Para muchos usuarios de WordPress, agregar funciones de refuerzo de seguridad a su sitio web se reduce a elegir entre Wordfence y Sucuri . Si bien hay muchas otras opciones, estas dos son tan populares que vale la pena saber cómo se comparan cara a cara. En este artículo, veremos de cerca estos dos complementos de seguridad de WordPress. Exploraremos sus ofertas gratuitas y premium y haremos recomendaciones sobre qué tipos de usuarios aprovecharán al máximo cada opción.
¡Vamos a sumergirnos!
Que estos dos complementos de seguridad se comparen todo el tiempo es bastante interesante porque ofrecen servicios bastante diferentes, al menos para los usuarios gratuitos. Y la cantidad de usuarios gratuitos para ambos es bastante grande. Los servicios básicos, sin embargo, logran el mismo objetivo final: proteger su sitio de amenazas como malware oculto , ataques de fuerza bruta y varios otros tipos de intrusiones y compromisos.
Debido a que Sucuri y Wordfence manejan esto a través de varios medios, eso significa que cada complemento es ideal para un conjunto diferente de usuarios. Ningún complemento de WordPress o plataforma de seguridad satisface todas las necesidades, pero ambos satisfacen necesidades específicas. Queremos analizar las diferentes formas en que los complementos protegen su sitio, Wordfence a través de medidas de seguridad preventivas y Sucuri con monitoreo del sitio y escaneo/eliminación de malware , para que pueda tomar la decisión más informada posible para mantener su sitio seguro.
Ambas herramientas podrían considerarse útiles complementos multisitio , que llevan sus características a todos los sitios de WordPress en su red. Sin embargo, queremos señalar que, a pesar de sus diferencias, cualquiera de las opciones proporcionará a su sitio un paquete de seguridad integral.
valla de palabras
Como plataforma, Wordfence está diseñado como un escudo frontal que protege su sitio de los ataques entrantes. Echemos un vistazo a cómo lo hace.
1. Configuración sencilla
La seguridad en Internet es un campo altamente técnico y complicado. La mayoría de nosotros no somos expertos en eso ni mucho menos. Wordfence es bueno para nosotros porque cuando está instalado y activado, simplemente funciona.
Sí, hay absolutamente ajustes para modificar y opciones para configurar. Pero incluso si nunca presiona otro botón, Wordfence bloqueará las amenazas entrantes a su sitio y lo mantendrá informado de lo que sucede mediante alertas por correo electrónico y alertas basadas en el tablero.
Es cierto que el tablero está un poco ocupado con pestañas, cuadros y enlaces en todas partes. Pero en términos de poner en marcha el complemento, se necesita muy poco esfuerzo y no hay antecedentes de seguridad reales.
2. Cortafuegos de aplicaciones web (WAF)
El corazón de la versión gratuita de Wordfence es WAF (frente a Sucuri, donde WAF es una característica premium). Desde la instalación, Wordfence coloca una barrera alrededor de su sitio y bloquea el tráfico sospechoso y los intentos de entrada. Dentro del firewall, los usuarios pueden bloquear países, rangos de IP o direcciones IP individuales.
Además, las funciones de lista blanca y lista negra le permiten permitir solo el tráfico de ciertos lugares, lo cual es una forma proactiva de mantener alejada la actividad sospechosa.
La limitación de velocidad es una característica increíble que Wordfence ofrece a través del WAF, ya que puede decidir cómo tratar a los diferentes bots y rastreadores en su sitio. usted determina si los humanos pueden acceder a una cierta cantidad de páginas o si alguien consume una cantidad excesiva de recursos del servidor.
La función de limitación de velocidad no solo ayuda con la protección del contenido y la estabilidad/rendimiento del servidor, sino que también puede limitar el daño que el malware puede causar a su sitio si de alguna manera se infecta.
3. Autenticación de dos factores (2FA)
La función más interesante que ofrece la versión gratuita de Wordfence es configurar la autenticación de dos factores para los usuarios de su sitio. En la sección Seguridad de inicio de sesión del elemento de menú de Wordfence, puede configurar 2FA para sus usuarios fácilmente mediante el uso de un código QR. Pueden optar por usar Google Authenticator, FreeOTP o una serie de otras aplicaciones y tokens 2FA.
En términos de seguridad pasiva, la autenticación de dos factores para los usuarios es una de las mejores formas de hacerlo. Incluirlo como una función gratuita en Wordfence es ir más allá en nuestra opinión.
4. Escaneo del sitio
¿Qué sería de un complemento de seguridad de WordPress sin un escaneo del sitio? Puede ejecutar un escaneo manualmente. O puede configurarlos para que se ejecuten automáticamente a horas determinadas.
Los escaneos de Wordfence son profundos porque el software existe en su servidor (frente a Sucuri, que es un escáner remoto). Los resultados son fácilmente descifrables con respuestas codificadas por colores. Muchos problemas que verá provienen de complementos o temas obsoletos. Pero si Wordfence encuentra malware o archivos sospechosos, puede eliminarlos inmediatamente desde la ventana de análisis. (Aunque siempre haga una copia de seguridad de su sitio antes de eliminar cualquier cosa).
La versión gratuita de Wordfence ofrece mucho a los usuarios. Ser un usuario gratuito tiene sus desventajas. No obtiene actualizaciones de firewall en tiempo real, listas negras de IP o firmas de malware. Cuando el equipo de Wordfence descubre problemas de seguridad, los parchea inmediatamente para los usuarios premium. Los usuarios gratuitos, sin embargo, obtienen esas correcciones 30 días después.
Además, con un plan premium, está pagando por soporte premium. Si algo le sucede a su sitio, tiene acceso al equipo de Wordfence directamente con muy poca demora.
Si ejecuta un sitio que trata con datos sensibles o confidenciales, la versión premium vale la pena, con diferencia. Para un solo sitio, eso cuesta $ 99 por año .
Sucuri
Sucuri, a diferencia de Wordfence, se basa en una plataforma externa que monitorea su sitio en busca de amenazas desde lejos. En lugar de usar los recursos de su servidor para colocar un escudo, Sucuri es más como un superhéroe, esperando a aparecer para salvar el día cuando esté en problemas.
1. Conexión API
Debido a que Sucuri no se basa en sus servidores, necesita una forma de conectarse de forma segura con el servicio. Sucuri se basa completamente fuera del sitio, lo que significa que debe generar una clave API desde el panel de control de WordPress para permitir que el servicio tenga acceso a su sitio.
En muchos sentidos, esta es una función superior a los análisis in situ de Wordfence. Si su sitio se desconecta, Wordfence también lo hace porque se almacena y se ejecuta en el hardware local. Sucuri, sin embargo, es externo, por lo que las amenazas que desconectaron su sitio en primer lugar aún pueden ser manejadas por la plataforma.
2. Fortalecimiento del sitio web
El endurecimiento del sitio web es una característica importante que Sucuri ofrece sobre Wordfence. La versión gratuita de Sucuri no ofrece un WAF, lo que significa que el tráfico de ciertas IP, países, rangos de IP y amenazas en tiempo real aún pueden llegar a su sitio. Sin embargo, el fortalecimiento del sitio web es un conjunto de reglas detalladas que pueden evitar que aquellos con acceso no autorizado realicen acciones específicas.
Por ejemplo, crear archivos PHP en los directorios centrales de WP, editar complementos y temas desde el tablero, incluso ofuscar la versión de WordPress en ejecución para disuadir a los piratas informáticos que buscan versiones desactualizadas.
Estas son medidas proactivas, en lugar de reaccionarias. Con Sucuri, te preparas para lo peor bloqueando con anticipación las vías de acceso más comunes.
3. Escaneo de malware
El escaneo de malware de Sucuri es una bolsa mixta. El escaneo en sí mismo es exhaustivo y absolutamente encontrará una serie de problemas y amenazas en su sitio (si se encuentra alguno). Sin embargo, es un escaneo remoto, e incluso su conexión API a su sitio no puede obtener acceso completo a su servidor. Su escáner viene con un descargo de responsabilidad que indica esto.
Sin embargo, según nuestra experiencia, los resultados del escaneo de Sucuri han sido precisos y encontraron algunas amenazas reales que no sabíamos que existían. Sin embargo, para obtener un análisis completo, debe pagar para que el equipo de Sucuri lo haga, lo que se siente como un recargo innecesario en un elemento aparentemente fundamental de un complemento de seguridad de WP.
Sin embargo, creemos que el escaneo remoto conectado a la API tiene un alcance más limitado porque puede escanear y reparar su sitio después de que un ataque lo haya dejado fuera de línea. Eso en sí mismo puede ahorrar tiempo e ingresos valiosos.
4. Seguridad de inicio de sesión.
Sucuri le permite rastrear a los usuarios que inician sesión en su sitio. Dentro del panel de complementos, puede buscar cualquier usuario que haya iniciado sesión, cualquier usuario que haya iniciado sesión actualmente y cualquier usuario que no haya podido iniciar sesión en su sitio. Esta característica puede ser la diferencia en un sitio seguro con una cantidad de usuarios felices o un sitio comprometido donde alguien tiene acceso que no debería.
Ver inicios de sesión fallidos puede indicar un ataque de fuerza bruta, mientras que ver a los usuarios conectados actualmente puede informarle qué cuentas ya se han visto comprometidas. Por ejemplo, Sucuri muestra que Bob Smith ha iniciado sesión en su sitio, pero Bob se retiró de su empresa hace tres años… es probable que algo ande mal y que el acceso no esté autorizado.
Todas las medidas preventivas, el fortalecimiento del sitio web y la protección con contraseña en el mundo son inútiles una vez que alguien tiene acceso legítimo a su sitio con permisos activos.
No tenemos reparos en decir que Sucuri es un servicio fantástico que protege su sitio web y merece un lugar como estándar de seguridad de WP. La versión gratuita de Sucuri funciona bien como escáner y herramienta donde puede ser proactivo contra las amenazas.
Sin embargo, si desea un enfoque más directo al usar Sucuri, deberá actualizar. La versión gratuita no viene con un WAF, que creemos que es necesario para la seguridad en estos días. Debe actualizar para habilitarlo.
Los planes para WAF Sucuri comienzan en $9.99 por mes . Sin embargo, esta es la parte donde las cosas se ponen difíciles. El plan de $9.99 no incluye limpieza de malware/hack (ni tampoco el plan de $19.98 por mes). Si se suscribe a su plan de plataforma a $ 199.99 por año , obtiene eso además de otras características como la integración de CDN y más.
Sin embargo, el verdadero escollo es que ninguno de los planes básicos de Sucuri ($9.99/mes para WAF o $199.99/año para plataforma) incluye soporte de certificado SSL existente. Dado que Google casi ha requerido que los sitios usen certificados SSL usándolos como un factor de rango de página, no tener compatibilidad con certificados SSL en los planes básicos hace que los planes básicos sean inútiles para casi todos los clientes .
Publicar un precio más bajo pero eliminar una característica tan fundamental como la compatibilidad con certificados SSL crea una idea falsa de que el servicio completo está disponible a ese precio, cuando en realidad no lo está. Los planes Pro son realmente los planes base, y el nivel Básico existe (aparentemente) como una estrategia de marketing para poder anunciar «planes tan bajos como $ 9.99 / mes» cuando ese plan es insostenible para la mayoría de los usuarios.
En realidad, los planes de Sucuri comienzan en $19,98 por mes para acceso WAF y $299,99 por año para la plataforma completa . Estos no son precios absurdos, y ofrecen excelentes características por esos precios. Sin embargo, no somos fanáticos de la forma en que se manejan los niveles de precios.
Wordfence contra Sucuri
Al mirar las versiones gratuitas de ambos, realmente se reduce a lo que necesita su sitio. Para los usuarios que lo configuran y lo olvidan, Wordfence se destaca. Los escaneos automatizados, las alertas por correo electrónico, la configuración WAF predeterminada lo suficientemente decente y la autenticación de dos factores hacen de Wordfence nuestra elección para los usuarios gratuitos . El complemento simplemente ofrece demasiado gratis para ser destronado.
Sin embargo, al mirar las versiones premium, los usuarios de Sucuri obtienen más valor agregado por su dinero . Donde las actualizaciones premium de Wordfence son buenas para mantener la protección de su sitio actualizada contra amenazas emergentes, Sucuri agrega bastante a las características que destacamos anteriormente. Integración de CDN, un WAF continuamente actualizado, protección DDoS y eliminación de malware/limpieza del sitio. Y más. Con eso en mente, Sucuri sale victoriosa.
Sin embargo, queremos matizar esto diciendo que Wordfence premium es 1/3 del precio de Sucuri premium. La diferencia de $99.99 por año y $299.99 no es insignificante. Con eso en mente, nuestra sugerencia es usar Wordfence para proteger su sitio de forma gratuita (o económica), y si necesita más funciones de seguridad, eche un vistazo a los planes de Sucuri para ver si su plataforma ofrece suficiente para la mayor seguridad. precio.
¿Cuáles han sido sus experiencias al tratar con Wordfence vs Sucuri?