Seguridad en WordPress Plugins de seguridad

Seguridad en WordPress: ¿qué utilidad tienen realmente los plugins de seguridad?

Mientras tanto, durante El 38% de los sitios web ejecutarse en WordPress. Esto hace que nuestro CMS favorito sea un objetivo popular para los hackers y el malware. Pero no hay que asustarse. Porque la seguridad de WordPress no es brujería. Además de los consejos prácticos de seguridad, hoy tenemos en nuestro equipaje los tres mejores plugins de seguridad para WordPress y te mostramos cuándo los necesitas realmente.

¿Necesito una seguridad plugin? Esta pregunta se hace regularmente en apoyo. En el siguiente artículo me gustaría mostrarles el valor añadido de una solución de seguridad. Plugin por la seguridad de los suyos WordPress sitio y cuando es realmente apropiado usar uno.

En la segunda parte, comparamos los tres plugins de seguridad más populares de WordPress para darte una visión general. De este modo, podrás tomar una decisión rápida y específica y volver a lo esencial: tu negocio.

Por qué la seguridad de WordPress es tan crucial

Básicamente hay tres aspectos principales por los que debes ocuparte activamente WordPress sitio de la seguridad de los tuyos y no enterrar la cabeza en la arena.

#1 tu El sitio web puede quedar inutilizado

Hace unos años, todavía estábamos activos en el negocio de las agencias. Hubo momentos en los que tuvimos que rediseñar completamente sitio porque el sitio original se había vuelto inutilizable debido a problemas de seguridad que podrían haberse evitado.

Ahora bien, alguien que instala malware en las páginas no suele estar interesado en destruirlas. Al fin y al cabo, el atacante quiere utilizarlo para enviar spam, dirigir a los visitantes a páginas de spam, incrustar anuncios o generar criptomonedas, por ejemplo. Además de restringir, en general, la funcionalidad de tus sitio , el malware también puede provocar considerables problemas de rendimiento.

#2 Lista negra y caída en la clasificación de Google

Un punto aún más grave en esta época es la inclusión del dominio en una lista negra, especialmente por parte de Google o Norton. Si Google pone en la lista negra el sitio web tu , esto significa, en el peor de los casos, que el sitio web tu será eliminado de los resultados de búsqueda de Google.

Es posible volver a enviar un escaneo de sitio después de un ataque de malware. Sin embargo, esto no garantiza que vuelvas a tener tu clasificaciones anteriores. Especialmente con palabras clave importantes para el dinero o con mucho tráfico orgánico, esto puede tener graves consecuencias económicas.

#3: Pérdida de datos

Especialmente en tiempos de RGPD, donde el tema de la protección de datos ha alcanzado una nueva dimensión, es importante proteger los datos de los usuarios de tus . Aunque esto es menos importante para el sitio web de una empresa normal, es aún más dramático para una tiendasitio si la información de pago no está suficientemente protegida.

Riesgos típicos de seguridad tus WP-sitio

Ataques de fuerza bruta en el área de inicio de sesión
En el caso de un ataque de fuerza bruta un gran número de combinaciones de contraseñas se intentan automáticamente para acceder a sitio a través del login /wp-admin de WordPress. Una vez que se ha conseguido esto y el usuario de WordPress tiene derechos de administrador, el sitio web está casi completamente bajo el control del atacante.

Nuestra experiencia en Raidboxes lo demuestra: Utilizando una contraseña fuerte y limitando los intentos de acceso, se pueden evitar casi todos los casos de malware. Pero en un momento se hablará de ello.

Explotación automatizada de las vulnerabilidades de seguridad
Por regla general, los ataques a los sitios web están automatizados. Las páginas de WordPress son escaneadas automáticamente por los llamados rastreadores, por ejemplo, en busca de un determinado plugin que tenga una vulnerabilidad de seguridad. En los ataques se pueden aprovechar varias vulnerabilidades de seguridad, por ejemplo en el caso de Inyecciones SQL o Secuencia de comandos en el sitio web.

Ataques manuales
Por supuesto, también es posible explotar una vulnerabilidad de seguridad manualmente. Sin embargo, esto es bastante raro, ya que el esfuerzo sólo valdría la pena para las grandes tiendas de WooCommerce en las que, por ejemplo, se van a robar realmente los datos de pago.

8 medidas de seguridad que proporcionamos como hoster

En principio, el alojamiento especializado en WordPress puede aumentar considerablemente la seguridad de los sitios web tus . A lo largo de los años, hemos ampliado continuamente el concepto de seguridad de Raidboxes , de modo que los casos de malware se han convertido en una absoluta rareza. En particular, el análisis detallado de los casos de malware ayuda a identificar las vulnerabilidades de seguridad más frecuentes y a prevenirlas con las medidas adecuadas.

#1 Contraseñas fuertes: la medida de seguridad más importante de todas

Una de las medidas de seguridad más importantes de todas es una contraseña fuerte para todos los usuarios de WordPress. Desgraciadamente, como anfitrión, sólo tenemos una influencia limitada en la asignación de la contraseña. Especialmente en el caso de los traslados, sólo podemos ejercer poca influencia sobre las contraseñas. La imposición de una contraseña segura al crear un BOX (sitio web de WordPress) ha conducido a una reducción significativa de las infestaciones de malware.

Forzar una contraseña fuerte al crear un sitio web de WordPress
Imponer una contraseña fuerte al crear un sitio web de WordPress ha llevado a una reducción significativa de las infestaciones de malware.

Recordatorio

La contraseña debe estar formada por números, caracteres especiales y letras minúsculas con una longitud mínima de siete caracteres. Si este no es el caso de tus usuarios de WordPress, definitivamente deberías dar primero el paso 1 y cambiar inmediatamente las contraseñas de tu .

#2 Protección contra ataques de fuerza bruta

Casi mil millones de veces al mes, los sitios web son atacados con el Ataques de fuerza bruta ataques. Es bueno que tu WordPress hoster ya se haya encargado de esto. Nuestro Protector de Inicio de Sesión RB se coloca delante de tu área de inicio de sesión de WP yhace una "lista negra" delas direcciones IP que intentan entrar repetidamente con datos de inicio de sesión falsos.

En la configuración de tu Box puedes definir exactamente después de cuántos intentos de inicio de sesión debe tener efecto este bloqueo y durante cuánto tiempo se bloquean las IP en cuestión. En combinación con una contraseña fuerte, es prácticamente imposible acceder al sitio web de esta manera.

#3 Borrador de sesiones de WP

Según RGPD , debes almacenar la menor cantidad de datos posible. ¡Te ayudamos a hacerlo! Nuestra herramienta para una mayor economía de datos -el borrador de sesiones de WordPress- borra las sesiones de WordPress de todos los usuarios de tus de la base de datos después de un intervalo definido por ti. Puedes definir este intervalo individualmente para cada BOX en tus ajustes de BOX en nuestro Dashboard .

#4 Bloqueo por defecto del XML-RPC

XML-RPC es una interfaz que está disponible en todos los WP-sitio desde WordPress 3.5. Dado que la gran mayoría de los webmasters no utilizan XML-RPC de todos modos, tiene sentido desactivar esta interfaz. Porque: los hackers pueden atacar directamente tu sitio a través de XML-RPC.

Por esta razón, el XML-RPC está ahora bloqueado por defecto y puede ser activado a través de la configuración en Raidboxes Dashboard .

Bloqueador XML-RPC
Por esta razón, el XML-RPC está ahora bloqueado por defecto y puede ser activado a través de la configuración en Raidboxes Dashboard .

#5 Actualizaciones de seguridad de WordPress gestionadas

Por supuesto, lo más importante es actualizar WordPress. Las nuevas versiones de WordPress se lanzan cada 2-3 meses. Versiones de WordPress se liberan. Las actualizaciones de mantenimiento, en particular, cierran importantes brechas de seguridad. Estas actualizaciones deben instalarse inmediatamente.

Las actualizaciones importantes suelen implicar cambios importantes en el código, por lo que pueden producirse incompatibilidades. Para dar a los fabricantes de temas y plugins el tiempo suficiente, siempre lanzamos actualizaciones importantes en nuestro sistema después de 14 días. Por supuesto, hacemos que la última versión de WordPress esté disponible inmediatamente para las actualizaciones manuales. Por supuesto, ¡es importante que siempre hagas una copia de seguridad de tus sitio antes de actualizar!

#6 Protección de escritura selectiva - Medidas de endurecimiento de WordPress

Un enfoque del plugin de seguridad Seguridad iThemes es hacer que WordPress sea más seguro protegiendo los archivos. Esto también se integra selectivamente con nosotros. Esto hace que sea más difícil infectar elementos de sitio y dejarlos inservibles. Siempre hay que encontrar un equilibrio sensato entre flexibilidad y seguridad. Mantenemos este equilibrio mediante opciones de configuración directamente a través de la interfaz de usuario Raidboxes .

Cambios en el archivo de vinculación en WordPress
Además, por supuesto, también utilizamos las mejores prácticas de WordPress cuando tienen sentido. Un ejemplo es cambiar el nombre del prefijo de la base de datos de WordPress.

Además, por supuesto, también utilizamos las mejores prácticas de WordPress cuando tienen sentido. Un ejemplo es cambiar el nombre del prefijo de la base de datos de WordPress. En nuestro caso, esto no es accesible a través del wp_ estándar. Por otro lado, cambiar el nombre de la carpeta WP-Content, como se hace con Seguridad iThemes La experiencia ha demostrado que cambiar el nombre de la carpeta de contenido de WP da lugar a errores, ya que los plugins y los temas no pueden hacer frente a esto.

#7 Actualizaciones de plugins gestionadas por WordPress

Ahora es el momento de cerrar la última gran puerta de acceso a los ataques: Plugins que no están actualizados. Al igual que con el propio WordPress, las vulnerabilidades de seguridad también pueden producirse con los plugins y los temas. No todas las actualizaciones incluyen funciones de seguridad. Sin embargo, si todos los plugins están actualizados, la probabilidad de que se produzcan vulnerabilidades de seguridad es significativamente menor.

Como esta función en particular ahorra mucho tiempo, está incluida en nuestra tarifa Fully Managed por 30 euros (netos). Como lector de este artículo del blog, puedes beneficiarte de la tarifa de forma permanente por sólo 20 euros en el siguiente enlace durante la compra: Fully Managed Especial.

#8 Medidas del lado del servidor

Todas las medidas anteriores protegen al propio WordPress. Además, hay, por supuesto, una lista casi interminable de medidas de seguridad que afectan al propio servidor. Esto comienza con las actualizaciones de Linux y termina con la actualización periódica de PHP como base de WordPress. Nos encargamos de la actualización automática de las versiones de PHP obsoletas (con el tiempo adecuado de espera y de prueba, por supuesto) sin que tengas que ocuparte tú de ello.

Desventajas de los complementos de seguridad

Teniendo esto en cuenta, ahora me gustaría hablar brevemente de las desventajas de los complementos de seguridad. Algunos de ellos no son insignificantes, especialmente desde la perspectiva del tiempo.

Esfuerzo de preparación

Quien piense que basta con instalar un plug-in se equivoca. Desgraciadamente, la configuración de un complemento de seguridad también requiere ciertos conocimientos.

Utilizando el ejemplo del plugin Seguridad todo en uno lo deja muy claro. Es uno de los complementos gratuitos más populares, que utiliza en gran medida el archivo .htaccess. Sin embargo, el plugin ni siquiera reconoce si es un servidor NGINX. No admite el concepto de .htaccess y se utiliza en el entorno de WordPress por su flexibilidad.

Además, aunque las medidas de seguridad están divididas en niveles de dificultad, lo que tiene mucho sentido, muchas de las medidas que ofrece el plugin son menos útiles. Para evaluar adecuadamente la necesidad de las distintas medidas, es inevitable familiarizarse con el tema de la seguridad.

Mantenimiento e (in)seguridad percibida

Para nuestra prueba, hemos instalado varios complementos de seguridad. Uno de los plug-ins utilizó automáticamente una dirección de correo electrónico del equipo almacenada en WordPress y comenzó a enviar correos electrónicos. Para gran alegría de todos los miembros del equipo...

Por desgracia, esto no es en absoluto una rareza. Por supuesto, a uno le gustaría estar informado en cierto sentido. Sin embargo, en los casos más frecuentes, se señalan cosas que no representan ningún riesgo para la seguridad. Al final, uno se siente más inseguro que antes porque, por ejemplo, se le informa de cada cambio de archivo y tiene que comprobarlo en caso de duda.

Problemas de rendimiento

Por defecto, cada uno de los plugins ofrece un análisis de malware o de seguridad. El plugin Wordfence le gusta fijar esto automáticamente en una hora. Esto significa que, en caso de duda, cada hora (!) se ejecuta un escaneo tus sitio mediante un script automático (a través de cronjob). Cualquiera que haya instalado alguna vez un software antivirus en su ordenador conoce las historias de dolor de los problemas de rendimiento, a veces masivos.

Esta puede ser también una razón por la que "sólo" 2 millones de más de 90 millones de descargas permanecieron activas al final.

Costes

Para la investigación de este artículo, sólo hemos evaluado los plugins que también están disponibles en versión gratuita. Sin embargo, desgraciadamente ocurre que con muchos plugins de seguridad de WordPress, las funciones realmente útiles cuestan al menos 80 dólares al año. Si no los utilizas, a menudo te quedas con una sensación de inseguridad.

¿Cuándo tiene realmente sentido un plugin de seguridad para WordPress?

Para los que quieran ir más allá, he aquí algunos ejemplos de casos en los que un plugin de seguridad para WordPress puede ser útil. Estas recomendaciones sólo se aplican al alojamiento especializado de WordPress. Dado que las medidas de seguridad pueden no estar implementadas de forma tan específica y extensa con otros proveedores, en general se puede recomendar allí un complemento de seguridad. Como puedes ver, no es posible hacer una afirmación general sobre la utilidad de los plugins de seguridad, ya que los requisitos y las circunstancias son diferentes.

Hackeo manual en la tienda WooCommerce

Este es uno de los pocos ejemplos en los que realmente recomendamos activamente un plugin de seguridad para aumentar la seguridad de la tienda online. El cliente de WooCommerce tuvo la impresión de que le atacaban manualmente, lo cual, como se ha descrito anteriormente, es muy raro.

En este caso, pudo utilizar Wordfence y su función de registro para identificar rápidamente la dirección IP del atacante y bloquearla. De este modo, se pudo detener eficazmente el ataque.

Plugins en riesgo

Cuanto mayor sea el número de plug-ins, mayor será la probabilidad de riesgos de seguridad. Especialmente si no se utiliza ninguna herramienta para la actualización, las brechas de seguridad existentes pasan desapercibidas en el sistema durante mucho tiempo y ofrecen una superficie de ataque. Especialmente en las tiendas de WooCommerce, el número de complementos suele ser intrínsecamente alto y los datos son al mismo tiempo más sensibles. Por lo tanto, en este caso debe considerarse un complemento de seguridad.

Los tres mejores plugins de seguridad para WordPress

A continuación, me gustaría explicar brevemente por qué nos limitamos a sólo tres plugins y no presentamos diez, o incluso los mejores 101 plugins de seguridad de WordPress.

Para los plugins de seguridad, nos limitamos a los 3 principales plugins de WordPress del mundo. También hemos examinado otros complementos de seguridad, como Seguridad y cortafuegos WP todo en uno que es el plugin puramente gratuito más popular (sin versión premium) con más de 800.000 usuarios. Sin embargo, la facilidad de uso y, en parte, las medidas recomendadas no nos convencieron en este caso. Al mismo tiempo, sólo puede utilizarse en servidores web Apache.

Se trata de los últimos metros

Como vemos los plugins más bien como un complemento a un alojamiento de WordPress ya seguro, el objetivo es cubrir el último 0,1% de riesgo de seguridad. Así, nos limitamos a los plugins profesionales, que tienen una distribución muy alta.

Pero esta selección de plugins también es muy relevante para otros hosters no especializados. De todos modos, aquí deberías tratar más intensamente el tema de la seguridad de WordPress.

Apoyo a la decisión rápida

Al mismo tiempo, es importante para nosotros proporcionar una ayuda rápida para la toma de decisiones. En nuestra opinión, esto ya no es posible con una presentación de diez plug-ins, porque al final los diez plug-ins tienen que ser evaluados de nuevo. Con tres complementos con diferentes enfoques, la decisión es más fácil.    

Restricción a los plug-ins todo-en-uno

Por supuesto, hay innumerables plug-ins que se encargan de funciones individuales, por ejemplo, de limitar los intentos de inicio de sesión (Limitar intentos de inicio de sesión). Pero incluso las funciones que los plugins sólo ofrecen en las versiones PRO pueden resolverse mediante plugins individuales. El mejor ejemplo es este plugin para la autenticación de 2 factores.

La distribución y los datos son importantes para los cortafuegos

Los cortafuegos aplican ciertas reglas para reconocer si alguien está actuando maliciosamente o simplemente visitando sitio . Si alguien intenta penetrar en sitio , es bloqueado. Las normas, en particular, se basan en el conocimiento de las vulnerabilidades de seguridad existentes. Al mismo tiempo, las redes de atacantes pueden ser mejor reconocidas y bloqueadas para todos los demás sitios cuando hay 2 millones de sitios en la administración que cuando hay 10.000 sitios. Por lo tanto, la distribución desempeña un papel para los complementos de seguridad.

Tus favoritos son bienvenidos

Esto no quiere decir que no haya otros grandes plugins para una mayor seguridad en WordPress. No dudes en nombrar tus favoritos en los comentarios. De este modo, garantizamos también una mayor igualdad de oportunidades para nuevos enfoques innovadores.

Los tres mejores plug-ins de seguridad de un vistazo

Sitio web del pluginWordfenceiThemes SecuritySucuri
Seguridad
Enlace de descargaDescargaDescargaDescarga
FuncionesAquíAquíAquí
Instalaciones activasMás de 3 millones900.000+700.000+
IdiomasInglés16 idiomas (también DE)Inglés, español
Probado con la última versión de WordPressa 5.3.4
Número de valoraciones3,5723,830338
Valoración (cinco estrellas)4,84,74,4
Versión gratuita
Prima (licencia anual)a partir de 99 dólaresdesde 80 dólares $199,99
Eliminación de malware de$286.40No se ofreceIncluido en la licencia

En el resumen queda claro que cada uno de los plugins tiene una distribución muy alta y está bien valorado. Sin embargo, Wordfence el líder indiscutible del mercado y también equilibrado en cuanto a la relación calidad-precio. En Sucuri pagas directamente por la eliminación del malware, pero aquí los precios pueden incrementarse, especialmente mediante un servicio más rápido y escaneos más frecuentes, para 500 dólares al año por año. En Wordfence La eliminación profesional de malware se ofrece como un servicio opcional se ofrece como un servicio opcional. Así que aquí todo depende de las necesidades de tu .

Es importante saber que es bastante improbable atrapar un malware con contraseñas fuertes de usuario de WP. Por tanto, en nuestra opinión, no tiene mucho sentido adquirir la eliminación de malware directamente como un servicio.

En Wordfence De nuevo, tienes acceso directo a todo el espectro del cortafuegos en la versión gratuita, a diferencia de, por ejemplo, con Seguridad iThemesdonde la información de la red sólo es accesible en la versión PRO.

Un punto importante que tampoco hay que pasar por alto: Wordfence en nuestro ejemplo, el único proveedor independienteque sólo se especializa en la seguridad de WordPress. Sucuri ahora forma parte del grupo GoDaddy y iThemes también fue comprada por otra empresa de alojamiento. También están activos en otras áreas, como el desarrollo de temas. Detrás de Wordfence es la empresa de seguridad Desafiante.

Conclusión provisional

Por lo tanto, nuestra recomendación de complemento de seguridad es bastante clara Wordfence. La versión gratuita del plugin ya ofrece un completo cortafuegos y se concentra en los dos temas principales que debe ofrecer un plugin de seguridad: un cortafuegos y escaneos de seguridad.

Además, es rápido de configurar, está claramente expuesto y no confunde, como ocurre con otros plug-ins con información demasiado técnica.

Para evitar problemas de rendimiento, en las opciones de escaneo se debe utilizar "Escaneo de bajos recursos". Como las direcciones IP se procesan, debes utilizar Wordfence cerrar un AV.

A continuación, volveré a detallar cada una de las áreas centrales de un complemento de seguridad para dejar claras las diferencias entre los complementos.

Las características más importantes del plug-in en comparación

Monitorización y escaneos

 WordfenceiThemes SecuritySucuri
Escaneos de seguridad
Análisis de seguridad programadosSólo la versión Pro
Sólo la versión ProSólo la versión Pro
Identificación de malware
    
Identificación de anomalías de seguridad
Supervisión de la lista negraSólo navegación segura de GoogleComprobación del estado de la lista negra
Cambios en los archivos
    
Monitorización del DNSNo está claro
Monitorización SSLNo
Notificaciones
    
Comprobación de spamSólo la versión Pro
Registros de seguridadBásico

Una parte esencial de un plugin de seguridad es comprobar si el sitio web ha sido comprometido. Como cada fabricante de plugins utiliza básicamente nombres diferentes para el mismo contenido y lo presenta de forma distinta, es muy difícil hacer una comparación razonable. La tabla anterior debería proporcionar una visión general al respecto.

Cada plug-in ofrece una función de escaneo

Aunque los escaneos de seguridad, la identificación de malware, la identificación de anomalías de seguridad o los cambios en los archivos se suelen enumerar por separado, significan lo mismo. La comparación de archivos se utiliza para comprobar si el malware está presente en sitio . Según nuestra experiencia, puede ocurrir que una prueba discreta en Sucuri todavía puede significar que se puede encontrar malware en sitio , si se realiza un escaneo más detallado o una mirada a los archivos individuales.

Comprobación de malware: el sitio está limpio
iThemes Security utiliza aquí la API de Sucuri.

Seguridad iThemes simplemente utiliza la API de Sucuri. El resultado tanto de Sucuri como de iThemes no es otro que el comprobación gratuita del sitioque también se puede encontrar en el sitio web de Sucuri.

Diferencias en el seguimiento de las listas negras

Además de los escaneos, el control de la lista negra es un factor importante, especialmente para las pérdidas de clasificación descritas anteriormente. Aquí Wordfence según su propio relato, sólo comprueba el Estado de la navegación segura de Google. Si un sitio web aparece aquí, básicamente ya es demasiado tarde. Lo más probable es que el sitio web sea expulsado primero de los resultados de búsqueda. Seguridad iThemes y Sucuri comprueba directamente varias listas negras. Sin embargo, el resultado es idéntico. Si el sitio web aparece en las listas negras, ya es demasiado tarde. Estas exploraciones se hacen precisamente para evitarlo.

Comprobación Securi: no está en la lista negra
La comprobación de la lista negra ampliada sólo está disponible en Wordfence en la versión Premium.

La comprobación de la lista negra ampliada sólo está disponible Wordfence sólo está disponible en la versión Premium. Aquí también se comprueba el punto de la publicidad spam, que puede ser fácilmente reconocido externamente y es importante para Google.

Baja relevancia de la monitorización del DNS

Consideramos que las características de la monitorización de DNS y SSL son poco relevantes. No conocemos ni un solo caso en el que se hayan realizado cambios de DNS o de SSL para perseguir actividades delictivas.

Wordfence resultados con los registros de seguridad

La base de un complemento de seguridad debe ser mostrar los inicios de sesión de forma sensata. Este es el caso de todos los plug-ins. Wordfence va un poco más allá con su seguimiento del tráfico en directo. No sólo se reconocen los inicios de sesión, sino que el tráfico se clasifica en consecuencia. De este modo, se pueden rastrear las actividades de los rastreadores y el comportamiento de los visitantes en relación con los aspectos de seguridad. Por lo tanto, la herramienta es ideal para evitar los hackeos manuales, por ejemplo.

Wordfence Tráfico en directo
Wordfence va un poco más allá con su seguimiento del tráfico en directo.

Conclusión en esta categoría

La calidad del escaneo es difícil de juzgar y habría que evaluarla mediante casos de prueba. iThemes Security y Sucuri tienen un mejor control de las listas negras. Sin embargo, el escaneo debería evitar que el sitio acabe en la lista negra de todos modos. En cuanto a la monitorización, la función de tráfico en directo de Wordfence es una gran ventaja.

Protección en combinación con cortafuegos

 WordfenceiThemes SecuritySucuri
Cortafuegos de aplicaciones web (WAF)Restringido404 detección
Sistema de detección de intrusiones (IDS)No
Protección DDoSNoNo
Protección por fuerza bruta
Bloqueo de intentos de pirateoParcialmente
Protección contra exploits de día ceroNo está claroNo
Protección lateral únicaNoNo
Algoritmo heurístico de correlaciónNo está claroNo 
Equilibrio de la carga / conmutación por errorNo
Bloqueo del paísNoNo
Bloqueo manual avanzadoNoNo

iThemes sin un firewall adecuado

En lo que respecta a los cortafuegos, las diferencias entre los plug-ins son especialmente claras. Los enfoques del tema son fundamentalmente diferentes. En sentido estricto iThemes-Seguridad no utiliza un verdadero cortafuegos. Podrías llamar al enfoque de detección 404 un primer enfoque. Se trata de ver si un rastreador genera muchos errores 404 y los bloquea.

Sucuri incluye un CDN completo

Mientras que para Wordfence sólo es necesario instalar un plugin para utilizar el cortafuegos, con Sucuri tienes que cambiar el servidor de nombres o un registro A en la configuración del DNS. En cambio, es una solución completamente basada en la nube, que incluye una CDN (red de entrega de contenidos), que también puede evitar los ataques DDoS. En un ataque DDoS, a menudo se utiliza una red de bots para disparar un sitio con peticiones hasta que el sitio ya no es accesible porque el servidor cede.

Explicación de los ataques DDoS

En su artículo, Nick Schäferhoff te muestra exactamente qué es un ataque DDoS y cómo puedes prevenirlo eficazmente.

El Sucuri-También significa que, en contraste con Wordfence funciona con los equilibradores de carga. En general, con Sucuri es más bien una frase de marketing para ciertos términos como "Algoritmo de Correlación Heurística" y no está claro si es un valor añadido real, ya que Wordfence presumiblemente también funciona con métodos heurísticos. Sin embargo, quienes sólo necesiten una CDN también pueden realizarla gratuitamente a través de Cloudflare.

Wordfence con más opciones de configuración

En Sucuri muchas cosas se ejecutan automáticamente sin que el usuario tenga que hacer nada. Por otro lado, aparentemente se puede configurar menos aquí. Por ejemplo, con Wordfence puedes bloquear explícitamente IPs de países individuales y también puedes bloquearlas manualmente. Esto es especialmente útil para los hacks manuales.

Medidas de seguridad de WordPress

 WordfenceiThemes SecuritySucuri
Copias de seguridad de la base de datosNoNo
Haz que WordPress sea más seguroNoNo
Ocultar informaciónNoNo
Protección de la escrituraNoNo
Gestión de contraseñasNoNo
Autenticación de dos factoresPremiumPremiumNo

Seguridad iThemes se centra en las medidas de seguridad de WordPress, como se muestra en la tabla. Aquí se trabajan un total de 30 puntos diferentes, la mayoría de los cuales tienen mucho sentido. Por tanto, muchos de los puntos ya están incluidos en nuestro alojamiento.

Seguridad iThemes es, por tanto, una gran manera de añadir más seguridad a nivel de WordPress a un alojamiento genérico "inseguro". La versión gratuita ya ofrece una amplia protección. En la versión premium, cabe destacar la autenticación de 2 factores.

Desde Wordfence y Sucuri centrarse en "blindar" el sitio . Son bastante débiles en estos puntos.

Eliminación de malware y rendimiento

 WordfenceiThemes SecuritySucuri
Limpieza de hackers y eliminación de malwareOpcionalImposible de rastrearOpcional
Eliminación del aviso de la lista negraOpcionalImposible de rastrearOpcional
Límite de solicitud de eliminación de malwareOpcionalImposible de rastrearOpcional
Limpieza automáticaParcialmenteImposible de rastrearParcialmente
Escalada de analistas de seguridadOpcionalImposible de rastrearOpcional
Limpieza completa del sitio webOpcionalImposible de rastrearOpcional
Cerrar las brechas de seguridadOpcionalImposible de rastrearOpcional
Copias de seguridadNoImposible de rastrear
Informe posterior a la limpiezaOpcionalImposible de rastrearOpcional
Registro completo e informe de incidenciasOpcionalImposible de rastrearOpcional
Seguimiento de la causa raízOpcionalImposible de rastrearOpcional

Por último, pero no menos importante, veamos la eliminación del malware. Estos son los precios en Sucuri y Wordfence son similares. Para un procesamiento más rápido, ambos cobran un suplemento. Los servicios que se ofrecen aquí son idénticos. En iThemes No he podido encontrar un servicio de eliminación de malware. Una eliminación de malware puede durar entre 2 y 3 horas, pero con grandes fluctuaciones. Como también realizamos la eliminación de malware, los precios son justos.

¿Y qué pasa con el rendimiento?

Por último, pero no menos importante, una nota sobre el rendimiento. No se esperaría esto en una comparación de complementos de seguridad. Pero como Sucuri ofrece una CDN y un cortafuegos en uno, también puede haber una mejora del rendimiento, especialmente para los visitantes internacionales. Con una CDN, el sitio web se entrega siempre desde el siguiente servidor, lo que tiene ventajas especialmente para los visitantes extranjeros. Sin embargo, para una tienda WooCommerce con poco contenido cacheable, es menos decisivo.

Nuestra conclusión

Entonces, ¿cuál es la conclusión general sobre el tema de la seguridad de WordPress? Nuestra conclusión personal se puede resumir bien en el siguiente hecho: No utilizamos un plugin de seguridad para nuestro propio Raidboxes-sitio . Nunca hemos utilizado un plugin de seguridad y nunca hemos tenido problemas. Todo ello a pesar de que nuestro sitio web tiene una importancia absolutamente central para nosotros. Sin embargo, los datos extensos de los clientes no se almacenan en nuestro sitio web de WordPress. Para nosotros, el riesgo de pérdida de rendimiento debido a las amplias medidas de exploración era demasiado alto y las desventajas superaban los beneficios.

Sin embargo, un cortafuegos aumenta la seguridad del sitio web. Por lo tanto, quien pretenda conseguir la máxima seguridad y esté dispuesto a aceptar las desventajas en cuanto a rendimiento y gasto de tiempo, debería utilizar un complemento de seguridad.

Especialmente para las tiendas de WooCommerce o los sitios vulnerables que ya han tenido problemas con el malware, un plugin de seguridad para WordPress puede ser útil. Por tanto, nuestra recomendación es la siguiente:

Wordfence como la mejor solución gratuita

Quien quiera un cortafuegos realmente muy sólido y con una amplia monitorización está muy bien servido con Wordfence es una muy buena opción. No en vano es el complemento de seguridad más popular del mundo. La versión premium complementa la funcionalidad de forma muy precisa y sensible. Al implantar el complemento, es importante asegurarse de que los procesos de escaneo se configuran correctamente para evitar problemas de rendimiento.

Seguridad de iThemes para hosters genéricos

Seguridad iThemes realiza medidas de seguridad realmente útiles en el sitio web, especialmente en lo que respecta a WordPress. Para los hosters genéricos, es una gran manera de aumentar el nivel de seguridad sin necesidad de realizar amplios escaneos y cortafuegos, incluso en la versión gratuita.

Sucuri para las personas interesadas en el CDN

Para quienes estén pensando en utilizar una CDN de todos modos y para quienes el tema de los ataques DDoS sea relevante, recomendamos lo siguiente Sucuri se recomienda. Sólo queda el regusto algo insípido de la corporación Godaddy.

¿Cuánta seguridad (percibida) necesitas?

¿Cómo manejas el tema de la seguridad de WordPress? ¿Confías en las medidas de seguridad de tu hoster o sólo un plugin de seguridad te permite dormir tranquilo? Como siempre, ¡esperamos tus comentarios!

¿Te ha gustado el artículo?

Con tu valoración nos ayudas a mejorar aún más nuestro contenido.
Los comentarios están desactivados.