Seguridad a prueba de balas vs Wordfence: ¿Qué complemento de seguridad es mejor?

Acabas de lanzar tu sitio web y está empezando a ganar algo de tracción. Observa que recibe mucho tráfico, pero proviene de una fuente sospechosa. No sabe qué hacer, por lo que decide buscar complementos de seguridad.

Wordfence es un complemento de seguridad increíblemente popular para sitios web de WordPress que a menudo se menciona en reseñas y recomendaciones. Este complemento ofrece una amplia gama de funciones, que incluyen un escáner, un limpiador y un firewall, los tres componentes más importantes de la seguridad de cualquier sitio web. Si bien ciertamente tiene sus beneficios, también hay inconvenientes que se discutirán en este artículo.

Bulletproof Security también aparece a menudo en las listas, pero ¿realmente merece la atención que recibe? ¿Bulletproof Security realmente cumple con la exageración que lo rodea? ¡Echemos un vistazo más de cerca para averiguarlo!

No hay absolutamente ningún concurso. Wordfence es el claro ganador si elige entre estos dos complementos, aunque tiene sus propios problemas. Bulletproof Security es cualquier cosa menos la solución de seguridad confiable que dice ser. Estamos completamente desconcertados por sus altas calificaciones. Si está buscando un complemento de seguridad que simplemente funcione, omita ambos e instale MalCare.

Cuando se trata de proteger su sitio web de amenazas cibernéticas, hay una variedad de complementos de seguridad para elegir. En este artículo, compararemos cómo Bulletproof Security y Wordfence manejan diferentes aspectos de la seguridad, como escanear y eliminar malware. Siga leyendo para descubrir las diferencias entre estos dos complementos de seguridad y descubra cuál es el adecuado para usted.

Wordfence en pocas palabras

Wordfence es el mejor complemento de seguridad gratuito para WordPress. Tiene una gran cantidad de características que lo convierten en una buena opción para la seguridad del sitio web si no tiene presupuesto para seguridad. Wordfence incluye un firewall y un análisis integral de malware. Sin embargo, cabe señalar que los análisis solo pueden detectar entre el 70 y el 80 % del malware, lo que se debe al mecanismo de coincidencia de firmas utilizado para la detección. Este es uno de los principales inconvenientes de Wordfence.

El cortafuegos hace un buen trabajo al mantener alejadas las amenazas, pero las reglas de la versión gratuita se actualizan 30 días después que las de la versión premium. Dado que los cortafuegos se basan en reglas para evitar amenazas, esta es una desventaja significativa para la seguridad del sitio.

Finalmente, es posible que también deba consultar con su proveedor de alojamiento web para ver si Wordfence está permitido en su sitio, ya que es un acaparador de recursos y algunos hosts lo prohíben por completo en sus servidores. En general, Wordfence es un excelente complemento de seguridad que ofrece una gran protección, pero aún tiene algunos inconvenientes que deben tenerse en cuenta antes de usarlo.

Seguridad a prueba de balas en pocas palabras

Bulletproof Security afirma proporcionar soluciones de seguridad confiables, pero está lejos de ser a prueba de balas. Después de probar la versión gratuita, nos decepcionó descubrir que ninguna de las funciones, incluido el escáner, el limpiador y la seguridad de inicio de sesión, funcionaba realmente contra el malware. No estábamos dispuestos a actualizar a la versión pro para averiguar si el firewall era mejor, pero la versión gratuita definitivamente es un complemento de seguridad malo.

Comparación directa de características de seguridad: Wordfence vs. Bulletproof Security

En esta sección, compararemos cómo se comparan ambos complementos cuando se trata de características de seguridad importantes de la siguiente manera:

Escaneo de malware

El escáner gratuito de Wordfence tiene solo un 70-80% de efectividad, pero el escaneo de Bulletproof Security fue pésimo.

El escáner gratuito de Wordfence solo funciona con un 60 % de eficiencia, como se indica en su tablero, lo cual no es muy bueno. Aunque los análisis se completan rápidamente, esto es de poca utilidad si no son efectivos para detectar malware.

Wordfence también utiliza la coincidencia de firmas para detectar malware. Esto significa que tienen una base de datos masiva de firmas de malware, contra las cuales comparan el código en su sitio. Crédito donde se debe crédito, Wordfence hace un trabajo estelar al mantener su base de datos actualizada, sin embargo, por su naturaleza, no puede detectar malware más nuevo. Por lo tanto, no es una prueba contra los ataques de día cero.

Además, este mecanismo solo funciona con malware basado en archivos. El malware también puede estar en la base de datos; de hecho, el malware de redirección a menudo infecta la base de datos más que los archivos de un sitio. Wordfence detectó todo nuestro malware basado en archivos y, según nuestras estimaciones, puede detectar entre el 70 y el 80 % del malware. Desafortunadamente, también es propenso a falsos positivos.

Por último, el escáner solo puede detectar malware en complementos y temas de código abierto o gratuitos. Esto se debe a que usan el código disponible públicamente para comparar el código del sitio y buscar adiciones que no deberían estar allí. Esto descarta plugins y temas premium, siendo estos últimos la gran mayoría

Cuando probamos Bulletproof Security, observamos algunas cosas. En primer lugar, cuando ejecutamos un escaneo por primera vez, también tuvimos que activar la opción de base de datos. No estamos seguros de por qué esta es una opción y no forma parte automáticamente del análisis, ya que el malware de la base de datos es real.

A continuación, el escaneo se abre en otra ventana y está etiquetado: "creador de hash de archivo". Este es un escaneo preliminar de algún tipo, aunque esto no estaba claro en el tablero.

Ejecutamos un segundo (o más bien el primer análisis de malware real) a continuación. El escaneo tomó alrededor de 5 minutos para nuestro sitio pirateado. Más tiempo en un sitio de prueba más grande con más publicaciones e imágenes.

A pesar de todo ese galimatías, Bulletproof Security no detectó ningún malware en nuestro sitio muy pirateado. También hizo que nuestro wp-admin dejara de responder, lo cual es una ventaja inesperada además de todo lo que no escaneaba.

Tampoco nos impresiona notar que marcó nuestro archivo cron como sospechoso porque tiene un código personalizado. Esto es algo bastante típico para muchos complementos, por lo que es muy inútil sugerir que eliminemos el archivo cron.

Limpieza de malware

Wordfence puede eliminar el malware que marcó, aunque no nos tranquilizaron las amenazas de ruptura del sitio. La eliminación de malware de Bulletproof Security pone toda la responsabilidad en el administrador del sitio.

Wordfence tiene dos opciones automatizadas para la eliminación de malware a través del propio complemento: eliminar todos los archivos eliminables y reparar todos los archivos reparables.

También ofrecen un servicio de limpieza experto para aquellos que desean que su sitio web se limpie a fondo, pero a un precio. Ambas opciones eliminaron el malware marcado de nuestro sitio web, aunque también temíamos perder el código personalizado. Sin embargo, teníamos que tener cuidado al usarlos porque las advertencias de que el sitio se rompía debido a los cambios eran bastante graves.

Wordfence pudo limpiar todo el malware basado en archivos de nuestro sitio web. Entonces, a continuación, decidimos probar la función con malware que insertamos en la base de datos y archivos de temas premium. Desafortunadamente, el escáner no pudo detectar nada de eso, por lo que la reparación automática ni siquiera era una opción.

El escaneo proporcionado por Bulletproof Security fue pésimo y no marcó ningún malware real. Así que no había nada para probar el limpiador. Sin embargo, solo por diversión, hicimos clic en la opción ver/ignorar/eliminar archivos sospechosos para ver qué pasaba.

Para ser claros, ninguno de los archivos sospechosos que marcó el escáner era en realidad malware. Se permitió que el malware real permaneciera tranquilo en nuestro sitio. Qué reconfortante para los hackers.

Cada uno de los archivos sospechosos tiene cuatro opciones, y debe tener una buena comprensión de los archivos de WordPress para poder usar esta función. No recomendaríamos esta opción, especialmente para principiantes.

cortafuegos

El cortafuegos de Wordfence tiene solo un 35% de efectividad. No probamos el firewall de Bulletproof Security porque es una característica premium.

El cortafuegos de Wordfence viene preinstalado y listo para usar. Tiene un éxito razonable a la hora de evitar los ataques.

Para optimizar su rendimiento, Wordfence recomienda mantener el firewall en modo de aprendizaje durante una semana para permitirle aprender del tráfico en vivo. Sin embargo, para nuestros sitios web de prueba que no reciben mucho tráfico, esto no resultó práctico.

La versión gratuita del cortafuegos de Wordfence tiene solo un 35% de efectividad, por lo que investigamos las razones detrás de esto.

En primer lugar, el cortafuegos se carga como un complemento, lo que puede limitar su capacidad para bloquear todo el tráfico malicioso si se carga después del núcleo de WordPress. En segundo lugar, aunque el cortafuegos se actualiza regularmente, la versión gratuita experimenta un retraso de 30 días en recibir estas actualizaciones, lo que deja una ventana potencial para que los piratas informáticos exploten.

El firewall en Bulletproof Security es una función premium, por lo que no pudimos probarlo. Sin embargo, podemos inferir que gran parte del trabajo pesado se realiza a través del archivo .htaccess, que no es el método más seguro y no se recomienda. El archivo .htaccess es muy poderoso, pero no pretende ser un firewall. De hecho, está en el sitio, por lo que se carga después de WordPress. Por lo tanto, los ataques aún pueden llegar al sitio.
En la configuración, hay una configuración de corrección automática que escanea todos los complementos instalados y agrega sus direcciones IP a una lista blanca. Al seguir investigando, vimos que esto agrega líneas al archivo .htaccess. Esto puede volverse muy difícil de manejar muy rápido, por lo que no estamos muy satisfechos con este mecanismo de filtrado de tráfico.

Detección de vulnerabilidades

Wordfence fue mayormente efectivo, pero Bulletproof Security ni siquiera tenía esta característica básica.

Wordfence identificó correctamente los complementos desactualizados como amenazas medianas y las vulnerabilidades como amenazas críticas. Desafortunadamente, Wordfence también dio errores de falsos positivos para iThemes y Backupbuddy, lo que demuestra su tendencia a generar alertas falsas ocasionalmente.

Es notable que Bulletproof Security no tenga una característica de seguridad tan básica, considerando que incluso iThemes ofrece esta capacidad.

Protección de inicio de sesión de fuerza bruta

Wordfence tiene una seguridad de inicio de sesión efectiva y personalizable . Bulletproof Security ofrece uno inútil.

La protección de fuerza bruta de Wordfence está habilitada de forma predeterminada y funciona de manera efectiva, bloqueando a los usuarios después de una cierta cantidad de intentos de inicio de sesión incorrectos según la configuración establecida en la sección Firewall. Esta sección también ofrece muchas opciones de personalización, como la configuración de bloqueos, los límites de tiempo para los bloqueos y las opciones de administración de contraseñas para hacer cumplir las contraseñas seguras y evitar la filtración de datos. Aunque es posible incluir direcciones IP en la lista blanca, no estamos seguros de su efectividad debido a las direcciones IP dinámicas de los dispositivos que podrían resultar en el bloqueo de usuarios legítimos.

La función de seguridad de inicio de sesión de Bulletproof Security agrega un campo captcha simple a la pantalla de inicio de sesión que debe ingresarse correctamente para evitar un error. Sin embargo, esto es demasiado básico y se puede eludir fácilmente, creando un punto de fricción innecesario para los usuarios legítimos.

Para empeorar las cosas, ingresar detalles aleatorios en los campos de nombre de usuario y contraseña con el captcha correcto en realidad autocompleta el campo de captcha la segunda vez, eliminando así prácticamente el obstáculo menor que se creó inicialmente. Es seguro decir que esta función de seguridad es completamente ineficaz.

Registro de actividades

Ninguno tiene un registro de actividad fácil de usar, pero Bulletproof Security tiene un registro de seguridad para firewalls.

Nos sorprendió descubrir que Wordfence carece de un registro de actividad, que se considera uno de los componentes de seguridad más esenciales. Hay una opción para habilitar la depuración en la sección Diagnóstico en el menú Herramientas, pero esto solo hace que los registros del firewall sean más detallados, no lo mismo que un registro de actividad. Después de más investigaciones, descubrimos que hay un registro de actividad para los eventos de Wordfence en la sección Escanear, sin embargo, es únicamente para fines de desarrollo y no es fácil de usar.

Bulletproof Security no ofrece un registro de actividad, solo un registro de seguridad que registra la actividad del cortafuegos.

Autenticación de dos factores

Wordfence ofrece la función y Bulletproof Security no.

La autenticación de dos factores de Wordfence es fácil de configurar y personalizar, y anteriormente era una característica premium, pero ahora se puede acceder a ella con el complemento gratuito.

Si supuso que Bulletproof Security no proporciona autenticación de dos factores, estaría en lo cierto.

Uso de recursos del servidor

Ambos consumen recursos del servidor, pero al menos Wordfence proporciona resultados.

La naturaleza intensiva en recursos de Wordfence era dolorosamente obvia. Cada acción que realiza en un sitio web consume recursos del servidor, lo que provoca un aumento en el uso del disco durante los análisis. En nuestros sitios web relativamente pequeños, esto hizo que el uso del disco se duplicara o incluso triplicara, lo que afectó negativamente el tiempo de carga, el tiempo de respuesta y la experiencia general del usuario.

Los análisis de Bulletproof Security consumen recursos, pero no detectan ningún malware, lo que hace que la situación sea aún más frustrante. Era casi echar sal en una herida.

Alertas

Wordfence ofrece demasiadas alertas. Bulletproof Security no tiene alertas.

Con Wordfence, hubo una cantidad abrumadora de correos electrónicos. Nos inundaron con alertas en muy poco tiempo, lo que las hizo inútiles en última instancia, ya que demasiadas alertas pueden llevar a la inacción cuando sea necesario.

Dado que el escaneo no pudo detectar ningún malware y la seguridad de inicio de sesión fue un detonador húmedo, no es sorprendente que no recibimos ninguna alerta. Después de todo, ¿de qué nos alertaría?

Instalación, configuración y usabilidad

Wordfence es más fácil de instalar y configurar. La seguridad a prueba de balas es confusa.

La instalación, configuración y uso general de Wordfence está entre los mejores que hemos encontrado. Su documentación incluye tutoriales en cada sección principal, que brindan explicaciones completas de las configuraciones y funciones más importantes en un lenguaje fácil de entender.

Además, Wordfence brinda excelentes recomendaciones para la configuración y su documentación está fácilmente disponible a través de información sobre herramientas en el tablero, lo que lo hace muy fácil de usar. Cada función se explica en detalle y las instrucciones sobre cómo aplicarla a su sitio web están disponibles sin demora.

El asistente de configuración de Bulletproof Security fue algo confuso ya que no es inmediatamente evidente lo que hace. Descubrimos que crea carpetas y tablas de bases de datos, agrega complementos instalados al archivo .htaccess para crear una lista blanca, realiza una copia de seguridad de la base de datos del sitio y habilita la configuración predeterminada. Sin embargo, no realiza copias de seguridad de ningún archivo que pueda ser igual de importante.

Además, la configuración solo mostró una línea azul o roja que nos informa que nuestro archivo .htaccess no está protegido. La interfaz es extremadamente difícil de navegar y está cargada de términos oscuros sin explicación, lo que hace que el proceso de configuración sea un desastre absoluto.

Extras

Wordfence incluye una sección de Notificaciones que indica qué complementos y temas deben actualizarse debido a que se consideran amenazas críticas o medianas.

También hay un tablero de Wordfence Central que permite administrar varios sitios en la misma cuenta, y también tiene una sección adjunta en el wp-admin de cada sitio conectado. En nuestra opinión, esta característica tiene una utilidad limitada para agencias con cientos de sitios administrados.

La sección de tráfico en vivo registra y clasifica el tráfico, y hay una opción de búsqueda "Quién es" para ver al atacante sin salir de wp-admin.

La sección Diagnóstico es particularmente interesante ya que ofrece información completa sobre el sitio web, brindando a los desarrolladores una especificación del sitio web en un solo lugar.

Bulletproof Security agrega una gran cantidad de opciones de refuerzo al archivo .htaccess, algunas de las cuales son muy específicas, como el código de vulnerabilidad de Timthumb y la protección de la carpeta raíz y los archivos contra el acceso. No recomendamos manipular el acceso a los archivos principales de WordPress y creemos que usar un buen firewall es una mejor opción.

¿Qué falta?

Aunque Wordfence es un complemento de seguridad impresionante, carece tanto de protección como de un registro de actividad. El escáner es bastante avanzado y supera a la mayoría de los demás complementos de seguridad, salvo MalCare. A pesar de estas características que faltan, sigue siendo un complemento de seguridad excepcional.

Bulletproof Security carece de un escáner, seguridad de inicio de sesión y presumiblemente capacidades de firewall, aunque esto es una especulación poco caritativa de nuestra parte.

Precios

La versión gratuita de Wordfence es bastante sólida y la tarifa de suscripción anual de $99 es bastante razonable. Anteriormente, se cobraba una tarifa adicional de limpieza de malware de $490 además de la tarifa de suscripción de $99. Sin embargo, con la introducción de los planes Care and Response, los clientes pueden optar por el plan Care desde el principio. El plan Response ofrece una respuesta garantizada en 1 hora a un costo de $950 al año por sitio, lo que es extremadamente beneficioso en caso de un ataque informático, ya que el tiempo es esencial. Esto hace que el plan de atención sea algo inadecuado.

Por el pago único de solo $ 69, no puede obtener seguridad para su sitio de WordPress, ¡una ganga absoluta!

¿Cómo elegir un complemento de seguridad que valga la pena?

A partir de nuestro amplio conocimiento de la seguridad de WordPress, hemos compilado una lista completa de características esenciales para buscar en un complemento de seguridad. Hemos omitido cualquier característica que no esté directamente relacionada con la seguridad para brindarle una guía concisa e informativa.

Funciones de seguridad esenciales:

• Escaneo de malware: esta función ayuda a detectar cualquier código, archivo o script malicioso que se haya agregado al sitio web, alertando al usuario de cualquier amenaza potencial.
• Limpieza de malware: Ayuda a eliminar cualquier código malicioso que se haya detectado. Este es un paso crucial para mantener el sitio web seguro y protegido.
• Cortafuegos: ayuda a bloquear el tráfico malicioso o las solicitudes para que no lleguen al sitio web, así como a evitar que las amenazas potenciales ingresen al sitio web. También ayuda a alertar al usuario de cualquier actividad sospechosa, como intentos de ataques de fuerza bruta.

Funciones de seguridad útiles:

• Detección de vulnerabilidades: esta característica ayuda a detectar posibles vulnerabilidades en el sitio web que podrían ser explotadas por piratas informáticos. Es importante identificar estas vulnerabilidades y corregirlas lo antes posible.
• Protección de inicio de sesión de fuerza bruta: esta función ayuda a bloquear cualquier intento de ataques de fuerza bruta en el sitio web, que a menudo utilizan los piratas informáticos para obtener acceso al sitio web.
• Registro de actividad: esta característica ayuda a rastrear cualquier actividad sospechosa en el sitio web, como solicitudes maliciosas o intentos de inicio de sesión fallidos, para que puedan bloquearse antes de que causen algún daño.
• Autenticación de dos factores: esta función ayuda a agregar una capa adicional de seguridad al sitio web al requerir que el usuario ingrese un código adicional antes de poder acceder al sitio web. Esto hace que sea más difícil para los piratas informáticos obtener acceso al sitio web.

Problemas potenciales:

• Impacto en los recursos del servidor: este es un factor importante a considerar al elegir un complemento de seguridad. Los complementos de seguridad a menudo pueden consumir muchos recursos, lo que puede provocar tiempos de carga lentos y otros problemas de rendimiento.

Mejor alternativa a Wordfence y Bulletproof Security: MalCare

Con toda honestidad, la mejor alternativa tanto a Wordfence como a Bulletproof Security es MalCare, que es un complemento de seguridad integral con todo lo que necesita y más. Ofrece la protección contra bots y el registro de actividad que le falta a Wordfece y es mucho más confiable. Además, no nos hemos olvidado de la base de datos.

Pensamientos finales

Entonces, para concluir, al seleccionar un complemento de seguridad de WordPress para su sitio web, es esencial considerar las capacidades del escáner, el limpiador y el firewall, ya que estas tres características son la base de un complemento confiable. Aquí en MalCare, nuestra misión es brindar seguridad sin estrés y sin esfuerzo, para que pueda concentrarse en los elementos esenciales de su sitio web mientras nosotros garantizamos su seguridad.

preguntas frecuentes

¿Merece la pena Wordfence?

Wordfence gratis es excelente por su precio, que no es nada. Las versiones premium de Wordfence no son mucho más efectivas que la versión gratuita.

¿Es la versión gratuita de Wordfence lo suficientemente buena?

Sí, la versión gratuita de Wordfence es lo suficientemente buena para las necesidades básicas de seguridad. Proporciona un escáner, un cortafuegos y seguridad de inicio de sesión, todos los cuales son necesarios para un sitio web seguro.

¿Wordfence ralentiza tu sitio?

Sí, Wordfence puede ralentizar considerablemente un sitio web. Es un complemento que consume muchos recursos, ya que consume recursos del servidor al realizar escaneos y otras operaciones, lo que lleva a un aumento en el uso del disco y puede afectar el tiempo de carga y el tiempo de respuesta.

¿Cuál es la mejor alternativa a Wordfence?

MalCare es la mejor alternativa a Wordfence, ya que ofrece una amplia gama de funciones y es mucho más confiable. Proporciona protección contra bots, un registro de actividad y un análisis de la base de datos que falta en Wordfence, y también consume muchos menos recursos.