¿Cuál es el mejor plugin de seguridad gratuito para WordPress? (2021)

Toda web, creada con WordPress o no, necesita ser segura por muchos motivos, como cumplir la legislación de privacidad, garantizar las transacciones en tu sitio y la seguridad e integridad de los datos de tus usuarios.

Por este motivo debemos siempre aplicar los básicos de seguridad a cualquier web, así como un mantenimiento web efectivo, también si está hecha con WordPress.

Lo mejor de todo es que hay montones de empresas de alojamiento web realmente comprometidas con WordPress y su seguridad que cada vez incluyen más características específicas para nuestras webs, y además tenemos decenas de muy buenos plugins de seguridad para WordPress con los que asegurar aún más la instalación de nuestra web o tienda online.

Llevo muchos años usando plugins de seguridad en mis webs y las de mis clientes, y he ido cambiando de uno a otro según la necesidad de cada sitio, pero nunca había compartido – hasta ahora – una comparativa sobre los mejores plugins de seguridad para WordPress.

Aunque en algunas webs he usado en muchas ocasiones versiones de pago (premium) de plugins de seguridad, con el tiempo me he dado cuenta de que casi nunca merece la pena pagar por estas funcionalidades «pro», pues siempre hay algún modo de conseguirlas mediante otro método o plugin.

Es por eso, y porque realmente pienso que no es necesario, que en esta comparativa me centraré exclusivamente en las versiones gratuitas de los plugins de seguridad para WordPress que he probado y analizado.

Los plugins de seguridad gratuitos para WordPress analizados

A continuación tienes una breve descripción de los plugins de seguridad gratuitos para WordPress que he incluido en la comparativa.

Wordfence Security

Con más de 4 millones de instalaciones probablemente sea el plugin de seguridad más popular de todos los de la comparativa, también impulsado por su fantásticos informes sobre seguridad WordPress que realizan en su web.

Sus características más populares son el cortafuegos gratuito integrado y el analizador de malware.

iThemes Security

Con más de 1 millón de instalaciones es otro de los plugins de seguridad para WordPress más populares, del que recientemente publiqué un tutorial actualizado.

En la última versión ha introducido un asistente y un sistema de protección inteligente mediante tipología de grupos de usuarios, especialmente útil para implementadores y desarrolladores a la hora de asegurar webs de clientes.

All in One WP Security & Firewall

El nombre lo dice todo, es un todo en uno, un intento de aunar en un único plugin de seguridad las funcionalidades que encuentras dispersas en otros.

Con más de 900 mil instalaciones es un plugin muy popular, con una interfaz muy clara y pantallas con amplias explicaciones de cada funcionalidad, algo muy de agradecer para usuarios novatos.

Sucuri Security

Avalado por la conocidísima empresa de seguridad, recientemente adquirida por GoDaddy!, este plugin cuenta con más de 800 mil instalaciones.

Su mejor baza es el monitor de malware sincronizado con su herramienta online gratuita SiteCheck.

WP Cerber Security

Este plugin de seguridad tiene una cantidad de herramientas realmente abrumadora, entre las que hay que destacar el detalladísimo registro de actividad en el sitio, ideal para administradores que dediquen mucho tiempo a vigilar todo movimiento en la web.

Con más de 200 mil instalaciones merecía estar en la comparativa.

SiteGround Security

Este es el chico nuevo en el mundo de la seguridad para WordPress. El plugin lleva disponible menos de 2 meses y ya tiene más de 100 mil instalaciones, y lo mejor de todo es que su uso no está limitado a webs alojadas en SiteGround sino que es totalmente funcional, y gratuito, en cualquier web.

Lo que más llama la atención de este plugin de seguridad gratuito para WordPress es su sencillísima interfaz y lo acertado de la selección de herramientas e incluso de las activas por defecto nada más instalarlo.

¿Cómo se ha realizado la comparativa?

Para hacer la comparativa he instalado los plugins en un sitio de pruebas sin ningún otro refuerzo de seguridad. Una vez instalado y activado cada plugin he comprobado sus funcionalidades y herramientas, revisado los archivos del sistema añadidos y/o modificados, así como el impacto del plugin en la base de datos y su rendimiento y consumo de recursos.

En lo que se refiere a este último concepto, el consumo de recursos, he analizado la web antes y después de activar cada plugin con sus herramientas fundamentales, revisando la cantidad de memoria, consultas y recursos que consume en la portada de la web.

Estas mediciones están realizadas con Query Monitor y P3 Plugin Profiler. Aquí tienes las capturas de sus mediciones de la web sin ningún plugin de seguridad activo.

En la tabla de la comparativa verás enumeradas muchas características, indicando qué plugin la incorpora y en qué medida, así como otros valores, como su impacto en la instalación e incluso tras su desinstalación.

Para finalizar, encontrarás mi valoración personal de cuál considero que es el mejor plugin de seguridad gratuito para WordPress según el tipo de usuario y necesidades.

Tabla comparativa de plugins de seguridad gratuitos para WordPress

Aquí tienes la tabla de resultados de la comparativa realizada.

Tabla comparativa plugins seguridad WordPress
Clic para ampliar

Notas sobre la comparativa

  • Las filas en negrita son herramientas de seguridad más importantes que el resto. Por ejemplo, es mucho más importante proteger el acceso mediante doble verificación (2FA) que cambiando la URL de acceso.
  • El cortafuegos no es tan relevante en la comparativa pues la mayoría de hosting actuales ya lo incorporan, y en algunos plugins no es tal sino una serie de reglas de protección de archivos.

Para aficionados a los datos de optimización

Si quieres echar un vistazo a las gráficas detalladas de rendimiento de la instalación de pruebas con cada plugin de seguridad activo aquí las tienes todas…

¿Qué plugin de seguridad gratuito para WordPress debería usar?

Una vez analizados los principales plugins de seguridad gratuitos para WordPress y registrados sus puntos fuertes y débiles, estas son mis recomendaciones…

Plugins de seguridad que no deberías utilizar

Por supuesto, esto es mi opinión, pero no recomiendo en absoluto utilizar Sucuri Security o Wordfence, pues ambos carecen de herramientas que me parecen imprescindibles para la seguridad de WordPress:

  • Protección de archivos (Wordfence)
  • Protección ante ataques XSS (ambos)
  • Desactivar XML-RPC (Sucuri)
  • Bloqueo de RSS (ambos)

Por otra parte, me ha sorprendido tristemente que solo SiteGround Security incorpore una herramienta para añadir cabeceras de seguridad, que en su caso añade las cabeceras HSTS, CSP y XSS.

Considero esto fundamental en un plugin de seguridad, y me parece sorprendente que plugins como Redirection incorporen esta herramienta y los plugins de seguridad más populares no lo hagan.

Plugin de seguridad más sencillo de configurar

Con enorme diferencia, el plugin más sencillo de configurar para cualquier tipo de usuario y conocimientos previos es SiteGround Security.

Las herramientas activas por defecto son seguras y las opcionales están perfectamente explicadas.

Además, la distribución de las secciones me parece la más acertada y sencilla de comprender:

  • Seguridad del sitio
  • Seguridad en el acceso
  • Registro de actividad
  • Acciones post-hackeo

Plugin de seguridad con más herramientas de seguridad

Si tenemos en cuenta solamente la cantidad, en este apartado el que gana por goleada es iThemes Security. Y no me refiero a la cantidad de herramientas que incorpora el plugin, sino que además sean herramientas realmente de seguridad.

Digo esto porque WP Cerber tiene una cantidad de ajustes abrumadora, que puede hacer parecer que es más completo, pero funcionalidades que con WP Cerber pueden requerirte decenas de clics, con los otros plugins las consigues con un solo clic.

Ahora ¿es el plugin que nos aporta más seguridad a nuestro WordPress? Pues no del todo, porque cantidad no es igual a calidad o importancia de las herramientas. Y, por ejemplo, iThemes Security no incorpora herramientas fundamentales como:

  • Bloqueo de RSS
  • Refuerzos post-hackeo

Además, estoy absolutamente decepcionado con el reciente cambio de interfaz y asistente de configuración, que en vez de ayudar hace todo lo contrario, complicando muchísimo configurarlo correctamente, a pesar de mis esfuerzos en explicarlo. Una pena.

Plugin de seguridad que ofrece mejor seguridad

Aquí no importa tanto cuántas herramientas de seguridad ofrece el plugin, sino cuán relevantes para la seguridad del sitio sean.

Y es que hay plugins en la comparativa con centenares de herramientas que, en realidad, no son realmente importantes para la seguridad de una web. ¿Aportan algo? sí, pero no son lo importante.

Me refiero a que una cabecera de seguridad es enormemente más importante para la seguridad de una web que la inhabilitación del clic derecho al navegar, por ejemplo.

Atendiendo a la dinámica de la comparativa, si tenemos en cuenta cuántos refuerzos de seguridad importantes (en negrita) incorpora cada plugin, el ranking quedaría así:

  1. SiteGround Security – 12
  2. iThemes Security – 11
  3. All in One WP Security – 9
  4. WP Cerber – 5
  5. Sucuri – 6
  6. Wordfence – 5

Nota: WP Cerber puntúa más que Sucuri aún teniendo menos herramientas importantes debido al apunte que hice anteriormente sobre las funcionalidades imprescindibles.

¿Sorprendido de que Wordfence, el plugin más popular y con más instalaciones sea el último de la lista? Yo también, pero por otra parte me confirma el problema que he estado viendo estos últimos meses con webs hackeadas que me ha tocado limpiar, que tenían activo Wordfence, incluso con la versión premium.

Al final es más importante la relevancia de las herramientas que su cantidad.

¿Es el ganador de la comparativa el plugin perfecto de seguridad?

No, para nada, como verás en la tabla a SiteGround Security le faltan aún algunas herramientas que considero fundamentales en un plugin de seguridad:

  • Monitor de archivos – Para detectar posibles hackeos y poder tomar medidas al respecto.
  • API REST segura – Es fundamental poder configurar el modo de acceso mediante la API REST de WordPress, pues cada vez hay más amenazas que usan este sistema.
  • Cabeceras de seguridad – A pesar de ser el único que añade cabeceras de seguridad, echo en falta la posibilidad de añadir más cabeceras de seguridad, como CSP, Content o Permissions.

Espero que sea debido a la novedad de este plugin, y que pronto incorporen estas funcionalidades y algunas otras también relevantes, como el cambio de prefijo de la BD, por ejemplo.

Por otra parte, aunque no es de los que más recursos consume está en el tramo medio, probablemente por el registro de actividad, algo a mejorar, igual que el borrado de las 2 tablas que deja en la base de datos cuando se desinstala.

Eso sí, sorprendentemente incluso para mi, actualmente es el que te recomiendo, y de hecho lo estoy añadiendo ya por defecto en todas mis instalaciones y las de mis clientes.

Es realmente sencillo de configurar, con unos ajustes por defecto seguros y adecuados, e incorpora la mayoría de los refuerzos de seguridad más importantes.

(24 votos, promedio: 4.7) Valora este artículo para ayudar a mejorar la calidad del blog

¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!

Sobre el autor

21 comentarios en “¿Cuál es el mejor plugin de seguridad gratuito para WordPress? (2021)”

  1. Tien Dung Dao

    I’m a blogger in Vietnam, although I don’t speak Spanish, I used Google translate to understand the content you convey.

    I have never used SiteGround Security because I am satisfied with WP Cerber

    Thank you

  2. Hola Fernando,
    mil gracias por este Post y por el webinar de ayer.

    Para nosotros poder dejar Wordfence, el punto más importante sería la de «Limitación de puntuación» que te permite regular un tope por minuto de peticiones según tipo de boot, humano… y cuando se supera los bloquea temporalmente. Tras hablar con nuestro serv.tec. de servidor Siteground, indican que el exceso de boots fue el motivo de varias caídas de nuestro servidor, y con esta opción activada en las webs que más consumen, se solucionó.

    Hay otra forma igual o mejor para regular esto, y que merezca la pena para dejar Wordfence? y usar solo SG Security?
    muchas gracias!

    1. Hola Bernat,

      Pues si tienes claro que son bots se pueden hacer varias cosas… 

      – Bloquear esos bots desde .htaccess e intentarlo desde robots.txt
      – Bloquearlos por IP a medida que los detectes en el registro de actividad de SG Security
      – Bloquearlos por IP desde la herramienta de bloqueo de IPs de las Site Tools del panel de Siteground

      1. Gracias Fernando. El tema es que somos una agencia hacemos muchas webs a las que siempre queremos dejarle plugins/herramientas de seguridad y lo que queremos es una herramienta que la dejemos instalada y trabaje para nosotros, como es el caso de Wordfence, ya que esta ya detecta los boots cuando se conectan y le aplica las reglas.
        A diferencia de lo que comentas, lo que hace Wordfence no es bloquear para siempre, sinó limitar las conexiones contínuas excesivas a un valor que le damos por defecto según tipología de boot, y lo bloquea unas horas. Es decir que a diferencia de bloquear los boots por htacces como propones, él los limita solo un exceso de conexiones.
        gracias!

  3. ¡Hola Fernando! Como siempre, estupendo artículo. El caso es que cuando has mencionado lo de la nueva interfaz de iThemes no sabía bien a qué te referías; pero hoy lo he visto. ¡Madre mía, la que han preparado! Me resulta muy muy muy incómodo trabajar y configurarlo de esa forma. Posiblemente pase a considerar otras opciones, como bien sugieres. ¡Saludos!

  4. Hola Fernando,

    Vi el webinar que hiciste el otro día con Siteground sobre el plugin de seguridad. Como veo que SG Siteground no tiene firewall, se me ocurrió que podría instalar Sucuri Security y así tener la defensa. También, es porque ya me han inyectado spam y necesito limpiarlo.
    ¿Crees que podría existir algún problema de compatibilidad de instalar ambos plugins? Lo pregunto porque el Sucuri vale 200 dólares el año y antes de dar el paso, quería tu opinión como mi máximo experto en el ámbito si merecerá la pena.
    Ya sé que comentaste que Wordfence con SG Siteground no, pero ¿y Sucuri? ¿Es la misma historia?

    P.D: Por cierto, la contaminación vino por brecha de seguridad de CDMon (que ya me quité de ellos) en el que accedieron con las contraseñas FTP robadas previamente (palabras del informático de su equipo con el que hablé por teléfono). Ya estamos en otro sitio, todo limpiado dos veces, pero aún así me siguen saliendo páginas raras indexadas al cabo de un tiempo.
    Lo quería comentar por si alguien me lee, que lo tenga en cuenta si está con este hosting.
    ¡Gracias!

    1. Hola Gabriela, vamos por partes … 

      SiteGround ya tiene Firewall y detector de Bots, así que no necesitas el firewall de Sucuri, y de hecho te puede generar problemas (me ha pasado mucho con clientes) de redirecciones, IPs válidas bloqueadas, problemas con la CDN, contenidos que no indexan por bloqueos a bots válidos de buscadores, etc., etc., etc.

      Además, el plugin SG Security añade lo que Wordfence y otros llaman Firewall, que no es tal, sino que es la cabecera X-XSS, que prevé de inyecciones de código por XSS, además de la cabecera de seguridad forzada HSTS si lo activas. Vamos, que la protección es muy buena.

      ¿Además necesitas protección contra spam? Eso es otra historia distinta, mete un plugin anti-spam, un captcha, un captcha oculto para spammers, cosas así.

      En lo referente a páginas raras indexadas habría que verlo en detalle y tomar medidas, tanto internas de revisión de la base de datos y archivos por si hay residuo de la «contaminación», y externas pidiendo desindexados de URLs, si están asociadas a tu dominio, además de posibles redirecciones y más, pero ahí hace falta echarle rato, bien conmigo si quieres en una consultoría, o con cualquier profesional de seguridad WordPress que conozcas y en quien confíes.

      Tampoco está de más aplicar otras medidas de refuerzo de seguridad, para las que ningún plugin te ayudará 🙂

      1. ¡Muchísimas gracias Fernando por tu respuesta tan rápida y tan completa!
        Vamos allá… te escribo entonces primero para explicarte todos los detalles de lo ocurrido y para ver cómo me puedes ayudar, porque está siendo una pesadilla que dura demasiado tiempo.
        ¡Gracias!

  5. Para mí hay un problema con algunos de los plugins que impacta dramáticamente sobre mi criterio de selección, y es el equilibrio entre recursos consumidos y una buena protección.

    De Wordfence hace tiempo que huyo ya como la peste. No solo por lo que ya has expuesto en el artículo sino que hay veces que me he llevado la desagradable sorpresa de bloqueos estúpidos… incluso habiéndolo desinstalado (desinstalación defectuosa que afectó al .htaccess e incluso instalación en un wordpress de una carpeta por encima de la del wordpress en la que se desinstaló ¿?).

    Así que como en la mayoría de instalaciones se utiliza un servidor compartido, ya me miro con lupa cómo afecta al rendimiento. No he probado el de SiteGround y de momento usando el All in one WP security no he tenido problemas (cambiando cabecera de BD, página de login, nombres de usuarios…) y el rendimiento de la web está a años luz de Wordfence.

    El de SiteGround con ese 20% de consumo de recursos creo que estaría ahí ahí en los límites. Lo malo es que a poco que le añadan alguna característica más se convertirá en otro devorador. Le daré una oportunidad, por supuesto.

    Saludos.

    1. Si un plugin cumple con lo principal, lo siguiente es el rendimiento. Lo que nunca comprometería es seguridad por rendimiento. Primero seguridad y luego optimizaría los recursos utilizados.

      Lo que hace que consuma ese porcentaje (recuerda, instalación casi sin nada, con lo que el porcentaje es engañoso) del de SG es debido al monitor de actividad. Eso sí, lo tengo en prácticamente todas las instalaciones propias y de clientes (más de 100) y no he notado reducción de rendimiento en ninguno de ellos. También tengo que decir que venían la mayoría de WordFence o iThemes Security.

      Gracias por compartir tu experiencia e impresiones 🙂

  6. Hola Fernando como siempre un gusto en buenos artículos, una consulta y disculpa lo básica que es.. pero en muchas tiendas que están iniciando al bajar woocommerce viene Jetpack el cual vendría como un antispam aunque tambien existe akismet, lo recomiendas tener en un mismo site si tiene sl sg security?

    1. No hay ninguna pregunta básica Pablo 😉

      En cuanto a lo de Jetpack instalado con WooCommerce es algo opcional, así que puedes desactivar y desinstalar sin problemas Jetpack, y luego, si quieres instalar solo Akismet, el antispam, que es totalmente compatible – y lo complementa- con SG Security.

  7. Antonio Campos

    Buenas noches Fernando:

    Tengo una duda sobre el registro de actividad de los plugins de seguirdad y la RGPD. ¿Este registro de actividad que incluyen algunas plugins de seguridad es suficiente para cumplir la RGPD? ¿O hay que instalar un plugin específico?

    Muchas gracias por todo tu trabajo de difusión de WordPress.

    Saludos.

  8. Hola! llegué aquí a través de un grupo de wordpress, y tienen excelente contenido ya te marco como favorito!
    Quería contar mi experiencia, lamentablemente fui hackeado hace unos meses por anonymousfox, además de destruir el sitio logro ingresar al cPanel, si buscas anonymousfox cPanel aparece algo de info en cPanel. Quería saber si tenías algo de información al respecto. Por lo pronto limpie el hosting que estaba repleto de carpetas en la raíz, luego instalé el iThemes Security y la verdad es muy bueno, configuré lo de ocultar el wp-admin, etc. También protegí el archivo htaccess para que tenga solo permisos de lectura, tengo todo actualizado, pero realmente siguen bombardeando el sitio, siento que en cualquier momento van a encontrarle la vuelta, se han ensañado! Un saludo!

    1. Si realmente tienen interés tarde o temprano es posible que te inyecten. Puedes tener todo protegido a tope pero siempre pueden encontrar una vulnerabilidad. Por nuestra parte nos toca ponérselo difícil, teniendo todo actualizado, usando buenas contraseñas que cambiamos cada poco tiempo, con archivos y bases de datos protegidas, y sobre todo, copias de seguridad, por si un día lo consiguen, tener una copia limpia.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Información base sobre privacidad:
  • Responsable: Fernando Tellado ([email protected])
  • Fin del tratamiento: Moderación de comentarios para evitar spam
  • Legitimación: Tu consentimiento
  • Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal
  • Derechos: Acceso, rectificación, portabilidad, olvido

 

Ir arriba Ir al contenido