La seguridad de WordPress es como una bomba de tiempo. Nunca se sabe cuándo va a explotar. Miles de sitios de WordPress son hackeados cada día. Es un tema serio que debería ser cortado de raíz antes de que se convierta en una amenaza.

Hay dos formas principales de proteger su sitio de WordPress: primero, opte por un servicio de alojamiento seguro con un historial probado de seguir las mejores prácticas de la industria. Segundo, refuerce la seguridad de su sitio con un servicio de seguridad dedicado a terceros.

Con la seguridad de WordPress, Wordfence y Sucuri son dos de las opciones más populares. Ambos vienen con un robusto conjunto de características de seguridad para mantener su sitio web seguro. En muchos sentidos, son iguales, pero diferentes.

¿Wordfence o Sucuri? Si se pregunta cuál de estos dos será el adecuado para su sitio web, este artículo le ayudará a decidir. Los he usado extensamente para compararlos 1 por 1a base de varias características, rendimiento, precio y el valor total que ofrecen.

Puede usar esta información para elegir la opción más adecuada.

¿Suena bien? ¡Empecemos!

Introducción a la seguridad de WordPress

WordPress es el sistema de gestión de contenidos (CMS) más popular del mundo. Es tan popular que da cobertura a más del 35% de los sitios web. ¡Y con la gran popularidad vienen grandes problemas!

WordPress está bajo constante amenaza de los hackers. Según un informe de GoDaddy Security, el 90% de todas las plataformas CMS hackeadas en 2018 fueron sitios de WordPress. Sólo Google pone en la lista negra 10.000 sitios web cada día para alojar y difundir malware, y estos sitios en la lista negra pueden perder hasta el 95% de su tráfico orgánico.

Estadísticas de seguridad de WordPress
Estadísticas de seguridad de WordPress

El 41% de los sitios de WordPress hackeados se deben a vulnerabilidades en la plataforma de alojamiento. Por lo tanto, puede evitar muchos problemas con una plataforma de alojamiento seguro de WordPress desde el principio.

Aún más sorprendente es que el 60% de las pequeñas empresas cierran dentro de los 6 meses de un ataque cibernético. Dado que la gran mayoría de los intentos de piratería informática se dan en pequeñas y medianas empresas, asegurar su sitio web es mucho más crítico.

¿Cómo los hackers violan los sitios de WordPress?

Sólo el 36,7% de los sitios de WordPress hackeados fueron causados por versiones vulnerables anticuadas de WordPress. Los principales vectores de ataque de los sitios de WordPress son sus componentes extensibles, es decir, los plugins y los temas.

Cómo se compromete WordPress
¿Cómo se compromete WordPress? (Fuente de la imagen: Wordfence)

 

¡Los plugins son especialmente el mayor riesgo! Como se señala en el artículo de seguridad de WordPress de Kinsta, los plugins con vulnerabilidades conocidas y desconocidas constituyen la mayor parte de los hackeos de WordPress. Un estudio de Wordfence encontró que representan el 55,9% de todas las puertas traseras conocidas.

Los ataques de fuerza bruta para adivinar contraseñas débiles son el siguiente gran vector de ataque, constituyendo el 16,1% del total de los intentos de piratería. El mismo estudio encontró otra estadística impactante: el 61,5% de los propietarios de sitios web hackeados ni siquiera sabían que su sitio estaba comprometido.

¿Cómo asegurar su sitio de WordPress?

Hay tres pasos importantes para mantener su sitio de WordPress a salvo de los ataques cibernéticos:

Los 3 pilares de la seguridad en la web
Los 3 pilares de la seguridad en la web

Prevención

Tanto si se trata de una enfermedad biológica como de un malware digital, ¡prevenir siempre es mejor que curar!

Mientras que WordPress es gratis, el costo de construir un sitio de WordPress, y luego asegurar y mantenerlo, no lo es. Pero tristemente, la seguridad está a menudo en el fondo de las prioridades cuando se construye un sitio web.

El equipo central de WordPress hace un gran trabajo en mantener WordPress seguro. Pero como se mencionó anteriormente, la mayoría de los hackeos de WordPress no son resultado de su software principal.

La prevención se centra en mantener el código malicioso fuera de sus sitios de WordPress. Normalmente se hace a través de cortafuegos, programas antivirus, soluciones de filtrado de correo electrónico, protecciones contra ataques DDoS y bots malos, etc.

Detección

La detección se centra en estar al tanto de los incidentes de seguridad tan pronto como suceden, para que pueda actuar de inmediato y asegurar su sitio web antes de que se produzca un daño significativo.

Incluye herramientas como sistemas de detección de intrusos, escaneo de redes, monitoreo de integridad, etc.

Muchos propietarios de sitios de WordPress hackeados ni siquiera saben que la seguridad de su sitio está siendo violada. Por lo tanto, es fundamental contar con sistemas de detección sólidos, especialmente a nivel de hospedaje. Los plugins de seguridad como Sucuri o Wordfence son grandes complementos.

Respuesta y recuperación

¡Esperemos lo mejor, pero siempre preparémonos para lo peor! Respuesta y Recuperación se centra en abordar los incidentes de seguridad de manera rápida y eficiente.

Un buen proceso de recuperación no sólo debe limpiar después de un ataque, sino también incluir una copia de seguridad y características forenses. Esto asegura que se detengan incidentes similares en su camino antes de que ocurran.

Esta es una de las principales razones por las que debe realizar una investigación exhaustiva del compromiso de su empresa de alojamiento con la seguridad antes de firmar con ellos. Por ejemplo, si su sitio de WordPress es hackeado mientras está alojado en Kinsta, los especialistas en seguridad de Kinsta trabajarán con usted para identificar y eliminar el malware.

Los servicios de seguridad como Sucuri o Wordfence ofrecen servicios de respuesta a incidentes como parte de sus paquetes profesionales.

Sucuri contra Wordfence

Tanto Sucuri como Wordfence le ayudan a asegurar su sitio de WordPress, pero su enfoque es diferente. Aquí un rápido enfrentamiento entre ellos:

Sucuri Wordfence
Precios de los cortafuegos (WAF) Comienza en 9,99 dólares al mes Comienza en 99 dólares al año
Precios de la eliminación de malware Comienza en $199.99/año – limpiezas ilimitadas 179 dólares por limpieza
Plugin gratuito disponible
Cortafuegos de aplicaciones web (WAF) Sí, pero sólo para clientes Premium Sí, es gratis.
Escaneo de integridad del sitio web
Soporte para certificados SSL (en WAF) No
Protección contra ataques DDoS No
Prevención de la explotación de día cero No
CDN para mejorar el rendimiento No
Plataforma basada en la nube Sí, el escaneo remoto No
Plataforma autoalojada No Sí, escaneo local
Ajustes de seguridad del sistema No

La tabla anterior cubre las diferencias clave entre Sucuri y Wordfence. Ahora, vamos a cavar más profundo!

Revisión de Sucuri

Sucuri Security es un plugin de seguridad gratuito para WordPress
Sucuri Security es un plugin de seguridad gratuito para WordPress

Introducción a Sucuri

Sucuri es una herramienta de seguridad de sitios web en la nube para asegurar los sitios web. Filtra todo el tráfico de su sitio web antes de que llegue a su servidor de alojamiento.

Sus características principales incluyen la detección de malware, el control de integridad y el refuerzo de la seguridad. Sucuri escanea todo remotamente, por lo que no realiza ningún escaneo profundo a nivel de servidor.

Sucuri promete proteger los sitios web, mejorar el rendimiento, vigilar los indicadores de los piratas informáticos y ofrecer apoyo ilimitado para los incidentes de seguridad (sólo para los usuarios premium).

Sucuri Security tiene una calificación de 4,4 estrellas con más de 600.000 instalaciones activas
Sucuri Security tiene una calificación de 4,4 estrellas con más de 600.000 instalaciones activas

Debe tener en cuenta que Sucuri no es una bala de plata para todas las necesidades de seguridad de su sitio web. Está diseñado para complementar la seguridad existente en la web. Sin embargo, Sucuri le proporciona muchas herramientas para reducir los riesgos, dándole una mayor tranquilidad y una mayor conciencia de seguridad.

¿Cómo funciona Sucuri?

Cuando se habla de cómo funciona Sucuri, es mejor diferenciar entre sus tres niveles:

  1. Sucuri Security es un plugin gratuito que viene con las características de seguridad estándar de WordPress. La versión gratuita del plugin no incluye un cortafuegos.
  2. El Sucuri Firewall (WAF) es un servicio de pago que se puede integrar con el plugin gratuito de seguridad de Sucuri. También puede usar el firewall sin el plugin. Incluye funciones de protección de sitios web como el cortafuegos de aplicaciones web (WAF), CDN para la optimización del rendimiento, equilibrio de carga para alta disponibilidad, sistema de detección de intrusos (IDS), mitigación de DDoS y una serie de otras herramientas.
  3. Sucuri Platform es un conjunto de servicios de seguridad de primera calidad basados en la nube. Incluye todo lo que se incluye en el Sucuri Firewall, además de otras características importantes como el monitoreo, la detección y la respuesta a incidentes. Al registrarse en la Plataforma Sucuri, puede pedir al equipo de Sucuri que «elimine todo el malware y las advertencias de la lista negra» de su página web.
Cómo funciona el Sucuri Web Application Firewall (WAF)
¿Cómo funciona el Sucuri Web Application Firewall? (WAF)

Para una mejor comprensión, aquí hay un breve video de Sucuri en el trabajo:

Sucuri rastrea cada cambio en su sitio web y guarda los registros en sus propios servidores de nube. Puede auditar estos registros para saber exactamente qué salió mal y dónde. Esto ayuda a solucionar los problemas de seguridad de forma rápida y eficiente.

Configuración y características de seguridad disponibles

Puede dividir las ofertas de Sucuri WordPress en dos productos principales: un plugin gratuito llamado Sucuri Security, y un Firewall Sucuri (WAF) premium basado en la nube.

Veamos primero el plugin gratuito.

El panel de seguridad de Sucuri tiene una interfaz sencilla que le da una vista de ojo de águila de sus controles de seguridad.

Su principal tarea es notificarle sobre la integridad de sus archivos centrales de WordPress. Le mostrará una advertencia si encuentra algún archivo central comprometido. Entonces puede tomar una acción apropiada: reemplazar los archivos infectados con los originales o marcarlos como falsos positivos.

En la pestaña de registros de auditoría aquí, encontrará todos los cambios que han ocurrido en su sitio web. Asimismo, en las pestañas iFrames, Enlaces y Scripts, puede encontrar cada instancia de scripts y enlaces en su sitio web.

El tablero de seguridad de Sucuri. Observe la advertencia en la parte superior derecha
El tablero de seguridad de Sucuri. Observe la advertencia en la parte superior derecha

En mi caso, la advertencia fue un falso positivo. Así que lo marqué como arreglado manualmente. Sucuri recordará este arreglo la próxima vez que realice un escaneo.

Puedes enseñar a Sucuri a ignorar las falsas advertencias positivas
Puede enseñar a Sucuri a ignorar las falsas advertencias positivas

El panel de configuración tiene muchas pestañas para personalizar la forma en que Sucuri protege su sitio web. En la pestaña Configuración general, puede encontrar su clave de API, directorios de almacenamiento de datos y otras configuraciones como Exportador de registros, Proxy inverso, Descubridor de direcciones IP y Anulación de zona horaria.

También puede importar o exportar la configuración general de Sucuri desde aquí.

La pestaña de Configuración General en Sucuri Security
La pestaña de Configuración General en Sucuri Security

A continuación, pasemos a la pestaña del escáner. Aquí, puede ver las tareas programadas de Sucuri, la configuración de la Utilidad de Diferenciación de Integridad de WordPress (para comparar los archivos de su servidor con los originales), y una lista de Falsos Positivos.

Si quiere ignorar ciertos archivos y carpetas en su servidor desde el escaneo de Sucuri, puede establecerlos aquí. Esta herramienta es útil para ignorar los archivos y carpetas no relacionados con el código que pueden ser demasiado pesados para ser analizados, como las carpetas con numerosos archivos multimedia, copias de seguridad, etc.

Establezca la configuración del escáner desde aquí
Establezca la configuración del escáner desde aquí

La pestaña de Hardening  le permite aplicar un conjunto de métodos estándar de endurecimiento de seguridad de WordPress y PHP. Pero puede usar la configuración de Archivos PHP Bloqueados en la Lista Blanca para omitir ciertos archivos PHP de estas rígidas restricciones.

Aplicando las normas estándar de seguridad
Aplicando las normas estándar de seguridad

En caso de un ataque o una brecha, la pestaña de Post-Hack será muy útil. Aquí puede actualizar las claves secretas, restablecer la contraseña de usuario, reiniciar los plugins instalados y aplicar cualquier actualización de plugins y temas disponibles.

Herramientas rápidas para reforzar la seguridad si has sido hackeado.
Herramientas rápidas para reforzar la seguridad si ha sido hackeado.

La pestaña de Alertas le permite configurar destinatario de las Alertas, Direcciones IP de confianza, Asunto de la Alerta, Alertas por hora. Puede establecer qué tipo de Alertas de Seguridad activarán el mecanismo de alerta, y qué tipos ignorará (normalmente los de los plugins de terceros). Esta es una gran característica de detección para tener.

Sucuri Security le permite personalizar las alertas
Sucuri Security le permite personalizar las alertas

La pestaña de comunicación de servicios de la API es simple y directa. Es principalmente para que los desarrolladores accedan al servicio API remoto de Sucuri.

Comuníquese con el servicio API remoto de Sucuri desde aquí
Comuníquese con el servicio API remoto de Sucuri desde aquí

Por último, la pestaña de Información del Sitio Web enumera casi todo lo que quiere saber sobre su sitio web y el servidor en el que está alojado. Aquí, en la sección de Integridad de Archivos de Acceso, puede comprobar la integridad de su archivo .htaccess.

Esto no debería ser una preocupación si su sitio es alimentado por una plataforma de alojamiento administrado como Kinsta, ya que Kinsta no utiliza cPanel y utiliza su propio panel de usuario personalizado llamado MyKinsta.

La pestaña de Información del Sitio Web lista las especificaciones de su sitio y servidor
La pestaña de Información del Sitio Web lista las especificaciones de su sitio y servidor

El cortafuegos basado en la nube de Sucuri es un servicio premium. Es genial filtrar el tráfico de basura, los ataques DDoS y los bots malos.

Puede hacer su magia incluso sin el plugin (es la forma recomendada). Sólo tiene que apuntar el DNS de su host hacia sus servidores de nombre.

Sucuri WAF protege sus sitios de ataques maliciosos
Sucuri WAF protege sus sitios de ataques maliciosos

Lea la guía detallada de Kinsta sobre el Sucuri Firewall para entender más sobre todas sus características.

La mayoría de los hosts web, incluyendo Kinsta, tienen características de seguridad adicionales para bloquear y/o filtrar las direcciones IP de spam y los bots malos. Kinsta incluso tiene ajustes de seguridad disponibles para permitir la limitación de IP.

Sin embargo, un servicio profesional de WAF como Sucuri, cuyo modelo de negocio se centra principalmente en eliminar el tráfico malo, proporcionará un control más granular.

No es raro que los usuarios se registren en el cortafuegos basado en la nube de Sucuri como copia de seguridad y cambien a él sólo en caso de un ataque. Sucuri hace que sea super fácil hacer eso.

Los CDN POPs de Sucuri se colocan en todo el mundo
Los CDN POPs de Sucuri se colocan en todo el mundo (Fuente de la imagen: Sucuri)

Considerando todas las cosas, Sucuri es más que un simple plugin de seguridad o un cortafuegos. Es una completa solución de seguridad web para mantener sus sitios protegidos de prácticamente cualquier ataque malicioso.

Facilidad de uso

Sucuri es simple de usar. La interfaz de usuario está en el punto. Si Sucuri le recomienda aplicar cualquier configuración de refuerzo de seguridad, sólo hace falta un clic para activarla.

Una vez que instale el plugin, necesita generar su clave de API gratuita, lo cual puede hacer directamente desde su panel de control de WordPress.

Sucuri automatiza la mayoría de sus características de seguridad, así que puede configurarlas una vez y olvidarse para siempre. Tampoco tiene que preocuparse por actualizar o mantener el plugin.

Sucuri le alertará si detecta una brecha. Pero en caso de que quiera tomar el control manualmente, le ofrece muchas opciones. Y como la WAF de Sucuri está basada en la nube, no requiere ningún mantenimiento técnico de su parte.

En general, encontré a Sucuri una brisa para montar y usar.

¿Cómo le va a Sucuri en la seguridad en la web?

Prevención

El plugin gratuito de seguridad de Sucuri es lo suficientemente bueno para mantener una pestaña en su sitio web de WordPress y aplicar algunas medidas de seguridad estándar. Pero no está construido para prevenir ningún ataque importante contra su sitio web.

Si busca una solución de seguridad gratuita para WordPress, no le recomendaría Sucuri Security. No confíe en él para asegurar su sitio web.

Por otro lado,  Sucuri Firewall hace un trabajo estelar contra los ataques DDoS, bots abusivos y el compromiso de los datos de los clientes. La Plataforma de Seguridad de Sucuri va un paso más allá y añade aún más medidas preventivas.

Para darles un ejemplo de uno de los casos de estudio de Kinsta, agregar el Sucuri Firewall a un pequeño sitio de comercio electrónico bombardeado con ataques DDoS detuvo todos los problemas de seguridad dentro de una hora de la activación.

Detección

El plugin gratuito de Sucuri hace un gran trabajo olfateando hasta los más mínimos cambios en su sitio web. Si encuentra alguna anomalía, le avisará rápidamente para que pueda tomar las medidas oportunas.

Incluso si un hacker le ha bloqueado su sitio, puede auditar los registros guardados en los servidores de la nube de Sucuri para saber qué ha pasado y cómo puede recuperar el control.

Sin embargo, es la plataforma de seguridad de primera calidad de Sucuri la que realmente brilla con el monitoreo y la detección. Viene con varias características añadidas como escaneos regulares de seguridad del lado del servidor, monitoreo de listas negras, monitoreo de SSL, notificaciones instantáneas e integración de correlación de registros (SIEM).

Respuesta y recuperación

Una plataforma de seguridad web está incompleta si no ofrece una forma de limpiar un sitio web pirateado.

Afortunadamente para mí, nunca tuve un incidente de seguridad en mis páginas web mientras Sucuri las protegía. Pero hay muchos que tuvieron un problema serio, y han compartido sus experiencias en sitios de reseñas como G2.com.

Sucuri disfruta de una clasificación de 4 estrellas en G2.com
Sucuri tiene de una clasificación de 4 estrellas en G2.com

Aquí está el dueño de un sitio web que comparte su crítica positiva con Sucuri.

«Cuando de repente me di cuenta de que mi sitio web, usado principalmente por profesores y niños, había sido hackeado, necesitaba que el problema se resolviera lo antes posible. Sucuri hizo que mi página web volviera a la normalidad en la media hora siguiente a la notificación del problema y a la inscripción en el servicio. Nunca más dejaré mi sitio web desprotegido, y me complace que Sucuri se encargue de esta seguridad.»

Janice P, educadora marina

Y aquí está un diseñador web compartiendo su experiencia positiva con Sucuri en ayudarla a limpiar las páginas web de sus clientes de WordPress.

«Mis clientes tenían problemas con sus sitios web de wordpress. Desde que inscribí a mis clientes, no ha habido ningún problema de que el sitio web haya sido hackeado.»

Melissa C, propietaria del negocio

Debe tener en cuenta que hay bastantes críticas en las que los usuarios se quejan del tiempo que tarda Sucuri en responder a las entradas. Entender la estrategia de precios de Sucuri puede ayudar a explicar este asunto.

Precios de Sucuri

Ahora, llegando a la parte más importante, el precio.

Precios del Firewall Sucuri y desglose de características
Precios del Firewall Sucuri y desglose de características

El Sucuri Firewall (WAF) comienza desde $9.99/mes, mientras que el Sucuri Platform comienza desde $199.99/año. Registrarse en la Plataforma Sucuri también le da acceso ilimitado a la eliminación de malware y a la limpieza de hackers.

Todos los planes  de Sucuri vienen con una garantía de devolución de dinero de 30 días.

Sucuri no excluye ninguna característica de seguridad de sus planes de nivel inferior, excepto el soporte de certificados SSL en su servidor de origen (que está reservado para el segundo plan más barato).

En cambio, Sucuri utiliza los escaneos y la prioridad de respuesta como un incentivo para que se apunte a sus planes más altos.

Desglose de precios y características de la plataforma Sucuri
Desglose de precios y características de la plataforma Sucuri

Esta estrategia de precios da a cada cliente de Sucuri las mismas características de prevención y detección, pero para los escaneos y la eliminación de malware, los clientes que se han suscrito a planes más altos tienen la mayor prioridad.

Todo el mundo recibirá sus entradas a su debido tiempo, pero si estás en el nivel más bajo, en la mayoría de los casos la respuesta no será inmediata. Si necesita una resolución más rápida, tiene la opción de ir a por sus planes más altos. Para comparar, la solución de seguridad equivalente de Cloudflare cuesta 200 dólares al mes.

Puedo entender por qué este enfoque puede frustrar a algunos usuarios, especialmente cuando se trata de un sitio web pirateado y están buscando una solución rápida. Pero considerando el valor total que se obtiene de él, funciona mejor para la mayoría de los usuarios de Sucuri a largo plazo.

Ahora que hemos visto a Sucuri, pasemos a Wordfence y veamos cómo se compara con ella.

Revisión de Wordfence

Wordfence Security es un plugin de seguridad gratuito para WordPress
Wordfence Security es un plugin de seguridad gratuito para WordPress

Introducción a Wordfence

Wordfence es un plugin de seguridad gratuito para WordPress que incluye un cortafuegos de punto final (WAF) y un escáner de malware.

Cuenta con otras medidas de seguridad como la seguridad de acceso (2FA, página de acceso CAPTCHA, limitar los intentos de acceso), Tráfico en Vivo, y bloqueo avanzado basado en reglas.

Wordfence tiene una calificación de 4,8 estrellas con más de 3 millones de instalaciones activas
Wordfence tiene una calificación de 4,8 estrellas con más de 3 millones de instalaciones activas

A diferencia de Sucuri, Wordfence es un cortafuegos localizado. Se queda en su servidor web y no es un servicio en la nube. Por lo tanto, puede realizar escaneos del lado del servidor a un nivel más profundo y proporcionar un cifrado completo de extremo a extremo.

Pero esta ventaja viene a costa del rendimiento.

¿Por qué? Porque los recursos de su servidor analizarán el tráfico, comprobarán si hay alguna intención maliciosa y, si es necesario, descartarán el tráfico. Si aloja su sitio web en un servidor con menos recursos (por ejemplo, planes de alojamiento compartido y alojamiento gestionado barato), su sitio puede llegar a rastrearse rápidamente.

En caso de un ataque DDoS, la gran cantidad de tráfico malicioso puede sobrecargar los recursos de su servidor. Ningún plugin de seguridad local puede soportar eso. Esta es la mayor debilidad de Wordfence en comparación con Sucuri.

Por el contrario, si tiene habilitado el WAF de Sucuri, cualquier tráfico malicioso a su sitio web se filtra en la nube antes de que llegue a su servidor.

Pero el WAF localizado de Wordfence es una característica incorporada gratuita, mientras que el WAF de la nube de Sucuri es una oferta premium.

¿Cómo funciona Wordfence?

El cortafuegos de Wordfence funciona gracias a su Threat Defense Feed, que es un término elegante para su colección de reglas de cortafuegos, direcciones IP maliciosas y firmas de malware.

El alimentador de defensa contra amenazas está integrado con el plugin de Wordfence instalado en su sitio de WordPress. Es alimentado por su servidor.

Cómo funciona el Wordfence Firewall (WAF)
¿Cómo funciona el Wordfence Firewall (WAF)?

Con Wordfence Premium, obtendrá actualizaciones en tiempo real del Threat Defense Feed. Incluye características como:

  • Lista negra de IP en tiempo real, regla de cortafuegos y actualizaciones de firmas de malware.
  • Soporte Premium.
  • Comprobación de la reputación del sitio/IP.
  • Bloqueo a nivel de país.

Los usuarios gratuitos obtienen las actualizaciones de misión crítica sólo después de 30 días de funcionamiento. Tampoco obtienen una lista negra de IP en tiempo real. Aunque parece una buena opción para los sitios web personales, puede ser un factor de ruptura si está alojando un negocio o un sitio web de comercio electrónico.

Hay una ventaja que un cortafuegos de punto final tiene sobre los cortafuegos de nube. Como está alimentado completamente por su servidor, teóricamente no puede filtrar ningún dato, ni puede ser desviado. En cambio, un firewall en la nube puede filtrar datos, o ser evitado si el atacante conoce la dirección IP de su servidor.

Cortafuegos de nube vs. Cortafuegos de punto final
Cortafuegos de nube vs. Cortafuegos de punto final (Fuente de la imagen: Wordfence)

Configuración y características de seguridad disponibles

Wordfence vive en su servidor web. Por lo tanto, puede encontrar todos sus ajustes en su tablero de WordPress.

El tablero de mandos es limpio e informativo. Le proporciona información crítica y advertencias de un vistazo.

El tablero de Wordfence
El tablero de Wordfence

El escáner de Wordfence realiza una comprobación de la integridad de cada archivo de su servidor. Le avisará si no es un archivo central de WordPress o un tema/plugin oficial.

Coincidirá el texto de los archivos de su servidor con el del malware conocido. Si encuentra algo similar, aunque sea una o dos líneas, le avisará con una advertencia. También recibirá notificaciones si alguno de sus temas o plugins tiene una actualización disponible.

Ahora, pasemos al panel del Firewall de Wordfence. Aquí, puede gestionar la configuración de Wordfence WAF y optimizar su configuración.

La configuración del Firewall de Wordfence está mayormente automatizada
La configuración del Firewall de Wordfence está mayormente automatizada

Cuando instale Wordfence por primera vez, su WAF estará en modo de aprendizaje durante una semana por defecto. Esto le permite estudiar su sitio y a sus visitantes a fondo, así que entiende qué reglas aplicar para dejar sólo el tráfico legítimo a través del firewall.

La función de lista negra de IP en tiempo real sólo está disponible para los usuarios premium.

Con la protección de la fuerza bruta activada, Wordfence le protege de los atacantes bloqueando su cuenta después de unos pocos intentos fallidos de adivinar la contraseña. También le obliga a cambiar ts contraseña si cree que es demasiado débil para adivinarla fácilmente.

Administre las reglas de bloqueo de su sitio desde la pestaña Bloqueo
Administre las reglas de bloqueo de su sitio desde la pestaña Bloqueo

En la pestaña de bloqueo, puede bloquear el tráfico basándose en las direcciones IP, el rango de IP, el navegador, el nombre del host y el remitente. Sin embargo, el bloqueo a nivel de país es una característica exclusiva de la prima. Puede combinar todas las diferentes reglas de bloqueo y guardarlo como un Tipo de Bloqueo.

Activar la limitación de la tasa y las reglas de bloqueo avanzado desde aquí
Activar la limitación de la tasa y las reglas de bloqueo avanzado desde aquí

En la sección de Opciones del cortafuegos, puede hacer una lista blanca de direcciones IP y servicios, configurar las direcciones IP para ignorarlas para las alertas WAF, configurar la limitación de la tasa y las URL de la lista blanca.

Wordfence también le permite bloquear las IPs que acceden a ciertas URLs. Esto es útil si alguien sondea repetidamente su sitio web en busca de vulnerabilidades conocidas.

A continuación, pasemos a la pestaña de configuración del escáner.

Administre la configuración del escáner de Wordfence desde aquí
Administre la configuración del escáner de Wordfence desde aquí

Aquí encontrará las tareas de escaneo de Wordfence. Las tres primeras pruebas son de verificación de spam y lista negra, y están reservadas sólo para los usuarios premium.

Si el escáner detecta algo fuera de lo normal, le dará una advertencia.

En la sección Opciones de escaneo y programación, puede configurar la sensibilidad de escaneo, la frecuencia de escaneo y los archivos de la lista blanca. También puede optimizar los escaneos para el rendimiento de su configuración.

Wordfence tiene amplias opciones de escaneo y programación
Wordfence tiene amplias opciones de escaneo y programación

Wordfence viene con un montón de otras herramientas útiles.

La herramienta de Tráfico en Vivo le ayuda a ver lo que está pasando en su sitio web en tiempo real. Puede filtrarlo sólo por el tráfico relacionado con la seguridad. Esto le mostrará todos los inicios de sesión de los usuarios, los intentos de piratería y las solicitudes maliciosas.

Live Traffic es la característica más genial y a la vez más intensiva en recursos de Wordfence
Live Traffic es la característica más genial y a la vez más intensiva en recursos de Wordfence

Si bien es una característica genial de tener, Live Traffic utiliza muchos de los recursos de su servidor. Le recomiendo que lo apague cuando no lo use.

Otras herramientas incluyen la búsqueda de Whois, las opciones de importación/exportación y los diagnósticos.

También puede habilitar la Autenticación de Dos Factores (2FA) para todos los inicios de sesión en su sitio de WordPress con el módulo de seguridad de inicio de sesión de Wordfence. Antes era una función exclusiva de primera calidad, pero ahora está disponible de forma gratuita.

Habilitar la autenticación de dos factores en su sitio web fácilmente
Habilitar la autenticación de dos factores en su sitio web fácilmente

Puede usar aplicaciones móviles gratuitas como Google Authenticator, FreeOTP o Authy (mi recomendación personal) para configurar el 2FA.

Pestaña de configuración de seguridad de inicio de sesión de Wordfence
Pestaña de configuración de seguridad de inicio de sesión de Wordfence

Puede habilitar 2FA para todos los roles de usuario. Es una gran manera de protegerse a sí mismo y a sus usuarios de los ataques de fuerza bruta, como la adivinación de contraseñas y el relleno de credenciales.

Puede establecer una lista blanca de IPs para 2FA, de modo que ciertas IPs no tengan que pasar por controles de seguridad adicionales mientras se conectan. Si trabaja mayormente desde un solo lugar, esta característica le ayuda a evitar pasar por el 2FA cada vez que se conecta.

Otras características de seguridad de acceso para detener los ataques de fuerza bruta incluyen:

  • Limitar el número de intentos de «contraseña olvidada» y fallos de acceso. Después de un número determinado de intentos, el usuario queda bloqueado.
  • Aplicar contraseñas fuertes en todo el sitio.
  • Evitar los registros de usuarios con ciertos nombres de usuario (por ejemplo, admin)
  • Bloquea inmediatamente a las personas que intentan entrar con nombres de usuario específicos (por ejemplo, admin, yoursite_admin, etc.).
  • Deshabilitar la autenticación XML-RPC, un vector de ataque común utilizado para inyectar malware.

Por último, Wordfence incluye un panel de todas las opciones donde se pueden encontrar todos y cada uno de los ajustes de Wordfence. Considerando las extensas opciones disponibles en Wordfence, esto es super útil.

Vea todas las opciones de Wordfence en el panel Todas las opciones
Vea todas las opciones de Wordfence en el panel Todas las opciones

Facilidad de uso

En cuanto a la facilidad de uso, Wordfence es comparable a Sucuri Security y es super sencillo de usar. Después de instalar y activar el plugin, Wordfence pasará inmediatamente al modo de aprendizaje durante una semana.

En función de la configuración del servidor y del tráfico, aplicará automáticamente la configuración recomendada del firewall y del escáner. En mi experiencia, estos ajustes son más que suficientes para protegerle contra la mayoría de los ataques.

Las características de seguridad de acceso son fáciles de configurar y aplicar.

Si su sitio web está bajo un ataque DDoS, Wordfence puede hacer que su servidor se rastree. En los casos más extremos, el servidor puede estar tan abrumado que no le permitirá acceder a su panel de administración de WordPress.

Dado que Wordfence es una solución localizada, usted tiene el control total de su configuración. Aunque esto puede ser útil si es técnicamente competente, para la mayoría de los usuarios de WordPress puede ser una molestia.

En general, encuentro a Wordfence fácil como un pastel, siempre y cuando funcione como se pretende.

¿Cómo le va a Wordfence en la tríada de la seguridad en la web?

Prevención

A diferencia de la solución gratuita de Sucuri, que no incluye un cortafuegos, Wordfence tiene algunos dientes para detener la mayoría de los ataques. No sólo aplica las medidas de seguridad estándar, sino que también viene con un WAF del lado del servidor.

Pero las últimas actualizaciones de amenazas sólo están disponibles para los usuarios premium. Los usuarios gratuitos reciben actualizaciones 30 días después de salir al aire. Y como su servidor web alimenta a Wordfence (y no a la nube), incluso con la opción premium, se queda a la defensiva contra un ataque DDoS.

Puedo entender la necesidad de negocios detrás de esta decisión, pero por seguridad, creo que el enfoque de todo o nada de Sucuri es mejor. Por lo menos no le dejan pensar que está protegido contra las amenazas más populares mientras que no lo estás.

Dicho esto, la versión premium de Wordfence hace un buen trabajo previniendo la mayoría de los ataques de seguridad. Su blog y su canal de YouTube son excelentes recursos para mantenerse al día sobre las últimas amenazas a la seguridad de WordPress.

Detección

El plugin gratuito de Wordfence funciona bastante bien para detectar la mayoría de los problemas de seguridad. Pero necesita su paquete premium para detectar las últimas amenazas.

Si un hacker ha logrado bloquearle de su sitio web, no hay manera de auditar los registros como en Sucuri. Por lo tanto, investigar el hack es mucho más difícil.

No tendrá ningún otro recurso aparte de contactar con su proveedor de alojamiento o un servicio de seguridad de terceros, que irónicamente también incluye a Wordfence.

Comparado con Sucuri, Wordfence tiene una característica de personalización de alertas básicas, y hace bien el trabajo. Le alertará rápidamente en caso de que encuentre una anomalía de seguridad.

Respuesta y recuperación

Como se ha dicho antes, se queda cuidando de si mismo con la versión gratuita de Wordfence. Pero incluso con el paquete premium, Wordfence no ofrece ningún servicio de respuesta y recuperación.

Aquí hay una cita tomada directamente de los términos de uso de Wordfence:

«Nuestro soporte ofrecido para Wordfence Premium está limitado a 2 horas de soporte por incidente. Nos reservamos el derecho de rechazar más apoyo o de cobrar por apoyo adicional más allá de las 2 horas de apoyo.»

Para una resolución completa, debe ir a su servicio separado llamado WordPress Site Cleaning. Tiene un precio de 179 dólares por instancia (más los cargos por aumento de la demanda).

Servicio de limpieza del sitio Wordfence WordPress
Servicio de limpieza del sitio Wordfence WordPress

Su servicio de limpieza del sitio de WordPress incluye:

  • Limpiar el sitio infectado eliminando todos los códigos y enlaces maliciosos.
  • Investigar cómo se infectó el sitio.
  • Proporcionar un informe detallado de la investigación y la eliminación de la infección.
  • Utiliza el sitio para la eliminación de las listas negras antimalware y antispam.
  • Proporcionar una lista de control para evitar futuros ataques.

Aún no he usado su servicio de limpieza del sitio, pero parece bastante completo. Aquí hay un par de buenas críticas que encontré en Twitter:

Dr. David Miles, Editor en Jefe de Política Global
Dr. David Miles, Editor en Jefe de Política Global
Rachel Bustin, Family Lifestyle Blogger
Rachel Bustin, Family Lifestyle Blogger

Comparado con el servicio de eliminación de malware y limpieza de hacks de Sucuri, que se incluye en la plataforma premium de Sucuri, el servicio de limpieza del sitio de Wordfence parece más costoso.

Y con Sucuri obtendrá una cantidad ilimitada de eliminaciones de malware durante el periodo de suscripción, mientras que el servicio de eliminación de malware de Wordfence es para un solo trabajo. Si el sitio se vuelve a infectar con malware unos meses después, deberá pagar la misma tarifa para su eliminación.

Precios de la cerca de palabras

Puede descargar el plugin de seguridad de Wordfence de forma gratuita. A partir de ahora, es el plugin de seguridad mejor valorado y más instalado en el repositorio de plugins de WordPress.

La prima de Wordfence comienza en 99 dólares al año por un sitio. Usted obtiene un descuento si agrega sitios adicionales a su pedido. ¡Cuantos más sitios se añadan, mayor será el descuento!

Precios de la prima de Wordfence
Precios de la prima de Wordfence

¿Cómo impactan los plugins de seguridad en el rendimiento del sitio?

Los plugins de WordPress no sólo son los mayores riesgos de seguridad, sino que también son uno de los mayores asesinos del rendimiento. Los plugins de seguridad son particularmente los principales culpables, gracias a su requisito de estar siempre activos y a sus características de escaneo.

Sin embargo, las soluciones de seguridad basadas en la nube, como Sucuri Firewall o Cloudflare, son estupendas si necesitas protección adicional, especialmente si se enfrenta a bots y tráfico proxy.

Resumen

Sucuri contra Wordfence. ¿Cuál es la mejor elección?

Por un lado, Sucuri es la mejor solución de las dos para la seguridad y el rendimiento de la web, especialmente si está dirigiendo un negocio de misión crítica o un sitio web de comercio electrónico.

Pero si busca un cortafuegos web gratuito, Wordfence es una solución más robusta. Si esa es su elección, le sugiero que lo empareje con un confiable CDN gratuito, como Cloudflare.

Al final del día, todo se reduce de su alojamiento. Un gran proveedor de alojamiento se encargará de la mayoría de las medidas de seguridad para usted. Entienden que el rendimiento alcanzado por sus servidores y el servicio que ofrecen los plugins de terceros no vale la pena.

Lo ideal sería que su host bloqueara el código para que sólo sea ejecutable en lugares e instancias limitadas. Y restringirían las subidas de escritos sólo a su respectiva carpeta. Con unas cuantas medidas más de refuerzo de la seguridad añadidas a nivel de servidor, esto haría que los plugins de seguridad de WordPress fueran redundantes.

En última instancia, la seguridad del sitio web es un viaje y no un destino. ¡TL recomiendo que tome el mejor camino hacia adelante!

Salman Ravoof

Salman Ravoof es desarrollador web autodidacta, escritor, creador y un gran admirador del Software Libre y de Código Abierto (FOSS, Free and Open Source Software). Además de la tecnología, le apasionan la ciencia, la filosofía, la fotografía, las artes, los gatos y la comida. Obtén más información sobre él en su sitio web, y conecta con Salman en X.