Sucuri Security Plugin: Endurecimiento de seguridad para WordPress

Sucuri Security es un plugin gratuito para WordPress que condensa todas las herramientas y tecnología de Sucuri Inc, una compañía que se especializa en seguridad informática para sitios web de pequeñas y medianas empresas.

El complemento está activo en aproximadamente 1 millón de sitios y cuenta con una valoración de 4.5 estrellas de 5 por parte de la comunidad de WordPress.

Sucurity Security se centra en 3 aspectos que la compañía cree que son vitales para mantener un sitio seguro, auditoría, escáner contra malware y endurecimiento de la seguridad. Viene pre-configurado lo que facilita la instalación y mantenimiento para personas sin conocimiento técnico.

Carlos León

En su versión de pago incluye varías características y funciones especializadas en optimizar la seguridad y el funcionamiento del sitio, como la integración con su red CDN.

Sucuri Security  plugin versión gratuita

Como ya mencionamos anteriormente, la versión gratuita de Sucuri Security integra un puñado de las mejores  funciones que se encuentran en su herramienta Sucuri Website Security.

Aunque el plugin no está pensado para reemplazar a la versión completa,  incluye un escáner contra malware muy potente y muchísimas opciones para endurecer la seguridad.

Y también cumple con la misión de la empresa mediante de sus productos, que es mantener el sitio web limpio y protegido contra virus informáticos y quitar al sitio de las listas negras de los buscadores web.

Pantalla Principal- Sucuri Security
Pantalla Principal de Sucuri Security Plugin

Sucuri Security plugin incluye las siguientes funciones:

Auditoría de seguridad

Esta característica monitorea constantemente todos los puntos de seguridad que son conocidos por ser vulnerables y crea un registro de todos los cambios que se producen tanto en el frontend y en el backend. Este registro incluye detalles de archivos originales y los cambios producidos.

Todo el registro es transmitido a Sucuri cloud (los servidores en la nube de Sucuri). De esta forma se puede asegurar la integridad de los registros, además los atacantes no podrán borrar sus huellas.

Monitoreo de integridad de archivos

Desde el momento de la instalación escanea todo el sitio y crea un archivo de “estado ideal”, si al comparar el estado actual del sitio con el estado ideal se encuentran discrepancias entonces es posible que haya un problema.

El archivo de estado ideal incluye todos los directorios en la raíz de la instalación WordPress, los plugins, temas y los archivos del sistema.

Escáner contra malware

El motor del escáner contra virus informáticos es el mismo que se encuentra en SiteCheck, el sitio gratuito de Sucuri para detectar malware.

El escáner solo verifica los archivos contenidos en el frontend del sitio. Si se tienen puertas traseras ocultas en los directorios wp-content/uploads, o algunos archivos centrales del sistema no se renderizan en el navegador, Sucuri Security no será capaz de detectar malware.

La versión completa del escáner que tiene acceso a archivos en el servidor está reservada para la versión Premium.

Monitoreo de lista de bloqueo

Los motores de búsqueda como Google o Bing también escanean los sitios web en busca de malware y malas prácticas de SEO.

Adicional al escáner de malware, Sucuri Security chequea que el sitio web no esté en la negra de los motores de búsqueda más importantes y empresas de seguridad como: Google, Bing, Norton, AVG, ESET y otras. Si está en la lista negra Sucuri se encarga de sacar el sitio de allí.

Endurecimiento de seguridad

El endurecimiento de seguridad también conocido como hardening, es una práctica que consiste en detectar y reducir las vulnerabilidades de seguridad de un sistema de acuerdo a como esta creado y las funciones que realiza.

Esta es una de las funciones estrella de la versión gratuita, pues todas las opciones de seguridad que solo están incluidas en la versión de pago son muchas y muy efectivas.

Entre las funciones de endurecimiento destacan:

  • Listas negras y blancas de archivos PHP.
  • Protección de archivos en el directorio WP-content.
  • Protección contra filtración de datos.
  • Protección de la integridad y funcionamiento de plugins y temas de WordPress.
  • Bloqueo por geo-localización.
  • Bloqueo contra bots.

Acciones de seguridad post-hack

Las acciones de seguridad post-hack comprenden medidas de seguridad especialmente diseñadas para mitigar los daños y reparar el sitio cuando ya se ha visto comprometido.

Ayudan a restablecer el funcionamiento del sitio web y evitan que el SEO pueda verse gravemente afectado.

Notificaciones de seguridad

Sucuri Security contiene muchísimas opciones a la hora de personalizar las notificaciones, para facilitar esta tarea existen perfiles pre configurados y agrupación de eventos relacionados.

Las notificaciones se envían por correo electrónico y se pueden configurar varias cuentas de correo electrónico.

Sucuri Security versión Premium

Al contratar la versión Premium en realidad lo que se está haciendo es contratar un paquete Sucuri Website Security. Pero gracias al plugin la mayoría de funciones, reportes y alertas pueden configurarse y controlarse directamente desde WordPress sin necesidad de usar el sitio de Sucuri y sin tener que recordar contraseñas.

Se obtienen todos los beneficios de la versión gratuita más las siguientes funciones.

WAF Firewall

Sucurity proporciona un potente cortafuegos de aplicaciones web remoto, es decir este firewall no funciona directamente desde el servidor web como un firewall tradicional o de red.

Esta es la característica de protección activa que no se encuentra en la versión gratuita y que muchos usuarios aprecian.

Aunque los expertos consideran que es más efectivo poseer un firewall en el servidor, están de acuerdo en que los cortafuegos WAF ofrecen protección suficiente y además consumen muchos menos recursos del servidor, por lo que casi no afectan el rendimiento del sitio web que protegen.

El firewall de Sucuri puede proteger el sitio de:

  • Ataques de negación de servicios (DOS/DDOS).
  • Explotación de vulnerabilidades de software.
  • Ataques de fuerza bruta contra mecanismos de acceso.
  • Ataques de día cero (Zero-day patch).

Soporte para certificados SSL

Permite el uso y configura forma automatizada los certificados SSL (HTTPS) que posea el cliente.

Sucuri no vende ni proporciona los certificados SSL, solo facilita su uso y configuración.

CDN y optimización de velocidad

Sucuri proporciona su propia red de distribución de contenido (CDN), puede almacenar en caché hasta el 90% de todo el sitio web y posee servidores distribuidos en más de 8 países incluyendo España y Latinoamérica.

Sucuri dice que puede optimizar la carga del sitio web hasta un 70%.

Soporte técnico personalizado

Por supuesto una de las ventajas de la versión Premium es el soporte técnico personalizado. Sucuri pone a disposición varios métodos de contacto, incluido chat y servicio de tickets.

Prometen tiempos de respuesta menores a una hora y servicios especiales de emergencia para cuando el sitio se encuentra en una posición crítica.

Precios de Sucuri Security Premium

Los precios de los paquetes de Sucuri Security Premium van desde 120 dólares estadounidenses para un solo sitio, hasta 499 dólares para cantidad ilimitada de sitios web.

¿Cómo instalar y activar Securi Security Plugin?

El plugin se puede descargar desde el repositorio de aplicaciones de WordPress. Se requiere la versión 3.6 de WordPress o superior y la versión 5.0 de PHP en adelante.

Instalación

  1. Desde el panel de administración de WordPress hacer clic en “Plugins” en el menú vertical y luego presionar “Añadir nuevo”.
  2. En el cuadro de búsqueda escribir el nombre del plugin y presionar la tecla “Enter” de la computadora y esperar los resultados.
  3. Entre los resultados buscar “Sucuri Security – Auditing, Malware Scanner and Security Hardening” y hacer clic en “Instalar” y luego en “Activar”.
  4. Aparecerá una nueva opción en el menú lateral izquierdo con el nombre del plugin, desde allí se accede a todas las funciones del plugin.

Generación de las claves API

Con el objetivo de conectar el sitio web con las funciones de escáner contra malware y autenticación de solicitudes HTTP hay que activar las claves API.

  1. Acceder al plugin y a la opción “Generar claves API” en la parte superior derecha de la pantalla.
  2. Ingresar el dominio del sitio web y un correo electrónico. Se enviará la clave API al email suministrado.
  3. Marcar las casillas aceptación de condiciones del servicio y privacidad.
  4. Enviar la información y esperar que el sitio sea agregado a los servidores de Sucuri.
Sucuri Security - Generando claves api
Sucuri Security – Generando claves api

Conclusiones

La versión gratuita puede ser suficiente para proyectos personales como blogs y para sitios web de empresas locales pequeñas.

La protección del plugin está muy a la par iThemes Security, otro plugin gratuito de WordPress que tampoco posee un cortafuegos integrado.

Y aunque a Sucuri le faltan las copias de seguridad básicas que ofrece iThemes, lo compensa con la cantidad de opciones de endurecimiento de seguridad que posee.

La versión de pago puede ser mucho más costosa que las de otros competidores, por ejemplo Wordfence, pero hay que tener en cuenta que ofrece optimización de la velocidad de carga y funcionamiento del sitio a través de su CDN y todas sus opciones de recuperación automática que ayudan a mantener saludable al sitio y el SEO.