Sabes que hay un mundo desagradable ahí fuera con actores maliciosos que están deseando poner sus sucias manos en tu sitio web de WordPress. También sabe que probablemente debería hacer «algo» para mantener su sitio de WordPress a salvo de todos esos malvados.

Lo que quizá no sepa es qué es ese «algo».

No se preocupe: para asegurar su sitio de WordPress no es necesario que sea un gurú de la programación como los que se ven en los programas de televisión. Pero usted querrá algunos plugins y herramientas de seguridad de WordPress para hacer el trabajo.

Eso es lo que voy a compartir con usted en este post.

Cubriré ocho de los mejores plugins y herramientas de seguridad de WordPress, junto con los pros y los contras de cada herramienta. Entonces, al final, voy a tratar de ayudarle a elegir el conjunto adecuado de herramientas basadas en su propia situación única.

Pero primero, permítanme comenzar con una advertencia rápida…

La seguridad de WordPress no es sólo acerca de los plugins y herramientas

Todos los plugins y herramientas de seguridad en esta lista le ayudará a hacer WordPress más seguro. Pero no eliminan la necesidad de acción por tu parte.

Piensa en ellos como si llevaras un casco de moto. Claro – los cascos de motocicleta le ayudarán a protegerse en un accidente, pero no son una licencia para salir y conducir imprudentemente.

Estas herramientas son así. Te dan una protección muy necesaria, pero sigues necesitando conducir con seguridad si quieres estar a salvo y seguro.

Entonces, ¿qué es «conducir con seguridad» en el mundo de WordPress? Me refiero a cosas realmente sencillas como:

  • Actualizar puntualmente el software, los plugins y los temas de WordPress
  • Utilizar una contraseña segura para tu cuenta de administrador de WordPress y para tu cuenta de alojamiento web
  • Utilizar sólo temas y plugins de desarrolladores/fuentes de confianza
  • Hacer copias de seguridad de tu sitio de forma regular

Estos consejos pueden parecer demasiado simplistas, pero hacer esas cuatro cosas por sí solas le ayudará a protegerse de la mayoría de los problemas de seguridad de WordPress.

Luego, para proteger su sitio de todo lo demás, puede utilizar estos plugins y herramientas de seguridad de WordPress.

Algunos términos clave de seguridad explicados antes de profundizar

Aunque estos plugins y herramientas hacen las cosas bastante simples, la seguridad de WordPress todavía incluye un montón de términos con los que podría no estar familiarizado.

Para ayudarle a entender lo que estas herramientas están haciendo realmente, quiero explicar algunos de los términos más comunes que usted verá en el resto del post.

En primer lugar, usted verá la palabra cortafuegos vienen mucho (también conocido como WAF: cortafuegos de aplicaciones web). Para su sitio de WordPress, un firewall básicamente se sitúa entre el servidor de su sitio y todo el tráfico entrante. Debido a que ocupa esta posición, es capaz de inspeccionar y filtrar a los actores maliciosos antes de que lleguen a su servidor.

Sin embargo, no todos los cortafuegos son iguales. Y la eficacia del cortafuegos que elija depende de las reglas y configuraciones que el proveedor de cortafuegos establezca.

Otro término es el de escaneo de malware, con el que probablemente esté más familiarizado. Al igual que usted escanea su propio ordenador en busca de virus y malware, muchas de estas herramientas pueden escanear el servidor de su sitio de WordPress en busca de malware.

Por último, voy a lanzar el término endurecimiento de la seguridad alrededor de un montón. Estos son básicamente pequeños ajustes que, cuando se ponen juntos, ayudan a hacer su sitio más seguro.

Con ese conocimiento en la mano, vamos a cavar en los plugins.

MalCare

MalCare es un plugin de seguridad para WordPress que, como probablemente puedes adivinar por su nombre, se centra en la detección y eliminación de malware.

Una de las cosas que me gusta de MalCare en comparación con algo como Wordfence es que MalCare hace su análisis en sus propios servidores. El escaneo de malware es un proceso bastante intensivo, por lo que si un plugin está haciendo los escaneos en su servidor en vivo, puede ralentizar su sitio mientras el escaneo se está ejecutando.

MalCare soluciona eso mediante el uso de sus propios servidores para hacer el escaneo.

También está generalmente construido para atrapar el malware que otros plugins no lo hacen. Y si atrapa algo, ofrece la eliminación de malware con un solo clic para deshacerse del archivo ofensivo.

MalCare también incluye un firewall, pero no creo que sea de tan alta calidad como lo que se obtiene con Sucuri, por lo que todavía recomendaría usar el firewall de Sucuri en su lugar si puedes pagar el precio.

Además de eso, también ofrece algunos refuerzos de seguridad básicos como:

  • para su página de inicio de sesión
  • Limitar los intentos de inicio de sesión
  • Desactivar la edición de archivos
  • Desactivar la ejecución de archivos en la carpeta de subidas

En general, sin embargo, creo que la única propuesta de venta de MalCare es el escaneo de malware fuera del servidor. También le permite gestionar varios sitios desde un único panel, lo cual es otra buena ventaja.

Precio: Comienza en $99/año

Wordfence

Wordfence es el nombre más grande en la seguridad de WordPress, especialmente cuando se trata de soluciones todo en uno. Está activo en más de dos millones de sitios mientras mantiene una impresionante calificación de 4,8 estrellas en más de 3.000 comentarios.

Basta decir que a mucha gente le gusta.

¿Por qué es tan popular?

En primer lugar, viene en una generosa versión gratuita (así como una versión premium).

En segundo lugar, ofrece un enfoque todo en uno para la seguridad de WordPress.

A nivel general, incluye un cortafuegos de aplicaciones web para filtrar y bloquear el tráfico malicioso, así como un escáner de malware integrado para comprobar sus archivos en busca de malware, puertas traseras y otras inyecciones maliciosas.

Tanto la versión gratuita como la Pro incluyen estas dos características principales, pero la versión Pro ofrece un enfoque más en tiempo real para ambos. Por ejemplo, el cortafuegos de la versión Pro recibe actualizaciones de las reglas del cortafuegos en tiempo real, mientras que la versión gratuita sólo se actualiza cada 30 días.

De forma similar, el análisis de malware de la versión Pro actualiza sus firmas en tiempo real, mientras que la versión gratuita se retrasa 30 días.

Así que si quieres protección contra los exploits más punteros, es mejor que te decantes por la versión Pro.

Además de esas amplias protecciones, también hace muchos de los pequeños ajustes que pueden endurecer aún más tu sitio. Me refiero a cosas como:

  • Autenticación de dos factores para asegurar el inicio de sesión
  • Notificaciones de actualización
  • Alertas por correo electrónico para acciones importantes, como el inicio de sesión de una cuenta de administrador
  • Limitar los intentos de inicio de sesión (bloquear automáticamente a los usuarios que introducen contraseñas/nombres de usuario incorrectos demasiadas veces)
  • Forzar contraseñas fuertes

Precio: Gratis en WordPress.org. La versión Pro cuesta a partir de 99 dólares al año, aunque se obtienen descuentos por la compra de varios años a la vez.

iThemes Security

iThemes Security es otra popular solución de seguridad «todo en uno» que viene en versión gratuita y premium.

iThemes Security no incluye un cortafuegos como Wordfence, pero sí ofrece escaneo de malware.

Más allá del escaneo de malware, también viene con un montón de pequeños ajustes de seguridad para endurecer su sitio de WordPress.

En primer lugar, hace una serie de cosas para proteger su página de inicio de sesión como:

  • Ocultar la página de inicio de sesión.
  • Bloquear a los anfitriones/usuarios con demasiados intentos fallidos de inicio de sesión para protegerlos de los ataques de fuerza bruta.
  • Forzar contraseñas seguras para todas las cuentas de usuario.
  • Renombrar la cuenta «admin» si se sigue usando admin como nombre de usuario.
  • Eliminar los mensajes de error de inicio de sesión.
  • Ofrecer autenticación de dos factores (Pro).

Luego, hay muchos otros pequeños ajustes, muchos de los cuales verás en las guías de seguridad de WordPress:

  • Desactivar la edición de archivos en el tablero.
  • Quitar las notificaciones de actualización para usuarios no autorizados.
  • Cambiar el prefijo de la base de datos de WordPress.
  • Cambiar la ruta de wp-content.
  • Registrar las acciones del usuario.

Si quieres usar iThemes Security, los desarrolladores recomiendan emparejarlo con el firewall para WordPress de Sucuri, que veremos a continuación.

Precio: Gratis en WordPress.org. La versión Pro cuesta a partir de 80 dólares al año.

Sucuri

Sucuri es una popular solución de seguridad para sitios web que tiene dos productos diferentes que ayudan con la seguridad de WordPress:

  • Un plugin gratuito
  • Un servicio de firewall de pago

Puedes emparejar ambos juntos, o puedes optar por usar sólo uno de ellos (o emparejar el firewall con un plugin diferente, como iThemes security).

El plugin de Sucuri

El plugin de seguridad de Sucuri está disponible de forma gratuita en WordPress.org. No incluye la funcionalidad del cortafuegos, pero hace mucho para mantener tu sitio seguro (y puede ayudarte a integrar el cortafuegos, si optas por pagarlo).

En primer lugar, incluye auditoría de actividad y monitorización de la integridad de los archivos. Básicamente, estas dos características le ayudan a monitorear lo que está sucediendo en su sitio. Por ejemplo, la auditoría de actividad puede mostrarte los intentos fallidos de inicio de sesión y la supervisión de la integridad de los archivos puede decirte si alguno de tus archivos principales de WordPress ha sido modificado.

Además de eso, el plugin incluye un escaneo básico de malware. Esta funcionalidad es esencialmente una implementación en el tablero del escáner gratuito SiteCheck de Sucuri. Como tal, es más limitado que muchas otras soluciones y no será capaz de atrapar todo el malware.

Por último, el plugin de Sucuri también incluye algunos ajustes básicos de seguridad de WordPress, como el bloqueo de archivos PHP en el directorio de subidas y la desactivación de la edición de archivos en el tablero.

Precio: Gratis en WordPress.org

Sucuri Firewall

Mientras que el plugin de Sucuri se ocupa de la monitorización y el endurecimiento básico, el servicio Firewall de Sucuri bloquea proactivamente las amenazas antes de que se produzcan y también te protege de los ataques DDoS.

Además de bloquear bots maliciosos y exploits conocidos, Sucuri también utiliza su gran red y aprendizaje automático para mejorar constantemente sus reglas de firewall y proteger su sitio de exploits recién descubiertos.

Además, Sucuri le permite crear sus propias reglas de firewall. Por ejemplo, puede hacer que Sucuri restrinja el acceso a su panel de control de WordPress a un conjunto específico de direcciones IP de la lista blanca.

Como una pequeña bonificación, el Firewall Sucuri también incluye una CDN para acelerar su sitio, aunque eso no tiene realmente nada que ver con la seguridad de WordPress.

Precio: 199,99 dólares/año para el plan Básico, 299,99 dólares/año para el plan Pro.

WebARX

WebARX es un servicio relativamente nuevo que añade un firewall seguro a sus sitios web, así como algunas otras características.

No es específico para WordPress, pero incluye un plugin de WordPress para facilitar la configuración.

Una de las cosas buenas de WebARX es que facilita la supervisión de todos sus sitios web desde un único panel de control. Así que si usted tiene un montón de sitios más pequeños repartidos, esta es una manera conveniente de mantener un ojo en todos ellos desde un solo lugar.

Además del cortafuegos para proteger su sitio de los ataques y los robots maliciosos, WebARX también incluye el tiempo de actividad y la supervisión de desfiguración. Si su sitio se cae o es desfigurado, puede recibir una notificación por correo electrónico o Slack. De nuevo, esto es útil si tienes un montón de sitios pequeños que no compruebas tan a menudo.

Precio: Comienza en 14,99 dólares al mes, ahorra un 15% con una suscripción anual.

VaultPress (parte de Jetpack)

VaultPress es un servicio de copia de seguridad y protección de Automattic, la misma empresa detrás de WordPress.com. Es parte de los planes de pago de Jetpack, por lo que también tendrás acceso a todas las demás características premium de Jetpack si eliges VaultPress.

Al igual que MalCare, una de las cosas buenas de VaultPress es que hace su escaneo de seguridad en sus propios servidores, lo que garantiza que nunca haya ningún impacto en el rendimiento de tu sitio web.

Así es como funciona:

Todos los días, VaultPress hace una copia de seguridad de tu sitio en sus servidores seguros. Luego, escanea los archivos que acaba de respaldar en busca de malware u otras infiltraciones.

En el plan de nivel más alto, VaultPress también puede arreglar automáticamente cualquier problema de seguridad que descubra (aunque el nivel más barato sólo admite la «resolución manual»).

En general, VaultPress es una buena opción si quieres algo que combine el escaneo de seguridad con las copias de seguridad. Sin embargo, es posible que desee una solución de firewall por separado.

Precio: El plan Security Daily cuesta 11,40€/mes o 9,55€/mes (facturado anualmente).

Cloudflare

Cloudflare es comúnmente considerado como una herramienta para aumentar el rendimiento debido a su funcionalidad CDN. Y no me malinterpretes: es una buena opción para acelerar tu sitio de WordPress.

Pero como Cloudflare actúa como un proxy inverso, también es una gran herramienta para asegurar tu sitio de WordPress. Esencialmente, un proxy inverso se sitúa entre los navegadores de sus visitantes y el servidor de su sitio web y dirige el tráfico, lo que le permite filtrar a los actores maliciosos.

El plan gratuito de Cloudflare ofrece seguridad básica en forma de protección contra DDoS y protección contra amenazas basada en la reputación (bloquea las amenazas maliciosas conocidas para que no accedan a su sitio).

Si está dispuesto a pagar, a través de, los planes de pago de Cloudflare incluyen un cortafuegos de aplicaciones web, así como reglas de listas blancas de IP.

Si ya está utilizando Cloudflare por sus características de mejora del rendimiento, es posible que desee considerar la actualización a los planes de pago para aprovechar el cortafuegos de aplicaciones web.

Precio: Gratis con seguridad básica. Los planes de pago con el firewall comienzan en $20 por mes

Login No re

Login No re es una solución mucho más pequeña que todos los otros plugins. Mientras que las otras herramientas se centran en cortafuegos, escaneo de malware, y otros grandes ajustes, Login No re realmente sólo hace una cosa:

Añadir la protección de Google re a su página de inicio de sesión.

Esta es una manera fácil de proteger su página de inicio de sesión de los ataques de fuerza bruta y mantener fuera a los usuarios no autorizados.

Algunos plugins de seguridad todo-en-uno ya añaden esta funcionalidad (por ejemplo, iThemes Security). Pero si usted opta por no utilizar una de esas soluciones todo-en-uno, todavía debe considerar Login No re para bloquear su página de inicio de sesión.

Precio: 100% gratis

¿Cuál de estos plugins y herramientas de seguridad de WordPress son adecuados para sus necesidades?

Seguramente no querrá utilizar todos estos plugins y herramientas de seguridad en su sitio. Entonces, ¿cuáles debe elegir? ¿Cómo construyes tu pila de seguridad?

Bueno, antes de hacer tu elección, te recomiendo que compruebes lo que ya hace tu host de WordPress. Algunos hosts – especialmente los hosts de WordPress gestionados – podrían ya implementar cortafuegos y escaneo de malware para usted a nivel de servidor. Así que si ese es el caso, no hay necesidad de duplicar sus esfuerzos.

Una vez que sepa lo que su anfitrión ya está haciendo, aquí hay algunos consejos para la elección de sus soluciones.

Si usted quiere un firewall de sitio web, Sucuri Firewall es la mejor opción para los sitios de misión crítica, mientras que MalCare ofrece una versión más asequible con un tablero de instrumentos que hace que sea fácil de administrar varios sitios.

Si quieres un escaneo de malware, MalCare y VaultPress son grandes opciones porque no ejecutan escaneos en tu servidor.

También puedes combinar un firewall y un plugin de escaneo de malware. Por ejemplo, puede utilizar WebARX para los cortafuegos y MalCare para el escaneo de malware. Aunque Malcare ofrece técnicamente un cortafuegos, no es el punto fuerte del servicio. Es por eso que es mejor desactivar el firewall basado en plugins de Malcare y emparejarlo con algo como WebARX o Sucuri.

Si su anfitrión ya ha implementado los firewalls y el escaneo de malware para usted, puede omitir esos plugins, pero todavía recomendaría añadir algo como Login No re para bloquear su página de inicio de sesión. Sin embargo, Wordfence y WebARX tienen esta característica incorporada por lo que no requieren un plugin adicional.

Por último, tienes los plugins de seguridad todo-en-uno como Wordfence y iThemes Security. Estos plugins hacen que la seguridad sea realmente simple, lo cual es bueno. Pero debido a que siempre están en funcionamiento en su servidor, también pueden ralentizar su sitio, lo cual es malo.

Por esa razón, yo personalmente no los uso y prefiero escoger y elegir las características específicas de seguridad que quiero.

Dicho esto, reconozco su beneficio desde el punto de vista de la simplicidad.

Nota: Wordfence y iThemes Security no deben ser utilizados juntos. Si usted decide ir por la ruta de «todo-en-un plugin de seguridad» – sólo tiene que utilizar uno.

Así que si usted se siente abrumado por todas estas opciones y sólo quiere algo que es fácil de usar a la derecha de la caja, los dos son ciertamente opciones sólidas. Pero prestar mucha atención a los tiempos de carga de su sitio antes y después de asegurarse de que no hay ralentización notable.

Disclosure: Este post contiene enlaces de afiliados. Esto significa que podemos hacer una pequeña comisión si usted hace una compra.

831Shares

Deja una respuesta

Tu dirección de correo electrónico no será publicada.