Comparación de los 12 mejores plugins de seguridad para WordPress (2021)

La seguridad es esencial, tanto si tienes un blog, la web de una pyme o una tienda de comercio electrónico. Después de todo, si piratean tu sitio web, corres el riesgo de que se dañe tu reputación, de perder archivos y bases de datos, de que tu posicionamiento SEO se vea perjudicado o de dejar los datos personales de clientes y visitantes en manos de los hackers. 

Como en muchas otras cosas en la vida, prevenir es mejor que curar. Por suerte, WordPress te lo pone fácil para proteger tu sitio y prevenir cualquier ataque.

Vamos a echar un vistazo detallado a 12 de los mejores plugins de seguridad para WordPress, los compararemos en diferentes áreas y te ayudaremos a elegir el plugin perfecto para tu sitio. Además, responderemos a algunas preguntas frecuentes sobre la seguridad de WordPress.

¿Tiene WordPress problemas de seguridad?

Más del 40 % de la web utiliza WordPress, que es el sistema de gestión de contenidos (CMS) más popular. Aunque su popularidad lo convierte en un objetivo clave para los hackers, el software en sí no tiene problemas de seguridad.

Es raro que los hackers accedan a sitios web a través de vulnerabilidades de WordPress. En realidad, la mayoría de los sitios se piratean por problemas de seguridad que se podrían prevenir, como plugins y temas desactualizados, contraseñas poco seguras o deficiencias del entorno de alojamiento.

Aunque ningún sistema de gestión de contenidos es seguro al 100 %, los desarrolladores del núcleo de WordPress se esfuerzan para hacerlo lo más seguro posible con cada actualización. Además, si sigues unas prácticas recomendadas básicas, no deberías tener nada de qué preocuparte.

¿Cómo puedo mejorar la seguridad de mi WordPress?

1. Elige un proveedor de alojamiento de calidad. La seguridad empieza por el proveedor de alojamiento, así que elige uno que tenga buena reputación. Busca prestaciones como copias de seguridad automáticas, certificado SSL, cortafuegos a nivel de servidor y protección contra el malware. Además, antes de decidirte por un plan, echa un vistazo a los comentarios sobre los problemas relacionados con la seguridad más habituales. Consulta los proveedores de alojamiento de WordPress recomendados por Jetpack.
2. Actualiza WordPress, los temas y los plugins con frecuencia. Las nuevas versiones suelen incluir parches para vulnerabilidades de seguridad, además de características y funcionalidades adicionales. Por eso, procura actualizar en cuanto puedas.
3. Elige temas y plugins fiables. Instala solamente plugins y temas que provengan de una fuente fiable y que tengan unas valoraciones excelentes. Tampoco adquieras versiones gratuitas (o «nulled») de temas y plugins premium. Suelen estar llenas de malware y vulnerabilidades.
4. Utiliza nombres de usuario y contraseñas seguros. Utiliza una contraseña única para tu sitio de WordPress que tenga al menos 20 caracteres y que combine letras mayúsculas, minúsculas, números y símbolos. De esta forma evitarás que hackers o los bots la descifren.
5. Define los permisos de usuario adecuados. Los roles de usuario de WordPress definen qué acciones puede realizar cada cuenta en un sitio. Concede siempre el rol mínimo imprescindible para cada persona y elimina las cuentas que ya no se utilicen.
6. Haz copias de seguridad automáticas que se almacenen fuera del sitio. Configura copias de seguridad automáticas que se realicen cada 24 horas, como mínimo. Luego, guarda las copias de seguridad de forma completamente independiente del alojamiento, de modo que, si algo le pasa a tu servidor, la copia de seguridad no se vea afectada. 
7. Configura una protección contra ataques de fuerza bruta. Los ataques de fuerza bruta se producen cuando se crean miles de combinaciones de nombre de usuario y contraseña cada minuto mediante bots para forzar la entrada a un sitio web. Sin embargo, una buena herramienta puede bloquear las direcciones IP sospechosas antes de que abran la puerta de tu sitio. 
8. Haz exploraciones de malware. Aunque no puedes supervisar físicamente tu sitio en busca de malware las 24 horas del día, elige una herramienta o un plugin que se ocupen por ti. Si detectas cualquier cosa sospechosa en el momento en que se produce, podrás resolver el problema y evitar que se extienda.
9. Configura la autenticación de dos factores. Con la autenticación de dos factores, se requiere una contraseña y un dispositivo físico para iniciar sesión en tu sitio. Normalmente, se envía un código único al teléfono sin el que no se puede iniciar sesión. De esta forma es prácticamente imposible que los hackers entren con un nombre de usuario y una contraseña.
10. Líbrate de los comentarios de spam. Los comentarios de spam no solo son molestos, sino que pueden incluir enlaces a sitios de phishing dañinos, por lo que también perjudican a las personas que visitan tu sitio web. Puedes librarte de ellos manualmente o instalar un plugin que filtre automáticamente los comentarios y elimine el spam.

¿Necesito un plugin de seguridad para WordPress?

No es imprescindible un plugin de seguridad de WordPress para tener un sitio seguro. Muchas de estas prácticas recomendadas, como las actualizaciones periódicas y las contraseñas seguras, se pueden seguir sin necesidad de tener uno. Sin embargo, los mejores plugins de seguridad de WordPress van más allá, al añadir una capa extra de seguridad y facilitar la protección avanzada sin la ayuda de un desarrollador.

Además, no se debe escatimar en temas de seguridad. Independientemente del tipo de sitio que tengas, un hackeo podría afectar seriamente a la percepción que los visitantes, clientes y consumidores tienen de tu marca. También puede perjudicar tu posición en los motores de búsqueda (a Google no le gustan los sitios que no son seguros), reducir las ventas y los clientes potenciales, y poner en riesgo información como datos de tarjetas de crédito.

Por todo esto, aunque un plugin de seguridad para WordPress no es absolutamente imprescindible, sí conviene tener uno.

Los mejores plugin de seguridad para WordPress

Echemos un vistazo a los mejores plugins de seguridad para WordPress:

Con la lista de arriba, puedes desplazarse rápidamente a cada plugin y echar un vistazo a sus características más importantes, los distintos precios y lo más importante: qué hará para proteger tu sitio web.

1. Jetpack Security

A diferencia de muchos otros plugins, Jetpack Security se encarga de varias tareas: las características gratuitas y de pago incluyen todo, desde la prevención de ataques de fuerza bruta hasta la supervisión del tiempo de inactividad, copias de seguridad, exploraciones de malware o protección contra spam, entre mucho más. Combinadas, estas funciones crean un plugin de seguridad integral para WordPress que es fácil de usar si no tienes experiencia, pero lo suficientemente completo para los sitios más grandes. Otra de sus ventajas es que las exploraciones se ejecutan en los servidores de Jetpack, por lo que no ralentizarán tu sitio web.

Además, Jetpack está creado y respaldado por las personas que están detrás de WordPress.com y específicamente para WordPress. El equipo de Jetpack conoce WordPress a la perfección y los problemas exactos a los que se enfrentan los dueños de sitios de WordPress a diario. Por eso, es el mejor plugin de seguridad disponible.

Características principales de Jetpack Security:

• Copias de seguridad automáticas diarias y en tiempo real
• Exploraciones de malware diarias y en tiempo real
• Prevención contra spam automática
• Un registro de actividad detallado que muestra todo lo que sucede en tu sitio web
• Supervisión del tiempo de inactividad
• Protección contra ataques de fuerza bruta
• Autenticación de dos factores
• Una aplicación móvil con alertas y acceso a las copias de seguridad, los resultados de las exploraciones y el registro de actividad

Veamos algunas de estas características con más detalle.

Protección contra ataques de fuerza bruta

En los ataques de fuerza bruta, los hackers utilizan bots para descifrar combinaciones de nombre de usuario y contraseña. Como utilizan grandes redes de ordenadores, pueden probar miles de contraseñas por segundo.

La función de protección contra ataques de fuerza bruta de Jetpack bloquea los intentos de inicio de sesión no deseados procedentes de IP maliciosas antes de que lleguen a tu sitio.

Supervisión del tiempo de inactividad

La supervisión del tiempo de inactividad de Jetpack visita tu sitio web desde lugares de todo el mundo y te envía una alerta instantánea si no está online. ¿Para qué sirve esto? Para arreglar un problema, hay que saber que existe. Si tu sitio web está caído mucho tiempo, podrías perder tráfico, ventas e incluso posiciones en los motores de búsqueda. Con la supervisión del tiempo de inactividad, conocerás los problemas de inmediato y podrás resolverlos lo antes posible.

Autenticación de dos factores

La autenticación de dos factores pide algo más que el nombre de usuario y la contraseña para iniciar sesión, con lo que añade un nivel extra de seguridad a la página. Cuando te conectes a tu sitio, Jetpack te enviará un código al teléfono y tendrás que introducirlo para iniciar sesión. Para entrar en tu sitio, además de conocer tu nombre de usuario y contraseña, un hacker debería poder acceder a tu dispositivo móvil: algo bastante poco probable.

Copias de seguridad automatizadas  

Si tu sitio deja de funcionar por cualquier problema, una copia de seguridad completa tendrá un valor inestimable. Imagínate perder todo tu trabajo, el dinero que has invertido y los datos de sus clientes o visitantes. Con las copias de seguridad de WordPress estarás tranquilo.

Sin embargo, recuerda que no todas las soluciones de copia de seguridad son iguales. Las copias de seguridad de Jetpack son:

• Automáticas, por lo que no tienes que hacer copias de seguridad manuales.
• Seguras, para que estén protegidas y siempre disponibles.
• Fáciles de configurar, muy práctico si no eres un experto en programación o gestión de servidores.
• Rápidas de restaurar, para que tu sitio vuelva a estar operativo lo antes posible.
• De dos formatos: diarias y en tiempo real.

Las copias de seguridad diarias se realizan automáticamente una vez al día y son una gran solución para restaurantes, blogs y otros sitios web que no se actualizan más de una vez cada 24 horas.

Las copias de seguridad en tiempo real se realizan automáticamente a medida que trabajas, de modo que tienes un registro actualizado de tu sitio web: cada cambio se guarda a medida que lo haces. Son perfectas para tiendas online, sitios de membresía, foros y cualquier sitio web que se actualice de forma habitual. 

Sea cual sea la opción que elijas, tu sitio tendrá una copia de seguridad y podrás restaurarlo en unos pocos clics si alguna vez lo necesitas.

Exploración automática de malware

Si un hacker consigue acceder a tu sitio web, puedes plantar una «puerta trasera», un tipo de malware con el que podrá acceder a tu sitio en cualquier momento para robar datos o insertar malware o virus sin que tú lo sepas. El malware pone en peligro tu reputación, tu información y la de tus clientes.

Aquí es donde entra en juego la Exploración de Jetpack. Esta característica ejecuta diariamente exploraciones automáticas de malware en el código de tu sitio web, en busca de cualquier cosa que sea sospechosa. En cuanto detecte una amenaza, te llegará una notificación por correo electrónico con información detallada sobre los archivos infectados.

Pero eso no es todo: Jetpack corrige automáticamente la mayoría de las amenazas conocidas, así que no solo conocerás los problemas de inmediato, sino que lo más seguro es que no tengas que mover un dedo para solucionarlos.

Filtrado de spam automático

El spam suele venir en forma de comentarios irrelevantes que incluyen enlaces a sitios web de dudosa reputación. Con el software adecuado, los spammers pueden dejar millones de comentarios, que enseguida se escapan de control.

El filtrado de spam de Jetpack permite filtrar automáticamente comentarios, pingbacks y envíos de formularios de contacto en busca de spam conocido, lo que te ahorrará horas de tiempo. Si te preocupa que se marquen como spam comentarios reales, puedes revisarlos y restaurar lo que quieras, o simplemente configurar Jetpack para que se deshaga de los peores comentarios para que nunca tengas que verlos. 

La aplicación móvil de Jetpack

Los hackers no dejan de actuar porque tú no estés delante del ordenador. Con la aplicación móvil de Jetpack, puedes comprobar la actividad del sitio, restaurar una copia de seguridad y ver los resultados de la exploración de malware desde cualquier sitio. 

Además, recibirás alertas instantáneas si tu sitio web se cae o si se encuentra algún tipo de malware. Si pasa algo, podrás resolver la mayoría de las amenazas conocidas con un solo clic, directamente desde la aplicación.

Facilidad de uso:

Jetpack está diseñado para que absolutamente cualquier persona pueda utilizarlo, sin importar su nivel de conocimientos técnicos. Todas las funciones se pueden activar con unos clics, sin necesidad de tener conocimientos de programación ni ser desarrollador.

Documentación y soporte:

El mantenimiento y la asistencia técnica de Jetpack corren a cargo de expertos en WordPress que se preocupan de verdad por ti, por tu sitio y por tu negocio; por eso les llamamos «Happiness Engineers». Un plan gratuito incluye soporte de alta calidad por correo electrónico, y los planes de pago ofrecen una atención más rápida y prioritaria para que obtengas la ayuda que necesitas cuando la necesitas.

También hay una amplia documentación que te guiará en la configuración y la solución de problemas.

Precios y planes:

• Jetpack Free incluye supervisión del tiempo de inactividad, protección contra ataques de fuerza bruta y un registro de actividad con los últimos 20 eventos sin coste alguno.
• Jetpack Security Daily incluye todas las funciones y, además, copias de seguridad diarias, exploraciones de seguridad diarias y un registro de actividad de 30 días desde 11,97 $ al mes.
• Jetpack Security Real-time incluye todas las funciones y, además, copias de seguridad en tiempo real, exploraciones de seguridad en tiempo real y un registro de actividad de un año desde 33,57 $ al mes.
• También puedes adquirir algunas funciones por separado, como Copia de Seguridad de Jetpack, Exploración de Jetpack y Anti-spam de Jetpack desde 4,77 $ al mes.

Ideal para: 

Blogs, tiendas de comercio electrónico y sitios web de cualquier tamaño. Jetpack Security es el plugin de seguridad mejor y más completo de WordPress para prácticamente cualquier necesidad. 

2. Wordfence

Wordfence es un firewall de aplicaciones web con algunas características adicionales como la exploración de malware. Como es un firewall de punto final, se integra perfectamente con WordPress, y no se puede omitir ni permite el filtrado de datos. Por estas características, es mucho más seguro que otras opciones en la nube.

Cuando hayas configurado Wordfence, recibirás notificaciones por correo electrónico si detecta algún problema como plugins obsoletos, código malicioso o un virus. 

Sin embargo, Wordfence tiene fama de ralentizar los sitios, ya que añade muchas tablas de base de datos pesadas y sobrecarga el servidor durante las exploraciones de malware.

Características principales de Wordfence:

• Un firewall de aplicaciones web
• Un explorador de seguridad
• Protección de contraseñas filtradas
• Autenticación de dos factores
• Bloqueo manual y de países
• Reparación automática de archivos

Veamos con más detalle algunas de estas características.

Firewall de aplicaciones web

Sin duda, el firewall es la característica más potente de Wordfence. Aprovecha los datos recogidos de los más de cuatro millones de sitios web que protege para saber cómo atacan los hackers, cómo son los ataques y de dónde vienen. Actualizan con frecuencia sus reglas de firewall y la lista de direcciones IP maliciosas y las bloquean para dar una protección constante.

Explorador de seguridad

El explorador de seguridad busca malware, URL maliciosas, spam, redireccionamientos maliciosos e inyecciones de código en tu sitio web. También te notifica cualquier cambio realizado en los archivos principales de WordPress, vulnerabilidades de seguridad conocidas y plugins obsoletos. 

Bloqueo manual y de países

Los planes Premium ofrecen estas funciones, que fundamentalmente solo añaden potencia adicional al firewall. Con el bloqueo manual, puedes bloquear redes enteras maliciosas o cualquier actividad humana o robótica que quieras. Con el bloqueo de países, puedes bloquear todo el tráfico de un país determinado, lo que puede ser muy práctico durante un ataque. Recuerda que no es recomendable bloquear países a largo plazo por razones de SEO.

Reparación automática de archivos

Si Wordfence determina que un archivo del núcleo de WordPress se ha modificado de forma indebida, puedes devolver el archivo a su estado original con un solo clic. Sin embargo, es importante tener en cuenta que esto es lo mismo que eliminar malware ni que reparar un sitio hackeado, para lo que Wordfence te pedirá 490 $ más.

Facilidad de uso:

Aunque cualquier persona, incluso sin conocimientos técnicos, puede utilizar Wordfence, el panel de configuración puede ser complicado. Todas las características se presentan de golpe y puede ser difícil decidir qué necesita tu sitio. Por defecto, Wordfence también envía un montón de alertas por correo electrónico, aunque muchas no requieren ninguna acción, y los usuarios no expertos pueden tener problemas para saber qué hacer con cada una.

Documentación y soporte:

Wordfence ofrece soporte gratuito a través de los foros de WordPress, y soporte premium a través de un sistema de tickets online. También tienen una base de datos de documentación con información detallada para la configuración y la solución de problemas del plugin.

Precios y planes:

• Wordfence Free incluye el firewall de aplicaciones web básico, el explorador de malware y la protección contra ataques de fuerza bruta sin coste alguno.
• Wordfence Premium añade funciones como actualizaciones del firewall en tiempo real, comprobaciones de listas de bloqueo de IP y bloqueo de países por 99 $ al año.

Ideal para: 

Sitios web pequeños que quieren un firewall y no necesitan proteger datos importantes como información de tarjetas de crédito. Aunque Wordfence incluye características adicionales, no es el plugin de seguridad para WordPress más completo de esta lista. Si destaca es por el cortafuegos de aplicaciones web.

3. iThemes Security

iThemes Security es un plugin freemium que se centra más en añadir capas de protección a tu sitio web para endurecerlo, que en identificar y resolver ataques. Lo hace a través de medidas de seguridad como la configuración de los permisos de archivos correctos, la aplicación de contraseñas seguras y el cambio de las URL de inicio de sesión. 

Características principales de iThemes Security:

• Protección contra ataques de fuerza bruta
• Detección de cambios de archivos y 404
• Copias de seguridad de bases de datos
• Ocultación de las páginas de inicio de sesión y de administración
• Protección sólida de contraseñas
• Autenticación de dos factores

Aquí tienes información más detallada sobre estas características:

Protección contra ataques de fuerza bruta

Bloquea a personas que intentan entrar varias veces sin conseguirlo. Esto evita que los bots prueben diferentes combinaciones de contraseña y nombre de usuario miles de veces en poco tiempo.

Copias de seguridad de bases de datos

Crea automáticamente copias de seguridad de tu base de datos, que te llegarán por correo electrónico. Ten en cuenta que esto solo incluye la base de datos, no todos tus archivos, materiales multimedia, plugins o temas.

Ocultar la página de inicio de sesión

Por defecto, todos los sitios de WordPress utilizan la URL /wp-admin para la página de inicio de sesión y el escritorio. La página siempre es la misma, así que los hackers lo tienen fácil para encontrarla. Cambiar esta URL por otra añade una capa extra de protección, y iThemes Security te permite hacerlo sin código personalizado.

Facilidad de uso:

Al igual que Wordfence, el escritorio de configuración de iThemes puede ser abrumador para los principiantes y los usuarios sin conocimientos técnicos. Hay un montón de ajustes que se pueden activar o desactivar, y es complicado saber cuáles son los adecuados para tu sitio.

Documentación y soporte:

La versión gratuita de iThemes Security se gestiona a través de los foros de WordPress.org. La versión premium incluye un sistema de soporte por tickets. También hay una mucha documentación disponible.

Precios y planes:

• iThemes Security Free incluye medidas de endurecimiento o protección adicional, copias de seguridad de la base de datos, protección contra ataques de fuerza bruta y protección contra cambios en los archivos (entre otras características) sin coste alguno.
• iThemes Blogger (Premium) añade exploraciones programadas de malware, autenticación de dos factores y reCAPTCHA (entre otras características) y cuesta 80 $ al año por sitio. 

Ideal para: 

Protección de inicio de sesión y endurecimiento del sitio. Aunque incluye muchas otras características, muchos de los otros plugins de seguridad de WordPress las gestionan de manera más fácil para los usuarios.

4. Sucuri

Sucuri es una solución de seguridad para WordPress basada en la nube, es decir: se ejecuta completamente en sus propios servidores, para no sobrecargar los tuyos y evitar lags. No se ha diseñado específicamente para WordPress, y funciona con cualquier plataforma o sistema de gestión de contenidos. Aunque ofrece herramientas de firewall de aplicaciones web y de exploración de malware, sus servicios de limpieza son sobresalientes. 

Es importante señalar que Sucuri separa muy claramente sus características gratuitas y las premium. El plugin gratuito incluye exploración de malware y endurecimiento de WordPress, mientras que la versión premium incluye el firewall de aplicaciones web y los servicios de limpieza de pirateo.

Características principales de Sucuri:

• Exploración de malware
• Supervisión de estado de la lista de bloqueo
• Un firewall de aplicaciones web
• Mitigación de la denegación de servicio distribuido (DDoS)
• Prevención contra ataques de fuerza bruta
• Servicios de limpieza de sitios web

Hablemos de algunas de estas características con más detalle.

Supervisión de estado de la lista de bloqueo

Sucuri ejecuta tu URL a través de diversos servicios para ver si estás en listas de bloqueo. Dado que los sitios bloqueados pierden una cantidad significativa de tráfico, esto puede ser una gran ventaja.

Mitigación de la denegación de servicio distribuido (DDoS)

Los ataques DDoS son intentos maliciosos de interrumpir el tráfico de un servidor sobrecargándolo con una avalancha de tráfico falso. El principal problema es que esto impide que visitantes y clientes normales y legítimos puedan acceder a tu sitio web. La función de mitigación de DDoS de Sucuri bloquea estos ataques.

Servicios de limpieza de sitios web

El equipo de expertos de Sucuri está disponible para reparar y restaurar tu sitio web después de un hackeo. Eliminan el código malicioso de tus archivos y bases de datos, envían solicitudes de eliminación de listas de bloqueo y reparan el spam de SEO (como inyecciones de enlaces).

Facilidad de uso:

La configuración de la versión premium de Sucuri puede ser algo complicada si no se es desarrollador, ya que tienes que cambiar la configuración de los DNS de tu dominio para utilizar los servidores de Sucuri. La configuración del plugin gratuito para WordPress es mucho más sencilla y fácil para los no desarrolladores.

Documentación y soporte:

El soporte para la versión gratuita se brinda a través de los foros de soporte de WordPress, mientras que la versión premium utiliza un sistema de tickets. También hay una amplia base de conocimientos con respuestas a las preguntas más frecuentes.

Precios y planes:

• Sucuri Free incluye la exploración de malware, la supervisión de listas de bloqueo y el endurecimiento de WordPress sin coste alguno.
• Sucuri Basic añade un firewall de aplicaciones web y servicios de limpieza por 199 $ al año. Sin embargo, no se garantiza el tiempo de respuesta de la limpieza y las exploraciones de malware se realizan cada 12 horas.
• Sucuri Pro cuesta 299,99 $ al año e incluye todo lo del plan Basic, pero aumenta la frecuencia de las exploraciones de malware a seis horas.
• Sucuri Business aumenta la frecuencia de las exploraciones de malware a 30 minutos y garantiza un tiempo de respuesta ante pirateo de seis horas. Estas ventajas se disfrutan con una cuota anual de 499,99 $.

Ideal para: 

Endurecer y limpiar un sitio web que se haya pirateado. La versión gratuita del plugin no incluye características esenciales como el firewall, así que lo mejor es elegir la versión premium u otro plugin.

5. All in One WP Security and Firewall

Como su nombre indica, el plugin All in One WP Security and Firewall es una solución completamente gratuita y completa para WordPress. Organiza las características por categorías, en función de su nivel de seguridad (y la probabilidad de que puedan dañar algo en tu sitio), por lo que hay algo ideal para todos, independientemente de la experiencia. 

Sin embargo, todas las características se centran en proteger tu sitio contra los pirateos, en lugar de explorar en busca de malware o de limpiar sitios que han sido pirateados.

Características principales de All in One WP Security and Firewall:

• Endurecimiento de cuentas de usuario
• Seguridad de la página de inicio de sesión
• Copias de seguridad de bases de datos
• Seguridad del sistema de archivos
• Funcionalidad de lista negra
• Un firewall
• Un explorador de seguridad
• Protección contra ataques de fuerza bruta

Aquí tienes más información sobre algunas de estas funciones:

Seguridad de la página de inicio de sesión

El plugin bloquea a los usuarios después de un determinado número de intentos de inicio de sesión, fuerza el cierre de sesión al cabo de un tiempo determinado, añade reCAPTCHA a la página de inicio de sesión y registra los inicios y los cierres de sesión. Esto ayuda a proteger el sitio contra hackers y bots.

Seguridad del sistema de archivos

All in One WP Security and Firewall comprueba tus archivos y carpetas en busca de problemas de permisos y permite solucionarlos con un solo clic. También permite evitar que hackers y bots vean archivos que se ven fácilmente comprometidos (como readme.html, license.txt) y desactiva la edición de archivos.

Explorador de seguridad

El explorador de seguridad comprueba si hay cambios en tus archivos comparándolos con los archivos predeterminados del núcleo de WordPress. Ten en cuenta que esto no arregla los problemas por ti ni explora en busca de malware.

Facilidad de uso:

Como las funciones se dividen por nivel de seguridad (separando las que podrían dañar tu sitio de las que no), es un plugin fácil de usar si no tienes experiencia. Además, incluye un medidor de seguridad que te da una visión rápida de la situación en cada momento.

Documentación y soporte:

Solo se ofrece soporte a través de los foros de WordPress.org y no hay mucha documentación sobre algunas características.

Precios y planes:

Este plugin solo tiene una versión, que es gratuita e incluye todas las características.

Ideal para: 

Principiantes y sitios web básicos. Es fácil empezar a utilizarlo con relativa rapidez y sin estropear nada. Sin embargo, como no hay una versión premium de este plugin, le faltan funciones muy prácticas como la exploración y la eliminación de malware. Podría ser una buena solución para blogs de aficionados que no quieren invertir gran cosa en la seguridad de su sitio web.

6. Defender Pro

Defender Pro fue creado por WPMU DEV, una empresa de desarrollo de WordPress que compila todo tipo de soluciones, desde seguridad y suscripciones hasta cuestionarios y análisis. Se puede adquirir por separado o en un conjunto de herramientas para sitios web.

Características principales de Defender Pro:

• Análisis de seguridad
• Protección de inicio de sesión
• Autenticación de dos factores
• Supervisión de listas de bloqueo
• Restauración y reparación de archivos modificados

Facilidad de uso:

Defender Pro incluye un asistente de configuración fácil de usar que es ideal si no tienes experiencia.

Documentación y soporte:

WPMU Dev ofrece soporte por medio de chat en vivo, además de foros, correos electrónicos y documentación detallada.

Precios y planes:

• Defender Pro solo cuesta 60 $ al año para las características mencionadas.
• El paquete de seguridad y copias de seguridad añade otros productos, como herramientas de copia de seguridad y migración, por 90 $ al año.
• WPMU Dev Membership es el conjunto completo de herramientas (suscripciones, análisis, etc.) y cuesta 190 $ al año.

Ideal para: 

Sitios que quieren comprar la suite completa de herramientas y no solo funciones de seguridad. Aunque Defender Pro es una muy buena opción para la seguridad, le faltan características importantes como un firewall o protección contra spam. Sin embargo, será un buen extra si lo sumas a la suite completa de herramientas de WPMU Dev. 

7. Bulletproof Security

Bulletproof Security es un plugin freemium para WordPress dirigido específicamente a los desarrolladores. Es muy completo y ofrece muchos ajustes en el backend, pero será difícil de usar si no tienes mucha experiencia.

Características principales de Bulletproof Security:

• Explorador de malware
• Carpetas ocultas de plugins
• Seguridad y supervisión de los inicios de sesión
• Cierre de sesiones inactivas
• Expiración de cookies de autenticación
• Registros de seguridad
• Diversas funciones de seguridad avanzadas

Facilidad de uso:

Este plugin no está diseñado para principiantes. Aunque tiene un asistente de configuración, cambiar o ajustar la configuración es muy complicado y podría cargarse tu sitio. 

Documentación y soporte:

El soporte para la versión gratuita del plugin se proporciona a través de los foros de WordPress.org. El soporte Premium se proporciona a través de un foro de soporte especial. Hay disponible documentación y tutoriales en vídeo, aunque no extensivos.  

Precios y planes:

• BulletProof Security Free ofrece muchas de las características mencionadas sin coste adicional.
• BulletProof Security Pro incluye instalaciones sin límite y funciones avanzadas (como copias de seguridad y supervisión de la base de datos, firewall para plugins y restauración automática de los archivos del sitio web) por 69,95 $.

Ideal para: 

Desarrolladores y usuarios avanzados que quieran personalizar todos los aspectos de la seguridad de su sitio web.

8. Security Ninja

Aunque Security Ninja es una solución de seguridad relativamente completa, su «reclamo» son los más de 50 controles de seguridad que lleva incorporados. Estas pruebas cubren todo, desde temas y plugins actualizados hasta versiones de WordPress, accesibilidad de archivos y prefijos de tablas de la base de datos. 

Características principales de Security Ninja:

• Un firewall de aplicaciones web
• Exploración de malware
• Protección de formularios de inicio de sesión
• Exploración de vulnerabilidad de plugins
• Registro de eventos

Facilidad de uso:

Este plugin es relativamente fácil de usar, pero requiere algo de trabajo. No arregla automáticamente los problemas que encuentra. En su lugar, tú debes encargarte de todo el sitio y de las correcciones de seguridad. Por supuesto, esto puede ser una gran ventaja para los usuarios avanzados, pero puede complicarte las cosas si no tienes experiencia. Eso sí, si decides ir a por ella, la versión Pro corrige unos 30 problemas de forma automática.

Documentación y soporte:

El soporte para la versión gratuita se proporciona a través de los foros de WordPress.org, mientras que la versión Pro incluye un sistema de tickets de soporte. La información disponible es muy detallada.

Precios y planes:

• Security Ninja Free incluye los más de 50 controles de seguridad mencionados sin coste alguno.
• Security Ninja Starter añade un firewall, un explorador de malware, un corrector automático y mucho más por 49 $ por año/sitio. Si quieres cubrir más sitios, puedes comprar el plan Plus (tres sitios) por 129 & al año o el plan Pro (cinco sitios) por 199 $ al año. Cada plan también tiene ofrece la posibilidad de hacerte con una licencia de por vida a un coste adicional. 

Ideal para: 

Sitios que quieran tener una visión muy clara de la situación y aquellos usuarios que tengan al menos un nivel medio de conocimientos sobre WordPress y seguridad.

9. SecuPress

SecuPress reúne un montón de características de seguridad en un solo plugin sin sobrecargar tu sitio. La versión gratuita y la premium son fáciles de usar, sea cual sea tu experiencia. Una de las mejores características es el informe de seguridad, que permite saber en qué situación se encuentra el sitio y da recomendaciones claras para mejorar.

Características principales de SecuPress:

• Un explorador de estado del sitio
• Límite de intentos de inicio de sesión
• Características de endurecimiento de WordPress
• Autenticación de dos factores
• Exploración de malware
• Copias de seguridad de bases de datos y archivos

Facilidad de uso:

La interfaz de SecuPress es muy sencilla e intuitiva, para usuarios de cualquier nivel. Clasifica las funciones por finalidad y explica lo que hace cada una en el sitio.

Documentación y soporte:

La versión gratuita incluye soporte a través de los foros de WordPress, mientras que la versión premium incluye un sistema de tickets. 

Precios y planes:

• SecuPress Free incluye el explorador de estado, muchas características de endurecimiento y límite de intentos de inicio de sesión (entre otras características) sin coste alguno.
• SecuPress Pro añade autenticación de dos factores, exploración de malware y copias de seguridad, entre otras funciones avanzadas, por 69,99 $.

Ideal para: 

Pequeñas empresas, sobre todo las que pueden invertir algo de dinero en un plugin de seguridad para WordPress. Dado que la versión gratuita no incluye las funciones más prácticas, como la exploración de malware, te recomendamos ir a por la versión premium.

10. Astra Security

Astra Security es una herramienta de seguridad que solo ofrece versión premium y que se describe a sí misma como una «suite de seguridad integral para una protección completa, sin complicaciones». Es importante tener en cuenta que, si bien protege los sitios de WordPress, no se ha diseñado específicamente para WordPress y funciona para cualquier tipo de sitio. Como no está centrado en WordPress, puede que no aproveches valiosas características específicas de la plataforma.

Características principales de Astra Security:

• Un firewall para sitios web
• Limpieza y exploración de malware
• Supervisión de listas de bloqueo
• Protección contra bots malos
• Bloqueo de IP y países

Facilidad de uso:

Astra Security es fácil de instalar y relativamente fácil de configurar. También cuenta con un equipo de soporte premium para echarte una mano.

Documentación y soporte:

El nivel de asistencia que recibes depende del plan que compres. El soporte se proporciona por medio de chat en vivo las 24 horas, y tiene documentación y una base de conocimientos para que empieces a trabajar con el plugin.

Precios y planes:

• El plan Pro incluye un firewall, limpieza de malware en 12 horas, un explorador de malware, protección contra bots malos y soporte técnico Bronze (entre otras características) por 228 $ al año.
• El plan Advanced añade más de 300 pruebas de seguridad, limpieza de malware en ocho horas, prevención de spam y soporte Silver (entre otras características) por 468 $ al año.
• El plan Business añade limpieza de malware en seis horas, más de 500 pruebas de seguridad y soporte técnico Gold (entre otras características) por 1428 $ al año.  

Ideal para: 

Empresas grandes, sobre todo las que tienen varios sitios en diferentes plataformas. Dado que es una opción más costosa y que no se ha diseñado específicamente para WordPress, lo más probable es que no sea la mejor opción para la mayoría de los blogs y empresas de WordPress. 

11. WPScan

WPScan es un plugin gratuito de una sola función que se centra en probar la seguridad de tu sitio. Aunque es el único plugin de una sola función en esta lista, lo incluimos porque sobresale en lo que hace y ofrece algo que la mayoría de los otros plugins no tienen. Incluye una gran base de datos de vulnerabilidades que consulta en las exploraciones.

Características principales de WPScan:

• Busca más de 21 000 vulnerabilidades de seguridad conocidas en WordPress, plugins y temas
• Comprueba los archivos de debug.log, de copia de seguridad wp-config.php y de base de datos exportados que podrían suponer riesgos de seguridad
• Busca contraseñas poco seguras
• Comprueba si el XML-RPC y las claves secretas por defecto están activados o en uso

Facilidad de uso:

Configurar el plugin es muy sencillo. Solo tienes que registrarte para obtener una clave API en tu sitio web, añadir la clave al plugin instalado y elegir tus opciones en una configuración muy básica.

Documentación y soporte:

El soporte se proporciona a través de los foros de WordPress y se ofrecen además instrucciones básicas.

Precios y planes:

Los precios se basan en el número de solicitudes de API que necesitas al día. WPScan realiza una solicitud de API para el núcleo de WordPress, una por cada tema instalado y una por cada plugin que utilices. Así que, si tienes diez plugins instalados y un tema, serían 12 solicitudes de API al día.

• El plan Free incluye 25 solicitudes de API. La gran mayoría de los sitios entrarán en este plan.
• El plan Starter incluye 75 solicitudes de API y cuesta 5 € al mes.
• El plan Profesional incluye 300 solicitudes de API y cuesta 25 € al mes.

Ideal para: 

Cualquier sitio que quiera supervisar las vulnerabilidades de seguridad y no utilice un plugin de seguridad que incluya esta función. Sin embargo, es importante tener en cuenta que no se trata de un paquete de seguridad completo y que debe utilizarse como complemento de otras opciones.

12. Shield Security

Shield Security utiliza una estrategia sencilla: comenzar con la prevención y, además, proporcionar una solución si piratean un sitio. Como los bots son los causantes de la mayoría de los problemas de seguridad, Shield Security se dedica específicamente a bloquearlos para que nunca lleguen a tu sitio. También ofrece funcionalidad que protege los plugins más frecuentes de WordPress como Yoast, Gravity Forms, Advanced Custom Fields, Contact Form 7 y Elementor.

Características principales de Shield Security:

• Un motor de detección contra bots
• Un explorador de malware y vulnerabilidades
• Detección de spam
• Autenticación de dos factores
• Un firewall de aplicaciones web

Facilidad de uso:

Empezar es relativamente sencillo, pero ofrece mucha información y configuraciones que pueden abrumar si no tienes mucha experiencia.

Documentación y soporte:

El soporte gratuito se proporciona a través de los foros de WordPress.org. El soporte Premium se ofrece a través de un sistema de tickets. También hay una mucha documentación disponible, y cursos en línea.

Precios y planes:

• ShieldFREE incluye detección de bots, autenticación de dos factores y un firewall (entre otras características) sin coste alguno.
• ShieldPRO añade un explorador de malware, un explorador de vulnerabilidades y prevención de spam (entre otras características) por 79 $ al año.

Ideal para: 

Propietarios de sitios web con conocimiento moderado sobre seguridad y que pueden invertir algo de dinero en un plugin premium. Como la versión gratuita no incluye un escáner de malware, es mejor adquirir la versión Pro.

En conclusión, ¿cuál es el mejor plugin de seguridad para WordPress? 

Aunque WordPress es muy seguro, siempre es conveniente añadir una protección extra para tu trabajo y la información de tus visitantes. Es bueno para sitios de cualquier tamaño, pero la importancia de la seguridad extra crece a la par que su popularidad y el volumen de contenido. 

La forma más fácil de aumentar la seguridad es con un plugin de confianza. Sin embargo, elegir el mejor plugin de seguridad de WordPress para tu sitio puede ser complicado porque hay muchas opciones. Los propietarios de sitios web deben tener en cuenta las funciones de prevención y limpieza disponibles, además del coste y el nivel de conocimientos técnicos necesario. 

Al tener el respaldo de un equipo de expertos de WordPress, Jetpack es la mejor opción para la seguridad de sitios web de WordPress. Combina sólidas funciones de prevención y resolución con costes razonables, se configura fácilmente y ofrece soporte técnico superior. 

Si solo buscas una herramienta de escaneo de seguridad y no quieres todas las demás características y funcionalidades, una muy buena opción es WPScan. No solo es completamente gratuito, sino que también se destaca en la identificación de vulnerabilidades de seguridad para ayudarte a endurecer y bloquear tu sitio de WordPress.

Si eres desarrollador y buscas una opción avanzada y personalizable, puedes considerar BulletProof Security. Este plugin permite ajustar casi todo en el backend, así que puedes proporcionar características de seguridad únicas y completas para todos los sitios de tus clientes.

Preguntas frecuentes sobre seguridad en WordPress

¿Los plugins de WordPress pueden llevar virus?

Sí, los plugins de WordPress que no son seguros pueden contener virus. Como WordPress es de código abierto, cualquiera puede modificar y utilizar su código para crear nuevos plugins. Es una gran ventaja porque así puedes encontrar una solución para prácticamente cualquier aplicación, pero también significa que los desarrolladores malintencionados pueden aprovecharse del sistema.

Lo único que tienes que hacer al elegir un plugin es tomar las precauciones debidas. Instálalos siempre desde fuentes de confianza (como el directorio de WordPress.org) y comprueba las revisiones a fondo para ver si hay algún problema. Y, lo más importante, nunca instales versiones «nulled» (o gratuitas) de plugins premium. Suelen estar llenas de malware y vulnerabilidades. 

¿Se puede piratear WordPress?

Sí. Como cualquier otro sistema de gestión de contenidos, WordPress puede ser pirateado. Sin embargo, la mayoría de los pirateos ocurren mediante métodos que se podrían prevenir. Si sigues unas cuantas mejores prácticas (como elegir un alojamiento de calidad, definir contraseñas seguras, actualizar el software e instalar un plugin de seguridad para WordPress) no hay razón para que tu sitio sea más vulnerable que cualquier otro. 

¿Qué tipos de sitios suelen ser los más hackeados?

Aunque puedas pensar que los hackers solo atacan a los grandes sitios web con mucho tráfico, no es así. En realidad, las pequeñas empresas y los blogs tienen la misma probabilidad de sufrir ataques, pero suelen tener menos medidas de seguridad.

La mayoría de los piratas no dirigen sus ataques contra sitios específicos. En su lugar, utilizan bots automatizados para buscar en la web en busca de «presas» fáciles. Y los bots automatizados no hacen distingos.

¿Necesito un firewall para mi sitio web?

Cualquier sitio web debería tener un buen cortafuegos, ya que sirve de un escudo entre el sitio y todo el tráfico entrante. El plan de alojamiento que elijas debería incluir un firewall (protegerá tu sitio a nivel de servidor), pero también deberías instalar un firewall de aplicaciones web para proteger tu sitio web contra ataques específicos a los sistemas de gestión de contenidos.

El firewall vendría a ser un guardia de seguridad en la puerta de tu web. Supervisa a todos los visitantes y bots que se detienen en tu sitio, identifica a sospechosos (como direcciones IP malas, redes de bots y tráfico a páginas ocultas) y los bloquea antes de que tengan la oportunidad de atacar. La forma mejor y más sencilla de añadir un firewall a tu sitio de WordPress es con un plugin.

¿WordPress es seguro para sitios web de comercio electrónico?

Con temas de seguridad de WooCommerce, nunca hay que bajar la guardia. Después de todo, es tu responsabilidad proteger los datos de los clientes además de los archivos y la base de datos de tu sitio. No obstante, WordPress es una opción excelente y segura para una tienda online.

Al ser el sistema de gestión de contenidos más popular, puede ser un objetivo para los hackers. Sin embargo, tiene una gran cantidad de medidas de seguridad integradas que mantendrán tu sitio seguro. Además, con unas cuantas mejores prácticas (como contraseñas seguras, alojamiento de calidad y un buen plugin de seguridad para WordPress), estarás muy bien armado. 

¿Cómo puedo comprobar la seguridad de mi WordPress?

Lo mejor es empezar con una herramienta de exploración de malware, que analizará tu sitio web en busca de código sospechoso y te avisará si encuentra algo. Algunas también arreglan automáticamente los problemas que encuentran.

Aquí hay algunas maneras más de comprobar la seguridad de tu WordPress:

• Comprueba que tu certificado SSL funciona. Un certificado SSL protege los datos transmitidos en el sitio, como la información de pago y de contacto. Para comprobar que el tuyo funciona, solo tienes que buscar el icono del candado junto a tu URL en un navegador.
• Supervisa el tiempo de inactividad. Si su sitio se cae, puede ser que le han hackeado. Instala una herramienta automatizada que te avise si no se puede acceder al sitio web para que puedas resolver el problema de inmediato.
• Comprueba no hay advertencias de seguridad en el navegador. Si han pirateado tu sitio, navegadores como Google Chrome y Safari mostrarán una advertencia de seguridad al escribir tu URL. Prueba a visitar tu sitio web en una ventana de incógnito o privada para obtener resultados más precisos.
• Comprueba las notificaciones en Google Search Console. Si tienes una cuenta de Google Search Console, puedes acceder rápidamente al informe de problemas de seguridad, con el que podrás saber si han pirateado tu sitio o si sigues alguna práctica insegura.
• Sigue las mejores prácticas de seguridad. La mejor forma de garantizar la seguridad de tu sitio de WordPress es implementar unas buenas medidas de seguridad. Toma los pasos adecuados para endurecer tu sitio (utilizando una guía de una fuente de confianza como Jetpack) y tendrás confianza en poder hacer frente a los ataques. 

---