En este artículo haremos una comparativa entre los dos plugins de seguridad más instalados y con más funciones de WordPress, Wordfence Security y All In One WP. También hablaremos de la importancia de tomar medidas de seguridad y como mantener la seguridad de un sitio web.
En 2016 la compañía de seguridad informática SiteLock, LLC realizó una investigación acerca de sitios web infectados con malware y bajo ataques de fuerza bruta y hacking. Concluyeron que una media de 18.5 millones de páginas web son transgredidas con virus y hackeadas todo el tiempo. Una media de 90.000 sitios al día y 83% de estos sitios usan WordPress.
WordPress es uno de los CMS (Sistema de gestión de contenido) más populares y usados de todo internet, a pesar de tener algunas medidas de seguridad, es justamente su popularidad lo que hace que los hackers se interesen en gastar recursos y hasta dinero en encontrar vulnerabilidades en el sistema, pues esto les permite hackear miles y hasta millones de páginas web sistemáticamente.
Los ciberatacantes pueden violar la seguridad de una web para obtener información valiosa como: datos bancarios, información personal y gustos de sus usuarios. También se interesan en direcciones de correo electrónico, en información de la empresa y los estudios de mercado o estadísticas que estos posean. Pues esta información puede ser vendida.
Otras veces quieren tener acceso a los recursos del hosting, algo bastante difícil de lograr pero que es posible, sobre todo si las medidas de son muy precarias.
También lo hacen para dejar alguna marca indetectable dentro del sitio web y afectar negativamente el SEO del sitio y así arruinan la reputación de una empresa y sitio web. Algunos simplemente quieren demostrar habilidades.
Conociendo los plugins
Wordfence
Wordfence Security – Firewall & Malware Scan está desarrollado por Wordfence, una extensión de Defiant.Inc, una compañía de seguridad informática especializada en WordPress.
Wordfence Security es el complemento estrella de la compañía, el cual pretende ser una opción de seguridad avanzada para pequeñas y grandes empresas.
Es un plugin muy apreciado por la comunidad de WordPress, expertos y publico en general. Cuenta con más de 3 millones de instalaciones activas, lo cual lo convierten en un plugin muy popular y usado en WordPress.
En nuestra revisión dedicada de este complemento hablamos de sus funciones, sus bondades y su configuración, puede acceder a ella haciendo clic aquí.
All In One WP
All In One WP Security & Firewall está creado por la empresa Tips and Tricks. El complemento es una solución de seguridad que agrega protección extra a una instalación de WordPress con funciones y características bien valoradas por los usuarios.
Funciona activamente en más de 900 mil instalaciones de WordPress. Su cantidad y calidad de funciones todo ello de forma gratuita lo convierten en una opción muy recomendable.
Puede acceder aquí a nuestro articulo dedicado a este plugin, donde hablamos de sus funciones y como configurarlo correctamente.
Comparativa: Wordfence Security vs All In One WP Security
Aunque los servicios de hosting ofrecen protección (unos mejores que otros) contra amenazas y WordPress está siempre actualizándose para evitar fallos y puertas traseras en su sistema. Por las razones que hemos visto anteriormente nunca está demás tener protección extra y un escudo de respaldo por si nuestras de seguridad principales fallan.
Tanto Wordfence como All In One WP, son actualmente los mejores candidatos para convertirse en esa protección extra que no está de más. Ambos tienen funciones en común y algunas características exclusivas que convienen a diferentes tipos de usuarios.
Para esta guía compararemos a los plugins en diferentes categorías o parámetros para determinar en qué aspectos ganan con respecto al otro y a qué tipo de usuario e instalación WordPress convienen más.
Las categorías en las que se enfrentan Wordfence y AIO WP security son:
- Experiencia de usuario y usabilidad.
- Servicio de Firewall (cortafuegos).
- Medidas de seguridad y protección contra malware.
- Reportes y notificaciones.
Experiencia de usuario y usabilidad
La seguridad de un sitio web puede ser un tema bastante complejo y técnico, por lo que un aspecto muy importante es que el plugin nos ayude a simplificar la terea de monitorizar y mantener la seguridad del sitio web.
Wordfence
Justo después de su instalación pide que se ingrese un correo electrónico, el cual será usado para recibir las alertas de seguridad. A continuación verá una explicación rápida del panel de notificaciones, el análisis de seguridad y algunas funciones destacadas que le ayudarán a familiarizarse con la interfaz.
Por defecto el complemento realiza un análisis en segundo plano de las propiedades de seguridad del sitio web, el indica que acciones puede tomar para mejorar la seguridad.
El Firewall se configura en modo aprendizaje el cual es muy básico y como su nombre lo sugiere, no está pensado para ser usado de ese modo por mucho tiempo. A partir de aquí el usuario deberá configurar el Firewall y demás funciones el mismo.
Hay algunas pequeñas ayudas y explicaciones en la interfaz pero el mismo plugin sugiere repetidamente al usuario que consulte la documentación oficial en su sitio web.
Esto conlleva una curva de aprendizaje, sobre todo para usuarios inexpertos quienes deberán estudiar para aprender a usar el plugin.
Su interfaz intenta reunir todo en un solo lugar lo cual puede ser abrumador porque contiene muchas funciones, además está repleto de términos técnicos y solo está disponible en inglés.
All In One WP Security
También cuenta actualmente con un pequeño repaso de la interfaz y le ayuda a configurar el Firewall y las medidas de seguridad.
Puede fácilmente configurar el cortafuegos y las medidas de seguridad en 3 niveles «básico», «intermedio» y «avanzado», lo cual permite probar las distintas configuraciones progresivamente para ver cuál se ajusta a las necesidades del sitio sin afectar el rendimiento del mismo.
Puede ver todas las funciones y parámetros activados en un solo lugar y le permite crear su propia configuración lo cual puede ayudar a detectar mejor que función interfiere con el buen funcionamiento del sitio si se presenta una eventualidad.
Dependiendo del tipo de página web y las configuraciones le da un puntaje a la seguridad del sitio basado en parámetros establecidos como buenas prácticas de seguridad.
Si se realiza algún cambio en la configuración el complemento avisa como afectará la modificación al puntaje y a la seguridad, lo cual es muy conveniente sobre todo para usuarios inexpertos porque darse una idea rápidamente de cuales son aspectos importantes para la seguridad del sitio y como mantenerlo.
Se puede visualizar esta característica y otros gráficos muy intuitivos sobre la seguridad en el escritorio.
Al igual que Wordfence posee muchísimas funciones por lo que el recorrido por la interfaz también puede ser abrumador, pero está completamente traducido al español y otros idiomas y los nombres y títulos de los apartaos son bastante claros y descriptivos.
Ganador en «experiencia de usuario y usabilidad»: All In One WP Security
Servicio de firewall
La adición de un cortafuegos junto con sus otras medidas de seguridad es lo que distingue Wordfence y AIO WP de otros plugins de seguridad para WordPress, y aun así hay diferencias en el firewall de estos complementos.
Wordfence
Implementa un firewall de aplicaciones web (WAF) y protección de punto final que lo convierten en más que una protección extra. Puede ser instalado en la administración de WordPress y a nivel de hosting para proteger no solo el frontend del sitio, por lo que también puede proteger múltiples sitios con una misma instalación.
Viene con un montón de configuraciones, reglas y restricciones para proteger y bloquear el acceso a muchísimas recursos de la página, pero parte de sus funciones estrellas están en la versión Premium.
All In One WP
Utiliza un cortafuegos de aplicaciones web sin la protección de punto final que incluye Wordfence lo que puede ser menos seguro. Aunque AIO WP encripta los datos través del archivo htaccess, lo cual según explican agrega un montón de protección al código WordPress del sitio.
Al igual de Wordfence no le faltan las reglas y restricciones y todo ello de forma gratuita.
| Funciones | Wordfence | AIO WP |
|---|---|---|
| Firewall con monitoreo en tiempo real | ✔(Premium) | ❌ |
| Protección contra ataques de fuerza bruta | ✔ | ✔ |
| Reglas de bloqueo por regiones o países en tiempo real | ✔(Premium) | ❌ |
| Reglas de Firewall 6G Blacklist | ❌ | ✔ |
| Protección de punto final (Back-point) | ✔ | ❌ |
| Protección contra vulnerabilidades WordPress PingBack | ❌ | ✔ |
Aunque Wordfence tiene algunas funciones avanzadas de seguridad que proporcionan una protección muy robusta, All In One WP contiene muchísimas reglas y restricciones personalizables que proporcionan mucho control sobre la protección que queremos proporcionar al sitio y es muy fácil de configurar.
Ganador en «servicio de firewall»: EMPATE
Medidas de seguridad y protección contra malware y amenazas
Wordfence
Wordfence viene con un poderoso escáner el cual es bastante personalizable y puede detectar amenazas de malware y cambios no autorizados en archivos y parámetros del sitio.
Recién instalado el escáner está configurado en modo estándar limitado, que hace un análisis no muy profundo, que está pensado para ahorrar recursos del hosting, sobre todo en los alojamientos compartidos.
En la versión gratuita puede activar un par de parámetros para hacer un análisis algo más exhaustivo, como por ejemplo verificar que los complementos y temas coinciden con las versiones del repositorio. Pero se guarda todo el arsenal y las funciones más agresivas para la versión de pago.
El escáner de malware comprueba archivos centrales, revisa la integridad de temas y plugins y avisa si el plugin ha sido abandonado, enlaces incorrectos o corrompidos, puertas traseras en el código de WordPress, SEO spam, repara los archivos que han sido modificados por inyecciones o errores por los administradores a través de copias de seguridad que realiza la propia aplicación.
También posee autenticación de 2 factores (2FA) a través de aplicaciones móviles o servicios basados en TOTP y se puede activar o desactivar el XML-RPC a través de este servicio, activación de captchas de matemática simple y bloqueo de acceso a cuentas de administradores si se detecta que las contraseñas han sido comprometidas.
All In One WP Security
Por su parte AIO WP no posee un escáner contra virus o malware, pero si escanea la instalación de WordPress para alertar si se ha producido algún cambio o inyección de código en los archivos del sistema.
Admite la creación de listas blancas o negras de usuarios y sus credenciales e IPs. Puede evitar el SEO spam, añadir Google captchas de matemática simple al formulario de comentarios de WordPress y al formulario de registro y puede activar Honeypot.
Permite crear copias de seguridad de la base de datos y copias especiales de los archivos .htaccess y wp-config.php originales.
Posee un par de características muy interesantes. Una es la capacidad de bloquear el frontend de sitio para evitar su copia del texto y multimedia y la otra la posibilidad de evitar Hotlinking.
| Funciones | Wordfence | AIO WP |
|---|---|---|
| Protección contra malware y virus | ✔ | ❌ |
| Protección de archivos centrales del sistema | ✔ | ✔ |
| Autenticación 2FA | ✔ | ❌ |
| Protección contra SEO SPAM | ✔ | ✔ |
| Captchas de matemáticas simples | ✔ | ✔ |
| Bloqueo de IP y creación de listas negras | ✔ | ✔ |
| Evitar hotlinking | ❌ | ✔ |
| Monitoreo del trafico y usuarios en tiempo real | ✔ | ❌ |
A pesar de que All In One WP tiene muchísimas medidas seguridad y un escáner que protege contra cambios no autorizados e inyección de código malicioso, Wordfence tiene una función dedicada a buscar malware y proporciona más protección contra accesos no autorizados al integrar un autenticador de inicio de sesión de dos factores.
Ganador en «Medidas de seguridad y protección contra malware»: Wordfence
Reportes y notificaciones
Wordfence
Wordfence central es una función de la que está muy orgullosa la empresa, se trata de una pantalla de administración, reportes y notificaciones muy completa. Desde ella puede ver reportes y notificaciones de varios sitios en un solo lugar. En la versión gratuita se restringe a un par de sitios.
Las notificaciones se destacan según su gravedad, aunque se puede configurar para ver el tipo de notificaciones que se desee primero. Al hacer clic sobre ella se obtiene información, como solucionarla o si el complemento se ha encargado podrá ver el reporte.
Se pueden configurar notificaciones instantáneas para que se envíen por correo electrónico y elegir el nivel de gravedad de envío de notificaciones y destacar eventos concretos. También cuenta con notificaciones vía SMS o slack.
All In One WP Security
En el escritorio de AIO WP se puede visualizar las notificaciones de la aplicación, similar a Wordfence. También es aquí donde se puede ver el gráfico que da un puntaje a la seguridad del sitio basado en parámetros establecidos como buenas prácticas de seguridad.
También se pueden configurar alertas por correo electrónico. Aquí las opciones son un poco más limitadas que en Wordfence. Mientras Wordfence permite recibir notificaciones de aquí todos los parámetros, AIO WP lo limita a unos cuantos reportes, eso sí reportes muy importantes, como ataques de fuerza bruta, vulnerabilidad en contraseñas o archivos centrales.
También en el escritorio puede visualizar una lista con sugerencias de funciones y características que se pueden activar para aumentar la seguridad del sitio. Se pueden activar directamente desde la lista.
Ganador en «Reportes y notificaciones»: Wordfence
Conclusiones
Ganador general: Wordfence
Que Wordfence security gané en esta comparativa no quiere decir que All In One WP Security sea un mal plugin, al contrario, sus funciones y la calidad de estas lo convierten en una competencia directa de Wordfence en su versión gratuita.
La razón de que Wordfence gané es que creemos que sus características avanzadas, sobre todo en su versión premium, lo convierten en una opción de seguridad superior.
| Wordfence | AIO WP |
|---|---|
| Gratis y Premuim desde 90$ | Gratis |
| Recomendado para medianas y grandes empresas | Recomendado para sitios web pequeños |
| Protección avanzada en versión gratis y Premium (Puede consumir muchos recursos del servidor) | Buena protección y consume menos recursos |
Wordfence, que como sus mismos desarrolladores explican, está creado con WordPress en mente, es por ello que ofrece soluciones y funciones exclusivas que elevan sustancialmente la seguridad de un sitio WordPress.
En su versión gratuita ofrece una muy buena protección contra malware y un firewall potente que es suficiente para sitios pequeños de WordPress.
Pero si se quiere contar con un verdadero arsenal y todas las bondades de Wordfence entonces hay que comprar su licencia para la versión Premium que convierten a este complemento en una solución poderosa y muy eficaz.
Las características de primer nivel de este complemento en su versión de pago son adecuadas para páginas web de medianas y grandes empresas que buscan seguridad avanzada y soporte técnico prioritario por si surgen inconvenientes o se necesita ayuda para configurar el programa.
Sitios web pequeños y blogs personales pueden beneficiarse mucho al instalar All In One Security & Firewall.
La cantidad de funciones y características que ofrece de forma gratuita es impresionante. Además está muy bien optimizado pues logra se mucho más liviano y consumir menos recursos que Wordfence y otros similares, por lo que puede se puede tener muy buena protección contra amenazas sin comprometer el funcionamiento del sitio y sin consumir tantos recursos, algo muy importante cuando se tiene un servidor o hosting muy limitado.