Free Press

Antes de sumergirnos en algunos plugins de seguridad de WordPress, vamos a empezar con un ejemplo. Digamos que usted compra una nueva casa. Esta emocionante nueva inversión requiere un fuerte pago inicial que probablemente no estás acostumbrado a gastar. Y, por supuesto, le tocan los gastos de inspección antes de la compra. Luego vienen los pagos de la hipoteca y el seguro, que salen directamente de su bolsillo.

Dicen que la compra de un inmueble es una de las mejores inversiones que se pueden hacer, pero esa inversión es costosa. Para una inversión de tan alto valor (y algo que podría hacerte ganar mucho dinero en el futuro), ¿no querrías protegerla lo mejor posible?

Por eso compras un seguro y consideras la posibilidad de instalar un sistema de alarma o algunas cámaras de seguridad. Muchos expertos sugieren, al menos, colocar un cartel con el sistema de seguridad en la puerta, para ahuyentar a los que no quieren arriesgarse. Toda esta seguridad está destinada a proteger la inversión inicial, junto con el potencial de esa inversión en el futuro.

Y usted debe pensar de la misma manera cuando se trata de su sitio web de WordPress.

Empezar un blog, un sitio web de comercio electrónico o un sitio de pequeña empresa requiere una inversión inicial para los artículos de servicios y productos como alojamiento, temas, plugins y desarrollo de sitios web. Eso no incluye cualquier ayuda que deba contratar, como representantes de servicio al cliente o vendedores.

Esta inversión inicial por sí sola es suficiente para asegurar su sitio web desde el principio. Pero lo más importante es que te estás asegurando de no olvidarte de proteger el dinero potencial que vas a ganar en el futuro.

Por defecto, el núcleo de WordPress tiene algunas medidas de seguridad, pero no es nada comparado con lo que un plugin de seguridad de buena reputación hace por ti. Por ejemplo, los mejores plugins de seguridad de WordPress ofrecen lo siguiente:

• Monitoreo de seguridad activo
• Escaneo de archivos
• Escaneo de malware
• Monitoreo de listas negras
• Fortalecimiento de la seguridad
• Post-acciones de hacking
• Firewalls
• Protección contra ataques de fuerza bruta
• Notificaciones para cuando se detecta una amenaza de seguridad
• Mucho más

Su primera prioridad debe ser un alojamiento seguro

La seguridad de su sitio es tan buena como el backend y la base sobre la que se ejecuta. Por eso es importante, antes de buscar plugins de seguridad, que elijas un hosting de WordPress que tenga medidas de seguridad ya implementadas, como Kinsta. Muchas de estas salvaguardias se realizan a nivel de servidor, y pueden ser mucho más eficaces, sin perjudicar el rendimiento de su sitio. Por no hablar de que no tienes que perder el tiempo jugando con un montón de configuraciones de seguridad en los plugins que en usted puede incluso no entender su funcionalidad o propósito.

Aquí hay algunas características de seguridad que Kinsta ofrece en todos los planes de alojamiento gestionado de WordPress.

• Kinsta detecta los ataques DDoS, monitorea el tiempo de actividad, y prohíbe automáticamente las IPs que tienen más de 6 intentos de inicio de sesión fallidos en un minuto.
• Sólo se admiten conexiones SFTP y SSH encriptadas (no FTP) cuando se accede a sus sitios de WordPress directamente (aquí está la diferencia entre FTP y SFTP).
• Los firewalls de hardware, junto con las medidas de seguridad activas y pasivas adicionales están en su lugar para evitar el acceso a sus datos.
• Nuestras restricciones open_basedir tampoco permiten la ejecución de PHP en directorios comunes que son propensos a los scripts maliciosos.
• Kinsta utiliza contenedores Linux (LXC) en la parte superior de Google Cloud Platform (GCP) que proporciona un aislamiento completo no sólo para cada cuenta, sino para cada sitio de WordPress por separado. Este es un método mucho más seguro que el ofrecido por otros competidores. GCP también emplea el cifrado de datos en reposo.
• Kinsta sólo ejecuta versiones compatibles de PHP: 7.2, 7.3 y 7.4. Las versiones no soportadas de PHP son peligrosas debido a que ya no tienen actualizaciones de seguridad y están expuestas a vulnerabilidades de seguridad sin parchear.
• Nada es 100% a prueba de hackers, y es por eso que Kinsta proporciona correcciones de hackers gratuitas para todos los clientes.

Es importante tener en cuenta que muchos plugins de seguridad causan problemas de rendimiento debido a sus funcionalidades siempre activas y de escaneo. Por eso Kinsta prohíbe algunos (no todos) plugins de seguridad. Kinsta también utiliza equilibradores de carga con Google Cloud Platform, lo que significa que en algunos casos las características de bloqueo de IP de algunos plugins de seguridad no funcionarán como se pretende.

Si usted es un cliente de Kinsta le recomendamos utilizar una solución como Cloudflare o Sucuri, junto con Kinsta, si necesita protección adicional o ayuda para disminuir el tráfico de bots o proxies. Echa un vistazo a nuestro blog sobre cómo Sucuri ayudó a mitigar fácilmente un ataque DDoS. Para los usuarios de Cloudflare, estas son nuestras configuraciones de firewall recomendadas.

Sin embargo, no todos los host van a tener una seguridad tan estricta como la de Kinsta, y ahí es donde los plugins de seguridad de WordPress pueden ser muy beneficiosos.

Los mejores plugins de seguridad de WordPress en 2021

Si tienes prisa, no dudes en hacer clic en los siguientes enlaces para probar los plugins de seguridad y tomar tus propias decisiones. Si quieres ver nuestro análisis en profundidad, ¡sigue leyendo!

La mayoría de los plugins de seguridad que merecen la pena tienen un precio, pero hay algunos que vienen con una funcionalidad limitada de forma gratuita.

Hablaremos de los precios, pero es más importante entender lo que cada plugin va a hacer por ti. En última instancia, se trata de averiguar la mejor manera de mantener a los malos lejos de su inversión, y a veces eso significa gastar un poco de dinero.

1. Sucuri Security – Auditoría, escáner de malware y endurecimiento de la seguridad

El plugin Sucuri Security ofrece versiones gratuitas y de pago, aunque la mayoría de los sitios web deberían estar bien con el plugin gratuito. Por ejemplo, el firewall del sitio web requiere que usted pague por un plan de Sucuri, pero no todos los webmasters sienten que necesitan ese tipo de seguridad.

En cuanto a las características gratuitas, el plugin viene con la auditoría de la actividad de seguridad para ver lo bien que el plugin está protegiendo su sitio web. Tiene monitoreo de la integridad de los archivos, monitoreo de la lista negra, notificaciones de seguridad y endurecimiento de la seguridad. Los planes premium abren canales de servicio al cliente y escaneos más frecuentes. Por ejemplo, puedes querer que se realice un escaneo cada 12 horas. Para ello, tendría que pagar unos 17 dólares al mes.

Características que hacen de Sucuri Security una gran elección:

• Ofrece múltiples variaciones de certificados SSL. Usted tiene que pagar por estos, pero está disponible en los paquetes.
• El servicio al cliente está disponible en forma de chat instantáneo y correo electrónico.
• Usted recibe notificaciones instantáneas cuando algo está mal con su sitio web.
• La protección avanzada contra DDoS está disponible a través de algunos planes.
• Si usted no quiere pagar ningún dinero todavía recibe valiosas herramientas para el monitoreo de la lista negra, el escaneo de malware, el monitoreo de la integridad de los archivos y el endurecimiento de la seguridad.

Más información: Cómo configurar Sucuri Firewall (WAF) en su sitio de WordPress

iThemes Security

El plugin iThemes Security (anteriormente conocido como Better WP Security) es una de las formas más impresionantes de proteger su sitio web, con más de 30 ofertas para prevenir cosas como hacks e intrusos no deseados. Tiene un fuerte enfoque en el reconocimiento de las vulnerabilidades de los plugins, el software obsoleto, y las contraseñas débiles.

Aunque algunas características básicas de seguridad se incluyen con la versión gratuita, recomendamos encarecidamente actualizar a iThemes Security Pro por el bajo precio de $ 80 por año. Esto proporciona soporte con tickets, un año de actualizaciones del plugin y soporte para dos sitios web. Si desea proteger más sitios, tiene la opción de actualizar a un plan más caro.

En cuanto a las características principales de la versión pro, iThemes Security Pro proporciona una fuerte aplicación de contraseñas, el bloqueo de los malos usuarios, copias de seguridad de la base de datos, y la autenticación de dos factores. Estas son sólo algunas de las maneras de proteger su sitio con este plugin de seguridad de WordPress. Puedes activar 30 medidas de seguridad en total, lo que hace que iThemes Security Pro tenga un gran valor.

Características que hacen de iThemes Security una gran elección:

• El plugin de seguridad ofrece detección de cambios en los archivos, lo cual es importante ya que la mayoría de los webmasters no se dan cuenta cuando se manipula un archivo.
• Añade una capa extra de protección a tu inicio de sesión utilizando la integración de Google re.
• El plugin compara tus archivos principales de WordPress con la versión actual de WordPress, ayudándote a entender si hay algo malicioso en esos archivos.
• Actualiza tus sales y claves de WordPress para añadir una capa extra de complejidad a tus claves de autenticación.
• Puedes establecer un «Modo Ausente» para cuando no estés haciendo actualizaciones constantes en tu sitio y quieras bloquear completamente tu panel de WordPress a todos los usuarios.
• Otros elementos esenciales como la detección de 404, la protección contra la fuerza bruta y la aplicación de contraseñas fuertes.

Wordfence Security

Wordfence Security es uno de los plugins de seguridad de WordPress más populares, y por una buena razón. Esta joya combina la simplicidad con potentes herramientas de protección, como las robustas funciones de seguridad de inicio de sesión y las herramientas de recuperación de incidentes de seguridad. Una de las principales ventajas de Wordfence es el hecho de que puede obtener información sobre las tendencias generales del tráfico y los intentos de hackeo.

Wordfence tiene una de las soluciones gratuitas más impresionantes, con todo, desde bloqueos de firewall hasta protección contra ataques de fuerza bruta. Sin embargo, se vende una versión premium a partir de unos 99 dólares al año para un sitio. Los creadores del plugin también lo hacen más barato para los desarrolladores, proporcionando grandes descuentos cuando se registran claves para varios sitios. Por ejemplo, si compras más de 15 licencias, obtendrás un 25% de descuento o 74,25 dólares por licencia. En general, vale la pena considerar Wordfence si está desarrollando varios sitios web y quiere protegerlos a todos.

Características que hacen de WordFence Security una gran elección:

• La versión gratuita es lo suficientemente potente para los sitios web más pequeños.
• Los desarrolladores pueden ahorrar toneladas de dinero cuando se registran para múltiples claves de sitio.
• Tiene un conjunto completo de cortafuegos con herramientas para el bloqueo de países, el bloqueo manual, la protección contra la fuerza bruta, la defensa contra las amenazas en tiempo real y un cortafuegos de aplicaciones web.
• La parte de escaneo del complemento combate el malware, las amenazas en tiempo real y el spam. Escanea todos sus archivos en busca de malware, no sólo los archivos de WordPress.
• El plugin monitorea el tráfico en vivo viendo cosas como la actividad de rastreo de Google, los inicios y cierres de sesión, los visitantes humanos y los bots.
• Usted obtiene acceso a algunas herramientas únicas como la opción de iniciar sesión con su teléfono celular y la auditoría de contraseñas.
• El filtro de spam de comentarios elimina la necesidad de instalar un plugin separado para esto.
• Monitorea tus plugins y te avisa si han sido removidos del repositorio de plugins de WordPress (usualmente debido a que no son seguros o han sido hackeados) ya no son actualizados y han sido abandonados.

WP fail2ban

WP fail2ban entrega una característica, pero es una bastante importante: protección contra ataques de fuerza bruta. El plugin tiene un enfoque diferente que muchos ven como más eficaz que lo que se obtiene de algunos de los plugins de la suite de seguridad mencionados anteriormente. WP fail2ban documenta todos los intentos de inicio de sesión, independientemente de su naturaleza o éxito, al syslog usando LOG_AUTH. Usted tiene la opción de implementar una prohibición suave o dura, que es diferente del enfoque más tradicional de sólo elegir uno.

No hay mucho que saber en términos de configuración para el plugin WP fail2ban. De hecho, todo lo que tienes que hacer es instalarlo y dejar que haga su magia. Además, el plugin de seguridad de fuerza bruta es completamente gratuito, por lo que no tienes que preocuparte por gastar dinero. Este plugin es realmente un destacado, ya que los usuarios informan constantemente que funciona sin problemas.

Características que hacen WP fail2ban una gran elección:

• Elija entre bloques duros o blandos.
• Integra con CloudFlare y servidores proxy.
• Registra los comentarios para evitar el spam o los comentarios maliciosos.
• El plugin también registra información sobre el spam, pingbacks, y la enumeración de usuarios.
• También tiene la opción de crear un shortcode que bloquea a los usuarios inmediatamente antes de tener siquiera la oportunidad de llegar al proceso de inicio de sesión.

All In One WP Security & Firewall

Como uno de los plugins de seguridad gratuitos más repletos de características, All In One WP Security & Firewall proporciona una interfaz fácil y un decente soporte al cliente sin ningún plan premium. Este es un plugin de seguridad muy visual con gráficos y medidores para explicar a los principiantes métricas como la fuerza de la seguridad y lo que hay que hacer para hacer su sitio más fuerte.

Las características se dividen en tres categorías: Básico, Intermedio y Avanzado. Por lo tanto, usted todavía puede tomar ventaja del plugin si usted es un desarrollador más avanzado. Las principales formas en que este plugin funciona es mediante la protección de sus cuentas de usuario, el bloqueo de intentos forzados en su inicio de sesión, y la mejora de la seguridad de registro de usuario. La seguridad de la base de datos y de los archivos también está empaquetada en el plugin.

Características que hacen de All In One WP Security & Firewall una gran elección:

• El plugin de seguridad de WordPress tiene una herramienta de lista negra donde puedes establecer ciertos requisitos para bloquear a un usuario.
• Puedes hacer copias de seguridad de los archivos .htaccess y .wp-config. También hay una herramienta para restaurarlos si algo va mal.
• El plugin muestra un gráfico para especificar qué tan fuerte es su sitio web y un gráfico que designa puntos a ciertas áreas de su sitio. Es una de las mejores características para el usuario medio para visualizar lo que está pasando con la seguridad de un sitio.
• El plugin es gratuito sin ningún tipo de upsells en el camino.

Jetpack

La mayoría de la gente que usa WordPress está familiarizada con Jetpack, y es principalmente porque el plugin tiene muchas características, pero también es porque el plugin está hecho por la gente de WordPress.com. Jetpack está lleno de módulos para fortalecer sus redes sociales, la velocidad del sitio y la protección contra el spam. Hay tantas características en Jetpack que definitivamente vale la pena explorar.

Algunas herramientas de seguridad se incluyen con Jetpack también, lo que lo convierte en un plugin atractivo para aquellos que quieren ahorrar dinero y confiar en una solución de buena reputación. Por ejemplo, el módulo Protect es gratuito y bloquea la actividad sospechosa. La protección contra ataques de fuerza bruta y las listas blancas también son compatibles con la funcionalidad de seguridad básica de Jetpack.

Dicho esto, las versiones de pago de Jetpack son más potentes cuando se trata de la seguridad. Por ejemplo, el plan de 99 dólares al año incluye el escaneo de malware, las copias de seguridad programadas del sitio web y la restauración si algo va mal. Además, el plan de 299 dólares al año ofrece escaneos de malware a petición y copias de seguridad en tiempo real para la máxima protección.

Características que hacen de Jetpack una gran elección:

• El plan gratuito proporciona una cantidad decente de seguridad para un sitio web pequeño, luego puede actualizar a los planes premium de precio razonable y obtener soporte completo y un plugin que es uno de los mejores en el mercado.
• Los planes premium convierten el plugin en una suite, con beneficios como copias de seguridad, protección contra el spam y escaneo de seguridad.
• Las actualizaciones de los plugins se gestionan completamente a través de Jetpack.
• También obtienes monitorización del tiempo de inactividad.
• Jetpack es también un plugin que elimina la necesidad de otros plugins. Por ejemplo, tiene características para el marketing por correo electrónico, las redes sociales, la personalización del sitio y la optimización.

SecuPress

SecuPress es un plugin de seguridad más reciente en el mercado (originalmente lanzado como freemium en 2016), pero definitivamente es uno que está creciendo rápidamente. En realidad está desarrollado por Julio Potier, uno de los cofundadores originales de WP Media, a quien quizás reconozcas, ya que desarrollan WP Rocket e Imagify. Hay una versión gratuita y una versión premium que incluye un montón de características adicionales.

Si quieres un plugin de seguridad que tiene una gran interfaz de usuario y fácil de usar, SecuPress es definitivamente el plugin para ir con. La versión gratuita cuenta con inicio de sesión anti fuerza bruta, IPs bloqueadas y un firewall. También incluye la protección de sus claves de seguridad, así como bloquea las visitas de los bots malos (que por lo general tiene que pagar en otros plugins de seguridad).

Si quieres aún más características, sus versiones premium comienzan en $59 al año por sitio e incluyen características adicionales como alertas y notificaciones, autenticación de dos factores, bloqueo GeoIP, escaneos de malware PHP, e informes PDF.

Características que hacen de SecuPress una gran elección:

• ¡La interfaz de usuario en SecuPress es probablemente una de las mejores! Esto hace que sea muy fácil de usar, incluso para los principiantes.
• La versión premium definitivamente añade mucho valor. Comprueba 35 puntos de seguridad en 5 minutos, obtiene un buen informe y luego endurece tu sitio de WordPress.
• Incluye la capacidad de cambiar tu URL de inicio de sesión de WordPress para que los bots no puedan encontrarlo.
• Te ayuda a detectar temas y plugins que son vulnerables o que han sido manipulados para incluir código malicioso.

BulletProof Security

El plugin BulletProof Security tiene versiones gratuitas y premium. La opción de pago se vende por un pago único de 69,95 dólares y se desarrolla activamente, se actualiza, y probablemente contiene más características que la mayoría de los otros plugins de seguridad en el mercado. Ofrecen una garantía de devolución de dinero de 30 días, y usted recibe características para cuarentenas, alertas de correo electrónico, anti-spam, auto-restauración, y más.

Te sugiero que pruebes primero el plugin gratuito, ya que ofrece las siguientes herramientas:

• Seguridad de inicio de sesión y monitorización.
• Copias de seguridad y restauración de la base de datos.
• MScan Malware Scanner.
• Herramientas antispam y antihacking.
• Registro de seguridad.
• Carpetas ocultas de plugins.
• Modo de mantenimiento.
• Asistente de configuración completo.

No es el plugin de seguridad de WordPress más fácil de usar, pero hace el trabajo para los desarrolladores avanzados que quieren aprovechar las configuraciones y características únicas como la guardia anti-explotación y el decodificador Base64 en línea. También tiene una función de auto-fijación del asistente de configuración para ayudar a hacer un poco más fácil.

Características que hacen de BulletProof Security una gran elección:

• Tiene algunas de las herramientas de seguridad avanzadas más únicas en el mercado, con características como soluciones de cifrado BPS Pro ARQ Intrusion Detection and Prevention System (ARQ IDPS), así como crons programados, escaneos cURL, bloqueo de carpetas, y más.
• La versión gratuita está repleta de características suficientes para el sitio web promedio.
• Las copias de seguridad de la base de datos se proporcionan en la versión gratuita.
• Puede ocultar las carpetas individuales del plugin.
• La funcionalidad del modo de mantenimiento no es algo que usted encontraría en la mayoría de otros plugins de seguridad.

WPScan – WordPress Security Scanner

El plugin de seguridad WPScan WordPress tiene un enfoque diferente de la seguridad, ya que se aprovecha de una base de datos de vulnerabilidad curada manualmente que se actualiza por especialistas en seguridad dedicados y la comunidad en general sobre una base diaria. Patrocinada por Automattic, la base de datos incluye más de 21.000 vulnerabilidades de seguridad conocidas.

Gracias a ella, el plugin WPScan es capaz de escanear la versión principal de WordPress, los plugins y los temas en busca de vulnerabilidades de seguridad conocidas.

Además, el plugin también tiene varias otras comprobaciones de seguridad, como el escaneo de archivos de registro de depuración expuestos, archivos wp-config.php respaldados, usuarios con contraseñas débiles y más. WPScan tiene un plan de API gratuito que debería ser adecuado para la mayoría de los sitios web de WordPress, sin embargo, también tiene planes de pago para los usuarios que pueden necesitar más llamadas a la API.

Características que hacen de WPScan una gran elección:

• Utiliza su propia base de datos de vulnerabilidades constantemente actualizada
• Tiene opciones gratuitas y de pago dependiendo de tus necesidades
• Comprobaciones de seguridad adicionales
• Opciones para enviar notificaciones por correo electrónico cuando se descubren vulnerabilidades
• Puedes programar escaneos para que se ejecuten en momentos específicos

VaultPress

Es importante no olvidar VaultPress, ya que funciona de forma similar a plugins como iThemes Security Pro y Sucuri Scanner. Hay que pagar para obtener cualquier tipo de protección, pero los planes empiezan en sólo 39 dólares al año, lo que lo convierte en uno de los plugins de seguridad premium más asequibles. El sitio web afirma que este plan es más para las pequeñas empresas y los bloggers, pero también tienes la opción de actualizar a un plan más potente por 99 dólares al año o 299 dólares al año.

Las copias de seguridad diarias y en tiempo real son el pan de cada día, con una hermosa vista de calendario para especificar cuándo te gustaría completar tus copias de seguridad. También puede completar las restauraciones del sitio con un rápido clic del ratón. Además, los archivos de restauración se registran en el panel de control y se almacenan varios de ellos para que puedas elegir el que quieras. La mejor parte de VaultPress con respecto a las copias de seguridad es que son incrementales. Esto es genial para el rendimiento.

Las principales herramientas de seguridad monitorean la actividad sospechosa en tu sitio web, con pestañas para ver tu historial y ver qué amenazas han sido tratadas o ignoradas. También puedes consultar las estadísticas y gestionar todos los detalles de seguridad desde la comodidad de un panel de control limpio.

Características que hacen de VaultPress una gran elección:

• El precio es mejor que el de la mayoría de los otros plugins de seguridad premium para WordPress.
• El panel de control parece limpio y fácil de entender para todos los usuarios.
• Puedes hacer copias de seguridad en tiempo real o manuales utilizando un calendario.
• La pestaña de estadísticas revela información sobre las horas de visita más populares en tu sitio, a la vez que muestra las amenazas que se han producido durante esas horas.
• Puedes contactar con los expertos de VaultPress para que te ayuden con tareas como la restauración del sitio y las copias de seguridad.

Si quieres saber más sobre los plugins de copia de seguridad mejor valorados echa un vistazo a nuestra otra guía: 4 Best Incremental WordPress Backup Plugins (Save Space and Speed)

Google Authenticator – Two Factor Authentication

La mayoría de los plugins que tienen características de seguridad individuales no tienen mucho sentido para instalar. La razón de esto es porque normalmente puedes ir con un plugin como iThemes Security Pro y obtener esa característica junto con docenas de otras. Sin embargo, la autenticación de dos factores es una historia diferente, ya que parece que la mayoría de las suites de seguridad no la incluyen. Por lo tanto, podría tener sentido para endurecer su seguridad de inicio de sesión con un plugin como este.

El plugin Google Authenticator añade una segunda capa de seguridad a su módulo de inicio de sesión, que es bastante importante ya que la mayoría de los intentos de hacking ocurren con el inicio de sesión. Además de tu contraseña habitual, este plugin envía una notificación push a tu teléfono o alguna otra forma de autenticación como el uso de un código QR o la formulación de una pregunta de seguridad.

De esta manera, tu inicio de sesión se vuelve mucho menos penetrable ya que la segunda capa es muy probablemente algo que sólo tú conoces o tienes en tu persona (como tu teléfono).

Este plugin de seguridad para WordPress no requiere ningún pago, y la interfaz es bastante fácil de entender. Además de elegir el tipo de autenticación, otra característica interesante le permite especificar qué tipo de rol de usuario debe pasar por la autenticación. Así, puedes permitir que los administradores entren más fácilmente, pero puedes pedir que los autores u otros usuarios pasen por el proceso de dos factores.

El único problema es que la autenticación de dos factores dificulta bastante el inicio de sesión en tu backend con un dispositivo móvil.

Características que hacen de Google Authenticator una gran elección:

• Casi elimina la vulnerabilidad que supone tu área de inicio de sesión.
• Puede elegir qué método de autenticación de dos factores es el más fácil para usted.
• Puede seleccionar qué tipos de usuarios necesitan pasar por el proceso de autenticación.
• El plugin tiene un código corto para usar con páginas de inicio de sesión personalizadas.

Security Ninja

Security Ninja ha existido durante más de siete años. Comenzando como uno de los primeros plugins de seguridad vendidos en CodeCanyon (con cuatro complementos disponibles) se trasladó a un modelo freemium en 2016. Los complementos se abandonaron en favor de tener solo dos versiones: gratuita y premium. El módulo principal (que es el único disponible de forma gratuita) realiza más de 50 pruebas de seguridad que van desde la comprobación de archivos y permisos de MySQL a varios ajustes de PHP.

Security Ninja también hace una comprobación de fuerza bruta de todas las contraseñas de los usuarios para eliminar las cuentas con contraseñas débiles como «12345» o «contraseña». Esto ayuda a educar a los usuarios en la seguridad. Incluye un módulo de corrección automática, pero para aquellos que quieren entender lo que está pasando, hay una explicación detallada de cada prueba, incluyendo el código para arreglar manualmente el problema de seguridad. Si no te gusta que los plugins se metan con tu sitio, Security Ninja ofrece una buena alternativa al enfoque habitual de «haz clic aquí para arreglarlo». Otros módulos en la versión de pago, comienzan en $ 29 al año por sitio.

Características que hacen de Security Ninja una gran elección:

• El módulo probador de seguridad (disponible en la versión gratuita) realiza más de 50 pruebas de seguridad a través de su sitio.
• ¿No sabe de tecnología? No hay problema, el módulo de corrección automática puede resolver cualquier problema detectado.
• Escanea el núcleo de WordPress para asegurar la integridad de los archivos del núcleo comparándolos con una copia segura y más reciente de wordpress.org.
• Escanea plugins y temas en busca de código sospechoso y malware.
• Aprovecha una enorme lista de IPs malas conocidas y las bloquea automáticamente.
• Registra todos los eventos que ocurren en tu sitio de WordPress, desde los usuarios que inician sesión hasta las configuraciones que se cambian.
• Puedes programar escaneos regulares.

Defender

Defender es la seguridad por capas de WordPress hecha fácil, como estúpido, simple. Tanto la versión gratuita como la pro comienzan con una lista de las técnicas de endurecimiento más efectivas para actualizar al instante la seguridad de su WordPress.

Puede ejecutar escaneos gratuitos que comprueban si hay código sospechoso en WordPress. La herramienta de análisis de Defender compara tu instalación de WordPress con el directorio, informa de los cambios y te permite restaurar el archivo original con un clic. También ofrecen una versión profesional que incluye copias de seguridad en la nube con 10 GB de almacenamiento remoto, registros de auditoría para supervisar los cambios, análisis de seguridad automatizados y supervisión de listas negras. Sus expertos incluso le ayudarán a limpiar un sitio hackeado.

Características que hacen de Defender una gran elección:

• Verificación en 2 pasos de Google.
• Escaneo y reparación de archivos del núcleo de WordPress.
• Enmascaramiento de la pantalla de inicio de sesión.
• Administrador y registro de listas negras de IP.
• Escaneo ilimitado de archivos.
• Escudo de bloqueo de ataques de fuerza bruta para la protección del inicio de sesión.
• Limitador de 404 para bloquear los escaneos de vulnerabilidad.
• Notificaciones e informes de bloqueo de IP.

Astra Web Security

Astra Web Security es una «suite de seguridad» para su sitio de WordPress. Con Astra no tienes que preocuparte por el malware, SQLi, XSS, spam de comentarios, fuerza bruta y más de 100 amenazas, lo que significa que puedes deshacerte de otros plugins de seguridad &dejar que Astra se encargue de todo. El panel de control súper intuitivo de Astra no viene con un centenar de botones que te hacen sentir como si fueras un piloto en una cabina!

Muchas marcas de prestigio como Gillette, African Union, Ford, y Oman Airways utilizan la solución de seguridad de Astra. Sus precios comienzan a partir de $9/m y ofrecen un 20% de descuento si el plan se factura anualmente. En general, Astra puede ser una buena inversión si está planeando gastar dinero en la seguridad de su sitio web.

Características que hacen de Astra Web Security una gran elección:

• La solución de seguridad de Astra se instala como un plugin de WordPress & no hay necesidad de cambiar la configuración de DNS.
• Ofrecen una limpieza inmediata de malware, un firewall sólido como una roca que detiene ataques como SQLi, XSS, inyección de código, Bad Bots, fuerza bruta, spam de SEO, y otros 100+ ataques cibernéticos.
• Auditoría de seguridad completa, incluyendo la lógica de errores de negocio para su sitio web de WordPress.
• El panel de control intuitivo registra todos los ataques y le da la opción de bloquear o poner en la lista blanca a un país, un rango de IP o una URL, lista negra continua y monitorización de la reputación, notificaciones de inicio de sesión del administrador cada hora y mucho más.
• Una plataforma de gestión de seguridad de la comunidad o bug bounty gratuita en la que da a los hackers una forma segura de reportar cualquier vulnerabilidad que encuentren en su sitio web. Cada problema reportado es validado por los ingenieros de Astra.

Shield Security

La función número uno de Shield Security es asumir la creciente carga de seguridad de tu sitio. Todos tenemos poco tiempo, por lo que necesitamos defensas más inteligentes y un plugin de seguridad que sepa responder a las amenazas sin molestarte con correos electrónicos. Adecuado tanto para principiantes como para avanzados, Shield empieza a escanear y proteger tu sitio desde el momento en que lo activas. Todas las opciones están completamente documentadas, por lo que puede profundizar en la seguridad de su sitio en su tiempo libre.

El núcleo de Shield Security es gratuito para siempre. Los profesionales y las empresas que necesitan una protección más profunda y un soporte práctico las 24 horas del día, pueden obtener Shield Pro por sólo 12 dólares/sitio. La misión detrás de Shield Security es «que ningún sitio web se quede atrás»: el objetivo es hacer que la seguridad de grado Pro sea accesible para todos los sitios, no sólo para los más ricos. Pro trae más escaneos, que se ejecutan más a menudo, las políticas de contraseñas de los usuarios, los rastros de auditoría más grandes, el apoyo a WooCommerce, la supervisión del tráfico y las características que hacen que las políticas de seguridad más suave para sus usuarios.

Características que hacen Shield Security una gran elección:

• Uno de los únicos plugins de seguridad que restringen el acceso a su propia configuración a ciertos usuarios.
• Protección más inteligente con funciones que trabajan incansablemente en segundo plano sin molestarte con notificaciones.
• El único plugin de seguridad que ofrece tres tipos de autenticación de dos factores de forma gratuita y una opción para seleccionar qué usuarios pueden utilizarla.
• Actualizaciones Pro para todo el mundo a $12/sitio – precio por volumen sin la compra a granel.
• Pro ofrece 6x escaneos potentes para detectar problemas en todas las áreas de sus sitios.

Hide My WP

Hide My WP es un popular plugin de seguridad para WordPress que oculta el hecho de que está utilizando WordPress como su CMS a los atacantes, spammers, y también a los detectores de temas como Wappalyzer o BuiltWith.

Este plugin de seguridad incluye un detector de intrusiones (IDS) de última generación para bloquear en tiempo real ataques de seguridad como inyección SQL, XSS y otros. Hide My WP es un plugin de seguridad premium para WordPress que puedes conseguir a $24. Nota: Ciertas características de este plugin podrían no funcionar en Kinsta.

Características que hacen de Hide My WP una gran elección:

• Oculta el nombre del tema, los plugins, cambia los permalinks, oculta wp-admin, la URL de inicio de sesión, y más.
• Bloquea el acceso directo a los archivos PHP, limpia los nombres de las clases de WP, deshabilita el listado de directorios.
• Notifica sobre cualquier mal comportamiento potencial con los detalles completos del atacante incluyendo el nombre de usuario, la dirección IP, la fecha, etc.
• Incluye una «red de confianza2 que bloquea automáticamente el tráfico de malas direcciones IP de origen.
• Fácil de usar, elegir entre los ajustes pre-hechos para el despliegue de un solo clic.
• Compatible con multi-sitio, apache, Nginx, IIS, temas premium y otros plugins de seguridad.

WebARX

WebARX es una plataforma de seguridad de sitios web de primera calidad que soporta cada aplicación PHP. WebARX es conocido sobre todo por su avanzado firewall de punto final, que le permite controlar completamente el tráfico entre sus sitios web a través de su panel de control basado en la nube. De hecho, WebARX tiene un firewall de aplicaciones web gestionado que protege su sitio de las vulnerabilidades de los plugins, los ataques de bots y del tráfico falso.

Este plugin le permite crear sus propias reglas de firewall, endurecer su instalación de WordPress, crear copias de seguridad, controlar el tiempo de actividad y los problemas de seguridad, recibir alertas, exportar informes y mucho más. También es bastante fácil de configurar.

Características que hacen de WebARX una gran elección:

• Cortafuegos avanzado para sitios web (completamente personalizable desde el portal de WebARX).
• Parcheo virtual que recibe automáticamente reglas para parchear vulnerabilidades de plugins y temas.
• Dureza de la instalación de WordPress: 2FA, re, añadir automáticamente cabeceras de seguridad, bloquear ataques de fuerza bruta, cambiar wp-admin, añadir cookies, etc.
• Monitoreo del tiempo de funcionamiento: recibe alertas de Slack y de correo electrónico cuando un sitio se cae.
• Informes de seguridad personalizados en PDF (personalícelos con su propio logotipo para enviarlos a los clientes).
• Seguridad centralizada para sitios web ilimitados.

¿Qué plugin de seguridad para WordPress es el mejor para ti?

Ahora que hemos recorrido los mejores plugins de seguridad para WordPress, echa un vistazo a nuestras principales recomendaciones a continuación. Esto hace que sea más fácil para usted seleccionar uno o dos plugins sin tener que probar cada uno de ellos. Recuerde, que dependiendo de lo que su host de WordPress ya ofrece, los plugins de seguridad pueden no ser necesarios.

Estas sugerencias se centran en ciertas situaciones en las que podría elegir un plugin de seguridad sobre otro.

• Para el mejor valor – Sucuri Security, SecuPress, Jetpack, iThemes Security, Shield Security, y WPScan.
• Si desea un plugin de seguridad de WordPress gratuito – All In One WP Security & Firewall, Sucuri Security (versión gratuita,) o Wordfence Security.
• Si buscas un plugin de seguridad para principiantes – All In One WP Security & Firewall, Security Ninja, o Defender.
• Cuando necesites un plugin de protección de fuerza bruta más avanzado – WP fail2ban o Astra.
• Si desea la autenticación de dos factores – Google Authenticator – Two Factor Authentication.
• Para una hermosa interfaz – SecuPress o VaultPress.

Además de la instalación de un plugin puede tomar otras medidas para mejorar la seguridad de sus sitios. Por ejemplo, la solución de gestión de claves fuera del sitio de Lockr (este es un servicio premium) protege contra las vulnerabilidades críticas del sitio y ayuda a asegurar sus datos. Una simple integración está disponible para WordPress.

Por supuesto, no podemos cubrir todos los plugins que hay. Estos son simplemente los que recomendamos en base a nuestra experiencia con los usuarios. Si hay alguno que crees que debería estar incluido en esta lista, háznoslo saber abajo en los comentarios.

Si tienes un sitio de comercio electrónico, asegúrate de leer nuestra guía sobre la Prevención del Fraude en el Comercio Electrónico.