Antes de sumergirnos en algunos plugins de seguridad de WordPress, quisiera que te contestaras la siguiente pregunta; ¿Tu sitio web ha sido hackeado? Si lo sabes, enhorabuena, eso quiere decir que auditas tu sitio web y sabes todo lo que le sucede, en cambio, si no sabes si tu sitio web ha sido hackeado, entonces, ¡Tu sitio web ha sido hackeado, y no lo sabes!
Proteger tu sitio web con elementos de seguridad es como contratar un seguro en tu vivienda. Hay muchos tipos de seguros y coberturas, pero lo más importante es estar cubierto. Es importante que al menos tengas las herramientas que te ofrezcan la información de cualquier incidente en tu sitio web para poder gestionarlo.
De forma predeterminada, WordPress aplica algunas medidas de seguridad, pero es muy básico comparado con lo que puede ofrecerte un plugin de seguridad. Normalmente, estos plugins de seguridad de WordPress incorporan:
- Monitoreo de seguridad activo
- Escaneo de archivos
- Escaneo de malware
- Monitoreo de blacklist (IP’s con mala reputación en internet)
- Cortafuegos
- Protección contra ataques de fuerza bruta (DDoS)
- Notificaciones cuando se detecta alguna amenaza de seguridad
Pero antes de seguir con los plugins de seguridad para WordPress, debes dar prioridad a un hosting seguro y de confianza. Es importante, antes de buscar complementos de seguridad, elegir un hosting que ya tenga medidas de seguridad. Así que antes de seguir con la lectura te recomiendo que revises si cuentas con un hosting compartido o un hosting dedicado ¿Qué es lo mejor para mi sitio web?. Muchos hostings ya cuentan con algunas de las medidas de seguridad que hemos comentado.
1. Sucuri Security – Auditing, Malware Scanner and Security Hardening
El complemento Sucuri Security ofrece versiones gratuitas y de pago, sin embargo, la mayoría de los sitios web estarán bien cubiertos con la versión gratuita. Por ejemplo, el firewall requiere que pagues por un plan de Sucuri, pero esto es algo que quizás también puede gestionar tu hosting si se trata de un hosting dedicado.
En cuanto a las funciones gratuitas, el plugin cuenta con una auditoría de actividad de seguridad que evalúa la protección de tu sitio web, para evaluar si está seguro o no. Revisa la integridad de archivos de WordPress, monitorea las IP’s para comparar con las blacklists y te envía notificaciones de seguridad para que estés informado. Los planes de pago ofrecen un servicio de atención al cliente y escaneos de seguridad más frecuentes, cada 12 horas, 6 horas o 30 minutos.
Características que hacen de Sucuri Security una gran elección:
- Puedes gestionar los certificados SSL en los cortafuegos (WAF). Solo está disponible en versiones de pago, pero es una gran solución para poner una barrera de seguridad antes de que los malos lleguen a tu sitio web. Esta medida de seguridad gestionando tus certificados SSL no afectará al SEO de tu sitio web.
- El servicio al cliente se realiza mediante chat o por email.
- Recibe notificaciones instantáneas por email cuando se detecta alguna anomalía en tu sitio web.
- Ofrece protección para ataques de denegación de servicio (DDoS) avanzada en las versiones de pago.
- Si no contratas la versión de pago seguirás teniendo una potente herramienta para el monitoreo de IP’s con mala reputación en internet (blacklist), escaneo de malware, monitoreo de integridad de archivos WordPress e información que te ayudará a mejorar la seguridad de tu sitio web.
Más información y descarga: Sucuri Security – Auditing, Malware Scanner and Security Hardening
2. Wordfence Security – Firewall & Malware Scan
Wordfence Security es uno de los plugins de seguridad de WordPress más populares. Esta herramienta combina la simplicidad con elementos y herramientas de protección muy robustas, como capas de seguridad en el inicio de sesión y soluciones para recuperar tu sitio web en caso de haber tenido algún tipo de incidente de seguridad. Una de las principales ventajas de Wordfence es que puedes obtener información general sobre las visitas en tu sitio web y los intentos de hackeo.
Wordfence tiene una de las soluciones más completas de forma gratuita. Sin embargo, cuenta con soporte extra mediante licencias premium, unos 65€ al año.
Características que hacen de WordFence Security una excelente opción:
- La versión gratuita es lo suficientemente potente para sitios web pequeños.
- Tiene un firewall muy completo, con herramientas para bloqueo por países, bloqueo manual de IP’s, protección de ataques de fuerza bruta (DDoS), etc.
- La parte de escaneo se encarga de revisar el malware, las amenazas en tiempo real y el spam. Analiza todos los archivos de tu sitio web en busca de malware, no solo los archivos de WordPress, sino también en la plantilla (theme) y en tu mediateca.
- El plugin monitorea el tráfico en tiempo real para revisar los diferentes accesos, como clientes que visitan tu sitio web, rastreos de Google para posicionar tu sitio web, inicios y cierres de sesión, bots y posibles hackeos.
- Mejora la protección de inicio sesión con doble factor mediante la validación con tu teléfono móvil y con auditorias de contraseñas.
- Cuenta con un filtro de spam de comentarios, con lo que no es necesario instalar otro plugin para ello.
- Revisa continuamente tus plugins, informándote si son seguros o han sido hackeados en algún otro sitio web, también te informa de nuevas actualizaciones y si alguno de tus plugins ha sido abandonado por su desarrollador y no será actualizado más.
Más información y descarga: Wordfence Security – Firewall & Malware Scan
3. iThemes Security
El plugin iThemes Security (anteriormente conocido como Better WP Security) es otra de las mejores soluciones para proteger tu sitio web, con más de 30 elementos que te ayudarán a mantener a raya a los hackers.
Aunque muchos de los elementos de seguridad se ofrecen en la versión gratuita, la versión Pro está disponible por unos 50€ al año. Esta te proporcionará soporte mediante tickets y un año de actualizaciones.
Las características principales de la versión Pro proporcionan una mejora en la gestión de contraseñas, bloqueo automático de usuarios incorrectos, copias de seguridad de bases de datos y autenticación de doble factor con tu teléfono móvil.
Características que hacen de iThemes Security una excelente opción:
- Ofrece detección de cambios en los archivos, lo cual es importante, ya que la mayoría de los hackeos inician por la manipulación de algún archivo de tu sitio web.
- Agrega una capa adicional de protección al inicio de sesión mediante la integración de Google reCAPTCHA.
- Verifica los archivos de tu WordPress con los de la última versión publicada en WordPress.org, para detectar si hay algo extraño en tu sitio web.
- Actualiza las claves secretas de WordPress agregando una capa adicional de seguridad a la autenticación en tu sitio web.
- Puedes configurar el "Modo Ausente" cuando no necesites realizar cambios en tu sitio web. Esto te permite bloquear completamente el panel de WordPress “wp-admin” de forma temporal para que ningún usuario pueda acceder al panel de control, tu sitio web seguirá siendo accesible para los usuarios.
- Otras características como la detección de errores 404 que te ayudarán a mejorar el SEO y protección contra ataques de fuerza bruta (DDoS).
Más información y descarga: iThemes Security (anteriormente Better WP Security)
Conclusión
Hemos analizado algunos de los mejores plugins de seguridad de WordPress para ayudarte a que selecciones uno de ellos, pero recuerda que, un elemento más importante que un plugin de seguridad de WordPress es un hosting dedicado que te ofrezca las características y seguridad que necesita tu sitio web.
Photo by Collin Armstrong on Unsplash
Referencias: