ejemplo es cambiar el nombre del prefijo de la base de datos de WordPress. En nuestro caso, no es accesible a través del estándar wp_. En cambio, renombrar la carpeta wp-content, como ofrece iThemes Security, provoca errores, ya que los plugins y los temas no pueden soportarlo.
#7 Actualizaciones de plugins gestionadas desde WordPress
Ahora es el momento de cerrar la última gran puerta de entrada a los ataques: los plugins que no están actualizados. Al igual que con el propio WordPress, las vulnerabilidades de seguridad también pueden producirse con plugins y temas. No todas las actualizaciones incluyen funciones de seguridad. No obstante, si todos los plugins están actualizados, la probabilidad de que se produzcan vulnerabilidades de seguridad es significativamente menor.
#8 Medidas del lado del servidor
Todas las medidas anteriores protegen al propio WordPress. Aparte de eso, hay por supuesto una lista casi interminable de medidas de seguridad que afectan al propio servidor. Esto empieza con las actualizaciones de Linux y termina con la actualización periódica de PHP, que es la base de WordPress. Nosotros nos encargamos de la actualización automática de las versiones de PHP obsoletas (por supuesto, con el tiempo de antelación y de prueba adecuados), sin que tengas que ocuparte tú de ello.
Desventajas de los plugins de seguridad de WordPress
Teniendo esto en cuenta, ahora me gustaría hablar brevemente de las desventajas de los plug-ins de seguridad. Algunas de ellas no son insignificantes, sobre todo desde el punto de vista del tiempo.
Esfuerzo de preparación
Quien piense que basta con instalar un plug-in se equivoca. Desgraciadamente, instalar un plug-in de seguridad también requiere ciertos conocimientos.
Utilizando el ejemplo del plugin Seguridad Todo en Uno es un buen ejemplo de ello. Es uno de los plugins gratuitos más populares, que utiliza en gran medida el archivo .htaccess. Sin embargo, el plugin ni siquiera reconoce si se trata de un servidor NGINX. Éste no admite el concepto de archivo .htaccess. Sin embargo, NGINX se utiliza en el entorno WordPress por su flexibilidad.
Además, aunque las medidas de seguridad se dividen en niveles de dificultad, lo que tiene mucho sentido, muchas de las medidas que ofrece el plugin son menos útiles. Para valorar adecuadamente la necesidad de las distintas medidas, es inevitable familiarizarse con el tema de la seguridad.
Mantenimiento e (in)seguridad percibida
Para nuestra prueba, instalamos varios plug-ins de seguridad. Uno de los plug-ins utilizó automáticamente una dirección de correo electrónico del equipo almacenada en WordPress y empezó a enviar correos electrónicos. Para gran alegría de todos los miembros del equipo...
Por desgracia, esto no es en absoluto una rareza. Por supuesto, a uno le gustaría estar informado en cierto sentido. Sin embargo, en los casos más frecuentes, se señalan cosas que no representan ningún riesgo para la seguridad. Al final, uno se siente más inseguro que antes porque, por ejemplo, se le informa de cada cambio de archivo y tiene que comprobarlo en caso de duda.
Problemas de rendimiento
Por defecto, cada uno de los plugins ofrece un escáner de malware o de seguridad. Al plugin Wordfence prefiere fijarlo automáticamente en una hora. Esto significa que, en caso de duda, cada hora (!) se ejecuta un escaneado tus sitio mediante un script automático (a través de cronjob). Cualquiera que haya instalado alguna vez un software antivirus en su ordenador conoce las historias de aflicción de los problemas de rendimiento, a veces masivos.
Ésta también puede ser una razón por la que "sólo" 2 millones de más de 90 millones de descargas permanecieron activas al final.
Costes
Para la investigación de este artículo, sólo hemos evaluado plugins que también están disponibles en versión gratuita. Sin embargo, lamentablemente ocurre que con muchos plugins de seguridad de WordPress, las funciones realmente útiles cuestan al menos 80 dólares al año. Si no los utilizas, a menudo te quedas con una sensación de inseguridad.
¿Cuándo es realmente útil un plugin de seguridad para WordPress?
Para quienes quieran ir más allá, aquí tienes algunos ejemplos de casos en los que un plugin de seguridad para WordPress puede ser útil. Estas recomendaciones sólo se refieren a alojamientos especializados en WordPress. Como es posible que otros alojamientos no dispongan de medidas de seguridad tan específicas y amplias, un plugin de seguridad para WordPress puede ser aconsejable en esos casos. Como puedes ver, no es posible hacer una afirmación general sobre la utilidad de los plugins de seguridad, ya que los requisitos y las circunstancias son diferentes.
Pirateo manual en WooCommerce Shop
Este es uno de los pocos ejemplos en los que realmente recomendamos activamente un plugin de seguridad para aumentar la seguridad de la tienda online. El cliente de WooCommerce tenía la impresión de que estaba siendo atacado manualmente, lo que, como se ha descrito anteriormente, es muy poco frecuente.
En este caso, pudo utilizar Wordfence y su función de registro para identificar rápidamente la dirección IP correspondiente y bloquearla. Así se pudo detener eficazmente el ataque.
Cuanto mayor sea el número de plug-ins, mayor será la probabilidad de riesgos para la seguridad. Especialmente si no se utiliza ninguna herramienta para la actualización, las brechas de seguridad existentes pasan desapercibidas en el sistema durante mucho tiempo y ofrecen una superficie de ataque. Especialmente en las tiendas WooCommerce , el número de plug-ins suele ser elevado debido a la naturaleza de WooCommerce y, al mismo tiempo, los datos son más sensibles. Por lo tanto, en este caso debe considerarse la posibilidad de un plugin de seguridad.
Los tres mejores plugins de seguridad para WordPress
A continuación, me gustaría explicar brevemente por qué nos limitamos a sólo tres plugins y no presentamos diez, o incluso los 101 mejores plugins de seguridad para WordPress.
Cuando se trata de plugins de seguridad, nos limitamos a los 3 mejores plugins de WordPress en todo el mundo. También examinamos otros plugins de seguridad, como All In One WP Security & Firewall, que es el plugin puramente gratuito (sin versión premium) más popular, con más de 800.000 usuarios. Sin embargo, la facilidad de uso y, en parte, las medidas recomendadas no nos convencieron. Además, sólo se puede utilizar en servidores web Apache.
Se trata de los últimos metros
Dado que consideramos los plugins más como un complemento a un alojamiento WordPress ya seguro, el objetivo es cubrir el último 0,1 por ciento de riesgo de seguridad. Así, nos limitamos a los plugins profesionales, que tienen una distribución muy alta.
Pero esta selección de plugins también es muy relevante para otros hosters no especializados. En cualquier caso, aquí deberías tratar más intensamente el tema de la seguridad de WordPress.
Apoyo a la decisión rápida
Al mismo tiempo, es importante para nosotros proporcionar una ayuda rápida para la toma de decisiones. En nuestra opinión, esto ya no es posible con una presentación de diez plug-ins, porque al final los diez plug-ins tienen que ser evaluados de nuevo. Con tres complementos con diferentes enfoques, la decisión es más fácil.
Restricción a los Plugins Todo en Uno
Por supuesto, hay innumerables plug-ins que se encargan de funciones individuales, por ejemplo, limitar los intentos de inicio de sesión (Limitar intentos de inicio de sesión). Pero incluso las funciones que los plugins sólo ofrecen en las versiones PRO pueden resolverse mediante plugins individuales. El mejor ejemplo es este plugin para la autenticación de 2 factores.
La distribución y los datos son importantes para los cortafuegos
Los cortafuegos aplican ciertas reglas para detectar si alguien está actuando maliciosamente o simplemente visitando sitio . Si alguien intenta penetrar en sitio , se le bloquea. Las reglas, en particular, se basan en el conocimiento de las vulnerabilidades de seguridad existentes. Al mismo tiempo, es más fácil detectar redes de atacantes cuando hay 2 millones de páginas en la administración y bloquearlas para el resto de páginas que cuando hay 10.000 páginas. Por tanto, la distribución desempeña un papel importante para los plugins de seguridad.
Esto no significa que no haya otros plugins estupendos para aumentar la seguridad de WordPress. Siéntete libre de nombrar tus favoritos personales en los comentarios. De este modo, nos aseguramos de que haya aún más igualdad de oportunidades para nuevos enfoques innovadores.
Los tres mejores plugins de seguridad de un vistazo
| Sitio web del plugin | Wordfence | iThemes Security | Sucuri Seguridad |
| Enlace de descarga | Descarga | Descarga | Descarga |
| Funciones | Aquí | Aquí | Aquí |
| Instalaciones activas | Más de 3 millones | 900.000+ | 700.000+ |
| Idiomas | Inglés | 16 idiomas (también DE) | Inglés, español |
| Probado con la última versión de WordPress | Sí | Sí | a 5.3.4 |
| Número de valoraciones | 3,572 | 3,830 | 338 |
| Valoración (cinco estrellas) | 4,8 | 4,7 | 4,4 |
| Versión gratuita | Sí | Sí | Sí |
| Prima (licencia anual) | a partir de 99 dólares | desde 80 dólares | $199,99 |
| Eliminación de malware de | $286.40 | No se ofrece | Incluido en la licencia |
En el resumen queda claro que cada uno de los plugins tiene una distribución muy alta y está bien valorado. Sin embargo, Wordfence es el líder indiscutible del mercado y también está bien equilibrado en cuanto a relación calidad-precio. Con Sucuri, pagas directamente por la eliminación de malware, pero aquí los precios pueden subir hasta 500 $ al año , sobre todo debido a un servicio más rápido y escaneos más frecuentes. En Wordfence la eliminación profesional de malware se ofrece como un servicio opcional. Así que todo depende de las necesidades de tu .
Es importante saber que es bastante improbable atrapar un malware con contraseñas fuertes de usuario de WP. Por tanto, en nuestra opinión, no tiene mucho sentido adquirir la eliminación de malware directamente como un servicio.
En Wordfence tienes acceso directo a todo el espectro del cortafuegos en la versión gratuita, a diferencia de iThemes Security, por ejemplo, donde la información de la red sólo es accesible en la versión PRO.
Un punto importante que tampoco debe subestimarse: Wordfence En nuestro ejemplo, Sucuri es el único proveedor independiente especializado únicamente en la seguridad de WordPress. Sucuri forma parte ahora del grupo GoDaddy e iThemes también fue comprada por otra empresa de alojamiento. También están activos en otras áreas, como el desarrollo de temas. Detrás de Wordfence está la empresa de seguridad Defiant.
Conclusión provisional
Por tanto, nuestra recomendación de plugin de seguridad es bastante clara Wordfence. La versión gratuita del plugin ya ofrece un cortafuegos completo y se centra en los dos temas principales que debe proporcionar un plugin de seguridad para WordPress: un cortafuegos y análisis de seguridad.
Además, es rápido de configurar, está claramente estructurado y no confunde, como ocurre con otros plug-ins con información demasiado técnica.
Para evitar problemas de rendimiento, se debe utilizar "Escaneado de bajos recursos" en las opciones de escaneado. Dado que se procesan direcciones IP, debescerrar un AV con Wordfence .
A continuación, volveré a entrar en detalle sobre las áreas centrales individuales de un plugin de seguridad de WordPress para dejar claras las diferencias entre los plugins.
Las características más importantes del plug-in en comparación
Monitorización y escaneos
| Wordfence | iThemes Security | Sucuri | |
| Escaneos de seguridad | Sí | Sí | Sí |
| Análisis de seguridad programados | Sólo la versión Pro | Sólo la versión Pro | Sólo la versión Pro |
| Identificación de malware | Sí | Sí | Sí |
| Identificación de anomalías de seguridad | Sí | Sí | Sí |
| Supervisión de la lista negra | Sólo navegación segura de Google | Comprobación del estado de la lista negra | Sí |
| Cambios en los archivos | Sí | Sí | Sí |
| Monitorización del DNS | Sí | No está claro | Sí |
| Monitorización SSL | No | Sí | Sí |
| Notificaciones | Sí | Sí | Sí |
| Comprobación de spam | Sólo la versión Pro | Sí | Sí |
| Registros de seguridad | Sí | Sí | Básico |
Una parte esencial de un plugin de seguridad para WordPress es comprobar si el sitio web ha sido comprometido. Como no hay un uso uniforme de los términos y a menudo se utilizan términos y explicaciones diferentes para el mismo contenido, es muy difícil hacer una comparación razonable. La tabla anterior debería proporcionar una visión general al respecto.
Cada plug-in ofrece una función de escaneado
Aunque los escaneos de seguridad, la identificación de malware, la identificación de anomalías de seguridad o los cambios en los archivos suelen enumerarse por separado, significan lo mismo. La comparación de archivos se utiliza para comprobar si el malware está presente en sitio . Según nuestra experiencia, puede ocurrir que una prueba discreta con Sucuri siga significando que se puede encontrar malware en sitio si se realizan escaneos más detallados o se examinan los archivos individuales.
iThemes Security simplemente utiliza la API de Sucuri. El resultado tanto de Sucuri como de iThemes no es otro que la comprobación gratuita del sitio, que también puedes encontrar en el sitio web de Sucuri.
Diferencias en la supervisión de listas negras
Además de los escaneos, la supervisión de las listas negras es un factor importante, especialmente para las pérdidas de clasificación descritas anteriormente. Aquí Wordfence según su propia presentación, sólo comprueba el estado de Google Safe Browsing. Si un sitio web aparece aquí, en principio ya es demasiado tarde. Lo más probable es que el sitio web sea expulsado primero de los resultados de búsqueda. iThemes Security y Sucuri comprueban aquí directamente varias listas negras. Sin embargo, el resultado es idéntico. Cuando el sitio web aparece en las listas negras, ya es demasiado tarde. Estos escaneos se hacen precisamente para evitarlo.
La comprobación ampliada de la lista negra sólo está disponible Wordfence sólo está disponible en la Versión Premium. Aquí también se comprueba el punto de publicidad spam, que puede reconocerse fácilmente desde el exterior y es importante para Google.
Poca relevancia de la supervisión del DNS
Consideramos que las características de la monitorización de DNS y SSL son poco relevantes. No conocemos ni un solo caso en el que se hayan realizado cambios de DNS o de SSL para perseguir actividades delictivas.
Wordfence resultados con los registros de seguridad
La base de un plugin de seguridad para WordPress debe ser mostrar los inicios de sesión de forma sensata. Este es el caso de todos los plugins. Wordfence va unos pasos por delante en este aspecto con su monitorización del tráfico en directo. No sólo se reconocen los inicios de sesión, sino que el tráfico se categoriza en consecuencia. De este modo, se pueden rastrear las actividades de los rastreadores o el comportamiento humano en relación con los aspectos de seguridad. Por tanto, la herramienta es ideal para evitar hackeos manuales, por ejemplo.
Conclusión en esta categoría
La calidad del escaneo es difícil de juzgar y habría que evaluarla mediante casos de prueba. iThemes Security y Sucuri tienen un mejor control de la lista negra. Sin embargo, el escaneo debería evitar que sitio acabe en la lista negra de todos modos. En cuanto a la supervisión, la función de tráfico en directo de Wordfence es una gran ventaja.
Protección en combinación con cortafuegos
| Wordfence | iThemes Security | Sucuri | |
| Cortafuegos de aplicaciones web (WAF) | Restringido | 404 Detección | Sí |
| Sistema de detección de intrusiones (IDS) | Sí | No | Sí |
| Protección DDoS | No | No | Sí |
| Protección por fuerza bruta | Sí | Sí | Sí |
| Bloqueo de intentos de pirateo | Sí | Parcialmente | Sí |
| Protección contra exploits de día cero | No está claro | No | Sí |
| Protección lateral única | No | No | Sí |
| Algoritmo heurístico de correlación | No está claro | No | |
| Equilibrio de la carga / conmutación por error | No | Sí | Sí |
| Bloqueo del país | Sí | No | No |
| Bloqueo manual avanzado | Sí | No | No |
iThemes sin un firewall adecuado
Cuando se trata de cortafuegos, las diferencias entre los plug-ins resultan especialmente claras. Los enfoques del tema son fundamentalmente distintos. Estrictamente hablando, iThemes-Security no utiliza un cortafuegos real. Podrías llamar primer enfoque a la detección 404. Éste examina si un rastreador genera muchos errores 404 y los bloquea.
Sucuri incluye un CDN completo
Mientras que para Wordfence sólo necesitas instalar un plugin para utilizar el cortafuegos, Sucuri requiere que cambies el servidor de nombres o un registro A en la configuración DNS. En cambio, es una solución completamente basada en la nube, que incluye una CDN (Red de Entrega de Contenidos), que también puede evitar ataques DDoS. En un ataque DDoS, a menudo se utiliza una red de bots para disparar un sitio con peticiones hasta que el sitio deja de ser accesible porque el servidor cede.
El enfoque de Sucuri también lleva a que, a diferencia de Wordfence funciona con equilibradores de carga. En general, con Sucuri, ciertos términos como "algoritmo heurístico de correlación" son más bien una formulación de marketing y no está claro si se trata de un valor añadido real, ya que Wordfence presumiblemente también funciona con métodos heurísticos. Sin embargo, quienes sólo necesiten una CDN también podrían obtenerla gratuitamente a través de Cloudflare.
Wordfence con más opciones de configuración
Con Sucuri, muchas cosas se ejecutan automáticamente y sin intervención del usuario. Por otro lado, aquí aparentemente se puede configurar menos. Por ejemplo, con Wordfence puedes bloquear explícitamente IPs de países individuales y también puedes bloquearlas manualmente. Esto es especialmente útil para los hackeos manuales.
Medidas de seguridad de WordPress
| Wordfence | iThemes Security | Sucuri | |
| Copias de seguridad de la base de datos | No | Sí | No |
| Haz que WordPress sea más seguro | No | Sí | No |
| Ocultar información | No | Sí | No |
| Protección de la escritura | No | Sí | No |
| Gestión de contraseñas | No | Sí | No |
| Autenticación de dos factores | Premium | Premium | No |
iThemes Security se centra en las medidas de seguridad dentro de WordPress, como se muestra en la tabla. Aquí se trabajan un total de 30 puntos diferentes, la mayoría de los cuales tienen mucho sentido. Por tanto, muchos de los puntos ya están incluidos en nuestro alojamiento.
iThemes Security es, por tanto, una forma estupenda de añadir más seguridad a nivel de WordPress a un alojamiento genérico "inseguro". La versión gratuita ya ofrece una amplia protección. En la versión premium, cabe destacar la autenticación de 2 factores.
Como Wordfence y Sucuri se centran en "blindar" el sitio . Son bastante débiles en estos puntos.
Eliminación de malware y rendimiento
| Wordfence | iThemes Security | Sucuri | |
| Limpieza de hackers y eliminación de malware | Opcional | Imposible de rastrear | Opcional |
| Eliminación del aviso de la lista negra | Opcional | Imposible de rastrear | Opcional |
| Límite de solicitud de eliminación de malware | Opcional | Imposible de rastrear | Opcional |
| Limpieza automática | Parcialmente | Imposible de rastrear | Parcialmente |
| Escalada de analistas de seguridad | Opcional | Imposible de rastrear | Opcional |
| Limpieza completa del sitio web | Opcional | Imposible de rastrear | Opcional |
| Cerrar las brechas de seguridad | Opcional | Imposible de rastrear | Opcional |
| Copias de seguridad | No | Imposible de rastrear | Sí |
| Informe posterior a la limpieza | Opcional | Imposible de rastrear | Opcional |
| Registro completo e informe de incidencias | Opcional | Imposible de rastrear | Opcional |
| Seguimiento de la causa raíz | Opcional | Imposible de rastrear | Opcional |
Por último, pero no por ello menos importante, veamos la eliminación de malware. Aquí los precios son similares para Sucuri y Wordfence son similares. Ambos cobran un extra por un procesamiento más rápido. Los servicios ofrecidos aquí son idénticos. No pude descubrir un servicio de eliminación de malware en iThemes. Una eliminación de malware puede tardar 2-3 horas, aunque con grandes fluctuaciones. Dado que también realizamos la eliminación de malware, los precios se consideran justos.
¿Y qué pasa con el rendimiento?
Por último, una nota sobre el rendimiento. Uno no esperaría esto en una comparación de plugins de seguridad. Sin embargo, como Sucuri ofrece una CDN y un cortafuegos en uno, también puede mejorar el rendimiento, especialmente para los visitantes internacionales. Con una CDN, el sitio web se entrega siempre desde el siguiente servidor, lo que tiene ventajas especialmente para los visitantes extranjeros. Sin embargo, para una tienda WooCommerce con poco contenido almacenable en caché, es menos crucial.
"*"indica que los campos son obligatorios
Nuestra conclusión
Entonces, ¿cuál es la conclusión general sobre el tema de la seguridad en WordPress? Nuestra conclusión personal puede resumirse bien con el siguiente hecho: No utilizamos ningún plugin de seguridad para nuestro propio sitio web Raidboxes . Nunca hemos utilizado un plugin de seguridad y nunca hemos tenido ningún problema. Todo ello a pesar de que nuestro sitio web tiene una importancia absolutamente central para nosotros. Sin embargo, en nuestro sitio web WordPress no se almacenan muchos datos de los clientes. El riesgo de una pérdida de rendimiento debido a medidas de escaneado exhaustivas era demasiado alto para nosotros y las desventajas superaban a las ventajas.
Sin embargo, un cortafuegos aumenta la seguridad del sitio web. Por tanto, quien pretenda conseguir la máxima seguridad y esté dispuesto a aceptar las desventajas en cuanto a rendimiento y gasto de tiempo, debería utilizar un complemento de seguridad.
Especialmente para las tiendas de WooCommerce o los sitios web vulnerables que ya hayan tenido problemas con malware, un plugin de seguridad para WordPress puede ser útil. Por tanto, nuestra recomendación es la siguiente
Wordfence como la mejor solución gratuita
Si quieres un cortafuegos realmente sólido con una supervisión exhaustiva, Wordfence es una opción excelente. No en vano es el plugin de seguridad para WordPress más popular del mundo. La versión premium complementa la funcionalidad de forma precisa y sensata. Al implementar el plugin, es importante asegurarse de que los escaneos se configuran correctamente para evitar problemas de rendimiento.
Seguridad de iThemes para hosters genéricos
iThemes Security realiza medidas de seguridad realmente útiles en el sitio web, especialmente en lo que se refiere al propio WordPress. Para sitios web con hosters genéricos, es una forma estupenda de aumentar el nivel de seguridad sin necesidad de análisis exhaustivos ni cortafuegos, incluso en la versión gratuita.
Sucuri para CDN
Si estás pensando en utilizar una CDN de todos modos y si el tema de los ataques DDoS es relevante, entonces se recomienda Sucuri . Lo único que queda es el regusto algo insípido del grupo GoDaddy.
¿Cuánta seguridad (percibida) necesitas?
¿Cómo manejas el tema de la seguridad de WordPress? ¿Confías en las medidas de seguridad de tu hoster o sólo un plugin de seguridad para WordPress te deja dormir tranquilo? Como siempre, ¡esperamos tus comentarios!
