Plugins para proteger tu WordPress contra malware y virus
Categoría:
WordPress, Plugins para WordPress, Seguridad web, Temas técnicos sobre webs, Seguridad para WordPress
Fecha:
27/12/2024
Desde hace ya varios años, WordPress es el CMS más utilizado del momento con diferencia, lo que implica que también es el más expuesto a recibir ataques malintencionados y en el que más infecciones de malware se producen, ya sea porque los atacantes explotan ciertas vulnerabilidades que van saliendo, por instalar elementos nulled o pirata, o por qué utilizamos contraseñas inseguras en nuestro sitio web y han conseguido acceso a todos nuestros contenidos.
En caso de que tu web ya haya sido vulnerada, lo idóneo es que realices una desinfección íntegra en toda la instalación, desde Raiola Networks tenemos un procedimiento de desinfección que garantiza la limpieza total del virus, y que puedes revisar desde aquí (también podemos encargarnos nosotros de ello, tan solo contacta con nosotros y te facilitamos coste y condiciones sin ningún compromiso): https://raiolanetworks.com/blog/como-desinfectar-un-sitio-web-wordpress-hackeado/
Dicho esto, y para intentar reducir las posibilidades de que nos afecte cualquier tipo de malware, existen algunos plugins en WordPress que te ayudarán a mejorar la seguridad de tu sitio web, por lo que, en este post, hablaremos sobre 4 plugins que funcionan como antivirus y también permiten analizar los archivos del núcleo de WordPress, sus plugins e incluso la base de datos en busca de contenidos inyectados o maliciosos.
Este tipo de plugins suelen ser de gran ayuda, ya que además de permitirnos configurar ciertas medidas de seguridad (protección contra accesos de fuerza bruta, modificar URL de administrador, protección de amenazas en tiempo real, etc.), te van a permitir detectar vulnerabilidades en la instalación, para poder gestionarlas y prevenirlas lo antes posible.
Es recomendable tener en cuenta que este tipo de plugins pueden generar bastante carga en la web y en el hosting, sobre todo al ejecutar los análisis de malware (lo recomendable es automatizarlos en horas en las que no se produzcan muchas visitas, por ejemplo, de madrugada), o al tener ciertas opciones activadas (por ejemplo, la protección en tiempo real de Wordfence).
El primer plugin del que vamos a hablar es Wordfence, que es sin duda el plugin de seguridad más popular que existe en WordPress, ya que dispone de una gran cantidad de funcionalidades, y su herramienta de análisis de malware, es una de las más potentes del mercado. Además, la versión gratuita del plugin suele ser más que suficiente para la gran mayoría de webs. Puedes descargarlo directamente desde el repositorio de WordPress: https://es.wordpress.org/plugins/wordfence/
Entre sus características más relevantes, Wordfence incluye un firewall de aplicaciones web, la detección de malware en tiempo real, el posible escaneo de archivos en busca de vulnerabilidades, bloqueo de direcciones IP sospechosas o notificaciones de seguridad en tiempo real.
Además, también ofrece funciones de análisis de tráfico y protección contra fuerza bruta, y tal como indicamos anteriormente, los análisis que realiza este plugin suelen detectar gran cantidad de archivos infectados o vulnerabilidades en tu sitio web, gracias a su gran base de datos, que es una de las que más información dispone en comparación al resto de plugins.
Una de las mayores desventajas de este plugin, es el consumo elevado de recursos que realiza, por lo que si no tienes un hosting potente o suficientes recursos en tu servidor, te recomendaríamos valorar otro tipo de opciones (o activarlo únicamente para realizar análisis manuales de forma periódica). Además, actualmente es necesario configurar una licencia para poder utilizar la versión gratuita, por lo que puede ser algo tedioso para usuarios no avanzados, y la configuración puede ser algo compleja.
Wordfence también tiene planes premium, uno más enfocado a personas que gestionan por su cuenta la página web (que incluye soporte y actualizaciones de las reglas de firewall y definiciones de análisis de la base de datos de Wordfence en tiempo real), hasta un plan en el que realizan una auditoría de seguridad en tu web, te configuran el plugin dependiendo de las necesidades de tu web, y la monitorizan y desinfectan en caso de que tengas algún tipo de problema: https://www.wordfence.com/products/
En caso de que te interese conocer más en profundidad las configuraciones que te permite realizar este plugin, así como todas sus opciones, tenemos una guía exclusiva sobre el plugin Wordfence que te podría interesar.
Otro de los plugins más completos y conocidos de seguridad en WordPress es WP Cerber Security, que también tiene versión gratuita, aunque en este caso no es posible descargarlo desde el propio repositorio de WordPress (debido a ciertos problemas de vulnerabilidades no solventadas a tiempo en el pasado), tendrías que descargarlo desde la página web oficial, te dejo el enlace por aquí: https://wpcerber.com/installation/
Con WP Cerber Security, puedes realizar una configuración básica de seguridad en un par de clics (en unos minutos está finalizada), lo que te permitirá tener un nivel de seguridad en la instalación suficiente para webs que no requieran ciertas opciones de securización específicas.
Aun así, el plugin tiene multitud de configuraciones, desde la protección contra ataques de fuerza bruta, la monitorización en tiempo real, el bloqueo de IP maliciosas o el registro detallado de eventos de importancia.
Realmente, el plugin es similar a Wordfence en opciones y características, y también permite llevar a cabo análisis de malware y vulnerabilidades en tu web de forma periódica.
Lo más interesante de la versión de pago del plugin serían los escaneos periódicos automáticos, la limpieza de malware y la configuración de ciertas normas de seguridad: https://wpcerber.com/#cerber-pricing
Si te interesa conocer más en profundidad todas las opciones, ventajas y desventajas del plugin, tenemos una guía completa del mismo que te puede interesar: https://raiolanetworks.com/blog/wp-cerber-wordpress/
En nuestra opinión, es uno de los mejores plugins de análisis que existen en WordPress, casi al nivel del propio Wordfence, ya que permite analizar toda la instalación al completo, incluida la base de datos, en busca de inyecciones de JS.
El plugin puedes descargarlo directamente desde el repositorio de WordPress de forma gratuita: https://wordpress.org/plugins/gotmls/
Una vez instalado el plugin, y para poder aprovecharlo al 100%, es necesario que accedas a https://gotmls.net/ y te suscribas en la misma. De esta forma, tendrás acceso para descargar las definiciones más recientes de amenazas conocidas, además de parches de seguridad.
Una vez realices estos pasos, tendrás a tu disposición una de las herramientas de análisis más potentes que existen en WordPress, no obstante, el plugin no dispone de muchas más configuraciones a nivel securización, aparte de la protección por fuerza bruta o la configuración de escaneos automatizados, por lo que normalmente, solo lo utilizamos para analizar la web en determinados momentos.
Por último, hablaremos un poco sobre All-In-One Security, que es otro de los plugins más completos de seguridad en WordPress, el cual puedes descargar de forma gratuita también desde el repositorio de WordPress: https://es.wordpress.org/plugins/all-in-one-wp-security-and-firewall/
La versión gratuita del plugin dispone de bastantes funcionalidades, entre las que se encuentran la activación del WAF (Firewall de Aplicaciones Web), la securización del login de WordPress, la protección contra ataques de fuerza bruta, la configuración de ciertas reglas de seguridad o un informe del nivel de seguridad de tu sitio web, con las configuraciones y medidas implementadas.
Hay que tener en cuenta que la versión gratuita tiene ciertas limitaciones en todas las configuraciones, aunque puede ser suficiente para la gran mayoría de webs.
Aun así, si necesitas una configuración u opciones algo más específicas, puedes valorar la compra de una licencia para obtener la versión pro, la cual te permitirá, entre otras cosas, tener acceso al soporte premium, el análisis automático de malware, la protección anti-bots, el bloqueo automático de peticiones 404 generadas por bots, y alguna otra configuración bastante interesante que puedes revisar desde aquí: https://aiosplugin.com/why-upgrade-to-premium/
En caso de que tu web ya haya sido vulnerada, lo idóneo es que realices una desinfección íntegra en toda la instalación, desde Raiola Networks tenemos un procedimiento de desinfección que garantiza la limpieza total del virus, y que puedes revisar desde aquí (también podemos encargarnos nosotros de ello, tan solo contacta con nosotros y te facilitamos coste y condiciones sin ningún compromiso): https://raiolanetworks.com/blog/como-desinfectar-un-sitio-web-wordpress-hackeado/
Dicho esto, y para intentar reducir las posibilidades de que nos afecte cualquier tipo de malware, existen algunos plugins en WordPress que te ayudarán a mejorar la seguridad de tu sitio web, por lo que, en este post, hablaremos sobre 4 plugins que funcionan como antivirus y también permiten analizar los archivos del núcleo de WordPress, sus plugins e incluso la base de datos en busca de contenidos inyectados o maliciosos.
Este tipo de plugins suelen ser de gran ayuda, ya que además de permitirnos configurar ciertas medidas de seguridad (protección contra accesos de fuerza bruta, modificar URL de administrador, protección de amenazas en tiempo real, etc.), te van a permitir detectar vulnerabilidades en la instalación, para poder gestionarlas y prevenirlas lo antes posible.
Es recomendable tener en cuenta que este tipo de plugins pueden generar bastante carga en la web y en el hosting, sobre todo al ejecutar los análisis de malware (lo recomendable es automatizarlos en horas en las que no se produzcan muchas visitas, por ejemplo, de madrugada), o al tener ciertas opciones activadas (por ejemplo, la protección en tiempo real de Wordfence).
Índice del artículo
- Wordfence Security
- WP Cerber Security
- Anti-Malware Security and Brute-Force Firewall
- All-In-One Security (AIOS) – Security and Firewall
Wordfence Security
El primer plugin del que vamos a hablar es Wordfence, que es sin duda el plugin de seguridad más popular que existe en WordPress, ya que dispone de una gran cantidad de funcionalidades, y su herramienta de análisis de malware, es una de las más potentes del mercado. Además, la versión gratuita del plugin suele ser más que suficiente para la gran mayoría de webs. Puedes descargarlo directamente desde el repositorio de WordPress: https://es.wordpress.org/plugins/wordfence/
Entre sus características más relevantes, Wordfence incluye un firewall de aplicaciones web, la detección de malware en tiempo real, el posible escaneo de archivos en busca de vulnerabilidades, bloqueo de direcciones IP sospechosas o notificaciones de seguridad en tiempo real.
Además, también ofrece funciones de análisis de tráfico y protección contra fuerza bruta, y tal como indicamos anteriormente, los análisis que realiza este plugin suelen detectar gran cantidad de archivos infectados o vulnerabilidades en tu sitio web, gracias a su gran base de datos, que es una de las que más información dispone en comparación al resto de plugins.
Una de las mayores desventajas de este plugin, es el consumo elevado de recursos que realiza, por lo que si no tienes un hosting potente o suficientes recursos en tu servidor, te recomendaríamos valorar otro tipo de opciones (o activarlo únicamente para realizar análisis manuales de forma periódica). Además, actualmente es necesario configurar una licencia para poder utilizar la versión gratuita, por lo que puede ser algo tedioso para usuarios no avanzados, y la configuración puede ser algo compleja.
Wordfence también tiene planes premium, uno más enfocado a personas que gestionan por su cuenta la página web (que incluye soporte y actualizaciones de las reglas de firewall y definiciones de análisis de la base de datos de Wordfence en tiempo real), hasta un plan en el que realizan una auditoría de seguridad en tu web, te configuran el plugin dependiendo de las necesidades de tu web, y la monitorizan y desinfectan en caso de que tengas algún tipo de problema: https://www.wordfence.com/products/
En caso de que te interese conocer más en profundidad las configuraciones que te permite realizar este plugin, así como todas sus opciones, tenemos una guía exclusiva sobre el plugin Wordfence que te podría interesar.
WP Cerber Security
Otro de los plugins más completos y conocidos de seguridad en WordPress es WP Cerber Security, que también tiene versión gratuita, aunque en este caso no es posible descargarlo desde el propio repositorio de WordPress (debido a ciertos problemas de vulnerabilidades no solventadas a tiempo en el pasado), tendrías que descargarlo desde la página web oficial, te dejo el enlace por aquí: https://wpcerber.com/installation/
Con WP Cerber Security, puedes realizar una configuración básica de seguridad en un par de clics (en unos minutos está finalizada), lo que te permitirá tener un nivel de seguridad en la instalación suficiente para webs que no requieran ciertas opciones de securización específicas.
Aun así, el plugin tiene multitud de configuraciones, desde la protección contra ataques de fuerza bruta, la monitorización en tiempo real, el bloqueo de IP maliciosas o el registro detallado de eventos de importancia.
Realmente, el plugin es similar a Wordfence en opciones y características, y también permite llevar a cabo análisis de malware y vulnerabilidades en tu web de forma periódica.
Lo más interesante de la versión de pago del plugin serían los escaneos periódicos automáticos, la limpieza de malware y la configuración de ciertas normas de seguridad: https://wpcerber.com/#cerber-pricing
Si te interesa conocer más en profundidad todas las opciones, ventajas y desventajas del plugin, tenemos una guía completa del mismo que te puede interesar: https://raiolanetworks.com/blog/wp-cerber-wordpress/
Anti-Malware Security and Brute-Force Firewall
En nuestra opinión, es uno de los mejores plugins de análisis que existen en WordPress, casi al nivel del propio Wordfence, ya que permite analizar toda la instalación al completo, incluida la base de datos, en busca de inyecciones de JS.
El plugin puedes descargarlo directamente desde el repositorio de WordPress de forma gratuita: https://wordpress.org/plugins/gotmls/
Una vez instalado el plugin, y para poder aprovecharlo al 100%, es necesario que accedas a https://gotmls.net/ y te suscribas en la misma. De esta forma, tendrás acceso para descargar las definiciones más recientes de amenazas conocidas, además de parches de seguridad.
Una vez realices estos pasos, tendrás a tu disposición una de las herramientas de análisis más potentes que existen en WordPress, no obstante, el plugin no dispone de muchas más configuraciones a nivel securización, aparte de la protección por fuerza bruta o la configuración de escaneos automatizados, por lo que normalmente, solo lo utilizamos para analizar la web en determinados momentos.
All-In-One Security (AIOS) – Security and Firewall
Por último, hablaremos un poco sobre All-In-One Security, que es otro de los plugins más completos de seguridad en WordPress, el cual puedes descargar de forma gratuita también desde el repositorio de WordPress: https://es.wordpress.org/plugins/all-in-one-wp-security-and-firewall/
La versión gratuita del plugin dispone de bastantes funcionalidades, entre las que se encuentran la activación del WAF (Firewall de Aplicaciones Web), la securización del login de WordPress, la protección contra ataques de fuerza bruta, la configuración de ciertas reglas de seguridad o un informe del nivel de seguridad de tu sitio web, con las configuraciones y medidas implementadas.
Hay que tener en cuenta que la versión gratuita tiene ciertas limitaciones en todas las configuraciones, aunque puede ser suficiente para la gran mayoría de webs.
Aun así, si necesitas una configuración u opciones algo más específicas, puedes valorar la compra de una licencia para obtener la versión pro, la cual te permitirá, entre otras cosas, tener acceso al soporte premium, el análisis automático de malware, la protección anti-bots, el bloqueo automático de peticiones 404 generadas por bots, y alguna otra configuración bastante interesante que puedes revisar desde aquí: https://aiosplugin.com/why-upgrade-to-premium/
Deja una respuesta
Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *