Toda web, creada con WordPress o no, necesita ser segura por muchos motivos, como cumplir la legislación de privacidad, garantizar las transacciones en tu sitio y la seguridad e integridad de los datos de tus usuarios.
Por este motivo debemos siempre aplicar los básicos de seguridad a cualquier web, así como un mantenimiento web efectivo, también si está hecha con WordPress.
Lo bueno es que hay montones de empresas de alojamiento web realmente comprometidas con WordPress y su seguridad que cada vez incluyen más características específicas para nuestras webs, y además tenemos decenas de muy buenos plugins de seguridad para WordPress con los que proteger aún más nuestra instalación.
Llevo muchos años usando plugins de seguridad en mis webs y las de mis clientes, y he ido cambiando de uno a otro según la necesidad de cada sitio. En esta comparativa (permanentemente actualizada) analizo los mejores plugins de seguridad gratuitos para WordPress, centrándome exclusivamente en lo que ofrece cada uno sin pagar un euro.
¿Por qué solo versiones gratuitas? Porque con el tiempo me he dado cuenta de que casi nunca merece la pena pagar por las funcionalidades «pro» de estos plugins, ya que siempre hay algún modo de conseguirlas mediante otro método o plugin. Y como verás, afortunadamente aún hay plugins que ofrecen gratis lo que otros cobran.
Última actualización de esta guía: 15 marzo de 2026
Los plugins de seguridad gratuitos para WordPress analizados
Lo primero es hacer una breve descripción de los plugins de seguridad gratuitos para WordPress que he incluido en esta comparativa actualizada.
Wordfence Security
Wordfence sigue siendo el plugin de seguridad más popular con más de 4 millones de instalaciones. Su principal baza es el cortafuegos integrado y el escáner de malware, aunque la versión gratuita recibe las reglas de firewall con 30 días de retraso respecto a la premium.
Incluye 2FA por aplicación (TOTP) gratis y un monitor de tráfico en tiempo real que, aunque hay gente a quién le gusta, consume bastantes recursos del servidor y yo nunca recomiendo activarlo.
Solid Security Basic
Antes conocido como iThemes Security, Solid Security tiene más de 700.000 instalaciones. La versión gratuita se centra en la protección contra fuerza bruta, la detección de cambios en archivos y el refuerzo de contraseñas.
El problema es que funcionalidades tan básicas como la identificación en dos pasos (2FA), los dispositivos de confianza o el registro de actividad son exclusivas de la versión de pago (99 $/año). Una lástima, porque el plugin tiene potencial pero la versión gratuita se queda bastante corta.
All in One WP Security & Firewall
All in One WP Security (AIOS) es un plugin muy popular con más de 1 millón de instalaciones. Intenta aunar en un único plugin las funcionalidades que encuentras dispersas en otros, con una interfaz clara y explicaciones detalladas de cada opción.
Su versión gratuita es bastante generosa e incluye 2FA tanto por correo como por aplicación, cortafuegos con reglas 6G/8G, personalización de la URL de acceso y control de la API REST.
Sucuri Security
Sucuri, respaldado por la conocida empresa de seguridad (propiedad de GoDaddy), cuenta con más de 800.000 instalaciones. Su mejor baza es el monitor de malware sincronizado con SiteCheck.
Sin embargo, la versión gratuita de Sucuri se ha quedado muy atrás. No incluye cortafuegos (es premium, a 199 $/año), no tiene 2FA, no tiene cabeceras de seguridad y no ofrece protección de login más allá de las opciones básicas de refuerzo. Básicamente es un escáner y un registro de auditoría.
SiteGround Security
SiteGround Security sigue siendo una opción muy sencilla de configurar, con una interfaz limpia y funcionalidades bien seleccionadas. Aunque lo desarrolla SiteGround funciona en cualquier hosting.
Incluye 2FA por aplicación, cabeceras de seguridad básicas (HSTS, CSP, XSS) y un registro de actividad decente. Sin embargo, no tiene monitorización de archivos, algo que sigo echando en falta.
Vigilante
Vigilante es un plugin de seguridad 100% gratuito que incluye cortafuegos, 2FA, protección de login, cabeceras de seguridad HTTP, monitorización de integridad de archivos, registro de actividad, gestión de usuarios y un modo bajo ataque exclusivo, entre otro montón de funcionalidades. No hay versión premium, no hay funcionalidades de pago, no hay ventas cruzadas. Todo gratis.
Su mayor virtud es que reúne en un solo plugin funcionalidades que en otros están repartidas entre las versiones gratuita y de pago, o que directamente no existen. Incluye 162 funcionalidades de seguridad disponibles desde el primer momento.
¿Cómo se ha realizado la comparativa?
Para esta comparativa he instalado cada plugin en un sitio de pruebas limpio, sin ningún otro refuerzo de seguridad activo. He comprobado una por una las funcionalidades que ofrece cada plugin exclusivamente en su versión gratuita, verificando qué herramientas de seguridad están realmente disponibles sin pagar.
Me he centrado en las funcionalidades que considero más relevantes para la seguridad real de un sitio WordPress, agrupadas por categoría. No todas las herramientas de un plugin de seguridad son igual de importantes, pues por ejemplo, una cabecera CSP bien configurada aporta mucha más protección que poder cambiar el prefijo de la base de datos.
Tabla comparativa de plugins de seguridad gratuitos para WordPress
| Funcionalidad | Vigilante | Wordfence | Solid Security | AIOS | Sucuri | SG Security |
|---|---|---|---|---|---|---|
| Cortafuegos y protección de tráfico | ||||||
| Cortafuegos (WAF) | SÍ | SÍ * | NO | SÍ | € | SÍ |
| Protección contra inyecciones SQL | SÍ | SÍ | NO | SÍ | NO | SÍ |
| Protección contra XSS | SÍ | SÍ | NO | SÍ | NO | SÍ |
Limitación de tráfico (rate limit) |
SÍ | SÍ | NO | NO | NO | NO |
| Lista blanca y negra de IPs | SÍ | SÍ | SÍ | SÍ | NO | NO |
| Bloqueo de bots maliciosos | SÍ | SÍ | SÍ | SÍ | NO | SÍ |
| Bloqueo por User-Agent | SÍ | SÍ | NO | SÍ | NO | NO |
| Seguridad del inicio de sesión | ||||||
| Límite de intentos de acceso | SÍ | SÍ | SÍ | SÍ | NO | SÍ |
| Bloqueos progresivos | SÍ | NO | NO | SÍ | NO | NO |
| URL de acceso personalizada | SÍ | NO | NO | SÍ | NO | SÍ |
| Desactivar XML-RPC | SÍ | SÍ | SÍ | SÍ | SÍ | SÍ |
| Ocultar errores de acceso | SÍ | NO | SÍ | SÍ | NO | SÍ |
| Notificaciones de acceso por email | SÍ | SÍ | SÍ | SÍ | SÍ | SÍ |
| reCAPTCHA / CAPTCHA en login | NO | SÍ | € | SÍ | NO | NO |
| Identificación en dos pasos (2FA) | ||||||
| 2FA por correo electrónico | SÍ | NO | NO | SÍ | NO | NO |
| 2FA por aplicación (TOTP) | SÍ | SÍ | € | SÍ | NO | SÍ |
| Dispositivos de confianza | SÍ | NO | € | € | NO | NO |
| Cabeceras de seguridad HTTP | ||||||
| Content Security Policy (CSP) | SÍ | NO | NO | NO | NO | SÍ |
| HSTS | SÍ | NO | NO | NO | NO | SÍ |
| X-Frame-Options | SÍ | NO | NO | SÍ | NO | SÍ |
| Permissions Policy | SÍ | NO | NO | NO | NO | NO |
| Seguridad de usuarios | ||||||
| Forzar contraseñas seguras | SÍ | SÍ | SÍ | SÍ | NO | SÍ |
| Caducidad de contraseñas | SÍ | NO | NO | NO | NO | NO |
| Límite de sesiones simultáneas | SÍ | NO | NO | NO | NO | NO |
| Bloquear nombres de usuario inseguros | SÍ | SÍ | SÍ | SÍ | NO | NO |
| Bloqueo de enumeración de usuarios | SÍ | SÍ | SÍ | SÍ | NO | SÍ |
| Integridad de archivos | ||||||
| Verificación de archivos del núcleo | SÍ | SÍ | SÍ | SÍ | SÍ | NO |
| Detección de código sospechoso | SÍ | SÍ | NO | SÍ | SÍ | NO |
| Monitorización de cambios en archivos | SÍ | SÍ | SÍ | SÍ | SÍ | NO |
| Refuerzo general | ||||||
| Protección de archivos sensibles | SÍ | NO | SÍ | SÍ | SÍ | SÍ |
| Cambio de prefijo de base de datos | SÍ | NO | SÍ | SÍ | NO | NO |
| Control de API REST | SÍ | NO | NO | SÍ | NO | SÍ |
| Desactivar editor de archivos | SÍ | NO | SÍ | SÍ | SÍ | SÍ |
| Ocultar versión de WordPress | SÍ | NO | SÍ | SÍ | SÍ | SÍ |
| Desactivar pingbacks y trackbacks | SÍ | NO | NO | SÍ | NO | NO |
| Forzar HTTPS / contenido mixto | SÍ | NO | SÍ | SÍ | NO | SÍ |
| Otros | ||||||
| Registro de actividad | SÍ | SÍ | € | SÍ | SÍ | SÍ |
| Modo bajo ataque | SÍ | NO | NO | NO | NO | NO |
| Copia de seguridad de configuración | SÍ | NO | SÍ | SÍ | NO | NO |
| Preajustes de seguridad con un clic | SÍ | NO | SÍ | NO | NO | NO |
| Total funcionalidades gratis | 39 de 40 | 20 de 40 | 18 de 40 | 31 de 40 | 9 de 40 | 21 de 40 |
Leyenda: SÍ = Incluido gratis € = Solo en versión de pago NO = No disponible
* Las reglas del cortafuegos de Wordfence en la versión gratuita se actualizan con 30 días de retraso respecto a la versión premium. Durante un mes tu sitio queda expuesto a vulnerabilidades ya parcheadas.
Notas sobre la comparativa
Algunos apuntes para interpretar bien la tabla:
- Las categorías de cortafuegos, cabeceras HTTP e integridad de archivos son las que más peso tienen en la seguridad real de un sitio, y esto no es opinión. Que un plugin ofrezca muchas opciones de personalización no significa necesariamente que te proteja mejor.
- El cortafuegos de SiteGround Security se basa en reglas de
.htaccess, no es un WAF completo a nivel de aplicación como el de Wordfence o Vigilante, pero cumple su función para bloquear patrones comunes de ataque. - La caducidad de contraseñas y el límite de sesiones simultáneas son funcionalidades que solo ofrece Vigilante de forma gratuita. En un entorno con varios usuarios o colaboradores estas herramientas son muy valiosas, pero no tienen porqué serlo en webs de un único usuario.
- El modo bajo ataque solo lo tiene Vigilante y permite activar una protección de emergencia con un solo clic cuando tu sitio está siendo atacado activamente, con desafío JavaScript,
rate limitagresivo y desactivación automática a las 4 horas. De nuevo, no es imprescindible, y este tipo de defensas son mejores fuera del servidor, desde una CDN, pero en ocasiones es la única defensa ante ciertos ataques.
¿Qué plugin de seguridad gratuito para WordPress debería usar?
Una vez analizados los principales plugins de seguridad gratuitos para WordPress estas son mis conclusiones, tú verás lo que haces con ellas.
Plugins de seguridad que no recomiendo
Por supuesto esto es mi opinión, pero no recomiendo utilizar Sucuri Security en su versión gratuita. Lo que fue un plugin referente hace años se ha convertido en poco más que un escáner básico que te empuja constantemente a pagar 199 $/año para tener cortafuegos. Sin 2FA, sin cabeceras de seguridad, sin protección de login, sin rate limit, la versión gratuita se queda demasiado corta para ser tu plugin principal de seguridad.
Solid Security también me decepciona bastante, con lo que fue cuando se llamaba iThemes Security. Meter la identificación en dos pasos detrás de un muro de pago actualmente es difícil de justificar cuando la competencia la ofrece gratis. Si no puedes usar 2FA sin pagar 99 $/año, el plugin pierde mucho atractivo como solución gratuita de seguridad.
Plugin de seguridad más sencillo de configurar
Aquí sigue ganando SiteGround Security. Su interfaz es la más limpia y sencilla de todas, con cuatro secciones bien definidas y ajustes por defecto sensatos. Si buscas algo que funcione desde el primer momento sin complicaciones es una opción muy cómoda.
Vigilante le sigue de cerca, con sus preajustes de seguridad de un solo clic (estándar y máxima seguridad) que te permiten tener el plugin configurado en menos de un minuto. Para quien quiera más control, cada módulo se puede personalizar después.
Plugin de seguridad más completo
Sin discusión, Vigilante. Con 39 de las 40 funcionalidades analizadas disponibles gratis ningún otro plugin se le puede comparar. All in One WP Security le sigue con 31 de 40, que es un resultado más que respetable para su versión gratuita.
Para tener una perspectiva más amplia, en esta comparativa completa de 231 funcionalidades que hay en la web de Vigilante puedes ver en detalle cómo se comparan estos plugins funcionalidad por funcionalidad.
Plugin de seguridad que ofrece mejor protección
No es lo mismo tener muchas herramientas que tener las herramientas que de verdad sean importantes, y aquí es donde la diferencia se hace más que evidente.
Vigilante es el único plugin gratuito que cubre las tres áreas de seguridad más importantes a la vez:
- Cortafuegos completo con protección contra inyecciones SQL, XSS,
rate limity gestión de IPs. - Cabeceras de seguridad HTTP completas con CSP (incluyendo modo report-only y compatibilidad con maquetadores), HSTS, X-Frame-Options y Permissions Policy. Ningún otro plugin gratuito ofrece este nivel de control sobre las cabeceras.
- Seguridad de usuarios avanzada con caducidad de contraseñas, historial, límite de sesiones simultáneas y aprobación de registros.
Wordfence tiene un buen cortafuegos y escáner de malware, pero las reglas gratuitas llegan con 30 días de retraso y no ofrece cabeceras de seguridad ni gestión avanzada de usuarios. AIOS es el segundo más equilibrado en versión gratuita, pero le faltan las cabeceras de seguridad más relevantes (CSP, HSTS) y la gestión avanzada de contraseñas.
Mi recomendación
A día de hoy, Vigilante es el plugin que recomiendo, y de hecho lo estoy instalando ya por defecto en todas mis instalaciones y las de mis clientes. Es el único plugin gratuito que no te deja a medias, que no te empuja a pagar para tener lo básico y que cubre todas las áreas de seguridad que un sitio WordPress necesita. Está creado precisamente por ese motivo, para que la seguridad esencial no sea de pago, y cumple.
Puedes ver toda la información sobre el plugin, sus funcionalidades exclusivas y las capturas de su interfaz en la web oficial de Vigilante o si lo tienes empezar usarlo añadiéndolo a tu web desde el instalador de plugins de WordPress.
¿Es perfecto? No, le faltan cosas que AIOS ofrece gratis, y algunas como el reCAPTCHA que muchos usuarios aprecian.
Y me dirás, si no lo has pensado ya antes «pues claro, como que lo has hecho tú», y es verdad, pero es que precisamente lo creé para eso, para ofrecer seguridad a todos, y gratis, no gano nada con ello, y el resultado es un plugin que compite de tú a tú con los grandes, y ofreciendo más y mejor, no le veo problema alguno, y el primero que lo usa soy yo, pues de hecho era algo que ya utilizaba en mis clientes antes de compartirlo (gratis) con todos. Por supuesto, nadie está obligado a usarlo, eso además.
¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!
I’m a blogger in Vietnam, although I don’t speak Spanish, I used Google translate to understand the content you convey.
I have never used SiteGround Security because I am satisfied with WP Cerber
Thank you
You’re welcome 🙂
Hola Fernando,
mil gracias por este Post y por el webinar de ayer.
Para nosotros poder dejar Wordfence, el punto más importante sería la de «Limitación de puntuación» que te permite regular un tope por minuto de peticiones según tipo de boot, humano… y cuando se supera los bloquea temporalmente. Tras hablar con nuestro serv.tec. de servidor Siteground, indican que el exceso de boots fue el motivo de varias caídas de nuestro servidor, y con esta opción activada en las webs que más consumen, se solucionó.
Hay otra forma igual o mejor para regular esto, y que merezca la pena para dejar Wordfence? y usar solo SG Security?
muchas gracias!
Hola Bernat,
Pues si tienes claro que son bots se pueden hacer varias cosas…
– Bloquear esos bots desde .htaccess e intentarlo desde robots.txt
– Bloquearlos por IP a medida que los detectes en el registro de actividad de SG Security
– Bloquearlos por IP desde la herramienta de bloqueo de IPs de las Site Tools del panel de Siteground
Gracias Fernando. El tema es que somos una agencia hacemos muchas webs a las que siempre queremos dejarle plugins/herramientas de seguridad y lo que queremos es una herramienta que la dejemos instalada y trabaje para nosotros, como es el caso de Wordfence, ya que esta ya detecta los boots cuando se conectan y le aplica las reglas.
A diferencia de lo que comentas, lo que hace Wordfence no es bloquear para siempre, sinó limitar las conexiones contínuas excesivas a un valor que le damos por defecto según tipología de boot, y lo bloquea unas horas. Es decir que a diferencia de bloquear los boots por htacces como propones, él los limita solo un exceso de conexiones.
gracias!
Ya, entiendo, en automático
supongo que instalar varios para aprovechar las características de unos y otros no es buena idea
No suele serlo, salvo que seas muy cuidadoso en no activar la misma característica en ambos, eso sí podría crearte problemas 🙂
¡Hola Fernando! Como siempre, estupendo artículo. El caso es que cuando has mencionado lo de la nueva interfaz de iThemes no sabía bien a qué te referías; pero hoy lo he visto. ¡Madre mía, la que han preparado! Me resulta muy muy muy incómodo trabajar y configurarlo de esa forma. Posiblemente pase a considerar otras opciones, como bien sugieres. ¡Saludos!
Pues sí, la han cagado pero bien con el estudio de usabilidad 😀
Hola Fernando,
Vi el webinar que hiciste el otro día con Siteground sobre el plugin de seguridad. Como veo que SG Siteground no tiene firewall, se me ocurrió que podría instalar Sucuri Security y así tener la defensa. También, es porque ya me han inyectado spam y necesito limpiarlo.
¿Crees que podría existir algún problema de compatibilidad de instalar ambos plugins? Lo pregunto porque el Sucuri vale 200 dólares el año y antes de dar el paso, quería tu opinión como mi máximo experto en el ámbito si merecerá la pena.
Ya sé que comentaste que Wordfence con SG Siteground no, pero ¿y Sucuri? ¿Es la misma historia?
P.D: Por cierto, la contaminación vino por brecha de seguridad de CDMon (que ya me quité de ellos) en el que accedieron con las contraseñas FTP robadas previamente (palabras del informático de su equipo con el que hablé por teléfono). Ya estamos en otro sitio, todo limpiado dos veces, pero aún así me siguen saliendo páginas raras indexadas al cabo de un tiempo.
Lo quería comentar por si alguien me lee, que lo tenga en cuenta si está con este hosting.
¡Gracias!
Hola Gabriela, vamos por partes …
SiteGround ya tiene Firewall y detector de Bots, así que no necesitas el firewall de Sucuri, y de hecho te puede generar problemas (me ha pasado mucho con clientes) de redirecciones, IPs válidas bloqueadas, problemas con la CDN, contenidos que no indexan por bloqueos a bots válidos de buscadores, etc., etc., etc.
Además, el plugin SG Security añade lo que Wordfence y otros llaman Firewall, que no es tal, sino que es la cabecera X-XSS, que prevé de inyecciones de código por XSS, además de la cabecera de seguridad forzada HSTS si lo activas. Vamos, que la protección es muy buena.
¿Además necesitas protección contra spam? Eso es otra historia distinta, mete un plugin anti-spam, un captcha, un captcha oculto para spammers, cosas así.
En lo referente a páginas raras indexadas habría que verlo en detalle y tomar medidas, tanto internas de revisión de la base de datos y archivos por si hay residuo de la «contaminación», y externas pidiendo desindexados de URLs, si están asociadas a tu dominio, además de posibles redirecciones y más, pero ahí hace falta echarle rato, bien conmigo si quieres en una consultoría, o con cualquier profesional de seguridad WordPress que conozcas y en quien confíes.
Tampoco está de más aplicar otras medidas de refuerzo de seguridad, para las que ningún plugin te ayudará 🙂
¡Muchísimas gracias Fernando por tu respuesta tan rápida y tan completa!
Vamos allá… te escribo entonces primero para explicarte todos los detalles de lo ocurrido y para ver cómo me puedes ayudar, porque está siendo una pesadilla que dura demasiado tiempo.
¡Gracias!
Para mí hay un problema con algunos de los plugins que impacta dramáticamente sobre mi criterio de selección, y es el equilibrio entre recursos consumidos y una buena protección.
De Wordfence hace tiempo que huyo ya como la peste. No solo por lo que ya has expuesto en el artículo sino que hay veces que me he llevado la desagradable sorpresa de bloqueos estúpidos… incluso habiéndolo desinstalado (desinstalación defectuosa que afectó al .htaccess e incluso instalación en un wordpress de una carpeta por encima de la del wordpress en la que se desinstaló ¿?).
Así que como en la mayoría de instalaciones se utiliza un servidor compartido, ya me miro con lupa cómo afecta al rendimiento. No he probado el de SiteGround y de momento usando el All in one WP security no he tenido problemas (cambiando cabecera de BD, página de login, nombres de usuarios…) y el rendimiento de la web está a años luz de Wordfence.
El de SiteGround con ese 20% de consumo de recursos creo que estaría ahí ahí en los límites. Lo malo es que a poco que le añadan alguna característica más se convertirá en otro devorador. Le daré una oportunidad, por supuesto.
Saludos.
Si un plugin cumple con lo principal, lo siguiente es el rendimiento. Lo que nunca comprometería es seguridad por rendimiento. Primero seguridad y luego optimizaría los recursos utilizados.
Lo que hace que consuma ese porcentaje (recuerda, instalación casi sin nada, con lo que el porcentaje es engañoso) del de SG es debido al monitor de actividad. Eso sí, lo tengo en prácticamente todas las instalaciones propias y de clientes (más de 100) y no he notado reducción de rendimiento en ninguno de ellos. También tengo que decir que venían la mayoría de WordFence o iThemes Security.
Gracias por compartir tu experiencia e impresiones 🙂
Hola Fernando como siempre un gusto en buenos artículos, una consulta y disculpa lo básica que es.. pero en muchas tiendas que están iniciando al bajar woocommerce viene Jetpack el cual vendría como un antispam aunque tambien existe akismet, lo recomiendas tener en un mismo site si tiene sl sg security?
No hay ninguna pregunta básica Pablo 😉
En cuanto a lo de Jetpack instalado con WooCommerce es algo opcional, así que puedes desactivar y desinstalar sin problemas Jetpack, y luego, si quieres instalar solo Akismet, el antispam, que es totalmente compatible – y lo complementa- con SG Security.
Buenas noches Fernando:
Tengo una duda sobre el registro de actividad de los plugins de seguirdad y la RGPD. ¿Este registro de actividad que incluyen algunas plugins de seguridad es suficiente para cumplir la RGPD? ¿O hay que instalar un plugin específico?
Muchas gracias por todo tu trabajo de difusión de WordPress.
Saludos.
Hola! llegué aquí a través de un grupo de wordpress, y tienen excelente contenido ya te marco como favorito!
Quería contar mi experiencia, lamentablemente fui hackeado hace unos meses por anonymousfox, además de destruir el sitio logro ingresar al cPanel, si buscas anonymousfox cPanel aparece algo de info en cPanel. Quería saber si tenías algo de información al respecto. Por lo pronto limpie el hosting que estaba repleto de carpetas en la raíz, luego instalé el iThemes Security y la verdad es muy bueno, configuré lo de ocultar el wp-admin, etc. También protegí el archivo htaccess para que tenga solo permisos de lectura, tengo todo actualizado, pero realmente siguen bombardeando el sitio, siento que en cualquier momento van a encontrarle la vuelta, se han ensañado! Un saludo!
Si realmente tienen interés tarde o temprano es posible que te inyecten. Puedes tener todo protegido a tope pero siempre pueden encontrar una vulnerabilidad. Por nuestra parte nos toca ponérselo difícil, teniendo todo actualizado, usando buenas contraseñas que cambiamos cada poco tiempo, con archivos y bases de datos protegidas, y sobre todo, copias de seguridad, por si un día lo consiguen, tener una copia limpia.
Así es. Estoy leyendo varios artículos sobre el tema, y no reportan la vulnerabilidad, pero si todos reportan lo que me pasó en mi caso, los archivos que infectaron y las estructuras que generaron, hay más info por aquí: https://www.wordfence.com/blog/2021/06/service-vulnerabilities-shared-hosting-symlink-security-issue-still-widely-exploited-on-unpatched-servers/
saludos!
Y una pregunta… puedes instalar SG Securuty sin estar alojado en Siteground? ¿Funciona bien?
Perfectamente, lo uso por defecto en todas las webs de los clientes de mantenimiento web y es paz y amor, sin problemas.
Hola Fernando,
Gracias por tu presentación. Quisiera saber, si instalo SG security, qué plugin puedo añadir para cubrir los elementos importantes a cubrir. Mi hosting tiene firewall y tengo instalado antispam bee, updraft plus para las copias de seguridad y otros más.
Muchas gracias por tu atención, un abrazo
¿Qué otras funcionalidades querrías añadir?
Hola Fernando!
Aquí un completo novato en el mundo del desarrollo/diseño web y WordPress. Aún así ya estoy trabajando con 2 sitios creados completamente por mí y cuando me vi en la necesidad de abordar el tema de seguridad me fui ciegamente por la primer recomendación que fue «WP Cerber». Efectivamente me pareció demasiado confuso para un usuario novato y que da la impresión de ser muy completo, pero a las pocas semanas de haberlo instalado me bloqueaba el acceso a mi propio sitio web (bueno, técnicamente el de mis clientes).
Te agradezco mucho por el extenso trabajo que realizaste para la fácil comprensión de usuarios no tan experimentados y por haber explicado todo con detalle, definitivamente tu aporte es de mucha utilidad para diversas personas!
Gracias a ti por comentar 🙂
¡Ánimo!
Hola, Fernando. Aunque he accedido varias veces a este artículo, no había comentado antes, así que aprovecho para agradecerte por ahorrarme horas de investigación a mí y a los que siempre les recomiendo esta y otras entradas de tu blog: ¡Excelente trabajo!
Gracias Yordan 🙂
Hola Fernando, en base a tu análisis he reemplazado WP Cerber por All In One Security. Por otro lado en base a https://ayudawp.com/mejor-cortafuegos-firewall-wordpress/ he aplicado el nG Firewall. Mi consulta es si es conveniente habilitar alguna opción del firewall del plugin. Entiendo que sería contraproducente.
Como verás valoro y acepto tus recomendaciones.
Saludos y muchas gracias por compartir tus conocimientos.
El firewall del plugin aplica reglas antiguas del 7G así que con este ya lo tienes todo 😉
Gracias Fernando por tan completo artículo, te escuche en un webinar desaconsejar Wordfence, voy a quitarlo ahora mismo y poner el de SG. Mil gracias!
Ya digo siempre que es en mi humilde experiencia (varias), siempre mala, así que no puedo recomendarlo, aunque quisiera 🙂
Una combinación casi perfecta es:
SG Security + Firewall 7G + Protección archivos de sistema sensibles
Hola Fernando,
Lo primero de todo, muchas gracias por toda la información valiosa que compartes.
Como antiguo usuario de Wordfence y habiendo instalado SG Security me surgen algunas dudas a la hora de mitigar las carencias de este último.
Comentas que una buena combinación sería, “SG Security + Firewall 7G + Protección archivos de sistema sensibles”
¿A qué archivos de sistema te refieres? En el cuadro comparativo aparecía “Proteger archivos” en SG Security
Por otro lado para complementar la parte de cortafuegos y bloqueo de país (Wordfence lo hacía bastante automáticamente) ¿cuál sería una alternativa si no puedo contar con el cortafuegos de mi Hosting?
Muchisimas gracias de nuevo.
A lo de protección de archivos sensibles, SG Security hace lo propio en las carpetas de WP, solo faltaría proteger htaccess y wp-config.php, algo tan sencillo como cambiar permisos.
Lo del bloqueo por país, una función de pago de WordFence, se puede hacer desde el hosting (si es SiteGround), o sino desde CloudFlare o incluso de otras maneras.
Hola, Fernando, muchas gracias por tan valiosa información. Y le agradecería que me sacara de una duda: estoy construyendo una tienda online con Wordpress y Woocommerce y por defecto WP me instaló la versión gratuita de Loginizer, pero la quiero cambiar por All-In-One-Security. Mi pregunta es: para hacer este cambio debo desinstalar Loginizer y después instalar All-In-One-Security o puedo instalar este último y después eliminar Loginizer? Esto lo pregunto porque soy muy novato en tecnología y no quiero cometer algún error grave por posibles incompatibilidades entre estos dos plugins.
De nuevo mil gracias.
Hola Efraín, da igual el orden pero siempre es mejor quitar antes el que sobra, no sea que haya conflictos entre ambos.