WP Security
Antes de comenzar de hablar de los mejores plugins para proteger WordPress, nos gustaría destacar la importancia que tiene actualizar siempre a la última versión de WordPress, ya que cada nueva versión corrige la mayor parte de los fallos de seguridad detectados. Tener una versión de WordPress con varios años de antigüedad puede ser algo muy arriesgado, ya que podríamos ser infectados con algún código malicioso por algún hacker.
Para evitar que esto ocurra, además de disponer de la última versión, lo que podemos hacer es complementarlo con los mejores plugins para proteger WordPress. Algunos de estos plugins de WordPress nos aportan una completa seguridad a nuestro blog, y es por lo tanto, se trata de algo imprescindible y con el que debemos contar.
Últimamente muchos WordPress están sufriendo problemas serios de seguridad que afectan al uptime y a la estabilidad del sitio web, y en muchos casos hasta afectan a la estabilidad del servidor.
Una de las grandes ventajas de WordPress es que es el gestor de contenidos más utilizado, pero al mismo tiempo también es el gestor de contenidos al que le encuentran más rápido los fallos de seguridad debido a la gran cantidad de plugins y themes que existen, cualquier plugin o theme puede ser un fallo de seguridad importante si no se actualiza o si está mal desarrollado.
Mejores plugins para proteger WordPress
-
Wordfence Security
WordFence es uno de los plugins más utilizados para reforzar y mejorar la seguridad de WordPress, y aunque tiene bastante tiempo es uno de los más efectivos ya que nos permite proteger WordPress desde varios frentes al mismo tiempo.
Uno de los puntos fuertes de WordFence es que dispone de un buen motor de análisis de archivos que han cambiado o que han sido inyectados con código, lo malo es que a veces puede dar demasiados falsos positivos en los análisis, además nos permitirá ver en tiempo real el análisis de visitantes, aunque esto aumente de forma importante el consumo de recursos si el sitio web tiene tráfico.
WordFence intenta tener un mínimo impacto sobre el rendimiento del sitio web, por esta razón trae implementado un pequeño sistema de cache que se puede aprovechar al máximo en servidores web compatibles con .htaccess como Apache.
Por otro lado, WordFence dispone de un firewall muy potente que nos permite bloquear visitantes por país, zona del mundo o incluso por proveedor y user-agent.
Al igual que en el caso de All in One WP Security & Firewall, para aprovechar al máximo el potencial de WordFence debemos configurar el plugin entero, algo que requiere conocimientos avanzados para no tener problemas.
-
Protect admin
Otra de las decisiones que tenemos que tomar durante la instalación de WordPress es el nombre del primer usuario para acceder a la administración de nuestra web, usuario que por defecto tendrá permisos totales de gestión de la misma.
Durante años WordPress ha ofrecido un nombre de usuario por defecto que, por supuesto, no debes utilizar. Así que en el momento de elegir el nombre de tu primer usuario para acceder a WordPress no elijas aquellos nombres comunes para esta tarea, como admin, Admin, root, etc., ya que son los primeros que comprobará un hacker que quiera tomar posesión de tu web.
-
Utiliza una contraseña fuerte
Sé que es difícil de conseguir que me hagas caso con este truco tan básico, pero es fundamental que seas consciente de que cuanto más fácil de recordar (para ti) sea una contraseña, también será más fácil que los sistemas automáticos de acceso por fuerza bruta de los atacantes la consigan.
WordPress, en sus últimas versiones, incorpora un generador de contraseñas seguras y te “sugiere” utilizarlas. Ésta será siempre la mejor opción. Puedes, no obstante, saltarte esa recomendación y poner una contraseña sencilla, e insegura, pero estarías cometiendo el principal y más importante error de seguridad de todos los posibles.
Actualmente es innecesario utilizar contraseñas fáciles, pues todos los navegadores ofrecen la posibilidad de recordarlas por ti en tu ordenador. Así que usa siempre contraseñas seguras, que contengan letras en minúsculas, mayúsculas, números y caracteres especiales.
En caso de tener muchos usuarios registrados puedes incluso forzar el cambio de contraseñas para que sean todas seguras, incluida la de los administradores. Por ejemplo:
-
iThemes Security
iThemes Security antes se llamaba Better WP Security y desde hace un par de meses (más de medio año) se ha convertido en una solución muy completa para proteger WordPress, ya que nos permite realizar algunos cambios de parámetros que nos ayudaran a mantener WordPress fuera del alcance de intrusos y hackers.
Aunque muchos de nuestros clientes utilizan iThemes Security en sus instalaciones de WordPress, a nosotros personalmente no nos gusta debido a la cantidad de parámetros de configuración que tiene y lo difícil que nos puede poner el uso de WordPress como administradores a cambio de mucha más seguridad.
Aunque parece que iThemes Security te lleva de la mano durante todo el proceso de securizacion del sitio, la realidad no es así y si quieres aprovechar todo el potencial del plugin debes configurar bastantes parámetros, si no sabes muy bien como configurarlos lo recomendable es no hacerlo, ya que un paso en falso puede dejar tu WordPress inaccesible.
iThemes Security no dispone de ningún modulo que le permita limpiar virus o malware, pero si que dispone de un firewall con bloqueo muy potente y personalizable y un sistema que nos permite personalizar muchas partes de WordPress con el fin de mejorar su seguridad y prevenir posibles infecciones futuras.
-
Centrora Security
Centrora Security es una suite de seguridad para WordPress bastante potente y que por ello requiere una instalación muy profunda dentro de WordPress, integrándose con todas las partes del CMS y protegiendo la instalación en su totalidad.
Desgraciadamente no todo puede ser tan bonito, y es que la completa protección que ofrece Centrora impacta directamente en el rendimiento del sitio web o blog WordPress.
Por otro lado, Centrora ofrece algunas funcionalidades gratis, pero otras muchas son de pago, como es el caso del módulo “antivirus”.
En la parte gratuita Centrora nos ofrece un firewall bastante potente y muy configurable siguiendo un esquema de reglas normal, y una herramienta bastante buena que nos permitirá auditar la seguridad de nuestro sitio web para reforzar aquellas partes más indefensas.
Otro punto fuerte de Centrora es que nos protege contra posibles ataques o intentos de inyección usando parámetros GET en la URL, es decir, usando variables.
-
Antivirus para WordPress
Quizás este plugin es el más “flojo” de la lista, ya que solo tiene una funcionalidad: antivirus y antimalware para WordPres.
El funcionamiento del plugin es simple y simplemente dispone de una pantalla de configuración donde podemos realizar un análisis bajo petición de los archivos del theme para detectar código malicioso.
El propio plugin se encarga de analizar los archivos del theme una vez al dia para detectar malware y si es así nos avisa mediante un correo electrónico previamente configurado.
Desgraciadamente el plugin, en su intento por analizar de la forma más exaustiva el código, suele detectar bastantes patrones erróneos que provocan falsos positivos, por lo que no es un plugin recomendable para usuarios principiantes de WordPress.