Seguridad de WordPress Plugins de seguridad

Seguridad en WordPress: ¿qué utilidad tienen realmente los plugins de seguridad?

Mientras tanto, durante El 38% de los sitios web en WordPress. Esto hace que nuestro CMS favorito sea un objetivo popular para los hackers y el malware. Pero no hay que asustarse. Porque la seguridad de WordPress no es brujería. Además de los consejos prácticos de seguridad, hoy tenemos en nuestro equipaje los tres mejores plugins de seguridad para WordPress y le mostramos cuándo los necesita realmente.

¿Necesito una seguridad plugin? Esta pregunta se hace regularmente en apoyo. En el siguiente artículo me gustaría mostrarles el valor añadido de una solución de seguridad. Plugin por la seguridad de los suyos WordPress sitio y cuando es realmente apropiado usar uno.

En la segunda parte, comparamos los tres plugins de seguridad más populares de WordPress para ofrecerle una rápida visión general. De este modo, podrá tomar una decisión rápida y específica y volver a lo esencial: su negocio.

Por qué la seguridad de WordPress es tan crucial

Básicamente hay tres aspectos principales por los que debes ocuparte activamente WordPress sitio de la seguridad de los tuyos y no enterrar la cabeza en la arena.

#1 tuEl sitio web puede quedar inutilizado

Hace unos años, todavía estábamos activos en el negocio de las agencias. Hubo ocasiones en las que tuvimos que rediseñar por completo sitioporque el sitio original había quedado inutilizado por problemas de seguridad que podrían haberse evitado.

Ahora bien, alguien que instala malware en las páginas no suele estar interesado en destruirlas. Al fin y al cabo, el atacante quiere utilizarlo para enviar spam, dirigir a los visitantes a páginas de spam, incrustar anuncios o generar criptomonedas, por ejemplo. Además de restringir en general la funcionalidad de tussitio , el malware también puede provocar considerables problemas de rendimiento.

#2 Lista negra y caída en la clasificación de Google

Un punto aún más grave en esta época es la inclusión del dominio en una lista negra, especialmente por parte de Google o Norton. Si Google pone en la lista negra el sitio web tu, esto significa, en el peor de los casos, que el sitio web tuserá eliminado de los resultados de búsqueda de Google.

Es posible volver a enviar un escaneo de sitiodespués de un ataque de malware. Sin embargo, esto no garantiza que se recupere tuclasificación anterior. Especialmente con palabras clave importantes para el dinero o con mucho tráfico orgánico, esto puede tener graves consecuencias económicas.

#3: Pérdida de datos

Especialmente en tiempos de RGPD, donde el tema de la protección de datos ha alcanzado una nueva dimensión, es importante proteger los datos de los usuarios de tus. Aunque esto es menos importante para un sitio web normal de una empresa, es aún más dramático para una tiendasitiosi la información de pago no está suficientemente protegida.

Riesgos típicos de seguridad tusWP-sitio

Ataques de fuerza bruta en el área de inicio de sesión
En el caso de un ataque de fuerza bruta un gran número de combinaciones de contraseñas se intentan automáticamente para acceder a sitioa través del login /wp-admin de WordPress. Una vez que se ha conseguido esto y el usuario de WordPress tiene derechos de administrador, el sitio web está casi completamente bajo el control del atacante.

Nuestra experiencia en Raidboxes lo demuestra: Utilizando una contraseña fuerte y limitando los intentos de inicio de sesión, se pueden evitar casi todos los casos de malware. Pero en un momento se hablará de ello.

Explotación automatizada de las vulnerabilidades de seguridad
Por regla general, los ataques a los sitios web están automatizados. Las páginas de WordPress son escaneadas automáticamente por los llamados rastreadores, por ejemplo, para buscar un determinado plugin que tenga una vulnerabilidad de seguridad. En los ataques se pueden aprovechar diversas vulnerabilidades de seguridad, por ejemplo en el caso de Inyecciones SQL o Secuencia de comandos en el sitio web.

Ataques manuales
Por supuesto, también es posible explotar una vulnerabilidad de seguridad manualmente. Sin embargo, esto es bastante raro, ya que el esfuerzo sólo valdría la pena para las grandes tiendas de WooCommerce en las que, por ejemplo, se van a robar realmente los datos de pago.

8 medidas de seguridad que proporcionamos como hoster

En principio, el alojamiento especializado en WordPress puede aumentar considerablemente la seguridad de los sitios web tus. A lo largo de los años, hemos ampliado continuamente el concepto de seguridad de Raidboxes de manera que los casos de malware se han convertido en una absoluta rareza. En particular, el análisis detallado de los casos de malware ayuda a identificar las vulnerabilidades de seguridad más frecuentes y a prevenirlas con las medidas adecuadas.

#1 Contraseñas fuertes: la medida de seguridad más importante de todas

Una de las medidas de seguridad más importantes de todas es una contraseña fuerte para todos los usuarios de WordPress. Desgraciadamente, como hoster, sólo tenemos una influencia limitada en la asignación de la contraseña. Especialmente en el caso de los traslados, sólo podemos ejercer poca influencia sobre las contraseñas. La imposición de una contraseña fuerte al crear un BOX (sitio web de WordPress) ha llevado a una reducción significativa de las infestaciones de malware.

Forzar una contraseña fuerte al crear un sitio web de WordPress
La imposición de una contraseña segura al crear un sitio web de WordPress ha llevado a una reducción significativa de las infestaciones de malware.

Recordatorio

La contraseña debe estar formada por números, caracteres especiales y letras minúsculas con una longitud mínima de siete caracteres. Si este no es el caso de sus usuarios de WordPress, definitivamente debería dar el primer paso y cambiar inmediatamente las contraseñas de tu.

#2 Protección contra ataques de fuerza bruta

Casi mil millones de veces al mes, los sitios web son atacados con el Ataques de fuerza bruta ataques. Bueno si tuWordPress hoster ya se ha encargado de esto. Nuestro RB Login Protector se coloca delante de su área de inicio de sesión de WP yhace una 'lista negra' delas direcciones IP que intentan entrar repetidamente con datos de inicio de sesión falsos.

En la configuración tusBOX puedes definir exactamente después de cuántos intentos de inicio de sesión debe tener efecto este bloqueo y durante cuánto tiempo se bloquean las IP en cuestión. En combinación con una contraseña fuerte, es prácticamente imposible acceder al sitio web de esta manera.

#3 WP Session Eraser

Según RGPD, hay que almacenar la menor cantidad de datos posible. Nosotros le ayudamos a hacerlo. Nuestra herramienta para una mayor economía de datos - el borrador de sesiones de WordPress - elimina las sesiones de WordPress de todos los usuarios de tusde la base de datos después de un intervalo definido por usted. Puede definir este intervalo individualmente para cada BOX en sus ajustes de BOX en nuestro Dashboard .

#4 Bloqueo por defecto del XML-RPC

XML-RPC es una interfaz que ha estado disponible en cada WP-sitiodesde WordPress 3.5. Dado que la gran mayoría de los webmasters no utilizan XML-RPC de todos modos, tiene sentido desactivar esta interfaz. Porque: los hackers pueden atacar directamente tusitio a través de XML-RPC.

Por esta razón, XML-RPC está ahora bloqueado por defecto y puede ser activado a través de la configuración en Raidboxes Dashboard .

Bloqueador XML-RPC
Por esta razón, XML-RPC está ahora bloqueado por defecto y puede ser activado a través de la configuración en Raidboxes Dashboard .

#5 Actualizaciones de seguridad de WordPress gestionadas

Por supuesto, lo más importante es la actualización de WordPress. Las nuevas versiones de WordPress se lanzan cada 2-3 meses. Versiones de WordPress se liberan. Las actualizaciones de mantenimiento, en particular, cierran importantes brechas de seguridad. Estas actualizaciones deben instalarse inmediatamente.

Las actualizaciones importantes suelen implicar cambios importantes en el código, por lo que pueden producirse incompatibilidades. Para dar a los fabricantes de temas y plugins el tiempo suficiente, siempre lanzamos actualizaciones importantes en nuestro sistema después de 14 días. Por supuesto, hacemos que la última versión de WordPress esté disponible inmediatamente para las actualizaciones manuales. Por supuesto, es importante que siempre hagas una copia de seguridad de tussitio antes de actualizar.

#6 Protección de escritura selectiva - Medidas de endurecimiento de WordPress

Un enfoque del plugin de seguridad Seguridad de iThemes es hacer que WordPress sea más seguro protegiendo los archivos. Esto también se integra selectivamente con nosotros. Esto hace más difícil infectar elementos de sitioy dejarlos inutilizables. Siempre hay que encontrar un equilibrio razonable entre flexibilidad y seguridad. Mantenemos este equilibrio mediante opciones de configuración directamente a través de la interfaz de usuario Raidboxes .

Cambios en el archivo de vinculación en WordPress
Además, por supuesto, también utilizamos las mejores prácticas de WordPress cuando tienen sentido. Un ejemplo es el cambio de nombre del prefijo de la base de datos de WordPress.

Además, por supuesto, también utilizamos las mejores prácticas de WordPress cuando tienen sentido. Un ejemplo es el cambio de nombre del prefijo de la base de datos de WordPress. En nuestro caso, esto no es accesible a través del wp_ estándar. Por otro lado, cambiar el nombre de la carpeta WP-Content, como se hace en Seguridad de iThemes La experiencia ha demostrado que el cambio de nombre de la carpeta de contenido de WP conduce a errores, ya que los plugins y los temas no pueden hacer frente a esto.

#7 Actualizaciones de plugins gestionadas por WordPress

Ahora es el momento de cerrar la última gran puerta de acceso a los ataques: Plugins que no están actualizados. Al igual que con el propio WordPress, las vulnerabilidades de seguridad también pueden ocurrir con los plugins y los temas. No todas las actualizaciones incluyen funciones de seguridad. No obstante, si todos los plugins están actualizados, la probabilidad de que se produzcan vulnerabilidades de seguridad es significativamente menor.

Como esta función en particular ahorra mucho tiempo, está incluida en nuestra tarifa Fully Managed por 30 euros (netos). Como lector de este artículo del blog, puedes beneficiarte de la tarifa de forma permanente por sólo 20 euros en el siguiente enlace durante el proceso de compra: Fully Managed Especial.

#8 Medidas del lado del servidor

Todas las medidas anteriores protegen al propio WordPress. Además, hay, por supuesto, una lista casi interminable de medidas de seguridad que afectan al propio servidor. Esto comienza con las actualizaciones de Linux y termina con la actualización periódica de PHP como base de WordPress. Nos encargamos de la actualización automática de las versiones obsoletas de PHP (con el tiempo adecuado de espera y de prueba, por supuesto) sin que usted tenga que ocuparse de ello.

Desventajas de los complementos de seguridad

Teniendo esto en cuenta, me gustaría ahora discutir brevemente las desventajas de los plug-ins de seguridad. Algunos de ellos no son insignificantes, especialmente desde la perspectiva del tiempo.

Esfuerzo de preparación

Quien piense que basta con instalar un complemento se equivoca. Lamentablemente, la configuración de un complemento de seguridad también requiere ciertos conocimientos.

Utilizando el ejemplo del plugin Seguridad todo en uno es un buen ejemplo de ello. Es uno de los plug-ins gratuitos más populares, que utiliza el archivo .htaccess en gran medida. Sin embargo, el plugin ni siquiera reconoce si es un servidor NGINX. Esto no soporta el concepto de .htaccess y se utiliza en el entorno de WordPress debido a su flexibilidad.

Además, aunque las medidas de seguridad se dividen en niveles de dificultad, lo que tiene mucho sentido, muchas de las medidas que ofrece el plugin son menos útiles. Para evaluar adecuadamente la necesidad de las distintas medidas, es inevitable familiarizarse con el tema de la seguridad.

Mantenimiento e (in)seguridad percibida

Para nuestra prueba, hemos instalado varios complementos de seguridad. Uno de los plug-ins utilizó automáticamente una dirección de correo electrónico del equipo almacenada en WordPress y comenzó a enviar correos electrónicos. Para alegría de todos los miembros del equipo...

Desgraciadamente, esto no es en absoluto una rareza. Por supuesto, a uno le gustaría estar informado en cierto sentido. Sin embargo, en los casos más frecuentes, se señalan cosas que no representan ningún riesgo para la seguridad. Al final, uno se siente más inseguro que antes porque, por ejemplo, está informado de cada cambio de archivo y tiene que comprobarlo en caso de duda.

Problemas de rendimiento

Por defecto, cada uno de los plugins ofrece un análisis de malware o de seguridad. El plugin Wordfence le gusta fijar esto automáticamente en una hora. Esto significa que en caso de duda, cada hora (!) se ejecuta un escaneo tussitio a través de un script automático (vía cronjob). Cualquiera que haya instalado alguna vez un software antivirus en su ordenador conoce las historias de dolor de los problemas de rendimiento, a veces masivos.

Esta puede ser también una razón por la que "sólo" 2 millones de los más de 90 millones de descargas permanecieron activas al final.

Costes

Para la investigación de este artículo, sólo hemos evaluado los plugins que también están disponibles en una versión gratuita. Sin embargo, lamentablemente ocurre que con muchos plugins de seguridad de WordPress, las funciones realmente útiles cuestan al menos 80 dólares al año. Si no los utilizas, a menudo te quedas con una sensación de inseguridad.

¿Cuándo tiene realmente sentido un plugin de seguridad para WordPress?

Para aquellos que quieren ir más allá, aquí hay algunos ejemplos de casos en los que un plugin de seguridad de WordPress puede ser útil. Estas recomendaciones sólo se aplican al alojamiento especializado de WordPress. Dado que las medidas de seguridad pueden no estar implementadas de forma tan específica y extensa con otros proveedores, se puede recomendar generalmente un plugin de seguridad allí. Como puede ver, no es posible hacer una declaración general sobre la utilidad de los plugins de seguridad, ya que los requisitos y las circunstancias son diferentes.

Hackeo manual en la tienda WooCommerce

Este es uno de los pocos ejemplos en los que recomendamos activamente un plugin de seguridad para aumentar la seguridad de la tienda online. El cliente de WooCommerce tuvo la impresión de ser atacado manualmente, lo que, como se ha descrito anteriormente, es muy raro.

En este caso, pudo utilizar Wordfence y su función de registro para identificar rápidamente la dirección IP del atacante y bloquearla. De este modo, se pudo detener el ataque de forma efectiva.

Plugins en riesgo

Cuanto mayor sea el número de plug-ins, mayor será la probabilidad de que haya riesgos de seguridad. Especialmente si no se utiliza ninguna herramienta para la actualización, las brechas de seguridad existentes permanecen inadvertidas en el sistema durante mucho tiempo y ofrecen una superficie de ataque. Especialmente en las tiendas de WooCommerce, el número de complementos suele ser intrínsecamente alto y los datos son más sensibles al mismo tiempo. Por lo tanto, se debe considerar un complemento de seguridad en este caso.

Los tres mejores plugins de seguridad para WordPress

A continuación, me gustaría explicar brevemente por qué nos limitamos a sólo tres plugins y no presentamos diez - o incluso los mejores 101 plugins de seguridad de WordPress.

Para los plugins de seguridad, nos limitamos a los TOP 3 plugins de WordPress a nivel mundial. También hemos estudiado otros plugins de seguridad, como Seguridad y cortafuegos de WP todo en uno que es el plugin puramente gratuito más popular (sin versión premium) con más de 800.000 usuarios. Sin embargo, la usabilidad y, en parte, las medidas recomendadas no nos convencieron aquí. Al mismo tiempo, sólo puede utilizarse en servidores web Apache.

Se trata de los últimos metros

Dado que vemos los plugins más bien como un complemento a un alojamiento de WordPress ya seguro, el objetivo es cubrir el último 0,1% de riesgo de seguridad. Así, nos limitamos a los plugins profesionales, que tienen una distribución muy alta.

Pero esta selección de plugins también es muy relevante para otros hosters no especializados. De todos modos, aquí debería tratar más intensamente el tema de la seguridad de WordPress.

Apoyo a la decisión rápida

Al mismo tiempo, es importante para nosotros proporcionar una ayuda rápida para la toma de decisiones. En nuestra opinión, esto ya no es posible con una presentación de diez plug-ins, porque al final los diez plug-ins tienen que ser evaluados de nuevo. Con tres plug-ins con diferentes enfoques, la decisión es más fácil.    

Restricción a los plug-ins todo-en-uno

Por supuesto, hay innumerables plug-ins que se encargan de funciones individuales, por ejemplo, limitar los intentos de inicio de sesión (Limit Login Attempts). Pero incluso las funciones que los plugins sólo ofrecen en las versiones PRO pueden resolverse a través de plugins individuales. El mejor ejemplo es este plugin para la autenticación de 2 factores.

La distribución y los datos son importantes para los cortafuegos

Los cortafuegos aplican ciertas reglas para detectar si alguien está actuando maliciosamente o simplemente visitando sitio. Si alguien intenta penetrar en sitio, es bloqueado. Las normas, en particular, se basan en el conocimiento de las vulnerabilidades de seguridad existentes. Al mismo tiempo, las redes de atacantes pueden ser mejor reconocidas y bloqueadas para todos los demás sitios cuando hay 2 millones de sitios en la administración que cuando hay 10.000 sitios. Por lo tanto, la distribución juega un papel importante para los complementos de seguridad.

Sus favoritos son bienvenidos

Esto no significa que no haya otros grandes plugins para una mayor seguridad en WordPress. Siéntase libre de nombrar sus favoritos en los comentarios. De este modo, garantizamos una mayor igualdad de oportunidades también para los nuevos enfoques innovadores.

Los tres mejores complementos de seguridad de un vistazo

Sitio web del pluginWordfenceSeguridad de iThemesSucuri
Seguridad
Enlace de descargaDescargarDescargarDescargar
FuncionesAquíAquíAquí
Instalaciones activasMás de 3 millones900.000+700.000+
IdiomasInglés16 idiomas (también DE)Inglés, español
Probado con la última versión de WordPressa 5.3.4
Número de valoraciones3,5723,830338
Clasificación (cinco estrellas)4,84,74,4
Versión gratuita
Prima (licencia anual)desde 99 dólaresdesde 80 dólares $199,99
Eliminación de malware de$286.40No se ofreceIncluido en la licencia

En el resumen queda claro que cada uno de los plugins tiene una distribución muy alta y está bien valorado. Sin embargo, Wordfence el líder indiscutible del mercado y también equilibrado en cuanto a la relación calidad-precio. En Sucuri se paga directamente por la eliminación del malware, pero en este caso los precios pueden aumentar, sobre todo por un servicio más rápido y escaneos más frecuentes, a 500 dólares al año por año. En Wordfence La eliminación profesional de malware se ofrece como un servicio opcional se ofrece como un servicio opcional. Así que aquí todo depende de las necesidades de tu.

Es importante saber que es bastante improbable atrapar el malware con contraseñas fuertes de usuarios de WP. Por tanto, en nuestra opinión, no tiene mucho sentido adquirir la eliminación de malware directamente como servicio.

En Wordfence de nuevo, se obtiene acceso directo a todo el espectro del cortafuegos en la versión gratuita, a diferencia de, por ejemplo, con Seguridad de iThemesdonde la información de la red sólo es accesible en la versión PRO.

Un punto importante que tampoco hay que pasar por alto: Wordfence en nuestro ejemplo, el único proveedor independienteque sólo se especializa en la seguridad de WordPress. Sucuri es ahora parte del grupo GoDaddy y iThemes también fue comprada por otra empresa de alojamiento. También trabajan en otros ámbitos, como el desarrollo de temas. Detrás de Wordfence es la empresa de seguridad Desafiante.

Conclusión provisional

Por lo tanto, nuestra recomendación de complemento de seguridad es bastante clara Wordfence. La versión gratuita del plugin ya ofrece un completo cortafuegos y se concentra en los dos temas principales que debe ofrecer un plugin de seguridad: un cortafuegos y escaneos de seguridad.

Además, se configura rápidamente, está claramente expuesto y no confunde, como ocurre con otros plug-ins con información demasiado técnica.

Para evitar problemas de rendimiento, se debe utilizar "Escaneo de bajos recursos" en las opciones de escaneo. Dado que las direcciones IP se procesan, debe utilizar Wordfence cerrar un AV.

A continuación, volveré a detallar cada una de las áreas centrales de un complemento de seguridad para dejar claras las diferencias entre los complementos.

Las características más importantes del plug-in en comparación

Control y escaneos

 WordfenceSeguridad de iThemesSucuri
Exploraciones de seguridad
Exploraciones de seguridad programadasSólo la versión Pro
Sólo versión ProSólo versión Pro
Identificación de malware
    
Identificación de anomalías de seguridad
Control de la lista negraSólo Google Safe BrowsingComprobación del estado de la lista negra
Cambios en los archivos
    
Supervisión del DNSNo está claro
Monitorización SSLNo
Notificaciones
    
Comprobación de spamSólo la versión Pro
Registros de seguridadBásico

Una parte esencial de un plugin de seguridad es comprobar si el sitio web ha sido comprometido. Dado que cada fabricante de plugins utiliza básicamente diferentes nombres para el mismo contenido y lo presenta de forma diferente, es muy difícil hacer una comparación razonable. El cuadro anterior debería proporcionar una visión general al respecto.

Cada complemento ofrece una función de exploración

Aunque los escaneos de seguridad, la identificación de malware, la identificación de anomalías de seguridad o los cambios en los archivos suelen aparecer por separado, significan lo mismo. La comparación de archivos se utiliza para comprobar si el malware está presente en sitio. Según nuestra experiencia, puede ocurrir que una prueba discreta con Sucuri todavía puede significar que el malware puede ser encontrado en sitiosi se llevan a cabo exploraciones más detalladas o se miran los archivos individuales.

Comprobación de malware: el sitio está limpio
iThemes Security hace uso de la API de Sucuri aquí.

Seguridad de iThemes simplemente utiliza la API de Sucuri. El resultado tanto de Sucuri como de iThemes no es otro que el comprobación gratuita del sitioque también se puede encontrar en el sitio web de Sucuri.

Diferencias en el control de las listas negras

Además de los escaneos, el control de la lista negra es un factor importante, especialmente para las pérdidas de clasificación descritas anteriormente. Aquí Wordfence según su propia presentación, sólo comprueba el Estado de la navegación segura de Google. Si un sitio web aparece aquí, básicamente ya es demasiado tarde. Lo más probable es que el sitio web sea expulsado primero de los resultados de búsqueda. Seguridad de iThemes y Sucuri comprobar directamente varias listas negras. Sin embargo, el resultado es idéntico. Si el sitio web aparece en las listas negras, ya es demasiado tarde. Estas exploraciones se hacen precisamente para evitarlo.

Comprobación de seguridad: no está en la lista negra
La comprobación de la lista negra ampliada sólo está disponible en Wordfence en la versión Premium.

La comprobación de la lista negra ampliada sólo está disponible Wordfence sólo está disponible en la versión Premium. Aquí también se comprueba el punto de la publicidad spam, que puede ser fácilmente reconocido externamente y es importante para Google.

Poca relevancia de la supervisión del DNS

Consideramos que las características de la supervisión de DNS y SSL son poco relevantes. No tenemos conocimiento de un solo caso en el que se hayan realizado cambios de DNS o de SSL para perseguir actividades delictivas.

Wordfence resultados con los registros de seguridad

La base de un complemento de seguridad debería ser mostrar los inicios de sesión de forma sensata. Este es el caso de todos los plug-ins. Wordfence va un poco más allá con su seguimiento del tráfico en directo. No sólo se reconocen los inicios de sesión, sino que el tráfico se clasifica en consecuencia. De este modo, se pueden rastrear las actividades de los rastreadores y el comportamiento de los visitantes en relación con los aspectos de seguridad. Por lo tanto, la herramienta es ideal para evitar los hackeos manuales, por ejemplo.

Wordfence Tráfico en directo
Wordfence va un poco más allá con su seguimiento del tráfico en directo.

Conclusión en esta categoría

La calidad del escaneo es difícil de juzgar y tendría que ser evaluada a través de casos de prueba. iThemes Security y Sucuri tienen un mejor control de la lista negra. Sin embargo, el escaneo debería evitar que el sitioacabe en la lista negra de todos modos. En cuanto a la supervisión, la función de tráfico en directo de Wordfence es una gran ventaja.

Protección en combinación con cortafuegos

 WordfenceSeguridad de iThemesSucuri
Cortafuegos de aplicaciones web (WAF)Restringido404 detección
Sistema de detección de intrusos (IDS)No
Protección DDoSNoNo
Protección por fuerza bruta
Bloqueo de intentos de hackeoParcialmente
Protección contra exploits de día ceroNo está claroNo
Protección lateral únicaNoNo
Algoritmo heurístico de correlaciónNo está claroNo 
Equilibrio de la carga/conmutación por errorNo
Bloqueo del paísNoNo
Bloqueo manual avanzadoNoNo

iThemes sin un firewall adecuado

En lo que respecta a los cortafuegos, las diferencias entre los plug-ins son especialmente claras. Los enfoques del tema son fundamentalmente diferentes. Estrictamente hablando iThemes-Seguridad no utiliza un firewall real. Se podría llamar al enfoque de detección 404 una primera aproximación. Se trata de ver si un rastreador genera muchos errores 404 y los bloquea.

Sucuri incluye un CDN completo

Mientras que para Wordfence sólo es necesario instalar un plugin para utilizar el cortafuegos, con Sucuri tiene que cambiar el servidor de nombres o un registro A en la configuración del DNS. En cambio, es una solución completamente basada en la nube, que incluye una CDN (red de entrega de contenidos), que también puede evitar los ataques DDoS. En un ataque DDoS, se suele utilizar una red de bots para disparar un sitiocon peticiones hasta que el sitioya no es accesible porque el servidor cede.

Explicación de los ataques DDoS

En su artículo, Nick Schäferhoff le muestra exactamente qué es un ataque DDoS y cómo puede prevenirlo eficazmente.

El Sucuri-También significa que, a diferencia de lo que ocurre con Wordfence funciona con equilibradores de carga. En general, con Sucuri es más bien una frase de marketing para ciertos términos como "algoritmo de correlación heurística" y no está claro si se trata de un valor añadido real, ya que Wordfence presumiblemente también funciona con métodos heurísticos. Sin embargo, aquellos que sólo necesitan una CDN también pueden realizarla gratuitamente a través de Cloudflare.

Wordfence con más opciones de configuración

En Sucuri muchas cosas se ejecutan automáticamente y sin la intervención del usuario. Por otro lado, aparentemente se puede configurar menos aquí. Por ejemplo, con Wordfence puedes bloquear explícitamente las IPs de países individuales y también puedes bloquearlas manualmente. Esto es especialmente útil para los hacks manuales.

Medidas de seguridad de WordPress

 WordfenceSeguridad de iThemesSucuri
Copias de seguridad de la base de datosNoNo
Hacer que WordPress sea más seguroNoNo
Ocultar informaciónNoNo
Protección de la escrituraNoNo
Gestión de contraseñasNoNo
Autenticación de dos factoresPremiumPremiumNo

Seguridad de iThemes se centra en las medidas de seguridad de WordPress, como se muestra en la tabla. Aquí se trabajan un total de 30 puntos diferentes, la mayoría de los cuales tienen mucho sentido. Por lo tanto, muchos de los puntos ya están incluidos en nuestro alojamiento.

Seguridad de iThemes es, por tanto, una gran manera de añadir más seguridad a nivel de WordPress a un alojamiento genérico "inseguro". La versión gratuita ya ofrece una amplia protección. En la versión premium, cabe destacar la autenticación de 2 factores.

Desde Wordfence y Sucuri se centran en "blindar" la sitio. Son bastante débiles en estos puntos.

Eliminación de malware y rendimiento

 WordfenceSeguridad de iThemesSucuri
Limpieza de hackers y eliminación de malwareOpcionalImposible de rastrearOpcional
Eliminación del aviso de la lista negraOpcionalImposible de rastrearOpcional
Límite de solicitud de eliminación de malwareOpcionalImposible de rastrearOpcional
Limpieza automáticaParcialmenteImposible de rastrearParcialmente
Analista de seguridad EscaladaOpcionalImposible de rastrearOpcional
Limpieza completa del sitio webOpcionalImposible de rastrearOpcional
Cerrar las brechas de seguridadOpcionalImposible de rastrearOpcional
Copias de seguridadNoImposible de rastrear
Informe posterior a la limpiezaOpcionalImposible de rastrearOpcional
Registro completo e informe de incidenciasOpcionalImposible de rastrearOpcional
Seguimiento de la causa raízOpcionalImposible de rastrearOpcional

Por último, pero no menos importante, veamos la eliminación de malware. Estos son los precios en Sucuri y Wordfence son similares. Para un procesamiento más rápido, ambos cobran un suplemento. Los servicios que se ofrecen aquí son idénticos. En iThemes No pude encontrar un servicio de eliminación de malware. Una eliminación de malware puede durar entre 2 y 3 horas, pero con grandes fluctuaciones. Como también realizamos la eliminación de malware, los precios son justos.

¿Y qué hay del rendimiento?

Por último, pero no menos importante, una nota sobre el rendimiento. Uno no esperaría esto en una comparación de complementos de seguridad. Pero como Sucuri ofrece una CDN y un cortafuegos en uno, también puede haber una mejora del rendimiento, especialmente para los visitantes internacionales. Con una CDN, el sitio web se entrega siempre desde el siguiente servidor, lo que tiene ventajas especialmente para los visitantes extranjeros. Sin embargo, para una tienda WooCommerce con poco contenido almacenable en caché, es menos decisivo.

Nuestra conclusión

Entonces, ¿cuál es la conclusión general sobre el tema de la seguridad de WordPress? Nuestra conclusión personal se puede resumir bien en el siguiente hecho: No utilizamos un plugin de seguridad para nuestro propio Raidboxes-sitio. Nunca hemos utilizado un plugin de seguridad y nunca hemos tenido ningún problema. Todo ello a pesar de que nuestro sitio web tiene una importancia absolutamente central para nosotros. Sin embargo, los datos extensos de los clientes no se almacenan en nuestro sitio web de WordPress. Para nosotros, el riesgo de pérdida de rendimiento debido a las amplias medidas de exploración era demasiado alto y las desventajas superaban a los beneficios.

Sin embargo, un cortafuegos aumenta la seguridad del sitio web. Por lo tanto, cualquier persona que pretenda conseguir la máxima seguridad y esté dispuesta a aceptar las desventajas en términos de rendimiento y gasto de tiempo debería utilizar un complemento de seguridad.

Especialmente para las tiendas de WooCommerce o los sitios vulnerables que ya han tenido problemas con el malware, un plugin de seguridad para WordPress puede ser útil. Por lo tanto, nuestra recomendación es la siguiente:

Wordfence como la mejor solución gratuita

Cualquiera que quiera un cortafuegos realmente muy sólido con una amplia supervisión está muy bien servido con Wordfence es una muy buena opción. No en vano es el complemento de seguridad más popular del mundo. La versión premium complementa la funcionalidad de forma muy precisa y sensible. Al implementar el plug-in, es importante asegurarse de que los procesos de escaneo están configurados correctamente para evitar problemas de rendimiento.

Seguridad de iThemes para hosters genéricos

Seguridad de iThemes realiza medidas de seguridad realmente útiles en el sitio web, especialmente en lo que respecta a WordPress. Para los hosters genéricos, es una gran manera de aumentar el nivel de seguridad sin necesidad de realizar extensos escaneos y cortafuegos, incluso en la versión gratuita.

Sucuri para los interesados en CDN

Para aquellos que están pensando en utilizar una CDN de todos modos y para los que el tema de los ataques DDoS debería ser relevante, recomendamos lo siguiente Sucuri se recomienda. Sólo queda el regusto un tanto insípido de la corporación Godaddy.

¿Cuánta seguridad (percibida) necesita?

¿Cómo se maneja el tema de la seguridad en WordPress? ¿Confía en las medidas de seguridad de tuhoster o sólo un plugin de seguridad le permite dormir tranquilo? Como siempre, esperamos sus comentarios.

¿Te ha gustado el artículo?

Con tu valoración nos ayudas a mejorar aún más nuestro contenido.
Los comentarios están desactivados.