Revisión de seguridad todo en uno: profundización en los pros y los contras - MalCare

Si está buscando una revisión de All-In-One Security, es posible que desee saber si el complemento es efectivo para proteger su sitio web de amenazas como piratería, malware y otras vulnerabilidades de seguridad. También es posible que desee obtener información sobre sus características y facilidad de uso, así como su compatibilidad con otros complementos y temas de WordPress.

Probamos All-In-One Security en varios sitios, lo que nos permite evaluar su rendimiento y compatibilidad en una variedad de configuraciones. Nuestra revisión es imparcial y se basa en nuestro conocimiento como expertos en seguridad. Nuestro objetivo es proporcionar una revisión completa y confiable.

Esta revisión en profundidad proporcionará información valiosa sobre estas áreas, lo que le ayudará a tomar una decisión informada sobre si All-In-One Security es la solución de seguridad adecuada para su sitio web.

Las 3 funciones más anunciadas de All-In-One Security son: protección de inicio de sesión, firewall y protección de contenido. ¿Protección de inicio de sesión? No funciona demasiado bien y es propenso a errores. ¿Cortafuegos? No es una buena configuración. ¿Protección de contenido? Básicamente funciones anti-spam que son decentes. Con todo, esto no se parece en nada a un complemento de seguridad. MalCare es una alternativa mucho mejor. Tiene un excelente escáner, eliminación de malware con un solo clic y un poderoso firewall.

Descripción general

All-In-One Security no es el complemento de seguridad completo que dice ser. En cambio, es simplemente un complemento antispam con algunas características de seguridad mediocres en el mejor de los casos, y algunas que están completamente ausentes o no funcionan.

Sin embargo, hay algunas buenas noticias. La función de protección de contenido ayuda a proteger contra el spam. Hay una función de autenticación de dos factores para mayor seguridad y puede limitar los inicios de sesión que evitan el acceso no autorizado. La falta de carga en el servidor del sitio y la ausencia de alertas excesivas son una ventaja.

Ahora, hablemos de lo malo. La versión gratuita de All-In-One Security no incluye un escáner, por lo que no pudimos probar esta función. Por lo tanto, no podemos comentar sobre su eficacia. Tampoco hay detección de vulnerabilidades, limpiador de malware o servicio de limpieza. El cortafuegos depende en gran medida del archivo .htaccess y parece estar limitado a bloquear ciertas categorías de bots maliciosos. Las características de endurecimiento son decentes, pero nada que no pueda obtener con la misma facilidad de un complemento más pequeño.

Solo sugerimos instalar All-In-One Security para las funciones antispam, aunque preferimos CleanTalk o incluso Akismet para este propósito. El complemento en realidad nos recuerda a iThemes de alguna manera. La multitud de configuraciones en la página de wp-admin parece estar intentando ocultar el hecho de que el complemento carece de valor real. No recomendamos este complemento como un complemento de seguridad en absoluto.

Funciones de seguridad críticas y seguridad todo en uno

Cada complemento de seguridad viable debe tener tres características no negociables: escaneo de malware, protección de firewall y eliminación de malware. ¿All-In-One Security tiene estas características? ¿Qué tan bien administra All-In-One Security estas funciones?

Escáner de malware

No pudimos probar la función de escaneo de malware ya que es una función premium. Sin embargo, según su sitio web, utilizan sus propios servidores para buscar malware, lo cual es una buena práctica para evitar sobrecargar el sitio. Entonces, esto es excelente.

Eliminación de malware

Desafortunadamente, All-In-One Security no proporciona una función de limpieza de malware ni ningún servicio de limpieza profesional. Ofrecen consejos, pero no son muy útiles. Por lo tanto, si su sitio ha sido pirateado, All-In-One Security no será de ninguna ayuda.

cortafuegos

Esta característica vino con una sorpresa.

All-In-One Security usa el firewall 6G de Perishable Press, y eso es un poco fastidioso. Dependen en gran medida del archivo .htaccess para las operaciones y, aunque nos encanta el poder del archivo .htaccess, no está diseñado para hacer el trabajo de un firewall real. Además, 6G solo funciona en servidores Apache, ya que usa el archivo .htaccess, por lo que es inútil para sitios en servidores nginx. ¡No es ideal!

All-In-One Security puede tener algunas funciones similares a las de un firewall. Puede poner en la lista negra las direcciones IP y los agentes de usuario desde el tablero, si es lo suficientemente valiente como para probarlo.

El firewall puede detener algunos bots (spam, inicios de sesión de fuerza bruta y raspadores) y bloquear el acceso a ciertos archivos. Es un tipo rudimentario de protección contra bots que se supone que debe mantener alejados a los googlebots falsos, lo cual es excelente, pero también detiene a los googlebots reales. Los sitios han informado que han perdido posiciones debido al complemento.

Sin embargo, no hemos experimentado este problema de primera mano, y existe la posibilidad de que esto pueda ser un geobloqueo mal aplicado. No estamos seguros. El geobloqueo en sí mismo es una característica premium.

Elementos de seguridad secundarios

Las funciones críticas de seguridad no estaban a la altura. ¿Qué otras funciones de seguridad tiene (o no) All-In-One Security?

Protección de inicio de sesión

Hay un montón de configuraciones para prevenir ataques de fuerza bruta en la pantalla de inicio de sesión del usuario. Lo probamos tratando de forzar la página de inicio de sesión con contraseñas y nombres de usuario incorrectos, y funcionó muy bien. Puede usar las otras configuraciones para modificar sus preferencias, pero en general, esta función es una de las mejores versiones que hemos visto para limitar los inicios de sesión.

También hay un conjunto separado de conmutadores específicamente para la prevención de fuerza bruta, uno de los cuales es cambiar la URL de inicio de sesión. Esta es una medida de endurecimiento, y particularmente atroz, que se hace pasar por prevención de la fuerza bruta.

Además, también hay una opción de honeypot, que solo será visible para los bots. Puede habilitar esto para rechazar automáticamente los registros que caen en la trampa trampa. Esta función es para evitar registros de spam.

Detección de vulnerabilidades

Parece que All-In-One Security se está perdiendo por completo la detección de vulnerabilidades. La mayoría de los complementos de seguridad tienen esta función incluida con su escáner de malware, por lo que asumimos que estaría en la versión premium. Pero, después de hacer muchas comprobaciones, tampoco parece estar allí.

Autenticación de dos factores

All-In-One Security le permite configurar la autenticación de dos factores (2FA) para todo tipo de usuarios o solo para los que considere más importantes para proteger.

Este conmutador agrega 2FA como una opción en el perfil de usuario, y los usuarios pueden elegir entre una variedad de mecanismos de autenticación. Con todo, All-In-One Security 2FA es una característica bastante completa.

Registro de actividades

El complemento tiene una función de registro de inicio de sesión, pero no es la mejor. En general, se siente un poco a medias. No es un reemplazo para un registro de actividad.

Características de endurecimiento

Las medidas de endurecimiento nunca son tan efectivas como uno podría pensar, sin importar cuántos artículos de seguridad de WordPress hablen de ellas.

• Eliminar la versión de WordPress no protegerá contra las vulnerabilidades. La solución correcta sería actualizar la versión de WordPress.
• Una característica aún más inútil es cambiar el prefijo de la base de datos , lo que solo estropea la estructura de la base de datos.
• Cambiar los permisos de archivo hubiera sido útil si la configuración no fuera tan limitada.
• La detección de cambio de archivo también tiene un uso limitado.

Las únicas excepciones que son realmente útiles es la capacidad de deshabilitar el acceso a XML-RPC . También creemos que la herramienta de contraseñas de All-In-One Security puede ser útil.

Instalación y configuración de seguridad todo en uno

¿Ya hemos visto algún éxito con la implementación de funciones de seguridad? No precisamente. Pero, en términos de usabilidad, ¿qué tan simple es el proceso de instalación y configuración?

Instalación

La instalación y la activación fueron muy sencillas, pero configurar nuestra seguridad fue otra historia. Como ya teníamos MalCare instalado en nuestros sitios de prueba, no podíamos simplemente cambiar a All-In-One Security Firewall. Tuvimos que acceder al archivo .htaccess y reemplazar MalCare Firewall con All-In-One Security. Eso significaba que teníamos que poder enumerar los archivos ocultos en la terminal para realizar la edición.

Curiosamente, esto funcionó solo porque nuestros sitios están en servidores Apache. Me pregunto qué habría pasado en los servidores nginx.

Hay una puntuación de seguridad para nuestro sitio en el tablero. A primera vista, fue un poco desalentador. El dial en el complemento dice que deberíamos tener 505 puntos de seguridad, pero nuestro sitio tiene 0. Nos gusta el sistema de puntuación, por lo que comenzamos a desarrollar nuestra seguridad activando las funciones básicas de seguridad en el menú de configuración. Sin embargo, estas configuraciones fueron, en general, bastante inútiles, por lo que el sistema de puntuación le da una falsa sensación de seguridad.

Facilidad de uso

Configurar el tablero fue bastante fácil, aunque tomó un tiempo revisar todas las opciones. La mayoría de ellos realmente no tuvieron un impacto significativo en nuestra seguridad. El mayor problema con el que nos encontramos con All-In-One Security fue que era demasiado fácil bloquearnos el acceso a nuestro sitio activando la configuración incorrecta.

Incluso cambiar la URL de inicio de sesión (que no se recomienda en absoluto) no fue tan efectivo. El complemento solo ayuda a cambiar el slug de la URL. En realidad, también debe realizar cambios en otras partes del código para que funcione correctamente.

Notificaciones y alertas

Hay suficientes alertas para cosas importantes como usuarios bloqueados, etc. Además, puede personalizar qué notificaciones desea recibir.

Otros factores a considerar

Además de las características de seguridad, ¿qué más debe tener en cuenta al considerar la seguridad todo en uno? Bueno, querrá verificar el impacto que tiene el complemento en su servidor y qué tan receptivo es el equipo de soporte cuando necesita ayuda.

Impacto en el rendimiento del sitio

Probamos la versión gratuita de All-In-One Security y no funcionó bien. No tiene su propio escáner, por lo que es un complemento bastante liviano y no afectó el rendimiento de nuestro sitio.

Ayuda y apoyo

El equipo de All-In-One Security está muy activo en el foro de WordPress. Responden a todas las consultas que se les presentan. Desafortunadamente, no parece haber otra forma de contactarlos para obtener asistencia.

Precios

Por $70 al año para dos sitios, All-In-One Security no es una mala oferta a primera vista. Pero tenga en cuenta que no obtiene ninguna limpieza, y la eliminación de malware tendrá un costo adicional. Tampoco podemos decir qué tan efectivo es el escáner.

Las mejores alternativas a la seguridad todo en uno

¿Es All-In-One Security el mejor complemento de seguridad? No. Entonces, ¿cuáles son sus mejores opciones?

• MalCare: MalCare es la mejor alternativa. Tiene un excelente escáner y firewall, y no tendrá ningún efecto en su servidor. También es fácil de eliminar el malware y proporciona una solución de seguridad integral para su sitio.
• Wordfence: la versión gratuita de Wordfence proporciona características de seguridad formidables, como un escáner y un cortafuegos, y este último se actualiza constantemente. Sin embargo, si se detecta algún material dañino, será necesario actualizar a un plan más caro para eliminarlo.
• Sucuri: Sucuri es una gran opción para la eliminación completa de malware. Con todos sus planes pagos, los usuarios obtienen acceso a servicios ilimitados de eliminación de malware. Sin embargo, una desventaja es que el escáner no es excelente, por lo que es crucial estar atento a cualquier problema potencial de malware antes de utilizar la función de eliminación.

¿Cómo elegir un complemento de seguridad para WordPress?

Con tantos complementos de seguridad de WordPress disponibles en el mercado, puede ser abrumador navegar a través de todas las revisiones y comparaciones, especialmente con toda la jerga que los acompaña. Sin embargo, elegir el complemento de seguridad adecuado es crucial para proteger su sitio web de posibles amenazas y mantenerlo funcionando sin problemas. En esta sección, desglosaremos las principales características y factores a considerar al hacer su elección, lo que le facilitará la elección del mejor complemento de seguridad para su sitio web de WordPress.

• Escáner de malware: un escáner de malware es importante porque ayuda a detectar cualquier código malicioso que se haya inyectado en su sitio de WordPress. Además, los escaneos regulares pueden ayudar a garantizar que su sitio se mantenga seguro y protegido de posibles ataques.
• Eliminación de malware: el malware puede dañar o corromper archivos, robar información personal o confidencial, ralentizar o bloquear su sitio e incluso permitir que los piratas informáticos obtengan acceso. El malware también puede hacer que su sitio web sea vulnerable a más ataques y comprometer la seguridad de la información de sus visitantes. Es importante eliminar el malware lo antes posible para evitar que se propague y cause más daños.
• Cortafuegos: cuando se trata de seguridad, un cortafuegos es como un filtro. Es una protección que impide la entrada de malware, bots maliciosos y más. El mejor cortafuegos es el que se actualiza constantemente y puede diferenciar entre el tráfico bueno y el malo.
• Detección de vulnerabilidades: los piratas informáticos siempre están al acecho de formas de ingresar a su sitio a través de complementos y temas. Es por eso que los complementos y los temas se actualizan con frecuencia para corregir cualquier vulnerabilidad de seguridad. Un escáner de vulnerabilidades lo alerta cada vez que se detecta una vulnerabilidad, lo que le brinda la oportunidad de repararla o informar a los desarrolladores.
• Autenticación de dos factores: la autenticación de dos factores es una capa adicional de seguridad que requiere que los usuarios proporcionen dos formas diferentes de confirmar su identidad. Esto podría incluir una contraseña y un código adicional enviado a su teléfono o correo electrónico. Esto lo convierte en una buena característica de seguridad.
• Protección de inicio de sesión: los ataques de fuerza bruta son intentos automáticos de ingresar a su cuenta adivinando al azar su nombre de usuario y contraseña. Para mantenerlos alejados, debe instalar un complemento con funciones de protección de inicio de sesión. Por ejemplo, puede establecer cuántos intentos de inicio de sesión incorrectos desencadenan un bloqueo.
• Registro de actividad: un registro de actividad es una excelente manera de monitorear lo que sucede en su sitio. Realiza un seguimiento de todas las actividades y eventos que ocurren en su sitio. De esta manera, puede identificar fácilmente cualquier comportamiento inusual que pueda ser indicativo de malware malicioso. También es una excelente manera de auditar quién ha accedido y cambiado su sitio, para que pueda mantener el control.
• Impacto en el servidor: los complementos de seguridad pueden ser una gran carga para los recursos de su servidor. Esto hará que su sitio sea más lento y, a su vez, afectará su clasificación o la experiencia del cliente. Por eso es importante que un complemento de seguridad busque malware en su propio servidor. MalCare, por ejemplo, está diseñado para no utilizar ninguno de sus recursos.

Pensamientos finales

All-In-One WordPress Security es un complemento que proporciona algunas buenas funciones como antispam y autenticación de dos factores. Sin embargo, no incluye características de seguridad críticas como un escáner de malware, eliminación de malware o un firewall. Por lo tanto, recomendamos invertir en un complemento de seguridad más completo como MalCare para garantizar que su sitio web esté adecuadamente protegido.

preguntas frecuentes

¿Cuál es la configuración del firewall de All-In-One WP Security?

All-In-One WordPress Security utiliza el Firewall 6G de Perishable Press, que depende de .htaccess y, por lo tanto, solo funciona en servidores Apache. El cortafuegos es efectivo para detener bots maliciosos, pero a veces también puede detener a Googlebot. También permite a los usuarios poner en la lista negra las direcciones IP y los agentes de usuario desde el tablero.