5 complementos de seguridad vitales de WordPress para mejorar la seguridad de su sitio web
Publicado: 2020-12-27WordPress es el CMS más utilizado en Internet, pero ¿ es seguro WordPress ? De hecho, esa tremenda popularidad hace que los sitios web de WordPress sean un objetivo perfecto para los piratas informáticos.
Cada año, un montón de sitios web de WordPress son pirateados y cerrados. Agregar complementos de seguridad de WordPress a su sitio web es, por lo tanto, muy crítico.
Aquí hay una tabla de contenido para ayudarlo a navegar esta publicación:
- ¿Por qué necesita instalar al menos un complemento de seguridad de WordPress?
- ¿Cuáles son los mejores complementos de seguridad para WordPress ?
- Cómo fortalecer la seguridad de sus sitios web de WordPress con algunas acciones procesables y fáciles de implementar.
En pocas palabras: necesita una herramienta de seguridad en su sitio de WordPress para tener un negocio exitoso en línea.
Julio Potier ( experto en seguridad de WordPress y fundador de SecuPress ) y Ryan Dewhurst (Codebreaker y fundador de WPScan ) me ayudaron a escribir este artículo.
¿Necesito un complemento de seguridad de WordPress?
Los sitios web son como las tiendas. Tienes que protegerlos o serán robados y dañados.
Cifras sobre la seguridad de WordPress
Hace dos años, un informe de Sitelock reveló que el sitio web típico de una pequeña empresa es atacado 44 veces al día .
Según un estudio realizado por Sucuri en 2017, de 8000 sitios web infectados, el 74% se construyeron en WordPress .
Una increíble infografía realizada por WPClicboard resume perfectamente las estadísticas de seguridad de WordPress para 2020 .
Entonces sí, necesita un complemento de seguridad de WordPress en su sitio web.
¿Es WordPress un riesgo de seguridad?
WordPress es probablemente el CMS más seguro para construir su sitio web . Pero tenga en cuenta que nada en Internet es 100% seguro .
En 2017, 1,5 millones de sitios web de WordPress fueron pirateados debido a una vulnerabilidad central. El problema se resolvió rápidamente: WordPress ha estado seguro desde entonces.
Esta es la razón: la comunidad de WordPress es tan grande y tan talentosa que las brechas de seguridad se identifican y solucionan casi al instante . Pero aún así, muchos sitios web de WordPress son pirateados todos los días.
Debe comprender que WordPress tiene algunas buenas medidas de seguridad , pero no es nada comparado con lo que los mejores complementos de seguridad pueden proporcionarle como:
- Monitoreo permanente de seguridad e intrusión;
- Escaneo de archivos;
- Detección de malware;
- Monitoreo de listas negras
- cortafuegos
- Protección contra ataques de fuerza bruta
- etcétera etcétera.
Solo se descubre el 3% de los incidentes que afectan a los sitios web .
Estas son cifras aterradoras que deberían alentarlo a instalar un complemento de seguridad .
“WordPress hoy es un proyecto de software maduro y seguro, en el que confían millones de usuarios, que incluso incluye el sitio web oficial de la Casa Blanca. En términos de seguridad, el principal problema que estamos viendo es con los complementos de WordPress de terceros, con el 87% de las vulnerabilidades dentro de la base de datos de vulnerabilidades de WordPress de WPScan atribuidas a los complementos. Dicho esto, estamos viendo un aumento gradual en la calidad de los complementos en el repositorio oficial de complementos de WordPress. Para mantener seguro su sitio web de WordPress, le recomiendo que mantenga todo actualizado, elija una contraseña de administrador segura e instale un complemento de seguridad”. @Ryan Dewhurst: fundador y director ejecutivo de WPScan
¿Cómo puedo fortalecer la seguridad de mi sitio web de WordPress sin un complemento?
Las vulnerabilidades y las brechas de seguridad casi siempre están relacionadas con el mal comportamiento humano.
¡Entonces, la mejor manera de mejorar la seguridad de su sitio web es estar atento a algunas cosas!
Complementos y vulnerabilidades de temas
Según la base de datos de WPScan, el 95 % de las vulnerabilidades de WordPress provienen de temas y complementos .
Y el 95% de este 95% en realidad proviene de temas y complementos gratuitos.
La mejor manera de proteger su sitio web de los piratas informáticos es mantener actualizados los complementos y el tema . También debe eliminar todos los complementos innecesarios instalados en su sitio web.
Eliminar errores de PHP
Este consejo puede ser más complicado de implementar si no se siente cómodo con el lenguaje PHP.
Los complementos y temas pueden generar muchos errores de PHP.
La mayoría de ellos son inofensivos, pero algunos pueden poner en peligro su sitio web y provocar un tiempo de inactividad.
Para saber qué complementos generan errores de PHP, debe acceder al registro de errores de WordPress .
La forma más sencilla de hacerlo es instalar WP Umbrella .
Vaya a la pestaña Supervisión de PHP y habilite la vista avanzada.
Desde aquí puede acceder a todos los errores y la información relacionada necesaria para solucionarlos y hacer que su sitio web de WordPress sea más seguro .
“ Algunas personas piensan que un complemento no actualizado generará fallas de seguridad, como si estuviera creciendo en él. Por supuesto que no es así como funciona. Cada complemento, tema o incluso el núcleo de CMS tiene algún tipo de agujeros de seguridad, pero hasta que no se descubre, no es un problema. El problema existe cuando se descubren y no se solucionan, afortunadamente (o no) la comunidad de WordPress está llena de personas de sombrero blanco que revelarán los problemas de manera receptiva, por lo que cuando escuchas "este plugin/falla principal ha sido descubierta", ya está parcheado. . Julio Potier Director General @Secupress
Seleccione cuidadosamente su proveedor de alojamiento
No hace falta decir que seleccionar un alojamiento seguro también debe ser una de sus principales prioridades.
Antes de buscar complementos de seguridad, debe asegurarse de que su host de WordPress tenga medidas de seguridad significativas.
Estas son algunas de las medidas de seguridad que un buen proveedor de alojamiento de WordPress debería proporcionarle:
- Autenticación de dos factores;
- Bloqueo de GeoIP;
- cortafuegos de hardware;
- Conexiones SFTP y SSH cifradas;
- Copias de seguridad automáticas;
Kinsta, nuestro proveedor de hosting, ofrece todos estos servicios.
Cada sitio web su propia contraseña
Usar la misma contraseña para todos los sitios web es malo .
Usar la misma contraseña en varios es la mejor manera de ser pirateado.
No todos los sitios son seguros. Si usa la misma contraseña en todas partes y un hacker logra obtenerla, tendrá acceso a todas sus cuentas.
Debe elegir una contraseña diferente para cada sitio que utilice.
Los mejores complementos de seguridad de WordPress en 2021
Si tienes prisa, consulta esta tabla resumen. Si desea ver nuestro análisis en profundidad de cada complemento de seguridad, ¡siga leyendo!
| Enchufar | Características | Actuación | Apoyo | Precios | General |
|---|---|---|---|---|---|
| SecuPress |   | | | 69$ | |
| WPScan | | | | 5-25$/mes | |
| Seguridad de iTema | | | | 80$ | |
| WordFence | | | | 100$ | |
| Sucuri Seguridad | | | | 200$ | |
5. Complemento de seguridad de WordPress – WordFence
WordFence es el complemento de seguridad más popular. La licencia para 1 sitio web cuesta 99,99$. WordFence incluye:
- un firewall de aplicaciones web (WAF) que identifica y bloquea el tráfico malicioso. A diferencia de alternativas similares en la nube, WordFence no rompe el cifrado, no se puede eludir y no puede filtrar datos.
- un escáner de seguridad de WordPress que verifica los archivos principales, los temas y los complementos en busca de malware, puertas traseras e inyecciones de código.
- Protección de contraseña filtrada que bloquea los inicios de sesión de los administradores que utilizan contraseñas comprometidas conocidas.
- Autenticación de dos factores : esta es una de las formas más efectivas de detener los ataques de fuerza bruta de forma permanente.
El complemento de seguridad de WordFence no es el mejor complemento de seguridad de WordPress porque requiere muchos recursos de su servidor.
Esto puede ralentizar los tiempos de carga de su sitio web, lo cual es terrible para SEO y UX.
Además, en un entorno de alojamiento compartido, los activadores del complemento pueden generar problemas y estropear los datos almacenados en su base de datos.
Reseñas de WordFence
Las últimas reseñas en el Directorio de complementos de WordPress no son buenas, ya que 3 de cada 8 revisores se quejan de que su sitio web ha sido pirateado.
Los complementos más populares nunca son casi los mejores. ¡Este es el precio de la fama!
Reflexiones finales sobre el complemento de seguridad de WordFence
| General | |
| Características | |
| Actuación | |
| Facilidad de uso | |
| Apoyo | |
| Precios | |
4. Seguridad de iThemes: creada por los expertos en seguridad de WordPress
iThemes Security (anteriormente Better WP Security) le ofrece más de 30 formas de asegurar y proteger su sitio de WordPress .
Con +1 millón de instalaciones activas, es el segundo complemento de seguridad más popular del mercado. Las funciones de seguridad de iTheme incluyen:
- Protección de fuerza bruta de WordPress: las personas que intenten adivinar su contraseña serán bloqueadas después de algunos intentos.
- Detección de cambio de archivo : el complemento lo alertará si algún archivo cambia, para que sepa si ha sido pirateado.
- Detección 404 : si un bot está escaneando su sitio en busca de vulnerabilidades, generará muchos errores 404. El complemento bloqueará IP sospechosas generando errores 404 en masa.
- Copias de seguridad de la base de datos: el complemento le enviará regularmente copias de seguridad de su sitio web, para que no pierda ningún contenido si es pirateado.
iTheme Security tiene un panel agradable y fácil de usar. El complemento cuesta 80 $ por sitio web.
Reseñas de seguridad de iTheme y pensamientos finales
iTheme Security tiene un buen soporte, un tablero fácil de usar y consumirá menos recursos del servidor que WordFence. Es por eso que le aconsejo que elija la seguridad de iTheme en lugar de WordFence.
Pero hay muchos otros complementos de seguridad increíbles, ¡y deberías seguir leyendo este artículo!
| General | |
| Características | |
| Actuación | |
| Facilidad de uso | |
| Apoyo | |
| Precios | |
3. Sucuri Security: auditoría, análisis de malware y refuerzo de la seguridad
Sucuri es una autoridad reconocida a nivel mundial en todos los asuntos relacionados con la seguridad del sitio web de WordPress .
Ofrece a sus usuarios un buen conjunto de características de seguridad:
- Eliminar malware del sitio web : Sucuri Security lo ayuda a eliminar cualquier código malicioso en el sistema de archivos o base de datos de su sitio web.
- Eliminar estado de la lista negra : envía solicitudes de eliminación de la lista negra en su nombre.
- Repair SEO Spam : el complemento lo ayuda a rastrear el relleno de palabras clave y las inyecciones de enlaces.
- Firewall del sitio web : Securi ha desarrollado un firewall (WAF) para WordPress que bloquea los ataques filtrando el tráfico malicioso.
El complemento es uno de los complementos de seguridad más caros para WordPress : 200 $.
Revisiones de Sucuri Security y pensamientos finales
Securi Security es un buen complemento de WordPress y probablemente tenga uno de los mejores cortafuegos.
El complemento también proporciona escaneo a nivel de servidor y monitorea amenazas de seguridad nuevas y potenciales. Sin embargo, aumenta los tiempos de carga y la gente está realmente enfadada por esto.
Mi consejo : no vale la pena pagar 200 dólares por algo que ralentiza tu sitio web. ¡Sigue leyendo!
| General | |
| Características | |
| Actuación | |
| Facilidad de uso | |
| Apoyo | |
| Precios | |
2. WPScan – Base de datos de vulnerabilidades de WordPress
El complemento WPScan WordPress Security Scanner escanea su sitio web diariamente para encontrar vulnerabilidades de seguridad enumeradas en la base de datos de vulnerabilidades de WPScan .
A diferencia de otros complementos, WPScan no ralentiza sus sitios web de WordPress . La base de datos es mantenida por 3 personas, 100% dedicadas a la seguridad de WordPress.
Las características principales de WPScan también incluyen:
- Buscar archivos debug.log
- Compruebe si XML-RPC está habilitado
- Verifique los archivos de copia de seguridad de wp-config.php
- Buscar archivos de repositorio de código
- Comprobar los archivos de base de datos exportados
- Comprobar si se utilizan claves secretas predeterminadas
El complemento tiene precios mensuales: desde gratis hasta 25 $ por mes.
Reseñas de WPScan y pensamientos finales
WPScan tiene críticas fantásticas y los usuarios de WPScan parecen felices con la calidad del soporte brindado .
WPScan no ofrece algunas funciones de seguridad como WordPress Brute Force Protection o WordPress Firewall , pero es un complemento de escaneo increíble.
| General | |
| Características | |
| Actuación | |
| Facilidad de uso | |
| Apoyo | |
| Precios | |
1. SecuPress: complemento de seguridad premium de WordPress
SecuPress es otro gran complemento de seguridad para WordPress . Este complemento protegerá su sitio web de WordPress con escaneos de malware y bloqueará bots e IP sospechosas.
SecuPress ofrece a sus usuarios un conjunto útil de funciones de seguridad:
- Protección de fuerza bruta;
- IP bloqueadas y Firewall;
- alertas de seguridad;
- Escaneo de malware;
- Protección de llaves de seguridad;
- Detección de complementos y temas vulnerables;
- Etc,
Con 69$ (= 60€), SecuPress es el complemento de seguridad más asequible para WordPress .
Reseñas de SecuPress y pensamientos finales
SecuPress tiene excelentes críticas de la comunidad francesa de WordPress, donde Julio Pottier (CEO de SecuPress) contribuye a ayudar a los desarrolladores de WordPress a proteger su código .
| General | |
| Características | |
| Actuación | |
| Facilidad de uso | |
| Apoyo | |
| Precios | |
¿Y usted? ¿Cuál es tu plugin de seguridad favorito para WordPress ?