Mejores plugins de Seguridad para WordPress

Mejores plugins de Seguridad para WordPress
5 (100%) 1 vote

WordPress sigue siendo uno de los sistemas de gestión de contenidos más populares, con más del 58% de la cuota de mercado en enero de 2017.

Sin embargo, esta popularidad también hace que los sitios de WordPress sean un objetivo atractivo para los hackers. Según la empresa de seguridad de sitios web, Sucuri, el 75% de todos los sitios web pirateados en el primer trimestre de 2016 fueron construidos en la plataforma WordPress.

Debido a estas estadísticas, muchos han criticado WordPress como una plataforma insegura, pero este no es realmente el caso. WordPress en sí mismo no es inseguro debido a la mala estructura o codificación.

El hecho de que WordPress sea tan fácil de usar y accesible para todos significa que los usuarios inexpertos de la web con poco conocimiento de la seguridad en línea están a menudo en el control exclusivo de sus sitios y pueden introducir inadvertidamente puntos débiles a través de una mala gestión o falta de mantenimiento.

Cómo probar la seguridad de su sitio WordPress

WordPress sigue siendo uno de los sistemas de gestión de contenidos más populares, con más del 58% de la cuota de mercado en enero de 2017.

Sin embargo, esta popularidad también hace que los sitios de WordPress sean un objetivo atractivo para los hackers. Según la empresa de seguridad de sitios web, Sucuri, el 75% de todos los sitios web pirateados en el primer trimestre de 2016 fueron construidos en la plataforma WordPress.

Debido a estas estadísticas, muchos han criticado WordPress como una plataforma insegura, pero este no es realmente el caso. WordPress en sí mismo no es inseguro debido a la mala estructura o codificación.

El hecho de que WordPress sea tan fácil de usar y accesible para todos significa que los usuarios inexpertos de la web con poco conocimiento de la seguridad en línea están a menudo en el control exclusivo de sus sitios y pueden introducir inadvertidamente puntos débiles a través de una mala gestión o falta de mantenimiento.

Cómo mantener su sitio de WordPress seguro y a salvo de los piratas informáticos

Teniendo todo esto en cuenta, ¿cómo se asegura de que su sitio WordPress esté actualizado y seguro, y cómo evita introducir nuevas vulnerabilidades de seguridad al realizar cambios y actualizaciones?

Una de las bases de la seguridad de WordPress es asegurarse de que el código central, los temas y los plugins se actualizan regularmente. Como es fácil olvidarse de buscar actualizaciones regularmente, especialmente cuando estás administrando varios sitios, la forma más fácil de hacerlo es activar la función de actualización automática de WordPress.

Además de hacer esto, también debe hacer copias de seguridad de su sitio regularmente para asegurarse de que si se introducen errores en su sitio con el código actualizado, puede volver a la versión anterior fácilmente.

También debe asegurarse de que no está introduciendo debilidades de seguridad utilizando contraseñas inseguras. Otros pasos sencillos como renombrar el usuario predeterminado ‘admin’ también pueden ayudar a endurecer su instalación de WordPress. Si otros usuarios tienen acceso al sitio, asegúrese de que se aplique una política de contraseñas segura y desactive inmediatamente a los usuarios que ya no necesiten acceder al sitio.

Como la mayoría de las vulnerabilidades de WordPress se introducen a través de plugins, tiene sentido mantener la instalación de plugins al mínimo. Desinstale y elimine cualquier plugin que no esté siendo utilizado y, si administra muchos sitios, mantenga una lista de los plugins que se utilizan en cada sitio para que pueda realizar un seguimiento y tomar las medidas adecuadas si se descubren vulnerabilidades.

Aparte de estos pasos básicos, una de las mejores maneras de asegurarse de que su sitio WordPress es lo más seguro posible es siendo proactivo y escaneando y probando regularmente en busca de vulnerabilidades y malware.

Escanear su sitio web de WordPress en busca de vulnerabilidades

Hay varios servicios de seguridad que pueden escanear su sitio web y alertarle de cualquier problema de seguridad potencial.

Sucuri – Escáner de Seguridad anti Malware

Sucuri ofrece un explorador de sitios web gratuito que puede detectar el malware instalado y averiguar si su sitio aparece en alguna lista negra (lo que indicaría un sitio comprometido).

También comprobará si hay problemas que reduzcan la seguridad general de su sitio, como una versión anticuada de WordPress o la falta de cortafuegos en el sitio web.

Finalmente, el escáner le presenta una lista de enlaces y scripts que se encuentran en el sitio. No siempre ha sido obvio cuando un sitio ha sido pirateado, especialmente si el único daño es un enlace añadido o dos, por lo que esta información puede ser muy útil para ayudarle a detectar cualquier cosa sospechosa.

Este es un simple escáner web que no requiere acceso a su panel de administración o acceso ftp, pero puede no detectar todas las vulnerabilidades.

Sucuri también ofrece un servicio premium que monitoreará su sitio las 24 horas del día, los 7 días de la semana sin que usted tenga que correr el escáner manualmente, y automáticamente enviará alertas vía email y twitter. Este servicio también bloqueará las IPs si se detecta alguna actividad sospechosa, eliminará el malware por usted y eliminará su sitio de las listas negras una vez que haya sido limpiado.

https://sitecheck.sucuri.net/

Web Inspector

Web Inspector de Comodo CA proporciona un servicio similar a Sucuri a través de un formulario de presentación basado en web.

El análisis incluye la comprobación de listas negras, contenido de suplantación de identidad (phishing), malware e iframes, código, conexiones y actividad sospechosos.

Sin embargo, no hay ninguna advertencia sobre versiones o plugins de WordPress obsoletos, ya que se trata de una herramienta pensada para su uso en cualquier sitio, no sólo en aquellos construidos en WordPress.

https://www.webinspector.com/

Hacker Target WordPress Security Scan

Este servicio de Hacker Target es otro escáner en línea gratuito que le avisará de una versión desactualizada de WordPress y de la lista negra de Google.

También se detectan los plugins y temas en uso, así como los ID de usuario, la indexación de directorios y los sitios vinculados, JavaScript e iframes.

La suscripción a una cuenta de pago permite un análisis más profundo, que incluye la detección de temas y complementos vulnerables que están instalados pero no activos, la enumeración de nombres de usuario que pueden utilizarse para un ataque por fuerza bruta y el acceso a otros analizadores, incluidas las pruebas de servidores web y un analizador de vulnerabilidades del sistema.

https://hackertarget.com/wordpress-security-scan/

WPScans

 

WPScans ofrece un análisis básico gratuito que busca vulnerabilidades en WordPress y en los plugins, tal y como se enumeran en la base de datos de vulnerabilidades de WPScan.

Si te registras para obtener una cuenta gratuita, puedes configurar el escaneo automático con alertas de seguridad y recordatorios para actualizar WordPress tan pronto como haya nuevas versiones disponibles. También hay cuentas de pago disponibles con características adicionales.

https://wpscans.com/

Mejores Plugins de seguridad para WordPress

El uso de un plugin para detectar cualquier problema de seguridad o violación puede ser más efectivo que el uso de un escáner externo basado en la Web.

No sólo están diseñados específicamente para WordPress, sino que también como tienen acceso total al backend, es más probable que capten código y actividad sospechosos que los scripts que sólo pueden escanear el frontend de su sitio web.

Wordfence

Wordfence es uno de los plugins de seguridad de WordPress más completos disponibles y está disponible tanto en versión gratuita como premium.

El analizador busca archivos, temas y complementos modificados, analiza firmas de malware, puertas traseras y URL de suplantación de identidad (phishing).

La monitorización en tiempo real le permite ver todo el tráfico de su sitio para detectar cualquier actividad sospechosa.

Otras características de seguridad incluyen:

  • Cortafuegos
  • Bloqueo de ataques de fuerza bruta
  • Bloqueo manual
  • Escáner de malware
  • Vista en vivo de intentos de intrusión, visitantes e inicios de sesión
  • Función de reparación de archivos

La versión premium del plugin ofrece funcionalidad adicional incluyendo:

  • Alimentación de defensa contra amenazas en tiempo real para actualizaciones instantáneas de las nuevas amenazas a medida que se descubren
  • Comprobación y defensa de su IP contra el spam
  • Comprobación de si su dominio ha sido marcado como fuente de spam
  • Escaneo remoto del servidor
  • Auditoría de contraseñas
  • Filtro de spam de comentarios

Wordfence WordPress Security Plugin

iThemes Security

Anteriormente Better WP Security, este plugin ayuda a prevenir ataques automatizados y endurecer la instalación de WordPress.

Existe un analizador de vulnerabilidades con la oportunidad de solucionar los problemas instantáneamente, y cualquier cambio en el sistema de archivos o base de datos es monitoreado e informado.

Vulnerabilidades comunes de WordPress tales como URLs y nombres de usuario predeterminados del administrador, prefijos predeterminados de la base de datos y mensajes de error de inicio de sesión también son detectados y eliminados por este plugin.

La versión profesional del plugin tiene características de seguridad adicionales, incluyendo:

  • Autenticación de dos factores para mejorar la seguridad de inicio de sesión
  • Fácil actualización de las sales del paquete de trabajo y las claves de seguridad
  • Escaneado diario automático de malware con alerta por correo electrónico
  • Fuerte generador de contraseñas con opción de expiración
  • Registro de acciones
  • Comparación de archivos en línea para archivos básicos de WordPress

iThemes Security Pro

BulletProof Security

BulletProof Security es un popular plugin de seguridad de WordPress con versiones gratuitas y profesionales.

Ofrece algunas características de seguridad bastante avanzadas y la versión pro está disponible como un pago único sin cargos recurrentes.

El plugin realiza una serie de cambios en el núcleo de WordPress para hacerlo más seguro, como añadir un firewall y un registro de seguridad, proteger los archivos de configuración de .htaccess y cambiar la base de datos predeterminada y los nombres de administrador.

El analizador de vulnerabilidades busca carpetas de plugins ocultas que puedan utilizarse como puerta trasera, comprueba la configuración de WordPress en busca de configuraciones inseguras y encuentra y pone en cuarentena los archivos maliciosos.

BulletProof Security

Security Ninja Pro

Security Ninja Pro es un plugin premium que realiza más de 50 pruebas de seguridad y califica su sitio en función del rendimiento general de seguridad.

Las pruebas individuales que han pasado o fallado se identifican fácilmente mediante un sistema de semáforo codificado por colores.

Las pruebas incluyen la comprobación de las actualizaciones disponibles del núcleo, los plugins y el código temático, la comprobación de la seguridad de los nombres de usuario y contraseñas, la comprobación de los permisos de los archivos y la accesibilidad de los archivos de configuración, y otros puntos de seguridad.

Cada prueba tiene un enlace a más información y consejos para aprobar las pruebas que han fallado.

También hay una versión gratuita de este plugin disponible con funcionalidades más limitadas.

https://wpsecurityninja.com/

Sucuri

Así como los exploradores en línea libres y superiores del Web site, Sucuri está también disponible como un enchufe que incluya el endurecimiento de la seguridad, la exploración del malware, la supervisión de archivo, y el registro del acontecimiento de la seguridad.

Un cortafuegos también está disponible como una característica premium adicional.

Sucuri Security – Auditing, Malware Scanner and Security Hardening

 

Seguridad de WordPress – mantente alerta

A medida que los hackers se vuelven más sofisticados y los ataques a los sitios web continúan aumentando, es vital mantener un control estricto sobre la seguridad de su sitio.

Hay muchos servicios de escaneo de sitios web y plugins de seguridad de WordPress disponibles y hemos tocado sólo algunos de ellos aquí. Si nos hemos perdido su favorito, por favor mencione en los comentarios.

Cómo proteger una web creada con WordPress

En los últimos años se ha producido un aumento vertiginoso de las tasas de ciberdelincuencia. Los ataques contra personas y empresas son cada vez más frecuentes y sofisticados. Los sitios web personales y los blogs no son una excepción a esta tendencia.

No importa qué plataforma o servicio de alojamiento utilice, siempre hay riesgos y confusión para proteger el sitio de WordPress.

WordPress es una de las plataformas más populares de creación de blogs y sitios web, pero no es inmune a las amenazas de seguridad.

Afortunadamente, hay maneras simples de mantener nuestro sitio de WordPress seguro.

01. INSTALAR SÓLO PLUGINS DE CONFIANZA

Hay numerosos plugins disponibles para los sitios web de WordPress, y son estos plugins los que le dan a WordPress su impresionante rango de capacidades.

A través de los plugins, es posible ampliar el alcance de su sitio WordPress en gran medida, y a menudo una de las primeras cosas que el propietario de un nuevo blog o sitio web hará es mirar a través de los plugins disponibles.

Usted notará que hay una gama de plugins gratuitos y de pago, así como plugins de freemium que le permiten probar sus características de forma gratuita con la opción de actualizar a una versión de pago para acceder a más características.

Independientemente del tipo de plugin que busque, sólo debe descargar plugins de confianza.

Asegúrese de averiguar tanto como sea posible antes de obtener una implementación en su sitio WordPress y tenga en cuenta que es fácil para un actor malicioso crear un plugin que subvierte la seguridad de su sitio.

02. HABILITAR ACTUALIZACIONES AUTOMÁTICAS

Este es un importante consejo de seguridad para cualquier cosa relacionada con la tecnología. Periódicamente, WordPress y los desarrolladores de plugins publicarán actualizaciones de sus productos. Estas actualizaciones abordan vulnerabilidades de seguridad, errores y otros problemas que han surgido desde que se lanzó la versión anterior.

Al habilitar las actualizaciones automáticas, puede asegurarse de que su sitio en su conjunto, así como los plugins individuales que lo hacen tan rico en funciones, son tan seguros y eficientes como pueden ser.

03. USAR CONTRASEÑAS SEGURAS

Este es otro consejo de seguridad clave, no sólo para su sitio web de WordPress, sino también para su uso de la tecnología en general.

Las contraseñas seguras deben ser difíciles de adivinar, e idealmente, deben contener una combinación de letras mayúsculas y minúsculas, números y símbolos.

También es aconsejable utilizar una contraseña diferente para cada servicio que utilice.

La manera más fácil de encontrar una contraseña segura es idear una fórmula para ellos.

Por ejemplo, podría utilizar el nombre del servicio, más un nombre que tenga significado para usted y, a continuación, una secuencia de números y sus símbolos de teclado correspondientes (los símbolos que escriba manteniendo pulsada la tecla Mayúsculas y pulsando esas teclas).

Así que algo como WordPressAlexa2468″$^*. Esta contraseña será casi imposible de usar por la fuerza bruta, y es improbable que alguien la adivine.

04. HABILITAR LA AUTENTICACIÓN DE 2 FACTORES

La autenticación de 2 factores (2-FA) es otro medio simple pero altamente efectivo para añadir una capa de seguridad a su sitio.

Con 2-FA, cada vez que inicie sesión en su sitio web, no sólo tendrá que introducir su contraseña, sino también confirmar el inicio de sesión utilizando un código de una sola vez que se genera y se envía a una dirección de correo electrónico, o a su dispositivo móvil a través de SMS.

Esto significa que, incluso si alguien puede descifrar su contraseña, necesitará acceso físico a otro dispositivo o cuenta para iniciar sesión.

05. UTILICE UNA VPN

Con una VPN instalada, su dirección IP quedará enmascarada, lo que significa que no podrá ser rastreada mientras esté en línea.

Una VPN también cifrará su tráfico de Internet, lo que es esencial si utiliza regularmente Wi-Fi público. Los puntos de acceso público a Internet Wi-Fi son increíblemente inseguros y son un blanco fácil para los ataques del tipo “hombre en el medio”.

Si te conectas a tu sitio de WordPress en una red Wi-Fi pública, un atacante podría interceptar tu información de acceso. Con tráfico encriptado, esto no es un problema.

06. HACER COPIAS DE SEGURIDAD REGULARES

Hacer una copia de seguridad de su sitio web con regularidad asegurará que si algo sale mal, usted puede restaurar su sitio a su estado saludable anterior.

Debe intentar realizar copias de seguridad de sus datos de acuerdo con una programación regular o configurar copias de seguridad automáticas programadas para realizar copias de seguridad automáticas de su sitio todos los días o semanas.

Sin embargo, usted decide su horario, usted debe tratar de atenerse a él.

De esta forma, puede sincronizar las actualizaciones más importantes en torno a sus copias de seguridad, lo que garantiza que, si se producen errores, minimizará sus pérdidas.

07. CONCLUSIÓN SOBRE LA PROTECCIÓN DEL SITIO DE WORDPRESS

Mantener su sitio WordPress seguro debe ser siempre una prioridad para cualquier propietario de sitio web. Hacerlo es mucho más sencillo de lo que mucha gente cree.

Mientras que WordPress ofrece una gran seguridad incorporada, esto se puede mejorar aún más con algunos pasos sencillos por parte del propietario del sitio web.