Sucuri: ¿Un plugin de seguridad que deberías instalar con urgencia?

Una boca abierta de par en par. Colmillos afilados listos para fracturar a un pobre animalito. Un cuerpo interminable que debe tener cerca de 30 pies de largo.

Escribe “sucuri” en Google y te encontrarás cara a cara con imágenes de unas serpientes bastante aterradoras . Pero ¿por qué, de hecho? Bueno, simplemente porque la palabra que escribiste en el buscador es la traducción portuguesa de anaconda.

Debes darte cuenta de que al principio solo estaba buscando más información sobre Sucuri, un complemento de seguridad para WordPress .

Afortunadamente, no hay nada realmente malo en ello. Y no te comerá después de que lo actives. ¡Uf, puedes respirar hondo!

En cambio, este complemento está diseñado para ayudarlo a erradicar otros depredadores: piratas informáticos desagradables y otros archivos y malware que pueden infectar su sitio.

Al final de este artículo, sabrá cómo funciona Sucuri (el complemento, no la serpiente) y, lo que es más importante, cómo configurarlo paso a paso. ¿Listo para una caminata segura? Sssss, sigue la guía.

¡Tus mejores proyectos de WordPress necesitan el mejor anfitrión!

WPMarmite recomienda Bluehost: gran rendimiento, gran soporte. Todo lo que necesitas para un gran comienzo.

Prueba Bluehost

¿Qué es Sucuri?

Sucuri Security es un complemento de seguridad de WordPress que ofrece un conjunto de herramientas para ayudarlo a proteger su sitio web: auditoría de archivos principales de WordPress (PHP, CSS, JavaScript), análisis de malware y programas, aplicación de seguridad, alertas por correo electrónico, acciones de seguridad posteriores a la piratería, etc.

Fundada en 2012 por Daniel Cid, Sucuri fue adquirida en 2017 por el gigante estadounidense de hosting GoDaddy , que desde entonces la ha mantenido y desarrollado.

Después de ofrecer un complemento premium hasta 2014, el complemento ahora es completamente gratuito.

Con más de 800 000 instalaciones activas, Sucuri es uno de los complementos de seguridad de WordPress más populares en el directorio oficial, junto con competidores como Wordfence (más de 4 millones de instalaciones activas), iThemes Security (más de 1 millón de instalaciones activas) y All-in-One Security (más de 1 millón de instalaciones activas) .

Sucuri, un complemento gratuito respaldado por servicios premium

Si bien tiene un complemento de seguridad dedicado al CMS de WordPress, la empresa Sucuri ofrece varios servicios premium basados ​​en la nube para proteger su sitio web, independientemente del CMS ( Content Management System ) en el que se ejecute: WordPress, Joomla, Magento, Drupal, Shopify, etc

Entre estos servicios se encuentran:

• Un firewall de aplicaciones web (WAF) que protege su servidor web contra varios ataques: ataques DDOS (denegación de servicio), ataques de fuerza bruta, malware, phishing, ransomware, etc. Este firewall viene con un CDN (red de entrega de contenido), para impulsar la velocidad de carga de tu página.
  El WAF se puede usar solo o además del complemento Sucuri.
  
• La plataforma de seguridad Sucuri (Sucuri Website Security). Además del firewall y CDN, Sucuri ofrece varios servicios para monitorear la seguridad de su sitio y puede brindarle un equipo dedicado para limpiar su WordPress en caso de un hackeo.

Aunque estos servicios están separados y se pueden usar de forma independiente, Sucuri afirma en el directorio oficial que su complemento “complementa sus herramientas de seguridad existentes . No está diseñado para reemplazar los productos Sucuri Website Security o Firewall”.

En otras palabras, si desea proteger su sitio de WordPress lo mejor posible, usar el complemento por sí solo no es suficiente.

¿Por qué es importante proteger su sitio de WordPress?

Antes de examinar las funciones y otras configuraciones que ofrece Sucuri, detengámonos un momento a considerar la importancia de la seguridad en una instalación de WordPress.

Usar un complemento dedicado para protegerse es mínimo, sabiendo que ningún sitio de WordPress es infalible. Como el CMS (Sistema de gestión de contenido) más utilizado en el planeta, WordPress es, naturalmente, el objetivo de numerosos ataques a diario.

¡Se dice que 2.800 ataques por segundo tienen como objetivo las instalaciones de WordPress en todo el mundo!

Sin embargo, no se asuste. WordPress es un CMS seguro. En su informe de seguridad del ecosistema de WordPress, el experto en seguridad Patchstack explica que el 96% de las vulnerabilidades de seguridad provienen de código de terceros (complementos y temas de terceros), en comparación con el 4% dentro de WordPress Core.

Por eso es esencial proteger su sitio. Las consecuencias de un hackeo pueden ser desastrosas y resultar en:

• La pérdida y robo de numerosos datos , más o menos sensibles, especialmente los de tus clientes.
• Una pérdida de tiempo , porque tendrás que limpiar el sitio hackeado y actualizar todo.
• Gastos financieros no planificados , especialmente si llama a un experto en seguridad.
• Una degradación de su imagen de marca y una posible pérdida de confianza de sus usuarios actuales y/o futuros clientes.

Entiendes el punto: no descuides el aspecto de seguridad de tu sitio. Pasemos a una presentación detallada de Sucuri.

Cómo instalar Sucuri

Paso 1: active el complemento Sucuri en WordPress

Para comenzar, instale el complemento desde su interfaz de administración a través del menú Complementos > Agregar nuevo . Haga clic en "Instalar ahora":

Recuerda activar el plugin. Luego encontrará un nuevo menú llamado "Seguridad de Sucuri", en la barra lateral izquierda de su back-office de WordPress:

Paso 2: generar una clave API

Para activar algunas de las herramientas adicionales que ofrece el complemento, Sucuri recomienda que genere una clave API.

API significa Interfaz de programación de aplicaciones. Como se explica muy claramente en este artículo, "las API son mecanismos que permiten que dos componentes de software se comuniquen entre sí mediante un conjunto de definiciones y protocolos".

Para hacer esto, haga clic en el botón "Generar clave API" en la parte superior de su Tablero:

En la ventana que aparece brillantemente en su pantalla, elija la dirección de correo electrónico asociada con su cuenta, luego acepte los términos de servicio (si está de acuerdo). Haga clic en "Enviar" cuando esté listo.

¡Y ahí lo tienes! Sucuri está lista para trabajar. Como le dice después de generar una clave API, “ esta no es una solución rápida para sus necesidades de seguridad ; no es un reemplazo para Sucuri Website Security o Firewall, pero le permitirá ser más consciente de la seguridad y adoptar una mejor postura, con el objetivo de reducir el riesgo”.

Ahora descubramos cómo configurar el complemento, con una inmersión menú por menú.

Únase a los suscriptores de WPMarmite

Obtenga las últimas publicaciones de WPMarmite (y también recursos exclusivos).

SUSCRÍBASE AHORA

Cómo configurar y usar Sucuri Security

Descripción general del tablero de Sucuri

El primer menú principal que ofrece Sucuri Security es el Dashboard. Aquí es donde encontrará los resultados de la auditoría realizada por el complemento en su sitio.

En términos concretos, Sucuri inspecciona su instalación de WordPress en busca de cambios en los archivos básicos de WordPress (esos que encuentra cada vez que descarga el CMS).

Sucuri escanea automáticamente los archivos en los directorios raíz, wp-admin y wp-includes, y luego los compara con los archivos distribuidos con la versión principal de WordPress instalada en su sitio (6.1.1, en mi caso).

Tan pronto como Sucuri detecta un archivo con inconsistencias, lo muestra en su tablero.

Si hay algún problema, aparece una “X” roja, acompañada de un mensaje no muy tranquilizador del mismo color: “ Se modificaron los archivos del núcleo de WordPress ”.

Es posible que los archivos hayan sido pirateados. En mi caso, Sucuri reporta dos supuestas anomalías en un archivo .txt y un archivo error.log.

Este último enumera los registros de errores que ocurrieron en su sitio (errores de PHP, en particular). Entonces tengo varias opciones para abordar los problemas:

• Marque el archivo como falso positivo , si es un archivo que agregué yo mismo, por ejemplo. Sucuri lo ignorará durante futuras exploraciones.
• Elimine el archivo , si cree que es malicioso.
• Restaurar la versión original del archivo .

Este escaneo es conveniente pero hay un problema principal: para un principiante, todavía es bastante difícil saber si el archivo supuestamente anómalo está causando un problema de seguridad real en su sitio o no.

Como resultado, no sabemos realmente qué hacer . ¿Dejar el archivo como está? ¿Restaurar su versión original? ¿Eliminarlo incluso si eso significa correr el riesgo de eliminar datos importantes? No es fácil de averiguar.

Debajo del inserto dedicado al análisis del núcleo de WordPress, además de los registros de auditoría, encontrará varias pestañas que indican los cambios que se han producido en:

• Iframes (etiquetas HTML)
• Enlaces
• Guiones

Finalmente, Sucuri también hace varias recomendaciones para reforzar la seguridad de mi instalación sugiriendo, por ejemplo, que elimine complementos no utilizados o deshabilite el editor de archivos en la administración:

El cortafuegos de la aplicación: Cortafuegos (WAF)

El segundo submenú de Sucuri es para el firewall de Sucuri. Para beneficiarte de esto, debes optar por uno de los planes premium que ofrece Sucuri .

Si desea dar este paso, solo tiene que agregar su clave API en el cuadro provisto.

Con este firewall activo, Sucuri asegura que su sitio estará protegido de ataques y evitará infecciones y reinfecciones de malware.

Además, el cortafuegos " bloqueará los intentos de inyección SQL, los ataques de fuerza bruta, XSS (secuencias de comandos de sitio a sitio), RFI (incrustación de un archivo remoto en su servidor), puertas traseras (acceso remoto a su sitio) y muchas otras amenazas. a su sitio.”

A través de las pestañas de configuración, también puede:

• Bloquee ciertas direcciones IP introduciéndolas manualmente, para que no puedan acceder a su sitio.
• Habilite el almacenamiento en caché , lo que mejorará el rendimiento de su sitio de WordPress.

El menú relacionado con los inicios de sesión: Últimos inicios de sesión

Pasemos al tercer menú del complemento Sucuri: “Últimos inicios de sesión”. Hay cuatro pestañas disponibles:

• " Todos los usuarios" muestra a todos los usuarios que han iniciado sesión con éxito en su administrador de WordPress
• “ Administradores” muestra a todas las personas que tienen una cuenta de “administrador” en su sitio
• " Usuarios registrados" detalla todos los usuarios que actualmente están registrados
• "Inicios de sesión fallidos" muestra sus intentos de inicio de sesión fallidos en su página de inicio de sesión. Esto te ayudará a ver muy rápidamente si eres víctima de ataques de fuerza bruta, por ejemplo.

El menú de configuración de Sucuri

Y por último, el último menú y el más copioso. Aquí encontrará varias características principales de Sucuri, que desglosaremos en detalle, pestaña por pestaña.

Pestaña Configuración general

La pestaña Configuración general tiene varias inserciones. Incluyen algunos de los siguientes elementos, que puede modificar:

• Un directorio con todos sus registros de seguridad ("Almacenamiento de datos")
• Un exportador de registros
• Un proxy inverso, que puedes activar
• Un módulo para importar y exportar su configuración de Sucuri a otro sitio de WordPress

Pestaña Escáner

La pestaña "Escáner" incluye una herramienta gratuita ofrecida por Sucuri llamada SiteCheck. Esta herramienta escaneará su sitio en busca de lo siguiente:

• Malware
• Errores en su sitio web de WordPress
• Software obsoleto
• anomalías de seguridad

En particular, Sucuri te muestra:

• Tareas programadas durante su exploración (“tareas programadas”). De forma predeterminada, el análisis se realiza una vez al día.
• La utilidad "WordPress Integrity Diff" que compara los archivos en su servidor con los archivos originales de su sitio (directorios raíz, temas, complementos y archivos principales de WP).
• Detectado falsos positivos .
• Una opción para excluir ciertos archivos y carpetas durante el escaneo , especialmente si son demasiado grandes.

Pestaña de endurecimiento

La pestaña "Endurecimiento" enumera diez medidas de seguridad que puede aplicar para prevenir posibles ataques. Reforzarán la seguridad de su instalación de WordPress.

Por ejemplo, con un clic puedes:

• Bloquear la ejecución de ciertos archivos PHP en los directorios wp-content y wp-includes
• Deshabilite el editor de archivos en su interfaz de administración para evitar que un hacker modifique sus archivos
• Elimina la visualización de tu versión de WordPress
• Comprueba si tu versión de WordPress está actualizada

En la parte inferior de la página, también es posible excluir manualmente ciertos archivos PHP que han sido bloqueados para ejecutarse.

Como medida de precaución, haga una copia de seguridad de su sitio (archivos + base de datos) para poder aplicar una de estas medidas. Puede usar un complemento de copia de seguridad como UpdraftPlus. Y si es posible, proceda en un entorno de prueba, no en producción .

Pestaña Post-Hackeo

Como su nombre indica, la pestaña "Post-Hack" ofrece varias medidas que se aplicarán inmediatamente después de que su sitio haya sido pirateado. ¡Así que espero que nunca tengas que usarlo! ^^

Esto es lo que puede hacer:

• Generar nuevas claves de seguridad . Están presentes en el archivo wp-config.php y permiten un mejor cifrado de alguna información, especialmente las cookies de un usuario que se conecta a la administración de su sitio. Si un pirata informático está en posesión de estas cookies, podrá conectarse a su sitio incluso si restablece su contraseña, ¡a menos que cambie sus claves de seguridad!
• Actualizar contraseñas de usuario
• Vuelva a instalar los complementos de su sitio
• Actualice sus temas y complementos

Pestaña Alertas Sucuri

En la pestaña Alertas, puede configurar ajustes relacionados con las alertas de seguridad que Sucuri le enviará por correo electrónico.

De forma predeterminada, el complemento envía notificaciones de seguridad al administrador principal del sitio (el creado durante su instalación). Sin embargo, puede especificar otras direcciones de correo electrónico para recibir estas notificaciones.

También puedes gestionar los tipos de alertas que recibirás y autorizar direcciones IP de confianza para que no generen alertas.

Por ejemplo, puede especificar:

• Un número máximo de alertas a recibir por hora (de cinco horas a ilimitadas)
• El número de intentos de conexión fallidos por hora (ataques de fuerza bruta) antes de que se envíe una alerta por correo electrónico
• Los eventos que activarán una alerta de seguridad (por ejemplo, cambios en la configuración del complemento, creación de un nuevo inicio de sesión, desactivación de un tema o complemento, etc.)

Para ser completamente completo, Sucuri ofrece otras dos pestañas de configuración: "Comunicación del servicio API" e "Información del sitio web". Estas dos pestañas no gobiernan configuraciones específicas: brindan información sobre su API y su sitio de WordPress.

Después de este amplio repaso, propongo que pasemos a la parte final de este artículo. Primero, hablaremos sobre el precio de Sucuri, y luego te daré mi opinión sobre este complemento de seguridad.

¿Cuánto cuesta Sucuri Security?

Sucuri se presenta como un complemento gratuito, lo cual es cierto… pero con límites.

De hecho, debe pagar si desea utilizar el firewall de aplicaciones que ofrece Sucuri. Y cuando se trata de seguridad, se recomienda enfáticamente el uso de un firewall.

Esta opción, que también incluye acceso a un CDN, se ofrece desde $9.99/mes para un uso en un sitio.

Por otro lado, Sucuri ofrece un paquete de seguridad mucho más completo llamado Website Security Platform. Los precios comienzan en $ 199.99 / año para uso en un solo sitio.

Este plan de precios incluye, por supuesto, el firewall de Sucuri, CDN y también limpieza de malware y archivos pirateados por parte de expertos internos :

Nuestra opinión final sobre el plugin de seguridad de Sucuri

Para concluir, ¿qué debes pensar sobre Sucuri? Para responder a esta pregunta, voy a discutir dos aspectos cruciales al elegir un complemento: su facilidad de uso y su eficiencia.

En primer lugar, sobre el manejo. No es necesariamente complejo, pues Sucuri ha optado por ofrecer opciones claras, bien distribuidas en diferentes pestañas.
Los menús no están demasiado sobrecargados y es muy fácil realizar una acción (un clic es suficiente la mayoría de las veces).

Por otro lado, el campo de la seguridad está lleno de términos técnicos —Sucuri no tiene nada que ver con eso— y el usuario principiante no siempre podrá entender qué se le recomienda hacer o qué debe hacer. Esta es una primera limitación a señalar.

Pasemos a la eficiencia del complemento. Sucuri es ante todo una herramienta de monitoreo diseñada para alertarlo sobre problemas de seguridad en su WordPress . Escanea tus páginas en busca de anomalías, te envía alertas en caso de problemas, etc.

Pero el complemento realmente no le permite resolver problemas de seguridad (con la excepción de algunos pequeños aspectos), excepto después de la piratería (pero será demasiado tarde para entonces).

Uno de los principales escudos de seguridad es el uso de un firewall. Sucuri ofrece uno, pero solo en su oferta paga.

Descarga el complemento de Sucuri:

En conclusión, no recomendaría el complemento gratuito si desea proteger su sitio de WordPress de manera eficiente .

¿Compartes mi opinión y usas Sucuri? Dame tu opinión publicando un comentario.