Últimamente, unido a la creciendo popularidad de WordPress, cada vez hay más impresentables tratando de inyectar malware y otro tipo de software malicioso en instalaciones de WordPress, lo que viene de algún modo a certificar la mayoría de edad de este CMS y, en consecuencia, el interés de todos, con buenas y malas intenciones.
En realidad, mantener un WordPress Seguro es relativamente fácil, solo hay que seguir algunos consejos de seguridad para WordPress, pero nunca está de más ayudarse de herramientas, y cuanto más potentes mejor.
Pues bien, lo que te voy a presentar aquí hoy es hasta la fecha lo mejor que he visto para asegurar una instalación de WordPress …
Estoy hablando del mejor plugin de seguridad para WordPress que he conocido, con el que llevo haciendo pruebas desde hace casi un mes y con unos resultados realmente notables.
Me refiero a Wordfence Security, una completa suite de seguridad para WordPress, y a unos niveles de profesionalidad totalmente corporativos, que no tienen nada que envidiar a herramientas que cuestan miles de euros.
Lo mejor es que la versión gratuita es realmente completa, aunque la mejor opción es el pack Pro, por solo 17,95$ al año y sitio, que no es dinero si tenemos cariño por nuestra web.
Pero bueno, lo mejor es hacer lista de características, y te apunto al lado el pack que las cubre:
- Tráfico en tiempo real que muestra cuando te visitan los bots de buscadores (y otros), pudiendo discriminar por usuarios, IPs y más – Gratis
- Escaneo de archivos de la instalación de WordPress para búsqueda de infecciones. En caso de encontrar diferencias te ofrece enlaces para ver las diferencias en el código, editar el archivo o borrarlo, y si quieres ignorar la alerta, hasta nuevos cambios o siempre. También puedes restaurar el archivo original desde el repositorio oficial de WordPress.org con un clic (no recomendable para instalaciones que no sean en inglés, porque los compara con la versión en inglés y, por ejemplo, en español siempre detecta los cambios de la localización) – Gratis
- Alerta de archivos no estándar de la instalación de WordPress – Gratis
- Escaneo de archivos del tema WordPress para buscar infecciones, ofreciendo las mismas opciones anteriores – De pago
- Escaneo de plugins para buscar infecciones, y también puedes ver cambios, editar, etc – De pago
- Escanear comentarios para buscar URLs marcadas como webs de malware en listas negras – Gratis
- Escaneo de archivos malware conocidos – Gratis
- Escaneo de archivos que contengan URLs de malware y virus – Gratis
- Bloqueo de Googlebots falsos y crawlers agresivos – Gratis
- Escaneo de comentarios para bloquear URLs de malware y phising – Gratis
- Ocultación de la versión de WordPress – Gratis
- Bloqueo de ataques de acceso por fuerza bruta – Gratis
- Ver los principales «consumidores de contenido» – Gratis
- Ocultación de los mensajes de error de usuario y contraseña en el acceso a WordPress – Gratis
- Ver los errores 404 de página no encontrada – Gratis
- Escaneo de la memoria disponible – Gratis
- Escaneo e informe del entorno de software instalado en el servidor – Gratis
- Monitoreo de espacio en disco – Gratis
- Comprobación de seguridad en contraseñas – Gratis
- Escaneo de cambios de DNS – Gratis
- Monitoreo de IPs peligrosas – Gratis
- Firewall completo integrado, fácilmente configurable mediante reglas – Gratis
- Alertas configurables por email – Gratis
- Escaneos programados – De pago
- Bloqueos de acceso a tu web por país, pudiendo personalizar un mensaje o simplemente hacer una redirección – De pago
- Soporte premium – De pago
Como puedes ver, con esta suite de seguridad puedes desinstalar ya otra buena cantidad de plugins de seguridad, pues aúna en un solo software las características de muchos otros, ya sean limitadores de acceso, plugins para forzar contraseñas seguras, y muchos más.
Otra maravilla es que no tienes que volverte loco con los numerosos ajustes que ofrece, al principio se te ofrecen una serie de perfiles de configuración de seguridad a elegir:
- Nivel 0: Inhabilitar todas las opciones de seguridad
- Nivel 1: Protección ligera, solo con los básicos
- Nivel 2: Protección media, la adecuada para la mayoría de los sitios, y que funciona de coña sin tocar ningún ajuste
- Nivel 3: Alto nivel de seguridad, para utilizar cuando se tiene conocimiento de un ataque inminente
- Nivel 4: Nivel de Bloqueo, protege el sitio frente a ataques en marcha, a costa de molestias para algunos usuarios
- Nivel personalizado: se activa solo en cuando cambias algún ajuste.
En fin, totalmente recomendable, incluso en la versión gratuita, aunque la más recomendable es el Pack Pro, solo por el escaneo del tema y plugins, lo que lo convierten en un software imprescindible para cualquier usuario responsable de WordPress.
Nota final: si no puedes permitirte pagar el pack Pro puedes complementar lo que le falta a la versión gratuita de Wordfence mediante el plugin File Monitor Plus, que escanea de manera programada todos los archivos de tu instalación (plugins y temas incluidos) y te avisa por email cuando haya cambios.
¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!
Muchas gracias por todo lo que compartis. Tengo mi sitio realizado por mí ,con Wordpress y es muy útil toda la info y herramientas que brindan aquí.
Probaré esta herramienta.
Gracias nuevamente!
Saludos Cordiales
Hola
No entiendo muy bien, pero me parece ver que hace lo que el plugin wanguard, entre otras cosas. Es asi? Lo digo por cambiar el wanguard por este. No se si tengo algun otro plugin que podria sustituir este.
Salu2
Pues no, Wanguard es una especie de control de spam para BuddyPress, controla gente que usa instalaciones de BuddyPress con WordPress para hacer spam o blogs spam y esas cosas. Vamos, nada que ver con este.
Este es otro de los plugin que me da problemas con la memoria de mi hosting en 1and1 …
Hay un ajuste en el plugin para limitar la memoria que usará, revísalo y adáptalo a lo que te permita 1&1
Gracias por compartir esta suite.
Una pregunta, para «asegurar» que no entre malware en nuestra web es recomendable tener siempre la última versión de Woordpress instalada pero eso tiene sus problemas ya que pueden haber bugs en las últimas versiones, hay plugins que funcionan mal, etc. Tú qué recomiendas?
Muchas gracias una vez más. Un saludo.
Si tienes que elegir entre compatibilidad con plugins y tener actualizado WordPress la opción más segura y recomendable es actualizar WordPress, siempre habrá un plugin – más actualizado por su creador – que realice lo que necesitas.
¡Excelente aporte como siempre Fernando!
Hola, tu que conoces wordpress, sabes como se hace para que una plantilla descargada ya se por compra o gratuita quede igual que el demo, es decir, contenga la misma información (imágenes, textos, menus, etc). En joomla se hace instalando el «quickstart» de la plantilla, pero en wordpress aún no se. Gracias si puedes ayudarme a saber sobre el tema.
Ummmm .. estaba usando el Bulletproof security que hasta ahora me ha funcionado muy bien, alguien ha probado este? es mejor que el Bulletproof security?
Hola Fernando, muy buen artículo
Aprovecho para decirte que hace unos dias te envie un mail a [email protected]… para una propuesta.
Quizás no lo leiste aun.
Gracias y saludos
Si no te he contestado es que no me llegó
Voy a probarlo. 🙂
Hace rato que estaba buscando un plugin de seguridad que no fuera complicado de configurar 😀
Muchiiiisimas gracias Fernando.
He instalado tanto Wordfence como WordPress file monitor plus.
Excelente aporte. Lo poco que he podido comprobar hasta el momento ha sido que Wordfence me ha detectado unas cuantas diferencias en algunos archivos que fueron modificados por mí. Simplemente se dá a ignaorar dichos archivos hasta nuevos cambios en ellos y a seguir funcionando.
Un Saludo de Josean.
Fernando,
He instalado el plugin Wordfence. Hasta ahí todo correcto. Pero, tengo el siguiente inconveniente: cuando presiono «Star a Wordfence Scan» me aparece el siguiente error:
An error occurred
We could not determine how this WordPress server connects to itself. Please read the documentation we provide on this page which may help with this error. For your info, this machine’s hostname is: midominio.com
We tried the following URLs:
¿Me puedes ayudar con esto?
Tendremos que probarlo!
Hola Fernando,
cuando dice : How does Wordfence get IPs ( ultima parte de basic options): nos da 4 opciones, ¿podrias explicar que opcion es para que? no se muy bien cual elegir pues me dice : Please set this now to avoid spoofing attacks
gracias por tu atencion
Pues no lo he visto aún porque, creo que, es algo nuevo de la actualización de ayer ¿no?
no me habia avisado hasta la actualizacion, elegi uno y a tirar, pero estaria bien saber para que usar cada opcion.
te doy click porque la verdad me hace falta…gracias por esta ayuda..
Gracias por la info fernando implementando ya en los blogs
Mi Blog tiene informacion de criticas a personajes de mi Pais y por decir la verdad me han mandado 40mil peticiones en 2 horas y ya van varios dias seguidos que pasa lo mismo…. me la estan tumbando. Una de mis fallas esque no tengo ningun tipo de plugin de seguridad, ahora con este espero me de resultados
Hola Fernando, he visto que referencias este plugin para la seguridad de la web en WP, en tu artículo de RGPD, aunque el presente artículo ya tiene un tiempo. ¿Seguiría vigente tu recomendación de este plugin?
Gracias y enhorabuena por tus artículos!
En general sí, cumple para la RGPD que te avisa de posibles vulnerabilidades