Los 8 mejores complementos de seguridad de WordPress para bloquear su sitio

WordPress funciona con más del 35% de todos los sitios web en Internet, lo que lo convierte en un objetivo jugoso para los actores maliciosos de todo el mundo.

Si desea proteger su sitio web o los sitios web de sus clientes, un complemento de seguridad dedicado puede hacer mucho del trabajo pesado por usted.

Para ayudarlo a elegir el mejor complemento de seguridad de WordPress para sus necesidades, hemos recopilado ocho excelentes opciones que pueden ayudarlo con el fortalecimiento de la seguridad, los firewalls y el escaneo de malware.

Vamos a profundizar, comenzando con una descripción general rápida de lo que realmente hacen la mayoría de los complementos de seguridad de WordPress.

La seguridad de WordPress es un tema bastante amplio, por lo que cuando digo "complemento de seguridad de WordPress", puede abarcar una variedad de características diferentes.

Entonces, antes de entrar en los complementos, repasemos cuáles son esas diferentes características de alto nivel para que sepa qué está haciendo cada una de estas herramientas.

El refuerzo de la seguridad básica es una especie de trampa para "cambios de configuración o herramientas que hacen que su sitio web de WordPress sea más seguro".

Por ejemplo, los complementos de seguridad generalmente lo ayudarán a proteger su página de inicio de sesión con características como:

• Limitar los intentos de inicio de sesión
• Autenticación de dos factores
• Cambiar la URL de inicio de sesión de WordPress
• Hacer cumplir contraseñas seguras
• Establecer vencimientos de contraseña
• Agregar un CAPTCHA

Todas esas son tácticas de endurecimiento.

Otras estrategias de refuerzo populares incluyen monitorear los archivos centrales de WordPress para detectar si se ha cambiado algo, deshabilitar funciones de WordPress como XML-RPC, detener la enumeración de usuarios, etc.

Otra táctica que verá que se menciona mucho es un firewall.

Básicamente, el firewall de un sitio web es algo que se encuentra entre su sitio de WordPress y sus visitantes. Los visitantes habituales no tienen problemas para usar su sitio, pero si el firewall detecta actividad maliciosa (a través de la dirección IP, acciones, etc.), bloqueará a ese visitante antes de que pueda causar un problema.

Con WordPress, verá esto llamado firewall de aplicaciones web o WAF.

Es importante tener en cuenta que no todos los firewalls son iguales. Es decir, solo porque dos complementos ofrecen un "firewall", eso no significa que esas herramientas sean automáticamente iguales porque un firewall es tan bueno como las reglas que sigue.

Algunos complementos de seguridad de WordPress, como Wordfence, actualizan constantemente sus reglas de firewall en tiempo real para adaptarse a las amenazas de seguridad emergentes. Otros son básicamente un conjunto de reglas estáticas que nunca cambian. Ambos pueden ser útiles, solo que uno será más efectivo para protegerlo de nuevos tipos de vulnerabilidades.

Otra parte popular de los complementos de seguridad de WordPress es el escaneo de malware. Probablemente esté familiarizado con este concepto al ejecutar escaneos en su propia computadora.

Básicamente, la herramienta escaneará su sitio en busca de códigos maliciosos y devolverá un informe de todo lo que encuentre.

Nuevamente, la efectividad del escaneo de malware depende de sus reglas y enfoque. Es decir, el hecho de que dos complementos realicen "escaneo de malware" no los hace iguales.

Primero, al igual que con los firewalls, existen diferencias en las reglas de detección. Un escáner de malware se basa en "firmas de malware" para identificarlo. Entonces, si su escáner de malware no tiene una firma para una amenaza emergente, es posible que no pueda detectarla.

En segundo lugar, tienes el enfoque. Algunos complementos / herramientas, como la popular herramienta Sucuri SiteCheck, solo escanean el front-end de su sitio. Esto puede atrapar malware que es detectable desde el front-end de su sitio web, pero no detectaría malware que acecha oculto en su servidor.

Para detectar malware que no se manifiesta en el front-end de su sitio, necesitaría usar un escáner de malware que escanee todos los archivos en su servidor.

Con esa introducción fuera del camino, vamos a ayudarlo a elegir el mejor complemento de seguridad de WordPress para sus necesidades.

Aquí están los ocho complementos que veremos:

1. Sucuri
2. Seguridad de iThemes
3. Todo en uno WP Security & Firewall
4. Seguridad a prueba de balas
5. Jetpack
6. SecuPress
7. Seguridad Cerber
8. Wordfence

Sucuri es otra herramienta de seguridad de sitios web popular. Sucuri consta de dos partes:

1. Un complemento gratuito en WordPress.org
2. Un servicio de limpieza de cortafuegos, monitoreo y piratería de pago

El complemento gratuito de WordPress.org lo ayuda principalmente con el refuerzo de seguridad básico.

Le dará varias reglas y consejos que puede aplicar, como deshabilitar el complemento en el tablero y la edición de temas y bloquear la ejecución de PHP en ciertos directorios confidenciales.

Otras características de seguridad incluyen la capacidad de:

• Supervisar la integridad de los archivos principales
• Seguimiento de intentos fallidos de inicio de sesión
• Reciba notificaciones de alerta de seguridad para diversas acciones.
• Enumere scripts e iframes en su sitio.

Más allá de eso, el complemento también viene con el servicio Sucuri SiteCheck para escaneo de malware. Sin embargo, es importante comprender que este servicio solo escanea el front-end de su sitio en busca de problemas; no escanea los archivos en su servidor como otros escaneos de malware. Tampoco necesita el complemento para usar esta herramienta; puede ejecutarlo desde el sitio web de Sucuri.

Para mayor seguridad, el complemento puede ayudarlo a conectarse al servicio de firewall de pago Sucuri. Este firewall es un WAF basado en la nube con reglas actualizadas regularmente del equipo de Sucuri. El firewall también le permite:

• Incluir en la lista blanca o en la lista negra ciertas direcciones IP
• Bloquear países enteros
• Proteja las áreas sensibles (como su panel de control / inicio de sesión de WordPress) con CAPTCHA, autenticación de dos factores o contraseñas adicionales.

El servicio de pago de Sucuri también puede ayudar a proteger su sitio de los ataques DDoS.

Precio: El complemento Sucuri es 100% gratuito. El firewall de Sucuri cuesta $ 19,98 por mes y toda la plataforma Sucuri (que incluye detección y limpieza de malware) cuesta $ 299,99 por año.

iThemes Security es un complemento de seguridad freemium de… iThemes, de ahí el nombre. Si no está familiarizado, iThemes es un desarrollador popular detrás de una variedad de complementos, incluido BackupBuddy. iThemes fue adquirido por Liquid Web en 2018.

iThemes Security se centra en el refuerzo de la seguridad de WordPress. Le permite conectarse al servicio Sucuri SiteCheck para la detección de malware de front-end, pero puede ejecutar esta función desde el sitio web de Sucuri, por lo que en realidad no es un escaneo de malware integrado.

No anuncia un firewall, pero incluye funciones que le permiten bloquear algunos bots y direcciones IP. También hay una función de "protección de la fuerza bruta de la red" que puede bloquear automáticamente las direcciones IP que han intentado usar la fuerza bruta en otros sitios de WordPress.

En cuanto al fortalecimiento de la seguridad, iThemes Security puede ayudarlo a proteger su proceso de inicio de sesión con características como:

• Limitar los intentos de inicio de sesión
• Cambiar la URL de inicio de sesión de WordPress
• Google reCAPTCHA (pagado)
• Autenticación de dos factores (de pago)
• Aplicación de contraseña segura
• Caducidad de la contraseña (de pago)

También ofrece un modo "Ausente" mediante el cual básicamente puede bloquear su sitio durante los momentos en que no accede a él.

Otras características de refuerzo de la seguridad incluyen:

• Detección de cambio de archivo
• Cambiar el prefijo de la base de datos
• Desactivar la edición de archivos en el tablero
• Registro de acciones del usuario ( pago )
• Cambiar la ruta del contenido de wp

Si necesita administrar varios sitios de WordPress, también tiene una integración con iThemes Sync.

Precio: Versión gratuita en WordPress.org. La versión paga comienza en $ 80.

All In One WP Security & Firewall es un popular complemento de seguridad de WordPress que es 100% gratuito.

Le ayuda a implementar un montón de características diferentes de refuerzo de la seguridad, como:

• Cambiar el prefijo de la base de datos de WordPress
• Supervisar los permisos de archivos
• Deshabilitar la edición de archivos en el tablero
• Supervisión de la integridad de los archivos
• Ocultar el número de versión de WordPress

También incluye funciones para asegurar su proceso de inicio de sesión, como:

• Limitar los intentos de inicio de sesión
• Forzar el cierre de sesión de los usuarios después de un cierto período de tiempo
• Agregue reCAPTCHA para la protección de inicio de sesión
• Incluir en la lista blanca ciertas direcciones IP
• Detener la enumeración de usuarios

También le dará un "medidor de fuerza de seguridad" para ayudarlo a mejorar la seguridad de su sitio.

All In One WP Security & Firewall incluye lo que llama un firewall, pero no es tan robusto como algo como Wordfence o Sucuri. Es más un conjunto de reglas estáticas: no se adapta a las amenazas emergentes como esos otros complementos.

Precio: 100% gratis en WordPress.org.

BulletProof Security es otra opción que ofrece un enfoque todo en uno para la seguridad de WordPress con:

• Endurecimiento
• Cortafuegos
• Escaneo de malware

La versión gratuita ofrece un endurecimiento básico como:

• Seguridad de inicio de sesión
• Cambiar el prefijo de la tabla de la base de datos
• Registro de seguridad
• Copia de seguridad de la base de datos

También incluye escaneo de malware en la versión gratuita, mientras que la versión paga incluye protección en tiempo real con AutoRestore | Sistema de prevención y detección de intrusiones en cuarentena de BulletProof Security (ARQ IDPS).

La versión paga también agrega otras características como:

• Monitoreo de base de datos y verificación diferencial
• Protección de carga
• Cortafuegos de complemento

La interfaz de usuario parece bastante anticuada y no es tan agradable como otras herramientas, pero BulletProof Security está bien considerado en lo que respecta a su eficacia.

Precio: Versión gratuita en WordPress.org. La versión paga comienza en $ 69.95.

Jetpack es un popular complemento todo en uno de Automattic, la misma gente detrás de WordPress.com y WooCommerce.

A diferencia de todos los demás complementos de esta lista, Jetpack no se centra solo en la seguridad de WordPress, sino que incluye muchas funciones de seguridad en sus planes gratuitos y de pago.

La versión gratuita ayuda a proteger su inicio de sesión de WordPress con protección de fuerza bruta y la opción de utilizar el inicio de sesión seguro de WordPress.com. Es decir, puede iniciar sesión en su propio sitio de WordPress utilizando sus credenciales de WordPress.com.

Con los planes pagos, también obtienes acceso a copias de seguridad y escaneos de malware (estas funciones se llamaban anteriormente VaultPress. Ahora, VaultPress se ha fusionado con Jetpack).

Las funciones de respaldo y escaneo están unidas, lo cual es parte de lo que las hace únicas. Con la mayoría de las herramientas de escaneo de malware, la herramienta escanea los archivos en su servidor de WordPress real. Esto es bueno para detectar malware, pero también consume recursos en el servidor de su sitio web en vivo.

Con Jetpack, Jetpack primero hace una copia de seguridad de su sitio en una ubicación fuera del sitio. Luego, escanea la copia de seguridad de su sitio en busca de malware, lo que significa que no afectará el rendimiento de su sitio web en vivo.

Como parte de sus escaneos, Jetpack busca:

• Cambios en los archivos principales de WordPress
• Conchas basadas en web
• Vulnerabilidades de TimThumb

Si Jetpack encuentra algo malicioso, puede ayudarlo a reparar el problema.

Precio: Algunas funciones están disponibles en la versión gratuita. El escaneo de malware está disponible en el plan Premium y superior, que comienza en $ 9 por mes. Esto también le da acceso a muchas otras funciones de Jetpack.

SecuPress es otro conocido plugin de seguridad de WordPress que viene tanto en versión gratuita como de pago.

SecuPress fue lanzado originalmente por WP Media, la misma compañía detrás del popular complemento WP Rocket. Sin embargo, WP Media luego cedió la propiedad al propietario actual (quien fue uno de los cofundadores de WP Media). Básicamente, esa es una forma larga de decir que verá algunas similitudes de diseño con WP Rocket, pero los dos ya no son la misma entidad.

Con la versión gratuita, puede:

• Bloquear direcciones IP y robots maliciosos
• Proteja su inicio de sesión de ataques de fuerza bruta
• Ocultar la página de inicio de sesión
• Oculte sus versiones de WordPress y WooCommerce
• Administrar XML-RPC y API REST
• Registra las acciones importantes del usuario

También obtienes un firewall en la versión gratuita.

La versión premium agrega características adicionales como:

• Autenticación de dos factores para asegurar su inicio de sesión
• Funciones antispam
• Copia de seguridad para base de datos y archivos
• Detección de temas o complementos con vulnerabilidades de seguridad conocidas
• Escaneo de malware PHP
• Bloqueo de país (geolocalización)
• Programación de tareas

Una característica destacada de SecuPress es la interfaz. Tiene la interfaz más agradable de todas las herramientas de esta lista, lo cual es especialmente bueno si sus clientes alguna vez la verán. Una vez más, definitivamente puedes ver la influencia de WP Rocket en la interfaz.

Precio: Versión gratuita en WordPress.org. La versión paga comienza en $ 65.

Cerber Security es otro popular complemento de seguridad todo en uno de WordPress que viene con:

• Endurecimiento de la seguridad
• Cortafuegos
• Escaneo de malware

En primer lugar, está repleto de reglas de refuerzo de la seguridad como:

• Cambiar la página de inicio de sesión de WordPress
• Deshabilitar PHP en la carpeta de cargas
• Detener la enumeración de usuarios
• Limitar los intentos de inicio de sesión
• Supervisión de la integridad de los archivos
• Autenticación de dos factores

También puede configurar reglas, como bloquear automáticamente cualquier dirección IP que intente iniciar sesión con un nombre de usuario inexistente. También puede crear políticas personalizadas basadas en roles, como requerir dos factores para los usuarios administradores y cerrar la sesión automáticamente después de un cierto período de tiempo.

Como parte del firewall, obtiene un inspector de tráfico en tiempo real donde puede ver todo lo que sucede en su sitio, incluido el monitoreo tanto de las sesiones registradas como de los visitantes. También obtienes reglas de bloqueo geográfico.

Finalmente, obtiene escaneos de malware, incluida la capacidad de programar escaneos para que se ejecuten automáticamente.

Si necesita administrar varios sitios, también incluye una función Cerber.Hub que le permite administrar varios sitios desde un panel. Este panel es autohospedado, a diferencia de Wordfence. Designará un sitio de WordPress como "Maestro" y luego "Esclavo" para otras instalaciones de ese panel maestro.

Precio: Versión gratuita en WordPress.org. La versión paga comienza en $ 99.

Primero, WordPress incluye toneladas de herramientas para ayudar con el fortalecimiento de la seguridad básica de WordPress, como:

• Deshabilitar la ejecución de código en el directorio de cargas
• Ocultar su versión de WordPress
• Detener la enumeración de usuarios

También obtiene una pestaña de Seguridad de inicio de sesión dedicada desde la que puede controlar las medidas de seguridad de inicio de sesión, como:

• Usar autenticación de dos factores (para todos los usuarios o solo para ciertos roles de usuario)
• Deshabilitar la autenticación XML-RPC
• Agregar reCAPTCHA en la página de inicio de sesión
• Limitar los intentos fallidos de inicio de sesión (esto es parte del firewall)
• Hacer cumplir contraseñas seguras

Wordfence también incluye su propio WAF . El equipo de Wordfence agrega continuamente nuevas reglas en tiempo real para adaptarse a las amenazas emergentes. También puede configurar cómo funciona el cortafuegos, como incluir en la lista blanca determinadas direcciones IP y servicios.

También puede bloquear inmediatamente las direcciones IP que intentan acceder a determinadas URL sensibles. Y con la versión premium, puede bloquear países enteros con segmentación geográfica.

Por último, también obtiene análisis detallados de malware. Estos escaneos pueden escanear todos los archivos en su servidor, así como también buscar otros problemas de seguridad como:

• Enlaces maliciosos en los comentarios
• Usuarios administradores recién creados
• Temas o complementos desactualizados
• Contraseñas débiles

Por lo tanto, es una especie de "escaneo general de debilidades de seguridad de WordPress" que también incluye escaneo de malware.

También obtiene reglas para configurar la frecuencia y la profundidad de escaneo, lo que puede ayudarlo a controlar los recursos del servidor que consumen sus escaneos.

Si administra muchos sitios de WordPress ( como sitios de clientes ), Wordfence también incluye una herramienta Wordfence Central que le permite administrar la seguridad de todos sus sitios desde una ubicación central. También puede crear plantillas de configuración de Wordfence que puede aplicar rápidamente a nuevos sitios y recibir alertas cuando algo sucede en cualquiera de sus sitios.

El complemento principal de Wordfence y la mayoría de las funciones son gratuitas. Sin embargo, hay una diferencia notable cuando se trata de las reglas que usa Wordfence para sus escaneos de firewall y malware.

Con la versión premium, obtiene actualizaciones en tiempo real de esas reglas. Entonces, tan pronto como Wordfence detecta una amenaza (sobre lo que es bastante proactivo ), Wordfence agrega inmediatamente esas reglas a su sitio.

Sin embargo, con la versión gratuita, esas actualizaciones de reglas se retrasan 30 días.

Precio: Wordfence está disponible de forma gratuita en WordPress.org. La versión paga comienza en $ 99 para su uso en un solo sitio, con descuentos por volumen para un mayor número de sitios.

¡No! Ni por asomo.

Si bien todos estos complementos de seguridad ciertamente ayudan a proteger su sitio web, la seguridad de WordPress no es tan simple como instalar un complemento y terminarlo.

Eso no significa que los complementos de seguridad no sean útiles, solo significa que si no está haciendo bien las pequeñas cosas, ni siquiera un complemento de seguridad podrá salvarlo.

Una de las cosas más importantes que puede hacer es actualizar rápidamente el software principal de WordPress , sus complementos y su tema, especialmente para versiones de seguridad menores (por ejemplo, WordPress 5.4.X ).

Según el informe de sitio web pirateado de Sucuri de 2019 , aproximadamente la mitad de todos los sitios de WordPress ejecutaban una versión desactualizada del software principal cuando su sitio estaba infectado. Además, el 44% de los sitios web pirateados ejecutaban un complemento desactualizado.

En pocas palabras, las siguientes acciones son tan importantes, si no más importantes, que usar un complemento de seguridad de WordPress:

• Actualice rápidamente su sitio y sus extensiones para las versiones de seguridad.
• Tenga cuidado con las extensiones que elija (y nunca instale complementos anulados de fuentes cuestionables).
• Usar contraseñas seguras, especialmente en cuentas de administrador.

Para obtener más consejos, consulte nuestra guía completa sobre cómo proteger su sitio de WordPress .

Y si no está seguro de qué complemento elegir, ciertamente no se equivocará con Wordfence como primera opción.