Search
Generic filters
banner

Los 8 mejores complementos de seguridad de WordPress para proteger tu web

por | Jun 14, 2020 | Seguridad

La seguridad es un aspecto crucial al momento de desarrollar un proyecto web, existen muchos complementos WordPress disponibles. Para ayudarte a elegir el mejor complemento, hemos recopilado 8 excelentes opciones que pueden ayudarlo con el fortalecimiento de la seguridad, los firewalls y el escaneo de malware.

WordPress controla más del 35% de todos los sitios web en Internet, lo que lo convierte en un objetivo jugoso para los actores maliciosos de todo el mundo.

Si desea proteger su sitio web o los sitios web de sus clientes, un complemento de seguridad dedicado puede hacer mucho trabajo pesado por usted.

Para ayudarlo a elegir el mejor complemento de seguridad de WordPress para sus necesidades, hemos recopilado ocho excelentes opciones que pueden ayudarlo con el fortalecimiento de la seguridad, los firewalls y el escaneo de malware.

Vamos a profundizar, comenzando con una descripción general rápida de lo que realmente hacen la mayoría de los complementos de seguridad de WordPress.

¿Qué hacen los complementos de seguridad de WordPress?

La seguridad de WordPress es un tema bastante amplio, por lo que cuando digo “plugin de seguridad de WordPress”, puede abarcar una gama de características diferentes.

Entonces, antes de entrar en los complementos, repasemos cuáles son esas diferentes características de alto nivel para que sepa qué está haciendo cada una de estas herramientas.

Reforzamiento de seguridad básico

El fortalecimiento de la seguridad básica es una especie de configuración o herramientas que hacen que su sitio web de WordPress sea más seguro “.

Por ejemplo, los complementos de seguridad generalmente lo ayudarán a proteger su página de inicio de sesión con características como:

    • Limitar los intentos de inicio de sesión
    • Autenticación de dos factores
    • Cambiar la URL de inicio de sesión de WordPress
    • Hacer cumplir contraseñas seguras
    • Establecer caducidad de contraseña
    • Agregar un CAPTCHA
  • Esas son todas tácticas de reforzamiento.

Otras estrategias populares de fortalecimiento incluyen el monitoreo de los archivos principales de WordPress para detectar si algo ha cambiado, deshabilitar las funciones de WordPress como XML-RPC, detener la enumeración de usuarios, etc.

Cortafuegos

Otra táctica que verá mencionada mucho es un firewall.

Esencialmente, un firewall de sitio web es algo que se encuentra entre su sitio de WordPress y sus visitantes. Los visitantes regulares no tienen problemas para usar su sitio, pero si el firewall detecta actividad maliciosa (a través de la dirección IP, acciones, etc.), bloqueará a ese visitante antes de que pueda causar un problema.

Esto es llamado firewall de aplicación web o WAF.

Es importante tener en cuenta que no todos los firewalls son iguales. Es decir, solo porque dos complementos ofrecen un “firewall”, eso no significa que esas herramientas son automáticamente iguales porque un firewall es tan bueno como las reglas que sigue.

Algunos complementos de seguridad de WordPress, como Wordfence, actualizan constantemente sus reglas de firewall en tiempo real para ajustarse a las amenazas de seguridad emergentes. Otros son básicamente un conjunto estático de reglas que nunca cambian. Ambos pueden ser útiles: es solo que uno será más efectivo para protegerlo de nuevos tipos de vulnerabilidades.

Escaneo de malware

Otra parte popular de los complementos de seguridad de WordPress es el escaneo de malware. Probablemente esté familiarizado con este concepto al ejecutar escaneos en su propia computadora.

Básicamente, la herramienta escaneará su sitio en busca de código malicioso y devolverá un informe de todo lo que encuentre.

Nuevamente, la efectividad del escaneo de malware depende de sus reglas y enfoque. Es decir, solo porque dos complementos hacen “escaneo de malware”, eso no los hace iguales.

Primero, al igual que con los firewalls, tiene diferencias en las reglas de detección. Un escáner de malware se basa en “firmas de malware” para identificar malware. Entonces, si su escáner de malware no tiene una firma para una amenaza emergente, es posible que no pueda detectarlo.

En segundo lugar, tienes el enfoque. Algunos complementos / herramientas, como la popular herramienta Sucuri SiteCheck , solo escanean el front-end de su sitio. Esto puede detectar malware que es detectable desde el front-end de su sitio web, pero no detectaría malware que esté oculto en su servidor.

Para detectar malware que no se manifiesta en el front-end de su sitio, necesitará usar un escáner de malware que escanee todos los archivos en su servidor.

Bueno, luego de esta introducción le ayudaremos a elegir el mejor complemento de seguridad de WordPress para sus necesidades.

Los 8 mejores complementos de seguridad de WordPress

Estos son los ocho complementos que veremos:

  • Sucuri
  • iThemes Security
  • Seguridad y cortafuegos todo en uno WP
  • Seguridad a prueba de balas
  • Jetpack
  • SecuPress
  • Seguridad Cerber
  • Wordfence

1.- Sucuri

Sucuri es otra herramienta de seguridad de sitios web popular. Hay dos partes en Sucuri:

  1. Un complemento gratuito en WordPress.org
  2. Un servidor de seguridad de pago, monitoreo y limpieza de pirateo

El complemento gratuito en WordPress.org lo ayuda principalmente con el fortalecimiento de la seguridad básica.

Le dará varias reglas y consejos que puede aplicar, como deshabilitar el complemento en el tablero y la edición de temas y bloquear la ejecución de PHP en ciertos directorios confidenciales.

Otras características de seguridad incluyen la capacidad de:

  • Monitoree la integridad de los archivos principales
  • Seguimiento de intentos fallidos de inicio de sesión
  • Reciba notificaciones de alertas de seguridad para diversas acciones.
  • Enumere los scripts y los iframes en su sitio.

Más allá de eso, el complemento también viene con el servicio Sucuri SiteCheck para escaneo de malware. Sin embargo, es importante comprender que este servicio solo escanea el front-end de su sitio en busca de problemas: no escaneará los archivos en su servidor como otros escaneos de malware. Tampoco necesita el complemento para usar esta herramienta; puede ejecutarlo desde el sitio web de Sucuri.

Para mayor seguridad, el complemento puede ayudarlo a conectarse al servicio de firewall de pago Sucuri. Este firewall es un WAF basado en la nube con reglas actualizadas regularmente por el equipo de Sucuri. El firewall también te permite:

  • Lista blanca o lista negra de ciertas direcciones IP
  • Bloquear países enteros
  • Asegure las áreas sensibles (como su tablero / inicio de sesión de WordPress) con CAPTCHA, autenticación de dos factores o contraseñas adicionales.

El servicio pago de Sucuri también puede ayudar a proteger su sitio de ataques DDoS.

Precio: El complemento Sucuri es 100% gratuito. El firewall de Sucuri cuesta $ 19.98 por mes y toda la plataforma Sucuri (que incluye detección y limpieza de malware) cuesta $ 299.99 por año.

2.- iThemes Security

iThemes Security es un complemento de seguridad freemium de … iThemes, de ahí su nombre. Si no está familiarizado, iThemes es un desarrollador popular detrás de una gama de complementos, incluido BackupBuddy. iThemes fue adquirido por Liquid Web en 2018.

iThemes Security se centra en el fortalecimiento de la seguridad de WordPress. Le permite conectarse al servicio Sucuri SiteCheck para la detección de malware front-end, pero puede ejecutar esta función desde el sitio web de Sucuri, por lo que no es realmente un escaneo de malware incorporado.

No anuncia un firewall, pero sí incluye características que le permiten bloquear algunos bots y direcciones IP. También hay una función de “protección de la fuerza bruta de la red” que puede bloquear automáticamente las direcciones IP que han intentado forzar la fuerza bruta en otros sitios de WordPress.

En cuanto al fortalecimiento de la seguridad, iThemes Security puede ayudarlo a asegurar su proceso de inicio de sesión con características como:

  • Limite los intentos de inicio de sesión
  • Cambiar la URL de inicio de sesión de WordPress
  • Google reCAPTCHA (pago)
  • Autenticación de dos factores (de pago)
  • Aplicación de contraseña segura
  • Caducidad de la contraseña (pagada)
  • También ofrece un modo “Ausente” mediante el cual básicamente puede bloquear su sitio durante los momentos en que no accede a él.

Otras características de refuerzo de seguridad incluyen:

  • Detección de cambio de archivo
  • Cambiar el prefijo de la base de datos
  • Desactiva la edición de archivos en el tablero
  • Registro de acciones del usuario ( pago )
  • Cambiar ruta de contenido wp
  • Si necesita administrar múltiples sitios de WordPress, también tiene una integración con iThemes Sync.

Precio: versión gratuita en WordPress.org. La versión de pago comienza en $ 80.

3. All In One WP Security & Firewall

All In One WP Security & Firewall es un popular complemento de seguridad de WordPress que es 100% gratuito.

Le ayuda a implementar un montón de diferentes características de refuerzo de seguridad, tales como:

  • Cambiar el prefijo de la base de datos de WordPress
  • Supervisar permisos de archivos
  • Deshabilitar la edición de archivos en el tablero
  • Monitoreo de integridad de archivos
  • Ocultar número de versión de WordPress

También incluye funciones para proteger su proceso de inicio de sesión, como:

  • Limite los intentos de inicio de sesión
  • Forzar el cierre de sesión de los usuarios después de cierto tiempo
  • Agregue reCAPTCHA para la protección de inicio de sesión
  • Lista blanca de ciertas direcciones IP
  • Detener la enumeración de usuarios

También le dará un “medidor de fuerza de seguridad” para ayudarlo a mejorar la seguridad de su sitio.

All In One WP Security & Firewall incluye lo que llama un firewall, pero no es tan robusto como algo como Wordfence o Sucuri. Es más un conjunto estático de reglas: no se adapta a las amenazas emergentes como esos otros complementos.

Precio: 100% gratis en WordPress.org.

4. BulletProof Security

BulletProof Security es otra opción que ofrece un enfoque todo en uno para la seguridad de WordPress con:

  • Reforzamiento de seguridad
  • Cortafuegos
  • Escaneo de malware

La versión gratuita ofrece un reforzamiento básico como:

  • Seguridad de inicio de sesión
  • Cambiar el prefijo de la tabla de la base de datos
  • Registro de seguridad
  • Copia de seguridad de la base de datos
  • También incluye escaneo de malware en la versión gratuita, mientras que la versión paga incluye protección en tiempo real con el
  • Sistema de detección y prevención de intrusiones de cuarentena (ARQ IDPS) de BulletProof Security.

La versión paga también agrega otras características como:

  • Monitoreo de bases de datos y verificación diferencial
  • Subir protección
  • Complemento cortafuegos

La interfaz de usuario se ve bastante anticuada y no es tan agradable como otras herramientas, pero BulletProof Security es bien considerada cuando se trata de su efectividad.

Precio: versión gratuita en WordPress.org. La versión de pago comienza en $ 69.95.

5. Jetpack

Jetpack es un plugin popular todo en uno de Automattic, la misma gente detrás de WordPress.com y WooCommerce.

A diferencia de todos los otros complementos en esta lista, Jetpack no se centra solo en la seguridad de WordPress, sino que incluye muchas características de seguridad en sus planes gratuitos y pagos.

La versión gratuita ayuda a asegurar su inicio de sesión de WordPress con protección de fuerza bruta y la opción de usar el inicio de sesión seguro de WordPress.com. Es decir, puede iniciar sesión en su propio sitio de WordPress utilizando sus credenciales de WordPress.com.

Con los planes pagos, también obtienes acceso a copias de seguridad y análisis de malware (estas características se llamaban anteriormente VaultPress. Ahora, VaultPress se ha fusionado con Jetpack).

Las funciones de copia de seguridad y escaneo están unidas, lo que es parte de lo que las hace únicas. Con la mayoría de las herramientas de escaneo de malware, la herramienta escanea los archivos en su servidor de WordPress real. Esto es bueno para atrapar malware, pero también consume recursos en el servidor de su sitio web en vivo.

Con Jetpack, Jetpack primero realiza una copia de seguridad de su sitio en una ubicación fuera del sitio. Luego, escanea la copia de seguridad de su sitio en busca de malware, lo que significa que no afectará el rendimiento de su sitio web en vivo.

Como parte de sus escaneos, Jetpack busca:

  • Cambios en los archivos principales de WordPress
  • Web shells
  • Vulnerabilidades TimThumb

Si Jetpack encuentra algo malicioso, puede ayudarlo a reparar el problema.

Precio: algunas características están disponibles en la versión gratuita. El escaneo de malware está disponible en el plan Premium y superior, que comienza en $ 9 por mes. Esto también le da acceso a muchas otras características de Jetpack.

6. SecuPress

SecuPress es otro conocido plugin de seguridad de WordPress que viene en versión gratuita y de pago.

SecuPress fue lanzado originalmente por WP Media, la misma compañía detrás del popular complemento WP Rocket. Sin embargo, WP Media más tarde liberó la propiedad del propietario actual (que fue uno de los cofundadores de WP Media). Básicamente, esa es una forma larga de decir que verá algunas similitudes de diseño con WP Rocket, pero las dos ya no son la misma entidad.

Con la versión gratuita, puedes:

  • Bloquear direcciones IP y bots defectuosos
  • Proteja su inicio de sesión de ataques de fuerza bruta
  • Ocultar la página de inicio de sesión
  • Oculta tus versiones de WordPress y WooCommerce
  • Administrar XML-RPC y API REST
  • Registrar acciones importantes del usuario

También obtienes un firewall en la versión gratuita.

La versión premium agrega características adicionales como:

  • Autenticación de dos factores para asegurar su inicio de sesión
  • Funciones antispam
  • Copia de seguridad de base de datos y archivos
  • Detección de temas o complementos con vulnerabilidades de seguridad conocidas
  • Escaneo de malware PHP
  • Bloqueo de país (geolocalización)
  • Programación de tareas

Una característica destacada con SecuPress es la interfaz. Tiene la interfaz más agradable de cualquier herramienta en esta lista, lo cual es especialmente agradable si sus clientes alguna vez lo verán. Nuevamente, definitivamente puedes ver la influencia de WP Rocket en la interfaz.

Precio: versión gratuita en WordPress.org. La versión de pago comienza en $ 65.

7. Seguridad Cerber

Cerber Security es otro popular plugin de seguridad todo en uno de WordPress que viene con:

  • Reforzamiento de la seguridad
  • Cortafuegos
  • Escaneo de malware

En primer lugar, está repleto de reglas de seguridad como:

  • Cambiar la página de inicio de sesión de WordPress
  • Deshabilitar PHP en la carpeta de cargas
  • Detener la enumeración de usuarios
  • Limitar los intentos de inicio de sesión
  • Monitoreo de integridad de archivos
  • Autenticación de dos factores

También puede configurar reglas, como bloquear automáticamente cualquier dirección IP que intente iniciar sesión con un nombre de usuario inexistente. También puede crear políticas personalizadas basadas en roles, como requerir dos factores para los usuarios administradores y cerrarlas automáticamente después de un cierto período de tiempo.

Como parte del cortafuegos, obtiene un inspector de tráfico en tiempo real donde puede ver todo lo que sucede en su sitio, incluido el monitoreo de las sesiones iniciadas y de los visitantes. También obtienes reglas de bloqueo geográfico.

Finalmente, obtiene análisis de malware, incluida la capacidad de programar análisis para que se ejecuten automáticamente.

Si necesita administrar múltiples sitios, también incluye una función Cerber.Hub que le permite administrar múltiples sitios desde un tablero. Este panel es autohospedado, a diferencia de Wordfence. Deberá designar un sitio de WordPress como “Maestro” y luego “Esclavo” otras instalaciones en ese tablero maestro.

Precio: versión gratuita en WordPress.org. La versión de pago comienza en $ 99.

8. Wordfence

Activo en más de tres millones de sitios web, Wordfence es un popular complemento de seguridad de WordPress. El equipo de Wordfence también es bastante y monitorea constantemente las nuevas amenazas, que detallan en su blog. Wordfence pretende ser una solución integral y ofrece herramientas para todas las categorías que se mencionaron anteriormente.

Reforzamiento de seguridad general

Primero, WordPress incluye toneladas de herramientas para ayudar con el fortalecimiento de la seguridad básica de WordPress, tales como:

  • Deshabilitar la ejecución de código en el directorio de cargas
  • Ocultar su versión de WordPress
  • Detener la enumeración de usuarios

También obtiene una pestaña dedicada de Seguridad de inicio de sesión desde la que puede controlar las medidas de seguridad de inicio de sesión, tales como:

  • Uso de autenticación de dos factores (para todos los usuarios o solo ciertos roles de usuario)
  • Deshabilitar la autenticación XML-RPC
  • Agregar reCAPTCHA en la página de inicio de sesión
  • Limitar los intentos fallidos de inicio de sesión (esto es parte del firewall)
  • Hacer cumplir contraseñas seguras

Cortafuegos de aplicaciones web

Wordfence también incluye su propio WAF . El equipo de Wordfence agrega continuamente nuevas reglas en tiempo real para adaptarse a las amenazas emergentes. También puede configurar cómo funciona el firewall, como incluir en la lista blanca ciertas direcciones IP y servicios.

También puede bloquear inmediatamente las direcciones IP que intentan acceder a ciertas URL sensibles. Y con la versión premium, puede bloquear países enteros con orientación geográfica.

Escaneos de seguridad

Finalmente, también obtiene escaneos detallados de malware. Estos escaneos pueden escanear todos los archivos en su servidor, así como verificar otros problemas de seguridad como:

  • Enlaces maliciosos en comentarios
  • Usuarios administradores recién creados
  • Temas o complementos desactualizados
  • Contraseñas débiles

Por lo tanto, es una especie de “análisis general de debilidades de seguridad de WordPress” que también incluye análisis de malware.

También obtiene reglas para configurar con qué frecuencia y con qué profundidad escanear, lo que puede ayudarlo a controlar los recursos del servidor que consumen sus escaneos.

Si está administrando muchos sitios de WordPress ( como sitios de clientes ), Wordfence también incluye una herramienta central de Wordfence que le permite administrar la seguridad de todos sus sitios desde una ubicación central. También puede crear plantillas de configuración de Wordfence que pueda aplicar rápidamente a nuevos sitios y recibir alertas cuando ocurra algo en cualquiera de sus sitios.

El complemento principal de Wordfence y la mayoría de las funciones son gratuitas. Sin embargo, hay una diferencia notable cuando se trata de las reglas que Wordfence usa para sus escaneos de firewall y malware.

Con la versión premium, obtienes actualizaciones en tiempo real de esas reglas. Entonces, tan pronto como Wordfence detecte una amenaza ( que es bastante proactiva ), Wordfence agrega de inmediato esas reglas a su sitio.

Sin embargo, con la versión gratuita, las actualizaciones de las reglas se retrasan 30 días.

Precio: Wordfence está disponible de forma gratuita en WordPress.org. La versión paga comienza en $ 99 para su uso en un solo sitio, con descuentos por volumen para un mayor número de sitios.

¿Es un complemento de seguridad de WordPress todo lo que necesita?

¡No! Ni por asomo.
Si bien todos estos complementos de seguridad ciertamente ayudan a proteger su sitio web, la seguridad de WordPress no es tan simple como instalar un complemento y llamarlo por día.

Eso no significa que los complementos de seguridad no sean útiles, solo significa que si no está haciendo bien las cosas pequeñas, incluso un complemento de seguridad no podrá salvarlo.

Una de las cosas más importantes que puede hacer es actualizar rápidamente el software principal de WordPress , sus complementos y su tema, especialmente para versiones de seguridad menores (por ejemplo, WordPress 5.4.X ).

Según el informe del sitio web pirateado de Sucuri en 2019 , aproximadamente la mitad de todos los sitios de WordPress ejecutaban una versión desactualizada del software principal cuando su sitio estaba infectado. Además, el 44% de los sitios web pirateados ejecutaban un complemento desactualizado.

Para resumir, las siguientes acciones son tan importantes, si no más importantes, que usar un complemento de seguridad de WordPress:

  • Actualización inmediata de su sitio y sus extensiones para lanzamientos de seguridad.
  • Tenga cuidado con las extensiones que elija (y nunca instale complementos anulados de fuentes cuestionables).
  • Usar contraseñas seguras, especialmente en cuentas de administrador.
  • Para obtener más consejos, consulte nuestra guía completa sobre cómo proteger su sitio de WordPress .

Y si no está seguro de qué complemento elegir, ciertamente no se equivocará con Wordfence como primera opción.

× Consúltanos Ahora