¿Es SecuPress un complemento de seguridad que vale la pena? Nuestra prueba y revisión

Hay algunas cosas que realmente no nos gusta escuchar. Me vienen a la mente algunos ejemplos: “El precio de la gasolina está subiendo 20 centavos”. "Su alquiler ha sido elevado". "Su solicitud de vacaciones no fue aceptada".

O, "Su sitio de WordPress ha sido pirateado". Por supuesto, en este caso, nadie te va a avisar. Si sucede, solo te quedarán lágrimas.

Como no quiero que esto le suceda, le sugiero que limite los riesgos usando un complemento de seguridad como SecuPress.

Este realmente vale la pena el desvío, y no solo porque está hecho en Francia. Le doy una revisión detallada en esta guía, que también sirve como tutorial.

Al final de su lectura, sabrá cuánto vale este complemento y si debe usarlo en su sitio de WordPress.

¡Tus mejores proyectos de WordPress necesitan el mejor anfitrión!

WPMarmite recomienda Bluehost: gran rendimiento, gran soporte. Todo lo que necesitas para un gran comienzo.

Prueba Bluehost

¿Qué es SecuPress?

SecuPress es un complemento de seguridad de WordPress. Entre sus muchas características, el complemento puede proteger su sitio al bloquear las solicitudes entrantes maliciosas. SecuPress también se destaca de la competencia gracias a su escáner, que es capaz de detectar problemas de seguridad y solucionarlos automáticamente.

Lanzado en agosto de 2016 en el directorio oficial , SecuPress (más de 30 000 instalaciones activas) se encuentra entre los complementos de seguridad más populares, junto con competidores famosos como:

• iThemes Security (más de 1 millón de instalaciones activas)
• Wordfence Security (más de 4 millones de instalaciones activas)
• All in One Security (más de 1 millón de instalaciones activas)
• Sucuri ( 800K+ instalaciones activas)

SecuPress es un plugin freemium, lo que significa que tiene tanto una versión gratuita (SecuPress free), como una versión de pago, llamada SecuPress Pro (que incluye todas las opciones).

SecuPress, un complemento 100% hecho en Francia

Detrás de SecuPress encontramos a Julio Potier, experto en seguridad desde 2002 . Después de 18 meses de desarrollo con su compañero Gregory Viguier, Julio lanzó oficialmente SecuPress en agosto de 2016.

En ese momento, todavía trabajaba en WP Media, la empresa francesa que publica los complementos WP Rocket e Imagify, entre otros.

El proyecto SecuPress estaba en la mente de Julio desde 2013, como explica en el dossier de prensa dedicado al plugin.

Para dejar su huella en un mercado muy competitivo, SecuPress se ha centrado en tres aspectos principales:

1. Facilidad de uso
2. Opciones que pueden ser entendidas por cualquier tipo de usuario , desde principiante hasta avanzado
3. Ofreciendo opciones de seguridad esenciales que se pueden aplicar sin modificaciones o ajustes de su parte

La idea principal detrás de todo esto: no necesitas ser un experto en seguridad para usar SecuPress .

¿Cuáles son las características de SecuPress?

SecuPress, no Securpress, como a veces se escribe mal, garantiza la seguridad de su sitio en cuatro pasos, como se indica en su página de presentación:

1. Primero, escanea su instalación de WordPress en busca de vulnerabilidades. Se controlan 32 puntos de seguridad.
2. A continuación, un asistente presenta los problemas detectados de forma sencilla y comprensible.
3. SecuPress pasa a corregir automáticamente las vulnerabilidades detectadas a petición suya: todo lo que tiene que hacer es marcar la casilla asociada a la vulnerabilidad identificada.
4. Finalmente, un informe de seguridad final le permite ver todas las correcciones realizadas por el complemento.

Estas son algunas de las principales características de este complemento de seguridad de WordPress:

• cortafuegos
• Protección contra ataques de fuerza bruta
• Escaneo de salud del sitio
• Mover la página de inicio de sesión
• Autenticación de doble factor (2FA)
• Bloqueo de bots y malware
• Detección de temas y plugins vulnerables
• Alertas de correo electrónico y Slack
• Copia de seguridad de la base de datos de WordPress y los archivos del sitio
• Cambiar el prefijo de la base de datos
• Forzar actualizaciones mayores y menores de WordPress
• Agregar constantes de seguridad al archivo wp-config.php

Además, SecuPress es un complemento que tiene la reputación de cuidar el tiempo de carga , una ventaja significativa para no afectar demasiado negativamente la experiencia del usuario.

¿Por qué es importante asegurar WordPress?

Antes de pasar a la presentación de las opciones y configuraciones de SecuPress, me gustaría llamar su atención sobre la importancia de la seguridad para su sitio de WordPress.

Contrariamente a la creencia popular, WordPress es un CMS (Sistema de Gestión de Contenidos) seguro.

Tal y como afirmaba el experto en seguridad Patchstack en un informe publicado en 2021, casi todas las vulnerabilidades detectadas provienen de temas y especialmente de plugins (99,42% del total de vulnerabilidades).

Dado que ningún sitio es infalible, es su responsabilidad como webmaster proteger su instalación de WordPress.

Porque en caso de piratería, las consecuencias pueden ser muy lamentables y llevar a:

• La pérdida y robo de numerosos datos , más o menos sensibles (texto, imágenes, medios de pago, etc.), especialmente los de tus clientes
• Una pérdida de tiempo , porque tendrás que limpiar el sitio hackeado y actualizar todo
• Gastos financieros no planificados , especialmente si llama a un experto en seguridad. Después de un hack, también se le puede pedir que pague un rescate
• Una degradación de la imagen de su marca y una posible pérdida de confianza de sus usuarios actuales y/o futuros clientes
• Una caída en su posición SEO en las páginas de resultados de búsqueda de Google, que favorecen los sitios seguros. Incluso puede desaparecer, lo que puede tener un impacto significativo en su facturación.

La ventaja de usar un complemento todo en uno como SecuPress es que tiene docenas de funciones relacionadas con la seguridad en un solo lugar: piense en el complemento como una caja de herramientas.

Como resultado, no necesita activar varios complementos diferentes para realizar diferentes acciones (por ejemplo, un complemento para protegerse contra ataques de fuerza bruta, un complemento para habilitar la autenticación de dos factores, etc.).

Digamos que la gestión es más sencilla y encima evitas sobrecargar tu sitio con varios plugins .

Ahora que comprende la importancia de la seguridad en WordPress, descubramos cómo proteger su sitio con SecuPress. Para comenzar, detallaré cómo instalar y activar el complemento.

Para los fines de esta prueba, utilicé SecuPress Pro, que incluye todas las opciones que ofrece el complemento. Si está utilizando la versión gratuita del complemento, no tendrá acceso a todas las funciones que presentaré aquí. Compararé las diferencias entre las dos versiones al final del artículo.

Cómo instalar SecuPress Pro en dos pasos

Paso 1: active el complemento en su panel de WordPress

Para comenzar, vaya al menú Complementos > Agregar nuevo en su interfaz de administración de WordPress.

Escriba "SecuPress" en la barra de búsqueda, luego haga clic en el botón "Instalar ahora" en el resultado "SecuPress Free - WordPress Security":

Continúe recordando activar el complemento. Eso es todo: la versión gratuita ya está lista para usar.

Notará un nuevo menú en la parte inferior de la barra lateral izquierda de su interfaz de administración. Este menú consta de tres entradas:

1. "Escáneres", para ejecutar un escaneo de su sitio.
2. “ Módulos” enumera todas las opciones que ofrece SecuPress en un tablero.
3. " Más seguridad" enlaza con la página de precios de SecuPress, si desea aprovechar la versión paga.

Si desea activar SecuPress Pro, vaya al siguiente paso a continuación.

Paso 2: Activa tu licencia Pro

Para ejecutar la versión premium de SecuPress en su sitio de WordPress, vaya a SecuPress > Módulos > Tablero .

Entonces simplemente:

• Agregue la dirección de correo electrónico que proporcionó cuando compró la versión Pro.
• Introduzca la clave de licencia que encontró en su área de cliente.
• Active la licencia haciendo clic en el botón correspondiente.

SecuPress ahora está activo: solo está esperando que sus instrucciones funcionen. ^^ Descubra cómo hacerlo en la siguiente parte.

Análisis de la interfaz y manejo.

SecuPress, un complemento muy fácil de usar

Antes de entrar en detalles, me tomaré un momento para mirar la interfaz de usuario (UI) del complemento, porque realmente vale la pena.

Lo que te llama la atención cuando comienzas a usar SecuPress es la simplicidad del complemento y su facilidad de uso . El complemento es muy fácil de usar por varias razones:

• La interfaz es muy cuidada en términos de diseño . Es limpio, estéticamente agradable y puede ver de un vistazo exactamente lo que necesita hacer, gracias a los botones de llamada a la acción claramente visibles, por ejemplo.
  Además, esta interfaz recuerda a complementos como WP Rocket (enlace de afiliado) o Imagify. Esto tiene sentido: Julio Potier era parte de WP Media cuando lanzó SecuPress, recuerda.

• No te estás ahogando en medio de innumerables menús . De hecho, tiene "solo" dos opciones principales para tomar medidas con SecuPress: escanear su sitio o activar varias opciones a través de módulos.

Estas dos características principales distinguen a SecuPress de sus competidores, cuyas respectivas interfaces son claramente menos pulidas y más difíciles de entender, con una jerga más técnica.

Mire la interfaz de Wordfence Security, por ejemplo. De repente parece mucho menos legible:

Un tablero con un enfoque modular

Ya sea que use la versión gratuita o de pago de SecuPress, el panel de control del complemento (accesible a través de SecuPress > Módulos ) consta de 13 módulos .

Si utiliza SecuPress Pro, todas las opciones están disponibles. Se pueden activar o desactivar marcando una casilla.

Si usa la versión gratuita del complemento, las opciones Pro se desdibujan y no puede activarlas:

Ahora, pongámonos manos a la obra, con la primera función clave que ofrece SecuPress: escanear su sitio. El complemento sugiere que ejecute un escaneo tan pronto como lo active, ¡así que vamos!

¿Cómo funciona el escáner de seguridad?

Ejecutar el escaneo

Para aprovecharlo, vaya a SecuPress > Escáneres . Luego haga clic en el botón "Escanear mi sitio":

En unos segundos, SecuPress escaneará su sitio y le ofrecerá un informe de seguridad, que incluye una puntuación general.

En mi caso, pueden ver que hay trabajo por hacer: obtuve una calificación promedio de C+. De los 32 elementos de seguridad evaluados, SecuPress considera que 10 de ellos son malos.

Si me desplazo hacia abajo en la página, puedo acceder a la descripción de cada punto defectuoso con una breve oración explicativa. También puedo obtener más detalles haciendo clic en "Más información".

Si quiero corregir estos problemas, solo tengo que hacer clic en el botón “Siguiente paso”.

Corrija automáticamente los puntos "malos"

Luego, SecuPress me muestra todos los puntos que deben corregirse.

Puede controlar la corrección automática de cada elemento marcando (se corregirá el elemento) o desmarcando el elemento de su elección (no se corregirá).

Si no estás seguro de lo que estás haciendo, te recomiendo que sigas las recomendaciones del plugin . En otras palabras, deje las casillas que se marcaron automáticamente y haga clic en el botón "Repararlo".

En función del número de elementos a corregir, la operación debería durar como máximo tres minutos.

Realizar operaciones manuales

Cuando SecuPress haya hecho su trabajo, le indicará qué módulos se han activado en la parte superior de la página que aparece.

Si no marcó todas las opciones sugeridas en el paso anterior (lo cual hice voluntariamente para esta prueba), SecuPress recomienda que corrija manualmente (con su validación) los problemas que detectó durante su análisis.

A continuación, puede ver que se me solicita que habilite la autenticación dual en mi página de inicio de sesión, lo cual es una gran práctica de seguridad. Tu también puedes:

• Ignorar la recomendación (no recomendado)
• Solucionarlo y continuar (acción recomendada)

Ver un resumen de los elementos corregidos

Finalmente, dispondrás de un informe de resolución con un resumen de las actuaciones realizadas.

En mi caso, mi calificación pasó de C+ a B+. Todavía tengo elementos para corregir, 8 en total. Nuevamente, no tener todo corregido no es una buena práctica.

En su sitio, debe corregir todos los elementos malos presentados si es posible. No lo hice aquí solo porque estaba probando el complemento.

Para ir más allá y reforzar la seguridad de tu sitio, puedes realizar ajustes adicionales módulo por módulo, como detallo en la siguiente sección.

¿Qué módulos ofrece SecuPress?

Ya lo sabes: puedes acceder a los módulos a través de SecuPress > Módulos . ¡Hay 13 de ellos en total, que ofrecen casi cien opciones!

Te los presentaré uno por uno, con sus configuraciones esenciales.

Tablero

Con este primer módulo, podrás:

• Ingrese su licencia Pro
• Modifique configuraciones avanzadas como mostrar o no el menú SecuPress en la barra lateral de administración
• Exporte e importe su configuración de SecuPress. Esto es útil si desea utilizar el complemento en varios sitios a la vez. También hay un botón para restablecer la configuración del complemento con un solo clic.

Usuarios e inicio de sesión

El módulo "Usuarios e inicio de sesión" ofrece varias funciones útiles. Te aconsejo que actives las siguientes opciones:

• Mueva las páginas de administración e inicio de sesión . Al hacer esto, su página de inicio de sesión ya no será accesible para todos en una de las siguientes URL: su-sitio.com/wp-admin o su-sitio.com/wp-login. Luego podrá ingresar la URL de su elección (por ejemplo, yoursite.com/Ui78vcF45). Elija algo complejo para descifrar.
• Limite el número de intentos de conectarse a la administración , incluidos los ataques de fuerza bruta. Puede ingresar la cantidad de intentos antes de prohibir y establecer un período de tiempo durante el cual la persona malintencionada o el bot no podrá acceder a la página de inicio de sesión.

• Usa la doble autenticación , especialmente con el método Passwordless. En este caso, el usuario deberá hacer clic en un enlace recibido por correo electrónico para iniciar sesión, después de haber ingresado su dirección en la página de inicio de sesión.
• Use un captcha en la página de inicio de sesión para limitar los intentos de inicio de sesión de los robots.
• Forzar el uso de contraseñas seguras.

Complementos y temas

El módulo de temas y complementos es muy útil si planea permitir que los clientes controlen su sitio. Contiene varias opciones para prohibir la adición, desactivación o eliminación de complementos.

Marque las casillas que le interesen si quiere estar seguro de que su cliente o la persona que administra el sitio no hace nada malo.

Si usted es el único que administra el sitio y sabe lo que está haciendo, no tendrá que tocar mucho aquí.

Todavía recomiendo que marque las siguientes dos casillas sin importar qué:

• Detección de complementos defectuosos
• Detección de malos temas.

En estos casos, se le notificará cuando se habiliten complementos o temas que se sabe que son vulnerables (gracias al servicio de monitoreo de seguridad diario Patchstack).

Núcleo de WordPress

En este módulo, le aconsejo activar primero las siguientes opciones:

• Actualizaciones menores , para forzar actualizaciones menores en segundo plano si están deshabilitadas (por ejemplo, por un complemento)

• Cambie el prefijo de la base de datos . De forma predeterminada, el prefijo wp_ se asigna a las tablas de su base de datos cuando se instala WordPress. Eso significa que es fácil detectar en el código que su sitio se está ejecutando en WordPress, para poder atacarlo. Cambie este prefijo a algo más complicado (por ejemplo, fgd56mld90_).
• Deshabilite el editor de archivos para evitar la edición de complementos y archivos de temas directamente desde la interfaz de WordPress.
• Cree claves seguras para su instalación de WordPress . Estas claves se encuentran en el archivo wp-config.php y permiten un mejor cifrado de cierta información, como las cookies de un usuario que inicia sesión en la administración de su sitio. Si un pirata informático tiene estas cookies, podrá iniciar sesión en su sitio incluso si restablece su contraseña... A menos que cambie sus claves de seguridad.

SecuPress también le permite habilitar actualizaciones automáticas para las principales versiones de WordPress. De hecho, esta es una buena práctica, pero personalmente prefiero realizar mis actualizaciones principales unos días después de su lanzamiento, manualmente, en parte para evitar posibles problemas de compatibilidad (aunque estos son bastante raros). Sin embargo, si eres el tipo de persona que se olvida de actualizar, marca la casilla correspondiente.

Únase a los suscriptores de WPMarmite

Obtenga las últimas publicaciones de WPMarmite (y también recursos exclusivos).

SUSCRÍBASE AHORA

Informacion delicada

En el módulo "Datos confidenciales", primero puede mantener la configuración predeterminada:

• Divulgación de la versión de PHP
• Divulgación de la versión de WordPress

Entonces, te recomiendo especialmente que:

• Deshabilite el protocolo XML-RPC, si no lo usa
• Proteja sus medios de hotlinking
• Deshabilitar la visualización de archivos en carpetas
• Deshabilite el acceso a los archivos readme.txt o changelog.md

cortafuegos

Con el módulo de firewall, tiene siete opciones para bloquear solicitudes maliciosas:

• Agentes de usuario incorrectos (por ejemplo, navegador de Internet)
• Métodos de solicitud incorrectos
• Robots de SEO falsos
• Contenido incorrecto en las URL
• Detenga la actividad maliciosa de uno o más países

Aquí, te aconsejo que marques todas las casillas.

antispam

SecuPress te permite activar el antispam para luchar contra los comentarios no deseados .

Marque la casilla "Necesito comentarios en mi sitio web, luche contra el spam de comentarios" SI aún no está utilizando un complemento antispam como Akismet.

Tenga en cuenta que SecuPress también le permite eliminar todas las funciones de comentarios, si lo desea.

Escáner de malware

Con el escáner de malware, puede:

• Escanee sus archivos y base de datos en busca de virus , es decir, archivos que sean diferentes de los archivos originales de WordPress Core (para averiguar cuáles se han modificado)
• Bloquee el acceso a los archivos en la carpeta de cargas , para evitar su uso si está afectado por un virus (marque esta casilla)

Registros e IP

El módulo "Registros e IP" le permite ingresar manualmente las direcciones IP para prohibir o permitir.

Gracias a los Logs, también puedes:

• Realice un seguimiento de las acciones realizadas en su sitio (actualización de contraseñas, cambio de direcciones de correo electrónico, inicio de sesión de una función importante, etc.). Marque la casilla "Sí, mantener un registro de acciones de WordPress" si está interesado.
• Ver sus errores 404 . Sin embargo, SecuPress no le permite realizar redireccionamientos para "eliminar" sus 404 (el complemento no puede hacer todo). Para eso, use el complemento de redirección.

Complementos

Este módulo le permite instalar dos complementos:

• WP Activity Log , para tener un registro de las modificaciones que se producen en tu sitio.
• BackWPup , para hacer una copia de seguridad de su sitio.

Depende de usted ver si los necesita.

copias de seguridad

Tener una copia de seguridad reciente de su sitio es esencial en caso de problemas de seguridad. SecuPress ha entendido esto y ofrece un módulo dedicado.

Gracias a este módulo, podrás realizar copias de seguridad tanto de tus archivos como de tu base de datos de forma manual , con la opción de excluir archivos y tablas de tu elección.

Esto es definitivamente útil pero aún menos extenso que lo que un complemento de respaldo dedicado puede ofrecerle.

Con SecuPress, no puede guardar sus copias de seguridad en un espacio de almacenamiento remoto (como Google Drive, Dropbox o Amazon S3), lo cual sigue siendo una buena práctica.

Y deberá recordar descargar y eliminar cada copia de seguridad lo antes posible, o terminará utilizando el espacio de almacenamiento asignado por su empresa de alojamiento.

Alertas

Con el módulo de “Alertas”, puedes optar por recibir notificaciones por correo electrónico o en Slack en caso de eventos importantes, como la detección de una vulnerabilidad.

También puede recibir un informe diario con un resumen de eventos importantes.

Horarios

Finalmente, el último módulo está relacionado con los horarios para:

• copias de seguridad
• Escaneos
• Supervisión de archivos

Puede elegir una frecuencia diaria máxima (por ejemplo, todos los días). No es posible programar copias de seguridad cada hora, por ejemplo.

¡Bueno, eso es todo! Ahora tiene una descripción general bastante completa de todos los módulos del complemento de seguridad SecuPress.

Continuemos nuestro recorrido mirando los precios del complemento.

¿Cuánto cuesta SecuPress?

SecuPress está disponible por primera vez de forma gratuita en el directorio oficial de WordPress. Sin embargo, para aprovechar todas estas funciones, deberá optar por la versión de pago, SecuPress Pro.

Los precios están en una escala variable según la cantidad de sitios en los que desea activar el complemento . Aquí tienes algunos ejemplos para que te hagas una idea:

• 60€/año (alrededor de $65) para usar en un sitio
• 160€/año (alrededor de $173) para usar en 5 sitios
• 260€/año (alrededor de $280) para usar en 10 sitios
• €1180/año (alrededor de $1280) para usar en 100 sitios

Versión gratuita o versión Pro: ¿cuál elegir?

¿Está interesado en SecuPress pero duda entre la versión gratuita y la versión premium? Para decidir, todo depende del tipo de sitio que tengas y del uso que pretendas darle al plugin.

Como dice SecuPress, "la versión gratuita se puede usar para sitios pequeños, como blogs sin ingresos".

Por otro lado, si recibe tráfico regular, tiene un área de miembros o administra una tienda de comercio electrónico, opte por la versión Pro.

En este caso, “necesitará más seguridad y necesitará ahorrar tiempo. SecuPress Pro puede programar sus tareas principales y enviarle alertas cuando sea necesario, por ejemplo”.

En cualquier caso, siempre puedes activar primero la versión gratuita para ver si es suficiente. Además, no dude en consultar la comparación entre las dos versiones que ofrece SecuPress.

¡Ahora es el momento de cerrar el círculo con una revisión final y nuestra opinión sobre el complemento!

Nuestra opinión final sobre SecuPress

SecuPress es un complemento muy completo que combina múltiples ventajas:

• Facilidad de uso : no se requieren conocimientos técnicos para usar el complemento
• La ergonomía y la interfaz de usuario, claramente superior a la competencia
• La presencia de muchas funciones que fortalecen la seguridad de su sitio, incluso en la versión gratuita. Por ejemplo, SecuPress ofrece un firewall, como Wordfence (iThemes Security y Sucuri no ofrecen esta opción de forma gratuita).
• El enfoque modular , donde puede activar convenientemente solo las opciones que necesita
• El asistente de configuración a nivel de escáner , que lo lleva de la mano de principio a fin
• Aplicación automática de configuraciones y parches de seguridad (no tiene que hacer nada más que marcar casillas)
• Explicaciones simples y útiles para cada característica.
• Las frecuentes actualizaciones
• Su precio , mucho más económico (para las mismas prestaciones) que sus principales competidores (Wordfence Security, iThemes Security, Sucuri, etc.)

Personalmente, me gustó mucho este plugin y no le veo mayores inconvenientes.

SecuPress: ¿para quién?

Finalmente, la pregunta es si debe usarlo, especialmente considerando lo que ofrece la competencia.

No voy a comparar SecuPress con Wordfence, o SecuPress con iThemes Security.

Para que te formes tu propia opinión, te invito a leer los tutoriales que hemos dedicado a estos plugins:

• Tutorial de seguridad de Wordfence
• Tutorial de seguridad de iThemes
• tutorial sucuri

Junto a estos cuatro, SecuPress no tiene nada de qué avergonzarse, ni mucho menos. Para mí, es el complemento mejor diseñado en términos de interfaz y experiencia de usuario.

Es muy fácil de usar y será perfecto para principiantes , por supuesto, pero también para usuarios más experimentados.

En cuanto a opciones, lo encuentro más completo que Sucuri e iThemes Security . Por otro lado, el cortafuegos de Wordfence me parece más potente.

Descargue el complemento SecuPress:

Al final, SecuPress es un complemento que instalaría con los ojos cerrados para fortalecer la seguridad de un sitio de WordPress.

Para ti, ¿lo usas en tu sitio? Continuemos la discusión en los comentarios.