WordPress -Seguridad: ¿Qué utilidad tiene realmente Security-Plugins ?

Johannes Benz Última actualización 11.03.2021
16 min.
WordPress  Seguridad Plugins

Mientras tanto, durante El 38% de los sitios web se ejecuta en WordPress . Esto hace que nuestro CMS favorito sea un objetivo popular para los hackers y el malware. Pero no hay que asustarse. Porque la seguridad de WordPress no es brujería. Además de los consejos prácticos de seguridad, hoy tenemos los tres mejores WordPress seguridadPlugins en la bolsa y le mostramos cuando realmente lo necesita.

¿Necesito una seguridad plugin? Esta pregunta se hace regularmente en apoyo. En el siguiente artículo me gustaría mostrarles el valor añadido de una solución de seguridad. Plugin por la seguridad de los suyos WordPress sitio y cuando es realmente apropiado usar uno.

En la segunda parte, comparamos los tres más populares WordPress -seguridad-Plugins para darle una rápida visión general. De este modo, podrá tomar una decisión específica y rápida y dedicarse a lo esencial: su negocio.

Por qué es tan importante la seguridad en WordPress

Básicamente hay tres aspectos principales por los que debes ocuparte activamente WordPress sitio de la seguridad de los tuyos y no enterrar la cabeza en la arena.

#1 tu El sitio web puede quedar inutilizado

Hace unos años, todavía estábamos en el negocio de las agencias. Hubo ocasiones en las que tuvimos que rediseñar por completo sitio porque el sitio original se había vuelto inutilizable debido a problemas de seguridad que podrían haberse evitado.

Ahora bien, alguien que instala malware en las páginas no suele estar interesado en destruirlas. Al fin y al cabo, el atacante quiere utilizarlo para enviar spam, dirigir a los visitantes a páginas de spam, incrustar anuncios o generar criptomonedas, por ejemplo. Además de la restricción general de la funcionalidad de tus sitio , los programas maliciosos también pueden provocar considerables problemas de rendimiento.

#2 Lista negra y caída en la clasificación de Google

Un problema aún más grave en estos tiempos es la inclusión del dominio en una lista negra, especialmente por parte de Google o Norton. Si Google pone en la lista negra el sitio web tu , en el peor de los casos significa que el sitio web tu sale volando de los resultados de búsqueda de Google.

Es posible volver a enviar un escaneo de sitio después de un ataque de malware. Sin embargo, esto no garantiza que se recupere tu clasificación anterior. Especialmente en el caso de palabras clave importantes para el dinero o de alto tráfico orgánico, esto puede tener graves consecuencias económicas.

#3: Pérdida de datos

Especialmente en tiempos del GDPR, donde el tema de la protección de datos ha alcanzado una nueva dimensión, es importante proteger los datos de los usuarios de tus . Si bien esto es menos importante para un sitio web normal de una empresa, es aún más dramático para una tiendasitio si la información de pago no está suficientemente protegida.

Riesgos típicos de seguridad tus WP-sitio

Brute Force Ataques a la zona de acceso
En el caso de un Brute Force ataque un gran número de combinaciones de contraseñas se prueban automáticamente para acceder a sitio a través del login /wp-admin de WordPress . Una vez que se ha logrado esto y el usuario de WordPress tiene derechos de administrador, el sitio web está casi completamente bajo el control del atacante.

Nuestra experiencia en RAIDBOXES lo demuestra: Utilizando una contraseña fuerte y limitando los intentos de inicio de sesión, se pueden evitar casi todos los casos de malware. Pero en un momento se hablará de ello.

Explotación automatizada de las vulnerabilidades de seguridad
Por regla general, los ataques a los sitios web están automatizados. Las páginas WordPress son escaneadas automáticamente por los denominados crawlers, por ejemplo, en busca de una determinada Plugin, que tiene una vulnerabilidad de seguridad. En los ataques se pueden aprovechar varios agujeros de seguridad, como en el caso de Inyecciones SQL o Cross-Site-Scripting.

Ataques manuales
Por supuesto, también es posible explotar manualmente una vulnerabilidad de seguridad. Sin embargo, esto es bastante raro, ya que el esfuerzo sólo valdría la pena para las grandes tiendas de WooCommerce en las que, por ejemplo, se van a robar realmente los datos de pago.

8 Medidas de seguridad que ofrecemos como hoster

En principio, la seguridad de un sitio web puede ser WordPress Hosting puede aumentar considerablemente la seguridad del sitio web tus . A lo largo de los años, hemos ampliado continuamente el concepto de seguridad de RAIDBOXES de manera que los casos de malware se han convertido en una absoluta rareza. En particular, el análisis detallado de los casos de malware ayuda a identificar las vulnerabilidades de seguridad más frecuentes y a prevenirlas con las medidas adecuadas.

#1 Contraseñas fuertes: la medida de seguridad más importante de todas

Una de las medidas de seguridad más importantes es una contraseña fuerte para todos los usuarios de WordPress . Lamentablemente, nosotros, como hoster , sólo tenemos una influencia limitada en la asignación de contraseñas. Especialmente en el caso de los traslados sólo podemos tener poca influencia en las contraseñas. La imposición de una contraseña fuerte al crear un BOX (WordPress -website) ha permitido reducir considerablemente la infestación de malware.

Forzar una contraseña fuerte al crear un sitio web WordPress
La imposición de una contraseña segura al crear un sitio web WordPress ha permitido reducir considerablemente la infestación de programas maliciosos.
A modo de recordatorio

Una contraseña debe estar compuesta por números, caracteres especiales y letras minúsculas con una longitud mínima de siete caracteres. Si este no es el caso de sus usuarios de WordPress , definitivamente debe dar el primer paso y cambiar inmediatamente las contraseñas de tu .

#2 Protección contra ataques de fuerza bruta

Casi mil millones de veces al mes los sitios web son atacados con el Brute Force Ataques atacado. Bien si tu WordPress -hoster ya se ha encargado de ello. Nuestro RB Login Protector se adelantará a su área de inicio de sesión de WP ypondrá en una 'lista negra'las direcciones IP que intenten entrar repetidamente con credenciales de inicio de sesión falsas.

En la configuración tus BOX puedes definir exactamente después de cuántos intentos de inicio de sesión debe tener efecto este bloqueo y durante cuánto tiempo se bloquean las IPs relevantes. En combinación con una contraseña fuerte, es prácticamente imposible acceder al sitio web de esta manera.

#3 WP Session Eraser

Según la DSGVO, hay que almacenar la menor cantidad de datos posible. Te ayudamos con esto! Nuestra herramienta para una mayor economía de datos -el borrador de sesiones de WordPress - borra las sesiones de WordPress de todos los usuarios de tus de la base de datos después de un intervalo definido. Puede establecer este intervalo en la configuración de BOX en nuestro panel de control para cada BOX individualmente.

#4 Bloqueo por defecto de XML-RPC

XML-RPC es una interfaz que está disponible en cada WP-sitio desde WordPress 3.5. Dado que la gran mayoría de los webmasters no utilizan XML-RPC de todos modos, tiene sentido desactivar esta interfaz. Porque: los hackers pueden atacar directamente tu sitio a través de XML-RPC.

Por esta razón, XML-RPC está ahora bloqueado por defecto y puede ser desbloqueado a través de la configuración del RAIDBOXES tablero.

Bloqueador XML-RPC
Por esta razón, XML-RPC está ahora bloqueado por defecto y puede ser desbloqueado a través de la configuración del RAIDBOXES tablero.

#5 Actualizaciones de seguridad gestionadas de WordPress

Por supuesto, la actualización de WordPress es muy importante. Cada 2-3 meses nuevos WordPress -versiones se publican. Especialmente las actualizaciones de mantenimiento cierran importantes brechas de seguridad. Estas actualizaciones deben instalarse inmediatamente.

Las actualizaciones importantes suelen implicar cambios importantes en el código, por lo que pueden producirse incompatibilidades. Para dar a los fabricantes de Theme y Plugin el tiempo suficiente, siempre lanzamos actualizaciones importantes en nuestro sistema después de 14 días. Por supuesto, proporcionamos la última versión de WordPress inmediatamente para la actualización manual. Por supuesto, es importante que siempre hagas una copia de seguridad de tus sitio antes de actualizar.

#6 Protección de escritura selectiva - WordPress Medidas de endurecimiento

Un enfoque de la SeguridadPlugins Seguridad de iThemes es hacer que WordPress sea más seguro protegiendo los archivos. Esto también se integra selectivamente con nosotros. Esto hace más difícil infectar elementos de sitio y hacerlos inutilizables. En este caso, siempre hay que encontrar un equilibrio razonable entre flexibilidad y seguridad. Lo mantenemos mediante opciones de configuración directamente a través de la interfaz de usuario RAIDBOXES .

Impedir los cambios de archivos en WordPress
Además, también utilizamos las mejores prácticas de WordPress cuando tienen sentido. Un ejemplo es el cambio de nombre del prefijo de la base de datos WordPress .

Además, también utilizamos las mejores prácticas de WordPress cuando tienen sentido. Un ejemplo es el cambio de nombre del prefijo de la base de datos WordPress . Esto no es accesible a través del wp_ estándar. Por otro lado, cambiar el nombre de la carpeta WP-Content, como se hace en Seguridad de iThemes ha demostrado conducir a errores, ya que Plugins y Themes no saben cómo manejarlo.

#7 Managed Plugin-Actualizaciones de WordPress

Ahora hay que cerrar la última gran puerta de los ataques: No está actualizado Plugins. Al igual que en el caso de WordPress , las vulnerabilidades de seguridad pueden darse en Plugins y Themes . No todas las actualizaciones incluyen funciones de seguridad. No obstante, si todos los Plugins están actualizados, la probabilidad de que se produzcan vulnerabilidades de seguridad es significativamente menor.

Como esta función en particular ahorra mucho tiempo, está incluida en nuestra tarifa Fully Managed por 30 euros (netos). Como lector de este artículo del blog, puedes aprovechar la tarifa de forma permanente por sólo 20 euros en el siguiente enlace al pasar por caja: Fully Managed Especial.

8 Medidas del lado del servidor

Todas estas medidas protegen a la propia WordPress . Además, hay, por supuesto, una lista casi interminable de medidas de seguridad que afectan al propio servidor. Esto comienza con las actualizaciones de Linux y termina con la actualización periódica de PHP como base de WordPress . Nos encargamos de la actualización automática de las versiones obsoletas de PHP (por supuesto, con el tiempo adecuado para las pruebas) sin que usted tenga que ocuparse de ello.

Desventajas de la seguridadPlugins

Así pues, me gustaría tratar ahora brevemente las desventajas de Security-Plugins . En parte no son insignificantes, sobre todo por los aspectos temporales.

Esfuerzo de preparación

Si cree que basta con instalar un Plugins , se equivoca. Lamentablemente, la creación de una seguridadPlugins también requiere ciertos conocimientos.

Utilizando el ejemplo del Plugins Seguridad todo en uno esto queda muy claro. Es uno de los más populares Plugins libre, que utiliza el archivo .htaccess en gran medida. Sin embargo, el Plugin ni siquiera reconoce si es un servidor NGINX. Esto no soporta el concepto de .htaccess y se utiliza en el entorno WordPress por su flexibilidad.

Además, aunque las medidas de seguridad se dividen en niveles de dificultad, lo que tiene mucho sentido, muchas de las medidas que ofrece Plugin son menos útiles. Para evaluar adecuadamente la necesidad de las distintas medidas, es inevitable familiarizarse con el tema de la seguridad.

Mantenimiento e (in)seguridad percibida

Para nuestra prueba, instalamos varios sitios de seguridadPlugins . Uno de los Plugins utilizó automáticamente una dirección de correo electrónico del equipo almacenada en WordPress y empezó a enviar correos electrónicos con diligencia. Para alegría de todos los miembros del equipo...

Desgraciadamente, esto no es en absoluto infrecuente. Por supuesto, a uno le gustaría estar informado en ciertos aspectos. Sin embargo, en los casos más frecuentes, se señalan cosas que no representan ningún riesgo para la seguridad. Al final, te sientes más inseguro que antes, porque te informan de cada cambio de archivo, por ejemplo, y tienes que comprobarlo en caso de duda.

Problemas de rendimiento

Por defecto, cada uno de los Plugins ofrece un análisis de malware o de seguridad. El Plugin Wordfence le gusta automatizarlas a una hora. Esto significa que en caso de duda cada hora (!) se ejecuta un escaneo tus sitio a través de un script automático (vía cronjob). Cualquiera que haya instalado alguna vez un software antivirus en su ordenador conoce las historias de dolor de los problemas de rendimiento, a veces masivos.

Esta puede ser también una razón por la que "sólo" 2 millones de los más de 90 millones de descargas permanecieron activas al final.

Costes

Para la investigación de este artículo sólo hemos evaluado Plugins , que también está disponible en versión gratuita. Sin embargo, es lamentable que con muchos WordPress -Security-Plugins las funciones realmente útiles cuesten al menos 80 dólares al año. Si no los utilizas, a menudo te quedas con una sensación de inseguridad.

¿Cuándo tiene realmente sentido un WordPress -Seguridad-Plugin ?

Para los que quieran ir más allá, he aquí algunos ejemplos de casos en los que un Plugin puede ser útil para la seguridad de WordPress . Estas recomendaciones sólo se aplican a la página web especializada WordPress Hosting . Dado que otros proveedores pueden no tener medidas de seguridad implementadas de forma tan específica y extensa, se puede recomendar allí una seguridadPlugin en general. Como puede ver, no es posible hacer una declaración general sobre la utilidad de los plugins de seguridad, ya que los requisitos y las circunstancias son diferentes.

Hackeo manual en la tienda WooCommerce

Este es uno de los pocos ejemplos en los que realmente recomendamos activamente una seguridadPlugin para aumentar la seguridad de la tienda online. El cliente de WooCommerce tuvo la impresión de ser atacado manualmente, lo que, como se ha descrito anteriormente, es muy raro.

En este caso, pudo utilizar Wordfence y su función de registro para identificar rápidamente la dirección IP del atacante y bloquearla. De este modo, se pudo detener el ataque de forma efectiva.

En peligro de extinción Plugins

Cuanto mayor sea el número de Plugins, mayor será la probabilidad de que haya riesgos de seguridad. En particular, si no se utiliza ninguna herramienta para la actualización, las brechas de seguridad existentes permanecen inadvertidas en el sistema durante mucho tiempo y ofrecen una superficie de ataque. Especialmente en el caso de las tiendas WooCommerce, el número de Plugins suele ser intrínsecamente alto y los datos también son más sensibles. Por lo tanto, hay que considerar una seguridadPlugin .

Los tres mejores sitios de seguridadPlugins para WordPress

A continuación, me gustaría explicar brevemente por qué nos limitamos a sólo tres Plugins y no presentamos diez -o incluso los 101 mejores WordPress - plugins de seguridad.

Con la seguridad-Plugins nos limitamos a los 3 principales WordPress -Plugins en todo el mundo. También hemos examinado otras seguridadesPlugins, como. Seguridad y cortafuegos de WP todo en uno que es el más popular puramente gratuito Plugin (sin versión premium) con más de 800.000 usuarios. Sin embargo, no nos convenció la usabilidad y en parte las medidas recomendadas aquí. Al mismo tiempo, sólo es aplicable a los servidores web Apache.

Se trata de los últimos metros

Dado que vemos el Plugins más bien como un complemento a un WordPress Hosting el objetivo es cubrir el último 0,1% de riesgo de seguridad. Así, nos limitamos a los profesionales Plugins, que tienen una distribución muy elevada.

Sin embargo, esta selección de Plugins también es muy relevante para otros hosters no especializados. En cualquier caso, debería tratar más intensamente el tema de la seguridad de WordPress .

Apoyo a la decisión rápida

Al mismo tiempo, es importante para nosotros proporcionar una ayuda rápida para la toma de decisiones. En nuestra opinión, esto ya no es posible con una presentación de diez Plugins , ya que entonces los diez Plugins deben ser evaluados de nuevo al final. Con tres Plugins con diferentes enfoques la decisión es más fácil aquí.    

Restricción al todo en unoPlugins

Por supuesto, hay innumerables Plugins, que se encargan de grandes funciones individuales, por ejemplo, limitar los intentos de inicio de sesión (Limit Login Attempts). Pero también las funciones, que el Plugins sólo ofrece en las versiones PRO , pueden resolverse a través de Plugins individual. El mejor ejemplo es este Plugin para la autenticación de 2 factores.

La distribución y los datos son importantes para los cortafuegos

Los cortafuegos aplican ciertas reglas para detectar si alguien está actuando de forma maliciosa o simplemente visitando sitio . Si alguien intenta entrar en sitio , se le bloquea. En particular, las normas se basan en el conocimiento de las vulnerabilidades existentes. Al mismo tiempo, las redes de atacantes pueden detectarse y bloquearse mejor para todos los demás sitios cuando hay 2 millones de sitios en la administración que cuando hay 10.000 sitios. Por lo tanto, la distribución desempeña un papel para la seguridadPlugins .

Sus favoritos son bienvenidos

Esto no significa que no haya otros grandes Plugins para más seguridad WordPress . Siéntase libre de compartir sus favoritos personales en los comentarios. De este modo, garantizamos una mayor igualdad de oportunidades también para los nuevos enfoques innovadores.

Los tres mejores de seguridadPlugins en el resumen

Página web de la PluginsWordfenceSeguridad de iThemesSucuri
Seguridad
Enlace de descargaDescargarDescargarDescargar
FuncionesAquíAquíAquí
Instalaciones activasMás de 3 millones900.000+700.000+
IdiomasInglés16 idiomas (también DE)Inglés, español
Probado con la última versión de WordPressa 5.3.4
Número valoraciones3,5723,830338
Clasificación (cinco estrellas)4,84,74,4
Versión gratuita
Premium (licencia anual)desde $99desde $80 $199,99
Eliminación de malware de$286.40no se ofreceincluido en la licencia

En la visión general, queda claro que cada uno de los plugins tiene una prevalencia muy alta y está bien valorado. Sin embargo, Wordfence el líder indiscutible del mercado y también equilibrado en cuanto a la relación calidad-precio. En Sucuri se paga directamente por la eliminación del malware, pero en este caso los precios pueden aumentar, sobre todo por un servicio más rápido y escaneos más frecuentes, a $500 al año por año. En Wordfence La eliminación profesional de malware se ofrece como un servicio opcional se ofrece como un servicio opcional. Así que aquí todo depende de tus necesidades.

Es importante saber que es bastante improbable atrapar el malware con contraseñas fuertes de usuarios de WP. Por tanto, en nuestra opinión, no tiene mucho sentido adquirir la eliminación de malware directamente como servicio.

En Wordfence se tiene acceso directo a todo el espectro del cortafuegos en la versión gratuita, a diferencia de lo que ocurre, por ejemplo, con Seguridad de iThemesdonde la información de la red sólo es accesible en la versión PRO .

Un punto importante que tampoco hay que despreciar: Wordfence en nuestro ejemplo, es el único proveedor independienteque se ha especializado únicamente en el tema WordPress security. Sucuri pertenece al grupo GoDaddy y iThemes también fue comprada por otra empresa de Hosting. También trabajan en otros ámbitos, como el desarrollo de Theme. Detrás de Wordfence es exclusivamente la empresa de seguridad Desafiante.

Resumen provisional

Nuestra recomendación de seguridad -Plugin- es, por tanto, bastante clara Wordfence. Plugin ya ofrece un completo cortafuegos en la versión gratuita y se concentra en los dos aspectos fundamentales que debe ofrecer una seguridadPlugin : un cortafuegos y escaneos de seguridad.

Además, se configura rápidamente, se mantiene clara y no confunde, como ocurre con otras Plugins con información demasiado técnica.

Para evitar problemas de rendimiento, entre las opciones de escaneo debe utilizarse "Escaneo de bajos recursos". Dado que las direcciones IP se procesan, debe utilizar Wordfence cerrar un AV.

A continuación, entraré en detalles sobre las áreas centrales individuales de una seguridadPlugins para dejar claras las diferencias entre las Plugins .

Las características más importantes de Plugin en comparación

Control y escaneos

 WordfenceSeguridad de iThemesSucuri
escaneos de seguridad
Exploraciones de seguridad programadasSólo la versión Pro
Sólo versión ProSólo versión Pro
Identificación de malware
    
Identificación de anomalías de seguridad
Control de la lista negraSólo Google Safe BrowsingComprobación del estado de la lista negra
Cambios en los archivos
    
Supervisión del DNSNo está claro
Monitorización SSLNo
Notificaciones
    
Comprobación de spamSólo la versión Pro
registros de seguridadBásico

Una parte esencial de una seguridadPlugins es comprobar si el sitio web ha sido comprometido. Dado que cada proveedor de Plugin utiliza básicamente diferentes nombres para el mismo contenido y lo presenta de manera diferente, es muy difícil hacer una comparación razonable. El cuadro anterior debería proporcionar una visión general al respecto.

Cada Plugin ofrece una función de exploración

Aunque los escaneos de seguridad, la identificación de malware, la identificación de anomalías de seguridad o los cambios en los archivos se suelen enumerar por separado, significan lo mismo. La comparación de archivos se utiliza para comprobar si el malware está presente en el sitio . Según nuestra experiencia, puede ocurrir que una prueba discreta en Sucuri todavía puede significar que el malware puede ser encontrado en sitio , si se lleva a cabo un escaneo más detallado o se miran los archivos individuales.

Comprobación de malware: el sitio está limpio
iThemes Security hace uso de la API de Sucuri aquí.

Seguridad de iThemes simplemente utiliza la API de Sucuri. Como resultado, usted obtiene tanto Sucuri como iThemes nada más que el comprobación gratuita del sitioque también se puede encontrar en el sitio web de Sucuri.

Diferencias en el control de las listas negras

Además de los escaneos, el control de la lista negra es un factor importante, especialmente para las pérdidas de clasificación descritas anteriormente. Aquí comprueba Wordfence según su propia presentación sólo comprueba el Estado de la navegación segura de Google. Si un sitio web aparece aquí, básicamente ya es demasiado tarde. Lo más probable es que el sitio web sea el primero en ser expulsado de los resultados de búsqueda. Seguridad de iThemes y Sucuri consulte directamente varias listas negras aquí. El resultado sigue siendo el mismo. Si el sitio web aparece en las listas negras, ya es demasiado tarde. Precisamente para evitarlo, se realizan estas exploraciones.

Comprobación de seguridad: no está en la lista negra
Una comprobación ampliada de la lista negra está disponible en Wordfence sólo en la versión Premium.

La comprobación de la lista negra ampliada sólo está disponible Wordfence sólo disponible en la versión Premium. Aquí también se comprueba el punto de la publicidad spam, que puede ser fácilmente reconocido externamente y es importante para Google.

Poca relevancia de la supervisión del DNS

Consideramos que las características de la supervisión de DNS y SSL son poco relevantes. No tenemos conocimiento de un solo caso en el que se hayan realizado cambios de DNS o de SSL para investigar actividades delictivas.

Wordfence resultados con los registros de seguridad

La base de una seguridadPlugins debería ser mostrar los inicios de sesión de forma razonable. Este es el caso de todos los Plugins . Wordfence va un poco más allá con su seguimiento del tráfico en directo. No sólo se reconocen los inicios de sesión, sino que el tráfico se clasifica en consecuencia. De este modo, se pueden rastrear las actividades de los rastreadores y el comportamiento de los visitantes en relación con los aspectos de seguridad. Por lo tanto, la herramienta es ideal para evitar los hackeos manuales, por ejemplo.

Wordfence Tráfico en directo
Wordfence va un poco más allá con su seguimiento del tráfico en directo.

Conclusión en esta categoría

La calidad del escaneo es difícil de juzgar y tendría que ser evaluada a través de casos de prueba. iThemes Security y Sucuri tienen un mejor control de la lista negra. Sin embargo, el escaneo debería evitar que el sitio sea incluido en la lista negra de todos modos. En cuanto a la supervisión, la función de tráfico en directo de Wordfence es una gran ventaja.

Protección en combinación con cortafuegos

 WordfenceSeguridad de iThemesSucuri
Cortafuegos de aplicaciones web (WAF)Restringido404 detección
Sistema de detección de intrusos (IDS)No
Protección DDoSNoNo
Brute Force Protección
Bloqueo de intentos de pirateríaParcialmente
Protección contra exploits de día ceroNo está claroNo
Protección lateral únicaNoNo
Algoritmo heurístico de correlaciónNo está claroNo 
Equilibrio de la carga/conmutación por errorNo
bloqueo de paísesNoNo
Bloqueo manual avanzadoNoNo

iThemes sin un firewall adecuado

En lo que respecta a los cortafuegos, las diferencias entre Plugins son especialmente claras. Los enfoques del tema son fundamentalmente diferentes en este caso. Estrictamente hablando iThemes-Seguridad no utiliza un firewall real. Se podría decir que el enfoque de detección de 404 es un primer enfoque. Aquí se mira si un crawler genera muchos errores 404 y se bloquea.

Sucuri incluye un CDN completo

Mientras que para Wordfence Sólo es necesario instalar un Plugin para utilizar el cortafuegos, con Sucuri tiene que cambiar el servidor de nombres o un registro A en la configuración del DNS. Para ello, se trata de una solución completamente basada en la nube, que incluye una CDN (red de entrega de contenidos), que también puede evitar los ataques DDoS. En un ataque DDoS, se suele utilizar una red de bots para disparar un sitio con peticiones hasta que el sitio ya no es accesible porque el servidor cede.

Explicación de los ataques DDoS

Qué es exactamente un ataque DDoS y cómo se puede prevenir eficazmente, le muestra Nick Schäferhoff en su artículo.

El Sucuritambién significa que funciona con equilibradores de carga en lugar de Wordfence funciona con equilibradores de carga. En general, con Sucuri es más bien un término de marketing, como "Algoritmo de Correlación Heurística", y no está claro si se trata de un valor añadido real, ya que Wordfence presumiblemente también funciona con métodos heurísticos. Sin embargo, aquellos que sólo necesiten una CDN también podrían implementar estos gratis a través de Cloudflare .

Wordfence con más opciones de configuración

En Sucuri muchas cosas se ejecutan automáticamente y sin la intervención del usuario. Pero aquí aparentemente se puede configurar menos. Así que puedes bloquear Wordfence bloquear explícitamente IPs de países individuales y también es posible el bloqueo manual. Esto es especialmente útil para los hacks manuales.

WordPress Medidas de seguridad

 WordfenceSeguridad de iThemesSucuri
Copias de seguridad de la base de datosNoNo
WordPress hacer más seguroNoNo
ocultar informaciónNoNo
Protección de la escrituraNoNo
Gestión de contraseñasNoNo
autenticación de dos factoresPremiumPremiumNo

Seguridad de iThemes se centra en las medidas de seguridad dentro de WordPress como se muestra en la tabla. Aquí se trabajan un total de 30 puntos diferentes, la mayoría de los cuales tienen mucho sentido. Por tanto, muchos de los puntos ya están incluidos en nuestra Hosting .

Seguridad de iThemes es, por tanto, una buena manera de añadir más seguridad a nivel de WordPress a un Hosting genérico "inseguro". La versión gratuita ya ofrece una amplia protección. Con la versión premium, hay que destacar la autenticación de 2 factores.

Sincronización y correcciones por n17t01 Wordfence y Sucuri se centran en "blindar" la sitio . Son más bien débiles en estos puntos.

Eliminación de malware y rendimiento

 WordfenceSeguridad de iThemesSucuri
Limpieza de hackers y eliminación de malwareOpcional:Imposible de rastrearOpcional:
Eliminación del aviso de la lista negraOpcional:Imposible de rastrearOpcional:
Límite de solicitud de eliminación de malwareOpcional:Imposible de rastrearOpcional:
Limpieza automáticaParcialmenteImposible de rastrearParcialmente
Analista de seguridad EscaladaOpcional:Imposible de rastrearOpcional:
Limpieza completa del sitio webOpcional:Imposible de rastrearOpcional:
Cerrar las brechas de seguridadOpcional:Imposible de rastrearOpcional:
Copias de seguridadNoImposible de rastrear
Informe posterior a la limpiezaOpcional:Imposible de rastrearOpcional:
Registro completo e informe de incidenciasOpcional:Imposible de rastrearOpcional:
Seguimiento de la causa raízOpcional:Imposible de rastrearOpcional:

Por último, pero no menos importante, veamos la eliminación del malware. Estos son los precios en Sucuri y Wordfence son similares. Para un procesamiento más rápido, ambos cobran un suplemento. Los servicios que se ofrecen aquí son idénticos. En iThemes No pude descubrir un servicio de eliminación de malware. La eliminación de malware puede tardar entre 2 y 3 horas, aunque con grandes fluctuaciones. Como también hacemos la eliminación de malware, los precios son justos.

¿Y qué hay del rendimiento?

Por último, pero no menos importante, una nota sobre el rendimiento. No se puede esperar esto de una comparación de seguridadPlugin. Pero como Sucuri ofrece una CDN y un cortafuegos en uno, puede haber una mejora del rendimiento, especialmente para los visitantes internacionales. Con una CDN el sitio web se entrega siempre desde el siguiente servidor, lo que tiene ventajas especialmente para los visitantes extranjeros. Sin embargo, para una tienda WooCommerce con poco contenido cacheable, es menos crucial.

Nuestra conclusión

¿Cuál es la conclusión general sobre el tema de la seguridad en WordPress ? Nuestra conclusión personal se puede resumir bien en el siguiente hecho: No utilizamos la seguridadPlugin para nuestra propia RAIDBOXES-sitio . Nunca hemos utilizado una seguridadPlugin y nunca hemos tenido ningún problema. Todo esto, aunque nuestra página web tiene un significado absolutamente central para nosotros. Sin embargo, los datos extensos de los clientes no se almacenan en nuestro sitio web WordPress . Para nosotros, el riesgo de pérdida de rendimiento debido a las amplias medidas de exploración era demasiado alto y las desventajas superaban a los beneficios.

Sin embargo, un cortafuegos aumenta la seguridad del sitio web. Por lo tanto, si quiere conseguir la máxima seguridad y aceptar las desventajas en términos de rendimiento y tiempo, debería utilizar una seguridadPlugin .

Especialmente en el caso de WooCommerce-Tiendas o sitios en peligro de extinción, que pueden haber tenido ya problemas con el malware, puede ser útil una WordPress -Seguridad-Plugin . Por lo tanto, nuestra recomendación es la siguiente:

Wordfence como la mejor solución gratuita

Quien quiera un cortafuegos realmente muy sólido con una amplia supervisión, es con Wordfence está muy bien servido. No en vano es el sitio de seguridad más popular del mundoPlugin . La versión Premium complementa la funcionalidad de forma muy precisa y sensible. Durante la implementación, es esencial asegurarse de que los procesos de escaneo se configuren correctamente para evitar problemas de rendimiento.

Seguridad iThemes para genéricos hoster

Seguridad de iThemes realiza medidas de seguridad realmente útiles en el sitio web, especialmente WordPress . Para el genérico hoster es una gran manera de aumentar el nivel de seguridad sin escaneos extensos y firewall incluso en la versión gratuita.

Sucuri para los interesados en CDN

Para aquellos que están pensando en utilizar una CDN de todos modos y para los que el tema de los ataques DDoS debería ser relevante, recomendamos lo siguiente Sucuri se recomienda. Lo único que queda es el regusto algo insípido de la corporación Godaddy.

¿Cuánta seguridad (percibida) necesita?

¿Cómo se maneja el tema de la seguridad en WordPress ? ¿Confía en las medidas de seguridad de tu hoster o sólo una seguridad-Plugin le permite dormir tranquilo? Como siempre, esperamos sus comentarios.

Artículos relacionados

Comentarios sobre este artículo